互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI） 信任錨點(diǎn)定位器

互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施(RPKI)信任錨點(diǎn)定位器本文件規(guī)定了資源公鑰基礎(chǔ)設(shè)施(RPKI)中的信任錨點(diǎn)定位器，其中包括信任錨點(diǎn)定位器的格式。本文件適用于支持RPKI,并且通過RPKI保證域問路由安全的網(wǎng)絡(luò)設(shè)備和相關(guān)網(wǎng)絡(luò)部署。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件?；ヂ?lián)網(wǎng)X.509公鑰基礎(chǔ)設(shè)施：證書路徑構(gòu)建(IntemetX509PublicKeyInfrastnucture:Certific互聯(lián)網(wǎng)X.509公鑰基礎(chǔ)設(shè)施證書與證書撤銷列表規(guī)范(ImterretX.509PublieKeyandCerifcateRevocationListRsyneURI方案(ThersyneURISX509PKIX資源證書輪廓(AProfleforX.509PKIXResourceCertifcates)3術(shù)語(yǔ)和定義本文件沒有需要界定的術(shù)語(yǔ)和定義下列縮略語(yǔ)適用于本文件。CA認(rèn)證權(quán)威RPKI資源公鑰基礎(chǔ)設(shè)施RP依賴方、RPKI系統(tǒng)使用者ROA路由源授權(quán)URI統(tǒng)一資源定位符CertificateAuthiorResourcePublicKeyInfrastructuRouteOriginationAuth2本文件所使用的信任錨點(diǎn)定位器通過帶外或者線下的方式分發(fā)信任錨點(diǎn)。依賴方們驗(yàn)證RPKI簽名對(duì)象的流程需要滿足本標(biāo)準(zhǔn)所規(guī)定的信任錯(cuò)點(diǎn)定位器的格式要求，從而便于依賴方們和信任錨點(diǎn)的創(chuàng)建者6信任錨點(diǎn)定位器6.1信任錯(cuò)點(diǎn)定位器格式本文件并沒有定義一種全新的信任錨點(diǎn)的格式。RPKI中的信任錨點(diǎn)由自簽名的X.509CA證書格式表示，這種格式被廣泛使用于PKI體系同時(shí)也被大量的RP軟件識(shí)別。定義信任錨點(diǎn)的目的是如果信任錨點(diǎn)上所選的數(shù)據(jù)更改了，不需要再去分發(fā)信任錨點(diǎn)。RPKI中的證書包含表示互聯(lián)網(wǎng)碼號(hào)資源的擴(kuò)展，參見IETFRFC3779。這些碼號(hào)資源集合組成一個(gè)實(shí)體作為一個(gè)信任錨點(diǎn)可能會(huì)經(jīng)常改變。因此，如果通過一般的PKI原理以保密的方式分發(fā)信任錨點(diǎn)給依賴方，一旦看作信任錯(cuò)點(diǎn)的實(shí)體的互聯(lián)網(wǎng)碼號(hào)資源集合發(fā)生改變，就需要重新啟動(dòng)分發(fā)的流程。而不分發(fā)信任錨點(diǎn)，而是下發(fā)信任錨點(diǎn)定位器，這種問題就可以避免，只要信任錨點(diǎn)的公鑰和它的位置不改變，信任錨點(diǎn)定位器就是一個(gè)常數(shù)。信任錨點(diǎn)定位器和IETFRFC5914中的TrustAnchorlnfo的數(shù)據(jù)結(jié)構(gòu)類似。如果數(shù)據(jù)結(jié)構(gòu)已經(jīng)定義為rsyneURI擴(kuò)展格式，TrustAnchorlnfo完全可以替代信任錨點(diǎn)定位器。但是，由于信任錯(cuò)點(diǎn)定位器的格式早于RKIX信任錨點(diǎn)被RPKI的實(shí)踐者們所接受，于是RPKI的實(shí)踐者聯(lián)盟決定使用信任錯(cuò)點(diǎn)定位器的格式而不是定義必要的擴(kuò)展格式。同時(shí)聯(lián)盟決定為信任錨點(diǎn)定位器選擇簡(jiǎn)易的ASCII編碼方式而不是TrustAnchorInfo的二進(jìn)制編碼方式。信任錯(cuò)點(diǎn)定位器的格式一串有順序的序列：b)<CRLF>或者<LF>斷行符，c)DER格式的subjectPublicKeylnfo,用Basc64編碼。為了避免一行太長(zhǎng)，<CRLF>或者<LF>斷行符可能會(huì)被插入到Basc64編碼的字符串中。