|
-- 會員 / 註冊 --
|
|
|
|
深入淺出詳解RPKI ( 簡體 字) |
作者:秦小偉 | 類別:1. -> 程式設計 -> 綜合 |
譯者: |
出版社:電子工業出版社 | 3dWoo書號: 48483 詢問書籍請說出此書號!【缺書】 NT售價: 245 元 |
出版日:1/1/2018 |
頁數:200 |
光碟數:0 |
|
站長推薦: |
印刷:黑白印刷 | 語系: ( 簡體 版 ) |
|
加入購物車 │加到我的最愛 (請先登入會員) |
ISBN:9787121334498 |
作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
作者序: |
譯者序: |
前言:推薦序:期待中文版的RPKI
路由的完整性是全球互聯網安全的基石,而路由的完整性又取決于地址和路由宣告的信任。這種信任并不會自發產生,它需要一個可以經過嚴格測試和驗證的信息模型。 RPKI是一個與互聯網號碼資源結構相結合的分層認證模型,在X.509證書框架下采用公鑰—私鑰的加密形式,用簽名的方式為網絡地址和路由宣告信息提供可信任的基礎。RPKI嚴格遵循現有的互聯網號碼資源管理體系架構,中國也是該體系架構中的一員。依賴方會對RPKI斷言執行密碼測試,以驗證其在任務層次中的完整性,因此構建了一個嚴謹的互聯網模型。RPKI是互聯網路由架構信任的基礎。 RPKI技術是由IETF制定的一系列RFC標準組成的,中國的計算機科學、網絡工程、電信行業和公共行政機構等與世界上其他伙伴一起在這些標準制定中發揮了作用。這其實是對公眾利益的一項重大、長期投資。 RPKI還處于部署的早期階段。本書結合相關文檔和評論(指的是RFC文檔以及在RFC編制過程中的公開意見。——譯者注)提供了高質量的RPKI中文版,這無疑對更廣泛地理解路由安全和RPKI作出了實質性貢獻,我對此深表歡迎。 作為RPKI世界標準的作者之一,也作為本書作者的同行,我非常高興地看到對RPKI在互聯網發展中的作用進行的探索。中國,對本國互聯網安全進行了巨大投資,并從穩健和安全的互聯網中獲得了巨大反饋。 互聯網的長遠未來和完整性取決于我們所有人的努力,取決于為公眾利益制定標準的合作。我贊賞作者對中國互聯網號碼資源工作所作出的貢獻,贊賞對IETF以及其他國際標準所作出的貢獻。
喬治?邁克爾森
前 言 RPKI(Resource Public Key Infrastructure,資源公鑰基礎設施)技術最早起源于描述S-BGP(Secure Border Gateway Protocol ,安全邊界網關協議)方案的論文中。S-BGP提出了一種附加簽名的BGP消息格式,用于驗證路由通告中IP地址前綴和傳播路徑AS號的綁定關系,避免路由劫持現象的發生。基于這樣的設計,數字證書和簽名機制被引入BGP范疇,從而順理成章地引出對一套公鑰基礎設施(PKI)的支持。 RPKI標準化工作是在互聯網工程任務組(The Internet Engineering Task Force,IETF)的域間路由安全(Secure Inter-Domain Routing,SIDR)工作小組開展的。自2012年2月推出第一篇標準文稿開始,至今已經發布了總計29篇RFC(Request for Comments)。因此,在一定意義上RPKI是由一系列互聯網技術標準規范的工程應用。RPKI的出現,讓IP地址的合法持有者以明確的、可驗證的方式授權某個AS作為其特定IP地址路由通告發起者成為現實。2016年4月,在布宜諾斯艾利斯舉辦的IETF 95會議上,SIDR工作小組宣布RPKI相關技術的標準化工作已基本完成,RPKI儼然已經成為支撐域間路由安全的重要保障體系。 為加速RPKI技術在中國的推廣,使廣大中國互聯網安全從業者更好地理解和應用RPKI技術,我們在IETF制定的RFC基礎之上,結合中國互聯網絡信息中心(CNNIC)部署和運行RPKI的實際經驗,編寫了《深入淺出詳解RPKI》。本書由長期從事互聯網基礎設施運行、IP國際業務、國際標準研究與制定、軟硬件開發等一線工程師編著而成。理論深入淺出、論述簡明扼要,立足于實際運用和開發,適合RPKI技術初學人員、網絡運維工程師以及網絡安全研究人員等使用。 