資源憑證(Resource Certification)
資源憑證(Resource Certification)是證明特定IP位址區塊或AS號碼等網際網路號碼資源,與這些號碼資源持有者間之關聯的安全架構。憑證是作為證明資源持有者具有使用其網際網路號碼資源的權利,並且可以用加密的方式進行驗證。資源認證使用稱為資源公開金鑰基礎建設(RPKI)的框架,該框架是以RFC3779中定義的X.509授權憑證格式文件為基礎。
安全的網域間路由(Secure inter-domain routing)
網路路由的運作主要是基於信任原則。每一方都相信用於傳輸資料的路由是安全的,或者不會被惡意竄改而損害資料,例如去製造網路黑洞或是在應用層假冒身份。
以往的安全措施(如“bogon”過濾和零碎的路由政策資料庫)不再是防禦安全漏洞的可靠形式。使用名為資源公鑰基礎建設(RPKI)的驗證結構,讓資源持有者可以明確地聲明所傳輸的路由資訊是正確的,並且符合其構想。
RPKI允許網路營運商通過使用私鑰和公鑰的系統,對發送到BGP的路由宣告進行數位加密和簽章。使用私鑰可以對資訊進行加密和簽章,並且只能使用匹配的公鑰對其進行解密,或對其簽章進行驗證。數位簽章資訊保證了傳送到路由系統的路由宣告可以被驗證並且是真實可靠的。因此,網路營運商藉由建立加密的有效宣告或路由來源授權(Route Origin Authorizations,ROA),說明他們被授權可使用的IP位址前綴進行路由宣告。本質上,ROA確立了某個自治系統(Autonomous System,AS)被授權引領哪些IP位址前綴。
在TWNIC RPKI服務管理系統中建立您的ROA
建立ROA很容易。登錄到您的TWNIC RPKI 系統帳戶,約花你5分鐘即可完成。
Resource Public Key Infrastructure (RPKI,資源公鑰基礎建設)
什麼是RPKI?
資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定(Border Gateway Protocol,BGP)上。
為什麼我們需要RPKI?
路由協定存在可能會損害個人用戶或整體網路操作的攻擊風險。由IETF訂定的RPKI標準提供了一種安全的方法來認證網際網路號碼資源的分配,以作為確保路由安全的一個步驟。
什麼是ROA?
路由來源授權(Route Origination Authorizations,ROA)是BGP路由通告的證明。它證明來源AS號碼被授權的IP位址前綴宣告。此證明可以使用RPKI進行加密驗證。
我如何驗證ROA?
您能使用可信賴的軟體進行ROA物件驗證,例如:Dragon Research Labs RPKI工具包,RIPE的RPKI Validator或Relying Party Security Technology for Internet Routing。