構建可擴展的RPKI依賴方系統部署機制

馬迪/MA Di

（互聯網域名系統國家地方聯合工程研究中心，中國 北京 100102 ）

1 研究背景

自2012年國際互聯網工程任務組（IETF1）完成基礎協議的標準化工作以來，歷經國際互聯網體系結構委員會（IAB2） 的背書[1]以及國際互聯網路由安全自律協定（MANRS3）項目面向全球網絡運行機構的推廣倡議，互聯網碼號資源公鑰基礎設施（RPKI）已成為解決當前互聯網域間路由安全問題的技術路線共識。RPKI 的理念肇始于互聯網安全協議專家S. KENT 博士的論文[2]，并通過對傳統的基于X.509公鑰基礎設施進行擴展[3]，進入到IETF的工業標準體系。

RPKI 的部署和運行是一個復雜的系統工程，需要網絡運行機構（網絡運營商、互聯網交換中心、內容分發網絡服務商等）、RPKI 數據服務機構（互聯網IP 地址注冊機構、RPKI 依賴方系統服務商等）以及路由器制造商等角色的配合和協調。其中，RPKI依賴方（RP）系統充當了地址管理系統和路由控制系統之間RPKI 數據傳遞的橋梁，是連接RPKI數據供給側和RPKI數據需求側的RPKI生態關鍵環節。

RPKI 依賴方系統的部署，涉及網絡運行機構的路由控制策略、安全保障策略和地址分配策略，需要統籌網絡規模、拓撲結構、互聯互通策略以及地址資源分配格局等要素。這些要素會因應業務和技術的演進而隨之變化。設計一個既可以處理RPKI依賴方系統功能訴求的“普遍性”問題，又能兼顧具體網絡（及其變化）“特殊性”問題的可擴展部署機制，是RPKI 技術在網絡運營商、互聯網交換中心等網絡運行機構落地應用的關鍵。

2 RPKI原理簡介

RPKI 是一種公鑰證書基礎設施。基于當前全球的互聯網碼號資源分配關系，RPKI 構建了一個面向IP地址及互聯網自治系統（AS）號碼的授權認證體系，并以X.509 證書擴展及若干簽名對象的形式加以呈現。如圖1 所示，RPKI 體系中的碼號資源分配者在分配資源的同時，為下游節點簽發資源證書（基于X.509 證書的擴展）。依托RPKI 提供的認證功能，互聯網碼號資源（IP 地址及AS 號碼）的最終用戶單位（資源持有者）通過簽發相關數據對象，來完成路由通告相關信息的發布（例如路由起源授權等）。作為RPKI認證體系的依賴方，參與域間路由交互的網絡運行機構（例如網絡運營商、互聯網交換中心等）定期從RPKI 資料庫系統（基于碼號資源分配關系組織起來的分布式數據存儲體系）同步資源證書以及包括各類基于RPKI 的數據對象，并將經過驗證的信息推送給邊界路由器，供其在接收路由通告時進行真偽判斷。

▲圖1 RPKI的工作原理

概括地講，RPKI 生態有3個組成部分：RPKI 供給側、RPKI 依賴方、RPKI 需求側。如圖2 所示，RPKI 供給側包含全球分布的RPKI 認證中心（CA）以及用于存儲RPKI資源證書和各類RPKI數據對象的分布式RPKI資料庫系統。RPKI需求側是當前互聯網的域間路由系統，由部署在不同網絡自治域的邊界網關協議（BGP）路由器組成。RPKI 依賴方是連接“供給”和“需求”的橋梁，負責收集RPKI 供給側產生的數據并加以驗證后交付給RPKI需求側參考使用。

▲圖2 RPKI的生態結構

RPKI 數據盡可能快速、完整、準確地從供給側擴散至需求側的關鍵在于RPKI 依賴方。全盤考察RPKI 的運行機制，并結合相關RPKI 依賴方系統的運行實踐，筆者歸納了影響RPKI依賴方系統效能的4對矛盾：

矛盾1：RPKI資料庫（發布點）越來越多，與實時感知全球RPKI數據更新情況之間的矛盾；

矛盾2：RPKI數據對象數量越來越多，與快速同步全球RPKI數據之間的矛盾；

矛盾3：RPKI 數據授權鏈（深度和廣度）越來越復雜，和快速構建全球RPKI數據認證路徑之間的矛盾；

矛盾4：RPKI依賴方系統集中化趨勢（遠離網絡邊緣），和路由器快速獲得RPKI認證數據之間的矛盾。

以上矛盾既有在“RPKI 基本原理范疇”的普遍性，又有在“網絡互聯互通特征范疇”的特殊性，因此需要構建一個能夠因應網絡規模和信任模型變化而靈活調整的可擴展RPKI 依賴方系統部署機制。該機制映射至解決方案層面，即RPKI 依賴方系統應當有哪些組件，組件如何在網絡上分布及以何種邏輯關系進行分布。

3 RPKI依賴方系統組件的功能解耦機制

可擴展RPKI依賴方系統部署機制在“RPKI基本原理范疇”的首要任務是，通過對RPKI 依賴方系統核心功能實施解耦，形成彼此“正交”的RPKI 依賴方系統的組件布局。按此原則，基于IETF RFC8897[4]，筆者從工程實踐的角度梳理了RPKI 依賴方系統在理論上的最低技術要求，包括：同步RPKI 資料庫的數據、處理RPKI 資源證書、處理RPKI 數據簽名對象、分發驗證過的RPKI認證信息以及本地化控制。一個具備IETF RFC8897所列舉功能的系統，可以稱為RPKI依賴方系統。

RPKI 依賴方系統在全球各個網絡內的部署已逾10 年，形成了一些運行實踐和討論。筆者在起草IETF 標準和進行RPKI系統設計的工作中，有兩點體會：在部署層面，RPKI依賴方系統的功能仍需要進一步模塊化（正交化）；在運行層面，IETF RFC8897 所列舉的功能無法滿足商用路由控制系統對RPKI依賴方系統的需求。為此，構建可擴展的RPKI依賴方系統的第一步是將其核心功能模塊化，并給出各個模塊彼此解耦之后的邏輯關系（接口關系）。圖3 是筆者對RPKI依賴方系統的設計思考和建議。

▲圖3 RPKI依賴方系統組件

1）更新感知系統

將“更新感知”功能同“數據同步”功能進行解耦，是互聯網內容分發范疇常見的工程設計思路。當這一思路被應用到RPKI體系時，更新感知系統便成為了一個獨立的RPKI依賴方系統組件。該系統采用實時或不定時的方式獲得RPKI資料庫（RPKI數據發布點）的數據更新情況，并將這些更新信息傳遞給數據同步系統。

2）數據同步系統

數據同步系統以“全量”或“增量”的方式，將RPKI資料庫內發布的各類RPKI資源證書及RPKI數字簽名對象下載到本地網絡，以形成與RPKI 資料庫一致的且具有一定時效的數據副本。在當前的RPKI 生態中，數據同步系統和RPKI資料庫之間的接口已經在IETF形成標準[5]。

3）數據驗證系統

數據驗證系統先后對相關證書及數據簽名對象進行語法檢查和RPKI 邏輯驗證。其中，語法檢查包括檢查相關數據格式是否符合技術標準、是否在有效期內等，RPKI 邏輯驗證包括驗證PKI數字簽名、驗證相關的互聯網碼號資源包含關系[6]以及其他與RPKI 授權體系相關的邏輯驗證等。

4）數據分析系統

RPKI 是一個分布式系統，因此位于不同RPKI 授權體系子樹上的數據可能存在沖突關系（碼號資源分配、授權信息等）。數據分析系統旨在根據一定的算法，輔之以WHOIS 數據、BGP 廣播存檔數據等帶外數據，對潛在的沖突關系進行檢測，給出可能的（本地化）修正方案，并輸出至本地控制系統。

