2024年10月9日，中国电信、清华大学、互联网域名系统国家工程研究中心（ZDNS）和亚太网络信息中心（APNIC）的专家联合起草的《用于映射源授权（MOA）的配置文件》（A Profile for Mapping Origin Authorizations (MOAs)）标准提案在互联网工程任务组（IETF）的“互联网域间路由安全运行机制”（SIDROPS）工作组通过立项。该文稿所提出的MOA 是“互联网码号资源公钥基础设施”（RPKI：Resource Public Key Infrastructure）中首个由中国专家主导提出的核心数据对象。

 

　　互联网的路由安全是当今网络空间安全最核心的问题。RPKI是目前国际上唯一部署运行的互联网基础资源认证体系，它基于公钥基础设施PKI的技术，通过若干类核心数据对象来管理互联网路由、地址和设备等基础资源的安全，是全球互联网资源安全的基石。

 

　　IPv6单栈是全世界互联网从IPv4到IPv6过渡的重大方向。为了保证IPv6单栈互联网能够继续与IPv4互联网互联互通，从2008年开始清华大学研究团队主导提出了无状态IPv4/IPv6翻译过渡技术（IVI），已形成IETF标准的RFC6052和RFC7915等系列标准。随着IPv6的进一步部署，网络向IPv6单栈的演进成为必然趋势。解决剩余IPv4业务的访问并确保用户体验是IPv6单栈网络要解决的重点问题。2023年，中国电信研究院团队主导提出的多域IPv6单栈网络架构标准提案在IETF通过立项，其地址处理部分继承了IVI技术思路，即采用添加IPv6地址前缀的方式实现IPv4地址到IPv6地址空间的无状态映射，以减轻网络边缘转换设备的处理负担。这种从IPv4到IPv6地址空间的映射关系在网络边缘以地址映射规则的形式存在，它是在IPv6单栈网络准确传送IPv4业务数据的关键，因此其安全性极其重要。目前，IPv6单栈网络通过BGP协议扩展跨域交换地址映射规则。

 

　　本标准文稿提出RPKI下的MOA技术用于验证IPv6单栈网络BGP传送的地址映射规则信息的真实性，以确保IPv4业务数据在IPv6单栈网络中能准确地传送。与互联网号码资源分配架构相对应，RPKI证书签发体系通过由上至下逐级颁发资源证书来进行资源授权，证书的内容包含IP地址前缀/AS号与接收机构的绑定关系，表明该资源持有者得到了使用此部分号码资源的合法授权。基于上述信息，地址持有者（如ISP）使用自己的证书签发MOA对象，通过这种签名授权某个IPv6地址前缀对特定IPv4地址块发起映射源通告。在接收侧，当从RPKI的依赖方系统接收到MOA对象时，网络边缘的PE设备可以验证并丢弃来自未经授权的地址映射公告，以防止IPv4前缀被劫持。

 

　　目前RPKI下管理ROA、ASPA、Router-Certificate、RTA等数据对象，在互联网资源的安全管理中具有举足轻重的作用。这次提议的MOA对象是首个由中国专家牵头提出的RPKI核心数据对象，是中国专家对国际互联网基础资源安全保护技术的重要贡献。