本書從以下3方面介紹: 一是以IETF制定的RFC為基礎,全面介紹RPKI的語義語法、組成架構、工作原理。這是RPKI的立足點,同時也是本書不但解釋“是什么”、還要問“為什么”的特色,幫助讀者全面掌握RPKI的來龍去脈與技術精髓。 二是以實際應用與操作為目的,突出理論指導應用與操作的理念。IETF制定RPKI規范的關鍵在于應用、部署、推廣,本書充分體現了RPKI的實用性,給出RPKI實際應用案例和環境搭建,讓讀者能夠了解和感受在實踐中如何開發和部署RPKI。 三是以最新資料為亮點。互聯網技術日新月異,本書全面參考2017年4月更新的RFC,把讀者所需要的最新標準規范、最新使用案例、最新操作方法等一一呈現出來,以便及時解決RPKI部署中所遇到的難點、疑點。 由于水平有限,本書如存在不當之處,敬請廣大讀者批評指正。
秦小偉 2017年4月21日 |
內容簡介:邊界路由劫持往往會造成一個地區甚至一個國家整個網絡斷網的嚴重事件。為此,IETF推出了近40 篇RFC,以期構建一個支撐域間路由安全的互聯網號碼資源公鑰基礎設施,這是IETF有史以來針對單一技術制定RFC最多的一次。本書以IETF制定的RFC為基礎,著眼于實際應用,從定義、原理、架構和實際應用出發,系統性地介紹了RPKI。本書適合軟件開發人員、測試人員以及互聯網安全管理者閱讀,也適合高等院校計算機相關專業師生、互聯網安全研究者閱讀。 |
目錄:第1章 RPKI簡介 1 1.1 背景 1 1.1.1 技術起源 1 1.1.2 自治系統和路由劫持 2 1.1.3 互聯網號碼資源分配架構 4 1.2 RPKI概述 6 1.2.1 技術規范 6 1.2.2 標準兼容性 6 1.2.3 工作原理 7 1.3 重要概念 8 1.3.1 資源公鑰基礎設施 8 1.3.2 認證中心證書 9 1.3.3 終端證書 9 1.3.4 依賴方 10 1.3.5 信任錨點 10 1.3.6 簽名對象 10 1.3.7 路由源授權 11 1.3.8 清單 11 第2章 RPKI總體架構 12 2.1 RPKI證書 12 2.1.1 概述 12 2.1.2 CA證書 13 2.1.3 EE證書 14 2.2 RPKI簽名對象 15 2.2.1 路由源授權 15 2.2.2 清單 17 2.2.3 證書撤銷列表 18 2.3 RPKI資料庫 19 2.3.1 定義 19 2.3.2 使用規則 19 2.3.3 訪問控制 22 2.4 本地緩存 23 2.5 信賴錨 24 2.6 操作規范 24 2.6.1 證書簽發 24 2.6.2 密鑰輪轉 25 2.6.3 路由源授權管理 26 2.7 安全及部署 31 第3章 RPKI證書策略 32 3.1 資源授權和證書政策 32 3.1.1 證書分類和互聯網號碼資源授權 32 3.1.2 證書政策管理 34 3.1.3 證書命名政策 34 3.1.4 證書相關方 35 3.1.5 證書發布政策 36 3.1.6 證書使用范圍 38 3.1.7 重要定義及其縮略語 38 3.2 證書相關信息驗證 40 3.2.1 私鑰所有權驗證 40 3.2.2 用戶身份認證 40 3.2.3 撤銷請求認證 41 3.2.4 密鑰重置請求認證 41 3.2.5 無須驗證的信息 42 3.2.6 互操作 42 3.3 證書相關操作 42 3.3.1 概述 42 3.3.2 操作申請處理 43 3.3.3 證書簽發操作 44 3.3.4 證書發布通知 44 3.3.5 證書使用規則 44 3.3.6 證書更新操作 45 3.3.7 證書更新同時更換密鑰操作 46 3.3.8 證書修改操作 47 3.3.9 證書廢止 47 3.4 操作安全保障 49 3.4.1 物理安全保障 49 3.4.2 流程安全保障 50 3.4.3 人事安全保障 50 3.4.4 日志安全保障 50 3.4.5 其他保障 51 3.4.6 漏洞評估和密鑰更換審核 52 3.4.7 CA終止保障 52 3.5 證書密鑰生成和安全保障 52 3.5.1 密鑰生成 52 3.5.2 密鑰交付 53 3.5.3 密鑰安全管理 54 3.5.4 密鑰時間戳 54 3.5.5 