5）本地控制系統

出于網絡管理和安全保障的需求，網絡運行機構可能希望以“本地過濾和添加”的形式建立RPKI 路由認證數據的本地視圖，對來自全球RPKI 的數據進行覆蓋。本地控制系統對“驗證緩存”直接進行操作，增加或刪減相關的路由認證數據條目。工業界將這種操作稱為RPKI 本地化控制（SLURM）。SLURM配置文件格式已經在IETF形成標準[7]。

6）數據分發系統

經過驗證并最終可以供給路由器進行RPKI 路由認證的數據稱為“驗證緩存”。基于“主從模型”，數據分發系統將“驗證緩存”從一個網絡節點分發至其他一個或多個有信任關系的網絡節點，實現RPKI 驗證數據的共享。對于數據分發系統，RPKI 意義上的數字簽名已不復存在，其完整性依賴于傳輸信道（如超文本傳輸安全協議）。

7）路由器對接系統

RPKI 供給側形成的路由認證數據，通過同步、驗證、分發、本地化處理，最終形成副本，然后經路由器對接系統，注入至BGP 路由器。基于“客戶端-服務器”操作模型，維護“驗證緩存”的網絡節點充當服務器，同時路由器充當客戶端。兩者之間的通信由一種RTR 的IETF 標準化協議承載[8]。

4 RPKI依賴方系統組件在規模網絡上的編排機制

基于RPKI 依賴方系統核心組件的解耦機制，本節探討可擴展RPKI 依賴方系統部署機制在“網絡互聯互通特征范疇”的特殊性，就如何將相關組件編排在網絡運行機構所管理的云和網的不同位置，設計一個能夠適配各類規模網絡（骨干網運營商、互聯網交換中心、內容分發網絡服務商等）的RPKI依賴方系統組件部署機制（框架）。

針對前文所述RPKI 依賴方系統的4 對矛盾，面向一個規模網絡的一般特征，筆者建議在RPKI 依賴方系統的組件顆粒度上展開相關設計，包括：一個RPKI 依賴方系統北向分布式節點群組、一個RPKI 依賴系統方南向分布式節點群組和一個RPKI 依賴方系統主控中心。如圖4 所示，北向分布式節點群組面向RPKI供給側，從分布式的RPKI資料庫獲取RPKI 原始數據，包含RPKI 更新感知節點和RPKI 數據同步節點；南向分布式節點群組面向RPKI 需求側，將驗證過的RPKI 路由認證數據分發給分布式網絡的邊界路由器，即RPKI數據分發節點的集合；主控中心負責RPKI數據的驗證和其他綜合處理任務，包含RPKI更新匯聚節點、RPKI邏輯驗證節點、RPKI本地管理節點、RPKI數據分析節點等。

▲圖4 規模網絡上的RPKI依賴方系統組件部署示例

RPKI 依賴方系統的各個組件在該架構下的部署機制如下：

1）更新感知系統

鑒于RPKI 資料庫的全球分布特征，更新感知系統相應地采用分布式的更新獲取方法。該系統擁有“更新感知模塊”和“更新匯聚模塊”。前者部署在分布式的“更新感知節點”之上。全體“更新感知節點”按照一定的編排算法各自分工，完成對RPKI 資料庫的遍歷，并傳遞給負責整合更新信息的“更新匯聚節點”。“更新匯聚節點”再將更新信息傳遞至數據同步系統。

全球大型運營商（例如Tier 1 ISP）或頭部流量的互聯網交換中心，可以考慮將更新感知系統的尋址信息（域名、IP地址等）和接口方式公布出去，供相關的RPKI 發布點主動推送更新信息。

2）數據同步系統

面向全球RPKI 資料庫的分布特征，數據同步系統也采用分布式的部署形態，根據一定的編排算法，將同步任務分散至不同的“數據同步節點”。“更新匯聚節點”負責運行該編排算法，在統籌更新任務來源、同步節點數量、同步節點分布位置等要素的前提下，實現同步任務的動態分配。多個“數據同步節點”的分布采用和“更新感知節點”類似的策略。

