構(gòu)建可擴(kuò)展的RPKI依賴方系統(tǒng)部署機(jī)制

2023-05-09 03:28:00馬迪MADi

中興通訊技術(shù) 2023年1期

馬迪/MA Di

（互聯(lián)網(wǎng)域名系統(tǒng)國家地方聯(lián)合工程研究中心，中國北京 100102 ）

1 研究背景

自2012年國際互聯(lián)網(wǎng)工程任務(wù)組（IETF1）完成基礎(chǔ)協(xié)議的標(biāo)準(zhǔn)化工作以來，歷經(jīng)國際互聯(lián)網(wǎng)體系結(jié)構(gòu)委員會(huì)（IAB2）的背書[1]以及國際互聯(lián)網(wǎng)路由安全自律協(xié)定（MANRS3）項(xiàng)目面向全球網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)的推廣倡議，互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI）已成為解決當(dāng)前互聯(lián)網(wǎng)域間路由安全問題的技術(shù)路線共識(shí)。RPKI 的理念肇始于互聯(lián)網(wǎng)安全協(xié)議專家S. KENT 博士的論文[2]，并通過對傳統(tǒng)的基于X.509公鑰基礎(chǔ)設(shè)施進(jìn)行擴(kuò)展[3]，進(jìn)入到IETF的工業(yè)標(biāo)準(zhǔn)體系。

RPKI 的部署和運(yùn)行是一個(gè)復(fù)雜的系統(tǒng)工程，需要網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)（網(wǎng)絡(luò)運(yùn)營商、互聯(lián)網(wǎng)交換中心、內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)商等）、RPKI 數(shù)據(jù)服務(wù)機(jī)構(gòu)（互聯(lián)網(wǎng)IP 地址注冊機(jī)構(gòu)、RPKI 依賴方系統(tǒng)服務(wù)商等）以及路由器制造商等角色的配合和協(xié)調(diào)。其中，RPKI依賴方（RP）系統(tǒng)充當(dāng)了地址管理系統(tǒng)和路由控制系統(tǒng)之間RPKI 數(shù)據(jù)傳遞的橋梁，是連接RPKI數(shù)據(jù)供給側(cè)和RPKI數(shù)據(jù)需求側(cè)的RPKI生態(tài)關(guān)鍵環(huán)節(jié)。

RPKI 依賴方系統(tǒng)的部署，涉及網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)的路由控制策略、安全保障策略和地址分配策略，需要統(tǒng)籌網(wǎng)絡(luò)規(guī)模、拓?fù)浣Y(jié)構(gòu)、互聯(lián)互通策略以及地址資源分配格局等要素。這些要素會(huì)因應(yīng)業(yè)務(wù)和技術(shù)的演進(jìn)而隨之變化。設(shè)計(jì)一個(gè)既可以處理RPKI依賴方系統(tǒng)功能訴求的“普遍性”問題，又能兼顧具體網(wǎng)絡(luò)（及其變化）“特殊性”問題的可擴(kuò)展部署機(jī)制，是RPKI 技術(shù)在網(wǎng)絡(luò)運(yùn)營商、互聯(lián)網(wǎng)交換中心等網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)落地應(yīng)用的關(guān)鍵。

2 RPKI原理簡介

RPKI 是一種公鑰證書基礎(chǔ)設(shè)施?；诋?dāng)前全球的互聯(lián)網(wǎng)碼號(hào)資源分配關(guān)系，RPKI 構(gòu)建了一個(gè)面向IP地址及互聯(lián)網(wǎng)自治系統(tǒng)（AS）號(hào)碼的授權(quán)認(rèn)證體系，并以X.509 證書擴(kuò)展及若干簽名對象的形式加以呈現(xiàn)。如圖1 所示，RPKI 體系中的碼號(hào)資源分配者在分配資源的同時(shí)，為下游節(jié)點(diǎn)簽發(fā)資源證書（基于X.509 證書的擴(kuò)展）。依托RPKI 提供的認(rèn)證功能，互聯(lián)網(wǎng)碼號(hào)資源（IP 地址及AS 號(hào)碼）的最終用戶單位（資源持有者）通過簽發(fā)相關(guān)數(shù)據(jù)對象，來完成路由通告相關(guān)信息的發(fā)布（例如路由起源授權(quán)等）。作為RPKI認(rèn)證體系的依賴方，參與域間路由交互的網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)（例如網(wǎng)絡(luò)運(yùn)營商、互聯(lián)網(wǎng)交換中心等）定期從RPKI 資料庫系統(tǒng)（基于碼號(hào)資源分配關(guān)系組織起來的分布式數(shù)據(jù)存儲(chǔ)體系）同步資源證書以及包括各類基于RPKI 的數(shù)據(jù)對象，并將經(jīng)過驗(yàn)證的信息推送給邊界路由器，供其在接收路由通告時(shí)進(jìn)行真?zhèn)闻袛唷?/p>

