互联网码号资源公钥基础设施（RPKI） 信任锚点定位器.docx

5概述

YD/TXXXXX—XXXX

互联网码号资源公钥基础设施(RPKI)信任锚点定位器

1范围

本文件规定了资源公钥基础设施(RPKI)中的信任锚点定位器，其中包括信任锚点定位器的格式。本文件适用于支持RPKI,并且通过RPKI保证域问路由安全的网络设备和相关网络部署。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

IETFRFC3779

IP地址和AS码号的X509扩展(X.509ExtensionsforIPAddressesandAS

Identifiers)

IETFRFC4158

互联网X.509公钥基础设施：证书路径构建(IntemetX509PublicKey

Infrastnucture:Certification

PathBuiding)

IETFRFC5280

互联网X.509公钥基础设施证书与证书撤销列表规范(ImterretX.509PublieKey

InfrastructureCertificate

andCerifcateRevocationList(CRL)Profile)

IETFRFC5781

RsyneURI方案(ThersyneURIScheme)

IETFRFC5914

信任锚点格式(TrustAnchorFomat)

IETFRFC6487

X509PKIX资源证书轮廓(AProfleforX.509PKIXResourceCertifcates)

3术语和定义

本文件没有需要界定的术语和定义

4缩略语

下列缩略语适用于本文件。AS自治域

CA认证权威

RPKI资源公钥基础设施

RP依赖方、RPKI系统使用者

ROA路由源授权

URI统一资源定位符

AutonomousSystemCertificateAuthiority

ResourcePublicKeyInfrastructure

RelyingParty

RouteOriginationAuthorizaion

UnifomResourceIdentifier

2

YD/IX0000—x000

本文件所使用的信任锚点定位器通过带外或者线下的方式分发信任锚点。依赖方们验证RPKI签名对象的流程需要满足本标准所规定的信任错点定位器的格式要求，从而便于依赖方们和信任锚点的创建者之间交互

6信任锚点定位器

6.1信任错点定位器格式

本文件并没有定义一种全新的信任锚点的格式。RPKI中的信任锚点由自签名的X.509CA证书格式表示，这种格式被广泛使用于PKI体系同时也被大量的RP软件识别。

定义信任锚点的目的是如果信任锚点上所选的数据更改了，不需要再去分发信任锚点。RPKI中的证书包含表示互联网码号资源的扩展，参见IETFRFC3779。这些码号资源集合组成一个实体作为一个信任锚点可能会经常改变。因此，如果通过一般的PKI原理以保密的方式分发信任锚点给依赖方，一旦看作信任错点的实体的互联网码号资源集合发生改变，就需要重新启动分发的流程。而不分发信任锚点，而是下发信任锚点定位器，这种问题就可以避免，只要信任锚点的公钥和它的位置不改变，信任锚点定位器就是一个常数。

信任锚点定位器和IETFRFC5914中的TrustAnchorlnfo的数据结构类似。如果数据结构已经定义为rsyneURI扩展格式，TrustAnchorlnfo完全可以替代信任锚点定位器。但是，由于信任错点定位器的格式早于RKIX信任锚点被RPKI的实践者们所接受，于是RPKI的实践者联盟决定使用信任错点定位器的格式而不是定义必要的扩展格式。同时联盟决定为信任锚点定位器选择简易的ASCII编码方式而不是TrustAnchorInfo的二进制编码方式。

信任错点定位器的格式一串有顺序的序列：

a