Hat
译者
第五章·第九节 RPKI-RTR 协议 (RPKI)
⚠️ 注意
如果您发现了错误,欢迎 参与贡献。
📖 本节目录
协议概述
RPKI-RTR (Resource Public Key Infrastructure to Router) 协议 (RFC 6810) 从 RPKI 缓存服务器获取路由来源授权数据。
数据获取
- ROA (Route Origin Authorization):验证某个 AS 是否被授权宣告特定 IP 前缀
- ASPA (Autonomous System Provider Authorization):验证 AS 路径的合法性
传输方式
| 方式 | 端口 | 安全级别 |
|---|---|---|
| TCP (无保护) | 323 | 低 — 要求缓存和路由器在同一受信网络 |
| TCP + MD5 | 323 | 中 — RFC 2385 认证 |
| SSHv2 | 22 | 高 — 加密传输 + 公钥认证 |
💡 译者注
RPKI 是 BGP 安全体系的核心组件之一。虽然 RPKI 本身不提供加密验证(理论上可被中间人攻击绕过),但它能有效防止意外路由劫持——这是目前互联网中最常见的 BGP 安全事件。BIRD 的 RPKI 实现支持 ROA 和 ASPA 双验证体系,后者(ASPA)是 IETF 近年来推动的较新标准,用于防范 AS 路径伪造攻击。
本文译者及原文信息
展开原文属性
原文作者: <Ondrej Filip>, <Martin Mares>, <Maria Matejka>, <Ondrej Zajicek> 原文链接: https://bird.network.cz/?get_doc&v=20&f=prog-5.html#ss5.9 原文标题: 5.9 RPKI-RTR
展开译文属性
遵循协议: CC BY-NC-SA 4.0 / 译者: hat / 翻译时间: 2026-05-01 / 本文链接: https://bird.xmsl.dev/docs/developer-guide/5-9-rpki.html