系列研究成果：RPKI签发和验证关键技术研究 

一、前言

边界网关协议（BGP）作为互联网域间路由的核心，因缺乏原生安全机制，长期面临误配置与恶意劫持风险。历史上如沃达丰路由泄露、Twitter前缀被劫持等事件，都严重威胁网络稳定与数字主权。路由安全的关键在于确保路由信息的完整性和真实性，资源公钥基础设施（RPKI）是全球主流的路由安全认证体系。RPKI利用公钥密码学构建信任链，通过资源证书和路由起源授权（ROA）将IP地址前缀与自治系统（AS）绑定，使路由器能实时验证路由起源合法性并过滤无效通告。

然而，现有RPKI实现仍存在权限边界模糊、路径验证缺失及部署评估片面等关键问题。本项“RPKI签发和验证关键技术研究”聚焦于此，旨在解决父级CA违规签发导致的竞争ROA隐患，探索基于ASPA的路径验证新机制，并构建多维度部署评估体系。

二、研究内容

本研究主要聚焦于三大核心领域：ROA签发限制的规范化、基于ASPA的路径验证机制以及多维度部署水平评估方法。

首先，针对RPKI信任模型中的权限模糊问题，深入剖析了父级认证机构（CA）在资源委托后继续签发ROA所引发的安全隐患。在RPKI层级结构中，父CA将资源委托给子CA后，操作控制权应完全转移。但部分实际允许父CA继续为已委托资源签发ROA，导致同一前缀出现多条有效ROA（竞争ROA），引发验证歧义和路由决策冲突，甚至可能被恶意利用进行大规模路由劫持。

其次，针对传统ROA仅能解决路由起源问题而无法有效检测路由泄漏和路径操纵的局限性，重点探讨了自治系统提供商授权（ASPA）对象在BGP AS_PATH验证中的应用。研究验证了基于“上坡道”和“下坡道”概念的路由路径核验算法，该算法补充了RPKI现有安全机制在路径层面安全防护的不足。

最后，针对现有评估主要依赖单一ROA签发率指标、难以全面反映实际防护效果的问题，本研究综述并扩展了RPKI部署水平评估框架。从权威DNS保护率、全球流量验证比例、顶级网站覆盖率以及网络运营商ROV过滤启用率等多个维度进行量化分析，揭示资源端签发与网络端验证之间存在的不平衡现象。

三、研究成果

本研究在理论规范、算法验证及评估体系构建方面取得了显著成果。

1.提出ROA签发限制的最佳当前实践（BCP）

研究团队向IETF提交了《Best Current Practice for ROA Issuance Restrictions in RPKI》（draft-zhang-sidrops-rpki-roa-bcp-01）草案。该草案确立了“最小权限”原则，明确规定父级CA不得为已委托给子CA的资源签发ROA，并要求CA软件和依赖方（RP）软件强制执行这一限制。具体建议包括：非叶CA签发ROA时应触发警告，推荐仅由叶CA签发；父CA若需为自己持有的非委托资源签发ROA，建议创建专用子CA以实现角色分离。模拟测试表明，严格执行该BCP可彻底消除竞争ROA场景，显著降低劫持风险并消除验证歧义。

2.构建并实测ASPA路径验证机制

研究深入解析了ASPA对象的注册规范与验证原理，验证了基于提供商授权函数的压缩路径核验算法。该算法通过计算路径中的最大/最小上坡道和下坡道长度，判断路由路径是否违反谷底自由原则。在实验室中搭建了包含Krill CA、Routinator验证器、RTRlib客户端及ExaBGP模拟器的端到端测试环境。实测结果显示，该机制能准确识别合法路径、路由泄漏及山谷违反路径，证明了其在生产环境中的可靠性。ASPA与ROA结合，成功构建起“起源+路径”双层防护体系。

3.建立多维度部署水平评估框架

突破了单一指标局限，构建起集成化评估框架。数据显示，虽然超过70%的权威DNS服务器和近80%的全球顶级网站已获得RPKI有效保护，但全球范围内实际启用ROV过滤的网络运营商比例仅为21.15%。这一发现揭示了基础设施层面部署成效显著，但网络侧验证启用率滞后的结构性矛盾，为后续政策制定和激励机制提供了科学依据。

四、总结

本研究在RPKI签发规范、路径验证技术及部署评估方法方面取得了突破性进展。主要创新点在于首次系统规范了ROA签发权限边界，验证了路径层面防护的技术可靠性，并建立了超越单一签发率的综合评估体系。这些成果为我国及全球RPKI体系规范化建设提供了重要的技术和决策依据。

作者简介：

张恒，中国互联网络信息中心高级工程师，主要研究方向为机器学习及网络安全等。

史磊，中国互联网络信息中心工程师，主要研究方向为网络安全

徐尧，中国互联网络信息中心工程师，主要研究方向为网络安全

邵连伟，中国互联网络信息中心工程师，主要研究方向为网络安全