谁在运行所有这些小型 RPKI 服务器?
原文链接:https://blog.apnic.net/2026/07/15/whos-running-all-those-tiny-rpki-servers/
谁在运行所有这些小型 RPKI 服务器?
| APNIC 博客 照片由 Conny Schneider 在 Unsplash 上拍摄。边界网关协议 (BGP) 缺乏内置信任,导致互联网路由层容易遭受意外或恶意的前缀劫持。资源公钥基础设施 (RPKI) 通过让地址空间持有者通过锚定在五个区域互联网注册机构 (RIR) 的信任链发布的路由源授权 (ROA) 以加密方式授权哪个自治系统 (AS) 可以发起其前缀,从而解决了这个问题。虽然大多数 ROA 直接由 RIR 发布,但一长串小型、独立运营的发布服务器(由云提供商、ISP、业余爱好者、教育机构和 RPKI 即服务 (RPKIaaS) 公司运行)也对全球 RPKI 数据集做出了贡献。在这篇文章中,我们将调查谁操作这些小型服务器以及原因。什么是 RPKI?为什么要关心?每次您打开网站时,您的流量都会在 BGP 引导下跨越数十个路由器。
BGP 是互联网的粘合剂:它告诉路由器向何处发送数据包以到达地球上的任何 IP 地址。问题在于,BGP 是为网络相互信任的时代而设计的,并且不当行为仍然不常见。任何网络都可以(无意或恶意)宣布它拥有一个它实际上并不控制的 IP 前缀。这称为路由事件,它可能会导致您的流量被悄悄重定向到错误的目的地。
RPKI 是互联网对该问题的(其中之一)答案。它的工作原理是让 IP 地址块的合法所有者以加密方式签署 ROA;一条小记录,上面写着:“IP 前缀 X 被授权由自治系统编号 (ASN) Y 公布。”实施路由源验证 (ROV) 的路由器然后使用这些签名记录来检查传入的 BGP 公告并丢弃不匹配的公告。整个系统依赖于五个区域互联网注册管理机构 (RIR) 的信任链:ARIN(北美)、RIPE NCC(欧洲/中东/中亚)、APNIC(亚太地区)、LACNIC(拉丁美洲)和 AFRINIC(非洲)。这些机构向网络发布 IP 地址空间并运营顶级 RPKI 证书颁发机构 (CA)。
ROA 对象可以直接从 RIR 服务器或较小的独立发布服务器发布。大多数 ROA 对象由五个 RIR 发布,这些 RIR 资源丰富、维护专业且受到全球信任。但与这些巨头并列的是一长串由云提供商、爱好者、教育机构、互联网服务提供商 (ISP) 和 RPKIaaS 公司运营的小型出版服务器。在这篇文章中描述的研究过程中,我们检查了这些“小型”服务器,看看我们可以从它们身上学到什么,它们为什么运行以及它们最初存在的原因。第一个方法论挑战是定义服务器“小”的原因。我们使用了一个简单的、基于 ROA 计数的定义:如果服务器公布的 ROA 对象少于 1,300 个,则该服务器被归类为“小型”。该阈值是通过检查所有已知 RPKI 服务器的 ROA 计数的经验累积分布函数 (ECDF) 选择的。分布严重倾斜:少数大型提供商(五个 RIR 和 Amazon Web Services (AWS))占据了大部分 ROA。
1,300 ROA 的界限体现了这些大玩家与其他玩家之间的自然界限。一项值得注意的例外:AWS RPKI 存储库增量协议 (RRDP) 服务器。
Amazon 构建其 RPKI 发布基础设施的方式不同寻常。它们的架构与其他小型服务器有很大不同,因此不包含在本文的讨论范围内。这种结构是否具有操作优势仍然是未来研究的一个悬而未决的问题。为什么有人要运行自己的 RPKI 服务器?这