ICS 35. 110 CCS M11 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 互联网码号资源公钥基础设施(RPKI) 信任锚点定位器 RPKI architecture Trust Anchor Locator 行业标准信息服务平台 (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXXXXXX 目次 前言 范围 规范性引用文件 3术语和定义 4缩略语. 4.1缩略语. 5概述 6信任锚点定位器. 6.1信任锚点定位器格式. 6.2信任锚点定位器和信任锚点证书的使用要求 7依赖方的使用情况, 行业标准信息服务平台
YD/T XXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》给出的规 则起草.
本文件是“互联网码号资源公钥基础设施(RPKI)“系列标准之一.
该系列标准结构及名称如下: 《互联网码号资源公钥基础设施(RPKI)体系结构》 《互联网码号资源公钥基础设施(RPKI)资料库架构》 《互联网码号资源公钥基础设施(RPKI)RPKI与BGP路由器交互协议》 《互联网码号资源公钥基础设施(RPKI)资源证书发布协议》 《互联网码号资源公钥基础设施(RPKI)资源证书格式》 《互联网码号资源公钥基础设施(RPKI)联系人信息记录》 《互联网码号资源公钥基础设施(RPKI)资源列表》 《互联网码号资源公钥基础设施(RPKI)信任锚点定位器》 请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国互联网络信息中心(CNNIC)、暨南大学、北京交通大学、北京邮电大学、 北京微芯区块链与边缘计算研究院.
本文件起草人:延志伟、翁健,耿光刚、董科军、姚健康、周琳琳、张曼、张银炎、刘志全、吴 永东、刘颖、时金桥、任常锐、唐琳、杜娟.
行业标准信息服务平台 II
YD/T XXXXXXXXX 互联网码号资源公钥基础设施(RPKI)信任锚点定位器 1范围 本文件规定了资源公钥基础设施(RPKI)中的信任锚点定位器,其中包括信任锚点定位器的格式.
本文件适用于支持RPKI,并且通过RPKI保证域间路由安全的网络设备和相关网络部署.
2规范性引用文件 下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅所注日期的版本适用于本文 件.
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
IETF RFC3779 IP地址和AS码号的X.509 扩展(X.509 Extensions for IP Addresses and AS Identifiers) IETF RFC4158 互联网X.509公钥基础设施:证书路径构建(IntermetX.509PublicKey Infrastructure: Certification Path Building) IETF RFC5280 互联网X.509公钥基础设施证书与证书撤销列表规范(InternetX.509 PublicKey Infrastructure Certificate and Certificate Revocation List (CRL) Profile) IETF RFC5781 Rsyne URI 方案(The rsyne URI Scheme) IETF RFC5914 信任锚点格式(Trust AnchorFormat) IETF RFC6487 X.509 PKIX资源证书轮廊(A Profile for X.509 PKIX Resource Certificates) 3术语和定义 本文件没有需要界定的术语和定义.
4缩略语 下列缩略语适用于本文件.
AS 自治域 Autonounous System 认证权威 Certificate Authority RPKI 资源公钥基础设施 Resource Public Key lnfrastructure RP 依赖方、RPKI系统使用者 Relying Party ROA 路由源授权 Route Origination Authorizaiion URI 统一资源定位符 Uniform Resource Identifier 5概述
YD/TXXXXXXXXX 本文件所使用的信任锚点定位器通过带外或者线下的方式分发信任锚点.
依赖方们验证RPKI签名对 象的流程需要满足本标准所规定的信任锚点定位器的格式要求,从而便于依赖方们和信任锚点的创建者 之间交互.
6信任锚点定位器 6.1信任锚点定位器格式 本文件并没有定义一种全新的信任锚点的格式.
RPKI中的信任锚点由自签名的X.509CA证书格式 表示,这种格式被广泛使用于PKI体系同时也被大量的RP软件识别.
定义信任锚点的目的是如果信任锚点上所选的数据更改了,不需要再去分发信任锚点.
RPKI中的 证书包含表示互联网码号资源的扩展,参见IETFRFC3779.这些码号资源集合组成一个实体作为一个 信任错点可能会经常改变.
因此,如果通过一般的PKI原理以保密的方式分发信任锚点给依赖方,一旦 看作信任锚点的实体的互联网码号资源集合发生改变,就需要重薪启动分发的流程.
而不分发信任锚点, 面是下发信任锚点定位器,这种问题就可以避免,只要信任锚点的公钥和它的位置不改变,信任锚点定 位器就是一个常数.
信任锚点定位器和IETFRFC5914中的TrustAnchorlnfo的数据结构类似.
如果数据结构已经定义为 rsyncURI扩展格式,TrustAnchorlnfo完全可以替代信任锚点定位器.
但是,由于信任锚点定位器的格式 早于RKIX信任锚点被RPKI的实践者们所接受,于是RPKI的实践者联盟决定使用信任锚点定位器的格式 面不是定义必要的扩展格式.
同时联盟决定为信任锚点定位器选择简易的ASCII编码方式而不是 TrustAnchorlnfo的二进制编码方式.
信任锚点定位器的格式一串有顺序的序列: a)URI部分, b)或者断行符, c)DER格式的subjectPublicKeylnfo,用Base64编码.
为了避免一行太长,或者断 行符可能会被插入到Base64编码的字符串中.
其中URI部分有一个多个有顺序的序列组成: a)个rsuncURi,见IETFRFC5781 b)一个或者断行符 6.2信任锚点定位器和信任锚点证书的使用要求 信任锚点定位器里的每一个rsyncURI都关联到一个对象而不应该关联到一个目录或者任何形式的 对象集合.
关联的对象必须是自签名的CA证书,该证书应满足IETFRFC6487中RPKI资源证书轮廊的规定.
该证书同时也是IETFRFC4158证书路径发现和验证验证的信任错点,参见IETFRFC5280和IETFRFC 3779.
该信任锚点的验证时间间隔必须能够反映所假定的信任锚点所关联的码号资源集合的稳定周期.
联网码号资源扩展.
该证书中描述的互联网码号资源集合是假定作为信任锚点的实体,该实体负责颁发 资源证书.
用以验证信任错点的公钥必须和信任锚点定位器以及CA证书里的subjectPublicKeylnfo一样.
该信任锚点必须包含一个不变的密钥.
当码号资源扩展中的证书发生改变,或者当证书在过期之前 更新了,或者其他原因导致除密钥外的资源发生改变了,密钥都不允许发生改变.
