发布新版本数据对象或者延迟删除旧版本数据对

用无效的数据对象替代原始有效的数据对象。

YD/T34582019

在保证CRL有效的情况下，将RC、EE证书或者路由器证书的序列号列入CRL中。 6注

同轴电缆标准6.2针对ROA的安全威胁

抑制发布一个新的ROA。在这种情况下，如果INR持有者在新的ROA中表达了IP地址前缀和 AS码号的新绑定关系，新绑定关系不会被RP感知。RP仍然接受旧的ROA，且该ROA中的IP地址 前缀和AS码号绑定关系已经失效。 如果INR持有者试图签发两个或者多个ROA时，且这些ROA中的IP地址前缀相同，其中一个会 先发布而其余的ROA会被抑制发布。RP优先使用第一个发布的ROA而降低对抑制发布的ROA的优 先级，导致流量流入第一个发布的ROA中所声明的AS。 如果INR持有者试图删除两个或者多个ROA时，且这些ROA中的IP地址前缀相同，其中一个会 被删除而其余的ROA会被抑制删除，抑制删除的ROA会导致流量继续流入这些ROA中所声明的AS 中。在IP地址转移过程中，一次成功的地址转移过程需要删除该IP地址块签发的所有ROA，而ROA 的抑制删除则会干涉地址转移过程。

毁坏一个ROA。在这种情况下，RP将拒绝被毁坏ROA。该操作产生的影响与删除ROA（6.2.1小 节）和撤销ROA（6.2.5小节）操作一致。不同之处在于，RP能够感知ROA被毁坏情况下可能存在的 安全威胁。

ROA，使得AS码号和一个或多个IP地址前缀的绑定关系违背INR持有者的授权意图

修改一个ROA，使得AS码号和一个或多个IP地址前缀的绑定关系违背INR持有者的授权

YD/T3458—2019

该操作将会使RP降低INR持有者试图授权的IP地址前缀/AS码号绑定关系的优先级。

撤销一个ROA。通过将其EE证书列入所在发布点的CRL中，该操作产生的影响与删除ROA（6.2.1 小节）操作一致。

注人一个ROA，且被注人ROA中的IP地址前缴/AS码号绑定关系与INR持有者签发的ROA的绑 定关系不同，即该操作导致一个AS可以合法地声明被注入ROA中的IP地址前缀，实现路由源欺骗。 这种情况下，认为被注入ROA与已存在的ROA竞争特定的IP地址前缀。 注入一个ROA，且被注入ROA中的AS码号与INR持有者已签发的ROA中的AS码号一致，且 P地址前缀不同。如果发布点中存在多个ROA，IP地址前缀与被注入ROA中的IP地址前缀一致且 AS码号不同，认为被注入ROA与已存在的ROA竞争特定的IP地址前缀。这种情况下，将会导致流 向该IP地址前缀的流量部分流入被注入ROA所声明的AS中。

6.3针对manifest的安全威肋

删除一个manifest。删除manifest将导致RP使用缓存中被删除manifest对应的可用旧版本且忽略 该发布点中的新增和/或修改数据对象，该操作产生的影响与抑制发布新增和/或修改数据对象的影响一 致。例如，新增ROA可能被忽略（6.2.2小节）、新增RC可能会忽略（6.2.5小节）、新增子RC被撤销 后仍然被RP认为有效（6.5.1小节）、新增或者修改后的路由器证书可能被忽略（6.7.2小节）；修改后 的Ghostbusters可能被忽略（6.4.1小节）。

抑制发布一个manifest。manifest的抑制发布将导致RP使用缓存的可用旧版本manifest。旧版 est不列举新增和/或修改数据对象，这些数据对象无法被RP接受，与数据对象的删除操作产生 类似（6.2.1小节，6.4.1小节，6.5.1小节，6.6.1小节，6.7.1小节）

毁坏一个manifest。毁坏的ManifesRP将导致RP使用缓存中被毁坏manifest对应的可用旧版本 manifest，产生的影响与抑制发布manifest操作一致（6.3.2小节）。如果RP不使用缓存的可用旧版本 nanifest，则产生的影响相对严重，该manifest所列举的发布点中的所有数据对象以及其子数据对象均 被RP认定为无效，产生的影响与撤销或者删除该RC操作一致。

在保证manifest签名有效的情况下，如果manifest中删除了一个或者多个数据对象，RP将会拒绝 接受这些数据对象，该操作产生的影响与删除相应数据对象操作一致，影响效果和范围取决于删除的数 据对象的类型（6.2.1小节，6.4.1小节，6.5.1小节，6.6.1小节，6.7.1小节）。

