13. Security Considerations (安全考虑)

13. Security Considerations (安全考虑)

由于本文档描述了一个安全协议, 许多安全关注点在相关章节中进行了描述。本节指出了在其他章节中可能不明显的问题。

Cache Validation (缓存验证): 为了使第 11 节中描述的缓存集合保证一致的视图, 它们需要在其内部验证过程中使用一致的信任锚点。假定一致信任锚点的分发是带外进行的。

Cache Peer Identification (缓存对等体识别): 路由器向缓存发起传输连接, 通过 IP 地址或完全限定域名来识别缓存。请注意, DNS 或地址欺骗攻击可能使正确的缓存无法访问。不会建立任何会话, 因为授权密钥不匹配。

Transport Security (传输安全): RPKI 依赖于对象信任, 而不是服务器或传输信任。也就是说, IANA 根信任锚点通过某种带外方式分发给所有缓存, 然后每个缓存可以使用它来验证证书和 ROA 一直到树的底部。缓存间关系基于这种对象安全模型; 因此, 缓存间传输可以轻度保护。

然而, 本协议文档假设路由器无法进行验证加密。因此, 从缓存到路由器的最后一跳通过服务器身份验证和传输级安全来保护。这是危险的, 因为服务器身份验证和传输与对象安全具有非常不同的威胁模型。

因此, 路由器与缓存之间的信任关系强度和传输至关重要。您的路由就依赖于此。

虽然我们不能说缓存必须在同一个局域网上, 即使只是因为企业想要将缓存任务卸载到其上游 ISP 的问题, 但位置、信任和控制在这里是非常关键的问题。缓存确实应该在受控和受保护 (防止 DDoS, MITM) 传输的意义上尽可能接近路由器。它也应该在拓扑上接近, 以便需要最少的已验证路由数据来引导路由器对缓存的访问。

在交换任何数据之前, 缓存服务器的身份应该由路由器客户端验证和认证, 反之亦然。

无法提供必要的身份验证和完整性 (参见第 9 节) 的传输必须依赖网络设计和操作控制来提供对欺骗/损坏攻击的保护。如第 9 节所指出的, TCP-AO 是长期计划。应该使用提供完整性和真实性的协议, 如果不能, 即使用 TCP 作为传输, 路由器和缓存必须在同一个可信的受控网络上。