RPKI及Validator服務介紹

Resource Public Key Infrastructure (RPKI,資源公鑰基礎建設)

1. 什麼是RPKI?
2. 為什麼我們需要RPKI?
3. 什麼是ROA?
4. 我如何驗證ROA?
5. TWNIC提供哪些Validator服務?

什麼是RPKI?

資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)是一個基於公共密鑰基礎建設框架,用於保護網際網路路由基礎建設,特別是在邊界閘道器協定(Border Gateway Protocol,BGP)上。 RPKI提供了將網際網路號碼資源資訊(如IP地址)連結到信任錨(Trust Anchor)的方法。使用RPKI,號碼資源的合法持有者能夠掌握網際網路路由協定的運作,以防止路由劫持和其他攻擊。

為什麼我們需要RPKI?

T路由協定存在可能會損害個人用戶或整體網路操作的攻擊風險。由IETF訂定的RPKI標準提供了一種安全的方法來認證網際網路號碼資源的分配,以作為確保路由安全的一個步驟。IETF的網際網路架構委員會( Internet Architecture Board,IAB )認為,合理設計及實現RPKI絕對是全球路由系統安全的先決條件,而這也是建立全球網際網路可靠性的先決條件。

什麼是ROA?

路由來源授權(Route Origination Authorizations,ROA)是BGP路由通告的證明。它證明來源AS號碼被授權的IP位址前綴宣告。此證明可以使用RPKI進行加密驗證。

我如何驗證ROA?

您能使用可信賴的軟體進行ROA物件驗證,例如:Dragon Research Labs RPKI工具包,RIPE的RPKI Validator或Relying Party Security Technology for Internet Routing。

TWNIC提供哪些Validator服務?

TWNIC提供以下兩種Validator服務以作為ROA驗證使用:

1. RPKI Validator web介面:
https://validator.twnic.net.tw/roas
您可以在這個頁面中查詢您透過RPKI服務系統設定的ROA,確保您的設定正確並成功。

2. Router查詢介面:
請於支援RPKI的路由器上設定validator的IP位址:203.119.3.3,Validator服務會使用到port: 323,可以讓路由器查詢全世界所設定的ROA。
有關市面上支援RPKI 路由器以及路由器如何設定請參考:
https://www.ripe.net/manage-ips-and-asns/resource-management/certification/router-configuration

若有需要任何相關協助,請聯繫:ip@twnic.net.tw