新書推薦:
《
纯粹·我只要少许
》
售價:HK$
80.6
《
投机苦旅:一位投机客的凤凰涅槃
》
售價:HK$
88.5
《
重返马赛渔场:社会规范与私人治理的局限
》
售價:HK$
69.4
《
日子慢慢向前,事事慢慢如愿
》
售價:HK$
55.8
《
场景供应链金融:将风口变成蓝海
》
售價:HK$
111.8
《
汗青堂丛书146·布鲁克王朝:一个英国家族在东南亚的百年统治
》
售價:HK$
91.8
《
人生是旷野啊
》
售價:HK$
72.8
《
甲骨文丛书· “安国之道”:英国的殖民情报系统及其在亚洲的扩张
》
售價:HK$
88.5
|
內容簡介: |
边界路由劫持往往会造成一个地区甚至一个国家整个网络断网的严重事件。为此,IETF推出了近40 篇RFC,以期构建一个支撑域间路由安全的互联网号码资源公钥基础设施,这是IETF有史以来针对单一技术制定RFC*多的一次。本书以IETF制定的RFC为基础,着眼于实际应用,从定义、原理、架构和实际应用出发,系统性地介绍了RPKI。本书适合软件开发人员、测试人员以及互联网安全管理者阅读,也适合高等院校计算机相关专业师生、互联网安全研究者阅读。
|
關於作者: |
秦小伟,男,毕业于南开大学电子技术科学学院,中国互联网络信息中心(CNNIC)高级工程师,长期从事计算机网络安全研究,涉及IP、边界路由等。多项国际、国内互联网技术标准制定者,国家首届关键信息基础设施网络安全检查成员,主持国家检查办CII识别与认定工作,多项工信部、发改委、科技部重大专项参与者。
|
目錄:
|
目录
第1章RPKI简介1
1.1背景1
1.1.1技术起源1
1.1.2自治系统和路由劫持2
1.1.3互联网号码资源分配架构4
1.2RPKI概述6
1.2.1技术规范6
1.2.2标准兼容性6
1.2.3工作原理7
1.3重要概念8
1.3.1资源公钥基础设施8
1.3.2认证中心证书9
1.3.3终端证书9
1.3.4依赖方10
1.3.5信任锚点10
1.3.6签名对象10
1.3.7路由源授权11
1.3.8清单11
第2章RPKI总体架构12
2.1RPKI证书12
2.1.1概述12
2.1.2CA证书13
2.1.3EE证书14
2.2RPKI签名对象15
2.2.1路由源授权15
2.2.2清单17
2.2.3证书撤销列表18
2.3RPKI资料库19
2.3.1定义19
2.3.2使用规则19
2.3.3访问控制22
2.4本地缓存23
2.5信赖锚24
2.6操作规范24
2.6.1证书签发24
2.6.2密钥轮转25
2.6.3路由源授权管理26
2.7安全及部署31
第3章RPKI证书策略32
3.1资源授权和证书政策32
3.1.1证书分类和互联网号码资源授权32
3.1.2证书政策管理34
3.1.3证书命名政策34
3.1.4证书相关方35
3.1.5证书发布政策36
3.1.6证书使用范围38
3.1.7重要定义及其缩略语38
3.2证书相关信息验证40
3.2.1私钥所有权验证40
3.2.2用户身份认证40
3.2.3撤销请求认证41
3.2.4密钥重置请求认证41
3.2.5无须验证的信息42
3.2.6互操作42
3.3证书相关操作42
3.3.1概述42
3.3.2操作申请处理43
3.3.3证书签发操作44
3.3.4证书发布通知44
3.3.5证书使用规则44
3.3.6证书更新操作45
3.3.7证书更新同时更换密钥操作46
3.3.8证书修改操作47
3.3.9证书废止47
3.4操作安全保障49
3.4.1物理安全保障49
3.4.2流程安全保障50
3.4.3人事安全保障50
3.4.4日志安全保障50
3.4.5其他保障51
3.4.6漏洞评估和密钥更换审核52
3.4.7CA终止保障52
3.5证书密钥生成和安全保障52
3.5.1密钥生成52
3.5.2密钥交付53
3.5.3密钥安全管理54
3.5.4密钥时间戳54
