YDT 4572-2023互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI） 依賴方技術(shù)要求

ICS35.100.05

CCSM16

YD

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)

YD/TXXXXX—XXXX

互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI）依

賴方技術(shù)要求

Technicalrequirementsforresourcepublickeyinfrastructure(RPKI)—Relying

parties

點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

（報(bào)批稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中華人民共和國(guó)工業(yè)和信息化部發(fā)布

YD/TXXXXX—XXXX

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。

本文件由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，互聯(lián)網(wǎng)域名系統(tǒng)北京市工程研究中心有

限公司，中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心，中興通訊股份有限公司，華為技術(shù)有限公司，中國(guó)科學(xué)院信

息工程研究所。

本文件主要起草人：嚴(yán)寒冰、李志輝、郭晶、馬迪、龍春、李菁菁、林兆驥、陳雙龍、莊順萬(wàn)、王

利明。

II

YD/TXXXXX—XXXX

互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI）依賴方技術(shù)要求

1范圍

本文件針對(duì)RPKI依賴方（系統(tǒng)）的必要功能提出了技術(shù)要求，包括：RPKI數(shù)據(jù)同步、RPKI數(shù)據(jù)

驗(yàn)證、RPKI數(shù)據(jù)分發(fā)以及RPKI數(shù)據(jù)的本地化管理。

本文件適用于部署了RPKI依賴方系統(tǒng)的網(wǎng)絡(luò)運(yùn)營(yíng)商（ISP）、互聯(lián)網(wǎng)交換中心（IXP）以及具有BGP

連接能力的互聯(lián)網(wǎng)內(nèi)容服務(wù)商（ICP）。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

YD/T3500-2019互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施安全運(yùn)行技術(shù)要求資源包含關(guān)系驗(yàn)證

YD/T3574-2019互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施資源證書(shū)輪廓

IETFRFC3779X.509證書(shū)的IP地址和AS號(hào)信息擴(kuò)展

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

RPKI資料庫(kù)RPKIrepository

一個(gè)全球分布式數(shù)據(jù)庫(kù)，負(fù)責(zé)存儲(chǔ)基于RPKI認(rèn)證的互聯(lián)網(wǎng)碼號(hào)資源（INR）分配信息和授權(quán)使用信

息，例如ROA。

RPKI資料庫(kù)向全球范圍的RPKI依賴方系統(tǒng)開(kāi)放下載接口。

3.2

RPKI依賴方RPKIrelyingparty

連接RPKI系統(tǒng)和BGP路由系統(tǒng)之間的橋梁。RPKI依賴方負(fù)責(zé)幫助BGP邊界路由器從資料庫(kù)中下載原始

的資源證書(shū)和簽名對(duì)象，并完成RPKI信任鏈的構(gòu)建、證書(shū)驗(yàn)證、緩存管理及分發(fā)等。

3.3

簽名對(duì)象signedobject

由INR持有者簽發(fā)的符合CMS語(yǔ)法規(guī)范的RPKI簽名數(shù)據(jù)，例如ROA。

3.4

信任錨點(diǎn)trustanchor

1

YD/TXXXXX—XXXX

一個(gè)自簽名證書(shū)，是RPKI信任鏈的起點(diǎn)。RPKI系統(tǒng)中所有實(shí)體都以根CA的公鑰作為它們的信任錨點(diǎn)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

AS自治域AutonomousSystem

BGP邊界網(wǎng)關(guān)協(xié)議BorderGatewayProtocol

CA認(rèn)證權(quán)威CertificateAuthority

CMS加密消息格式語(yǔ)法CryptographicMessageSyntax

CRL證書(shū)撤銷(xiāo)列表CertificateRevocationList

EE終端實(shí)體EndEntity

IANA互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)TheInternetAssignedNumbersAuthority

INR互聯(lián)網(wǎng)碼號(hào)資源InternetNumberResource

ISP互聯(lián)網(wǎng)服務(wù)提供商InternetServiceProvider

RC資源證書(shū)ResourceCertificate

RIR區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)RegionalInternetRegistry

ROA路由起源授權(quán)RouteOriginAuthorization

RPRPKI依賴方RPKIRelyingParty

RPKI互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施ResourcePublicKeyInfrastructure

TA信任錨點(diǎn)TrustAnchor

TAL信任錨點(diǎn)定位符TrustAnchorLocator

5RPKI依賴方系統(tǒng)組件

網(wǎng)絡(luò)運(yùn)營(yíng)商使用RPKI依賴方軟件來(lái)下載、驗(yàn)證存儲(chǔ)在RPKI資料庫(kù)系統(tǒng)中的INR分配數(shù)據(jù)和授權(quán)使用

