9. Transport (传输)
9. Transport (传输)
路由器和缓存之间的传输层会话在持久会话中承载二进制 PDU。
为了防止缓存欺骗和 DoS 攻击, 路由器和缓存相互认证是非常必要的。有效载荷的完整性保护也是必要的, 以防止中间人 (MITM) 攻击。
缓存和路由器必须使用端口 rpki-rtr (323) 在 TCP 上实现未受保护的传输。运营商应该使用程序化手段, 例如访问控制列表 (ACL), 以减少身份验证问题的暴露。
如果使用未受保护的 TCP 作为传输, 缓存和路由器必须在同一个可信和受控的网络上。
如果运营商可以使用, 缓存和路由器必须使用以下更受保护的协议之一:
- 缓存和路由器应该在 rpki-rtr 端口上使用 TCP-AO 传输 [RFC5925]。
- 缓存和路由器可以使用正常 SSH 端口使用 Secure Shell version 2 (SSHv2) 传输 [RFC4252]。
- 缓存和路由器可以使用 rpki-rtr 端口使用 TCP MD5 传输 [RFC2385]。
- 缓存和路由器可以使用 rpki-rtr 端口使用 TCP over IPsec 传输 [RFC4301]。
- 缓存和路由器可以使用端口 rpki-rtr-tls (324) 使用 Transport Layer Security (TLS) 传输 [RFC5246]。