YD／T 3498-2019 标准规范下载简介

YD／T 3498-2019 互联网码号资源公钥基础设施（RPKI）安全运行技术要求 互联网码号资源本地化管理.pdf简介：

"YD/T 3498-2019 互联网码号资源公钥基础设施（RPKI）安全运行技术要求 互联网码号资源本地化管理.pdf" 是一份由中国电信业技术标准协会发布的技术标准。该标准主要针对互联网码号资源的公钥基础设施（RPKI）设计，旨在确保码号资源的安全管理和运行。RPKI 是一种用于验证网络路由信息来源的技术，通过公钥基础设施来保证路由信息的可信度，防止恶意篡改。

"互联网码号资源本地化管理"部分可能着重于规范码号资源在国内的管理方式，包括数据存储、访问权限、备份策略、安全控制等方面，要求遵循本地化原则，以提高系统的安全性、稳定性和效率。这份标准是为保障互联网服务提供商在运营码号资源时，能够遵循最佳的网络安全实践，防止潜在的安全威胁。

简而言之，这是一份关于互联网码号资源管理和安全的行业技术规范，是网络运营者和技术实施者的重要参考。

YD／T 3498-2019 互联网码号资源公钥基础设施（RPKI）安全运行技术要求 互联网码号资源本地化管理.pdf部分内容预览：

中华人民和国工业和信息化部 发布

YD/T 34982019

本标准是“互联网码号资源公钥基础设施（RPKI）安全运行技术要求”系列标准之一。该系列标 准的结构和名称预计如下： 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求数据安全威胁》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求密钥更替》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求资源包含关系验证》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求证书策略与认证业务框架》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求互联网码号资源本地化管理》 本标准遵循GB/T1.1一2009的规则编写。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并出口。 本标准起草单位：互联网域名北京市工程研究中心有限公司、国家计算机网络应急技术处理协调中 心、中国电信集团有限公司。 本标准主要起草人：马迪、严寒冰、**辉、孙琼、邵晴、邹慧。

《煤矿井巷工程施工规范 GB50511-2010 》本标准是“互联网码号资源公钥基础设施（RPKI）安全运行技术要求”系列标准之一。该系列标 准的结构和名称预计如下： 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求数据安全威胁》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求密钥更替》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求资源包含关系验证》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求证书策略与认证业务框架》； 《互联网码号资源公钥基础设施（RPKI）安全运行技术要求互联网码号资源本地化管理》。 本标准遵循GB/T1.1一2009的规则编写。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并出口。 本标准起草单位：互联网域名北京市工程研究中心有限公司、国家计算机网络应急技术处理协调中 心、中国电信集团有限公司。 本标准主要起草人：马迪、严寒冰、**辉、孙琼、邵晴、邹慧。

YD/T 34982019

源公钥基础设施（RPKI）安全

互联网码号资源本地化管理

本标准定义了针对RPKI路由起源声明的本地化管理机制，根据网络的互联互通策略和码号资源便 用策略，该管理机制可以在本地网络范围内，对来自RPKI的路由起源声明信息和BGPsec声明信息进 行过滤和修改，以及对私有地址实施路由起源声明。 本标准适用于RPKI依赖方系统。

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 IETFRFC4648Base16，Base32和Base64数据编码（TheBase16，Base32，andBase64Data Encodings) IETFRFC6811BGP前缀源验证（BGPPrefixOriginValidation） IETFRFC8205BGPsec协议(BGPsecProtocolSpecification) IETFRFC8259JSON数据交换格式（TheJavaScriptObjectNotation(JSON）DataInterchange Format)