其中URI部分有一個(gè)多個(gè)有順序的序列組成：b)一個(gè)<CRLF>或者<LF>斷行符6.2信任錨點(diǎn)定位器和信任錨點(diǎn)證書的使用要求信任錨點(diǎn)定位器里的每一個(gè)rsyneURI都關(guān)聯(lián)到一個(gè)對(duì)象而不應(yīng)該關(guān)聯(lián)到一個(gè)目錄或者任何形式的關(guān)聯(lián)的對(duì)象必須是自簽名的CA證書，該證書應(yīng)滿足IETFRFC6487中RPKI資源證書輪廓的規(guī)定。該證書同時(shí)也是IETFRFC4158證書路徑發(fā)現(xiàn)和驗(yàn)證驗(yàn)證的信任錯(cuò)點(diǎn)，參見IETFRFC5280和IETFRFC該信任錨點(diǎn)的驗(yàn)證時(shí)間間隔必須能夠反映所假定的信任錨點(diǎn)所關(guān)聯(lián)的碼號(hào)資源集合的穩(wěn)定周期。該信任錨點(diǎn)的碼號(hào)資源擴(kuò)展必須包含一個(gè)碼號(hào)資源的非空集合。同時(shí)不能使用"inherit"形式的互聯(lián)網(wǎng)碼號(hào)資源擴(kuò)展。該證書中描述的互聯(lián)網(wǎng)碼號(hào)資源集合是假定作為信任錨點(diǎn)的實(shí)體，該實(shí)體負(fù)責(zé)頒發(fā)用以驗(yàn)證信任錨點(diǎn)的公鑰必須和信任錨點(diǎn)定位器以及CA證書里的subjectPublicKeyInfo一樣。該信任錨點(diǎn)必須包含一個(gè)不變的密鑰。當(dāng)碼號(hào)資源擴(kuò)展中的證書發(fā)生改變，或者當(dāng)證書在過期之前更新了，或者其他原因?qū)е鲁荑€外的資源發(fā)生改變了，密鑰都不允許發(fā)生改變。由于信任錨點(diǎn)定位器中的公鑰和信任錨點(diǎn)都必須不變，這將會(huì)導(dǎo)致該CA的操作變成線下模式。因此，簽發(fā)信任錨點(diǎn)的實(shí)體必須簽發(fā)一個(gè)包含同樣碼號(hào)資源的下級(jí)CA證書(可以通過使用下級(jí)證書中的碼號(hào)資源擴(kuò)展中的“繼承”選項(xiàng))。這將會(huì)導(dǎo)致簽發(fā)信任錨點(diǎn)的實(shí)體在簽發(fā)直屬下級(jí)CA的相關(guān)子證書的時(shí)候離線保存對(duì)應(yīng)的證書私鑰。這種操作同樣允許使用該實(shí)體簽發(fā)的資源撒銷列表在線上操作密鑰對(duì)的時(shí)候?qū)赡茉馐芄舻拿荑€撤銷下級(jí)CA證書。該信任錨點(diǎn)必須由一個(gè)固定的URI發(fā)布。不管何種原因該信任錨點(diǎn)被重新簽發(fā)，所替代的CA證書必須可以通過該同一個(gè)URI訪問到。由于該信任錨點(diǎn)是一個(gè)自簽名的證書，所以沒有對(duì)應(yīng)的證書撒銷列表能夠撤銷它，也沒有資源列表列出該證書。如果一個(gè)實(shí)體希望撤銷信任錨點(diǎn)的自簽名的CA證書，不管是什么原因，包括密鑰輪轉(zhuǎn)，該實(shí)體必須將該對(duì)象從信任錨點(diǎn)定位器定位的位置上移除。當(dāng)一個(gè)信任錨點(diǎn)定位器包含一個(gè)或者多個(gè)rsyneURIs的時(shí)候，同樣的自簽名CA證書必須能夠在每一個(gè)參考位置找到。為了能夠增加實(shí)際的可操作性，強(qiáng)烈建議這些URIs的域名部分解析到不同的IP地址，這些IP地址被不同集合的資料庫(kù)發(fā)布點(diǎn)所使用，同時(shí)這些IP地址包含在不同的CA簽發(fā)的ROA對(duì)象中。7依賴方的使用情況為了能夠使用信任錨點(diǎn)定位器來檢索和驗(yàn)證假定的信任錨點(diǎn)，一個(gè)依賴方必須a)檢索信任錨點(diǎn)定位器里的URI所關(guān)聯(lián)的對(duì)象。b)確認(rèn)所檢索到的對(duì)象是否滿足[RFC6487]的要求是正確的、自簽名的RPKICA證書c)確認(rèn)信任錯(cuò)點(diǎn)定位器里的公鑰和檢索到的對(duì)象中的公鑰相同。d)經(jīng)過其他的檢查，保證依賴方愿意接受實(shí)體所發(fā)布的自簽名的CA證書為信任錨點(diǎn)。上述檢查適用于所有在該證書碼號(hào)資源擴(kuò)展中描述的和RPKI相關(guān)的驗(yàn)證機(jī)制。每當(dāng)依賴方和本地資料庫(kù)緩存同步的時(shí)候，依賴方需要為每一個(gè)信任錨點(diǎn)定位器運(yùn)行上述功能。同時(shí)，在信任錨點(diǎn)定位器所關(guān)聯(lián)的信任錨點(diǎn)的本地緩存拷貝過期前，依賴方也必須運(yùn)行上述功能。當(dāng)出現(xiàn)信任錨點(diǎn)定位器包含多個(gè)URIs的時(shí)候，依賴方可以使用一種本地的選擇規(guī)則來選擇URI檢索自簽名的RPKICA