ICS 35.110 CCS M11 YD 中华人民共和国 通信行业标准 YD/T XXXXX—XXXX 互联网码号资源公钥基础设施（ RPKI） 信任锚点定位器 RPKI architecture Trust Anchor Locator （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部   发 布 YD/T XXXXX—XXXX I目 次 前言 .................................................................................. II 1　范围 ................................................................................ 1 2　规范性引用文件 ...................................................................... 1 3　术语和定义 .......................................................................... 1 4　缩略语 .............................................................................. 1 4.1　缩略语 .......................................................................... 1 5　概述 ................................................................................ 1 6　信任锚点定位器 ...................................................................... 2 6.1　信任锚点定位器格式 .............................................................. 2 6.2　信任锚点定位器和信任锚点证书的使用要求 .......................................... 2 7　依赖方的使用情况 .................................................................... 3 YD/T XXXXX—XXXX II前  言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》给出的规 则起草。 本文件是 “互联网码号资源公钥基础设施（ RPKI）”系列标准之一。该系列标准结构及名称如下： • 《互联网码号资源公钥基础设施（ RPKI）体系结构》 • 《互联网码号资源公钥基础设施（ RPKI）资料库架构》 • 《互联网码号资源公钥基础设施（ RPKI）RPKI与BGP路由器交互协议》 • 《互联网码号资源公钥基础设施（ RPKI）资源证书发布协议 》 • 《互联网码号资源公钥基础设施（ RPKI）资源证书格式》 • 《互联网码号资源公钥基础设施（ RPKI）联系人信息记录》 • 《互联网码号资源公钥基础设施（ RPKI）资源列表》 • 《互联网码号资源公钥基础设施（ RPKI）信任锚点定位器》 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国互联网络信息中心（ CNNIC）、暨南大学、北京交通大学、北京邮电大学 、 北京微芯区块链与边缘计算研究院。 本文件起草人： 延志伟、翁健，耿光刚、董科军、姚健康、周琳琳、张曼、张银炎、刘志全、吴 永东、刘颖、时金桥、任常锐、唐琳、杜娟。YD/T XXXXX—XXXX 1互联网码号资源公钥基础设施（ RPKI） 信任锚点定位器 1　范围 本文件规定了资源公钥基础设施（ RPKI）中的信任锚点定位器，其中包括信任锚点定位器的格式 。 本文件适用于支持 RPKI，并且通过 RPKI保证域间路由安全的网络设备和相关网络部署。 2　规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件 ，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 IETF RFC3779 IP地址和 AS码号的 X.509扩展（ X.509 Extensions for IP Addresses and AS Identifiers ） IETF RFC4158 互联网 X.509公钥基础设施 ： 证书路径构建（ Internet X.509 Public Key Infrastructure: Certification Path Building） IETF RFC5280 互联网 X.509公钥基础设施证书与证书撤销列表规范（ Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile） IETF RFC5781 Rsync URI 方案（ The rsync URI Scheme） IETF RFC5914 信任锚点格式（ Trust Anchor Format ） IETF RFC6487 X.509 PKIX资源证书轮廓（ A Profile for X.509 PKIX Resource Certificates ） 3　术语和定义 本文件没有需要界定的术语和定义。 4　缩略语 下列缩略语适用于本文件。 AS 自治域 Autonomous System CA 认证权威 Certificate Authority RPKI 资源公钥基础设施 Resource Public Key Infrastructure RP 依赖方、 RPKI系统使用者 Relying Party ROA 路由源授权 Route Origination Authorization URI 统一资源定位符 Uniform Resource Identifier 5　概述 YD/T XXXXX—XXXX 2本文件所使用的信任锚点定位器通过带外或者线下的方式分发信任锚点 。依赖方们验证 RPKI签名对 象的流程需要满足本标准所规定的信任锚点定位器的格式要求 ，从而便于依赖方们和信任锚点的创建者 之间交互。 6　信任锚点定位器 6.1　信任锚点定位器格式 本文件并没有定义一种全新的信任锚点的格式。 RPKI中的信任锚点由自签名的 X.509CA 证书格式 表示，这种格式被广泛使用于 PKI体系同时也被大量的 RP软件识别。 定义信任锚点的目的是如果信任锚点上所选的数据更改了，不需要再去分发信任锚点。 RPKI中的 证书包含表示互联网码号资源的扩展 ，参见 IETF RFC 3779。这些码号资源集合组成一个实体作为一个 信任锚点可能会经常改变 。因此，如果通过一般的 PKI原理以保密的方式分发信任锚点给依赖方 ，一旦 看作信任锚点的实体的互联网码号资源集合发生改变 ，就需要重新启动分发的流程 。而不分发信任锚点 ， 而是下发信任锚点定位器 ，这种问题就可以避免 ，只要信任锚点的公钥和它的位置不改变 ，信任锚点定 位器就是一个常数。 信任锚点定位器和 IETF RFC 5914中的 TrustAnchorInfo 的数据结构类似。如果数据结构已经定义为 rsync URI扩展格式 ，TrustAnchorInfo 完全可以替代信任锚点定位器 。但是，由于信任锚点定位器的格式 早于 RKIX信任锚点被 RPKI的实践者们所接受 ，于是 RPKI的实践者联盟决定使用信任锚点定位器的格式 而不是定义必要的扩展格式。同时联盟决定为信任锚点定位器选择简易的 ASCII编码方式而不是 TrustAnchorInfo 的二进制编码方式。 信任锚点定位器的格式一串有顺序的序列： a) URI部分， b) <CRLF>或者 <LF>断行符， c) DER格式的 subjectPublicKeyInfo ，用Base64编码。为了避免一行太长 ，<CRLF>或者 <LF>断 行符可能会被插入到 Base64编码的字符串中。 其中 URI部分有一个多个有顺序的序列组成： a) 一个 rsunc URI，参见 IETF RFC 5781 b) 一个 <CRLF>或者 <LF>断行符 6.2　信任锚点定位器和信任锚点证书 的使用要求 信任锚点定位器里的每一个 rsync URI都关联