YD/T 3500-2019标准规范下载简介
YD/T 3500-2019 互联网码号资源公钥基础设施(RPKI)安全运行技术要求 资源包含关系验证.pdfICS35.100.05 L79
YD/T 35002019
DB11/T 1442-2017 地理国情信息内业采集与编辑技术规程互联网码号资源公钥基础设施(RPKI) 安全运行技术要求资源包含关系验证
共和国工业和信息化部
YD/T 35002019
本标准是“互联网码号资源公钥基础设施(RPKI)安全运行技术要求系列标准之一。该系列标准 的结构和名称预计如下: 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求数据安全威胁模型》: 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求密钥更替》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求资源包含关系验证》: 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求证书策略与认证业务框架》: 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求互联网码号资源本地化管理》。 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并出口。 本标准起草单位:互联网域名系统北京市工程研究中心有限公司、中国科学院信息工程研究所、北 龙中网(北京)科技有限责任公司、中兴通讯股份有限公司。 本标准主要起草人:马迪、王利明、王伟、邹慧、邵晴、林兆骥
本标准规范了RPKI系统安全运行涉及的证书和ROA验证过程。 本标准适用于RPKI依赖方(RelyingParty,RP)软硬件系统。
YD/T3500—2019
互联网码号资源公钥基础设施(RPKI) 安全运行技术要求资源包含关系验证
下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 IETFRFC3779IP地址和AS码号的X.509扩展项 IETFRFC5280PKIX证书和证书撤销列表规范
下列术语和定义适用于本文件。
列术语和定义适用于本文
3.1.1资料库repository
负责存储承载INR分配/授权信息的RC/ROA等数据对象,其部署结构为分布式数据库,供全球范 围内的RP下载。
RPKl依赖方resourcepublickeyinfrastructur
连接RPKI系统和BGP边界路由器之间的桥梁。RPKI依赖方负责帮助BGP边界路由器从资料库 中同步并验证原始的资源证书和签名对象、构建信任链并验证资源包含关系、管理缓存验证结果等。最 后,将上述RPKI数据对象处理后得到的INR声明信息存储下来,并传输给BGP边界路由器。
3.1.3签名对象signed object
一种并不由INR持有者直接签发的数据对象,而是由INR持有者直接签发的终端实体证书进行签 发。当前的签名对象只有三种:ROA、资源清单和Ghostbusters。
YD/T 35002019
3.1.4信任错点trustanchor
4RPKI相关资源对象
资源证书是一种依托互联网码号资源扩展项实现INR分配授权的X.509证书,将INR与其持有者 可验证地关联起来,资源证书必须遵循相关规范。资源证书结构如图1所示,证书路径的创建和验证需 要根据相关字段和验证程序以确定验证路径和验证结果
YD/T 35002019
6.1.2.3签名算法
DB11/T 634-2018标准下载签名算法必须符合相关算法标准中规定可用的签
资源证书的签发者必须为一个有效的X.501甄别名(DistinguishedName,DN),必须包含一个通 用名(CommonName,CN)实例,且必须使用ASN.1类型的PrintableString编码格式,可选包含一个 序列号实例,如果两者均存在,推荐它们以一个集合的形式出现。签发者名称并不携带身份信息。
6.1.2.5 持有者
资源证书的持有者必须为一个有效的X.501甄别名,且需满足针对签发者字段的所有规范。持 称由资源证书的签发者决定,且在签发者签发的所有资源证书中唯一。当持有者公钥发生变化时 者需要重新为持有者命名。BGPsec路由器证书的通用名可使用ASN.1类型的PrintableString编 TF8String编码,
资源证书的有效期是一个时间段,由两个值进行标识:有效期起始值和有效期终正值。一个资 的有效期长度不建议长于其签发 能导致证书路径验证的失败。
6.1.2.6.1有效期起始值
资源证书的有效期起始值不能晚于有效期终止值DB23/T 2527-2019标准下载,且可以早于任意一个上游INR持有者的资源 书的有效期起始值。RP不能从有效期起始值推断一个资源证书过去有效,只能确定该证书是否现在有 效。
.1.2.6.2有效期终止值