3.5.5小结55
第4章RPKI资源证书详解56
4.1规则概述56
4.2RPKI证书格式和规则57
4.2.1版本号57
4.2.2序列号57
4.2.3签名结构58
4.2.4签发者58
4.2.5主题58
4.2.6有效期58
4.2.7主题公钥信息59
4.2.8资源证书扩展项60
4.2.9私钥格式65
4.2.10签名格式65
4.2.11附加需求65
4.3证书撤销列表格式和规则65
4.3.1版本号65
4.3.2证书撤销列表序列号66
4.3.3序列号和撤销日期66
4.3.4其他规定66
4.4证书请求格式和规则66
4.4.1概述66
4.4.2证书请求标准67
4.4.3证书请求消息格式68
4.4.4证书扩展属性69
4.5证书验证格式和规则70
4.5.1重要定义70
4.5.2验证方法和流程71
4.6证书设计及实例73
4.6.1证书设计规则73
4.6.2规则后续兼容75
4.6.3证书策略变化76
4.6.4吊销风险77
4.6.5资源证书实例77
第5章RPKI签名对象介绍82
5.1概述82
5.2算法和密钥83
5.2.1算法分类83
5.2.2非对称密钥对格式84
5.2.3签名格式84
5.2.4附加规定85
5.3RPKI签名对象通用模板85
5.3.1签名对象语法85
5.3.2签名数据内容类型85
5.3.3签名对象验证88
5.3.4如何扩展成具体签名对象89
5.3.5其他需要注意的事项90
第6章路由源授权详解91
6.1内容格式91
6.1.1概述91
6.1.2内容92
6.1.3验证93
6.1.4实例94
6.2验证授权具体应用95
6.2.1初始AS的定义95
6.2.2验证方法95
6.2.3验证过程96
6.2.4路由选择97
6.2.5授权否认98
6.2.6验证结果生命期限99
6.2.7其他注意事项99
第7章RPKI清单详解100
7.1概述100
7.1.1背景100
7.1.2内容101
7.1.3签名规则102
7.1.4发布库要求102
7.2RPKI清单语法和语义103
7.2.1清单对公用签名对象的扩展103
7.2.2清单和文件哈希值算法104
7.2.3实例 106
7.3清单生成和验证106
7.3.1清单验证106
7.3.2清单生成107
7.3.3其他安全考虑108
7.4依赖方如何使用RPKI清单109
7.4.1清单状态检测109
7.4.2清单缺失的情况110
7.4.3有效清单缺失的情况111
7.4.4清单版本陈旧的情况112
7.4.5清单与发布点信息不匹配的情况112
7.4.6清单与哈希值不匹配的情况113
第8章证书撤销详解115
8.1使用规范115
8.1.1概述115
8.1.2签发要求116
8.2语义和语法116
8.2.1证书列表117
8.2.2TBSCert 列表118
8.2.3扩展项119
8.3CRL实体扩展120
8.3.1原因码120
8.3.2无效期121
8.3.3证书签发者121
8.4CRL验证122
8.4.1撤销输入122
8.4.2状态变量123
8.4.3检测过程123
第9章Ghostbuster记录详解126
9.1概述126
9.1.1背景和定义126
9.1.2安全考虑127
9.2Ghostbuster 记录载荷127
9.2.1vCard规范127
9.2.2CMS规范128
9.2.3验证129
9.3IANA事项129
9.3.1对象标识符129
9.3.2文件扩展名130
9.3.3媒体类型130
第10章IANA签名对象详解131
10.1概述131
10.1.1背景介绍131
10.1.2AS 0 ROA132
10.1.3告知对象132
10.1.4签发要求132
10.2特殊号码资源介绍133
10.2.1保留的号码资源133
10.2.2未分配的号码资源134
10.2.3特殊用途的号码资源135