3）數據驗證系統

面向RPKI 的數據驗證系統的核心是建立數據對象之間的關聯，包括經典公鑰基礎設施（PKI）體系下的數字簽名驗證路徑構建，以及RPKI 特有的碼號資源包含關系驗證。這種“關聯性”的驗證任務（證書路徑驗證、資源包含關系驗證）由數據驗證系統的RPKI 邏輯驗證模塊負責。該模塊站在全局視角，以集中化的方式對來自不同“數據同步節點”的合規數據進行綜合處理，并以“RPKI邏輯驗證節點”的形式部署在網絡運行機構的網運中心（NOC）。數據驗證系統的語法檢查模塊不涉及對數據關聯性的驗證，可以部署在“數據同步節點”之上，對相關數據進行語法合規檢查，實現“邊同步，邊語法檢查”的高效機制。合規數據會匯聚至“RPKI邏輯驗證節點”。

4）數據分析系統

數據分析系統承擔的是RPKI 數據同步、驗證等任務之外的旁路功能，宜獨立部署在專用的RPKI 數據分析節點之中。

5）本地控制系統

本地控制系統將連同其他一些面向RPKI 的互聯網碼號資源本地管理支撐系統（可視化、運行監控等），部署在專用的RPKI本地管理節點之中。

6）數據分發系統

鑒于數據分發系統的核心任務是將RPKI 驗證緩存從集中管理的RPKI 依賴方系統主控節點分發至分布式部署的路由控制系統，其部署節點宜根據網絡運行機構所轄自治域的數量和管理機制進行規劃，以方便BGP 邊界路由器在就近獲取RPKI 驗證緩存的同時，在網絡運行機構的網絡管理邊界之內形成一致的RPKI 數據視圖。數據分發系統部署在數據分發節點之上，并根據該系統所定義的“主從模型”使相關節點（“分發服務器模塊” 與“分發客戶端模塊”）形成一個有序的數據共享體系。

7）路由器對接系統

路由器對接系統部署在面向路由器服務的末梢數據分發節點之上。

RPKI 依賴方系統主控中心可部署在網絡運行機構的NOC 之中。北向分布式節點群組的節點數量和分布規則，可結合網絡拓撲以及去RPKI 資料庫之“遠近”（路由及尋址）情況量體裁衣。南向分布式節點群組的節點數量和分布規則，可參考網絡運行機構的網絡互聯互通情況和管理機制進行規劃設計。

5 總結與展望

RPKI 依賴方系統連接RPKI 供給側和RPKI 需求側，是各類網絡運行機構開展RPKI 應用實踐的一個關鍵環節。RPKI依賴方系統的研發和部署，既需要關注RPKI核心功能的“普遍性”問題，又需要兼顧網絡互聯互通特征的“特殊性”問題。相關解決方案需要考慮RPKI 依賴方系統有哪些組件，各個組件如何在網絡上分布，以及以何種邏輯關系分布。因此，各類網絡運行機構使用RPKI 依賴方系統實施路由認證，不僅是簡單的軟硬件集成，更需要設計能夠“因地制宜”涵蓋功能編排、部署方法及運行機制的一攬子解決方案。

面向RPKI 依賴方系統的核心功能，本文梳理了影響RPKI 依賴方系統運行效能的4 對矛盾，并提出了一種可擴展的RPKI 依賴方系統部署機制，包含軟件層面的解耦機制和硬件層面的部署機制。本文相關論述是對RPKI 依賴方系統在規模網絡運行機構內進行服務模式設計的宏觀思考。骨干網運營商、CDN 服務商和互聯網交換中心，在互聯互通格局和碼號資源管理等范疇具有不同特征。面向這些特征，探索如何在現有網絡運維管理系統上增量部署RPKI 依賴方系統組件以及對應的運行機制，是RPKI 路由認證領域下一步值得深入研究的問題。