YD/T34582019

在保证manifest签名有效的情况下，如果manifest中添加了一个或者多个数据对象，且新增的数据 对象的签名有效并且没有过期，RP将会接受这些数据对象并进行相应的验证处理；如果新增数据对象 已被其签发者删除，该操作产生的影响与延迟发布数据对象操作一致；如果新增数据对象是新签发的或 者是修改过的，该操作产生的影响与修改或者注入该种类型的数据对象操作一致。 在保证manifest签名有效的情况下，如果manifest中列出了一个或者多个数据对象的不正确的哈希 值，RP将会拒绝接受这些数据对象，该操作产生的影响与毁坏数据对象操作一致。

撤销一个manifest。通过将manifest的EE证书列入CRL中执行manifest的撤销操作，该操作将导 致RP忽略被撤销的manifest，并使用缓存的可用旧版本的manifest。该操作产生的影响与删除manifes 操作一致(6.3.1小节)。

注入一个manifest，且该manifest列举了与旧版本manifest中不同的数据对象，该操作产 与修改manifest一致，且产生的影响取决于不同数据对象的类型，

6.4针对Ghostbusters的安全威胁

删除一个Ghostbusters，RP将无法获取该签名对象包含的联系人信息。当检测到问题时，RP将无 法联系相关负责实体。

抑制发布一个Ghostbusters，RP将无法获取该签名对象包含的联系人信息。当检测到问题时 法联系相关负责实体。

毁坏一个Ghostbusters，RP验证该签名对象且拒绝接受，将无法获取该签名对象包含的联系人信。 测到问题时，RP将无法联系相关负责实体

YD/T34582019

和结果。只有当RP检测到问题时，针对Ghostbusters的安全威胁才会干扰RP联系相关负责实 时解决问题。

6.5针对 CRL的安全威肋

删除一个CRL，RP将继续使用缓存中可用的旧版本CRL。在该种情况下，RP无法了解发布点中 数据对象撤销状态的变更情况，该操作产生的影响与毁坏CRL操作一致。 如果一个ROA被撤销后列入CRL且该CRL被删除，由于RP使用旧版本CRL，RP仍然认为被撤 销的ROA有效，导致无效或者无法获取状态路由消息被认为有效，存在域间路由安全威胁，该操作产 生的影响与6.2.2小节一致。 如果一个路由器证书被撤销后列入CRL且该CRL被删除，由于RP使用旧版本CRL，RP仍然认为 被撤销的路由器证书有效。如果该路由器证书中公钥对应的私钥泄露，RP将验证通过该路由器证书签 名的BGPsec更新报文且不论签发该BGPsec更新报文的实体，存在域间路由安全威胁。 如果一个RC被撤销后列入CRL且该CRL被删除，由于RP使用旧版本CRL，RP仍然认为被撤 销的RC有效。该操作可能干涉地址转移过程，影响RC中INR的新持有者的域间路由。

抑制发布一个CRL，RP将无法感知数据对象的最新撤销状态。如果EE证书被撤销后列于CRL且 该CRL被抑制发布，EE证书与之对应的数据对象仍然存在于发布点中，RP仍然认为这些数据对象有 效（这种情况下，数据对象仍然存在于manifest或者RP被配置为处理并不在manifest中的数据对象）。 抑制发布CRL产生的影响与删除CRL操作一致（6.5.1小节）。

毁坏一个CRL，RP将拒绝接受该CRL。RP将继续使用可用的旧版本CRL，该操作产生的影响与 延迟发布CRL或者删除CRL操作一致（6.5.1小节，6.5.2小节）。

修改一个CRL，列出一个或者多个签名对象的EE证书。在这种情况下，即使这些对应的签名对象 存在于发布点中也将被RP认为无效。如果该签名对象类型为ROA，RP拒绝接受ROA声明的AS/IF 前缀绑定关系（6.2.5小节）；如果被修改CRL列出一个或者多个路由器证书，用于验证路由器证书产 生的路径签名将被RP认为无效。 修改一个CRL，列出一个或者多个RC。在这种情况下，该RC以及其签发的数据对象均被RP认 为无效。该操作将会导致状态本应该为有效的路由消息被RP认定为无效，且产生的影响取决于被撤销 RC在层次结构中所处的位置。 修改一个CRL，忽于列出一个或者多个EE证书、路由器证书和RC。在这种情况下，RP仍然认为 撤销的证书或者数据对象有效。如果RP认为撤销的ROA有效，边界路由器将会依据撤销的路由起源 声明做出路由决策，导致RP降低有效路由消息的优先级而接受无效路由消息。

