深入淺出詳解RPKI

目 錄

第1章 RPKI簡(jiǎn)介 1
1．1 背景 1
1．1．1 技術(shù)起源 1
1．1．2 自治系統(tǒng)和路由劫持 2
1．1．3 互聯(lián)網(wǎng)號(hào)碼資源分配架構(gòu) 4
1．2 RPKI概述 6
1．2．1 技術(shù)規(guī)范 6
1．2．2 標(biāo)準(zhǔn)兼容性 6
1．2．3 工作原理 7
1．3 重要概念 8
1．3．1 資源公鑰基礎(chǔ)設(shè)施 8
1．3．2 認(rèn)證中心證書(shū) 9
1．3．3 終端證書(shū) 9
1．3．4 依賴方 10
1．3．5 信任錨點(diǎn) 10
1．3．6 簽名對(duì)象 10
1．3．7 路由源授權(quán) 11
1．3．8 清單 11
第2章 RPKI總體架構(gòu) 12
2．1 RPKI證書(shū) 12
2．1．1 概述 12
2．1．2 CA證書(shū) 13
2．1．3 EE證書(shū) 14
2．2 RPKI簽名對(duì)象 15
2．2．1 路由源授權(quán) 15
2．2．2 清單 17
2．2．3 證書(shū)撤銷列表 18
2．3 RPKI資料庫(kù) 19
2．3．1 定義 19
2．3．2 使用規(guī)則 19
2．3．3 訪問(wèn)控制 22
2．4 本地緩存 23
2．5 信賴錨 24
2．6 操作規(guī)范 24
2．6．1 證書(shū)簽發(fā) 24
2．6．2 密鑰輪轉(zhuǎn) 25
2．6．3 路由源授權(quán)管理 26
2．7 安全及部署 31
第3章 RPKI證書(shū)策略 32
3．1 資源授權(quán)和證書(shū)政策 32
3．1．1 證書(shū)分類和互聯(lián)網(wǎng)號(hào)碼資源授權(quán) 32
3．1．2 證書(shū)政策管理 34
3．1．3 證書(shū)命名政策 34
3．1．4 證書(shū)相關(guān)方 35
3．1．5 證書(shū)發(fā)布政策 36
3．1．6 證書(shū)使用范圍 38
3．1．7 重要定義及其縮略語(yǔ) 38
3．2 證書(shū)相關(guān)信息驗(yàn)證 40
3．2．1 私鑰所有權(quán)驗(yàn)證 40
3．2．2 用戶身份認(rèn)證 40
3．2．3 撤銷請(qǐng)求認(rèn)證 41
3．2．4 密鑰重置請(qǐng)求認(rèn)證 41
3．2．5 無(wú)須驗(yàn)證的信息 42
3．2．6 互操作 42
3．3 證書(shū)相關(guān)操作 42
3．3．1 概述 42
3．3．2 操作申請(qǐng)?zhí)幚?43
3．3．3 證書(shū)簽發(fā)操作 44
3．3．4 證書(shū)發(fā)布通知 44
3．3．5 證書(shū)使用規(guī)則 44
3．3．6 證書(shū)更新操作 45
3．3．7 證書(shū)更新同時(shí)更換密鑰操作 46
3．3．8 證書(shū)修改操作 47
3．3．9 證書(shū)廢止 47
3．4 操作安全保障 49
3．4．1 物理安全保障 49
3．4．2 流程安全保障 50
3．4．3 人事安全保障 50
3．4．4 日志安全保障 50
3．4．5 其他保障 51
3．4．6 漏洞評(píng)估和密鑰更換審核 52
3．4．7 CA終止保障 52
3．5 證書(shū)密鑰生成和安全保障 52
3．5．1 密鑰生成 52
3．5．2 密鑰交付 53
3．5．3 密鑰安全管理 54
3．5．4 密鑰時(shí)間戳 54
3．5．5 小結(jié) 55
第4章 RPKI資源證書(shū)詳解 56
4．1 規(guī)則概述 56
4．2 RPKI證書(shū)格式和規(guī)則 57
4．2．1 版本號(hào) 57
4．2．2 序列號(hào) 57
4．2．3 簽名結(jié)構(gòu) 58
4．2．4 簽發(fā)者 58
4．2．5 主題 58
4．2．6 有效期 58
4．2．7 主題公鑰信息 59
4．2．8 資源證書(shū)擴(kuò)展項(xiàng) 60
4．2．9 私鑰格式 65
4．2．10 簽名格式 65
4．2．11 附加需求 65
4．3 證書(shū)撤銷列表格式和規(guī)則 65
4．3．1 版本號(hào) 65
4．3．2 證書(shū)撤銷列表序列號(hào) 66
4．3．3 序列號(hào)和撤銷日期 66
4．3．4 其他規(guī)定 66
4．4 證書(shū)請(qǐng)求格式和規(guī)則 66
4．4．1 概述 66
4．4．2 證書(shū)請(qǐng)求標(biāo)準(zhǔn) 67
4．4．3 證書(shū)請(qǐng)求消息格式 68
4．4．4 證書(shū)擴(kuò)展屬性 69