10.2.4多播号码资源135
第11章RPKI资料存储系统136
11.1概述136
11.2RPKI资料库发布点内容和结构137
11.2.1概述137
11.2.2清单138
11.2.3CA资料库发布点139
11.3资源证书发现资料库注意事项141
11.4证书重签发和资料库142
11.5使用本地缓存同步资料库142
11.6资料库安全143
第12章信任锚点及其定位器144
12.1信任锚点及其发布144
12.1.1信任锚点的定义144
12.1.2信任锚点的发布流程145
12.2信任锚点定位器145
12.2.1定义145
12.2.2语法和语义146
12.2.3实例147
12.3TAL的使用和安全事项147
12.3.1检索和验证步骤147
12.3.2安全相关148
第13章RPKI应用场景介绍149
13.1概述149
13.1.1基本定义149
13.1.2基本策略151
13.2完全部署RPKI的应用152
13.2.1单公告的情况152
13.2.2聚集且更具体前缀的情况152
13.2.3聚集且来自不同ASN更加具体前缀的情况153
13.2.4子分配到多宿主客户的情况154
13.2.5限制新分配的情况155
13.2.6限制新申请ASN的情况156
13.2.7部分限制的情况156
13.2.8限制前缀的长度157
13.2.9对子分配前缀长度进行限制158
13.2.10上游服务商发起聚集的情况159
13.2.11上游服务商发起非法聚集的情况161
13.3部分部署RPKI的应用163
13.3.1双亲节点不参与RPKI的情况163
13.3.2部分子节点参与RPKI的情况164
13.3.3孙节点不参与RPKI的情况165
13.4资源转移使用RPKI的情况166
13.4.1正在使用的前缀和ASN转移的情况166
13.4.2转移在用前缀的情况167
13.4.3转移不在用前缀的情况168
第14章依赖方使用RPKI介绍169
14.1路由源授权有效情况下的应用实例169
14.1.1场景一:前缀覆盖、长度符合、AS匹配169
14.1.2场景二:前缀覆盖、长度超出、AS匹配170
14.1.3场景三:前缀覆盖、长度符合、AS不匹配170
14.1.4场景四:前缀覆盖、长度超出、AS不匹配170
14.1.5场景五:无覆盖前缀ROA171
14.1.6场景六:只有AS 0 ROA为覆盖前缀ROA171
14.1.7场景七:不覆盖前缀信息但覆盖更加具体的子集171
14.1.8场景八:AS_SET类型其无覆盖前缀ROA172
14.1.9场景九:单AS AS_SET、有覆盖ROA且AS匹配172
14.1.10场景十:单AS AS_SET、有覆盖ROA但AS不匹配173
14.1.11场景十一:多AS AS_SET且有覆盖ROA173
14.1.12场景十二:多AS AS_SET、ROA覆盖子集173
14.2路由源授权无效情况下的应用实例174
14.2.1场景一:父前缀ROA被撤销174
14.2.2场景二:自身ROA被撤销、新ROA授权其他ASN175
14.2.3场景三:自身ROA撤销、父前缀ROA有效175
14.2.4场景四:祖父前缀ROA撤销、父前缀ROA有效175
14.2.5场景五:父前缀ROA过期176
14.2.6场景六:自身ROA过期、父前缀ROA授权其他ASN176
14.2.7场景七:自身ROA过期、父前缀ROA有效177
14.2.8场景八:祖父前缀ROA到期、父前缀ROA有效177
参考文献178
|
內容試閱:
|
推荐序:期待中文版的RPKI
