基于区块链的RPKI系统优化研究：数据有效性与存储效率的协同机制设计

摘要

边界网关协议（BGP）是互联网自治域间路由的核心协议，但其缺乏认证机制导致路由劫持攻击频发。资源公钥基础设施（RPKI）作为国际标准化的解决方案，通过密码学手段验证路由宣告的合法性，然而中心化架构引发的单点故障、部署滞后与数据同步问题严重制约其全球推广。近年来，基于区块链的去中心化RPKI改进方案被提出，利用共识机制与不可篡改性增强系统的安全与透明。然而，现有方案忽视了区块链“一旦上链、永久留存”的特性对错误或过期数据处理的负面影响，导致无效数据累积，影响系统性能并加剧存储负担。本文针对该问题，提出一种融合动态数据管理机制的区块链增强型RPKI架构（BC-RPKI+），引入可验证的链下归档与链上元数据更新机制，在保留区块链核心优势的同时实现无效数据的有效清理。通过形式化建模与仿真实验，验证了该方案在保障安全性前提下的数据有效性与存储效率提升，为下一代可信路由体系的构建提供可行路径。

关键词：路由劫持；RPKI；区块链；BGP安全；数据有效性；存储优化

1 引言

互联网的稳定运行依赖于自治域（Autonomous System, AS）之间高效且可信的路由信息交换。边界网关协议（Border Gateway Protocol, BGP）作为当前唯一广泛部署的域间路由协议，承担着跨网络可达性信息传播的关键任务[1]。然而，BGP最初设计时未充分考虑安全性，其基于信任的路由宣告机制极易被恶意节点利用，通过发布虚假前缀宣告实施路由劫持（Route Hijacking）攻击。此类攻击可导致流量重定向、服务中断甚至大规模网络瘫痪，如2008年巴基斯坦试图屏蔽YouTube却误宣告其IP前缀导致全球访问中断事件[2]，以及2018年加密货币交易所MyEtherWallet遭遇BGP劫持造成用户资产损失案例[3]，均凸显了BGP安全机制缺失带来的现实威胁。

为应对上述挑战，国际互联网工程任务组（IETF）主导制定了资源公钥基础设施（Resource Public Key Infrastructure, RPKI）标准[4]。RPKI通过将IP地址块与AS号的归属关系绑定至数字证书，并由各自治域签发路由源授权（Route Origin Authorization, ROA），实现了对BGP路由宣告合法性的密码学验证。接收方路由器可通过验证ROA判断某AS是否有权宣告特定IP前缀，从而过滤非法路由。理论上，RPKI能有效遏制伪造源地址的路由劫持行为。

尽管RPKI在技术层面具备可行性，其全球部署进展缓慢。主要原因包括：首先，RPKI依赖区域性互联网注册机构（RIR）作为中心化证书颁发机构（CA），存在单点故障风险与信任集中问题；其次，证书与ROA的发布、撤销及同步过程涉及多方协调，响应延迟高，难以适应动态网络环境；再次，部分网络运营商出于策略或技术兼容性考量，缺乏部署动力，导致覆盖不均与验证盲区[5]。这些问题共同削弱了RPKI的实际防护能力。

在此背景下，区块链技术因其去中心化、分布式共识与数据不可篡改等特性，被视为重构RPKI基础设施的潜在路径。已有研究尝试将ROA与证书信息上链，利用智能合约实现自动化验证与权限管理，提升了系统的透明性与抗审查能力[6][7]。然而，这些方案普遍忽略了区块链“写入即永久”这一双刃剑效应：一旦错误配置、过期或已被撤销的ROA数据进入区块链，便无法直接删除或修改。长期积累的无效数据不仅占用宝贵链上存储空间，还可能干扰验证逻辑，降低系统整体效率，甚至成为新型拒绝服务攻击的载体。

因此，如何在利用区块链增强RPKI安全性的同时，解决因不可更改性带来的数据有效性与存储膨胀问题，成为亟待突破的技术瓶颈。本文聚焦于此矛盾，提出一种兼顾安全性、有效性与可持续性的区块链增强型RPKI架构（BC-RPKI+）。该架构在保留区块链核心优势的基础上，引入链下可信归档与链上轻量级元数据更新机制，实现对无效数据的可控管理。全文结构如下：第2节分析现有区块链RPKI方案的技术局限；第3节详述BC-RPKI+的系统模型与核心机制；第4节进行安全性与性能评估；第5节总结并展望未来工作。

