rpki中ca资源分配风险及防护技术 resource allocation risks by cas in rpki and feasible solutions.pdfVIP

计算机系统应用 hLtp：I／www．c—s_a．org．cn 2016年第25卷第8期 RPKI中CA资源分配风险及防护技术① 刘晓伟1，一，延志伟2，耿光刚2，李晓东1，2 1(中国科学院大学计算机网络信息中心，北京100190) 2(中国互联网络信息中心互联网域名管理技术国家工程实验室，北京100190) 摘要：边界网关协议在安全方面存在严重的缺陷，容易导致路由劫持这一互联网安全威胁．为此，国际互联网 Public 工程任务组提出了资源公钥基础设施(Resource Key RPKI技术的发展及其在全球范围内的部署，与RPKI中认证权威相关的安全问题逐渐突显，并受到广泛关注．对 RPKI中认证权威的资源分配过程进行研究分析，通过实验测试，验证了认证权威在资源分配的过程中资源重复 分配和未获授权资源分配两种潜在的安全风险，并分析了两种风险对资源持有者可能造成的不良影响．此外，针 对这两种安全风险，提出并实现了一种用于保证RPKI中认证权威资源分配安全性和准确性的“事前控制”机制， 该机制可以有效地防止资源重复分配和未获授权资源分配两种操作风险的发生，减少了由于认证权威的错误操 作所导致的故障恢复等待时间．最后，通过进一步的实验测试，验证、分析了这种“事前控制”机制的有效性和可行 性． 关键词：资源公钥基础设施；认证权威；资源重复分配；未获授权资源分配；事前控制 ResourceAllocationRisksCAsinRPⅪandFeasibleSolutions by LIU Xiao—W：eiJ…，YAN Zhi—Wbi2，GENGGuang—Gan92，LI Xiao-Don91’2 100190，China) 。(National for and InternetNetworkInformation EngineeringLaboratoryNamingAddressing，China 100190，China) Center,Beijing Abstract：Thereareserious vulnerabilitiesin toroute lead security BGP(BorderGatewayProtoc01)whichmay hijacking． Inordertoovercomethese BGP Public IEⅡ securitydefects．RPKI(ResourceKeyInfrastructure)Wasproposedby (Intemet Task the and of lotofconcernsabout EngineeringForce)．HoweverwithdevelopmentglobaldeploymentRPKI，a the ofcertificate inRPKIhavebeenraised．In out security authority this carries abouttwoscenarios paper,it experiments andunauthorizedresource ourRPKI