一、前言

邊界網(wǎng)關(guān)協(xié)議（BGP）作為互聯(lián)網(wǎng)域間路由的核心，因缺乏原生安全機(jī)制，長期面臨誤配置與惡意劫持風(fēng)險。歷史上如沃達(dá)豐路由泄露、Twitter前綴被劫持等事件，都嚴(yán)重威脅網(wǎng)絡(luò)穩(wěn)定與數(shù)字主權(quán)。路由安全的關(guān)鍵在于確保路由信息的完整性和真實性，資源公鑰基礎(chǔ)設(shè)施（RPKI）是全球主流的路由安全認(rèn)證體系。RPKI利用公鑰密碼學(xué)構(gòu)建信任鏈，通過資源證書和路由起源授權(quán)（ROA）將IP地址前綴與自治系統(tǒng)（AS）綁定，使路由器能實時驗證路由起源合法性并過濾無效通告。

然而，現(xiàn)有RPKI實現(xiàn)仍存在權(quán)限邊界模糊、路徑驗證缺失及部署評估片面等關(guān)鍵問題。本項“RPKI簽發(fā)和驗證關(guān)鍵技術(shù)研究”聚焦于此，旨在解決父級CA違規(guī)簽發(fā)導(dǎo)致的競爭ROA隱患，探索基于ASPA的路徑驗證新機(jī)制，并構(gòu)建多維度部署評估體系。

二、研究內(nèi)容

本研究主要聚焦于三大核心領(lǐng)域：ROA簽發(fā)限制的規(guī)范化、基于ASPA的路徑驗證機(jī)制以及多維度部署水平評估方法。

首先，針對RPKI信任模型中的權(quán)限模糊問題，深入剖析了父級認(rèn)證機(jī)構(gòu)（CA）在資源委托后繼續(xù)簽發(fā)ROA所引發(fā)的安全隱患。在RPKI層級結(jié)構(gòu)中，父CA將資源委托給子CA后，操作控制權(quán)應(yīng)完全轉(zhuǎn)移。但部分實際允許父CA繼續(xù)為已委托資源簽發(fā)ROA，導(dǎo)致同一前綴出現(xiàn)多條有效ROA（競爭ROA），引發(fā)驗證歧義和路由決策沖突，甚至可能被惡意利用進(jìn)行大規(guī)模路由劫持。

其次，針對傳統(tǒng)ROA僅能解決路由起源問題而無法有效檢測路由泄漏和路徑操縱的局限性，重點探討了自治系統(tǒng)提供商授權(quán)（ASPA）對象在BGP AS_PATH驗證中的應(yīng)用。研究驗證了基于“上坡道”和“下坡道”概念的路由路徑核驗算法，該算法補(bǔ)充了RPKI現(xiàn)有安全機(jī)制在路徑層面安全防護(hù)的不足。

最后，針對現(xiàn)有評估主要依賴單一ROA簽發(fā)率指標(biāo)、難以全面反映實際防護(hù)效果的問題，本研究綜述并擴(kuò)展了RPKI部署水平評估框架。從權(quán)威DNS保護(hù)率、全球流量驗證比例、頂級網(wǎng)站覆蓋率以及網(wǎng)絡(luò)運營商ROV過濾啟用率等多個維度進(jìn)行量化分析，揭示資源端簽發(fā)與網(wǎng)絡(luò)端驗證之間存在的不平衡現(xiàn)象。

三、研究成果

本研究在理論規(guī)范、算法驗證及評估體系構(gòu)建方面取得了顯著成果。

1.提出ROA簽發(fā)限制的最佳當(dāng)前實踐（BCP）

研究團(tuán)隊向IETF提交了《Best Current Practice for ROA Issuance Restrictions in RPKI》（draft-zhang-sidrops-rpki-roa-bcp-01）草案。該草案確立了“最小權(quán)限”原則，明確規(guī)定父級CA不得為已委托給子CA的資源簽發(fā)ROA，并要求CA軟件和依賴方（RP）軟件強(qiáng)制執(zhí)行這一限制。具體建議包括：非葉CA簽發(fā)ROA時應(yīng)觸發(fā)警告，推薦僅由葉CA簽發(fā)；父CA若需為自己持有的非委托資源簽發(fā)ROA，建議創(chuàng)建專用子CA以實現(xiàn)角色分離。模擬測試表明，嚴(yán)格執(zhí)行該BCP可徹底消除競爭ROA場景，顯著降低劫持風(fēng)險并消除驗證歧義。

2.構(gòu)建并實測ASPA路徑驗證機(jī)制

研究深入解析了ASPA對象的注冊規(guī)范與驗證原理，驗證了基于提供商授權(quán)函數(shù)的壓縮路徑核驗算法。該算法通過計算路徑中的最大/最小上坡道和下坡道長度，判斷路由路徑是否違反谷底自由原則。在實驗室中搭建了包含Krill CA、Routinator驗證器、RTRlib客戶端及ExaBGP模擬器的端到端測試環(huán)境。實測結(jié)果顯示，該機(jī)制能準(zhǔn)確識別合法路徑、路由泄漏及山谷違反路徑，證明了其在生產(chǎn)環(huán)境中的可靠性。ASPA與ROA結(jié)合，成功構(gòu)建起“起源+路徑”雙層防護(hù)體系。

3.建立多維度部署水平評估框架

突破了單一指標(biāo)局限，構(gòu)建起集成化評估框架。數(shù)據(jù)顯示，雖然超過70%的權(quán)威DNS服務(wù)器和近80%的全球頂級網(wǎng)站已獲得RPKI有效保護(hù)，但全球范圍內(nèi)實際啟用ROV過濾的網(wǎng)絡(luò)運營商比例僅為21.15%。這一發(fā)現(xiàn)揭示了基礎(chǔ)設(shè)施層面部署成效顯著，但網(wǎng)絡(luò)側(cè)驗證啟用率滯后的結(jié)構(gòu)性矛盾，為后續(xù)政策制定和激勵機(jī)制提供了科學(xué)依據(jù)。

四、總結(jié)

本研究在RPKI簽發(fā)規(guī)范、路徑驗證技術(shù)及部署評估方法方面取得了突破性進(jìn)展。主要創(chuàng)新點在于首次系統(tǒng)規(guī)范了ROA簽發(fā)權(quán)限邊界，驗證了路徑層面防護(hù)的技術(shù)可靠性，并建立了超越單一簽發(fā)率的綜合評估體系。這些成果為我國及全球RPKI體系規(guī)范化建設(shè)提供了重要的技術(shù)和決策依據(jù)。

作者簡介：

張恒，中國互聯(lián)網(wǎng)絡(luò)信息中心高級工程師，主要研究方向為機(jī)器學(xué)習(xí)及網(wǎng)絡(luò)安全等。

史磊，中國互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向為網(wǎng)絡(luò)安全

徐堯，中國互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向為網(wǎng)絡(luò)安全

邵連偉，中國互聯(lián)網(wǎng)絡(luò)信息中心工程師，主要研究方向為網(wǎng)絡(luò)安全