數(shù)據(jù),并將這些驗(yàn)證過(guò)的數(shù)據(jù)提供給互聯(lián)網(wǎng)域間路由系統(tǒng)進(jìn)行路由決策。

根據(jù)各個(gè)系統(tǒng)組件功能正交的原則，本文件對(duì)RPKI依賴方的技術(shù)要求進(jìn)行了分類(lèi)和規(guī)范。

RPKI依賴方系統(tǒng)功能劃分如下:

——獲取和緩存全球RPKI資料庫(kù)里存儲(chǔ)的證書(shū)（以及CRL）和簽名對(duì)象；

——處理RPKI資源證書(shū)和CRL；

——處理RPKI資料庫(kù)中的簽名對(duì)象；

——向路由系統(tǒng)分發(fā)RPKI數(shù)據(jù)的驗(yàn)證緩存。

6獲取和緩存RPKI資料庫(kù)對(duì)象

6.1TAL獲取和處理

在RPKI中，每個(gè)RP自行選擇它信任的TA。

與現(xiàn)有的全球INR分配層次結(jié)構(gòu)一致，五大RIR的自簽名證書(shū)作為默認(rèn)TA為RP帶外預(yù)配置。

RP使用一組TAL來(lái)獲取和驗(yàn)證每個(gè)TA的真實(shí)性，步驟如下：

a)根據(jù)TAL中的URI得到目標(biāo)對(duì)象；

b)確定該目標(biāo)對(duì)象是一個(gè)當(dāng)前的、RPKICA自簽名證書(shū)；

2

YD/TXXXXX—XXXX

c)確定TAL中的公鑰與得到的CA證書(shū)的公鑰匹配；

d)執(zhí)行其他檢查，以確定是否應(yīng)接受該CA證書(shū)作為信任錨點(diǎn)。

6.2使用權(quán)威信息訪問(wèn)和主體信息訪問(wèn)定位RPKI對(duì)象

RPKI資料庫(kù)是一個(gè)分布式數(shù)據(jù)庫(kù)系統(tǒng)，由多個(gè)資料庫(kù)實(shí)例組成。每一個(gè)資料庫(kù)實(shí)例對(duì)應(yīng)一個(gè)INR

持有者，包含一個(gè)或多個(gè)資料庫(kù)發(fā)布點(diǎn)，負(fù)責(zé)發(fā)布并存儲(chǔ)由INR持有者簽發(fā)的所有數(shù)據(jù)對(duì)象，邏輯上對(duì)

應(yīng)INR的層級(jí)分配結(jié)構(gòu)。RP使用（經(jīng)過(guò)驗(yàn)證的）證書(shū)中的主體信息訪問(wèn)（SubjectInformationAccess，

SIA）和權(quán)威信息訪問(wèn)（AuthorityInformationAccess，AIA）擴(kuò)展項(xiàng)中的位置信息定位這些發(fā)布點(diǎn)，

以同步下載RPKI資料庫(kù)中的所有數(shù)據(jù)對(duì)象。

CA證書(shū)中的SIA用來(lái)標(biāo)識(shí)該證書(shū)主體簽發(fā)的下級(jí)對(duì)象所在的發(fā)布點(diǎn)。EE證書(shū)中的SIA用來(lái)標(biāo)識(shí)需要該

EE證書(shū)驗(yàn)證的簽名對(duì)象。CA證書(shū)和EE證書(shū)中包括SIA擴(kuò)展項(xiàng)，并且是非關(guān)鍵的。

資源證書(shū)的AIA擴(kuò)展項(xiàng)標(biāo)識(shí)的是該證書(shū)簽發(fā)者的證書(shū)（即該證書(shū)的上級(jí)證書(shū)）所在的發(fā)布點(diǎn)，并且

是非關(guān)鍵的。如果是自簽名證書(shū)，則省略該擴(kuò)展項(xiàng)。

為了使RPKI驗(yàn)證更加高效，推薦每個(gè)依賴方維護(hù)一個(gè)本地資料庫(kù)，其中包含所有有效證書(shū)、當(dāng)前CRL

和所有相關(guān)簽名對(duì)象的同步副本。

RPKI數(shù)據(jù)對(duì)象的同步下載一般采用“自上向下”的方式，逐層遍歷RPKI的分布式資料庫(kù)。首先，RP

通過(guò)讀取本地預(yù)先配置的TAL以獲取信任錨點(diǎn)的相關(guān)信息，包括公鑰信息和位置信息，RP基于信任錨點(diǎn)

