YD/T 3498-2019 互联网码号资源公钥基础设施(RPKI)安全运行技术要求 互联网码号资源本地化管理.pdf

YD/T 3498-2019 互联网码号资源公钥基础设施(RPKI)安全运行技术要求 互联网码号资源本地化管理.pdf
仅供个人学习
反馈
标准编号:YD/T 3498-2019
文件类型:.pdf
资源大小:7.6 M
标准类别:电力标准
资源ID:243511
下载资源

YD/T 3498-2019 标准规范下载简介

YD/T 3498-2019 互联网码号资源公钥基础设施(RPKI)安全运行技术要求 互联网码号资源本地化管理.pdf

ICS33.100.05 L79

YD/T 3498=2019

网码号资源公钥基础设施(RPKI)安全 行技术要求互联网码号资源本地化管理

中华人民和国工业和信息化部 发布

JG/T233-2017 建筑门窗用通风器YD/T 34982019

本标准是“互联网码号资源公钥基础设施(RPKI)安全运行技术要求”系列标准之一。该系列标 准的结构和名称预计如下: 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求数据安全威胁模型》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求密钥更替》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求资源包含关系验证》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求证书策略与认证业务框架》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求互联网码号资源本地化管理》 本标准遵循GB/T1.1一2009的规则编写。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并出口。 本标准起草单位:互联网域名北京市工程研究中心有限公司、国家计算机网络应急技术处理协调中 心、中国电信集团有限公司。 本标准主要起草人:马迪、严寒冰、**辉、孙琼、邵晴、邹慧。

本标准是“互联网码号资源公钥基础设施(RPKI)安全运行技术要求”系列标准之一。该系列标 准的结构和名称预计如下: 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求数据安全威胁模型》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求密钥更替》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求资源包含关系验证》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求证书策略与认证业务框架》; 《互联网码号资源公钥基础设施(RPKI)安全运行技术要求互联网码号资源本地化管理》。 本标准遵循GB/T1.1一2009的规则编写。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并出口。 本标准起草单位:互联网域名北京市工程研究中心有限公司、国家计算机网络应急技术处理协调中 心、中国电信集团有限公司。 本标准主要起草人:马迪、严寒冰、**辉、孙琼、邵晴、邹慧。

YD/T 34982019

源公钥基础设施(RPKI)安全

互联网码号资源本地化管理

本标准定义了针对RPKI路由起源声明的本地化管理机制,根据网络的互联互通策略和码号资源便 用策略,该管理机制可以在本地网络范围内,对来自RPKI的路由起源声明信息和BGPsec声明信息进 行过滤和修改,以及对私有地址实施路由起源声明。 本标准适用于RPKI依赖方系统。

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 IETFRFC4648Base16,Base32和Base64数据编码(TheBase16,Base32,andBase64Data Encodings) IETFRFC6811BGP前缀源验证(BGPPrefixOriginValidation) IETFRFC8205BGPsec协议(BGPsecProtocolSpecification) IETFRFC8259JSON数据交换格式(TheJavaScriptObjectNotation(JSON)DataInterchange Format)

下列术语和定义适用于本文件!

路由起源声明routeoriginstatement

经过RPKI依赖方验证且状态为有效的ROA,其内容可转换为三元组:,这样的三元组称之为路由起源声明,且为BGP边界路由器系统所用。

YD/T3498—2019

BGPsec声明BGPsecstatement

经过RPKI依赖方验证且状态为有效的路由器证书,其内容可转换为三元组:,这样的三元组称为BGPsec声明,且为BGP边界路由器系统所用。

4RPKI运行机制概览

RPKI是一种使用PKI技未,为互联网码号资源分配授权提供认证依据的公钥基础设施,充许INR 持有者对其所拥有INR发布可验证声明。INR持有者可通过RPKI获取具有互联网码号资源扩展项的 X.509资源证书,该扩展项中包含INR持有者所持有的INR。INR持有者通过发布一个或者多个ROA, 以授权一个AS对所持有的IP地址块的部分或者全部进行路由起源声明,INR持有者通过发布一个或 者多个路由器证书,以授权一个AS在BGPsec更新报文中执行签名操作。边界路由器可利用验证有效 的ROA和有效的路由器证书验证BGP更新报文的有效性,并以此为依据做出正确的路由决策,其中, 路由起源的认证遵循IETFRFC6811,路由路径的验证遵循IETFRFC8205。 IANA为保留地址和未分配地址签发了为O的ROA,BGP边界路由器进行路由决策时,直接丢弃 包含ASO中所列举的IP地址的BGP更新报文,不予转发。网络范围内使用私有IP地址和私有AS码 号的ISP,由于RPKI面向的对象为公有IP地址和AS码号,将导致ISP内部传送的BGP更新报文无法 得到验证。上述两种情形促使RP从RPKI资料库获取所有数据对象后需要在本地对码号资源授权信息 实施管理和控制,以构建一个RPKI的本地视图,使得RPKI能够在本地范围内实行BGP更新报文的有 效验证,也能够使得本地网络避开由于RPKI中参与实体的恶意/误操作或者外部攻击者针对RPKI的攻 击导致的RPKI数据安全威胁。

DBJ50/T-237-2016 道路橡胶沥青路面技术规程YD/T 34982019

c)本地添加声明(locallyAddedAssertions)元素,其值为一个JSON对象,该对象的值只能为以 下两种成员: ■“prefixAssertions"元素:其值见6.4.1小节。 ■“bgpsecAssertions"元素:其值见6.4.2小节。 一般情况下,验证输出过滤机制与本地添加声明机制结合使用,应该按照先执行验证输出过滤机制, 再执行本地添加声明机制的顺序对RP的验证结果进行本地化管理操作。 一个空的SLURMJSON文件如下: "slurmVersion": 1, "validationOutputFilters": "prefixFilters": [l, "bgpsecFilters":[] , "locallyAddedAssertions": "prefixAssertions": , "bgpsecAssertions":

YD/T 34982019

6.3.2BGPSec声明过滤

DB/T 56-2013标准下载YD/T 34982019

YD/T 34982019

©版权声明
相关文章