RPKI概览
□TELECOMMUNICATIONS NETWORK TECHNOLOGY No.9NETWORK TECHNOLOGYRPKI 概览*马摘迪中国互联网络信息中心要作为支撑互联互通的互联网基础设施,
□TELECOMMUNICATIONS NETWORK TECHNOLOGY No.9NETWORK TECHNOLOGY
RPKI 概览*
马
摘
迪中国互联网络信息中心
要作为支撑互联互通的互联网基础设施,域间路由系统对互联网的安全有着至关重要的
影响。由于BGP协议缺乏对路由通告内容真实性的保证,黑客的蓄意攻击行为以及错误的网络参数配置都可以导致路由劫持现象的发生。作为继DNSSEC之后ICANN下一个重点部署的互联网安全基础设施,RPKI从IP地址资源管理的角度出发,构建了一个IP地址资源授权认证体系,用以验证AS针对特定IP地址前缀的路由通告是否合法,并为域间路由安全方案(例如S-BGP,
BGPSEC)的实施提供了一个可信的信息源。围绕RPKI的部署和业务开展,本文首先回顾了RPKI
的历史由来,然后从技术要素、运行机制和标准化工作等三个层面对RPKI的基本原理进行了介绍。
关键词RPKI技术要素运行机制标准化工作
1引言
由于IPv4地址空间的局限,互联网开始了向
PublicKeyInfrastructure)以期构建一个支撑域间路由安全的互联网基础资源管理系统。
——RPKI业务的兴起源自一种互联网安全威胁—路由劫持。由于BGP协议缺乏对路由通告内容真实性的保证,黑客的蓄意攻击以及错误的网络参数配置都可以导致路由劫持现象的发生。路由劫持对互联网的正常运行影响极大,导致大面积的网络瘫痪。见诸报端的典型路由劫持事件有:1997年4月的“AS7007
IPv6的演进。在向IPv6过渡的进程中,以“构建从可用到可信的互联网”为目标,互联网的基础设施也正在经历着深刻的变化。作为支撑互联互通的互联网基础设施,域名系统和域间路由系统对互联网的安全有着至关重要的影响。在域名系统层面,伴随着ICANN(TheInternetCorporationforAssignedNamesand
Incident”事件,2004年的12月土耳其TTNet路由劫持事件,2006年1月Con-Edison路由劫持事件以及
Numbers)于2009年末对DNS根区(RootZone)实施签名,DNSSEC将成为DNS安全的基石;而在域间路由系统层面,互联网社区则计划部署RPKI(Resource
2008年巴基斯坦电信劫持YouTube流量事件等。
为增强域间路由系统的安全,不少研究针对BGP
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□
+CGN解决方案。在江苏、湖南、四川等省的IPv6过渡技术试点中完成包括双栈cGN,Ds-Lite和现网CGN等多种过渡场景验证和测试,并积极摸索符合现网场景的多种过渡技术组合方案,以探索出立足现网,低成本、可规模复制的IPv6过渡方案。2012年2~5月相继在成都、长沙、无锡完成了商用试点,目前,已经覆盖18万IPv6用户,开通1.3万双栈+CGN用户,3.3万CGN用户。验证了华为提供的方案的成熟性和易部署性,
DS-lite用户正在逐步开展放号工作,解决了创新技术在部署过程中的一些问题,方案逐步完善。
华为IPv6及CGN过渡技术研究、产品实现及网络部署实践方面积累了丰富的经验,将鼎力支持国家宽带中国下一代互联网战略的全面推进,十二五期间实现IPv6的大规模部署商用。
(收稿日期:2012-08-20)
*基金项目:发改委CNGI专项[20121763号],2012年下一代互联网技术研发、产业化和规模商用专项资助项目
·30·
,网络技术协议层面的缺陷提出了解决方案,其中以BBN公司StephenKent提出的S-BGP和思科公司RussWhite提出的soBGP在工业界最具影响。RPKI的概念最早诞生于描述S-BGP方案的论文中。S-BGP提出了一种附加签名的BGP消息格式,用以验证路由通告中IP地址前缀和传播路径上AS号的绑定关系,从而避免路由劫持。基于这样的设计,数字证书和签名机制被引入BGP范畴,需要PKI的支持。为验证路由通告签名者所持有的公钥,该签名者的IP地址分配上游为其签发证书,一方面验证其公钥,一方面验证该实体对某个IP地址前缀的管理权。基于IP地址资源分配关系而形成的公钥证书体系,RPKI的基本框架就此形成。
目前,RPKI相关技术的标准化工作正在IETF域间路由安全(SecureInter-domainRouting,SIDR)工作组持续开展,本文将依据RPKI在IETF已经形成结论或讨论较为成熟的内容,对相关技术进行介绍。
2RPKI 基本原理
顾名思义,RPKI是一种用于保障互联网基础号
码资源(包含IP地址,AS号)安全使用的公钥基础设施。通过对X.509公钥证书进行扩展,RPKI依托资源证书实现了对互联网基础号码资源使用授权的认证,并以路由源声明(RouteOriginAttestation,ROA)的形式帮助域间路由系统,验证某个AS针对特定IP地址前缀的路由通告是否合法。此外,RPKI证书体系以及
