pqRPKI: A Practical RPKI Architecture for the Post-Quantum Era

本文提出了 pqRPKI 框架，通过结合多层 Merkle 树阶梯（MTL）与定制化清单机制，在保持与现有 RPKI 兼容并支持双栈部署的同时，显著降低了后量子时代 RPKI 的存储开销与验证延迟，实现了高效的亚分钟级全库验证。

要点

这是一篇关于如何让互联网路由系统在未来“量子计算机”时代依然安全的论文。

为了让你轻松理解，我们可以把整个互联网路由系统想象成一个巨大的、全球共享的“快递地址簿”。

1. 背景：现在的“地址簿”面临什么危机？

• 现在的系统 (RPKI)：
  想象一下，互联网上有一个巨大的地址簿，记录了“哪个快递公司（AS）”有权发送“哪个地区的包裹（IP 地址）”。为了防止坏人篡改这个地址簿，现在的系统给每一条记录都盖上了一个传统的“防伪印章”（RSA 签名）。
  所有的路由器（负责转发包裹的机器）都要定期下载整个地址簿，检查每一个印章是不是真的。

• 未来的危机 (量子计算机)：
  未来的量子计算机非常强大，它就像一把万能钥匙，能瞬间把现在所有的“传统防伪印章”都破解掉。一旦破解，坏人就能随意篡改地址簿，把别人的包裹劫走。

• 简单的解决方案（及其缺点）：
  专家说：“那我们换一种新的、量子计算机解不开的‘超级防伪印章’（后量子签名，PQC）吧！”
  但是，这种新印章有个大问题：它太巨大了！
  现在的印章像一张邮票，而新印章像一张巨大的海报。
  如果直接把所有邮票换成海报：

  1. 带宽爆炸：下载整个地址簿的数据量会翻好几倍，网速慢的人根本下不动。
  2. 验证太慢：路由器要检查成千上万张“海报”，CPU 会累死，导致路由更新变慢，网络容易瘫痪。
  3. 过渡期痛苦：为了安全，我们可能需要在很长一段时间内同时保留“旧邮票”和“新海报”，这会让数据量进一步膨胀。

2. 论文的核心方案：pqRPKI（聪明的“目录”法）

这篇论文提出了一种叫 pqRPKI 的新架构。它没有笨拙地把所有印章都换成大海报，而是换了一种管理方式。

核心比喻：从“每本书都盖章”变成“目录页盖章”

想象一个图书馆（互联网路由系统）：

• 旧方法（Naive Swap）：
  图书馆有 10 万本书。为了防篡改，管理员给每一本书的封底都贴上一张巨大的“防伪海报”。

  • 结果：书架被海报塞满了，搬运工（路由器）每走一步都要停下来看海报，累得半死。

• pqRPKI 的新方法：
  管理员不再给每本书贴海报，而是：

  1. 只给“目录页”贴一张超级大的防伪海报。
  2. 在目录页上，给每一本书编一个唯一的编号，并记录这本书的指纹（哈希值）。
  3. 利用一种叫**“梅克尔树梯子” (Merkle Tree Ladder)** 的数学结构，把成千上万本书的指纹像爬梯子一样，一层层汇总，最后只生成一个根指纹，贴在目录页上。

为什么这很聪明？

1. 省空间（不再塞满书架）：
   书（路由数据）本身还是原来的大小，没有变。只有目录页（Manifest）变大了，但目录页只占一点点空间。

   • 效果：整个图书馆的体积（数据量）比直接贴海报的方案小了 65% 到 83%。

2. 省力气（不用每本书都检查）：
   以前，搬运工要检查 10 万本书的 10 万个印章。
   现在，搬运工只需要：

   • 先看目录页的“大海报”是不是真的（验证一次）。
   • 然后，利用目录页上的“梯子”结构，快速核对几本书的指纹。
   • 因为大部分书没变，搬运工可以批量处理，不用重复劳动。
   • 效果：验证速度提升了 2 倍到 4 倍。

3. 灵活更新（不用重印整本书）：
   如果有一本书被借走了（路由变更）：

   • 旧方法：可能需要重新生成很多印章，甚至重印整个目录。
   • 新方法：管理员只在目录页上把这本书的状态改成“已借出”（标记为 D），并更新目录页上的“大海报”。书本身不用动，其他书的状态也不受影响。
   • 效果：更新速度极快，从原来的几十分钟缩短到2 分钟以内。