▲圖1 RPKI的工作原理

概括地講，RPKI 生態(tài)有3個(gè)組成部分：RPKI 供給側(cè)、RPKI 依賴方、RPKI 需求側(cè)。如圖2 所示，RPKI 供給側(cè)包含全球分布的RPKI 認(rèn)證中心（CA）以及用于存儲(chǔ)RPKI資源證書和各類RPKI數(shù)據(jù)對象的分布式RPKI資料庫系統(tǒng)。RPKI需求側(cè)是當(dāng)前互聯(lián)網(wǎng)的域間路由系統(tǒng)，由部署在不同網(wǎng)絡(luò)自治域的邊界網(wǎng)關(guān)協(xié)議（BGP）路由器組成。RPKI 依賴方是連接“供給”和“需求”的橋梁，負(fù)責(zé)收集RPKI 供給側(cè)產(chǎn)生的數(shù)據(jù)并加以驗(yàn)證后交付給RPKI需求側(cè)參考使用。

▲圖2 RPKI的生態(tài)結(jié)構(gòu)

RPKI 數(shù)據(jù)盡可能快速、完整、準(zhǔn)確地從供給側(cè)擴(kuò)散至需求側(cè)的關(guān)鍵在于RPKI 依賴方。全盤考察RPKI 的運(yùn)行機(jī)制，并結(jié)合相關(guān)RPKI 依賴方系統(tǒng)的運(yùn)行實(shí)踐，筆者歸納了影響RPKI依賴方系統(tǒng)效能的4對矛盾：

矛盾1：RPKI資料庫（發(fā)布點(diǎn)）越來越多，與實(shí)時(shí)感知全球RPKI數(shù)據(jù)更新情況之間的矛盾；

矛盾2：RPKI數(shù)據(jù)對象數(shù)量越來越多，與快速同步全球RPKI數(shù)據(jù)之間的矛盾；

矛盾3：RPKI 數(shù)據(jù)授權(quán)鏈（深度和廣度）越來越復(fù)雜，和快速構(gòu)建全球RPKI數(shù)據(jù)認(rèn)證路徑之間的矛盾；

矛盾4：RPKI依賴方系統(tǒng)集中化趨勢（遠(yuǎn)離網(wǎng)絡(luò)邊緣），和路由器快速獲得RPKI認(rèn)證數(shù)據(jù)之間的矛盾。

以上矛盾既有在“RPKI 基本原理范疇”的普遍性，又有在“網(wǎng)絡(luò)互聯(lián)互通特征范疇”的特殊性，因此需要構(gòu)建一個(gè)能夠因應(yīng)網(wǎng)絡(luò)規(guī)模和信任模型變化而靈活調(diào)整的可擴(kuò)展RPKI 依賴方系統(tǒng)部署機(jī)制。該機(jī)制映射至解決方案層面，即RPKI 依賴方系統(tǒng)應(yīng)當(dāng)有哪些組件，組件如何在網(wǎng)絡(luò)上分布及以何種邏輯關(guān)系進(jìn)行分布。

