RPKI 概要
码号资源
INR:互联网码号资源,Internet Number Resource, 包括IP地址前缀和AS号
码号分配:IANA -> RIR -> NIR/LIR
BGP问题
BGP缺陷:AS不加验证的信任对端AS的通告的路由,并传播
BGP劫持:如果宣告未授权通告or不属于自己的前缀
RPKI 体系
RPKI:资源公钥基础设施,Resource Public Key Infrastructure
内容
CA证书:认证权威,Certification Authority,码号资源所有权验证
EE证书:端实体,End Entity,ROA(路由源授权,Route Origin Authorization)验证(使用权)
ROA用途:表明资源持有者授权指定的AS,针对指定的IP地址前缀,进行BGP路由起源通告
注意:一个ROA对象中只能有一个AS的路由源授权,但能够有多个IP地址前缀
框架
认证权威:CA,负责签发上述CA/EE两种证书,验证资源所有权、使用权
资料库:Repository,证书数据库
依赖方:RP,Relying Party,通过rsync同步repos中的各种证书内容,使用rcynic验证数字签名等信息,转换为IP地址前缀与AS号的真实授权关系,再将信息以rpki-rtr协议提供到BGP边界路由器,用于指导其路由决策。
问题
PKI 链式信任能解决的是节点信息验证的问题,即,保证该信息“确实”由该节点提供,并且第三方通过证书链可以校验“该资源的所有者”确实为该“节点”。。
但是不能保证信任链条上节点“自身”提供信息操作“正确性”,也就是说,中间节点自身签发出一条错误ROA,可能下面的节点一起倒霉,数据瞬间下线,更震荡了……
资源分配运维问题(分错了,分重了,分乱了),层次型集中式的检查可能更麻烦。
===»>
AS如何维护正确的Resource List (RL)分配状态?
下级是否可以有条件的主动提示上级错误?
笔记 A Reappraisal of Validation in the RPKI
这篇针对bgp部署rpki的维护,讨论了更新碎片的问题
作者想弄成集合避免连锁反应,与之相关的是可能当前CA节点有多个上一级CA节点,比较有意思
主要好处是避免了单个AS/IP段调整影响其他AS/IP段的CA链,分隔程度较高