4．5 證書(shū)驗(yàn)證格式和規(guī)則 70
4．5．1 重要定義 70
4．5．2 驗(yàn)證方法和流程 71
4．6 證書(shū)設(shè)計(jì)及實(shí)例 73
4．6．1 證書(shū)設(shè)計(jì)規(guī)則 73
4．6．2 規(guī)則后續(xù)兼容 75
4．6．3 證書(shū)策略變化 76
4．6．4 吊銷風(fēng)險(xiǎn) 77
4．6．5 資源證書(shū)實(shí)例 77
第5章 RPKI簽名對(duì)象介紹 82
5．1 概述 82
5．2 算法和密鑰 83
5．2．1 算法分類 83
5．2．2 非對(duì)稱密鑰對(duì)格式 84
5．2．3 簽名格式 84
5．2．4 附加規(guī)定 85
5．3 RPKI簽名對(duì)象通用模板 85
5．3．1 簽名對(duì)象語(yǔ)法 85
5．3．2 簽名數(shù)據(jù)內(nèi)容類型 85
5．3．3 簽名對(duì)象驗(yàn)證 88
5．3．4 如何擴(kuò)展成具體簽名對(duì)象 89
5．3．5 其他需要注意的事項(xiàng) 90
第6章 路由源授權(quán)詳解 91
6．1 內(nèi)容格式 91
6．1．1 概述 91
6．1．2 內(nèi)容 92
6．1．3 驗(yàn)證 93
6．1．4 實(shí)例 94
6．2 驗(yàn)證授權(quán)具體應(yīng)用 95
6．2．1 初始AS的定義 95
6．2．2 驗(yàn)證方法 95
6．2．3 驗(yàn)證過(guò)程 96
6．2．4 路由選擇 97
6．2．5 授權(quán)否認(rèn) 98
6．2．6 驗(yàn)證結(jié)果生命期限 99
6．2．7 其他注意事項(xiàng) 99
第7章 RPKI清單詳解 100
7．1 概述 100
7．1．1 背景 100
7．1．2 內(nèi)容 101
7．1．3 簽名規(guī)則 102
7．1．4 發(fā)布庫(kù)要求 102
7．2 RPKI清單語(yǔ)法和語(yǔ)義 103
7．2．1 清單對(duì)公用簽名對(duì)象的擴(kuò)展 103
7．2．2 清單和文件哈希值算法 104
7．2．3 實(shí)例 106
7．3 清單生成和驗(yàn)證 106
7．3．1 清單驗(yàn)證 106
7．3．2 清單生成 107
7．3．3 其他安全考慮 108
7．4 依賴方如何使用RPKI清單 109
7．4．1 清單狀態(tài)檢測(cè) 109
7．4．2 清單缺失的情況 110
7．4．3 有效清單缺失的情況 111
7．4．4 清單版本陳舊的情況 112
7．4．5 清單與發(fā)布點(diǎn)信息不匹配的情況 112
7．4．6 清單與哈希值不匹配的情況 113
第8章 證書(shū)撤銷詳解 115
8．1 使用規(guī)范 115
8．1．1 概述 115
8．1．2 簽發(fā)要求 116
8．2 語(yǔ)義和語(yǔ)法 116
8．2．1 證書(shū)列表 117
8．2．2 TBSCert 列表 118
8．2．3 擴(kuò)展項(xiàng) 119
8．3 CRL實(shí)體擴(kuò)展 120
8．3．1 原因碼 120
8．3．2 無(wú)效期 121
8．3．3 證書(shū)簽發(fā)者 121
8．4 CRL驗(yàn)證 122
8．4．1 撤銷輸入 122
8．4．2 狀態(tài)變量 123
8．4．3 檢測(cè)過(guò)程 123
第9章 Ghostbuster記錄詳解 126
9．1 概述 126
9．1．1 背景和定義 126
9．1．2 安全考慮 127
9．2 Ghostbuster 記錄載荷 127
9．2．1 vCard規(guī)范 127
9．2．2 CMS規(guī)范 128
9．2．3 驗(yàn)證 129
9．3 IANA事項(xiàng) 129
9．3．1 對(duì)象標(biāo)識(shí)符 129
9．3．2 文件擴(kuò)展名 130
9．3．3 媒體類型 130
第10章 IANA簽名對(duì)象詳解 131
10．1 概述 131
10．1．1 背景介紹 131
10．1．2 AS 0 ROA 132
10．1．3 告知對(duì)象 132
10．1．4 簽發(fā)要求 132
10．2 特殊號(hào)碼資源介紹 133
10．2．1 保留的號(hào)碼資源 133
10．2．2 未分配的號(hào)碼資源 134
10．2．3 特殊用途的號(hào)碼資源 135
10．2．4 多播號(hào)碼資源 135
第11章 RPKI資料存儲(chǔ)系統(tǒng) 136
11．1 概述 136
11．2 RPKI資料庫(kù)發(fā)布點(diǎn)內(nèi)容和結(jié)構(gòu) 137
