摘 要
【目的】为应对当前互联网码号资源公钥基础设施(Resource Public Key Infrastructure, RPKI)层级式认证机制下因单边撤销导致的资源失效问题,本文提出了一种基于行为透明性(Behavior Transparency, BT)的单边撤销检测机制,并通过实验验证了该机制的效果和性能。
【方法】本文详细分析了当前RPKI架构下的单边撤销问题和由此导致的下级认证权威(Certificate Authority, CA)资源失效风险,通过部署日志服务器记录CA签发行为来提高CA签发行为的透明性,并以此为基础设计了高效的单边撤销实时监测和应急处置机制。
【结果】实验结果表明,在部署有日志服务器且日志服务器足够安全可控的前提下,该机制的检测效率能满足当前架构性能需求,且准确率达到100%,传输开销可忽略不计。
【局限】该机制在面向未来的RPKI大规模部署环境下的效率、准确率和可扩展性还有待进一步验证。
【结论】本文所提基于行为透明性的RPKI撤销检测在当前RPKI实际部署环境下新引入的开销较小,能有效实现检测目的,支持CA实时监测其自持有资源有效性以及针对其的单边撤销行为。
关键词:IP地址;AS号;域间路由安全;互联网码号资源公钥基础设施;透明性
引 言
互联网码号资源公钥基础设施(Reso