SoK: An Introspective Analysis of RPKI Security

资源公钥基础设施（RPKI）是保护基于BGP的自治域间路由免受前缀劫持的主要机制。它已经被大型供应商广泛部署，采用率正在达到关键点。全球几乎一半的前缀现在都被RPKI覆盖，测量结果显示，27%的网络已经在使用RPKI验证BGP公告。在过去的10年中，已经在RPKI方面进行了大量研究，分析了协议的不同方面，如软件漏洞、基础设施的健壮性或RPKI验证的普及程度。在这项工作中，我们编制了对RPKI中漏洞和配置错误的首个系统概述，并根据我们的测量和分析量化了全球RPKI部署的安全景观。我们的研究发现，全球RPKI验证器中有56%遭受至少一种记录的漏洞。我们还对现有的RPKI安全研究知识进行了系统化，并通过新的测量补充现有的知识，发现了RPKI仓库可用性的新趋势，以及它们与RPKI验证器的通信模式。我们将现有研究结果和我们的研究结果综合在一起，提供了漏洞及其来源的全面概述，并得出未来研究路径，以准备RPKI进行全球部署。

本文旨在系统性地概述RPKI的漏洞和误配置，并量化全球RPKI部署的安全形势。作者发现全球56%的RPKI验证器存在至少一个已知漏洞。

作者通过系统性地梳理现有的RPKI安全研究，以及自己的测量研究，提供了RPKI漏洞的全面画像，并为未来的研究路径提供了方向。

本文的亮点在于：1.系统性概述了RPKI的漏洞和误配置；2.提供了新的测量研究结果，发现了RPKI存储库可用性和通信模式的新趋势；3.提供了未来研究的方向。

最近的相关研究包括：1.《RPKI: How Secure Are Internet’s Route Origination Signatures?》；2.《Securing BGP through Secure Origin BGP (soBGP)》；3.《BGP Security: Analysis and Proposed Solutions》等。