下列术语和定义适用于本文件！

路由起源声明routeoriginstatement

经过RPKI依赖方验证且状态为有效的ROA，其内容可转换为三元组：，这样的三元组称之为路由起源声明，且为BGP边界路由器系统所用。

YD/T3498—2019

BGPsec声明BGPsecstatement

经过RPKI依赖方验证且状态为有效的路由器证书，其内容可转换为三元组：，这样的三元组称为BGPsec声明，且为BGP边界路由器系统所用。

4RPKI运行机制概览

RPKI是一种使用PKI技未，为互联网码号资源分配授权提供认证依据的公钥基础设施，充许INR 持有者对其所拥有INR发布可验证声明。INR持有者可通过RPKI获取具有互联网码号资源扩展项的 X.509资源证书，该扩展项中包含INR持有者所持有的INR。INR持有者通过发布一个或者多个ROA， 以授权一个AS对所持有的IP地址块的部分或者全部进行路由起源声明，INR持有者通过发布一个或 者多个路由器证书，以授权一个AS在BGPsec更新报文中执行签名操作。边界路由器可利用验证有效 的ROA和有效的路由器证书验证BGP更新报文的有效性，并以此为依据做出正确的路由决策，其中， 路由起源的认证遵循IETFRFC6811，路由路径的验证遵循IETFRFC8205。 IANA为保留地址和未分配地址签发了为O的ROA，BGP边界路由器进行路由决策时，直接丢弃 包含ASO中所列举的IP地址的BGP更新报文，不予转发。网络范围内使用私有IP地址和私有AS码 号的ISP，由于RPKI面向的对象为公有IP地址和AS码号，将导致ISP内部传送的BGP更新报文无法 得到验证。上述两种情形促使RP从RPKI资料库获取所有数据对象后需要在本地对码号资源授权信息 实施管理和控制，以构建一个RPKI的本地视图，使得RPKI能够在本地范围内实行BGP更新报文的有 效验证，也能够使得本地网络避开由于RPKI中参与实体的恶意/误操作或者外部攻击者针对RPKI的攻 击导致的RPKI数据安全威胁。

YD/T 34982019

c）本地添加声明（locallyAddedAssertions）元素，其值为一个JSON对象，该对象的值只能为以 下两种成员： ■“prefixAssertions"元素：其值见6.4.1小节。 ■“bgpsecAssertions"元素：其值见6.4.2小节。 一般情况下，验证输出过滤机制与本地添加声明机制结合使用，应该按照先执行验证输出过滤机制， 再执行本地添加声明机制的顺序对RP的验证结果进行本地化管理操作。 一个空的SLURMJSON文件如下： "slurmVersion": 1, "validationOutputFilters": "prefixFilters": [l, "bgpsecFilters":[] ， "locallyAddedAssertions": "prefixAssertions": , "bgpsecAssertions":

YD/T 34982019

6.3.2BGPSec声明过滤

YD/T 34982019

YD/T 34982019

6.4.2BGPSec声明添加

6.5SLURM文件样例

YD/T3498—2019

YD/T 34982019

7SLURM文件的配置

7.1SLURM文件的原子性

为了保证本地一致连续性，SLURM文件产生的影响必须是原子性的。即SLURM文件作为 参与RP的互联网码号资源本地化管理操作过程中，即RP的本地声明集合要么反映SLURM文 部配置内容《城市轨道交通客流预测规范 GB/T 51150-2016》，要么不反映任何SLURM文件的配置内容。

7.2多SLURM文件的配置

YD/T3498—2019

件之前，需要对SLURM文件内的路由起源声明和BGPsec声明中INR进行冲突检测。RP对多个SLURM 文件中的条目进行重叠检测，如果发现错误，应该及时向SLURM文件的生成者报告错误。当多个 SLURM文件检测出冲突后，RP不能使用这些SLURM文件。以下为多个SLURM文件的冲突情形： a）存在一个IP地址块X和两个SLURM文件Y、Z，如果其中X被SLURM文件Y中 字段所示前缀包含，且被SLURM文件Z中字段所示前缀包含 或者X被SLURM文件Z中字段所示前缀包含，且被SLURM文件Y中 字段所示前缀包含，则会产生路由起源声明冲突； b）存在一个AS码号X和两个SLURM文件Y、Z，如果其中X被SLURM文件Y中 字段所示AS码号包含，且被SLURM文件Z中字段所示AS 码号包含，或者X被SLURM文件Z中字段所示AS码号包含，且被SLURM 文件Y中所示AS码号包含，则会产生BGPSec声明冲突

SLURM机制为互联网运营者提供了一种管理方式，在保证了对IP地址和AS码号本地化管理的基 础上，同时可以使用来自RPKI资料库的数据对象。该机制的作用范围仅局限于本地，不影响其他互联 网运营者如何使用RPKI数据对象，部署时仍然需要谨慎。SLURM文件中的条目也可为非私有互联网 码号资源，比如：互联网运营商可以使用SLURM文件覆盖它认为已经毁坏的RPKI数据对象。这种情 形下CJ∕T 244-2016 游泳池水质标准，使用SLURM机制的互联网运营商需要从多方面进行考量。 使用SLURM文件的RP选择信任SLURM文件中的所有内容，SLURM文件中的错误在被RP采纳 后可能会对整个RPKI体系的安全造成伤害。RP应该对SLURM文件带来的安全隐惠进行评估后再考 患是否采纳，特别是当SLURM文件由第三方运营商提供时。 RP应该保证所使用的SLURM文件的真实性和完整性。SLURM文件一般通过带外方式进行预配 置，但是当RP需要对SLURM文件进行更新，且通过网络进行获取时，它需要对该SLURM文件的真 实性和完整性进行验证。

YD/T3498—2019