CRL无法被撤销，但是当该CRL的签发者的RC被撤销后，RP将无法验证该CRL（6.6.5小节）。 6.5.6注入 注入一个错误的CRL。该操作产生的影响与修改CRL操作一致，且取决于被注入CRL与正确CRL 的不同之处。

6.6针对RC的安全威胁

删除一个RC将会导致RP无法定位自RP最近一次同步操作后，该RC最新直接签发和/或间接签 发的数据对象。由于被删除RC可能自RP最近一次同步操作后，执行以下修改和/或更新操作，如签发 子RC以分配INR、签发ROA以授权INR、签发新的路由器证书和修改路由器证书等等，RP将无法感 知这些新增和/或修改数据对象。另外，如果被删除RC签发的数据对象本是替代缓存中即将过期的数 据对象，RP由于无法定位新数据对象便认为缓存中旧数据对象无效，甚至可能导致有效路由消息的状 态变更为无效或者无法获取，

抑制发布一个新版本RC，以取代旧版本RC。这种操作产生的影响取决于被抑制的新版本RC与被 权代的旧版本RC之间的变更。如果被抑制的新版本RC中SIA（SubjectInformationAuthority，主体信 息权威）字段发生变更，产生的影响与6.6.1小节与6.6.4小节的第三部分一致；如果被抑制的新版本 RC中的资源扩展字段（应符合IETFRFC3779《IP地址和AS码号的X.509扩展》）发生改变，产生的 影响与6.6.4小节的第一部分一致；如果被抑制的新版本RC中AIA（AuthorityInformationAuthority， 权威信息权威）字段发生改变，产生的影响与6.6.4小节的第四部分一致。最终，新版本RC的抑制发 布将导致RP无法获取有效RC， 即新版 而旧版本RC过期

毁环一个RC将会导致RP认为其无效且拒绝缓存。被毁坏RC签发的所有子对象均被RP认定为 无效。如果RP已经缓存被毁坏RC签发的数据对象，直至数据对象过期RP仍然会认为这些数据对象 有效。RP无法同步被毁坏RC在RP最近一次同步操作后新签发的数据对象，产生的影响与抑制发布该 RC签发的数据对象一致。

在保证RC符合RPKI证书规范的情况下，修改RC的内容以确保其仍为RP接受。如果被修改RC 的资源码号扩展项中移除部分INR，与移除INR有关的且为被修改RC签发的数据对象将被RP认为无 效。如果数据对象是被修改RC签发的子RC，则子RC签发的数据对象均被认为无效；如果被修改RC 的资源码号扩展项中添加部分INR，且新增INR并不包含于被修改RC的签发者RC中，则被修改RC 以及其签发的数据对象均被RP认为无效；如果被修改RC的资源码号扩展项中添加部分INR，且新增 INR包含于被修改RC的签发者RC中，如果新增INR包含于被修改RC的签发者的其他子RC中，将

导致INR冲突发生域间路由劫持：如果被修改RC的资源码号扩展项中添加部分INR，且新增INR包 含于被修改RC的签发者的RC中，如果新增INR不包含于被修改RC的签发者的子RC中，虽然暂时 不会发生域间路由劫持，但是仍然存在域间路由劫持风险。如果数据对象为ROA，RP将无法同步该 ROA所声明的AS/IP地址前缀绑定关系；如果数据对象为路由器证书，则包含该证书签名的BGPsec 更新报文中由于无法为RP验证被视为无效。 如果RC的SIA字段被修改，指向另外一个发布点，该操作将导致RP在该发布点同步被修改RC 签发的数据对象。如果该发布点中数据对象的签名为被修改RC的公钥验证为无效，RP将拒绝接受。 在这种情况下，RP无法获取被修改RC签发的数据对象，可认为被修改RC签发的数据对象的缓存版 本在过期之前均有效。如果该发布点中的数据对象的签名为被修改RC的公钥验证为有效，且通过了证 书路径验证程序，这些数据对象将会取代RP缓存的对应数据对象。 如果RC的AIA字段被修改，指向除被修改RC的签发者RC的另外一个RC。AIA字段仅用于证 书路径创建过程，不用于路由验证过程。RPKI中的证书路径创建基于自上而下的方式进行，始于TA 且递归地遍历RPKI层次结构。该操作可能并不影响RP获取和验证被修改RC和其签发数据对象的过 程。 如果RC的SPKI字段被修改为该RC的签发者RC对应的公钥信息，在这种情况下，被修改RC 的签发者可以为该RC签发、修改、撤销、注入任意数据对象且不被察觉。

