1. Introduction (はじめに)
1. Introduction (はじめに)
BGP ルートは, アドレスプレフィックスを BGP アナウンスの形式でプレフィックスが通過したドメイン間パスを識別する自律システム (AS) のセットと関連付けます。このセットは BGP [RFC4271] において AS_PATH 属性として表現され, プレフィックスを起点とした AS から始まります。プレフィックスの誤アナウンスや中間者攻撃を含む BGP に対するよく知られた脅威を軽減するために, セキュリティ要件の1つは BGP ルートの起点 AS を検証する能力です。より具体的には, アドレスプレフィックスの起点であると主張する AS 番号 (BGP ルートの AS_PATH 属性から導出される) が, 実際にプレフィックス保有者によって承認されていることを検証する必要があります。この文書は, この要件を部分的に満たすためのシンプルな検証メカニズムを説明します。
Resource Public Key Infrastructure (RPKI, リソース公開鍵基盤) は, リソースとして IP アドレスと AS 番号の形式的に検証可能なデータベースを構築するアプローチを記述しています。[RFC6480] で定義されている RPKI の全体的なアーキテクチャは, 3つの主要コンポーネントで構成されています:
-
必要な証明書オブジェクトを持つ公開鍵基盤 (PKI),
-
デジタル署名されたルーティングオブジェクト, および
-
定期的な取得もサポートするオブジェクトを保持する分散リポジトリシステム。
RPKI システムは, IP アドレスと AS 識別子を表すための X.509 の拡張を定義するリソース証明書 [RFC3779] に基づいているため, RPKI という名前が付けられています。Route Origin Authorizations (ROA, ルート起点認可) [RFC6482] は, AS と IP アドレスブロックの間の関連付けを定義する別個のデジタル署名されたオブジェクトです。最後に, リポジトリシステムは IANA, 地域インターネットレジストリ (RIR) 階層, および ISP を通じて分散方式で運用されます。
RPKI システムから利益を得るために, AS または組織レベルの依拠当事者が署名されたオブジェクトコレクションのローカルコピーを取得し, 署名を検証して処理することが想定されています。キャッシュは定期的に更新される必要もあります。ローカルキャッシュを取得するために使用される正確なアクセスメカニズムは, この文書の範囲外です。
個々の BGP スピーカーは, ローカルキャッシュに含まれる処理済みデータを利用して BGP アナウンスを検証できます。ローカルキャッシュから BGP スピーカーへ処理済みデータを取得するプロトコルの詳細は, この文書の範囲外です (そのようなメカニズムについては [RFC6810] を参照してください)。この文書は, BGP スピーカーが受信した BGP UPDATE メッセージ内の各プレフィックスに「検証状態」を割り当てるために処理済みデータを利用する方法を提案します。
ルートの AS_PATH 属性に対する完全なパス証明は, この文書の範囲外であることに注意してください。
DNS と同様に, グローバル RPKI はタイミング, 更新, フェッチなどに応じて, ゆるく一貫性のあるビューのみを提供します。したがって, 1つのキャッシュまたはルーターは, 特定のプレフィックスに関して別のキャッシュまたはルーターとは異なるデータを持つ可能性があります。これに対する「修正」はありません。これは分散キャッシュを持つ分散データの性質です。
RPKI はこの文書のコンテキストを提供しますが, プレフィックスをその承認された起点 AS にマッピングできる他のデータベースを使用することも同様に可能です。各個別のデータベースには, 独自の特定の運用上およびセキュリティ上の特性があります。そのような特性は, この文書の範囲外です。