資源憑證(Resource Certification)
資源憑證(Resource Certification)是證明特定IP位址區塊或AS號碼等網際網路號碼資源,與這些號碼資源持有者間之關聯的安全架構。憑證是作為證明資源持有者具有使用其網際網路號碼資源的權利,並且可以用加密的方式進行驗證。資源認證使用稱為資源公開金鑰基礎建設(RPKI)的框架,該框架是以RFC3779中定義的X.509授權憑證格式文件為基礎。
安全的網域間路由(Secure inter-domain routing)
網路路由的運作主要是基於信任原則。每一方都相信用於傳輸資料的路由是安全的,或者不會被惡意竄改而損害資料,例如去製造網路黑洞或是在應用層假冒身份。
以往的安全措施(如“bogon”過濾和零碎的路由政策資料庫)不再是防禦安全漏洞的可靠形式。使用名為資源公鑰基礎建設(RPKI)的驗證結構,讓資源持有者可以明確地聲明所傳輸的路由資訊是正確的,並且符合其構想。
RPKI允許網路營運商通過使用私鑰和公鑰的系統,對發送到BGP的路由宣告進行數位加密和簽章。使用私鑰可以對資訊進行加密和簽章,並且只能使用匹配的公鑰對其進行解密,或對其簽章進行驗證。數位簽章資訊保證了傳送到路由系統的路由宣告可以被驗證並且是真實可靠的。因此,網路營運商藉由建立加密的有效宣告或路由來源授權(Route Origin Authorizations,ROA),說明他們被授權可使用的IP位址前綴進行路由宣告。本質上,ROA確立了某個自治系統(Autonomous System,AS)被授權引領哪些IP位址前綴。
在TWNIC RPKI服務管理系統中建立您的ROA
建立ROA很容易。登錄到您的TWNIC RPKI 系統帳戶,約花你5分鐘即可完成。