RPKI

1. 资源公钥基础设施 (RPKI) 初学者指南

简介

互联网的运行依赖于一个复杂的路由系统，该系统负责将数据包从源地址传递到目标地址。这个系统核心是边界网关协议 (BGP)，它允许不同的自治系统 (AS) 交换路由信息。然而，BGP 本身存在一个固有的安全漏洞：它信任它接收到的任何路由宣告。这意味着恶意行为者可以“劫持”路由，将流量重定向到他们控制的服务器，从而进行中间人攻击，窃取数据或发起分布式拒绝服务攻击 (DDoS)。

资源公钥基础设施 (RPKI) 是一种安全机制，旨在解决 BGP 的这一漏洞。它通过提供一种验证路由宣告来源合法性的方法，来防止路由劫持和路由泄漏。RPKI 并非完美解决方案，但它显著提高了互联网路由的安全性。本文将为初学者详细介绍 RPKI 的概念、原理、实施和未来发展趋势。

RPKI 的工作原理

RPKI 的核心思想是使用公钥基础设施 (PKI) 来验证互联网资源（例如 IP 地址块和 AS 编号）的所有权和授权。具体来说，RPKI 通过以下几个关键组件协同工作：

**证书颁发机构 (CA):** RPKI CA 负责颁发数字证书，这些证书证明了特定 AS 对特定 IP 地址块的授权。这些 CA 通常由互联网号码注册机构 (RIR) 管理，例如美国互联网注册机构 (ARIN)、欧洲互联网注册机构 (RIPE NCC)、亚洲太平洋互联网注册机构 (APNIC)、拉丁美洲和加勒比互联网注册机构 (LACNIC) 和非洲互联网注册机构 (AfriNIC)。
**证书:** RPKI 证书包含有关 AS 和其授权的 IP 地址块的信息，并由相应的 CA 数字签名。这些证书具有有限的有效期。
**路由来源验证 (ROV):** ROV 是 RPKI 的核心机制。它允许 AS 声明它拥有特定 IP 地址块的授权，并且允许其他 AS 验证这些声明的真实性。ROV 信息以数字签名的形式发布，并存储在RPKI 存储库中。
**RPKI 存储库:** 存储库是公开可访问的数据库，其中包含所有 RPKI 证书和 ROV 数据。AS 可以查询这些存储库以验证路由宣告的合法性。
**路由验证器:** 路由验证器是部署在 AS 边界上的软件，用于查询 RPKI 存储库并验证接收到的 BGP 路由宣告。如果验证失败，路由验证器可以采取行动，例如拒绝接受该路由宣告。

RPKI 的关键概念

**ROA (Route Origin Authorization):** ROA 是 RPKI 中最重要的对象。它由 AS 创建，声明它有权宣告特定 IP 地址块，并且指定了允许宣告该 IP 地址块的 AS 编号。ROA 包含以下信息：

   * IP 地址块
   * 允许宣告 IP 地址块的 AS 编号
   * ROA 的最大长度（限制可以宣告的子网掩码）

**ROV (Route Origin Validation):** 路由来源验证是指验证 BGP 路由宣告的来源是否合法。路由验证器通过查询 RPKI 存储库并比较接收到的路由宣告与已知的 ROA 来执行 ROV。
**Valid, Invalid, Not Found:** 这三种状态是路由验证器验证路由宣告后可能返回的结果：

   * **Valid:** 路由宣告与已知的 ROA 匹配，来源合法。
   * **Invalid:** 路由宣告与 ROA 不匹配，来源非法。例如，宣告的 AS 编号不在 ROA 允许的 AS 编号列表中。
   * **Not Found:** 没有找到与路由宣告匹配的 ROA。这并不一定意味着路由宣告非法，但表示缺乏验证信息。

**Origin AS (OA):** 宣告路由的 AS 编号。
**AS Path:** 路由经过的 AS 列表。

RPKI 的实施

实施 RPKI 涉及到以下步骤：

1. **获取数字证书:** AS 需要从 RPKI CA 获取数字证书。这通常需要验证 AS 的身份和所有权。 2. **创建 ROA:** AS 使用其数字证书创建 ROA，声明它有权宣告特定 IP 地址块。ROA 的创建需要仔细考虑，以确保只授权允许的 AS 宣告 IP 地址块。 3. **发布 ROA:** ROA 被发布到 RPKI 存储库。 4. **部署路由验证器:** AS 部署路由验证器，用于查询 RPKI 存储库并验证接收到的 BGP 路由宣告。 5. **配置路由验证器:** 路由验证器需要配置为使用正确的 RPKI 存储库和证书。 6. **监控和维护:** 需要定期监控路由验证器的运行状况，并更新 ROA 以反映网络拓扑的变化。

