ICS 35.100. 05 CCS M16 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 互联网码号资源公钥基础设施(RPKI) 依 赖方技术要求 Technical requirements for resource public key infrastructure (RPKI)Relying parties 点击此处添加与国际标准一致性程度的标识 行业标准信息服务平台 (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发 布
YD/TXXXXXXXXX 目次 前言 1范围 2规范性引用文件 3术语和定义. 4缩略语. 5RPKI依赖方系统组件 6获取和缓存RPKI资料库对象. 6.1TAL获取和处理 6.2使用权威信息访间和主体信息访问定位RPKI对象 6.3处理密钥更替. 6.4处理算法转变 6.5缓存维护策略... 7证书和CRL处理, 7.1RPKI资源证书扩展. 7.2验证资源证书及其语法.
7.3证书路径验证. 7.4CRL处理. 8处理RPKI资料库签名对象. 8.1基本的签名对象语法检查 8.2每种类型的签名对象的语法和验证 8.3使用资源清单数据 8.4处理联系人信息记录. 9分发经过验证的缓存... 10本地控制.. 参考文献..... 信息服务平台
YD/TXXXXX-XXXX 前 言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位国家计算机网络应急技术处理协调中心,互联网域名系统北京市工程研究中心有 限公司,中国科学院计算机网络信息中心,中兴通讯股份有限公司,华为技术有限公司,中国科学院信 息工程研究所.
本文件主要起草人、严寒冰、李志辉、郭晶、马迪、龙春、李菁菁、林兆骥、陈双龙、庄顺万、王 利明.
行业标准信息服务平台 II
YD/TXXXXXXXXX 互联网码号资源公钥基础设施(RPKI)依赖方技术要求 1范围 本文件针对RPKI依赖方(系统)的必要功能提出了技术要求,包括:RPKI数据同步、RPKI数据 验证、RPKI数据分发以及RPKI数据的本地化管理.
本文件适用于部署了RPKI依赖方系统的网络运营商(ISP)、互联网交换中心(IXP)以及具有BGP 连接能力的互联网内容服务商(ICP).
2规范性引用文件 下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅所注日期的版本适用于本文 件.
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
YD/T3500-2019互联网码号资源公钥基础设施安全运行技术要求资源包含关系验证 YD/T3574-2019互联网码号资源公钥基础设施资源证书轮廊 IETF RFC3779X.509证书的IP地址和AS号信息扩展 3术语和定义 下列术语和定义适用于本文件.
3. 1 RPKI资料库 RPKI repository 一个全球分布式数据库,负责存储基于RPKI认证的互联网码号资源(INR)分配信息和授权使用信 息,例如IROA.
RPKI资料库向全球范围的RPKI依赖方系统开放下载接口.
3. 2 RPKI依赖方RPKIrelyingparty 连接RPKI系统和BGP路由系统之间的桥梁.
RPKI依赖方负责暂助BGP边界路由器从资料库中下载原始 的资源证书和签名对象,并完成RPKI信任链的构建、证书验证、缓存管理及分发等.
3. 3 签名对象signedobject 由INR持有者签发的符合CMS语法规范的RPKI签名数据,例如IROA.
3. 4 信任锚点trust anchor
YD/T xXXXXXXXX 一个自签名证书,是RPKI信任链的起点.
RPKI系统中实体都以根CA的公钥作为它们的信任锚点.
4缩略语 下列缩略语适用于本文件.
AS 自治域 Autonomous System BGP 边界网关协议 Border Gateway Protocol CA 认证权威 Certificate Authority CMS 加密消息格式语法 Cryptographic Message Syntax CRL 证书撤销列表 Certificate Revocation List EE 终端实体 End Entity IANA 互联网数字分配机构 The Internet Assigned Numbers Authority INR 互联网码号资源 Internet Number Resource ISP 互联网服务提供商 Internet Service Provider RC 资源证书 Resource Certificate RIR 区域互联网注册管理机构 Regional Internet Registry ROA 路由起源授权 Route Origin Authorization RP RPKI依赖方 RPKI Relying Party RPKI 互联网码号资源公钥基础设施 Resource Public Key Infrastructure TA 信任锚点 Trust Anchor TAL 信任锚点定位符 Trust Anchor Locator 5RPKI依赖方系统组件 网络运营商使用RPKI依赖方软件来下载、验证存储在RPKI资料库系统中的INR分配数据和授权使用 数据,并将这些验证过的数据提供给互联网域间路由系统进行路由决策.
根据各个系统组件功能正交的原则,本文件对RPKI依赖方的技术要求进行了分类和规范.
RPKI依赖方系统功能划分如下: 获取和缓存全球RPKI资料库里存储的证书(以及CRL)和签名对象: -处理RPKI资源证书和CRL; 信息服务平 -处理RPKI资料库中的签名对象: 一向路由系统分发RPKI数据的验证缓存.
6获取和缓存RPKI资料库对象 6.1TAL获取和处理 在RPKI中,每个RP自行选择它信任的TA.
与现有的全球INR分配层次结构一致,五大RIR的自签名证书作为默认TA为RP带外预配置.
RP使用一组TAL来获取和验证每个TA的真实性,步骤如下: a)根据TAL中的URI得到目标对象; b)确定该目标对象是一个当前的、RPKICA自签名证书:
