深入浅出详解RPKIPDF电子书下载

第1章RPKI简介 1

1.1背景 1

1.1.1技术起源 1

1.1.2自治系统和路由劫持 2

1.1.3互联网号码资源分配架构 4

1.2 RPKI概述 6

1.2.1技术规范 6

1.2.2标准兼容性 6

1.2.3工作原理 7

1.3重要概念 8

1.3.1资源公钥基础设施 8

1.3.2认证中心证书 9

1.3.3终端证书 9

1.3.4依赖方 10

1.3.5信任锚点 10

1.3.6签名对象 10

1.3.7路由源授权 11

1.3.8清单 11

第2章RPKI总体架构 12

2.1 RPKI证书 12

2.1.1概述 12

2.1.2 CA证书 13

2.1.3 EE证书 14

2.2 RPKI签名对象 15

2.2.1路由源授权 15

2.2.2清单 17

2.2.3证书撤销列表 18

2.3 RPKI资料库 19

2.3.1定义 19

2.3.2使用规则 19

2.3.3访问控制 22

2.4本地缓存 23

2.5信赖锚 24

2.6操作规范 24

2.6.1证书签发 24

2.6.2密钥轮转 25

2.6.3路由源授权管理 26

2.7安全及部署 31

第3章RPKI证书策略 32

3.1资源授权和证书政策 32

3.1.1证书分类和互联网号码资源授权 32

3.1.2证书政策管理 34

3.1.3证书命名政策 34

3.1.4证书相关方 35

3.1.5证书发布政策 36

3.1.6证书使用范围 38

3.1.7重要定义及其缩略语 38

3.2证书相关信息验证 40

3.2.1私钥所有权验证 40

3.2.2用户身份认证 40

3.2.3撤销请求认证 41

3.2.4密钥重置请求认证 41

3.2.5无须验证的信息 42

3.2.6互操作 42

3.3证书相关操作 42

3.3.1概述 42

3.3.2操作申请处理 43

3.3.3证书签发操作 44

3.3.4证书发布通知 44

3.3.5证书使用规则 44

3.3.6证书更新操作 45

3.3.7证书更新同时更换密钥操作 46

3.3.8证书修改操作 47

3.3.9证书废止 47

3.4操作安全保障 49

3.4.1物理安全保障 49

3.4.2流程安全保障 50

3.4.3人事安全保障 50

3.4.4日志安全保障 50

3.4.5其他保障 51

3.4.6漏洞评估和密钥更换审核 52

3.4.7 CA终止保障 52

3.5证书密钥生成和安全保障 52

3.5.1密钥生成 52

3.5.2密钥交付 53

3.5.3密钥安全管理 54

3.5.4密钥时间戳 54

3.5.5小结 55

第4章RPKI资源证书详解 56

4.1规则概述 56

4.2 RPKI证书格式和规则 57

4.2.1版本号 57

4.2.2序列号 57

4.2.3签名结构 58

4.2.4签发者 58

4.2.5主题 58

4.2.6有效期 58

4.2.7主题公钥信息 59

4.2.8资源证书扩展项 60

4.2.9私钥格式 65

4.2.10签名格式 65

4.2.11附加需求 65

4.3证书撤销列表格式和规则 65

4.3.1版本号 65

4.3.2证书撤销列表序列号 66

4.3.3序列号和撤销日期 66

4.3.4其他规定 66

4.4证书请求格式和规则 66

4.4.1概述 66

4.4.2证书请求标准 67

4.4.3证书请求消息格式 68

4.4.4证书扩展属性 69

4.5证书验证格式和规则 70

4.5.1重要定义 70

4.5.2验证方法和流程 71

4.6证书设计及实例 73

4.6.1证书设计规则 73

4.6.2规则后续兼容 75

4.6.3证书策略变化 76

4.6.4吊销风险 77

4.6.5资源证书实例 77

第5章RPKI签名对象介绍 82

5.1概述 82

5.2算法和密钥 83

5.2.1算法分类 83

5.2.2非对称密钥对格式 84

5.2.3签名格式 84

5.2.4附加规定 85

5.3 RPKI签名对象通用模板 85

5.3.1签名对象语法 85

5.3.2签名数据内容类型 85

5.3.3签名对象验证 88

5.3.4如何扩展成具体签名对象 89

5.3.5其他需要注意的事项 90

第6章 路由源授权详解 91

6.1内容格式 91

6.1.1概述 91

6.1.2内容 92

6.1.3验证 93

6.1.4实例 94

6.2验证授权具体应用 95

6.2.1初始AS的定义 95

6.2.2验证方法 95

6.2.3验证过程 96

6.2.4路由选择 97

6.2.5授权否认 98

6.2.6验证结果生命期限 99

6.2.7其他注意事项 99

第7章RPKI清单详解 100

7.1概述 100

7.1.1背景 100

7.1.2内容 101

7.1.3签名规则 102

7.1.4发布库要求 102

7.2 RPKI清单语法和语义 103

7.2.1清单对公用签名对象的扩展 103

7.2.2清单和文件哈希值算法 104

7.2.3实例 106

7.3清单生成和验证 106

7.3.1清单验证 106

7.3.2清单生成 107

7.3.3其他安全考虑 108

7.4依赖方如何使用RPKI清单 109

7.4.1清单状态检测 109