撤销一个RC后，RP拒绝接受被撤销RC签发的所有数据对象，包括直接签发数据对象和间接签 发数据对象。该操作产生的影响与6.5.4小节的第二部分一致，

注入一个RC后，该操作产生的影响取决于被注人RC中的内容，与6.6.4小节中针对RC的修改操 作一致。

6.7针对路由器证书的安全威肋

YD/T34582019

修改一个路由器证书。如果将该路由器证书中的AS码号变更，则它仍然可以通过语法验证，但会 导致BGPsecPATH属性中此AS码号对应的签名验证失败

食用盐标准撤销一个路由器证书。BGPsecPath属性中与该路由器证书对应的签名将无法被验证。该操作产生 的影响与删除该路由器证书操作一致（6.7.1小节）

7RPKI数据供给侧的运行模式

INR持有者同时拥有CA运行管理权和发布点运行管理权。 在该模式下，INR持有者的任何操作行为将会直接影响自身的INR并间接地影响其下游INR持有 者的INR。（如果该INR持有者是RPKI的“叶子结点”机构，则它产生的伤害仅仅局限于其自身）INR 持有者的错误操作将导致第6章中针对不同类型数据对象的不同安全威胁的任何一种的产生。针对INR 特有者的一次成功攻击能够导致修改、撤销和注入三种安全威胁的产生（假设INR持有者签发的数据 对象自动同步到发布点中）。针对发布点的一次成功攻击能够导致删除、抑制和毁坏三种安全威胁的产

INR持有者拥有CA运行管理权并将其发布点运行管理权外包给第三方。 在该模式下，INR持有者的任何错误操作将导致修改、撤销和注入三种安全威胁的产生。发布点管 理者的错误操作将会直接影响INR持有者自身的INR并间接地影响其下游INR持有者的INR（如果该 INR持有者是RPKI的“叶子结点”机构，则发布点管理者产生的伤害仅仅局限于其该INR持有者）。 该模式下可能产生的安全威胁包含自主模式下的所有安全威胁，同时增加了一个新的潜在的安全威胁源

三方发布点管理者。针对INR持有者的一次成功攻击能够导致修改、撤销和注入三种安全威 （假设INR持有者签发的数据对象自动同步到发布点中）。发布点管理者（或者针对该实体的 攻击）能够导致删除、抑制和毁坏三种安全威胁的产生。

INR持有者将其CA运行管理权外包给第三方并拥有发布点运行管理权。 在该模式下，INR持有者将CA运行管理权外包给其直接上游INR持有者，INR持有者的直接数 据对象均由其上游INR持有者代为签发但是自行托管（这种情况相对较少学校标准，即一个INR持有者如果外 包CA运行管理权，则一般也会外包发布点运行管理权）。上游INR持有者拥有签发数据对象的私钥 上游INR持有者也可以选择发布一系列错误数据对象，这些数据对象并没有经过INR持有者的授权。 在这种情形下，上游INR持有者发布的错误数据对象在经过INR持有者检查后是不会出现在发布点中。 针对上游INR持有者的一次成功攻击能够导致修改、撤销和注入三种安全威胁的产生，除非INR持有 者在发布这些数据对象之前对它们进行检查。针对INR持有者的一次成功攻击能够导致删除、抑制和 毁坏三种安全威胁的产生。

INR持有者同时将其CA运行管理权和发布点运行管理权外包给第三方。 在该模式下，INR持有者将CA运行管理权和发布点运行管理权外包给其直接上游INR持有者， 这时，INR持有者最脆弱且易受攻击的。上游INR持有者的错误操作将会直接影响该INR持有者的INR 并间接影响其下游INR持有者的INR。上游INR持有者的错误操作以及针对上游INR持有者的一次成 功攻击均可导致第6章中针对不同类型数据对象的不同安全威胁的任何一种的产生。

[1]IETFRFC2622路由策略规范语言 [2]IETFRFC2650路由策略规范语言的实践使用 [3]IETFRFC2725路由策略系统安全 [4]IETFRFC5652加密消息语法 [5]】IETFRFC6483基于互联网码号资源公钥基础设施和路由起源声明的路由源验证 [6]IETFRFC6487RPKI资源证书格式规范 [7]】IETFRFC6488RPKI签名对象模板 [8]IETFRFC7132BGP路径安全威胁模型 [9]ETFRFC7682互联网路由注册局和路由策略配置 [10]IETFRFC7935RPKI算法和密钥长度规范 [11]IETFRFC8211RPKI数据安全威胁模型