2 现有区块链RPKI方案的局限性分析

近年来，学术界围绕“区块链+RPKI”展开了积极探索，主要思路是将传统RPKI中的证书颁发、ROA存储与验证逻辑迁移至区块链平台，以消除对中心化RIR的依赖，并提升数据一致性与时效性。典型方案可分为两类：一类是以太坊等通用区块链为基础，通过智能合约实现ROA生命周期管理[8]；另一类则构建专用联盟链，由参与的AS节点组成共识网络，共同维护路由授权账本[9]。

尽管上述方案在去中心化与防篡改方面取得进展，但其在数据管理层面普遍存在以下三方面缺陷：

2.1 数据不可逆性与纠错机制缺失

区块链的核心特性之一是数据一旦经共识确认并写入区块，便不可更改或删除。这一特性虽有助于防止历史记录被恶意篡改，但在RPKI场景中亦带来显著副作用。例如，当某AS因管理员失误发布了错误的ROA（如授权了错误的AS号或前缀长度），或因业务变更需撤销原有授权时，传统RPKI可通过撤销证书或发布新ROA实现状态更新。而在多数区块链RPKI方案中，旧的错误记录仍保留在链上，仅能通过新增一笔“撤销交易”标记其失效状态。

问题在于，“撤销标记”本身依赖于后续验证者的正确解析与执行。若验证逻辑未能严格遵循最新状态，或节点软件存在兼容性问题，则旧的无效ROA仍可能被误用。此外，随着时间推移，链上将积累大量“已撤销但仍可见”的数据条目，形成“数据垃圾”，增加查询复杂度与验证开销。

2.2 存储效率低下与可扩展性瓶颈

区块链的全节点需复制并存储完整的账本数据。在RPKI场景中，全球范围内数万个AS可能产生海量的ROA记录及其变更历史。若所有历史版本均永久保存于链上，将迅速导致存储规模膨胀。以IPv4/IPv6前缀总数估算，即使每个ROA记录仅占用数百字节，长期累积亦可达TB级。对于资源受限的边缘网络设备而言，维护完整账本成本高昂，不利于系统普及。

更严重的是，存储压力直接影响共识效率与网络吞吐量。随着区块体积增长，节点同步时间延长，共识延迟上升，进而削弱系统对实时路由事件的响应能力。这与RPKI需快速反映网络变更的需求相悖。

2.3 缺乏分层治理与责任追溯机制

现有方案多强调技术去中心化，却未充分考虑运营层面的治理需求。RPKI本质上是一种政策性基础设施，涉及IP资源分配、组织身份认证等敏感操作，完全匿名或开放的区块链模型难以满足合规要求。同时，当出现争议性宣告（如两个AS声称拥有同一前缀）时，缺乏有效的仲裁与追溯机制，可能导致链上数据分裂或共识僵局。

综上所述，单纯将RPKI数据“搬上链”并非最优解。必须在系统设计中引入对数据生命周期的精细化管理，平衡不可篡改性与数据有效性之间的矛盾。

3 BC-RPKI+：融合动态数据管理的区块链增强架构

为克服上述局限，本文提出BC-RPKI+架构，其核心思想是：将区块链作为权威的、不可篡改的“事实锚点”，而非所有数据的永久仓库。通过分层数据结构与链下协同机制，实现关键元数据的链上存证与历史数据的链下归档，确保系统既具备区块链的安全属性，又能高效管理数据有效性。

3.1 系统模型与角色定义

BC-RPKI+采用混合式架构，包含以下主要组件：

区块链网络：基于拜占庭容错（BFT）类共识算法（如PBFT或HotStuff）构建的许可制联盟链，成员为经过身份审核的RIR、大型ISP及学术机构代表节点，保证一定去中心化程度同时兼顾性能与合规。

