简介

1.1 背景

1.1.1 技术起源

RPKI 的概念最早诞生于描述S-BGP方 案的论文中。S-BGP 提出了一种附加签名的 BGP 扩展消息格式，用以验证路由通告中 IP 地址前缀和传播路径上 AS 号之间的绑定关系，从而避免路由劫持。基于这样的设计，数字证书和签名机制被引入 BGP 范畴， 从而顺理成章地需要一套公钥基础设施（Public Key Infostructure，PKI）的支持。为验证路由通告签名者所持有的公钥，该签名者的 IP 地址分配上游为其签发证书。一方面验证其持有的公钥，另一方面验证该签名者对某个 IP 地址前缀的所有权。基于 IP 地址资源分配关系而形成的公钥证书体系，RPKI 的基本框架就此形成。

域名系统和域间路由系统作为互联网两大基础 性资源，对互联网的安全有着至关重要的影响。在域间路由系统层面，互联网社区则计划部署 RPKI 以期构建一个支撑域间路由安全的互联网基础资源管理体系。

1.1.2 自治系统和路由劫持

如上图所示，AS1 劫持了经过 AS2 通向IP地址前缀为218.113.28.10/15 的 AS5 的所有网络流量。

期望可以让某个 IP 地址的真正持有者能以明确、可验证的方式授权一个或者多个 AS 作为其地址的初始路由广播者，并且每个 AS 都可以获得该授权信息并进行验证，进而避免类似路由劫持的网络事故发生。

1.1.3 互联网号码资源分配架构

当前互联网管理策略允许 IP 地址的持有者自由决定将其所持有的 IP 地址授权（分配）给谁使用。RPKI 的主要功能也是为上述授权（分配）关系提供可以验证的密码服务。一个 RPKI 证书与一次 IP 地址分配相对应，一个 RPKI 子证书与一次 IP 地址子分配相对应，所以 RPKI 同样采用了如图1-3所示的树形图。

不过，在 RPKI 的树形分层体系中，AS号码的分配到了 NIR 这一级就终止了。

1.2 RPKI 概述

RPKI是由IETF安全域间路由工作组（Secure Inter-Domain Routing，SIDR）制定的一个专用的PKI框架。

RPKI广泛采用了由PKIX（Public Key Infrastructure using X.509）定义的X.509证书规范。为了更好地理解RPKI技术，建议本书的读者最好事先熟悉 “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”（RFC5280 (opens new window)）和 “X.509 Extensions for IP Addresses and AS Identifiers” （RFC3779 (opens new window)）里的条款。

1.2.1 RPKI 的三个核心组成

• 整体架构规范，这是保证 RPKI 系统正常运行的基础。

• 数字签名路由对象，直接为 IP/AS 分配提供密码验证服务。

• 分布式的资料库系统，用于存储 PKI 对象以及签名路由对象，供用户访问和使用。

1.2.2 工作原理

....

写不下去啦~类似于工具书，用到查就可以啦~