RPKI资料库还为域间路由安全方案(例如S-BGP)的实施提供了一个可信的数据源。下文将从RPKI证书体系、ROA和RPKI资料库(Repository)等方面对RP-
KI范畴的相关原理进行介绍。2.1RPKI 证书体系
RPKI范畴有两种证书,一种为CA证书,用以证明某个实体对IP地址和AS号的所有权;一种称之为
EE(EndEntity,终端实体)证书,用以对IP地址前缀的路由源信息添加签名。在RPKI中,验证关系由IP地址分配关系决定,并通过对传统的X.509证书进行扩展加以实现。使用X.509证书来携带IP地址和AS号信息的方法已经以RFC3779的形式在IETF完成了标准化,详细规范了IP地址和AS号作为扩展域在
X.509证书中的编码格式。AS号和IP地址扩展域在
《电信网技术》2012年9月第9期
X.509证书中被标识为关键扩展(Critical),也即该项信息必须被验证。
当某个IP地址资源持有者(RPKI体系中的CA证书持有者)需要授权某个AS为其特定的IP地址前缀通告路由可达信息时,该IP地址资源持有者使用其持有CA证书对应的私钥签发一个EE证书,然后再用EE证书对应的私钥产生“路由源声明”签名项,EE证书中的IP地址前缀与“路由源声明”所表征的IP地址前缀须完全一致。
全球范围内的IP地址分配管理体系决定了RPKI体系内证书的验证路径,IP地址分配管理体系中的地址分配者和地址申请者相应地成为IP地址资源证书的颁发者和持有者。换言之,在IP地址分配树中,上游节点既是其邻接下游节点的资源分配者,也是其邻接下游节点所持有资源证书的颁发者。
2.2ROA
ROA,即路由源声明,包含一个AS号同一个或多个IP地址前缀之间的“绑定关系”。其真实性由ROA中IP地址前缀对应的EE证书添加签名加以保证。基于ROA的设计,RPKI验证者(RelyingParty,RP)通过验证ROA来判断一个AS是否被IP地址资源的持有者授权通告对应IP地址前缀的路由信息。
当需要授权某个AS对特定的IP地址前缀进行路由通告时,该IP地址前缀的持有者产生ROA,并通过RPKI资料库加以存储和发布,供RP下载和验证。为了撤销的便利,IP地址资源持有者(CA)通常为每一个ROA的产生独立地颁发一个EE证书,也即
ROA和EE证书具有一一对应关系。这样设计的好处是,通过撤销EE证书就可以实现对ROA的更新,而无需设计专门的ROA撤销机制。EE证书和ROA的一一对应关系决定了EE证书的公钥仅用于产生一次
ROA签名项。ROA签名项一旦生成,EE证书对应的私钥即可销毁,简化了密钥管理。
2.3RPKI 资料库
RPKI中所有证书以及签名对象(例如ROA)都在RPKI资料库存储并加以发布,由证书颁发者和签名者负责相关数据的上载。基于分布式的IP地址分配管理体系,RPKI资料库的部署相应地采用了分布式系统,该系统使用目录对数据进行组织,并通过资源证书中的SIA(SubjectInformationAuthority)和AIA(Au-
·31·
,□TELECOMMUNICATIONS NETWORK TECHNOLOGY No.9NETWORK TECHNOLOGY
thorityInformationAuthority)对相关数据的存取定位信息加以描述。考虑到RP需要周期地下载相关证书和
RP功能组件的设计是RPKI在运行实践层面的关键环节,是RPKI证书体系和互联网域间路由系统之间进行交互的桥梁,图2给出了BBN公司设计的
RPKI签名对象,RPKI资料的存取基于增量下载机制,使用一种称为rsync的协议完成RPKI资料同步。
RP功能组件的模块图,其中RP的URIChaser是一个非同步进程,用以主动寻找新颁发证书,CRL以及
RPKI资料库系统可能遭受多种形式的攻击。例如,一个过期的签名项(例如ROA)可能会被用来替换当前版本;一个有效的条目(例如CA证书)可能在验证者没有察觉的情况下被攻击者从RPKI资料库中删除从而导致证书路径构建的失败。为保护RPKI资料库的内容完整性,RPKI设计了资料清单(Manifest),用于罗列RPKI资料库中所有未过期的证书,CRL以及ROA等签名项,并包含了这些文件的名称以及文件内容的哈希。RPKI资料清单的核心作用是帮助RP构造RPKI数据的可信本地缓存。
ROA发布点的模块。相关签名项经过验证后在RP本地缓存,并通过RTR协议提供给边界路由器。
在RPKI体系中,证书和签名对象的验证导致RP计算负担最重,而本地缓存和信任锚点(TrustAnchor)的维护则使得RP还承担复杂的管理任务。尽管较大的运营商有能力在自己的网络内独立地部署RP,但较小的企业或中小ISP可能还是倾向使用第三方提供的RP服务。随着云计算模式日趋普遍,这种第三方的
RP服务或将逐渐迁移到云端,使得RPKI业务作为互联网公共服务的定位更加清晰。
2.4RPKI 运行机制
在RPKI完全部署之后,相关证书的颁发行为不是独立的事务,而是全球IP地址资源分配流程中的一个必需环节。每当有IP地址资源分配事务发生,地址注册机构,ISP等实体将相应的证书,ROA以及其它
3RPKI 技术的实践与标准化