RPKI 的优势和局限性

- 优势:**

**提高路由安全性:** RPKI 通过验证路由宣告的来源合法性，显著提高了互联网路由的安全性，降低了路由劫持和路由泄漏的风险。
**增强网络稳定性:** 通过过滤掉无效的路由宣告，RPKI 可以提高网络的稳定性。
**减少运营成本:** 减少因路由劫持和路由泄漏造成的网络故障，从而降低运营成本。
**改善互联网信任度:** RPKI 增强了互联网的信任度，促进了互联网的健康发展。

- 局限性:**

**部署复杂性:** 实施 RPKI 涉及到多个步骤，需要一定的技术 expertise。
**ROA 管理:** 创建和维护 ROA 需要持续的努力，以确保 ROA 的准确性和及时性。
**并非万能药:** RPKI 只能防止路由来源劫持，无法防止 AS 路径劫持或其他类型的攻击。
**依赖于 RIR 的信任:** RPKI 的安全性依赖于对 RIR 的信任，如果 RIR 受到攻击或泄露，RPKI 的安全性也会受到影响。
**接受度问题:** RPKI 的有效性取决于广泛的部署，目前许多 AS 尚未部署 RPKI。

RPKI 与 BGPsec

BGPsec 是一种更强大的路由安全协议，它使用数字签名来验证整个 BGP 路由信息，包括 AS 路径。与 RPKI 相比，BGPsec 提供了更强的安全保障，但其部署也更加复杂。

**RPKI 验证路由来源，BGPsec 验证整个路由信息。**
**RPKI 相对容易部署，BGPsec 部署复杂。**
**两者可以互补使用，RPKI 作为 BGPsec 的补充。**

RPKI 的未来发展趋势

**更广泛的部署:** 随着互联网安全威胁的日益增加，RPKI 的部署将会越来越广泛。
**自动化 ROA 管理:** 开发自动化工具，以简化 ROA 的创建和维护。
**与 SDN/NFV 的集成:** 将 RPKI 与软件定义网络 (SDN) 和网络功能虚拟化 (NFV) 集成，以提高网络的灵活性和可扩展性。
**改进的 ROA 粒度:** 开发更细粒度的 ROA，以提供更精确的路由控制。
**与威胁情报的集成:** 将 RPKI 与威胁情报集成，以提高对路由攻击的检测和响应能力。这与技术分析相结合，可以更好地预测市场动态。

策略、技术分析和成交量分析

虽然 RPKI 本身与二元期权交易没有直接关系，但了解互联网基础设施的安全性对于评估金融市场的风险至关重要。互联网中断或安全漏洞可能导致市场波动，影响期权定价和风险管理。

**风险管理:** 了解 RPKI 的作用有助于评估与互联网基础设施相关的风险，并制定相应的风险管理策略。
**技术分析:** 互联网基础设施的稳定性是影响金融市场的重要因素之一，可以将其纳入技术分析的考虑范围。
**成交量分析:** 互联网基础设施出现故障可能导致交易量异常波动，可以通过成交量分析来识别潜在的市场风险。
**货币对选择:** 受互联网基础设施影响较大的国家或地区的货币对，可能需要更加谨慎的交易策略。
**市场趋势预测:** 对互联网安全领域的长期趋势进行分析，可以帮助预测金融市场的潜在风险和机会。
**呼叫选项和看跌选项:** RPKI 的部署情况可以间接影响市场情绪，从而影响呼叫选项和看跌选项的价格。
**蝶式价差和铁蝶式价差:** 互联网安全事件可能导致市场波动，从而影响蝶式价差和铁蝶式价差的盈利能力。
**时间衰减:** 互联网安全威胁的持续存在意味着市场风险的持续存在，需要考虑时间衰减对期权价值的影响。
**波动率微笑:** 互联网安全事件可能导致波动率微笑的出现，需要根据市场情况调整交易策略。
**希腊字母:** Delta、Gamma、Theta、Vega 和Rho 等希腊字母可以帮助评估期权对互联网安全事件的敏感度。
**资金管理:** 在进行期权交易时，需要制定合理的资金管理策略，以控制风险。
**交易心理学:** 互联网安全事件可能引发市场恐慌，需要保持冷静的头脑，避免情绪化的交易。
**回测:** 使用历史数据对不同的交易策略进行回测，以评估其盈利能力和风险。
**风险回报比:** 评估每个交易的风险回报比，以确保交易的收益大于风险。
**止损单:** 设置止损单，以限制潜在的损失。

结论

RPKI 是一种重要的互联网安全技术，它通过验证路由宣告的来源合法性，提高了互联网路由的安全性。虽然 RPKI 并非完美解决方案，但它显著降低了路由劫持和路由泄漏的风险。随着互联网安全威胁的日益增加，RPKI 的部署将会越来越广泛。了解 RPKI 的工作原理和实施方法，对于维护互联网的安全和稳定至关重要。 MediaWiki 规则上

立即开始交易

注册 IQ Option （最低存款 $10）开设 Pocket Option 账户（最低存款 $5）

加入我们的社区

订阅我们的 Telegram 频道 @strategybin 获取： ✓ 每日交易信号 ✓ 独家策略分析 ✓ 市场趋势警报 ✓ 新手教育资源