ICS 33.040.40 CCS L78 YD 中华人民共和国通信行业标准 YD/Txxxxxxxx BGPsec技术要求路由器证书轮转 Technicalspecificationfor BGPsec-Router certificaterollover 行业标准信息服务平台 (报批稿) 202X-XX-XX发布 202×-××-××实施 中华人民共和国工业和信息化部发布
行业标准信息服务平台
YD/TXXXXX-XXXX 目次 2规范性引用文件 3术语、定义及缩略语 3.1术语和定义 3.2缩略语 4概述 5BGPsec中的密钥轮转要求 5.1总体要求. 5.2轮转过程 6使用BGPsec路由器密钥轮换作为抵御重放攻击的措施. 6.1概述... 6.2曝光要求的BGP更新窗口..... 6.3使用BGPsec密钥轮换作为防止重放攻击的机制. 附录A(资料性)注意事项.
参考文献....... 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件第结构和起草规则》的规则起 草.
本文件是《BGPsec技术要求》系列标准之一,该系列标准已发布如下标准: -《BGPsec技术要求BGPsec操作要求》: 一《BGPsec技术要求路由器密钥管理》: -《BGPsec技术要求路由器证书轮转》; -《BGPsec技术要求算法、密钥格式和签名格式》; --《BGPsec技术要求 BGPsec路由器证书》: 一《BGPsec技术要求自治系统(AS)迁移的BGPsec协议支持要求》.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会出并归口.
本文件主要起草单位暨南大学,中国互联网络信息中心,中国信息通信研究院,中国电信集团有 限公司.
本文件主要起草人:翁健,耿光刚,杨安家,孔凯传,刘东杰,延志伟,赵锋,姚健康,黄衍铭, 冯丙文,黄书强,赖泽桐,张银炎,陈勇,曾国强,刘志全,陈华南.
行业标准信息服务平台 II
YD/T XXXXX-XXXX BGPsec技术要求路由器证书轮转 1范围 本文件规定了BGPsec路由器证书轮转的时间、原因以及证书轮转的安全过程.
本文件适用于BGPsec路由器进行证书轮转的全过程.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
RFC6489资源公共密钥基础设施(RPKI)中认证机构(CA)的密钥轮转(Certification Authority (CA) Key Rollover in the Resource Public Key Infrastructure (RPKI)) RFC7030 安全传输的注册(Enrollmentover Secure Transport) RFC7353 BGP路径确认安全需求(Security Requirements for BGP Path Validation) RFC8205 BGPsec协议规范(BGPsec Protocol Specification) RFC8207 BGPseci运作考虑(BGPsec Operational Considerations) RFC8210 RPKI路由协议,版本1(The Resource Public KeyInfrastructure (RPKI)to Router Protocol Version 1) RFC8634 BGPsec路由器证书轮转(BGPsec Router Certificate Rollover) RFC8635 BGPsec路由器密钥管理(Router Keying for BGPsec) 标准信息 3术语、定义及缩略语 3.1术语和定义 下列术语和定义适用于本文件.
3.1.1边界网关协议border gateway protocol (AS)之间的可达性,使用基于路径、网络策略或规则集来决定路由,属于矢量路由协议.
3.1.2边界网关协议安全策略border gatewayprotocolsecurity 一种为边界网关协议路由通告提供路径安全性的机制.
BGPsec通过增加一种新的路由证书,要求每 一个AS都对它接收到的路由通告消息进行签名,签名内容作为路由消息的路径属性 BGPsec_Path_Signatures通告给邻居AS.
BGPsec与RPKI全面保障了BGP协议的安全性,防止路由劫持(前 缓劫持、路径纂改).
3.1.3资源公钥基础设施resourcepublickeyinfrastructure
