9. Transport (トランスポート)

ルータとキャッシュ間のトランスポート層セッションは, 永続的なセッションでバイナリ PDU を伝送します。

キャッシュのスプーフィングや DoS 攻撃を防ぐため, ルータとキャッシュが相互に認証されることが非常に望ましいです。ペイロードの完全性保護も, 中間者 (MITM) 攻撃から保護するために望ましいです。

キャッシュとルータは, ポート rpki-rtr (323) を使用して TCP 上で保護されていないトランスポートを実装しなければなりません。オペレータは, アクセス制御リスト (ACL) などの手続き的手段を使用して, 認証問題への露出を減らすべきです。

保護されていない TCP がトランスポートである場合, キャッシュとルータは同じ信頼された制御されたネットワーク上になければなりません。

オペレータが利用可能な場合, キャッシュとルータは次のより保護されたプロトコルのいずれかを使用しなければなりません:

キャッシュとルータは, rpki-rtr ポート上で TCP-AO トランスポート [RFC5925] を使用すべきです。
キャッシュとルータは, 通常の SSH ポートを使用して Secure Shell version 2 (SSHv2) トランスポート [RFC4252] を使用してもかまいません。
キャッシュとルータは, rpki-rtr ポートを使用して TCP MD5 トランスポート [RFC2385] を使用してもかまいません。
キャッシュとルータは, rpki-rtr ポートを使用して TCP over IPsec トランスポート [RFC4301] を使用してもかまいません。
キャッシュとルータは, ポート rpki-rtr-tls (324) を使用して Transport Layer Security (TLS) トランスポート [RFC5246] を使用してもかまいません。

9. Transport (トランスポート)​