針對路由起源授權(quán)（Route Origin Authorization, ROA）編碼難以兼顧安全性和可擴展性的問題，前瞻實驗室提出了一種新型編碼方案，在保障與現(xiàn)有最安全方案相同安全性的同時大幅優(yōu)化編碼效果，編碼壓縮率和可擴展性都遠勝現(xiàn)有方案。相關(guān)研究成果已獲國家發(fā)明專利授權(quán)（專利號：202111081544.1），被IEEE網(wǎng)絡(luò)通信領(lǐng)域旗艦會議INFOCOM（CCF 推薦A類國際會議）接收，于近日參會做報告交流。

      路由起源驗證（Route Origin Validation, ROV）是依托資源公鑰基礎(chǔ)設(shè)施（Resource Public Key Infrastructure， RPKI）抵御BGP路由劫持攻擊的一種路由安全防護機制。其核心是通過ROA這一RPKI數(shù)據(jù)對象將AS號以及授權(quán)給該AS使用的路由前綴進行綁定認證，以協(xié)助路由器快速過濾可能導(dǎo)致路由劫持的惡意路由宣告。然而，有研究表明，目前在RPKI系統(tǒng)中廣泛部署使用的ROA編碼方案（t-ROA）本身存在一定安全隱患；業(yè)界最新且正在標(biāo)準(zhǔn)化的方案（m-ROA）雖然能解決這一安全隱患，但卻會降低編碼壓縮率進而影響系統(tǒng)可擴展性。

      為同時實現(xiàn)ROA編碼的強安全性和高可擴展性，提出新型編碼方案Hanging ROA（h-ROA），在安全性上與m-ROA保持一致，在編碼壓縮率和可擴展性方面則遠勝t-ROA和m-ROA。該方案引入掛載層將IP前綴樹劃分為多個不相交的子樹塊，再采用比特位圖對子樹塊進行壓縮編碼，通過比特位來精準(zhǔn)管理每一條前綴授權(quán)與否的狀態(tài)以規(guī)避安全風(fēng)險。此外，調(diào)整掛載層位置即可實現(xiàn)靈活編碼；通過動態(tài)規(guī)劃算法來計算最優(yōu)掛載層部署，還能進一步提升編碼壓縮率。

圖1 基于IP前綴樹的壓縮編碼

圖2 基于h-ROA過濾惡意宣告，防止路由劫持

圖3 支持靈活的ROA維護和高效增量更新

圖4 用真實數(shù)據(jù)測試，結(jié)果表明h-ROA在編碼壓縮率和可擴展性上明顯優(yōu)于已有方案