量子科技中心_量科网

资源公钥基础设施（RPKI）通过将IP前缀绑定至授权的自治系统来保障互联网路由安全，但其基于RSA的架构易受量子攻击威胁。直接将后量子（PQ）签名方案（如Falcon）简单替换至RPKI批量处理模型中效果欠佳：每个依赖方（RP）需反复获取并验证全局资源库，更大的密钥和签名会显著增加带宽与CPU开销——在漫长的双栈过渡期尤为突出。该研究团队提出pqRPKI框架，创新性地将多层Merkle树梯（MTL）与RPKI对象结合，通过重构设计将每对象验证材料从证书迁移至清单文件。为适配基于Merkle树的方案，pqRPKI重构了RPKI清单与授权链，引入梯式同步和批量验证工作流，使验证器能自上而下定位差异并自底向上重建树结构。 该方案完整保留现有RPKI对象与编码格式，支持托管和委派两种运行模式，提供增量式迁移路径：在与现有信任锚共存的双栈部署中，存储开销仅增加3.4%。通过实现可运行的发布点（PP）和依赖方组件，测试表明pqRPKI将资源库体积降至平均546.8MB（较Falcon/ML-DSA方案缩小65.5%/83.1%），全周期验证时间缩短至102.7秒，从发布点到路由器的端到端时延仅118.3秒，可实现每轮次完整资源库验证且操作间隔短于2分钟。相较于当前RPKI资源库，其RSA双栈部署的额外存储开销仅为3.4%。