3 RPKI依賴方系統(tǒng)組件的功能解耦機(jī)制

可擴(kuò)展RPKI依賴方系統(tǒng)部署機(jī)制在“RPKI基本原理范疇”的首要任務(wù)是，通過對RPKI 依賴方系統(tǒng)核心功能實(shí)施解耦，形成彼此“正交”的RPKI 依賴方系統(tǒng)的組件布局。按此原則，基于IETF RFC8897[4]，筆者從工程實(shí)踐的角度梳理了RPKI 依賴方系統(tǒng)在理論上的最低技術(shù)要求，包括：同步RPKI 資料庫的數(shù)據(jù)、處理RPKI 資源證書、處理RPKI 數(shù)據(jù)簽名對象、分發(fā)驗(yàn)證過的RPKI認(rèn)證信息以及本地化控制。一個(gè)具備IETF RFC8897所列舉功能的系統(tǒng)，可以稱為RPKI依賴方系統(tǒng)。

RPKI 依賴方系統(tǒng)在全球各個(gè)網(wǎng)絡(luò)內(nèi)的部署已逾10 年，形成了一些運(yùn)行實(shí)踐和討論。筆者在起草IETF 標(biāo)準(zhǔn)和進(jìn)行RPKI系統(tǒng)設(shè)計(jì)的工作中，有兩點(diǎn)體會(huì)：在部署層面，RPKI依賴方系統(tǒng)的功能仍需要進(jìn)一步模塊化（正交化）；在運(yùn)行層面，IETF RFC8897 所列舉的功能無法滿足商用路由控制系統(tǒng)對RPKI依賴方系統(tǒng)的需求。為此，構(gòu)建可擴(kuò)展的RPKI依賴方系統(tǒng)的第一步是將其核心功能模塊化，并給出各個(gè)模塊彼此解耦之后的邏輯關(guān)系（接口關(guān)系）。圖3 是筆者對RPKI依賴方系統(tǒng)的設(shè)計(jì)思考和建議。

▲圖3 RPKI依賴方系統(tǒng)組件

1）更新感知系統(tǒng)

將“更新感知”功能同“數(shù)據(jù)同步”功能進(jìn)行解耦，是互聯(lián)網(wǎng)內(nèi)容分發(fā)范疇常見的工程設(shè)計(jì)思路。當(dāng)這一思路被應(yīng)用到RPKI體系時(shí)，更新感知系統(tǒng)便成為了一個(gè)獨(dú)立的RPKI依賴方系統(tǒng)組件。該系統(tǒng)采用實(shí)時(shí)或不定時(shí)的方式獲得RPKI資料庫（RPKI數(shù)據(jù)發(fā)布點(diǎn)）的數(shù)據(jù)更新情況，并將這些更新信息傳遞給數(shù)據(jù)同步系統(tǒng)。

2）數(shù)據(jù)同步系統(tǒng)

數(shù)據(jù)同步系統(tǒng)以“全量”或“增量”的方式，將RPKI資料庫內(nèi)發(fā)布的各類RPKI資源證書及RPKI數(shù)字簽名對象下載到本地網(wǎng)絡(luò)，以形成與RPKI 資料庫一致的且具有一定時(shí)效的數(shù)據(jù)副本。在當(dāng)前的RPKI 生態(tài)中，數(shù)據(jù)同步系統(tǒng)和RPKI資料庫之間的接口已經(jīng)在IETF形成標(biāo)準(zhǔn)[5]。

3）數(shù)據(jù)驗(yàn)證系統(tǒng)

數(shù)據(jù)驗(yàn)證系統(tǒng)先后對相關(guān)證書及數(shù)據(jù)簽名對象進(jìn)行語法檢查和RPKI 邏輯驗(yàn)證。其中，語法檢查包括檢查相關(guān)數(shù)據(jù)格式是否符合技術(shù)標(biāo)準(zhǔn)、是否在有效期內(nèi)等，RPKI 邏輯驗(yàn)證包括驗(yàn)證PKI數(shù)字簽名、驗(yàn)證相關(guān)的互聯(lián)網(wǎng)碼號(hào)資源包含關(guān)系[6]以及其他與RPKI 授權(quán)體系相關(guān)的邏輯驗(yàn)證等。

4）數(shù)據(jù)分析系統(tǒng)

RPKI 是一個(gè)分布式系統(tǒng)，因此位于不同RPKI 授權(quán)體系子樹上的數(shù)據(jù)可能存在沖突關(guān)系（碼號(hào)資源分配、授權(quán)信息等）。數(shù)據(jù)分析系統(tǒng)旨在根據(jù)一定的算法，輔之以WHOIS 數(shù)據(jù)、BGP 廣播存檔數(shù)據(jù)等帶外數(shù)據(jù)，對潛在的沖突關(guān)系進(jìn)行檢測，給出可能的（本地化）修正方案，并輸出至本地控制系統(tǒng)。

5）本地控制系統(tǒng)

出于網(wǎng)絡(luò)管理和安全保障的需求，網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)可能希望以“本地過濾和添加”的形式建立RPKI 路由認(rèn)證數(shù)據(jù)的本地視圖，對來自全球RPKI 的數(shù)據(jù)進(jìn)行覆蓋。本地控制系統(tǒng)對“驗(yàn)證緩存”直接進(jìn)行操作，增加或刪減相關(guān)的路由認(rèn)證數(shù)據(jù)條目。工業(yè)界將這種操作稱為RPKI 本地化控制（SLURM）。SLURM配置文件格式已經(jīng)在IETF形成標(biāo)準(zhǔn)[7]。

6）數(shù)據(jù)分發(fā)系統(tǒng)

經(jīng)過驗(yàn)證并最終可以供給路由器進(jìn)行RPKI 路由認(rèn)證的數(shù)據(jù)稱為“驗(yàn)證緩存”?；凇爸鲝哪Ｐ汀保瑪?shù)據(jù)分發(fā)系統(tǒng)將“驗(yàn)證緩存”從一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)分發(fā)至其他一個(gè)或多個(gè)有信任關(guān)系的網(wǎng)絡(luò)節(jié)點(diǎn)，實(shí)現(xiàn)RPKI 驗(yàn)證數(shù)據(jù)的共享。對于數(shù)據(jù)分發(fā)系統(tǒng)，RPKI 意義上的數(shù)字簽名已不復(fù)存在，其完整性依賴于傳輸信道（如超文本傳輸安全協(xié)議）。

7）路由器對接系統(tǒng)

RPKI 供給側(cè)形成的路由認(rèn)證數(shù)據(jù)，通過同步、驗(yàn)證、分發(fā)、本地化處理，最終形成副本，然后經(jīng)路由器對接系統(tǒng)，注入至BGP 路由器?；凇翱蛻舳?服務(wù)器”操作模型，維護(hù)“驗(yàn)證緩存”的網(wǎng)絡(luò)節(jié)點(diǎn)充當(dāng)服務(wù)器，同時(shí)路由器充當(dāng)客戶端。兩者之間的通信由一種RTR 的IETF 標(biāo)準(zhǔn)化協(xié)議承載[8]。

4 RPKI依賴方系統(tǒng)組件在規(guī)模網(wǎng)絡(luò)上的編排機(jī)制

基于RPKI 依賴方系統(tǒng)核心組件的解耦機(jī)制，本節(jié)探討可擴(kuò)展RPKI 依賴方系統(tǒng)部署機(jī)制在“網(wǎng)絡(luò)互聯(lián)互通特征范疇”的特殊性，就如何將相關(guān)組件編排在網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)所管理的云和網(wǎng)的不同位置，設(shè)計(jì)一個(gè)能夠適配各類規(guī)模網(wǎng)絡(luò)（骨干網(wǎng)運(yùn)營商、互聯(lián)網(wǎng)交換中心、內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)商等）的RPKI依賴方系統(tǒng)組件部署機(jī)制（框架）。

針對前文所述RPKI 依賴方系統(tǒng)的4 對矛盾，面向一個(gè)規(guī)模網(wǎng)絡(luò)的一般特征，筆者建議在RPKI 依賴方系統(tǒng)的組件顆粒度上展開相關(guān)設(shè)計(jì)，包括：一個(gè)RPKI 依賴方系統(tǒng)北向分布式節(jié)點(diǎn)群組、一個(gè)RPKI 依賴系統(tǒng)方南向分布式節(jié)點(diǎn)群組和一個(gè)RPKI 依賴方系統(tǒng)主控中心。如圖4 所示，北向分布式節(jié)點(diǎn)群組面向RPKI供給側(cè)，從分布式的RPKI資料庫獲取RPKI 原始數(shù)據(jù)，包含RPKI 更新感知節(jié)點(diǎn)和RPKI 數(shù)據(jù)同步節(jié)點(diǎn)；南向分布式節(jié)點(diǎn)群組面向RPKI 需求側(cè)，將驗(yàn)證過的RPKI 路由認(rèn)證數(shù)據(jù)分發(fā)給分布式網(wǎng)絡(luò)的邊界路由器，即RPKI數(shù)據(jù)分發(fā)節(jié)點(diǎn)的集合；主控中心負(fù)責(zé)RPKI數(shù)據(jù)的驗(yàn)證和其他綜合處理任務(wù)，包含RPKI更新匯聚節(jié)點(diǎn)、RPKI邏輯驗(yàn)證節(jié)點(diǎn)、RPKI本地管理節(jié)點(diǎn)、RPKI數(shù)據(jù)分析節(jié)點(diǎn)等。