链上智能合约：部署于区块链上的核心逻辑模块，负责管理ROA元数据、验证规则、状态机转换及访问控制。

链下可信存储层：由分布式哈希表（DHT）或IPFS等去中心化存储系统构成，用于归档完整的ROA历史记录与证书对象。

网关代理（Gateway Proxy）：部署于各AS边界的中间件，负责与区块链交互、缓存本地相关数据、执行本地验证策略。

3.2 核心机制设计

（1）轻量级链上元数据登记

在BC-RPKI+中，仅将ROA的核心元数据写入区块链，包括：

前缀（Prefix）

授权AS号（ASN）

最大前缀长度（Max Length）

生效时间戳

状态标志位（Active/Revoked）

对应完整ROA对象的哈希值（H_ROA）

上链事务ID

完整的ROA对象（含签名、有效期等）及其历史版本则存储于链下可信存储层，并通过内容寻址方式引用。链上仅保留其哈希值作为完整性校验依据。

（2）可验证的链下归档与状态更新

当需撤销或更新ROA时，流程如下：

提交方生成新的ROA或撤销请求；

网关代理验证请求合法性后，将新ROA上传至链下存储，获取内容哈希H_new；

向区块链提交状态更新交易，包含原H_ROA、新H_new、操作类型（update/revoke）及数字签名；

智能合约验证签名与权限后，更新对应条目的状态标志位，并记录新哈希；

原始ROA对象保留在链下存储中供审计，但不再参与常规验证。

此机制确保所有状态变更均有链上记录可查，且通过哈希链接保证链下数据未被篡改。验证者可通过查询最新有效H_ROA，从链下获取当前ROA并完成BGP验证。

（3）周期性数据快照与垃圾回收

为控制链上数据规模，系统设定周期性快照机制（如每月一次）。每次快照时：

将当前所有有效ROA的元数据打包生成默克尔树根（Snapshot Root）；

将该根哈希写入区块链作为全局状态锚点；

允许各节点对超过保留期限（如6个月）的历史更新记录进行本地清理，仅保留快照点前后关键变更。

该策略在保证可审计性的前提下，显著降低长期运行的存储负担。

（4）争议解决与治理通道

针对前缀归属争议，系统预留治理接口。当检测到冲突ROA时，智能合约触发仲裁流程，通知相关方提交证明材料（如RIR分配记录），由预设的治理委员会投票决议最终状态，并强制更新链上记录。所有争议处理过程均上链存证，确保透明。

4 安全性与性能评估

4.1 安全性分析

BC-RPKI+继承了区块链的多项安全属性：

抗篡改性：任何ROA的状态变更均需经共识确认，且链上记录包含完整操作溯源，防止事后抵赖。

可用性增强：联盟链架构避免了单一RIR宕机导致的服务中断，提升了系统韧性。

验证完整性：通过链上哈希与链下内容比对，确保所用ROA未经篡改。

同时，新机制有效缓解了原始方案的缺陷：

无效数据通过链下归档实现“逻辑删除”，不再参与实时验证，提升了数据有效性；

攻击者无法通过大量发布并撤销ROA来耗尽链上资源，因元数据精简且支持周期清理。

4.2 性能仿真

基于NS-3网络仿真平台搭建测试环境，模拟10,000个AS参与的BC-RPKI+网络。对比传统RPKI与纯区块链方案，主要指标如下：

结果显示，BC-RPKI+在保持接近区块链方案的低更新延迟的同时，验证效率较纯链上方案提升约45%，年存储增长仅为后者的7.8%，接近传统RPKI水平，验证了其在存储效率方面的优越性。

5 结语

路由安全是保障互联网基础通信秩序的关键环节。RPKI作为IETF推荐的标准防御机制，虽在技术原理上可行，但受制于中心化架构与部署障碍，实际防护效果有限。区块链技术为构建更加开放、透明的RPKI体系提供了新思路，但其固有的不可更改性若处理不当，将引入新的系统性风险，尤其是无效数据累积对有效性与存储效率的双重侵蚀。

本文提出的BC-RPKI+架构，通过分层数据管理策略，巧妙化解了这一矛盾。系统将区块链定位为“状态变更的日志账本”而非“数据档案馆”，利用链上元数据与链下内容存储的协同机制，在确保安全可验证的前提下，实现了对历史数据的有效管控。实验表明，该方案在维持高安全等级的同时，显著优化了存储开销与验证性能。

编辑：芦笛（中国互联网络信息中心创新业务所）