1. Защо PGP няма потвърждение за произход

БГП е проектирана за кооперация в интернет, където на всички участници се вярва. Рутерът приема съобщение UPDATE и го разпространява без криптографска проверка, че с произход от АС действително е разрешено да обяви тези IP настройки. Това означава, че всеки AS чрез погрешно конфигуриране или злоба може да обяви нечии други представки, и това съобщение може да се разпространи в световен мащаб в рамките на минути.

Забележителни инциденти, които ускориха приемането на RPKI:

  • През 2008 г.
  • През 2010 г.
  • Дата на влизане в сила на настоящото споразумение
  • 2019 г. - Европейско движение през Китай Телеком:

2. RPKI Trust Hierarchy

RPKI () изгражда йерархия на X.509 сертификати, които отразяват как се делегира IP адресното пространство:

  1. ИАНА
  2. RIR
  3. ЧленовеОторизации за произхода на маршрута

Проверяващите изтеглят тази подписана йерархия на обектите от пет RIR регистъра (плюс всички делегирани регистри), валидират веригата на сертификатите и изграждат валидирана таблица за полезен товар на ROA (VRP). Routers след това запитване на местен RPKI кеш през () да получите тази таблица и да извърши валидиране на произхода на входящи PGP UPDATEs.

3. Упълномощаване на произхода на маршрута (ROAs)

ROA () е подписан обект, съдържащ три полета:

  • ASN
  • Представка
  • maxLength
Макс Ленгт е често срещан вектор за неопровержение.

Един ROA може да разреши множество представки за същия ASN, но един ROA не може да разреши множество ASN-та за една префиксация. За да се даде възможност на вторичен ASN (напр. доставчик на транзит или CDN) да произлезе от вашата представка, създайте отделна ROA за този ASN.

4. Утвърждаване на държавите

Когато рутер получи PGP UPDATE, той извършва валидиране на произхода () срещу местната маса на VRP:

ДържаваСъстояниеТипично локално референтно лечение
ВалиденНай-малко един ROA покрива представката (представка годна за представка и представка за дължина ≤ maxLength) И ASN на ROA съвпада с произхода на PGP UPDATE ASN+20 или предпочитани (чести)
НевалиденПоне един ROA покрива представката, но без покритие ROA има съвпадение ASN и maxLength ≥ обявената дължина на представкатаЗадаване на локална преф 0 или капка (оператор избор; RFC 6811 препоръчва позволява, но маркиране)
NotFoundНе съществува ROA, която покрива обявената представкаНепроменена (използвана както преди RPKI)

Ключовата идея: е по-силно доказателство за проблем, отколкото Неоткрито означава, че собственикът на представката още не е създал роа. Невалидно означава, че съществува ROA, която казва, че ASN е Това е силен сигнал за неубедително или отвличане.

5. Протоколът RTR

Маршрутите не утвърждават X.509 сертификационните вериги сами по себе си, което би било изчислително скъпо и изисква запазване на пълен кеш. Вместо това, посветен (Routinator, OctoRPKI, Fort, rpki-client) изтегля и утвърждава пълния регистър на RPKI и изнася само получените валидни товари на ROA (VRP) към рутери чрез RTR протокол ().

RTR използва TCP (определяно от IANA порт 323; валидатори като Рутинатор по подразбиране до порт 3323, за да се избегне изискване за права на корена) с допълнителен механизъм за синхронизиране: валидатора изпраща серийни номера, а рутерите искат само делтата след последния им синхронизиране. Това поддържа честотната лента ниска дори за големи VRP таблици (понастоящем ~400,000+ IPv4 влиза в световен мащаб).

6. Разположение и статистика

От началото на 2026 г. разполагането на RPKI достигна значителен мащаб:

  • Над 50% от глобално пренасочените IPv4 представки имат поне една покриваща ROA (от ~10% през 2019 г.).
  • По-голямата част от Tier-1 и Tier-2 ISP вече извършват валидиране на Route Origin и спадане или премахване на невалидни маршрути.
  • MANRS (Нормите, които са договорени за Рутинг Секюрити) изисква създаването на RPKI ROA като предпоставка за членство и публикува табло за съответствие на AS.

Статистика на живо: , , .

7. отвъд ROV: ASPA и PGPSec

RPKI Route Origin валидация само потвърждава, че е упълномощен да обяви представката. Той не утвърждава AS PATH . . . Два стандарта на ETF се отнасят до това:

Позоваванията