笔记：Are We There Yet? On RPKI's Deployment and Security

Are We There Yet? On RPKI's Deployment and Security

部署了RPKI，不开ROV无用；开ROV，某些INVALID出问题。

图6展示了部分ROV场景下的subprefix hijack。AS666 (攻击) 伪装  AS1，－》 AS2 －》 AS3 （End）。如果AS2部署了ROV，则可成功防御，AS1与AS3可正常通信；如果AS2未部署ROV，AS3部署了ROV，则AS1－》AS3正常，AS3－》AS1被subprefix劫持。

上层ROA的maximum length比实际分配的下层ROA前缀长，则subprefix劫持。
＝》maximum length不要分太长，配置成上下层相同的最长前缀即可。图10是示例。

已签发ROA的上层将subprefix分配到下层AS，而下层未签发ROA，则造成ROV检查后discard。
＝》提了一个wildcard ROA解决方案，上层标记某些分出去的前缀可能由any AS所拥有。图11是示例。