的位置信息定位并下載自簽名證書(shū)，完成RPKI數(shù)據(jù)對(duì)象的同步下載初始化。RP通過(guò)自簽名證書(shū)的SIA字

段獲取其發(fā)布點(diǎn)的位置信息，并同步下載由其簽發(fā)的所有數(shù)據(jù)對(duì)象。這一過(guò)程同樣適用于自簽名證書(shū)的

下級(jí)證書(shū)，即RP讀取自簽名證書(shū)的下級(jí)證書(shū)的SIA字段以獲取其發(fā)布點(diǎn)的位置信息，遞歸地實(shí)現(xiàn)RPKI數(shù)

據(jù)對(duì)象的層級(jí)同步下載。RP應(yīng)該為這種遞歸式的資料庫(kù)遍歷處理流程配置一個(gè)最大證書(shū)鏈長(zhǎng)度，該證書(shū)

鏈以信任錨點(diǎn)為同步起點(diǎn)，從而防止“指針循環(huán)”等同步故障。

6.3處理密鑰更替

RP在決定它與RPKI資料庫(kù)系統(tǒng)的同步頻率時(shí)，需要統(tǒng)籌考慮密鑰更替周期。

CA執(zhí)行周期性密鑰更替操作的持續(xù)時(shí)間不短于24小時(shí)。維護(hù)分布式RPKI資料庫(kù)的本地緩存的RP以不

超過(guò)24小時(shí)的固定間隔，對(duì)分布式RPKI資料庫(kù)執(zhí)行本地緩存同步操作；而突發(fā)性密鑰更替的等待時(shí)間根

據(jù)實(shí)際情況自行設(shè)置，RP端的同步更新時(shí)間不大于所設(shè)置的等待時(shí)間即可。

6.4處理算法轉(zhuǎn)變

在RPKI中使用的加密算法集合預(yù)計(jì)會(huì)隨時(shí)間而變化。每個(gè)RP都應(yīng)該了解為算法轉(zhuǎn)變建立的時(shí)序流

程，以及在每一個(gè)關(guān)鍵時(shí)刻需要采取的操作。

從算法套件A轉(zhuǎn)變到算法套件B，RP需要在三個(gè)關(guān)鍵時(shí)刻執(zhí)行相應(yīng)的操作：

a)RP的算法B準(zhǔn)備時(shí)間（RPReadyAlgorithmBDate）：在該時(shí)間之后，RP已經(jīng)準(zhǔn)備好驗(yàn)證使

用算法套件B簽發(fā)的簽名材料。

b)過(guò)渡時(shí)間（TwilightDate）：在該時(shí)間之后，RP可以停止驗(yàn)證使用算法套件A簽發(fā)的簽名材

料。

c)結(jié)束時(shí)間（End-Of-LifeDate）：在該時(shí)間之后，算法套件B完全被啟用。

6.5緩存維護(hù)策略

每個(gè)RP都應(yīng)該維護(hù)RPKI對(duì)象的本地緩存。緩存需要在RP檢查頻率許可的前提下，保持更新到與資料

庫(kù)發(fā)布點(diǎn)一致的最新數(shù)據(jù)。

3

YD/TXXXXX—XXXX

RP在執(zhí)行本地同步時(shí)，應(yīng)該使用已檢索到的資料清單，來(lái)確保自己同步到的是每個(gè)資料庫(kù)發(fā)布點(diǎn)當(dāng)

前的、一致的狀態(tài)。當(dāng)更新資料庫(kù)發(fā)布點(diǎn)內(nèi)容時(shí)，資料庫(kù)管理員無(wú)法向RP保證資料清單內(nèi)容和資料庫(kù)內(nèi)

容始終保持一致。RP應(yīng)該使用某些檢索算法，以應(yīng)對(duì)這種潛在的、瞬時(shí)的不一致性。為了緩解這種不一

致情況，可以使用的檢索算法包括：連續(xù)兩次執(zhí)行與資料庫(kù)的同步，或者在內(nèi)容同步之前和之后分別執(zhí)

行資料清單的檢索，并且發(fā)現(xiàn)這兩次的資料清單不一致，則重復(fù)同步過(guò)程。

7證書(shū)和CRL處理

7.1RPKI資源證書(shū)擴(kuò)展

RPKI采用X.509證書(shū)和CRL。RPKI中的X.509證書(shū)新增了資源擴(kuò)展項(xiàng)（見(jiàn)IETFRFC3779），稱(chēng)之為資

源證書(shū)。RPKI需要對(duì)INR認(rèn)證進(jìn)行規(guī)范，實(shí)現(xiàn)證書(shū)主體與其所持有的INR的密碼學(xué)綁定，包括：

a)在RPKI中，每個(gè)資源證書(shū)都包含IP地址授權(quán)（IPAddressDelegation）和AS標(biāo)識(shí)符授權(quán)（AS

