pqRPKI:面向后量子时代的实用RPKI架构
资源公钥基础设施(RPKI)通过将IP前缀绑定至授权的自治系统来保障互联网路由安全,但其基于RSA的架构易受量子攻击威胁。直接将后量子(PQ)签名方案(如Falcon)简单替换至RPKI批量处理模型中效果欠佳:每个依赖方(RP)需反复获取并验证全局资源库,更大的密钥和签名会显著增加带宽与CPU开销——在漫长的双栈过渡期尤为突出。该研究团队提出pqRPKI框架,创新性地将多层Merkle树梯(MTL)与RPKI对象结合,通过重构设计将每对象验证材料从证书迁移至清单文件。为适配基于Merkle树的方案,pqRPKI重构了RPKI清单与授权链,引入梯式同步和批量验证工作流,使验证器能自上而下定位差异并自底向上重建树结构。 该方案完整保留现有RPKI对象与编码格式,支持托管和委派两种运行模式,提供增量式迁移路径:在与现有信任锚共存的双栈部署中,存储开销仅增加3.4%。通过实现可运行的发布点(PP)和依赖方组件,测试表明pqRPKI将资源库体积降至平均546.8MB(较Falcon/ML-DSA方案缩小65.5%/83.1%),全周期验证时间缩短至102.7秒,从发布点到路由器的端到端时延仅118.3秒,可实现每轮次完整资源库验证且操作间隔短于2分钟。相较于当前RPKI资源库,其RSA双栈部署的额外存储开销仅为3.4%。
