由于缺乏内建安全认证机制,边界网关协议(Border Gateway Protocol,BGP)容易遭受前缀劫持、路径伪造和路由泄露等异常路由攻击.互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)正是针对BGP协议这一缺陷而提出的安全解决方案,其技术框架的标准化工作已于2012年在IETF域间路由安全工作组完成,涵盖体系结构、操作模型、密钥算法、证书策略、业务管理等一系列RPKI运行关键环节.近年来,大型互联网服务提供商、内容提供商和互联网交换中心已逐步开启RPKI在全球范围内部署应用的进程,越来越多的互联网关键基础设施纳入RPKI认证范畴,基于RPKI保障域间路由安全已经成为互联网社群的共识.作为学术界的热点话题,针对RPKI的研究不断涌现,包括安全威胁模型的构建、安全保障体系的设计、数据传递环节的效率优化和部署应用的测量分析等等.本文首先概述了RPKI的发展历史和应用现状.然后,介绍了 RPKI体系及其生态系统,包括RPKI认证权威、RPKI依赖方和BGP域间路由系统三个组件,它们担任不同的角色且具有不同的作用,此外,详细统计了三者的软件实现和硬件支持情况.接着,梳理并归纳了 RPKI在接入网安全、域间路由安全、域间源地址安全和资源相关服务安全四个领域的具体应用.此外,本文从安全、效率和管理三个方面分析了 RPKI体系结构自身以及其部署应用过程中面临的问题和解决思路,结合近年来的应用态势,详细介绍了 RPKI的部署测量和数据分析方面的研究进展,以及RPKI的部署现状和原因分析,并提出了相应的部署建议.最后,本文讨论了 RPKI体系及其部署应用过程中亟需解决的问题和面临的挑战,并对未来研究方向进行了展望.

边界网关协议;域间路由安全;互联网码号资源公钥基础设施;IP地址;AS号

邹慧;马迪;邵晴;毛伟

中国科学院计算机网络信息中心 北京 100190;中国科学院大学 北京 100049;互联网域名系统北京市工程研究中心 北京 100190

计算机学报

[1]邹慧;马迪;邵晴;毛伟-.互联网码号资源公钥基础设施(RPKI)研究综述)[J].计算机学报,2022(05):1100-1132

域间路由安全

互联网码号资源公钥基础设施,RPKI,内建,建安,安全认证,边界网关协议,Border,Gateway,Protocol,BGP,前缀,劫持,伪造,Resource,Public,Key,Infrastructure,技术框架,标准化工作,已于,IETF,安全工作,工作组,体系结构,操作模型,密钥,业务管理,互联网服务,服务提供商,关键基础设施,社群,热点话题,安全威胁,安全保障体系,数据传递,效率优化,测量分析,域间路由系统,软件实现,接入网,源地址,资源相关,解决思路,应用态势,未来研究方向,AS

0.279702