Page 479 - 《软件学报》2026年第1期
P. 479
476 软件学报 2026 年第 37 卷第 1 期
近年来的测量工作针对 RPKI 基础设施展开, 这些测量工作按照支撑的 RPKI 功能可分为两类: 1) 资源认证与数
据发布; 2) 数据同步与验证.
APNIC ARIN RIPE AFRINIC LACNIC
APNIC 域名解析
资料库 域名服务器
RC RC
NIR LIR
ARIN
资料库 域名服务器 ··· 解析器
BGP 路由器
PP 域名解析
AFRINIC
RC RC
资料库 域名服务器
rsync/RRDP RTR
ISP ISP 数据 数据 数据
RIPE 同步 验证 传输 BGP 路由器
资料库 域名服务器 模块 模块 模块
RPKI 对象 有效 ROA 负载
ROA RC 依赖方
LACNIC
ISP
资料库 域名服务器
···
其他
ROA 资料库 域名服务器
···
资源认证 RPKI 数据发布 数据同步与验证
图 5 RPKI 系统基础设施
4.1 资源认证与数据发布
支撑资源认证与数据发布功能的 RPKI 基础设施主要是 CA 和 RPKI 资料库. CA 负责认证互联网码号资源并
签署对应的 RC、ROA 等 RPKI 对象. 资料库负责存储、公开 CA 签发的 RPKI 对象. 现有的 RPKI CA 软件集成
了 CA 和资料库的功能, 目前公开的 CA 软件有 Krill 和 rpki.net [69] , 见表 7. 此外, 域名服务器负责存储 RPKI 资料
库的域名记录. 本节的测量工作可分为 CA 操作延迟测量和资料库部署弹性测量两类.
表 7 RPKI CA 软件总结
名称 开发语言 开发团队 状态
Krill Rust NLnet Labs 仍在维护
rpki.net Python Dragon Research Labs 停止维护
● 操作延迟测量: Fontugne 等人 [70] 测量了 5 个 RIR 在进行 IPv4/IPv6 资源签署、发布以及撤销 ROA 等操作
的延迟, 延迟中位数结果见表 8. 测量发现 APNIC 的 CA 每 20 min 对用户的创建、删除请求进行批量处理, 其他
4 个 RIR 在收到用户的创建或删除请求后立即执行, 因此 APNIC 签署和撤销 ROA 的操作相较于其他 RIR 有 10 min
的平均延迟. ARIN 和 LACNIC 设置的 ROA 签名时间晚于实际发布时间使得 ROA 在发布一段时间内无法通过有
效性验证, 导致测量的 ROA 发布时间偏长, ARIN 之后修复了这个问题.
表 8 各 RIR 对 ROA 的操作时延 (IPv4/IPv6) [70] (min)
RIR 签署ROA 发布ROA 撤销ROA
AFRINIC 0/0 3/2 0/0
APNIC 10/13 4/3 10/12
LACNIC 0/0 54/32 0/0
RIPE NCC 0/0 4/4 0/0
ARIN -/- 8/9 0/0
