互聯(lián)網(wǎng)碼號資源公鑰基礎(chǔ)設(shè)施（RPKI） 信任錨點定位器

互聯(lián)網(wǎng)碼號資源公鑰基礎(chǔ)設(shè)施(RPKI)信任錨點定位器本文件規(guī)定了資源公鑰基礎(chǔ)設(shè)施(RPKI)中的信任錨點定位器，其中包括信任錨點定位器的格式。本文件適用于支持RPKI,并且通過RPKI保證域問路由安全的網(wǎng)絡(luò)設(shè)備和相關(guān)網(wǎng)絡(luò)部署。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件?；ヂ?lián)網(wǎng)X.509公鑰基礎(chǔ)設(shè)施：證書路徑構(gòu)建(IntemetX509PublicKeyInfrastnucture:Certific互聯(lián)網(wǎng)X.509公鑰基礎(chǔ)設(shè)施證書與證書撤銷列表規(guī)范(ImterretX.509PublieKeyandCerifcateRevocationListRsyneURI方案(ThersyneURISX509PKIX資源證書輪廓(AProfleforX.509PKIXResourceCertifcates)3術(shù)語和定義本文件沒有需要界定的術(shù)語和定義下列縮略語適用于本文件。CA認證權(quán)威RPKI資源公鑰基礎(chǔ)設(shè)施RP依賴方、RPKI系統(tǒng)使用者ROA路由源授權(quán)URI統(tǒng)一資源定位符CertificateAuthiorResourcePublicKeyInfrastructuRouteOriginationAuth2本文件所使用的信任錨點定位器通過帶外或者線下的方式分發(fā)信任錨點。依賴方們驗證RPKI簽名對象的流程需要滿足本標(biāo)準(zhǔn)所規(guī)定的信任錯點定位器的格式要求，從而便于依賴方們和信任錨點的創(chuàng)建者6信任錨點定位器6.1信任錯點定位器格式本文件并沒有定義一種全新的信任錨點的格式。RPKI中的信任錨點由自簽名的X.509CA證書格式表示，這種格式被廣泛使用于PKI體系同時也被大量的RP軟件識別。定義信任錨點的目的是如果信任錨點上所選的數(shù)據(jù)更改了，不需要再去分發(fā)信任錨點。RPKI中的證書包含表示互聯(lián)網(wǎng)碼號資源的擴展，參見IETFRFC3779。這些碼號資源集合組成一個實體作為一個信任錨點可能會經(jīng)常改變。因此，如果通過一般的PKI原理以保密的方式分發(fā)信任錨點給依賴方，一旦看作信任錯點的實體的互聯(lián)網(wǎng)碼號資源集合發(fā)生改變，就需要重新啟動分發(fā)的流程。而不分發(fā)信任錨點，而是下發(fā)信任錨點定位器，這種問題就可以避免，只要信任錨點的公鑰和它的位置不改變，信任錨點定位器就是一個常數(shù)。信任錨點定位器和IETFRFC5914中的TrustAnchorlnfo的數(shù)據(jù)結(jié)構(gòu)類似。如果數(shù)據(jù)結(jié)構(gòu)已經(jīng)定義為rsyneURI擴展格式，TrustAnchorlnfo完全可以替代信任錨點定位器。但是，由于信任錯點定位器的格式早于RKIX信任錨點被RPKI的實踐者們所接受，于是RPKI的實踐者聯(lián)盟決定使用信任錯點定位器的格式而不是定義必要的擴展格式。同時聯(lián)盟決定為信任錨點定位器選擇簡易的ASCII編碼方式而不是TrustAnchorInfo的二進制編碼方式。信任錯點定位器的格式一串有順序的序列：b)<CRLF>或者<LF>斷行符，c)DER格式的subjectPublicKeylnfo,用Basc64編碼。