資源憑證與路由安全介紹

1. 什麼是資源憑證?
2. 如何利用資源憑證建立路由安全?
3. 建立更高信任度的資源管理?

1. 什麼是資源憑證

資源憑證(RESOURCE CERTIFICATION)

資源憑證(Resource Certification)是證明特定IP位址區塊或AS號碼等網際網路號碼資源,與這些號碼資源持有者間之關聯的安全架構。憑證是作為證明資源持有者具有使用其網際網路號碼資源的權利,並且可以用加密的方式進行驗證。資源認證使用稱為資源公開金鑰基礎建設(RPKI)的框架,該框架是以RFC3779中定義的X.509授權憑證格式文件為基礎。
在RPKI (Resource Public Key Infrastructure,資源公鑰基礎建設) 中,憑證結構反映了網際網路號碼資源分配的方式。也就是反映了,IANA最初將資源分發給區域網路註冊管理機構(RIR),然後將這些資源分配給國家或本地網路註冊管理機構,然後再將這些資源分配給其客戶。

TWNIC’s RPKI

TWNIC作為一個可信任的憑證授權中心(Certification Authority,CA),向TWNIC 的資源持有者,也就是TWNIC IP會員頒發憑證。憑證授權中心證明產生憑證中的公鑰是已識別方的公鑰。
TWNIC的RPKI存儲庫包含一個“所有資源”的憑證作為自簽名信任錨。在這個信任錨的下面,管理著網路號碼資源的不同子集。

憑證管理服務(Certificate management services)

TWNIC資源持有者可以通過TWNIC 「RPKI 服務管理系統」新建和管理其資源憑證及其相關聯的物件(例如ROA)。

資源認證的好處(Benefits of resource certification)

■ 路由資訊對應於可證明已被授權的IP位址資源,使得資源持有者可以證明他們所擁有的號碼資源並且有權使用IP位址。
■ 資源持有者在將號碼資源分配給客戶或用戶時,可以證明為其資源。
■ 資源使用者可以使用電子簽名保護其與委派資源相關的資訊。任何改變這些資訊的努力都會導致簽名失效。
■ 只有擁有正確“使用權”授權的資源持有者,才能結合其網路號碼資源與其簽名,產生出相關聯的電子簽名。

2. 如何利用資源憑證建立路由安全

安全的網域間路由(Secure inter-domain routing)

網路路由的運作主要是基於信任原則。每一方都相信用於傳輸資料的路由是安全的,或者不會被惡意竄改而損害資料,例如去製造網路黑洞或是在應用層假冒身份。
以往的安全措施(如“bogon”過濾和零碎的路由政策資料庫)不再是防禦安全漏洞的可靠形式。使用名為資源公鑰基礎建設(RPKI)的驗證結構,讓資源持有者可以明確地聲明所傳輸的路由資訊是正確的,並且符合其構想。
RPKI允許網路營運商通過使用私鑰和公鑰的系統,對發送到BGP的路由宣告進行數位加密和簽章。使用私鑰可以對資訊進行加密和簽章,並且只能使用匹配的公鑰對其進行解密,或對其簽章進行驗證。數位簽章資訊保證了傳送到路由系統的路由宣告可以被驗證並且是真實可靠的。因此,網路營運商藉由建立加密的有效宣告或路由來源授權(Route Origin Authorizations,ROA),說明他們被授權可使用的IP位址前綴進行路由宣告。本質上,ROA確立了某個自治系統(Autonomous System,AS)被授權引領哪些IP位址前綴。

建立路由來源授權(ROA)的好處

■ 驗證某個AS是否有權發布特定的IP位址前綴。
■ 盡量減少常見的路由錯誤。
■ 防止大多數的意外劫持。

路由來源授權(ROA)中包含的內容

■ 您授權的AS號碼。
■ 正在從它發起的IP位址前綴。
■ AS可能宣布的最特有的IP位址前綴(最大長度)。
ROA可能看起來像下列顯示,例如:“ISP 4允許AS 65000發起前綴為192.2.200.0/24的路由”

在TWNIC RPKI服務管理系統中建立您的ROA

建立ROA很容易。登錄到您的 TWNIC RPKI服務管理系統帳戶 ,在Resource清單中會列出屬於您的ASN、IPv4、IPv6等資源,只須按照您在BGP路由表中設定的IP prefix及ASN對應設定到ROA,約花你5分鐘即可完成

3. 建立更高信任度的資源管理(Higher-trust resource management)

TWNIC使用RPKI資源憑證機制來強化對網際網路號碼資源管理的信任。 此服務模式對於資源進行權利主張的簽署,其將使用RPKI提供簽章,證明對特定號碼資源具有採取行動的權力。可使用的情況包括提供路由轉送服務,資源移轉和網際網路路由註冊的改進。
舉例如下:
■ 簽署授權書(Letters of Authority,LOA)以啟用路由轉送服務。
■ 簽署對資源收購或轉讓表達申請興趣的要求。
■ 簽署網際網路路由註冊(Internet Routing Registry,IRR)涉及由多個RIR取得資源的對象。