互联网码号资源公钥基础设施（RPKI） 信任锚点定位器

互联网码号资源公钥基础设施(RPKI)信任锚点定位器本文件规定了资源公钥基础设施(RPKI)中的信任锚点定位器，其中包括信任锚点定位器的格式。本文件适用于支持RPKI,并且通过RPKI保证域问路由安全的网络设备和相关网络部署。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。互联网X.509公钥基础设施：证书路径构建(IntemetX509PublicKeyInfrastnucture:Certific互联网X.509公钥基础设施证书与证书撤销列表规范(ImterretX.509PublieKeyandCerifcateRevocationListRsyneURI方案(ThersyneURISX509PKIX资源证书轮廓(AProfleforX.509PKIXResourceCertifcates)3术语和定义本文件没有需要界定的术语和定义下列缩略语适用于本文件。CA认证权威RPKI资源公钥基础设施RP依赖方、RPKI系统使用者ROA路由源授权URI统一资源定位符CertificateAuthiorResourcePublicKeyInfrastructuRouteOriginationAuth2本文件所使用的信任锚点定位器通过带外或者线下的方式分发信任锚点。依赖方们验证RPKI签名对象的流程需要满足本标准所规定的信任错点定位器的格式要求，从而便于依赖方们和信任锚点的创建者6信任锚点定位器6.1信任错点定位器格式本文件并没有定义一种全新的信任锚点的格式。RPKI中的信任锚点由自签名的X.509CA证书格式表示，这种格式被广泛使用于PKI体系同时也被大量的RP软件识别。定义信任锚点的目的是如果信任锚点上所选的数据更改了，不需要再去分发信任锚点。RPKI中的证书包含表示互联网码号资源的扩展，参见IETFRFC3779。这些码号资源集合组成一个实体作为一个信任锚点可能会经常改变。因此，如果通过一般的PKI原理以保密的方式分发信任锚点给依赖方，一旦看作信任错点的实体的互联网码号资源集合发生改变，就需要重新启动分发的流程。而不分发信任锚点，而是下发信任锚点定位器，这种问题就可以避免，只要信任锚点的公钥和它的位置不改变，信任锚点定位器就是一个常数。信任锚点定位器和IETFRFC5914中的TrustAnchorlnfo的数据结构类似。如果数据结构已经定义为rsyneURI扩展格式，TrustAnchorlnfo完全可以替代信任锚点定位器。但是，由于信任错点定位器的格式早于RKIX信任锚点被RPKI的实践者们所接受，于是RPKI的实践者联盟决定使用信任错点定位器的格式而不是定义必要的扩展格式。同时联盟决定为信任锚点定位器选择简易的ASCII编码方式而不是TrustAnchorInfo的二进制编码方式。信任错点定位器的格式一串有顺序的序列：b)<CRLF>或者<LF>断行符，c)DER格式的subjectPublicKeylnfo,用Basc64编码。为了避免一行太长，<CRLF>或者<LF>断行符可能会被插入到Basc64编码的字符串中。其中URI部分有一个多个有顺序的序列组成：b)一个<CRLF>或者<LF>断行符6.2信任锚点定位器和信任锚点证书的使用要求信任锚点定位器里的每一个rsyneURI都关联到一个对象而不应该关联到一个目录或者任何形式的关联的对象必须是自签名的CA证书，该证书应满足IETFRFC6487中RPKI资源证书轮廓的规定。该证书同时也是IETFRFC4158证书路径发现和验证验证的信任错点，参见IETFRFC5280和IETFRFC该信任锚点的验证时间间隔必须能够反映所假定的信任锚点所关联的码号资源集合的稳定周期。该信任锚点的码号资源扩展必须包含一个码号资源的非空集合。同时不能使用"inherit"形式的互联网码号资源扩展。该证书中描述的互联网码号资源集合是假定作为信任锚点的实体，该实体负责颁发用以验证信任锚点的公钥必须和信任锚点定位器以及CA证书里的subjectPublicKeyInfo一样。该信任锚点必须包含一个不变的密钥。当码号资源扩展中的证书发生改变，或者当证书在过期之前更新了，或者其他原因导致除密钥外的资源发生改变了，密钥都不允许发生改变。由于信任锚点定位器中的公钥和信任锚点都必须不变，这将会导致该CA的操作变成线下模式。因此，签发信任锚点的实体必须签发一个包含同样码号资源的下级CA证书(可以通过使用下级证书中的码号资源扩展中的“继承”选项)。这将会导致签发信任锚点的实体在签发直属下级CA的相关子证书的时候离线保存对应的证书私钥。这种操作同样允许使用该实体签发的资源撒销列表在线上操作密钥对的时候对可能遭受攻击的密钥撤销下级CA证书。该信任锚点必须由一个固定的URI发布。不管何种原因该信任锚点被重新签发，所替代的CA证书必须可以通过该同一个URI访问到。由于该信任锚点是一个自签名的证书，所以没有对应的证书撒销列表能够撤销它，也没有资源列表列出该证书。如果一个实体希望撤销信任锚点的自签名的CA证书，不管是什么原因，包括密钥轮转，该实体必须将该对象从信任锚点定位器定位的位置上移除。当一个信任锚点定位器包含一个或者多个rsyneURIs的时候，同样的自签名CA证书必须能够在每一个参考位置找到。为了能够增加实际的可操作性，强烈建议这些URIs的域名部分解析到不同的IP地址，这些IP地址被不同集合的资料库发布点所使用，同时这些IP地址包含在不同的CA签发的ROA对象中。7依赖方的使用情况为了能够使用信任锚点定位器来检索和验证假定的信任锚点，一个依赖方必须a)检索信任锚点定位器里的URI所关联的对象。b)确认所检索到的对象是否满足[RFC6487]的要求是正确的、自签名的RPKICA证书c)确认信任错点定位器里的公钥和检索到的对象中的公钥相同。d)经过其他的检查，保证依赖方愿意接受实体所发布的自签名的CA证书为信任锚点。上述检查适用于所有在该证书码号资源扩展中描述的和RPKI相关的验证机制。每当依赖方和本地资料库缓存同步的时候，依赖方需要为每一个信任锚点定位器运行上述功能。同时，在信任锚点定位器所关联的信任锚点的本地缓存拷贝过期前，依赖方也必须运行上述功能。当出现信任锚点定位器包含多个URIs的时候，依赖方可以使用一种本地的选择规则来选择URI检索自签名的RPKICA