难以替换

尽管在创建BGP的时候雷西特和劳菲德没有关注这一危险，至少有另外一名网络工程师确实很担忧。拉迪亚·帕尔曼，因另一个重要网络协议的发明而被尊称为“互联网之母”的女性，在1988年——雷西特和劳菲德拿出BGP的前一年，写了一份预言性的MIT博士论文。她预测，基于网络空间中邻近节点诚实性和准确度的协议，注定是不安全的。

她和其他几名批评家更中意给路由器绘制主要连接地图的选项——类似全球空中交通图的网络空间版。帕尔曼还倾向于使用密码学来验证网络的身份，限制潜在的欺骗，控制过失造成的破坏。

但BGP势不可挡。“人们一旦惯于使用，就特别难以替换了。”帕尔曼说道。她对研究其他更好解决方案的工程师们没能快速推出成品感到失望。“很不幸，其他研究小组没有感受到紧迫性。BGP那帮人首先部署了起来。”

雷西特和其他人一直在改进BGP，在1994年实现了该协议的最终版本。数据劫持已经开始发生，对更安全替代品的需求开始显现，但数年的工作都没能产出任何一个能取代BGP的产品。

与雷西特一起改良BGP的工程师托尼·李说：“所有这些提案都未能实现。”

对BGP固有安全风险的关注，在2001年911恐怖袭击之后开始上升。互联网创立最主要的架构师，计算机科学家温顿·赛弗，连同另一名网络先锋史蒂芬·肯特，敦促联邦政府采取行动。他们在白宫旁的艾森豪威尔办公厅，面见了小布什总统的网络安全特别顾问理查德·克拉克。

克拉克很快召集行业高管展开商讨，希望能拿出具体行动方案，但他们没能感受到赛弗和肯特的那种紧迫感。历经多年，进展寥寥。

肯特回忆道：“他们基本上就是在说，‘不是什么大问题’。我们尝试了，人们不买账啊。”

克拉克在最近的访谈中称，他对科技行业的傲慢冷漠回应毫不惊讶。他在早前几年就被波士顿著名黑客组织L0pht秘密告知了BGP的风险性，该黑客组织曾尖锐警告联邦官方互联网超级不安全。

这使得克拉克向其他白宫官员和业内巨头传达了对BGP的担忧。在他2008年出的书《政府让你们失望了》中，他描述了与某业内高管的会谈场景：当克拉克追问BGP风险时，这位高管甚至请他将该协议的名称写到纸上。

克拉克在书中记叙了该高管的话：“我感觉从未听闻过这个东西。不过既然你说存在有影响到我们路由器的漏洞，我会去核实一下的。”

克拉克在书中表达了自己的惊讶：生产使用了BGP的产品，并因此获利数十亿元的大公司的高管，竟然没听说BGP？克拉克并未在书中暴露该高管的名字。

不过，在《华盛顿邮报》的一次采访中，克拉克透露称那次会面的对象是约翰·钱伯斯——当时全球最值钱公司思科公司的首席执行官。思科同时也是用BGP通信的路由器市场上具统治地位的公司。

思科对此未发表任何评论。

1989年，雅科夫·雷西特和科克·劳菲德在3张餐巾上起草出了在互联网上路由数据的方案。昵称“3张餐巾协议”，官方名称边界网关协议(BGP)的东西，原本只是为了救急，却至今仍在导引着网络空间中的数据流动。雷西特对这些草图的重造可在此看出。

 

　　没人愿意为安全买单

业界怀疑论根植于安全无益业务这一想法。没人喜欢被黑，但公司在法律上无须为此担责。相反，防护措施却有成本相伴，比如功能受限、性能拖慢、配件或软件价格上涨等等，没人喜欢承受这些开销。

前网络硬件制造商3Com创始人罗伯特·梅特卡夫就曾说，尝试了诸如内置加密之类附加安全功能的产品的公司，发现在有其他更便宜更好用的选择的情况下，客户对这些附加了安全功能的产品没什么兴趣。

“没人想买安全版。我们做了，也卖了，但无人问津。”

2010年4月美国军方流量途径北京之后，修复BGP的步伐就加快了。主要推动力来自于国土安全部(DHS)，2010-2014年间投入了800万美元，用于开发和部署安全BGP技术。“这是我们在加强每个人都在使用的核心互联网服务整体安全上所做出的持续努力中的一部分。”DHS发言人称。

迈向更好BGP安全的第一步，是网络安全密钥新系统，能在网络空间中验证路由器身份，明确日常负责处理哪些网络的流量导引工作。

一旦此类系统就位，巴基斯坦互联网提供商收获所有YouTube流量的事就难以发生了。路由器将直接忽略错误的BGP消息，得出这些消息有误不用理会的结论。

但让网络运营者参与进来已被证明很难。很多已经应用过滤技术来限制对错误BGP消息的暴露面。该方法只能提供部分防护，但比使用密钥要简单得多。很多网络运营者对采取进一步措施，比如采用安全的新路由协议BGPSEC代替BGP，十分冷漠。

很多网络工程师称，即便经历了1/4个世纪遭遇了无数的劫持，BGP依然值得称颂——因为其成功远大于失败。它帮助互联网成为真正全球性的、无缝的、改变世界的通信技术，没有任何超越一切的机构能够规定谁能用怎么用。

这种对互联网而言比任何一个协议都更基本的分散决策方式，还意味着安全改善需要由网络、站点运营者、用户做出的很多个人行为。每一个都得衡量改变的价值，然后选择继续还是放弃。

现已退休的雷西特说：“做安全就会有相应的代价。问题在于：谁来支付？除非网络运营者能看出安全收益通常都会比支出要大，否则他们不会做任何动作。”

劳菲德也是个怀疑论者。“如果安全的缺失会对业务造成巨大损失，很多人都会对问题的修复感兴趣的。在这一点上，人们会扫清障碍，保持比坏人领先一步。”

实现新BGP安全措施的热心程度，全球各地是不一样的。在欧洲和中东，约9%的网络已经迈出了采纳密钥在网络空间中标识自身的第一步。拉丁美洲做得更好，24%的网络采纳了密钥。北美洲和非洲做得差得多，只有不到1%。全球总体来看，包括亚洲，约为5%。

目标自然是100%。没人知道这一过程会要多久。

波士顿大学计算机科学副教授，专研路由安全问题的沙朗·戈德伯格说：“看到5%这个数字你可能会发笑，但你知道需要做多少工作才走到这一步吗？”

对于完全部署要花多久的问题，她坦率地说：“5年，10年，还是20年，我不知道。”

目前为止——在帕尔曼、贝罗文、肯特、克拉克和其他很多人多年警告之后，或许最有说服力的统计数据，就是加密网络密钥新系统保护下的互联网流量百分比：0。

(责任编辑：安博涛)