IdentifierDelegation）擴(kuò)展項(xiàng)之一，或者兩個(gè)擴(kuò)展項(xiàng)都包含。

b)IP地址授權(quán)和AS標(biāo)識(shí)符授權(quán)擴(kuò)展項(xiàng)都是關(guān)鍵擴(kuò)展項(xiàng)。

c)資源證書(shū)的INR擴(kuò)展項(xiàng)要符合IETFRFC3779規(guī)定的分類(lèi)標(biāo)準(zhǔn)格式，包括INR范圍和前綴掩碼

的最大值。

7.2驗(yàn)證資源證書(shū)及其語(yǔ)法

RPKI的資源證書(shū)應(yīng)符合ITU定義的X.509證書(shū)規(guī)范，資源證書(shū)中的擴(kuò)展項(xiàng)都會(huì)被標(biāo)出是關(guān)鍵的

（critical）還是非關(guān)鍵的（non-critical）。RP如果遇到無(wú)法辨認(rèn)的關(guān)鍵擴(kuò)展項(xiàng)，則拒絕使用該證書(shū)，

即判定該證書(shū)違法。RP如果遇到無(wú)法辨認(rèn)的非關(guān)鍵擴(kuò)展項(xiàng)，可以忽略其內(nèi)容，并繼續(xù)使用該證書(shū)。

以下擴(kuò)展項(xiàng)都是RPKI證書(shū)中所必需的，不在其中的擴(kuò)展項(xiàng)可以被忽略：

——基本約束（BasicConstraints）

——主體密鑰標(biāo)識(shí)符（SubjectKeyIdentifier）

——權(quán)威密鑰標(biāo)識(shí)符（AuthorityKeyIdentifier）

——密鑰使用（KeyUsage）

——擴(kuò)展密鑰使用（ExtendedKeyUsage）

——CRL發(fā)布點(diǎn)（CRLDistributionPoints）

——權(quán)威信息訪問(wèn)（AuthorityInformationAccess）

——主體信息訪問(wèn)（SubjectInformationAccess）

——證書(shū)策略（CertificatePolicies）

——IP資源（IPResources）

——AS資源（ASResources）

具體驗(yàn)證規(guī)則遵從YD/T3574-2019。

7.3證書(shū)路徑驗(yàn)證

證書(shū)路徑驗(yàn)證有兩個(gè)必要步驟：

a)密碼學(xué)驗(yàn)證：遵從ITU-TX.509對(duì)子證書(shū)和父證書(shū)的驗(yàn)證。

b)資源包含關(guān)系驗(yàn)證：遵從YD/T3500-2019。

4

YD/TXXXXX—XXXX

7.4CRL處理

每個(gè)CA簽發(fā)版本號(hào)為2的CRL，RP不需要處理版本號(hào)為1的CRL。如果一個(gè)CA簽發(fā)了兩個(gè)或多個(gè)CRL，

CRL編號(hào)最大的那個(gè)CRL是最新的，它將覆蓋此CA簽發(fā)的所有其他CRL，成為唯一有效的CRL。CA在它簽發(fā)

的每一個(gè)CRL中包含兩個(gè)擴(kuò)展：權(quán)威密鑰標(biāo)識(shí)符（AuthorityKeyIdentifier）和CRL編號(hào)（CRLNumber）。

RP要處理CRL的這兩個(gè)擴(kuò)展，并且不要處理其他擴(kuò)展，也不使用CRLEntry擴(kuò)展項(xiàng)。對(duì)于每個(gè)被撤銷(xiāo)的證

書(shū)，只允許兩個(gè)字段，序列號(hào)（SerialNumber）和撤銷(xiāo)時(shí)間（RevocationDate）出現(xiàn)在CRL中，所有

其他字段不要出現(xiàn)。RP需要驗(yàn)證是否已滿足這些限制。RPKI中的每個(gè)CRL使用簽發(fā)該CRL的CA證書(shū)中的公

鑰進(jìn)行驗(yàn)證。

在RPKI中，當(dāng)待處理的CRL與該CRL所關(guān)聯(lián)發(fā)布點(diǎn)所關(guān)聯(lián)的資料清單不一致的時(shí)候，RP應(yīng)該特別注意。

RP應(yīng)該盡量使用最新發(fā)布的有效CRL，即使資料清單中的哈希值對(duì)應(yīng)一個(gè)較舊的CRL，或者無(wú)法對(duì)應(yīng)上任

