码号资源

INR：互联网码号资源，Internet Number Resource, 包括IP地址前缀和AS号

码号分配：IANA -> RIR -> NIR/LIR

BGP问题

BGP缺陷：AS不加验证的信任对端AS的通告的路由，并传播

BGP劫持：如果宣告未授权通告or不属于自己的前缀

RPKI 体系

RPKI：资源公钥基础设施，Resource Public Key Infrastructure

内容

CA证书：认证权威，Certification Authority，码号资源所有权验证

EE证书：端实体，End Entity，ROA（路由源授权，Route Origin Authorization）验证（使用权）

ROA用途：表明资源持有者授权指定的AS，针对指定的IP地址前缀，进行BGP路由起源通告

注意：一个ROA对象中只能有一个AS的路由源授权，但能够有多个IP地址前缀

框架

认证权威：CA，负责签发上述CA/EE两种证书，验证资源所有权、使用权

资料库：Repository，证书数据库

依赖方：RP，Relying Party，通过rsync同步repos中的各种证书内容，使用rcynic验证数字签名等信息，转换为IP地址前缀与AS号的真实授权关系，再将信息以rpki-rtr协议提供到BGP边界路由器，用于指导其路由决策。

问题

PKI 链式信任能解决的是节点信息验证的问题，即，保证该信息“确实”由该节点提供，并且第三方通过证书链可以校验“该资源的所有者”确实为该“节点”。。

但是不能保证信任链条上节点“自身”提供信息操作“正确性”，也就是说，中间节点自身签发出一条错误ROA，可能下面的节点一起倒霉，数据瞬间下线，更震荡了……

资源分配运维问题（分错了，分重了，分乱了），层次型集中式的检查可能更麻烦。

===»>

AS如何维护正确的Resource List (RL)分配状态？

下级是否可以有条件的主动提示上级错误？

笔记 A Reappraisal of Validation in the RPKI

这篇针对bgp部署rpki的维护，讨论了更新碎片的问题

作者想弄成集合避免连锁反应，与之相关的是可能当前CA节点有多个上一级CA节点，比较有意思

主要好处是避免了单个AS/IP段调整影响其他AS/IP段的CA链，分隔程度较高

---

---

Published

Tags

• rpki 4
• bgp 4
• security 36

Share On

• twitter


• weibo


• reddit


• linkedin