小結 55 第4章 RPKI資源證書詳解 56 4.1 規則概述 56 4.2 RPKI證書格式和規則 57 4.2.1 版本號 57 4.2.2 序列號 57 4.2.3 簽名結構 58 4.2.4 簽發者 58 4.2.5 主題 58 4.2.6 有效期 58 4.2.7 主題公鑰信息 59 4.2.8 資源證書擴展項 60 4.2.9 私鑰格式 65 4.2.10 簽名格式 65 4.2.11 附加需求 65 4.3 證書撤銷列表格式和規則 65 4.3.1 版本號 65 4.3.2 證書撤銷列表序列號 66 4.3.3 序列號和撤銷日期 66 4.3.4 其他規定 66 4.4 證書請求格式和規則 66 4.4.1 概述 66 4.4.2 證書請求標準 67 4.4.3 證書請求消息格式 68 4.4.4 證書擴展屬性 69 4.5 證書驗證格式和規則 70 4.5.1 重要定義 70 4.5.2 驗證方法和流程 71 4.6 證書設計及實例 73 4.6.1 證書設計規則 73 4.6.2 規則后續兼容 75 4.6.3 證書策略變化 76 4.6.4 吊銷風險 77 4.6.5 資源證書實例 77 第5章 RPKI簽名對象介紹 82 5.1 概述 82 5.2 算法和密鑰 83 5.2.1 算法分類 83 5.2.2 非對稱密鑰對格式 84 5.2.3 簽名格式 84 5.2.4 附加規定 85 5.3 RPKI簽名對象通用模板 85 5.3.1 簽名對象語法 85 5.3.2 簽名數據內容類型 85 5.3.3 簽名對象驗證 88 5.3.4 如何擴展成具體簽名對象 89 5.3.5 其他需要注意的事項 90 第6章 路由源授權詳解 91 6.1 內容格式 91 6.1.1 概述 91 6.1.2 內容 92 6.1.3 驗證 93 6.1.4 實例 94 6.2 驗證授權具體應用 95 6.2.1 初始AS的定義 95 6.2.2 驗證方法 95 6.2.3 驗證過程 96 6.2.4 路由選擇 97 6.2.5 授權否認 98 6.2.6 驗證結果生命期限 99 6.2.7 其他注意事項 99 第7章 RPKI清單詳解 100 7.1 概述 100 7.1.1 背景 100 7.1.2 內容 101 7.1.3 簽名規則 102 7.1.4 發布庫要求 102 7.2 RPKI清單語法和語義 103 7.2.1 清單對公用簽名對象的擴展 103 7.2.2 清單和文件哈希值算法 104 7.2.3 實例 106 7.3 清單生成和驗證 106 7.3.1 清單驗證 106 7.3.2 清單生成 107 7.3.3 其他安全考慮 108 7.4 依賴方如何使用RPKI清單 109 7.4.1 清單狀態檢測 109 7.4.2 清單缺失的情況 110 7.4.3 有效清單缺失的情況 111 7.4.4 清單版本陳舊的情況 112 7.4.5 清單與發布點信息不匹配的情況 112 7.4.6 清單與哈希值不匹配的情況 113 第8章 證書撤銷詳解 115 8.1 使用規范 115 8.1.1 概述 115 8.1.2 簽發要求 116 8.2 語義和語法 116 8.2.1 證書列表 117 8.2.2 TBSCert 列表 118 8.2.3 擴展項 119 8.3 CRL實體擴展 120 8.3.1 原因碼 120 8.3.2 無效期 121 8.3.3 證書簽發者 121 8.4 CRL驗證 122 8.4.1 撤銷輸入 122 8.4.2 狀態變量 123 8.4.3 檢測過程 123 第9章 Ghostbuster記錄詳解 126 9.1 概述 126 9.1.1 背景和定義 126 9.1.2 安全考慮 127 9.2 Ghostbuster 記錄載荷 127 9.2.1 vCard規范 127 9.2.2 CMS規范 128 9.2.3 驗證 129 9.3 IANA事項 129 9.3.1 對象標識符 129 9.3.2 文件擴展名 130 9.3.3 媒體類型 130 第10章 IANA簽名對象詳解 131 10.1 概述 131 10.1.1 背景介紹 131 10.1.2 