RPKI与互联网路由安全(下)

为了抵御日趋频繁和严重的互联网路由劫持事故,RPKI(互联网码号资源公钥基础设施)应运而生。它通过签发和认证一种特定格式的x.509数字证书和数字签名,帮助路由器检验BGP消息的真实性,从而增强BGP协议的安全,帮助避免互联网路由劫持。我们介绍RPKI的原理和发展现状。

RPKI基本原理

RPKI的基本思想是构建一个PKI(公钥基础设施)来完成对IP地址前缀和AS号的所有权和使用权的认证。RPKI包括证书认证体系和依赖方两大组件,其中证书认证体系与上一篇文章介绍的“IP地址前缀与AS号分配体系”相对应,如图1所示。

图1:RPKI证书认证体系

每一个互联网码号资源的注册机构和持有机构都可以作为RPKI的一个认证权威(即“签发证书的实体”,简称CA)。CA主要有两个功能:

1. 通过签发RPKI资源证书来认证码号资源分配关系。一个CA将其持有的一部分IP地址资源/AS号分配给下级机构的同时,它签发一张资源证书给该机构,以确认这次分配行为。证书的内容是IP地址前缀/AS号与接收机构的绑定关系。以图1为例:

APNIC签发自签名的根证书①:{签发者:APNIC,接收者:APNIC,码号资源:1.1.0.0/16,2.2.0.0/16,AS1-AS99 }

APNIC使用根证书①为ISP1签发资源证书②:{签发者:APNIC,接收者:ISP1,码号资源:1.1.0.0/18,2.2.0.0/20,AS1-AS9}

ISP1使用自己的证书②为ISP2签发资源证书③:{签发者:ISP1,接收者:ISP2,码号资源:1.1.1.0/24,AS1-AS3}

2. 通过签发ROA(路由起源认证)签名来授权某个自治网络对某个IP地址前缀发起路由起源通告。ROA将该自治网络的AS号与该IP前缀绑定在一起。在图1中:

ISP2使用自己的证书③签发ROA④:{签发者:ISP2,绑定关系:1.1.1.0/24 & AS1}

以上这些资源证书和ROA签名都在各CA维护的发布点中存储并发布,由所有这些发布点组成的分布式数据库即RPKI资料库。

RPKI依赖方(RP)负责从RPKI资料库中周期性的同步下载这些证书和签名,并验证它们的有效性,从而得到IP前缀与AS号的真实授权关系。路由器从RPKI依赖方得到这些数据,用于判断BGP路由消息的真实性,即路由消息中起源AS是否有通告该IP前缀的合法授权。

在图2中,AS2收到1.1.1.0/24前缀的两个路由起源通告,原本它无从判断这两个起源AS孰真孰假。如果它部署了RPKI依赖方,就可以从RPKI资料库中下载到图1里的资源证书①②③和ROA签名④,并且通过成功构建认证链①→②→③→④验证ROA④里的绑定关系<1.1.1.0/24 & AS1>是真实的,从而判断起源于AS1的路由通告是有效的,而起源于AS3的路由通告是无效的。

图2:用RPKI验证路由起源通告的真实性

RPKI依赖方是连接RPKI体系和互联网域间路由系统之间的桥梁,它在互联网安全认证基础设施的IP地址和路由安全领域有着举足轻重的作用。每一个域间路由参与者,如骨干网运营商和ISP,都可以部署自己的RP,或选择自己信任的第三方RP,委托其处理RPKI信息。随着云计算模式日趋普遍,这种第三方的RP服务或将逐渐迁移到云端,使得RPKI业务作为互联网公共服务的定位更加清晰。

RPKI发展现状

2006年IETF域间路由安全(SIDR)工作组成立,开始对RPKI进行标准化工作。2016年,IETF域间路由安全运行机制(SIDROPS)工作组成立,标志着RPKI部署方案和运行机制成为研究重点。自2009年开始构建以来,五大RIR均已部署自己的RPKI信任锚点,为会员托管RPKI的CA服务。路由设备提供商、骨干网提供商、ISP和ICP也陆续开展RPKI相关工作,如Cisco、Juniper、华为、Verizon、Level3、Comcast、Google、Microsoft和Facebook等。截止到2018年4月,全球RPKI路由通告覆盖率已达到9.4%。

目前全球有三种RPKI依赖方验证软件:rpki validator、RPSTIR以及rpki.net。其中RPSTIR是一个RPKI开源项目,最初由RPKI的发明公司美国BBN公司发起。目前,互联网域名系统北京市工程研究中心(ZDNS)的马迪博士是RPSTIR开源项目的负责人,在全球范围内统筹该软件的更新维护工作,并正在IETF积极推动RPKI验证软件技术要求及其扩展功能的标准化工作。

原创文章,作者:赛福,如若转载,请注明出处:https://www.safecdn.cn/2186.html

本站不销售、不代购、不提供任何支持,仅分享网络信息,请自行辨别,请遵纪守法、文明上网。