何有效的CRL。當(dāng)RP發(fā)現(xiàn)一個(gè)CA有多個(gè)可用CRL，可以使用CRL中的thisUpdate字段確定最新的CRL。

8處理RPKI資料庫(kù)簽名對(duì)象

8.1基本的簽名對(duì)象語(yǔ)法檢查

RP需要首先檢查資料庫(kù)中的簽名對(duì)象以保證正確性，然后才可以使用這些簽名對(duì)象。包括檢查簽名

對(duì)象的語(yǔ)法是否符合規(guī)范、檢查EE證書(shū)的公鑰是否可以成功驗(yàn)證簽名對(duì)象的簽名、檢查EE證書(shū)是否是有

效的證書(shū)（即，從信任錨點(diǎn)到該EE證書(shū)存在一個(gè)有效的認(rèn)證鏈）。

在基本語(yǔ)法檢查的基礎(chǔ)上，RP還要根據(jù)每個(gè)簽名對(duì)象的特定類(lèi)型執(zhí)行其他驗(yàn)證檢查。

8.2每種類(lèi)型的簽名對(duì)象的語(yǔ)法和驗(yàn)證

8.2.1資源清單

為了確定資源清單是否有效，RP除了需要執(zhí)行針對(duì)于資源清單類(lèi)型的特定檢查：

a)資料清單的版本號(hào)是0。

b)“thisUpdate”指定的時(shí)間要早于“nextUpdate”指定的時(shí)間。

如果這些檢查中的任何一個(gè)失敗，說(shuō)明該資源清單無(wú)效，那么該資源清單將被丟棄，并被視為不存

在。

8.2.2ROA

為了驗(yàn)證ROA,RP除了需要執(zhí)行針對(duì)于ROA類(lèi)型的特定檢查：

a)該ROA包含有一個(gè)EE證書(shū)。

b)出現(xiàn)在該EE證書(shū)中的IP地址授權(quán)（IPaddressdelegation）擴(kuò)展項(xiàng)，包含ROA中的每個(gè)IP

地址前綴。

8.2.3聯(lián)系人信息記錄

聯(lián)系人信息記錄（Ghostbusters）記錄是可選的。RPKI中的發(fā)布點(diǎn)可以包含零個(gè)或多個(gè)相關(guān)聯(lián)的聯(lián)

系人信息記錄。如果CA有聯(lián)系人信息記錄，RP需要驗(yàn)證該聯(lián)系人信息記錄是否符合如下規(guī)范：

a)聯(lián)系人信息記錄的版本號(hào)是4。

b)聯(lián)系人信息記錄的有效負(fù)載是一個(gè)有格式要求的vCard。

c)用來(lái)驗(yàn)證聯(lián)系人信息記錄的EE證書(shū)使用“inherit”屬性描述它的INR。

8.2.4驗(yàn)證BGPsec路由器證書(shū)

5

YD/TXXXXX—XXXX

BGPsec路由器證書(shū)是資源證書(shū)，要符合7.1的規(guī)定。此外，證書(shū)包含AS標(biāo)識(shí)符授權(quán)（ASIdentifier

Delegation）擴(kuò)展項(xiàng)，并且不能包含IP地址授權(quán)（IPAddressDelegation）擴(kuò)展項(xiàng)。BGPsec路由器證

書(shū)的驗(yàn)證過(guò)程與第7章針對(duì)證書(shū)的驗(yàn)證過(guò)程相同。

BGPsec路由器使用的密碼學(xué)算法不同于CA證書(shū)和CRL。BGPsec當(dāng)前使用兩種密碼學(xué)算法。第一種是

數(shù)字簽名算法EllipticCurveDigitalSignatureAlgorithm(ECDSA)withcurveP-256。第二種是

哈希算法SHA-256。哈希算法會(huì)與簽名算法結(jié)合在一起并用“cdsa-with-SHA256”的OID標(biāo)識(shí)，不會(huì)單獨(dú)

標(biāo)識(shí)。BGPsec的依賴方（RP）需要支持用于驗(yàn)證BGPsec簽名的算法，以及驗(yàn)證BGPsec證書(shū)、RPKICA證

書(shū)和RPKICRL上的簽名所需的算法。

如果參與BGPsec數(shù)據(jù)對(duì)象生成及驗(yàn)證的機(jī)構(gòu)均在中國(guó)境內(nèi)，RPKI依賴方系統(tǒng)需支持國(guó)密算法。

8.3使用資源清單數(shù)據(jù)

對(duì)于一個(gè)給定的發(fā)布點(diǎn)，RP應(yīng)該檢查資源清單的有效性，并根據(jù)資源清單對(duì)發(fā)布點(diǎn)執(zhí)行以下檢查

