ICS 35.100.05 L79
YD 中华人民共和国通信行业标准 YD/T3500-2019
互联网码号资源公钥基础设施(RPKI) 安全运行技术要求资源包含关系验证 Technical requirements of secure operations of resource public key infrastructure(RPKI) - Resource enpassment verification
2019-11-11发布2020-01-01实施
中华人民共和国工业和信息化部发布
YD/T3500--2019
目次
前言.. 1范围.. 2规范性引用文件 3术语、定义和缩略语. 3.1术语和定义.. 3.2缩略语..2 4RPKI相关资源对象,2 4.1资源证书.2 4.2EE证书..3 4.3BGPsec路由器证书 4.4ROA.. 5证书路径创建.3 5.1证书路径说明...3 5.2证书路径局部视图.4 6验证证书路径. 6.1验证资源集.. 6.2证书路径验证内容. 参考文献..11
YD/T3500-2019
前言
本标准是“互联网码号资源公钥基础设施(RPKI)安全运行技术要求"系列标准之一。
该系列标准 的结构和名称预计如下: -《互联网码号资源公钥基础设施(RPKI)安全运行技术要求数据安全威胁模型》; -《互联网码号资源公钥基础设施(RPKI)安全运行技术要求密钥更替》; 一《互联网码号资源公钥基础设施(RPKI)安全运行技术要求资源包含关系验证》; 一《互联网码号资源公钥基础设施(RPKI)安全运行技术要求证书策略与认证业务框架》; 一《互联网码号资源公钥基础设施(RPKI)安全运行技术要求互联网码号资源本地化管理》。
本标准按照GB/T1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并出口。
本标准起草单位:互联网域名系统北京市工程研究中心有限公司、中国科学院信息工程研究所、北 龙中网(北京)科技有限责任公司、中兴通讯股份有限公司。
本标准主要起草人:马迪、王利明、王伟、邹慧、邵晴、林兆骥。
Ⅱ
YD/T3500-2019
互联网码号资源公钥基础设施(RPKI) 安全运行技术要求资源包含关系验证
1范围
本标准规范了RPKI系统安全运行涉及的证书和ROA验证过程。
本标准适用于RPKI依赖方(RelyingParty,RP)软硬件系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文 件。
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件。
IETFRFC3779IP地址和AS码号的X.509扩展项 IETFRFC5280PKIX证书和证书撤销列表规范
3术语、定义和缩略语
3.1术语和定义 下列术语和定义适用于本文件。
3.1.1资料库repository 负责存储承载INR分配/授权信息的RC/ROA等数据对象,其部署结构为分布式数据库,供全球范 围内的RP下载。
3.1.2RPKi依赖方resource public key infrastructure relying party 连接RPKI系统和BGP边界路由器之间的桥梁。
RPKI依赖方负责帮助BGP边界路由器从资料库 中同步并验证原始的资源证书和签名对象、构建信任链并验证资源包含关系、管理缓存验证结果等。
最 后,将上述RPKI数据对象处理后得到的INR声明信息存储下来,并传输给BGP边界路由器。
3.1.3签名对象signedobject 一种并不由INR持有者直接签发的数据对象,而是由INR持有者直接签发的终端实体证书进行签 发。
当前的签名对象只有三种:ROA、资源清单和Ghostbusters。
1
YD/T3500--2019 3.1.4信任锚点trustanchor 一种自签名资源证书,是证书路径的信任起点,RP以自签名资源证书中包含的公钥作为信任锚点。
当前的信任锚点有五个,分别对应五大RIR的资源证书。
3.2缩略语 下列缩略语适用于本文件。
Authority Information Authority权威信息权威 AS Autonomous System自治域 ASN.1 Abstract Syntax Notation One抽象语法标记 BGP Border Geteway Protocol边界网关协议 CA Certificate Authority认证权威 CRL Certificate Revocation List证书撤销列表 CRLDP C...
