YD/T 3500-2019 互联网码号资源公钥基础设施(RPKI)安全运行技术要求 资源包含关系验证.pdf
- 文档部分内容预览:
签名算法必须符合相关算法标准中规定可用的签
资源证书的签发者必须为一个有效的X.501甄别名(DistinguishedName,DN),必须包含一个通 用名(CommonName,CN)实例,且必须使用ASN.1类型的PrintableString编码格式,可选包含一个 序列号实例,如果两者均存在,推荐它们以一个集合的形式出现。签发者名称并不携带身份信息。
6.1.2.5 持有者
资源证书的持有者必须为一个有效的X.501甄别名,且需满足针对签发者字段的所有规范。持 称由资源证书的签发者决定,且在签发者签发的所有资源证书中唯一。当持有者公钥发生变化时 者需要重新为持有者命名。BGPsec路由器证书的通用名可使用ASN.1类型的PrintableString编 TF8String编码,
资源证书的有效期是一个时间段综合管廊标准规范范本,由两个值进行标识:有效期起始值和有效期终正值。一个资 的有效期长度不建议长于其签发 能导致证书路径验证的失败。
6.1.2.6.1有效期起始值
资源证书的有效期起始值不能晚于有效期终止值,且可以早于任意一个上游INR持有者的资源 书的有效期起始值。RP不能从有效期起始值推断一个资源证书过去有效,只能确定该证书是否现在有 效。
.1.2.6.2有效期终止值
资源证书的有效期终止值指定了资源证书签发者和资源证书持有者之间就互联网码号资源分配授 权关系的预期终止时间。资源证书的有效期终止值可以晚于任意一个上游INR持有者的资源证书的有 效期终止值。RP不能从有效期终止值推断一个资源证书将来有效,只能确定该证书是否现在有效。
6.1.2.7持有者公钥信息
资源证书的持有者公钥信息需要 持有者公钥信息包含加密算法(签名 哈希算法)、算法参数、非对称密 和签名格式
6.1.2.8资源证书扩展项
6.1.2.8.1基本约束
证书的持有者为证书权威时,该字段必须存在。BGPsec路由器证书和EE证书中该字段不存 源证书中不能有路径长度限制(PathLengthConstraint)字段存在。
6.1.2.8.2持有者公钥标识符
6.1.2.8.3签发者公钥标识符
YD/T3500—2019
6.1.2.8.4密钥使用
该字段必须出现在所有资源证书中。在资源证书中,有且只有keyCertSign和CRLSign比特位设置 为真。在EE证书中,有且只有digitalSignature比特位设为真。
6.1.2.8.5扩展密钥使用
除了BGPsec路由器证书以外,其他类型的资源证书均不能包含该字段,且值必须满足代表BGPsec 路由器证书的值。
8.6证书撤销列表分发
除信任锚点的资源证书外,该字段必须出现在所有资源证书中,表示该资源证书签发者签发的CRI 的位置信息。由于CRL的签发者与该资源证书的签发者一致,cRLIssuer和reasons字段必须忽略。 DistributionPoint字段必须包含fullName字段,且不能包含nameRelativeToCRLIssuer字段,该扩展项可 包含多个distributionPoint字段,每个均表示CRL的一个位置信息和获取方式,如rsyncURI、LDAP和 HTTP等。
6.1.2.8.7权威信息权威
除信任锚点的资源证书外,资源证书的该字段必须指向该资源证书签发者的资源证书的发布点。信 任锚点的资源证书中的该字段可以忽略
6.1.2.8.8主体信息权威
6.1.2.8.8.1资源证书的SIA
YD/T 3500=2019
2.8.8.2EE证书的 SIA
6.1.2.8.9证书策略
该字段必须存在且必须包含一个证书策略。
1.2.8.10IP地址块资源
资源证书中该学段和AS码号资源字段必须至少存在一个。该字段包含一个IP地址块列表, “inherit”(继承),表明该资源证书中的IP地址块资源与其上游INR持有者资源证书中的IP地 源一致。BGPsec路由器证书中不使用该字段,RP忽略
6.1.2.8.11AS码号资源
资源证书中该字段和IP地址块资源学段必须至少存在一个。其值为一个AS码号列表,或者为 “inherit”(继承),表明该资源证书中的AS码号资源与其上游INR持有者的资源证书中的AS码号资 源一致。BGPsec路由器证书中必须包含该字段,内容为一个或者多个AS码号且不能为“inherit”(继 承
6.2.2资源包含关系
RP对资源证书进行基本验证操作后,需要对资源证书中的互联网码号资源扩展项中的INR进行资 源包含关系进行验证。资源包含关系验证以资源证书的验证资源集为验证内容,每一次资源包含关系验 证涉及两个资源证书对象:待验证资源证书(子资源证书)和其签发者持有的资源证书(父资源证书)。 两个资源证书中INR的资源包含关系有以下三种类型。 1)包含或者相等 子资源证书的INR集是父资源证书的INR集的子集或者与其相等。 2)交叉 子资源证书的INR集与父资源证书的INR集有交集,但并不包含于或等于父资源证书的INR集。 3)不包含 子资源证书的INR集与父资源证书的INR集没有交集。 当父子资源证书的INR的资源包含关系为第一种和第二种时,资源包含关系验证通过,为待验证 证资源书生成资源验证集,且值为父子资源证书的交集部分;当父子资源证书的INR的资源包含关系 为第三种时,资源包含关系验证不通过,待验证证书的资源验证集为空,该资源证书视为无效,并且: 该资源证书签发的所有RPKI数据对象不再进行后续验证操作,同样视为无效。
6.2.3资源包含关系验证算法
YD/T3500—2019
6.2.3.1证书验证
T35002019 a) 如果证书“x”的证书策略字段所示的证书策略支持本标准规范的资源包含关系验证 法,则RP发出一个警告,列出证书“x”过分宣称的资源; 6) 如果证书“x”的证书策略字段所示的证书策略不支持本标准规范的资源包含关系验 法化工标准,则RP拒绝该证书。
6.23.2 ROA验证
6.2.3.3路由器证书验证
[1]IETFRFC6268CMS和PKIX的附加ASN.1模块 [2]IETFRFC6482路由起源声明规范 [3]IETFRFC6484RPKI证书策略 [4]IETFRFC6487RPKI资源证书格式规范 [5]IETFRFC8209BGPsec路由器证书,证书撤销列表和证书请求规范
[1]IETFRFC6268CMS和PKIX的附加ASN.1模块 [2]IETFRFC6482路由起源声明规范 [3]IETFRFC6484RPKI证书策略 [4]IETFRFC6487RPKI资源证书格式规范 [51IETFRFC8209BGPsec路由器证书,证书撤销列表和证书请求规范
电力标准YD/T3500—2019
....- 相关专题: 互联网