线上服务咨询
资源公钥基础设施(RPKI)
发表时间:2023-12-23 11:56:40
文章来源:域安网络
浏览次数:320
互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)是一项旨在使互联网路由基础设施更安全的PKI框架。通过构建一个公钥证书体系完成对包括包括IP前缀和AS号在内的互联网号码资源(Internet Number Resource,INR)所有权(分配关系)和使用权(路由源授权)的认证。所产生的“认证信息”可进一步用于BGP路由器的路由决策,帮助其验证BGP报文中路由源AS的真实性,从而防止路由劫持的发生。
RPKI体系由三大部分组成:资源公钥基础设施(RPKI),数字签名对象和储存PKI对象和签名路由对象的分布式数据仓库(RFC6480)。这三大模块确保一个实体能够验证谁是某个IP地址或者AS号码的合法持有者。作为最初的应用模式,RPKI可以使IP地址的合法持有者可验证地授权某个AS为该地址的路由源。这种可验证的授权用以构建更加安全的路由表过滤项。除了这一应用模式,RPKI架构未来还可以为诸如S-BGP[2]和soBGP[3]这样的安全协议提供必要的认证支持。RPKI目前仅支持基于IPv4和IPv6路由,对MPLS((Multi-Protocol Label Switching)协议的支持尚未进行标准化。
为了推动RPKI的实际部署,RPKI架构充分利用了现有的技术和实践。RPKI的结构和现有的资源分配体系相对应。因此对这种特殊PKI的管理可以看作是目前资源管理及组织运行模式的自然延伸。而且现有的资源分配和回收方式在这套新体系中都有明确的相关定义。因此,虽然该体系最初的目的是为了路由安全的应用,但是也适用于其他需要验证IP和AS所有权的应用。
与大多数的PKI不同的是,RPKI的一个重要属性是不提供主体身份的担保。因为RPKI的主要功能是提供授权而不是身份鉴别。RPKI中的两大证书包括:CA证书用来担保IP地址和AS号码的分配;EE证书用来验证源路由授权(Route Origination Authorizations, ROA)——一种用来表明源路由授权信息的经过签名的对象。EE证书还能验证其他的对象,如manifest(资源列表)——用来保证数据库的完整性。同时,RPKI证书采用了层次化的架构,与互联网码号资源分配架构相符。RPKI系统常被分为证书签发体系(Certificate Authority,CA)、RPKI资料库系统(Repository)以及依赖方(Relying Party,RP)。
近年来,RPKI在全球的部署逐步推进。2012年初,全球五大RIR均已部署自己的RPKI信任锚点,对其会员开放互联网资源认证业务。在亚太地区,中国互联网络信息中心(CNNIC)和日本互联网络信息中心(JPNIC)等NIR机构在亚太地区互联网络信息中心(APNIC)的协助下,已率先开展RPKI相关工作