1. BGP為什麼沒有原生地?
BGP被設計為合作網路, 有路由器接受 UPDATE 訊息, 在沒有加密驗證下傳出, 任何AS能以相當相當相當相當相當相當相當相當相當相當相關,
有相關相關事件:
- 2008年-巴基斯坦电信:
- 2010年-中通:
- 2018年-亞馬遜地道53 DNS劫機:
- 2019年-歐洲通路改道:
2. RPKI信托分级
(RPKI:以 X. 509 憑證建立分級 :
- 伊万
- RIRs (正弦)
- 成員路由來源授權
驗證者從相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相關相 路由器再取取取地用 RPKI 快取 (一)在接取的 BGP UpDate 上得到此表并執行來源驗證 。
3. 路由出自批准
(一作一作一.)是一已簽署的物件,有三個字段:
- ASN (ASN)
- 前缀
- 最大
單一 ROA能為同一個 ASN 授權多個前缀, 但一 ROA能為同一個前缀授權多個 ASN. 要讓次要的 ASN (例如中轉提供商或 CDN) 發出您的前缀, 为 ASN 建立相隔的 ROA 。
4. 审定
有路由器接取了 BGP UPDATE后, 它會執行由來源驗證 (:相對于地上 VRP:
| 狀態 | 條件 | 三. 典型的本地优先待遇 |
|---|---|---|
| 有效 | 至少一個 ROA 有前缀 (前缀 * * * ROA前缀和前缀長 * * * maxLength) 和 RA 的 ASN相匹配 BGP UPDATE 出自 ASN | +20 或首選 (通用) |
| 不合法 | 至少一個 ROA 有前置字串, 但是沒有 ROA 有相匹配的 ASN 有 maxLength 的 前置字串 | 設定本地 Pref 0 (操作者選取; RFC 6811 建議允許但可標出) |
| 有分 | 在已宣布的前缀上不存在 ROA | (同RPKI相接相接) |
有重要洞察力: 有更強的證據能證明出出出問題了 就指前缀所有者尚未建立ROA了 無效地表示有 ROA 表示此 ASN 是 有權有權 有權有權 有權有權有權 有權有權有權 有權有權有權 有權有權有權 有權有權有權有權 有權有權有權有權 有權有權有權有權 有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權有權 有權有權有權有權有權有權有權有權有權 有權有權有權有權有權有權 有權有權有權有權有權有權有權 有權有權有權有權有權有權有權有權有權有權有權有權 有權有權有權有權有權有權有權有權 有權有權有權有權有權 有權 有權有權有權有權有權有權有權有權有權 有權有權 有權有權有權 有權有權有權有權
5. 《RTR议定书》
路由器不驗證 X. 509 憑證鏈本身- 在計算上會很貴并需要保留完整的 RPKI 快取 。 而取而代之的是一分一分 (Routinator, OctoRPKI, Fort, rpki- Client)下載并驗證了完整的RPKI寄存器,再由 RTR 協定將所產生的已驗證的ROA活取量( VRPs) 匯出到路由器 (RTR ) (RTR 協議)).
RTR 使用 TCP( IANA- signed port 323; 如 Routinator 預設端口 3323 等驗證器以避免需要 root 權限 ) 有增量同步機制: 驗證器會傳出序列號, 而路由器自上次同步起只要求三角洲 。 就相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相當相等相當相當相相當相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相相 IPv4全球条目).
6. 部署和统计
截至2026年初,RPKI已部署到相當规模:
- 有超過50%的全球路由IPv4前缀有至少一個覆盖ROA(由2019年的~10%起上).
- 第1及第2級ISP多數已執行路由驗證,
- 要求RPKI ROA的建立是入會的前提并出出出出一款相符合的相關標準。
有生計數據: , , 有活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活活
7. 在ROV外:ASPA和BGPsec
RPKI 路由來源驗證只驗證 有權宣布前缀。 它不能證實 AS PATH-攻擊者仍能以 AS-PATH 的 合法來源建構出假相。 有兩項 IETF 標準可以處理:
- BGPsec 相機RFC 8205
- 阿拉伯草稿- itf- siprots- aspa- profile