페이지 상단으로

라우팅 인증(RPKI)

홈으로 > 주요사업 > 인터넷주소자원 개발> 라우팅 인증(RPKI)

라우팅 인증(RPKI)이란?

공개키 인터넷 주소자원 체계 인증 방식으로 Prefix와 AS번호 대한 Route Origin Authorization(ROA) 인증서를 발행하여
라우팅 정보를 인증하고 검증해주는 시스템

라우팅 인증의 필요성

BGP 프로토콜은 위-변조된 라우팅 정보를 차단하거나 걸러 낼 수 있는 기능이 없어 허위 라우팅 정보가 유입되거나
라우팅 정보 전달 과정에서 누락이 발생하면 해당 주소범위에 대한 서비스 장애가 발행하는 취약점을 가지고 있어(RFC4272)
이 취약점을 보완해 줄 수 있는 라우팅인증 시스템이 필요함

라우팅 인증에 대한 이미지

라우팅 인증의 동작원리

RPKI 인증
인터넷 주소자원 체계로 인증 받은 RPKI 인증서버는 RIR로부터 할당 받은 주소자원에 대한 ORA 인증서 발행 권한을 위임 받아
인터넷 주소자원 소유자들이 ROA요청에 대한 인증서를 발행함

ROA 검증
ROA 공개 캐시 서버는 수집된 ROA 인증서로 라우팅 정보를 검증하여 RPKI 라우터에 검증 결과를 제공하며
이를 수신 받은 RPKI 라우터는 검증 결과에 따라 라우팅을 차단시킴

라우팅 인증에 대한 설명 이미지

[범례]

  • Global RPKI : RIR CA 서버(APNIC, RIPE NCC, ARIN, LANCIN, AFRINIC)
  • NIR(KISA) : ISP에 주소자원을 할당, Resource Holder가 요청한 소유권에 대한 인증서 발행(ROA)
  • Repository : 인증서 저장소
  • Resource Holder(자원 소유자) : 주소자원의 소유권을 요청(ISP)
  • RPKI Relying Party : RPKI 적용 라우터, RTR 프로토콜
  • Local Cache 서버 : 소유권 데이터의 서명검증, 저장관리
  • ※ ROA(Route Origin Authorization): 라우팅의 경로 원점(소유자) 인증

라우팅 인증의 동향

Regional Internet Registry(RIR)
대륙지역별 인터넷 주소자원 관리기관 APNIC(아시아), AFRINIC(아프리카), ARIN(북미), LACNIC(남미), RIIPE NCC(유럽)은 NIR에게
ROA 인증 권한을 위임하는 방법과 직접 인증하는 2가지 방법으로 ROA인증 서비스를 제공하고 있음

National Internet Registry(NIR)
국가별 인터넷 주소자원 관리기관은 아직 서비스를 진행중인 기관은 없으나 몇몇 기관(KRNIC, JPNIC, TWNIC)에서
실험환경을 구성하여 동향을 파악하는 단계에 있음