內(nèi)容，用以檢測(cè)針對(duì)RPKI數(shù)據(jù)對(duì)象的惡意篡改，CA或者資料庫(kù)管理者的錯(cuò)誤配置以及針對(duì)RPKI數(shù)據(jù)

對(duì)象同步下載傳輸通道的攻擊等,以保證發(fā)布點(diǎn)的有效性和完整性：

a)資源清單的同步下載：RP通過(guò)CA證書(shū)中SIA的id-ad-rpkiManifestURI標(biāo)識(shí)獲取資源清單。

如果RP獲取資源清單失敗，執(zhí)行第6步，否則執(zhí)行第2步；

b)資源清單的有效期檢查：RP檢查當(dāng)前時(shí)間處于thisUpdate和nextUpdate字段規(guī)定的有效期

范圍內(nèi)。如果當(dāng)前時(shí)間處于該時(shí)間段之外，執(zhí)行第6步，否則執(zhí)行第3步；

c)發(fā)布點(diǎn)的完整性檢查：RP能夠從發(fā)布點(diǎn)中同步下載資源清單中列出的所有RPKI數(shù)據(jù)對(duì)象，并

且，發(fā)布點(diǎn)中不包含資源清單未列出的數(shù)據(jù)對(duì)象。特別地，資源清單應(yīng)該有且僅有一個(gè)CRL

文件，CRL位于資源清單的EE證書(shū)中CRLDP指定的位置。如果RP無(wú)法同步下載資源清單中

的所有數(shù)據(jù)對(duì)象，執(zhí)行第6步，否則執(zhí)行第4步；

d)資源清單與發(fā)布點(diǎn)的位置檢查：資源清單中列出的所有數(shù)據(jù)對(duì)象與資源清單存放于同一發(fā)布點(diǎn)

中，前者的位置信息由CA證書(shū)的id-ad-caRepositoryURI字段標(biāo)識(shí)，后者由CA證書(shū)的

id-ad-rpkiManifestURI字段標(biāo)識(shí)。如果不滿足上述要求，執(zhí)行第6步，否則執(zhí)行第5步

e)資源清單與發(fā)布點(diǎn)的一致性檢查：RP檢查資源清單中列出的和發(fā)布點(diǎn)中同步下載的數(shù)據(jù)對(duì)象

的內(nèi)容哈希值的一致性。如果存在任何一個(gè)哈希值不一致的數(shù)據(jù)對(duì)象，執(zhí)行第6步，否則驗(yàn)證

通過(guò)；

f)RP發(fā)起一個(gè)警告信息，用以說(shuō)明RP終止處理該CA實(shí)例（發(fā)布點(diǎn)）的具體原因。檢查程序的

終止意味著RP應(yīng)該繼續(xù)使用該CA實(shí)例在本地緩存中未過(guò)期的數(shù)據(jù)對(duì)象版本。

8.4處理聯(lián)系人信息記錄

RP可能在一個(gè)發(fā)布點(diǎn)中發(fā)現(xiàn)陳舊的資源清單或CRL，或者過(guò)期的CA證書(shū)或ROA。當(dāng)RP在發(fā)布點(diǎn)遇到任

何陳舊/過(guò)期的對(duì)象，它應(yīng)該使用聯(lián)系人信息記錄中的信息與該發(fā)布點(diǎn)的維護(hù)人員聯(lián)系。目的是鼓勵(lì)相

關(guān)的CA和/或資料庫(kù)管理員更新陳舊或過(guò)期的對(duì)象。

9分發(fā)經(jīng)過(guò)驗(yàn)證的緩存

在一個(gè)自治網(wǎng)絡(luò)中，多個(gè)BGP路由器基于一定的時(shí)間周期，向驗(yàn)證后的RPKI數(shù)據(jù)緩存請(qǐng)求最新的路

由起源AS數(shù)據(jù)和路由器/ASN數(shù)據(jù)。RP可以直接將驗(yàn)證后的數(shù)據(jù)傳給這些BGP路由器，或者可以將驗(yàn)證后

的數(shù)據(jù)傳輸?shù)揭粋€(gè)緩存服務(wù)器，由這個(gè)緩存服務(wù)器向BGP路由器提供數(shù)據(jù)。

RP或緩存服務(wù)器使用數(shù)據(jù)傳輸協(xié)議（例如IETFRFC6810和IETFRFC8210）向BGP路由器發(fā)送經(jīng)過(guò)

驗(yàn)證的緩存數(shù)據(jù)。

6

YD/TXXXXX—XXXX

10本地控制

運(yùn)營(yíng)商可能希望以本地過(guò)濾和添加的形式建立RPKI數(shù)據(jù)的本地視圖。例如，一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商可能希

