Page 469 - 《软件学报》2026年第1期
P. 469
466 软件学报 2026 年第 37 卷第 1 期
1.2 RPKI 技术架构
RPKI 以 PKI 体系为基础建立了层级化的互联网号码资源授权体系, 使得互联网号码资源授权关系可通过密
码学验证. 图 1 给出了 RPKI 的架构图, 在 RPKI 体系中 5 大 RIR (APNIC、ARIN、RIPE NCC、AFRINIC 和
LACNIC) 作为信任锚点, 担任根 CA 的职能. 国家互联网注册机构 (national Internet register, NIR)、本地互联网注
册机构 (local Internet register, LIR) 和互联网服务提供商 (Internet service provider, ISP) 等网络组织担任层级 CA 的
职能, 为下级组织授权互联网号码资源的同时颁发 RC 认证. 资源拥有者可使用 RC 签发 IP 前缀和起源 AS 映射
的密码学断言, 即 ROA, 保护路由起源安全. 路由参与者可以利用有效 ROA 来过滤与 ROA 不相符的路由来保护
流量不被劫持.
RPKI 资源认证体系
5大 RIR
RIPE NCC ARIN LACNIC AFRINIC APNIC
LIR NIR
ISP ISP
AS 2
AS 1
RPKI对象存储发布体系
RIPE NCC ARIN LACNIC AFRINIC APNIC 其他资料库
资料库 资料库 资料库 资料库 资料库
RPKI 对象同步与验证
RP
根证书 上传
rsync/RRDP
证书 RTR
BGP 路由器
ROA
图 1 RPKI 架构图
RPKI 使用分布式资料库管理、存储、发布 RC 和 ROA 等 RPKI 对象, RPKI 允许两种模式的资料库——托
管模式 (hosted model) 和授权模式 (delegated model). 在托管模式中, CA 将自己的 RC 和 ROA 委托给 RIR 存储和
管理, 采用托管模式的 ISP 不需要自己部署维护 CA, 这对大多数缺少密码学经验的 ISP 来说节省了很多部署开
销, 目前大多 ISP 选择托管资料库. 在授权模式中, CA 管理与发布分离, ISP 部署运营自己的 CA, 自主管理 RC 和
ROA, ISP 可以选择自己建立资料库 PP 或者委托给第三方如云服务提供商, 以提供更好的网络连接服务.
● ROA. ROA 是记录 IP-AS 映射关系的签名对象, 语义上表示 AS 可以在 BGP 中作为起源 AS 声明的 IP 前