▲圖4 規(guī)模網(wǎng)絡(luò)上的RPKI依賴方系統(tǒng)組件部署示例

RPKI 依賴方系統(tǒng)的各個(gè)組件在該架構(gòu)下的部署機(jī)制如下：

1）更新感知系統(tǒng)

鑒于RPKI 資料庫的全球分布特征，更新感知系統(tǒng)相應(yīng)地采用分布式的更新獲取方法。該系統(tǒng)擁有“更新感知模塊”和“更新匯聚模塊”。前者部署在分布式的“更新感知節(jié)點(diǎn)”之上。全體“更新感知節(jié)點(diǎn)”按照一定的編排算法各自分工，完成對RPKI 資料庫的遍歷，并傳遞給負(fù)責(zé)整合更新信息的“更新匯聚節(jié)點(diǎn)”。“更新匯聚節(jié)點(diǎn)”再將更新信息傳遞至數(shù)據(jù)同步系統(tǒng)。

全球大型運(yùn)營商（例如Tier 1 ISP）或頭部流量的互聯(lián)網(wǎng)交換中心，可以考慮將更新感知系統(tǒng)的尋址信息（域名、IP地址等）和接口方式公布出去，供相關(guān)的RPKI 發(fā)布點(diǎn)主動(dòng)推送更新信息。

2）數(shù)據(jù)同步系統(tǒng)

面向全球RPKI 資料庫的分布特征，數(shù)據(jù)同步系統(tǒng)也采用分布式的部署形態(tài)，根據(jù)一定的編排算法，將同步任務(wù)分散至不同的“數(shù)據(jù)同步節(jié)點(diǎn)”。“更新匯聚節(jié)點(diǎn)”負(fù)責(zé)運(yùn)行該編排算法，在統(tǒng)籌更新任務(wù)來源、同步節(jié)點(diǎn)數(shù)量、同步節(jié)點(diǎn)分布位置等要素的前提下，實(shí)現(xiàn)同步任務(wù)的動(dòng)態(tài)分配。多個(gè)“數(shù)據(jù)同步節(jié)點(diǎn)”的分布采用和“更新感知節(jié)點(diǎn)”類似的策略。

3）數(shù)據(jù)驗(yàn)證系統(tǒng)

面向RPKI 的數(shù)據(jù)驗(yàn)證系統(tǒng)的核心是建立數(shù)據(jù)對象之間的關(guān)聯(lián)，包括經(jīng)典公鑰基礎(chǔ)設(shè)施（PKI）體系下的數(shù)字簽名驗(yàn)證路徑構(gòu)建，以及RPKI 特有的碼號(hào)資源包含關(guān)系驗(yàn)證。這種“關(guān)聯(lián)性”的驗(yàn)證任務(wù)（證書路徑驗(yàn)證、資源包含關(guān)系驗(yàn)證）由數(shù)據(jù)驗(yàn)證系統(tǒng)的RPKI 邏輯驗(yàn)證模塊負(fù)責(zé)。該模塊站在全局視角，以集中化的方式對來自不同“數(shù)據(jù)同步節(jié)點(diǎn)”的合規(guī)數(shù)據(jù)進(jìn)行綜合處理，并以“RPKI邏輯驗(yàn)證節(jié)點(diǎn)”的形式部署在網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)的網(wǎng)運(yùn)中心（NOC）。數(shù)據(jù)驗(yàn)證系統(tǒng)的語法檢查模塊不涉及對數(shù)據(jù)關(guān)聯(lián)性的驗(yàn)證，可以部署在“數(shù)據(jù)同步節(jié)點(diǎn)”之上，對相關(guān)數(shù)據(jù)進(jìn)行語法合規(guī)檢查，實(shí)現(xiàn)“邊同步，邊語法檢查”的高效機(jī)制。合規(guī)數(shù)據(jù)會(huì)匯聚至“RPKI邏輯驗(yàn)證節(jié)點(diǎn)”。