望利用本地覆蓋功能來(lái)防止路由被RPKI惡意行為（即，RPKI簽名對(duì)象被非法刪除、延遲、污染、修改、

撤銷(xiāo)和注入）危害。YD/T3498-2019規(guī)范了一種面向RPKI的互聯(lián)網(wǎng)碼號(hào)資源本地化管理機(jī)制（SLURM），

它使用SLURM配置文件對(duì)來(lái)自RPKI資料庫(kù)中的數(shù)據(jù)對(duì)象進(jìn)行本地化管理操作，如果本地緩存里的簽名對(duì)

象（ROA或/和BGPsec路由器證書(shū)）內(nèi)容被SLURM文件里的簽名對(duì)象內(nèi)容覆蓋，則執(zhí)行移除操作，并將剩

余的簽名對(duì)象內(nèi)容添加到本地緩存中，最終傳輸給INR持有者的BGP路由器。

7

YD/TXXXXX—XXXX

參考文獻(xiàn)

[1]IETFRFC6481RPKI資料庫(kù)結(jié)構(gòu)規(guī)范

[2]IETFRFC6482基于RPKI的路由起源聲明（ROA）規(guī)范

[3]IETFRFC6486RPKI資料庫(kù)清單（RPKIManifest）技術(shù)規(guī)范

[4]IETFRFC6487RPKI資源證書(shū)規(guī)范

[5]IETFRFC6488RPKI簽名對(duì)象模板技術(shù)要求

[6]IETFRFC6489RPKI密鑰輪轉(zhuǎn)技術(shù)要求

[7]IETFRFC6810面向路由器的RPKI驗(yàn)證數(shù)據(jù)同步協(xié)議(RTR)，版本0

[8]IETFRFC6916RPKI算法敏捷性技術(shù)要求

[9]IETFRFC7935RPKI體系的應(yīng)用密碼學(xué)算法技術(shù)要求

[10]IETFRFC8209RPKI路由器證書(shū)技術(shù)規(guī)范

[11]IETFRFC8210面向路由器的RPKI驗(yàn)證數(shù)據(jù)同步協(xié)議(RTR)，版本1

[12]IETFRFC8360RPKI證書(shū)驗(yàn)證技術(shù)要求

[13]IETFRFC8630RPKI信任錨點(diǎn)配置技術(shù)要求

[14]IETFRFC8897資源公鑰基礎(chǔ)設(shè)施（RPKI）依賴方要求

[15]YD/T3460-2019互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI）聯(lián)系人信息記錄

[16]YD/T3498-2019互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施安全運(yùn)行技術(shù)要求互聯(lián)網(wǎng)碼號(hào)資源本地化管理

[17]ITU-TX.509Informationtechnology-OpenSystemsInterconnection-TheDirectory:

Public-keyandattributecertificateframeworks

_________________________________

1

YD/TXXXXX—XXXX

目次

前言................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語(yǔ)和定義.........................................................................1

4縮略語(yǔ).............................................................................2

5RPKI依賴方系統(tǒng)組件.................................................................2

6獲取和緩存RPKI資料庫(kù)對(duì)象..........................................................2

6.1TAL獲取和處理..................................................................2

6.2使用權(quán)威信息訪問(wèn)和主體信息訪問(wèn)定位RPKI對(duì)象....................................3

6.3處理密鑰更替...................................................................3

6.4處理算法轉(zhuǎn)變...................................................................3

6.5緩存維護(hù)策略...................................................................3

7證書(shū)和CRL處理.....................................................................4

7.1RPKI資源證書(shū)擴(kuò)展...............................................................4

7.2驗(yàn)證資源證書(shū)及其語(yǔ)法...........................................................4

7.3證書(shū)路徑驗(yàn)證...................................................................4

7.4CRL處理........................................................................5

8處理RPKI資料庫(kù)簽名對(duì)象............................................................5

8.1基本的簽名對(duì)象語(yǔ)法檢查.........................................................5

8.2每種類(lèi)型的簽名對(duì)象的語(yǔ)法和驗(yàn)證.................................................5

8.3使用資源清單數(shù)據(jù)...............................................................6

8.4處理聯(lián)系人信息記錄.............................................................6

9分發(fā)經(jīng)過(guò)驗(yàn)證的緩存.................................................................6

10本地控制..........................................................................7

參考文獻(xiàn).............................................................................1

I

YD/TXXXXX—XXXX

互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI）依賴方技術(shù)要求

1范圍

本文件針對(duì)RPKI依賴方（系統(tǒng)）的必要功能提出了技術(shù)要求，包括：RPKI數(shù)據(jù)同步、RPKI數(shù)據(jù)

