超级会员免费看
支持安全互联网路由的基础设施解析
1. 地址与AS号分配验证基础
在互联网路由的安全架构中,有一个基本概念:一个组织无权对未分配给它的地址进行再分配,AS号也是如此,不过按照惯例,互联网服务提供商(ISP)不允许对其分配到的AS号进行再分配。这种子集关系需要依赖方进行验证,这是对常规证书路径验证的一种增强。通过这种验证,可以检测出各层级组织在证书颁发过程中出现的错误(包括恶意错误)。
RFC 3280(第6节)中定义的证书路径验证算法需要进行扩展,将地址和AS号扩展信息作为额外的信任锚信息纳入其中,并对路径上的每个证书的这些扩展信息进行子集检查。这些检查类似于证书策略检查,但更为简单,因为无需考虑策略映射或抑制策略映射等特性。目前,开发该公钥基础设施(PKI)的人员正在将此验证算法扩展添加到OpenSSL软件中。
通过这些扩展来表示地址块和AS号的分配相对简单,但也存在一些微妙之处。例如,一个组织可能从两个不同的来源(如区域互联网注册机构RIR和ISP)获得地址分配,在这种情况下,该组织需要两张证书,一张由RIR颁发,另一张由相关的ISP颁发,以保持子集关系。如果该组织在两张证书中使用相同的名称,这看起来就像一个拥有多张证书的证书颁发机构(CA),这是PKI的常见特性。此外,扩展还提供了一个标志,用于表示从更高级别CA继承扩展值,以提高空间效率。
2. PKI结构与操作
PKI的根通常是互联网号码分配机构(IANA),它由一个自签名证书表示,该证书涵盖所有地址空间和所有AS号。这个证书的有效期应该很长,可能为10年或更久。根私钥的长度应足够大,以确保在较长时间内的安全性,例如使用2048位的RSA密钥,并且需要高度可靠的保护。根应该使用
订阅专栏 解锁全文
扫一扫
16万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