7.4.2清单缺失的情况 110

7.4.3有效清单缺失的情况 111

7.4.4清单版本陈旧的情况 112

7.4.5清单与发布点信息不匹配的情况 112

7.4.6清单与哈希值不匹配的情况 113

第8章 证书撤销详解 115

8.1使用规范 115

8.1.1概述 115

8.1.2签发要求 116

8.2语义和语法 116

8.2.1证书列表 117

8.2.2 TBSCert列表 118

8.2.3扩展项 119

8.3 CRL实体扩展 120

8.3.1原因码 120

8.3.2无效期 121

8.3.3证书签发者 121

8.4 CRL验证 122

8.4.1撤销输入 122

8.4.2状态变量 123

8.4.3检测过程 123

第9章Ghostbuster记录详解 126

9.1概述 126

9.1.1背景和定义 126

9.1.2安全考虑 127

9.2 Ghostbuster记录载荷 127

9.2.1 vCard规范 127

9.2.2 CMS规范 128

9.2.3验证 129

9.3 IANA事项 129

9.3.1对象标识符 129

9.3.2文件扩展名 130

9.3.3媒体类型 130

第10章IANA签名对象详解 131

10.1概述 131

10.1.1背景介绍 131

10.1.2 AS 0 ROA 132

10.1.3告知对象 132

10.1.4签发要求 132

10.2特殊号码资源介绍 133

10.2.1保留的号码资源 133

10.2.2未分配的号码资源 134

10.2.3特殊用途的号码资源 135

10.2.4多播号码资源 135

第11章RPKI资料存储系统 136

11.1概述 136

11.2 RPKI资料库发布点内容和结构 137

11.2.1概述 137

11.2.2清单 138

11.2.3 CA资料库发布点 139

11.3资源证书发现资料库注意事项 141

11.4证书重签发和资料库 142

11.5使用本地缓存同步资料库 142

11.6资料库安全 143

第12章 信任锚点及其定位器 144

12.1信任锚点及其发布 144

12.1.1信任锚点的定义 144

12.1.2信任锚点的发布流程 145

12.2信任锚点定位器 145

12.2.1定义 145

12.2.2语法和语义 146

12.2.3实例 147

12.3 TAL的使用和安全事项 147

12.3.1检索和验证步骤 147

12.3.2安全相关 148

第13章RPKI应用场景介绍 149

13.1概述 149

13.1.1基本定义 149

13.1.2基本策略 151

13.2完全部署RPKI的应用 152

13.2.1单公告的情况 152

13.2.2聚集且更具体前缀的情况 152

13.2.3聚集且来自不同ASN更加具体前缀的情况 153

13.2.4子分配到多宿主客户的情况 154

13.2.5限制新分配的情况 155

13.2.6限制新申请ASN的情况 156

13.2.7部分限制的情况 156

13.2.8限制前缀的长度 157

13.2.9对子分配前缀长度进行限制 158

13.2.10上游服务商发起聚集的情况 159

13.2.11上游服务商发起非法聚集的情况 161

13.3部分部署RPKI的应用 163

13.3.1双亲节点不参与RPKI的情况 163

13.3.2部分子节点参与RPKI的情况 164

13.3.3孙节点不参与RPKI的情况 165

13.4资源转移使用RPKI的情况 166

13.4.1正在使用的前缀和ASN转移的情况 166

13.4.2转移在用前缀的情况 167

13.4.3转移不在用前缀的情况 168

第14章 依赖方使用RPKI介绍 169

14.1路由源授权有效情况下的应用实例 169

14.1.1场景一：前缀覆盖、长度符合、AS匹配 169

14.1.2场景二：前缀覆盖、长度超出、AS匹配 170

14.1.3场景三：前缀覆盖、长度符合、AS不匹配 170

14.1.4场景四：前缀覆盖、长度超出、AS不匹配 170

14.1.5场景五：无覆盖前缀ROA 171

14.1.6场景六：只有AS 0 ROA为覆盖前缀ROA 171

14.1.7场景七：不覆盖前缀信息但覆盖更加具体的子集 171

14.1.8场景八：AS_SET类型其无覆盖前缀ROA 172

14.1.9场景九：单ASAS_SET、有覆盖ROA且AS匹配 172

14.1.10场景十：单AS AS_SET、有覆盖ROA但AS不匹配 173

14.1.11场景十一：多AS AS_SET且有覆盖ROA 173

14.1.12场景十二：多AS AS_SET、 ROA覆盖子集 173

14.2路由源授权无效情况下的应用实例 174

14.2.1场景一：父前缀ROA被撤销 174

14.2.2场景二：自身ROA被撤销、新ROA授权其他ASN 175

14.2.3场景三：自身ROA撤销、父前缀ROA有效 175

14.2.4场景四：祖父前缀ROA撤销、父前缀ROA有效 175

14.2.5场景五：父前缀ROA过期 176

14.2.6场景六：自身ROA过期、父前缀ROA授权其他ASN 176

14.2.7场景七：自身 ROA过期、父前缀ROA有效 177

14.2.8场景八：祖父前缀ROA到期、父前缀ROA有效 177

参考文献 178