YD/T 4621-2023 BGPsec技术要求 自治系统(AS)迁移的BGPsec协议支持要求(备案版).pdf

ICS 33.040.40 CCS L78 D 中华人民共和国通信行业标准 YD/Txxxxxxxx BGPsec技术要求自治系统（AS）迁移的 BGPsec协议支持要求 Technicalspecification for BGPsec -BGPsec considerations for 行业标准信息服务平台 Autonomous System （AS）migration 报批稿） 202X-XX-X×发布 202×-××-××实施 中华人民共和国工业和信息化部发布
行业标准信息服务平台
YD/TXXXXX-XXXX 目次 2规范性引用文件 3术语、定义及缩略语 3.1术语和定义 3.2缩略语 4概述 5AS迁移场景， 6RPKI中AS迁移的潜在间题 7AS迁移解决方案， 7.1解决方案要求. 7.2解决方案 7.3其他注意事项. 附录A（资料性）注意事项. 附录B（资料性）BGPsec验证及与ASN迁移的交互. 附录C（资料性）AS迁移示例， 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件第结构和起草规则》的规则起 草.

本文件是《BGPsec技术要求》系列标准之一，该系列标准已发布如下标准： -《BGPsec技术要求BGPsec操作要求》： -《BGPsec技术要求路由器密钥管理》： -《BGPsec技术要求路由器证书轮转》； 一《BGPsec技术要求算法、密钥格式和签名格式》； -《BGPsec技术要求BGPsec路由器证书》： 一《BGPsec技术要求自治系统（AS）迁移的BGPsec协议支持要求》.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别这些专利的责任.

本文件由中国通信标准化协会出并归口.

本文件主要起草单位暨南大学，中国互联网络信息中心，齐鲁工业大学，广东盈世计算机科技有 限公司，中国信息通信研究院，北京邮电大学，中国电信集团有限公司.

本文件主要起草人：翁健，刘东杰，张新常，耿光刚，曾国强，张继连，官全龙，吴秀诚，关建峰， 黄韬，姚健康，延志伟，赖泽桐，赵锋，杨安家，孔凯传，黄衍铭，冯丙文，陈华南.

行业标准信息服务平台 II1
YD/TXXXXX-XXXX BGPsec技术要求自治系统（AS）迁移的BGPsec协议支持要求 1范围 本文件规定BGPsec协议下支持自治系统（AS）安全迁移的注意事项和解决方案.

主要内容包括RPKI 注意事项、源验证、路径验证、出战解决方案、入站解决方案.

同时规定了BGPsec协议框架下对自治 系统（AS）安全迁移操作的支持，确保不会在迁移过程中造成不可接受的安全风险.

本文件适用于BGPsec协议下自治系统（AS）的安全迁移.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

RFC5065 BGP自治系统联邦（Autonomous System Confederations for BGP） RFC7705 自治系统迁移机制及其对 BGP AS_PATH属性的影响（Autonomous System Migration Mechanisms and Their Effects on the BGP AS_PATH Attribute) RFC8205 BGPsec 协议规范（BGPsec Protocol Specification) RFC8206 自治系统（AS）迁移的 BGPsec 考虑（BGPsec Considerations for Autonomous System (AS)Migration) 3术语、定义及缩略语 3.1术语和定义 下列术语和定义适用于本文件.

3.1.1边界网关协议border gatewayprotocoi 互联网上一个核心的去中心化自治路由协议.

它通过维护IP路由表或“前缀”表来实现自治系统 （AS）之间的可达性，使用基于路径、网络策略或规则集来决定路由，属于矢量路由协议.

3.1.2边界网关协议安全策略border gateway protocoisecurity 一种为边界网关协议路由通告提供路径安全性的机制.

BGPsec通过增加一种新的路由证书，要求 每一个AS都对它接收到的路由通告消息进行签名，签名内容作为路由消息的路径属性 BGPsec_Path_Signatures 通告给邻居AS.

BGPsec 与 RPKI 全面保障了 BGP协议的安全性，防止路由劫 持（前缀劫持、路径募改）.

3.1.3资源公钥基础设施resourcepublickeyinfrastructure 一项旨在使互联网路由基础设施更安全的公开密钥基础建设（PKI）框架，为将互联网码号资源信 息（如自治系统号码和IP地址）连接到一个信任锚提供了一种方式.