4）數(shù)據(jù)分析系統(tǒng)

數(shù)據(jù)分析系統(tǒng)承擔(dān)的是RPKI 數(shù)據(jù)同步、驗(yàn)證等任務(wù)之外的旁路功能，宜獨(dú)立部署在專用的RPKI 數(shù)據(jù)分析節(jié)點(diǎn)之中。

5）本地控制系統(tǒng)

本地控制系統(tǒng)將連同其他一些面向RPKI 的互聯(lián)網(wǎng)碼號(hào)資源本地管理支撐系統(tǒng)（可視化、運(yùn)行監(jiān)控等），部署在專用的RPKI本地管理節(jié)點(diǎn)之中。

6）數(shù)據(jù)分發(fā)系統(tǒng)

鑒于數(shù)據(jù)分發(fā)系統(tǒng)的核心任務(wù)是將RPKI 驗(yàn)證緩存從集中管理的RPKI 依賴方系統(tǒng)主控節(jié)點(diǎn)分發(fā)至分布式部署的路由控制系統(tǒng)，其部署節(jié)點(diǎn)宜根據(jù)網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)所轄自治域的數(shù)量和管理機(jī)制進(jìn)行規(guī)劃，以方便BGP 邊界路由器在就近獲取RPKI 驗(yàn)證緩存的同時(shí)，在網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)的網(wǎng)絡(luò)管理邊界之內(nèi)形成一致的RPKI 數(shù)據(jù)視圖。數(shù)據(jù)分發(fā)系統(tǒng)部署在數(shù)據(jù)分發(fā)節(jié)點(diǎn)之上，并根據(jù)該系統(tǒng)所定義的“主從模型”使相關(guān)節(jié)點(diǎn)（“分發(fā)服務(wù)器模塊” 與“分發(fā)客戶端模塊”）形成一個(gè)有序的數(shù)據(jù)共享體系。

7）路由器對接系統(tǒng)

路由器對接系統(tǒng)部署在面向路由器服務(wù)的末梢數(shù)據(jù)分發(fā)節(jié)點(diǎn)之上。

RPKI 依賴方系統(tǒng)主控中心可部署在網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)的NOC 之中。北向分布式節(jié)點(diǎn)群組的節(jié)點(diǎn)數(shù)量和分布規(guī)則，可結(jié)合網(wǎng)絡(luò)拓?fù)湟约叭PKI 資料庫之“遠(yuǎn)近”（路由及尋址）情況量體裁衣。南向分布式節(jié)點(diǎn)群組的節(jié)點(diǎn)數(shù)量和分布規(guī)則，可參考網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)的網(wǎng)絡(luò)互聯(lián)互通情況和管理機(jī)制進(jìn)行規(guī)劃設(shè)計(jì)。

5 總結(jié)與展望

RPKI 依賴方系統(tǒng)連接RPKI 供給側(cè)和RPKI 需求側(cè)，是各類網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)開展RPKI 應(yīng)用實(shí)踐的一個(gè)關(guān)鍵環(huán)節(jié)。RPKI依賴方系統(tǒng)的研發(fā)和部署，既需要關(guān)注RPKI核心功能的“普遍性”問題，又需要兼顧網(wǎng)絡(luò)互聯(lián)互通特征的“特殊性”問題。相關(guān)解決方案需要考慮RPKI 依賴方系統(tǒng)有哪些組件，各個(gè)組件如何在網(wǎng)絡(luò)上分布，以及以何種邏輯關(guān)系分布。因此，各類網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)使用RPKI 依賴方系統(tǒng)實(shí)施路由認(rèn)證，不僅是簡單的軟硬件集成，更需要設(shè)計(jì)能夠“因地制宜”涵蓋功能編排、部署方法及運(yùn)行機(jī)制的一攬子解決方案。