提升網際網路路由安全:RPKI 架構的韌性設計解析
隨著全球網際網路基礎建設面臨日益複雜的資安挑戰,資源公鑰基礎設施(Resource Public Key Infrastructure,簡稱 RPKI)成為保障 BGP 路由安全的重要機制。本文內容將探討 RPKI 架構在可用性、效能與抗故障能力方面的設計與實務,並分析其與 DNS 系統在基礎架構運作邏輯上的差異。
RPKI 是什麼?
RPKI 是一種基於 X.509 憑證的層級式架構,用以將 IP 位址(IPv4、IPv6)與 ASN(自治系統號碼)等數字資源與特定的公鑰進行綁定。擁有對應私鑰的一方可以藉由數位簽章,證明其對這些網路資源的控制權。其他參與者則能透過公鑰驗證簽章的真實性,進而提升 BGP 路由宣告的可信度。
與 DNS 的系統差異
RPKI 與 DNS 最大的差異,在於資料存取方式。DNS 是「隨查即用」的即時查詢系統,需不斷連接根伺服器與授權名稱伺服器取得最新資料,因此高度仰賴全球性根伺服器的即時可用性。相較之下,RPKI 採「預先取得、在地驗證」的模式,各網路營運商會在本地部署 RPKI 客戶端(relying party software),定期下載所有已簽署的 RPKI 憑證與相關物件,產出路由過濾清單並分送至路由器應用。
由於這些 RPKI 憑證具有有效期限,即使某個發布點暫時無法連線,客戶端仍可使用先前快取的有效資料,避免路由驗證中斷。因此,RPKI 對於短期連線中斷的容忍度較高。
三態驗證模式與風險容忍
RPKI 的驗證結果分為三種狀態:「有效」(valid)、「無效」(invalid)與「未知」(unknown)。大多數網路操作慣例是接受 valid 與 unknown 的路由宣告,僅捨棄 invalid 宣告。這表示即便某些憑證過期或無法更新,相關路由也僅會被視為 unknown,而非完全阻擋,進一步提升操作的穩定性與彈性。
提升發布點韌性的技術演進
目前 RPKI 的資料發布採用兩種協定:RSYNC 與 RRDP(RPKI Repository Delta Protocol)。前者不利於使用 CDN 或 Anycast 進行彈性擴展,而 RRDP 採用標準 HTTP(S) 傳輸格式,能搭配 CDN 部署進行內容快取與傳遞,提升查詢效能與對抗 DDoS 的能力。
尤其是當憑證更新頻率高或查詢量增加時,RRDP 搭配 CDN 可有效減輕主伺服器負擔,同時提升全球用戶的資料可得性。
區域自給自足的必要性?
與 DNS 探討在國家或地區內部署本地根伺服器的策略不同,RPKI 並不追求「自給自足」。因為即便區域性網路中斷,RPKI 驗證失敗僅導致路由轉為 unknown 狀態,並不會造成封包被擋下。因此,將 RPKI 發布點本地化並非提升營運韌性的主要策略。
結語:現況與未來展望
RPKI 的設計初衷即為以最少變動,建構於現有 BGP 架構之上,避免改動核心路由協定。然而,這也限制了其憑證傳播效率,必須仰賴每個客戶端主動查詢更新。
透過 RRDP 與 CDN 的結合,當前 RPKI 發布機制已具備不錯的韌性與可擴展性。但若未來需求轉向更即時的驗證、更高頻的更新,則現行架構可能需重新設計,例如將憑證分發整合進 BGP 本身等模式,才能真正達到安全與效率兼顧的目標。
本文為作者個人想法,不代表TWNIC之立場,若對此內容有興趣,請參閱原文:
https://blog.apnic.net/2025/05/09/resilience-in-the-rpki/