為了避免一行太長，<CRLF>或者<LF>斷行符可能會被插入到Basc64編碼的字符串中。其中URI部分有一個多個有順序的序列組成：b)一個<CRLF>或者<LF>斷行符6.2信任錨點定位器和信任錨點證書的使用要求信任錨點定位器里的每一個rsyneURI都關(guān)聯(lián)到一個對象而不應(yīng)該關(guān)聯(lián)到一個目錄或者任何形式的關(guān)聯(lián)的對象必須是自簽名的CA證書，該證書應(yīng)滿足IETFRFC6487中RPKI資源證書輪廓的規(guī)定。該證書同時也是IETFRFC4158證書路徑發(fā)現(xiàn)和驗證驗證的信任錯點，參見IETFRFC5280和IETFRFC該信任錨點的驗證時間間隔必須能夠反映所假定的信任錨點所關(guān)聯(lián)的碼號資源集合的穩(wěn)定周期。該信任錨點的碼號資源擴展必須包含一個碼號資源的非空集合。同時不能使用"inherit"形式的互聯(lián)網(wǎng)碼號資源擴展。該證書中描述的互聯(lián)網(wǎng)碼號資源集合是假定作為信任錨點的實體，該實體負責(zé)頒發(fā)用以驗證信任錨點的公鑰必須和信任錨點定位器以及CA證書里的subjectPublicKeyInfo一樣。該信任錨點必須包含一個不變的密鑰。當(dāng)碼號資源擴展中的證書發(fā)生改變，或者當(dāng)證書在過期之前更新了，或者其他原因?qū)е鲁荑€外的資源發(fā)生改變了，密鑰都不允許發(fā)生改變。由于信任錨點定位器中的公鑰和信任錨點都必須不變，這將會導(dǎo)致該CA的操作變成線下模式。因此，簽發(fā)信任錨點的實體必須簽發(fā)一個包含同樣碼號資源的下級CA證書(可以通過使用下級證書中的碼號資源擴展中的“繼承”選項)。這將會導(dǎo)致簽發(fā)信任錨點的實體在簽發(fā)直屬下級CA的相關(guān)子證書的時候離線保存對應(yīng)的證書私鑰。這種操作同樣允許使用該實體簽發(fā)的資源撒銷列表在線上操作密鑰對的時候?qū)赡茉馐芄舻拿荑€撤銷下級CA證書。該信任錨點必須由一個固定的URI發(fā)布。不管何種原因該信任錨點被重新簽發(fā)，所替代的CA證書必須可以通過該同一個URI訪問到。由于該信任錨點是一個自簽名的證書，所以沒有對應(yīng)的證書撒銷列表能夠撤銷它，也沒有資源列表列出該證書。如果一個實體希望撤銷信任錨點的自簽名的CA證書，不管是什么原因，包括密鑰輪轉(zhuǎn)，該實體必須將該對象從信任錨點定位器定位的位置上移除。當(dāng)一個信任錨點定位器包含一個或者多個rsyneURIs的時候，同樣的自簽名CA證書必須能夠在每一個參考位置找到。為了能夠增加實際的可操作性，強烈建議這些URIs的域名部分解析到不同的IP地址，這些IP地址被不同集合的資料庫發(fā)布點所使用，同時這些IP地址包含在不同的CA簽發(fā)的ROA對象中。7依賴方的使用情況為了能夠使用信任錨點定位器來檢索和驗證假定的信任錨點，一個依賴方必須a)檢索信任錨點定位器里的URI所關(guān)聯(lián)的對象。b)確認所檢索到的對象是否滿足[RFC6487]的要求是正確的、自簽名的RPKICA證書c)確認信任錯點定位器里的公鑰和檢索到的對象中的公鑰相同。d)經(jīng)過其他的檢查，保證依賴方愿意接受實體所發(fā)布的自簽名的CA證書為信任錨點。上述檢查適用于所有在該證書碼號資源擴展中描述的和RPKI相關(guān)的驗證機制。每當(dāng)依賴方和本地資料庫緩存同步的時候，依賴方需要為每一個信任錨點定位器運行上述功能。同時，在信任錨點定位器所關(guān)聯(lián)的信任錨點的本地緩存拷貝過期前，依賴方也必須運行上述功能。當(dāng)出現(xiàn)信任錨點定位器包含多個URIs的時候，依賴方可以使用一種本地的選擇規(guī)則來選擇URI檢索自簽名的RPKICA