RPKI概念问世以来,得到了工业界的广泛关注和
RPKI签名项向RPKI资料库上载,RP定期地下载这些签名项,将验证之后的IP地址授权信息分发给相关的边界路由器。当有新的路由通告到达这些边界路由器时,RP提供的IP地址授权信息就成为边界路由器判断路由通告是否可信的一个依据。图1给出了RP-
研究。一方面,全球五大IP地址注册机构(RegionalIn-
ternetRegistry,RIR)均已开展RPKI业务,向其会员开放了资源证书申请;另一方面,包括设备制造商(思科)、电信服务商(NTT)、内容提供商(Google)以及技术提供服务商(BBN,ISC)等在内的产业链各个实体也积极参与RPKI相关技术的研发,并与2009年构建了一
个面向全球的RPKI试验床。
基于实践中发现的问题和总结的对策,以及互联网社区的广泛讨论,2012年2月,
KI作模型的一个示例。
IETF的SIDR工作组发布了14个和RPKI相关的RFC文档(RFC6480 ̄RFC6493),涵盖
RPKI的体系结构、操作模型、密钥算法、证书策略、运行管理等支撑RPKI运行的各个关键环节,标志着RPKI在技术层面已经基本成熟。在RPKI范畴,部分技术的标准化仍在进行中,路由器获取IP地址授权信息的RTR协议和RPKI本地
图1RPKI 运行机制示例
·32·
,网络技术《电信网技术》2012年9月第9期
信任锚点管理机制是其中将会对RPKI的运行产生重要影响的标准化内容。
继DNSSEC之后,RPKI成为ICANN下一个重点推广和部署的互联网基础设施。ICANN制定的2011
年7月~2014年6月的阶段性战略计划,多处提到要大力发展RPKI,并特别强调RPKI的部署是今后一段时间IANA(InternetAssignedNumbersAu-
thority)职能在互联网安全范畴的重要体现。
RPKI在全球范围内的运行将是一个复杂的系统工程,需要地址注册机构、设备制造商、服务提供商以及电信运营商等众多角色的通力配合和专业管理,任何一个环节的差错都将对互联网路由系统造成巨大影响。我国互联网工业界应重视起RPKI,充分调研,及早
图2BBN 公司RPKI 验证代理功能组件
实践,为RPKI今后的部署和运行积累经验。
IP地址转移和跨级认证也是近来SIDR工作组中讨论的热点。由于IPv4地址趋于耗尽,IPv4地址资源相对富余的持有者可能倾向将部分乃至全部IPv4地址向其他用户进行转让,IPv4地址所有权的转让会对
参考文献
1R.Arends,R.Austein,M.Larson,D.MasseyandS.Rose.DNSSecurityIntroductionandRequirements.RFC4033.20052S.Kent,C.Lynn,K.Seo.Securebordergatewayprotocol(S-BGP).IEEEJournalonSelectedAreasinCommunications.2000,18(4):582-592
3R.White.SecuringBGPthroughsecureoriginBGP(SoBGP).TheInternetProtocolJournal,2003,6(3):15-22
4M.Lepinski,S.Kent.AnInfrastructuretoSupportSecureInternetRouting.RFC6480.2,2012
5M.Lepinski,S.Kent,D.Kong.AProfileforRouteOriginAuthorizations(ROAs).RFC6482.2,2012
6G.Huston,R.Loomans,G.Michaelson.AProfileforReso-urceCertificateRepositoryStructure.RFC6481.2,20127C.Lynn,S.Kent,K.Seo.X.509ExtensionsforIPAddressesandASIdentifiers.RFC3779.J6,2004
8S.Weiler,D.Ward,R.Housley.ThersyncURIScheme.RFC5781.2,2010
9R.Austein,G.Huston,S.Kent,M.Lepinski.ManifestsfortheResourcePublicKeyInfrastructure(RPKI).RFC6486.
(收稿日期:2012-08-14)2,2012
RPKI的证书管理和以及路由信息的验证造成影响,需要在RPKI的技术和运行层面加以考量;至于跨域认证,则是指由于管理和运营上的需求,IP地址分配体系中的某个节点期望绕过其父节点,而直接向更上游的节点申请RPKI证书服务,同样需要SIDR工作组妥善处理,并考虑是否对RPKI进行调整。
4结束语
作为面向域间路由安全的互联网基础设施,在
IPv6时代,RPKI有望同DNSSEC一道,为互联网的安全运行构筑一个可信的基础资源管理体系。基于RP-
KI所构建的可信IP地址资源认证体系,一个称为BGPSEC的协议正在IETF进行系统地标准化工作,旨在弥补传统BGP在安全范畴的不足,以全面构建安全的域间路由系统。
·33·