ICS 35.100.05 CCS M16 YD 中华人民共和国 通信行业标准 YD/T XXXXX —XXXX 互联网码号资源公钥基础设施（ RPKI） 依 赖方技术要求 Technical requirements for resource public key infrastructure (RPKI) — Relying parties 点击此处添加与国际标准一致性程度的标识 （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 YD/T XXXXX—XXXX I目 次 前言 .................................................................................. II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 2 5 RPKI依赖方系统组件 .................................................................. 2 6 获取和缓存 RPKI资料库对象 ............................................................ 2 6.1 TAL获取和处理 ................................................................... 2 6.2 使用权威信息访问和主体信息访问定位 RPKI对象 ...................................... 3 6.3 处理密钥更替 ..................................................................... 3 6.4 处理算法转变 ..................................................................... 3 6.5 缓存维护策略 ..................................................................... 3 7 证书和CRL处理 ....................................................................... 4 7.1 RPKI资源证书扩展 ................................................................ 4 7.2 验证资源证书及其语法 ............................................................. 4 7.3 证书路径验证 ..................................................................... 4 7.4 CRL处理 ......................................................................... 5 8 处理RPKI资料库签名对象 .............................................................. 5 8.1 基本的签名对象语法检查 ........................................................... 5 8.2 每种类型的签名对象的语法和验证 ................................................... 5 8.3 使用资源清单数据 ................................................................. 6 8.4 处理联系人信息记录 ............................................................... 6 9 分发经过验证的缓存 ................................................................... 6 10 本地控制 ............................................................................ 7 参考文献 ............................................................................... 1 YD/T XXXXX—XXXX II前    言 本文件按照 GB/T 1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：国家计算机网络应急技术处理协调中心，互联网域名系统北京市工程研究中心有 限公司，中国科学院计算机网络信息中心 ，中兴通讯股份有限公司 ，华为技术有限公司 ，中国科学院信 息工程研究所。 本文件主要起草人 ：严寒冰、李志辉、郭晶、马迪、龙春、李菁菁、林兆骥、陈双龙、庄顺万、王 利明。 YD/T XXXXX—XXXX 1互联网码号资源公钥基础设施（ RPKI） 依赖方技术要求 1　范围 本文件针对 RPKI依赖方（系统 ）的必要功能提出了技术要求， 包括：RPKI数据同步、 RPKI数据 验证、 RPKI数据分发以及 RPKI数据的本地化管理。 本文件适用于部署了 RPKI依赖方系统的网络运营商 （ISP）、互联网交换中心 （IXP）以及具有 BGP 连接能力的互联网内容服务商（ ICP）。 2　规范性引用文件 下列文件对于本文件的应用是必不可少的 。凡是注日期的引用文件 ，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YD/T 3500-2019 互联网码号资源公钥基础设施安全运行技术要求 资源包含关系验证 YD/T 3574-2019 互联网码号资源公钥基础设施 资源证书轮廓 IETF RFC 3779 X.509证书的IP地址和AS号信息扩展 3　术语和定义 下列术语和定义 适用于本文件。 3.1　 RPKI资料库 RPKI repository 一个全球分布式数据库，负责存储基于 RPKI认证的互联网码号资源（ INR）分配信息和授权使用信 息，例如 ROA。 RPKI资料库向全球范围的 RPKI依赖方系统开放下载接口。 3.2　 RPKI依赖方 RPKI relying party 连接RPKI系统和BGP路由系统之间的桥梁 。RPKI依赖方负责帮助 BGP边界路由器从资料库中下载原始 的资源证书和签名对象，并完成 RPKI信任链的构建、证书验证、缓存管理及分发等。 3.3　 签名对象 signed object 由INR持有者签发的符合 CMS语法规范的 RPKI签名数据，例如 ROA。 3.4　 信任锚点 trust anchor YD/T XXXXX—XXXX 2一个自签名证书 ，是RPKI信任链的起点 。RPKI系统中所有实体都以根 CA的公钥作为它们的信任锚点 。 4　缩略语 下列缩略语适用于本文件。 AS 自治域 Autonomous System BGP 边界网关协议 Border Gateway Protocol CA 认证权威 Certificate Authority CMS 加密消息格式语法 Cryptographic Message Syntax CRL 证书撤销列表 Certificat