AS 0 ROA 132 10.1.3 告知對象 132 10.1.4 簽發要求 132 10.2 特殊號碼資源介紹 133 10.2.1 保留的號碼資源 133 10.2.2 未分配的號碼資源 134 10.2.3 特殊用途的號碼資源 135 10.2.4 多播號碼資源 135 第11章 RPKI資料存儲系統 136 11.1 概述 136 11.2 RPKI資料庫發布點內容和結構 137 11.2.1 概述 137 11.2.2 清單 138 11.2.3 CA資料庫發布點 139 11.3 資源證書發現資料庫注意事項 141 11.4 證書重簽發和資料庫 142 11.5 使用本地緩存同步資料庫 142 11.6 資料庫安全 143 第12章 信任錨點及其定位器 144 12.1 信任錨點及其發布 144 12.1.1 信任錨點的定義 144 12.1.2 信任錨點的發布流程 145 12.2 信任錨點定位器 145 12.2.1 定義 145 12.2.2 語法和語義 146 12.2.3 實例 147 12.3 TAL的使用和安全事項 147 12.3.1 檢索和驗證步驟 147 12.3.2 安全相關 148 第13章 RPKI應用場景介紹 149 13.1 概述 149 13.1.1 基本定義 149 13.1.2 基本策略 151 13.2 完全部署RPKI的應用 152 13.2.1 單公告的情況 152 13.2.2 聚集且更具體前綴的情況 152 13.2.3 聚集且來自不同ASN更加具體前綴的情況 153 13.2.4 子分配到多宿主客戶的情況 154 13.2.5 限制新分配的情況 155 13.2.6 限制新申請ASN的情況 156 13.2.7 部分限制的情況 156 13.2.8 限制前綴的長度 157 13.2.9 對子分配前綴長度進行限制 158 13.2.10 上游服務商發起聚集的情況 159 13.2.11 上游服務商發起非法聚集的情況 161 13.3 部分部署RPKI的應用 163 13.3.1 雙親節點不參與RPKI的情況 163 13.3.2 部分子節點參與RPKI的情況 164 13.3.3 孫節點不參與RPKI的情況 165 13.4 資源轉移使用RPKI的情況 166 13.4.1 正在使用的前綴和ASN轉移的情況 166 13.4.2 轉移在用前綴的情況 167 13.4.3 轉移不在用前綴的情況 168 第14章 依賴方使用RPKI介紹 169 14.1 路由源授權有效情況下的應用實例 169 14.1.1 場景一:前綴覆蓋、長度符合、AS匹配 169 14.1.2 場景二:前綴覆蓋、長度超出、AS匹配 170 14.1.3 場景三:前綴覆蓋、長度符合、AS不匹配 170 14.1.4 場景四:前綴覆蓋、長度超出、AS不匹配 170 14.1.5 場景五:無覆蓋前綴ROA 171 14.1.6 場景六:只有AS 0 ROA為覆蓋前綴ROA 171 14.1.7 場景七:不覆蓋前綴信息但覆蓋更加具體的子集 171 14.1.8 場景八:AS_SET類型其無覆蓋前綴ROA 172 14.1.9 場景九:單AS AS_SET、有覆蓋ROA且AS匹配 172 14.1.10 場景十:單AS AS_SET、有覆蓋ROA但AS不匹配 173 14.1.11 場景十一:多AS AS_SET且有覆蓋ROA 173 14.1.12 場景十二:多AS AS_SET、ROA覆蓋子集 173 14.2 路由源授權無效情況下的應用實例 174 14.2.1 場景一:父前綴ROA被撤銷 174 14.2.2 場景二:自身ROA被撤銷、新ROA授權其他ASN 175 14.2.3 場景三:自身ROA撤銷、父前綴ROA有效 175 14.2.4 場景四:祖父前綴ROA撤銷、父前綴ROA有效 175 14.2.5 場景五:父前綴ROA過期 176 14.2.6 場景六:自身ROA過期、父前綴ROA授權其他ASN 176 14.2.7 場景七:自身ROA過期、父前綴ROA有效 177 14.2.8 場景八:祖父前綴ROA到期、父前綴ROA有效 177 參考文獻 178 |
序: |
|