路由的完整性是全球互联网安全的基石,而路由的完整性又取决于地址和路由宣告的信任。这种信任并不会自发产生,它需要一个可以经过严格测试和验证的信息模型。RPKI是一个与互联网号码资源结构相结合的分层认证模型,在X.509证书框架下采用公钥私钥的加密形式,用签名的方式为网络地址和路由宣告信息提供可信任的基础。RPKI严格遵循现有的互联网号码资源管理体系架构,中国也是该体系架构中的一员。依赖方会对RPKI断言执行密码测试,以验证其在任务层次中的完整性,因此构建了一个严谨的互联网模型。RPKI是互联网路由架构信任的基础。RPKI技术是由IETF制定的一系列RFC标准组成的,中国的计算机科学、网络工程、电信行业和公共行政机构等与世界上其他伙伴一起在这些标准制定中发挥了作用。这其实是对公众利益的一项重大、长期投资。RPKI还处于部署的早期阶段。本书结合相关文档和评论(指的是RFC文档以及在RFC编制过程中的公开意见。译者注)提供了高质量的RPKI中文版,这无疑对更广泛地理解路由安全和RPKI作出了实质性贡献,我对此深表欢迎。作为RPKI世界标准的作者之一,也作为本书作者的同行,我非常高兴地看到对RPKI在互联网发展中的作用进行的探索。中国,对本国互联网安全进行了巨大投资,并从稳健和安全的互联网中获得了巨大反馈。互联网的长远未来和完整性取决于我们所有人的努力,取决于为公众利益制定标准的合作。我赞赏作者对中国互联网号码资源工作所作出的贡献,赞赏对IETF以及其他国际标准所作出的贡献。
乔治?迈克尔森
前 言RPKI(Resource Public Key Infrastructure,资源公钥基础设施)技术最早起源于描述S-BGP(Secure Border Gateway Protocol ,安全边界网关协议)方案的论文中。S-BGP提出了一种附加签名的BGP消息格式,用于验证路由通告中IP地址前缀和传播路径AS号的绑定关系,避免路由劫持现象的发生。基于这样的设计,数字证书和签名机制被引入BGP范畴,从而顺理成章地引出对一套公钥基础设施(PKI)的支持。RPKI标准化工作是在互联网工程任务组(The Internet Engineering Task Force,IETF)的域间路由安全(Secure Inter-Domain Routing,SIDR)工作小组开展的。自2012年2月推出第一篇标准文稿开始,至今已经发布了总计29篇RFC(Request for Comments)。因此,在一定意义上RPKI是由一系列互联网技术标准规范的工程应用。RPKI的出现,让IP地址的合法持有者以明确的、可验证的方式授权某个AS作为其特定IP地址路由通告发起者成为现实。2016年4月,在布宜诺斯艾利斯举办的IETF 95会议上,SIDR工作小组宣布RPKI相关技术的标准化工作已基本完成,RPKI俨然已经成为支撑域间路由安全的重要保障体系。为加速RPKI技术在中国的推广,使广大中国互联网安全从业者更好地理解和应用RPKI技术,我们在IETF制定的RFC基础之上,结合中国互联网络信息中心(CNNIC)部署和运行RPKI的实际经验,编写了《深入浅出详解RPKI》。本书由长期从事互联网基础设施运行、IP国际业务、国际标准研究与制定、软硬件开发等一线工程师编著而成。理论深入浅出、论述简明扼要,立足于实际运用和开发,适合RPKI技术初学人员、网络运维工程师以及网络安全研究人员等使用。本书从以下3方面介绍:一是以IETF制定的RFC为基础,全面介绍RPKI的语义语法、组成架构、工作原理。这是RPKI的立足点,同时也是本书不但解释是什么、还要问为什么的特色,帮助读者全面掌握RPKI的来龙去脉与技术精髓。二是以实际应用与操作为目的,突出理论指导应用与操作的理念。IETF制定RPKI规范的关键在于应用、部署、推广,本书充分体现了RPKI的实用性,给出RPKI实际应用案例和环境搭建,让读者能够了解和感受在实践中如何开发和部署RPKI。三是以最新资料为亮点。互联网技术日新月异,本书全面参考2017年4月更新的RFC,把读者所需要的最新标准规范、最新使用案例、最新操作方法等一一呈现出来,以便及时解决RPKI部署中所遇到的难点、疑点。由于水平有限,本书如存在不当之处,敬请广大读者批评指正。
秦小伟2017年4月21日
|
|