互联网中的各个AS(Autonomous System,自治系统)通过BGP(Border Gateway Protocol,边界网关协议)传递可达性信息。但是,传统的BGP协议缺乏安全性的措施,使得其容易遭受路由泄露与前缀劫持等攻击的威胁。为此,IETF制定了资源公钥基础设施(Resource Public Key Infrastructure,RPKI)来解决这一问题。RPKI的核心思想是将自治域号(ASN)与其拥有的IP地址通过证书绑定,并将带有证书的资源信息,即ROA(Route Origin Authorization,路由源授权),存放在公共的RPKI资源库中。RPKI验证软件,即依赖方软件(Relying Party)从资源库中获取这些信息,并将这些数据下发给路由器用于BGP路由宣告的验证,即ROV(Route Origin Validation,路由源验证)。当路由器收到BGP路由宣告时,将其与ROA中的条目进行匹配并确定转发还是丢弃该路由宣告。
本文使用routinator依赖方软件,获取其同步的ROA数据,对RPKI的部署情况进行分析。
如图1所示,IP地址与AS号的分配通过一个分层结构进行。IP地址资源由顶层权威机构IANA(Internet Assigned Numbers Authority,互联网号码分配权威机构)下发给五大RIR( Regional Internet Registries,地域互联网注册机构)。各RIR进一步地向各自地域内的下级注册机构分配IP地址和AS号,如国家级注册机构(NIR)和普通地区级注册机构(LIR)等。注册机构得到了分配的IP地址和AS号后,可以选择将其保留或继续向下级机构分配。
RPKI基于PKI(Public Key Infrastructure,公钥基础设施)来完成对IP地址前缀和AS号的所有权和使用权的认证。RPKI包括证书认证体系和依赖方两大组件,其中证书认证体系与IP地址前缀与AS号分配体系相对应,如图2所示。五大RIR作为信任锚点颁发自签名的根证书,然后使用根证书向下一级机构签发资源证书。机构得到资源证书后,可以利用自己的证书进一步向下级机构签发证书或签发ROA来将某个AS与IP前缀绑定。
所有的资源证书与ROA数据被维护在RPKI资源库中。RPKI依赖方(Relying Party. RP)负责从RPKI资料库中周期性的同步下载这些证书和签名,并验证它们的有效性,从而得到IP前缀与AS号的真实授权关系。路由器可以从RPKI依赖方获得这些数据,用于判断路由消息中的源AS是否有通告该IP前缀的合法授权。
在图3中,部署了ROV的路由器收到了两个不同的源AS对前缀2406:6400::/48的通告,其依赖方从RPKI资料库中获取ROA并通过证书认证,得到IP和AS的绑定:(2406:6400::/32, 17821, maxLength=48),基于该绑定,路由器判断起源于17821的宣告是真实的,而65552的宣告是非法的。
本文分别统计了各AS、国家注册了ROA的前缀占其拥有的前缀总数量的比率,并按照前缀占比由少至多绘制了累计分布图,如图4所示。在AS层面上(图4左图),约60%的AS几乎没有注册ROA,未受到RPKI保护,而有约25%的AS下的前缀完全通过ROA进行绑定,部署ROA的比例的两极分化较为明显。从国家层面来看(图4右图),约一半国家的ROA覆盖率不足20%,约70%的国家ROA的覆盖率在50%以下,ROA的注册仍需要进一步推进。
本文分别统计了各RIR下IPv4以及IPv6地址的ROA数量,统计结果如图5所示。从总体数量上看,RIPE下的ROA数量最多,其次是APNIC、ARIN,LACNIC和AFRINIC数量最少。结果说明RIPE下的IP地址受到RPKI保护程度较高,而LACNIC与AFRINIC中RPKI部署程度较为落后。
图6左图可以看出,在IPv4地址空间中,约有80%的ASN与不超过10个IP地址前缀进行绑定。这可能由于大部分的AS拥有的地址空间范围较小,因此所绑定的地址前缀的数量较少。考虑到ROA的数量与AS受RPKI保护程度成正相关,图中结果表明大部分AS受RPKI保护程度较弱,有约50%的ASN只绑定了极少数的地址前缀。图6右图所示的IPv6地址空间下的统计数据也表明了同样的结果。
图7的结果表明,大部分在IPv4地址空间下的ROA最大前缀长度为24,在IPv6地址空间下的ROA最大前缀长度为48。二者均分别占对应地址空间下ROA数量约70%与60%。在IPv4地址空间中,最大前缀长度大于24的ROA记录只占约2%。在IPv6地址空间中,最大前缀大于48的ROA记录只占约5%。该结果表明, IPv4下长为24的前缀与IPv6下长为48的前缀是大多数配置ROA的网络管理员的选择。
5. ROA的更新事件发生的频率以及每次更新时增加或删除的ROA数量
本文还统计了一天时间内ROA更新事件发生的频率(图8)以及平均每次更新事件发生时增加或删除的ROA数量(图9)。从更新频率上看,ARIN和RIPE下ROA的更新最为频繁,平均约10分钟一次,而APNIC的ROA更新频率最低。图8的结果表明,每次ROA更新事件的发生都会伴随着多个ROA数据的改动,各RIR下每次增加ROA的数量普遍要多于删除的数量,其中RIPE平均每次增加和删除的ROA数较为接近,而其它RIR下的ROA的增删比都较大,结合ROA更新的频率,可以得到ARIN下的ROA数量增长最快,而AFRINIC下的ROA变化频率最小。
图8 一天内各RIR以及总计ROA更新事件发生的平均时间间隔
图9 每次ROA更新事件发生时平均增加或删除的ROA数量
本文对通过依赖方软件同步得到的ROA数据进行了统计,并根据不同的指标初步分析其数据的特征,并以此探究了各个RIR下RPKI的部署现状。由于各个地区实际的网络环境不同,RPKI部署与推进的程度存在差异。本文只是基于ROA信息对RPKI的部署进行初步探索,后续会持续进行更进一步的分析。
1. RPKI document. https://rpki.readthedocs.io/en/latest/ 2023.
原文始发于微信公众号(风眼实验室):资源公钥基础设施RPKI部署状态分析
评论