11月22日，中国联通召开RPKI路由安全创新方案成功试点发布会，正式宣布中国联通成功完成全球互联网资源公钥基础设施（Resource Public Key Infrastructure，RPKI）路由安全创新方案的现网示范应用，这是国内运营商首例基于RPKI创新方案的现网测试，标志着路由安全创新技术RPKI向着部署落地迈出了关键一步，充分展现了中国联通在网络安全领域的创新实力，也为RPKI现网部署运行积累了宝贵实践经验。

近年来，全球运营商路由安全事件频发，从最初的单一路由重定向朝着大范围、多领域、政治化延伸，域间路由安全可信问题凸显。随着国际形势的变化，路由劫持等攻击已成为网络空间对抗的“重武器”，因路由异常引发的大面积断网停服时有发生。面对严峻的路由安全挑战，国际标准组织IETF（The Internet Engineering Task Force，国际互联网工程任务组）提出了RPKI技术框架，旨在为全球路由系统提供可验证的授权关系库，用于检验路由起源的真实性，实现路由源验证，从而减少路由劫持和路由泄露事件发生，提高网络的安全性和可靠性。随着网络安全逐渐受到重视，各国RPKI部署工作进展加速，据MANRS相关数据统计，目前全球RPKI部署率已超40%以上，但国内部署率不足6%，与国际水平仍存在一定差距。

中国联通全面贯彻总体国家安全观，勇担网络安全现代产业链链长，以“打造坚强网络，筑牢国家网络安全屏障”为目标，体系化推进链长工作落地落实。聚焦网络安全领域，积极开展路由安全核心技术攻关，对RPKI部署验证进行了充分研究与论证，已具备现网测试部署的理论基础与工程实践能力，在国内运营商中处于领先水平。

本次应用验证工作在联通集团网络与信息安全部的指导下，由中国联通研究院、吉林联通联合华为共同完成，针对互联网路由存在的信任不可靠、路由不可控、转发不可信等重大安全隐患，结合运营商现网环境，制定RPKI路由源验证和ASPA（Autonomous System Provider Authorization，自治系统供应商授权）路径验证的路由安全防御技术试点实施方案。在确保测试预期效果的前提下，中国联通克服了系统兼容性、路由证书模拟构建、路由因现网约束导致网络不通等不利因素，实现现网配置的最小化修改，提前识别现网配置变更内容、软硬件环境并进行预演，有效消除操作过程中的潜在风险，确保了本次测试成功。

本次测试面向路由劫持与路径劫持两大核心场景，完成了RPKI路由前缀起源验证（ROV）和AS Path路径验证（ASPA）测试，实现了RPKI基本功能在联通现网的测试应用，主要成果如下：

关键成果1：国内运营商首次完成路由前缀起源验证（ROV）现网测试

通过RPKI，合法的网络资源持有者会获得被称为路由原始授权的认证，该认证可以通过加密方式进行验证，即路由前缀起源验证（ROV），从而保证路由信息的真实性和准确性。

本次试验通过对路由信息和授权关系的验证，结合路由前缀起源数据库，实现了国内运营商首次ROV部署验证，有效防范路由起源攻击和伪造等安全风险。

关键成果2：全球首次完成AS Path路径验证（ASPA）现网测试

ASPA是IETF提出的基于RPKI的路由路径验证方案，它可以通过密码学的方式进行路由路径验证，实现路由更新消息过滤，有效防止路由泄露事件发生。

本次试验通过对路由路径的测试，有效验证了ASPA的功能，证明了其在防止路径篡改以及避免流量绕行方面的先进性和准确性，实现路径劫持和路由泄露等安全风险防范的目标，同时，这也是ASPA新技术的全球首次现网试点。

面向未来，中国联通将持续发挥好网络安全现代产业链链长的主体支撑和融通带动作用，以此次试点验证成功案例为标杆，聚焦基础网络安全、互联网基础资源安全、数据安全、人工智能安全、网络安全攻防等重点方向，面向网络安全产业卡点难点问题，开展前沿技术研究和核心技术攻关，积极推进试点示范应用，打造繁荣发展的网络安全产业和可信的网络生态环境，为国家构建新安全格局贡献联通力量。（杨扬）