11．2．1 概述 137
11．2．2 清單 138
11．2．3 CA資料庫(kù)發(fā)布點(diǎn) 139
11．3 資源證書(shū)發(fā)現(xiàn)資料庫(kù)注意事項(xiàng) 141
11．4 證書(shū)重簽發(fā)和資料庫(kù) 142
11．5 使用本地緩存同步資料庫(kù) 142
11．6 資料庫(kù)安全 143
第12章 信任錨點(diǎn)及其定位器 144
12．1 信任錨點(diǎn)及其發(fā)布 144
12．1．1 信任錨點(diǎn)的定義 144
12．1．2 信任錨點(diǎn)的發(fā)布流程 145
12．2 信任錨點(diǎn)定位器 145
12．2．1 定義 145
12．2．2 語(yǔ)法和語(yǔ)義 146
12．2．3 實(shí)例 147
12．3 TAL的使用和安全事項(xiàng) 147
12．3．1 檢索和驗(yàn)證步驟 147
12．3．2 安全相關(guān) 148
第13章 RPKI應(yīng)用場(chǎng)景介紹 149
13．1 概述 149
13．1．1 基本定義 149
13．1．2 基本策略 151
13．2 完全部署RPKI的應(yīng)用 152
13．2．1 單公告的情況 152
13．2．2 聚集且更具體前綴的情況 152
13．2．3 聚集且來(lái)自不同ASN更加具體前綴的情況 153
13．2．4 子分配到多宿主客戶的情況 154
13．2．5 限制新分配的情況 155
13．2．6 限制新申請(qǐng)ASN的情況 156
13．2．7 部分限制的情況 156
13．2．8 限制前綴的長(zhǎng)度 157
13．2．9 對(duì)子分配前綴長(zhǎng)度進(jìn)行限制 158
13．2．10 上游服務(wù)商發(fā)起聚集的情況 159
13．2．11 上游服務(wù)商發(fā)起非法聚集的情況 161
13．3 部分部署RPKI的應(yīng)用 163
13．3．1 雙親節(jié)點(diǎn)不參與RPKI的情況 163
13．3．2 部分子節(jié)點(diǎn)參與RPKI的情況 164
13．3．3 孫節(jié)點(diǎn)不參與RPKI的情況 165
13．4 資源轉(zhuǎn)移使用RPKI的情況 166
13．4．1 正在使用的前綴和ASN轉(zhuǎn)移的情況 166
13．4．2 轉(zhuǎn)移在用前綴的情況 167
13．4．3 轉(zhuǎn)移不在用前綴的情況 168
第14章 依賴方使用RPKI介紹 169
14．1 路由源授權(quán)有效情況下的應(yīng)用實(shí)例 169
14．1．1 場(chǎng)景一：前綴覆蓋、長(zhǎng)度符合、AS匹配 169
14．1．2 場(chǎng)景二：前綴覆蓋、長(zhǎng)度超出、AS匹配 170
14．1．3 場(chǎng)景三：前綴覆蓋、長(zhǎng)度符合、AS不匹配 170
14．1．4 場(chǎng)景四：前綴覆蓋、長(zhǎng)度超出、AS不匹配 170
14．1．5 場(chǎng)景五：無(wú)覆蓋前綴ROA 171
14．1．6 場(chǎng)景六：只有AS 0 ROA為覆蓋前綴ROA 171
14．1．7 場(chǎng)景七：不覆蓋前綴信息但覆蓋更加具體的子集 171
14．1．8 場(chǎng)景八：AS_SET類型其無(wú)覆蓋前綴ROA 172
14．1．9 場(chǎng)景九：?jiǎn)蜛S AS_SET、有覆蓋ROA且AS匹配 172
14．1．10 場(chǎng)景十：?jiǎn)蜛S AS_SET、有覆蓋ROA但AS不匹配 173
14．1．11 場(chǎng)景十一：多AS AS_SET且有覆蓋ROA 173
14．1．12 場(chǎng)景十二：多AS AS_SET、ROA覆蓋子集 173
14．2 路由源授權(quán)無(wú)效情況下的應(yīng)用實(shí)例 174
14．2．1 場(chǎng)景一：父前綴ROA被撤銷 174
14．2．2 場(chǎng)景二：自身ROA被撤銷、新ROA授權(quán)其他ASN 175
14．2．3 場(chǎng)景三：自身ROA撤銷、父前綴ROA有效 175
14．2．4 場(chǎng)景四：祖父前綴ROA撤銷、父前綴ROA有效 175
14．2．5 場(chǎng)景五：父前綴ROA過(guò)期 176
14．2．6 場(chǎng)景六：自身ROA過(guò)期、父前綴ROA授權(quán)其他ASN 176
14．2．7 場(chǎng)景七：自身ROA過(guò)期、父前綴ROA有效 177
14．2．8 場(chǎng)景八：祖父前綴ROA到期、父前綴ROA有效 177
參考文獻(xiàn) 178