码号资源

INR:互联网码号资源,Internet Number Resource, 包括IP地址前缀和AS号

码号分配:IANA -> RIR -> NIR/LIR

BGP问题

BGP缺陷:AS不加验证的信任对端AS的通告的路由,并传播

BGP劫持:如果宣告未授权通告or不属于自己的前缀

RPKI 体系

RPKI:资源公钥基础设施,Resource Public Key Infrastructure

内容

CA证书:认证权威,Certification Authority,码号资源所有权验证

EE证书:端实体,End Entity,ROA(路由源授权,Route Origin Authorization)验证(使用权)

ROA用途:表明资源持有者授权指定的AS,针对指定的IP地址前缀,进行BGP路由起源通告

注意:一个ROA对象中只能有一个AS的路由源授权,但能够有多个IP地址前缀

框架

认证权威:CA,负责签发上述CA/EE两种证书,验证资源所有权、使用权

资料库:Repository,证书数据库

依赖方:RP,Relying Party,通过rsync同步repos中的各种证书内容,使用rcynic验证数字签名等信息,转换为IP地址前缀与AS号的真实授权关系,再将信息以rpki-rtr协议提供到BGP边界路由器,用于指导其路由决策。

问题

PKI 链式信任能解决的是节点信息验证的问题,即,保证该信息“确实”由该节点提供,并且第三方通过证书链可以校验“该资源的所有者”确实为该“节点”。。

但是不能保证信任链条上节点“自身”提供信息操作“正确性”,也就是说,中间节点自身签发出一条错误ROA,可能下面的节点一起倒霉,数据瞬间下线,更震荡了……

资源分配运维问题(分错了,分重了,分乱了),层次型集中式的检查可能更麻烦。

===»>

AS如何维护正确的Resource List (RL)分配状态?

下级是否可以有条件的主动提示上级错误?

笔记 A Reappraisal of Validation in the RPKI

这篇针对bgp部署rpki的维护,讨论了更新碎片的问题

作者想弄成集合避免连锁反应,与之相关的是可能当前CA节点有多个上一级CA节点,比较有意思

主要好处是避免了单个AS/IP段调整影响其他AS/IP段的CA链,分隔程度较高



blog comments powered by Disqus

Published

17 July 2015

Tags