البنية التحتية للمفتاح العام للموارد (RPKI) هي إطار عمل لإقرار ملكية موارد الإنترنت (IPv4, IPv6 و ASN). ويستخدم نسخة موسعة من معايير X.509 لإنشاء والتحقق من الشهادات التي تحتوي على معلومات ملكية الموارد. يتبع RPKI التسلسل الهرمي للتخصيص من IANA إلى RIRق ، من RIRs إلى LIRs ومن LIRs إلى المستخدمين النهائيين. على هذا النحو ، يعد RPKI مكونًا مهمًا لأمان توجيه بين المجالات من خلال تمكين التحقق من المصدر من خلال كائنات موقعة تشفيرًا تسمى ROA (ترخيص أصل المسار). بشكل أساسي ، ROA هو تأكيد موقّع من قبل حامل البادئة ، يفوض رقم AS محدد للإعلان عن البادئة أو مجموعة فرعية منه. يتم بعد ذلك نشر عائد النفقات الإعلانية والتحقق منه من قِبل جهات خارجية ، ويمكن استخدام نتائج التحقق لإنتاج فلاتر BGP لقبول أو رفض إعلانات مسار الدخول. يعمل التحقق عن طريق السير في سلسلة الثقة ، والتحقق من صحة كل شهادة على طول المسار حتى مرساة الثقة (TA).
شهادة TA هي أعلى شهادة في PKI ، وهي موقعة ذاتيًا ومن المفترض أن تحتوي على من جميع موارد الإنترنت. ومع ذلك ، لأنه لا يوجد حاليًا TA واحد يديره هيئة عليا ، الخمسة RIRق بما في ذلك AFRINIC تدير حاليا TA الخاصة بهم. وبالتالي فإن كل TA يحتوي على الموارد المخصصة من قبل IANA لكل منها RIR وكل RIRيعمل نظام RPKI بشكل مستقل عن بعضها البعض. بشكل عام، RIRالعمل بشكل تعاوني للتأكد من عدم وجود تداخل بين الموارد في المساعدة الفنية الخاصة بهم.
ومع ذلك ، يمكن أن يصبح الوضع صعبًا مع تحويل الموارد. لدى ARIN و RIPE NCC و APNICRIR سياسات التحويل ، وبالتالي يتم نقل الموارد فيما بينها. لنفترض أن المورد X ينتقل من ARIN إلى RIPE NCC ، يحتاج ARIN إلى إزالة المورد X من TA ، ويحتاج RIPE NCC إلى إضافة X إلى واحد. المشاكل التي قد تنشأ مع نقل الموارد هي: (1) إجراء طويل لأنه ينطوي على إعادة إنشاء المساعدة الفنية على كلا الجانبين (2) هناك دائمًا خطر أن RIR الموارد الزائدة عن المطالبة ، وهذا يبطل الشجرة تحتها.
بحكم التعريف ، TA هو كيان ثابت ، صالح عادة لمدة 10-20 سنة ولن يتغير إلا إذا كان هناك مفتاح تمرير. إضافة أو إزالة الموارد في المساعدة الفنية يعني أن RIR سيتعين عليها تشغيل العملية المعقدة لتجديد المساعدة الفنية في كل مرة يتم فيها نقل الموارد. بالإضافة إلى ذلك ، في كل مرة يحدث فيها تغيير في الموارد ، نحتاج إلى الوصول إلى المفتاح الخاص لـ TA لإعادة توقيع الشهادة ، وهذه بطبيعتها ممارسة سيئة.
من المتوقع أن يكون نظام RPKI نظامًا للتوقف عن العمل بنسبة 0٪ وبدقة 100٪ في جميع الأوقات ولهذا السبب من المهم RIRs لتبني جعل قبل كسر المبدأ. إذا تم نقل الموارد من RIRX إلى RIRنعم و RIRأصدر X سابقًا شهادات بالموارد المنقولة ، سيتم إبطال الشجرة بأكملها بموجب هذه الشهادة لأن الأصل لم يعد يحتوي على الموارد المنقولة. هذا يطرح مشكلة تشغيلية حقيقية حيث يعتمد التوجيه على صلاحية الكائنات في الشجرة أدناه. إن الحصول على المساعدة الفنية مع مجموعة موحدة من جميع الموارد (على سبيل المثال 0/0) يقلل من المخاطر ويخفف من خطر وجود RIR الإفراط في المطالبة بالموارد.
تدير AFRINIC حاليًا RPKI الخاص بها كما يلي:
- مرساة ترست واحدة (TA) ، تغطي مقتنيات موارد أرقام الإنترنت الأساسية (INR) الخاصة بشركة AFRINIC ، بالإضافة إلى جميع عمليات تخصيص INR الأصغر حيث تعتبر AFRINIC نفسها موثوقة.
- خمس (5) هيئات تصديق عبر الإنترنت (CA): واحدة لمقتنيات INR الكبيرة المخصصة لـ AFRINIC مباشرة من IANA ، وواحدة لكل من الأربعة الآخرين RIRق ، التي تغطي الموارد التي تعتبر أفرينك هي السلطة لأقلية قليلة من الموارد.
- المراجع المصدقة الأعضاء ، كل موقع موقّع من قِبل المراجع المصدقة عبر الإنترنت
بعد الانتقال إلى جميع الموارد TA ، فإن AFRINIC RPKI سيكون على النحو التالي:
- مرساة ترست واحدة موسعة ، تغطي "جميع الموارد".
- نفس المراجع المصدقة الخمسة عبر الإنترنت ، كما كان من قبل ، أعيد توقيعها من قِبل TA المحدثة والموسعة حديثًا.
- المراجع المصدقة الأعضاء ، كل موقع موقّع عليه من قِبل نفس المرجع المصدق على الإنترنت كما كان من قبل.
هذا يعني أنه أثناء التغيير وبعده ، لا يوجد أي تغيير مرئي في مقتنيات المرجع المصدق المباشر على الإنترنت ، ولا يوجد أي تغيير على الإطلاق لأي شهادات اعتماد أعضاء. لذلك ، لا تتأثر أي ROAs الحالية ، وتبقى عملية إنشاء ROAs جديدة أو محدثة دون تغيير.
وبالمثل ، إذا قمت بتشغيل أدوات حزب الاعتماد المحلية ، والتي يشار إليها غالبًا باسم "المدقق" ، فيجب أن تستمر في العمل كما كان من قبل ، دون الحاجة إلى إجراء تغييرات.
ستعمل AFRINIC مباشرة مع TA (كل الموارد) (مرساة الثقة) 14 سبتمبر 2017. لن يؤثر هذا التغيير على التحقق من صحة الشهادات و ROAs الموجودة.
سيتم اختبار هذا بشكل كامل داخل بيئة اختبار داخلية قبل هذا التاريخ.