驗(yàn)證、RPKI數(shù)據(jù)分發(fā)以及RPKI數(shù)據(jù)的本地化管理。

本文件適用于部署了RPKI依賴方系統(tǒng)的網(wǎng)絡(luò)運(yùn)營(yíng)商（ISP）、互聯(lián)網(wǎng)交換中心（IXP）以及具有BGP

連接能力的互聯(lián)網(wǎng)內(nèi)容服務(wù)商（ICP）。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

YD/T3500-2019互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施安全運(yùn)行技術(shù)要求資源包含關(guān)系驗(yàn)證

YD/T3574-2019互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施資源證書(shū)輪廓

IETFRFC3779X.509證書(shū)的IP地址和AS號(hào)信息擴(kuò)展

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

RPKI資料庫(kù)RPKIrepository

一個(gè)全球分布式數(shù)據(jù)庫(kù)，負(fù)責(zé)存儲(chǔ)基于RPKI認(rèn)證的互聯(lián)網(wǎng)碼號(hào)資源（INR）分配信息和授權(quán)使用信

息，例如ROA。

RPKI資料庫(kù)向全球范圍的RPKI依賴方系統(tǒng)開(kāi)放下載接口。

3.2

RPKI依賴方RPKIrelyingparty

連接RPKI系統(tǒng)和BGP路由系統(tǒng)之間的橋梁。RPKI依賴方負(fù)責(zé)幫助BGP邊界路由器從資料庫(kù)中下載原始

的資源證書(shū)和簽名對(duì)象，并完成RPKI信任鏈的構(gòu)建、證書(shū)驗(yàn)證、緩存管理及分發(fā)等。

3.3

簽名對(duì)象signedobject

由INR持有者簽發(fā)的符合CMS語(yǔ)法規(guī)范的RPKI簽名數(shù)據(jù)，例如ROA。

3.4

信任錨點(diǎn)trustanchor

1

YD/TXXXXX—XXXX

一個(gè)自簽名證書(shū)，是RPKI信任鏈的起點(diǎn)。RPKI系統(tǒng)中所有實(shí)體都以根CA的公鑰作為它們的信任錨點(diǎn)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

AS自治域AutonomousSystem

BGP邊界網(wǎng)關(guān)協(xié)議BorderGatewayProtocol

CA認(rèn)證權(quán)威CertificateAuthority

CMS加密消息格式語(yǔ)法CryptographicMessageSyntax

CRL證書(shū)撤銷(xiāo)列表CertificateRevocationList

EE終端實(shí)體EndEntity

IANA互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)TheInternetAssignedNumbersAuthority

INR互聯(lián)網(wǎng)碼號(hào)資源InternetNumberResource

ISP互聯(lián)網(wǎng)服務(wù)提供商InternetServiceProvider

RC資源證書(shū)ResourceCertificate

RIR區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)RegionalInternetRegistry

ROA路由起源授權(quán)RouteOriginAuthorization

RPRPKI依賴方RPKIRelyingParty

RPKI互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施ResourcePublicKeyInfrastructure

TA信任錨點(diǎn)TrustAnchor

TAL信任錨點(diǎn)定位符TrustAnchorLocator

5RPKI依賴方系統(tǒng)組件

網(wǎng)絡(luò)運(yùn)營(yíng)商使用RPKI依賴方軟件來(lái)下載、驗(yàn)證存儲(chǔ)在RPKI資料庫(kù)系統(tǒng)中的INR分配數(shù)據(jù)和授權(quán)使用

數(shù)據(jù),并將這些驗(yàn)證過(guò)的數(shù)據(jù)提供給互聯(lián)網(wǎng)域間路由系統(tǒng)進(jìn)行路由決策。

根據(jù)各個(gè)系統(tǒng)組件功能正交的原則，本文件對(duì)RPKI依賴方的技術(shù)要求進(jìn)行了分類(lèi)和規(guī)范。

RPKI依賴方系統(tǒng)功能劃分如下:

——獲取和緩存全球RPKI資料庫(kù)里存儲(chǔ)的證書(shū)（以及CRL）和簽名對(duì)象；

——處理RPKI資源證書(shū)和CRL；

——處理RPKI資料庫(kù)中的簽名對(duì)象；

——向路由系統(tǒng)分發(fā)RPKI數(shù)據(jù)的驗(yàn)證緩存。

6獲取和緩存RPKI資料庫(kù)對(duì)象

6.1TAL獲取和處理

在RPKI中，每個(gè)RP自行選擇它信任的TA。

與現(xiàn)有