3. 这个方案解决了什么大问题？

• 双栈过渡（Dual-Stack）：
  在从“旧邮票”过渡到“新海报”的漫长时期，pqRPKI 允许系统同时支持旧的和新的。

  • 它巧妙地利用现有的数据指纹，把新的“超级印章”直接“嫁接”在旧数据上，而不是重复存储。
  • 结果：过渡期间，数据量只增加了 3.4%（几乎可以忽略不计），而不是像笨办法那样增加 300%。

• 速度与安全兼得：
  它让互联网路由系统不仅能抗住量子计算机的攻击，还能保持超快的更新速度。这意味着如果坏人试图劫持路由，我们能在2 分钟内发现并修复，而不是像现在这样可能要等 20-60 分钟。

4. 总结

pqRPKI 就像是给互联网路由系统换了一套**“智能目录管理系统”**。

它没有笨拙地给每一本书都贴上巨大的新封条，而是把巨大的封条集中贴在目录页上，利用数学梯子把成千上万本书的指纹串联起来。

• 对普通人来说：这意味着未来的互联网更安全，不容易被黑客劫持，而且网络速度不会因为安全检查而变慢。
• 对技术来说：它用最小的代价（数据量增加极少），实现了从“古典密码”到“抗量子密码”的平滑过渡，是未来互联网基础设施的关键升级。

简单来说：它让互联网在面对未来超级计算机的威胁时，既穿上了最坚固的铠甲，又保持了最轻盈的身手。

技术摘要

pqRPKI：后量子时代实用 RPKI 架构技术总结

1. 研究背景与问题 (Problem)

资源公钥基础设施 (RPKI) 是互联网用于认证域间路由意图的关键机制，通过将 IP 前缀绑定到授权的自治系统 (AS) 来防止路由劫持。然而，现有的 RPKI 基于 RSA-2048 签名，面临量子计算攻击的威胁。

核心挑战：

• 后量子密码 (PQC) 的开销巨大： 简单的将 RSA 替换为 NIST 标准的 PQC 签名算法（如 Falcon 或 ML-DSA/Dilithium）会导致公钥和签名体积显著增加（Falcon 签名约 666 字节，是 RSA 的 3 倍）。
• RPKI 的“批量”模型特性： 与握手驱动的 PKI（如 TLS）不同，RPKI 的依赖方 (RP) 必须定期（通常每 20-60 分钟）下载并验证整个全球仓库的所有对象。
• 双重堆栈过渡期的压力： 为了向后兼容，过渡期需要同时发布经典 (RSA) 和 PQC 签名。简单的替换会导致仓库体积膨胀数倍（预计增长 1.7-4.0 倍），验证时间大幅增加，给带宽和 CPU 带来不可接受的负担，甚至导致验证周期无法在合理时间内完成。
• 现有方案的不足： 现有的 Merkle 树方案（如 DNSSEC 中的设计）通常将认证路径嵌入每个对象中，这在 RPKI 拥有数十万个对象且频繁更新（Manifest 和 CRL 每几小时更新一次）的场景下，会导致对象体积膨胀和频繁的重新签名风暴。

2. 方法论与架构设计 (Methodology)

作者提出了 pqRPKI，一种专为 RPKI 批量验证模型定制的后量子架构。其核心思想是利用 RPKI 的仓库元数据通道（Manifest）来承载认证材料，而非将其分散在每个对象中。

2.1 核心设计组件

1. 多层 Merkle 树梯 (Multi-layer Merkle Tree Ladder, MTL)：

   • 将 RPKI 对象组织成多个有界深度的子树（称为 "rungs"）。
   • 对象梯级 (Object Rungs)： 包含路由对象（如 ROA），作为叶子节点。
   • 元数据梯级 (Metadata Rungs)： 将频繁更新的 Manifest 和 CRL 建模为深度为 0 的独立梯级，附加在对象梯级之后。这种设计隔离了元数据的频繁更新，防止其触发整个对象树的重新哈希。

2. 认证材料重定位 (Relocation of Verification Material)：

   • 关键创新： 将每个对象的 Merkle 认证路径（叶子索引 $i$ 和兄弟哈希 $\Pi_i$）从对象证书中移除，集中存储在 Manifest 中。
   • Manifest 扩展： Manifest 包含有序的文件列表（决定索引 $i$）和每个文件的叶子承诺（$H_{0i}$，即对象内容的 SHA-256 哈希）。
   • 优势： 对象本身保持小巧且稳定，更新时只需修改 Manifest 和受影响的梯级路径，无需重新签名所有对象。

3. 梯级引导的同步与批量验证工作流：

   • 自顶向下同步 (Top-down)： RP 首先检查聚合梯级根（Registry Aggregate Root）。如果根哈希未变，则无需下载任何内容；如果变了，则下载 Manifest 并比对叶子承诺，仅下载发生变化的文件。
   • 自底向上批量验证 (Bottom-up)： RP 利用 Manifest 提供的索引和承诺，一次性重建整个 Merkle 树。内部节点在每一层只计算一次，避免了传统方案中对每个对象重复计算路径的冗余。

4. 向后兼容与双栈部署：

   • 非侵入式： 保留现有的 ROA 对象格式和编码。
   • 渐进式迁移： 在双栈模式下，Manifest 同时包含 RSA 和 PQC 的认证信息。旧版验证器继续验证 RSA，新版验证器验证 PQC 梯级。
   • 删除处理： 使用占位符（'D'）标记删除的文件，保留其叶子承诺以维持树结构稳定，避免重新索引。

3. 主要贡献 (Key Contributions)

1. 专为 RPKI 定制的 PQC 认证架构： 结合多层 MTL 与现有 RPKI 结构，重新设计了梯级布局，解决了对象频繁更新导致的重新签名风暴问题。
2. 基于 Manifest 驱动的同步与批量验证机制： 实现了梯级引导的变更定位和自底向上的批量验证，显著减少了传输字节数和计算冗余。
3. 操作兼容性与实用迁移路径： 保持 ROA 对象不变，支持托管 (Hosted) 和委托 (Delegated) 两种运营模式，仅需对 Manifest 进行增量扩展，支持长期的双栈过渡。
4. 生产级原型与评估： 实现了完整的发布点 (PP) 和依赖方 (RP) 原型，并在真实生产仓库数据上进行了为期 7 天的评估。

4. 实验结果 (Results)

基于真实 RPKI 数据（约 46.5 万个对象，886 MB 基础大小）的评估显示：

• 仓库体积优化：

  • PQC 模式 (仅 PQC)： pqRPKI 将平均仓库大小降至 546.8 MB。相比直接应用 Falcon 签名（1582.7 MB）减少了 65.5%，相比 ML-DSA 减少了 83.1%。
  • 双栈模式 (RSA + PQC)： 相比当前纯 RSA 仓库，pqRPKI 仅增加了 3.4% 的开销（从 853.2 MB 增至 882.4 MB），而 naive 的 ML-DSA 方案会导致体积膨胀 319%。
  • 与压缩方案结合： 若结合 iRPKI 压缩方案，双栈模式下的仓库大小可进一步降至 159.1 MB。

• 验证与同步效率：

  • 全周期验证时间： 从 RSA 的 213.2 秒降至 102.7 秒（快 51.8%），比 ML-DSA 快 4 倍。
  • 端到端传播时间 (PP 到路由器)： 平均 118.3 秒。这意味着 RPKI 可以支持 2 分钟以内 的更新周期，将“漏洞窗口”（从 ROA 发布/撤销到路由器生效的时间）大幅缩短，实现近实时防御。
  • 同步延迟： 冷同步（空缓存）时间从 RSA 的 11.4 秒降至 6.1 秒；热同步（增量）从 4.1 秒降至 2.8 秒。

• 签名性能：

  • 批量重新签名时间比当前 RSA 系统快一个数量级（例如 ARIN 从 183.8 秒降至 16.8 秒）。
  • 每分钟更新延迟平均仅为 112.3 毫秒，满足高频策略变更需求。

5. 意义与影响 (Significance)

• 解决了 PQC 过渡的可行性难题： pqRPKI 证明了在不牺牲操作可行性的前提下，将 RPKI 迁移至后量子安全是可能的。它消除了 PQC 带来的巨大带宽和存储负担，使得双栈过渡期不会导致基础设施崩溃。
• 提升了 RPKI 的实时性： 通过大幅缩短验证和同步时间，pqRPKI 使 RPKI 能够支持亚 2 分钟的更新频率，极大地增强了互联网路由系统对路由劫持等攻击的响应速度和防御能力。
• 架构创新： 将认证材料从对象层移动到元数据层（Manifest）的设计，为其他大规模批量验证的 PKI 系统提供了新的思路，展示了如何利用系统固有的批量处理特性来优化密码学开销。
• 平滑过渡： 其非侵入式的设计允许运营商在不中断现有服务的情况下逐步升级，为未来完全移除 RSA 奠定了坚实基础。

综上所述，pqRPKI 不仅是一个密码学替换方案，更是一个针对 RPKI 特定工作负载进行深度优化的系统架构，成功平衡了后量子安全性与互联网规模的操作效率。