互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施（RPKI） 資源列表

1互聯(lián)網(wǎng)碼號(hào)資源公鑰基礎(chǔ)設(shè)施(RPKI)資源列表本文件定義了資源列表(Manifest)的技術(shù)要求，包括資源列表的定義和內(nèi)容格式，資源列表的生成流程和使用注意事項(xiàng)。本文件適用于支持RPKI,并且通過(guò)RPKI保證域間路由安全的網(wǎng)絡(luò)設(shè)備和相關(guān)網(wǎng)絡(luò)部署2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款，其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的應(yīng)用文件，其最新版本(包括所有的修改單)適用于本文件。ITU-TX.690-2002信息技術(shù)-ASN.1編碼規(guī)則：基本編碼規(guī)則(BER),規(guī)范編碼規(guī)則(CER)和可辨別編碼規(guī)則(DER)(ITU-TRecommendationX.690(2002),Informationtechnology-ASN.1encodingrules:SpecificationofBasicEncodingRules(BER),CanonicalEncodingRules(CER)andDistinguishedEncodingRules(DEIETFRFC5280資源公鑰基礎(chǔ)設(shè)施中的認(rèn)證權(quán)威密鑰輪轉(zhuǎn)(CertificationAuthority(CA)KeyRolloverintheResourcePublicKeyInfrasIETFRFC6488資源公鑰基礎(chǔ)設(shè)施簽名對(duì)象模板(SignedObjectTemplatefortheResourcePublicIETFRFC6489資源公鑰認(rèn)證權(quán)威密鑰輪轉(zhuǎn)(CertificationAuthority(CA)KeyRolloverintheResourcePublicKe3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件用于標(biāo)識(shí)互聯(lián)網(wǎng)資源的數(shù)字標(biāo)識(shí)符，通常被網(wǎng)絡(luò)協(xié)議所使用，如互聯(lián)網(wǎng)協(xié)議(IP)地址、自治系統(tǒng)資料庫(kù)repository資料庫(kù)負(fù)責(zé)存儲(chǔ)這些承載了INR分配授權(quán)信息的RC或ROA等數(shù)據(jù)對(duì)象，其結(jié)構(gòu)被部署為分布式數(shù)資料庫(kù)發(fā)布點(diǎn)repositorypublicationpoint指代發(fā)布點(diǎn)發(fā)布的一系列資料庫(kù)對(duì)象的集合，并以目錄的形式置于可公共獲取的文件系統(tǒng)中，并通過(guò)統(tǒng)一資源定位符來(lái)標(biāo)識(shí)。2終端實(shí)體證書(shū)endentitycertificate用來(lái)驗(yàn)證與資源的使用相關(guān)的簽名對(duì)象，比如ROA和資源列表等。RPKI系統(tǒng)的使用者，負(fù)責(zé)幫助BGP邊界路由器從資料庫(kù)中爬取原始的資源證書(shū)和簽名對(duì)象、信任鏈的構(gòu)建、證書(shū)驗(yàn)證、緩存管理等。將上述RPKI信息處理后所得到的INR使用權(quán)信息存儲(chǔ)下來(lái)，并下發(fā)給BGP邊界路由器。資源列表manifest所有被簽名對(duì)象(資源列表自己除外)的清單?！耙淮涡允褂谩苯K端實(shí)體證書(shū)"one-time-use"EEcertificate認(rèn)證權(quán)威用每個(gè)生成的私鑰只簽一個(gè)資源列表，并為資源列表的每個(gè)新版本生成一個(gè)新的密鑰對(duì)這種使用相關(guān)終端實(shí)體證書(shū)的形式被稱為“一次性使用”終端實(shí)體證書(shū)“順序使用”終端實(shí)體證書(shū)"sequential-use"EEcertificate認(rèn)證權(quán)威使用相同的私鑰來(lái)簽署一系列資源列表，所關(guān)聯(lián)的終端實(shí)體證書(shū)一次只需要驗(yàn)證單個(gè)的對(duì)象，這種使用終端實(shí)體證書(shū)的形式被稱為“順序使用”終端實(shí)體證書(shū)。下列縮略語(yǔ)適用于本文件自治域AutonomousSyst權(quán)威信思訪間AuthorityInformationAc邊界網(wǎng)關(guān)協(xié)議認(rèn)證權(quán)咸CerificateAuthority證書(shū)撤銷列表發(fā)布點(diǎn)CRLDistributionPoi證書(shū)撤銷列表CertifcatesRevocati加密消息語(yǔ)法CryptographicMessge終端實(shí)體互聯(lián)網(wǎng)碼號(hào)資源資源證書(shū)路由源授權(quán)RouteOriginationAutho依賴方資源公鑰基礎(chǔ)設(shè)施ResourcePublieKeyInfr主體信息訪問(wèn)YD/IX0000—X000URI統(tǒng)一資源定位符UniformResourceIdentifier5資源列表的定義資源公鑰基礎(chǔ)設(shè)施(RPKD)通過(guò)分布式的資料庫(kù)系統(tǒng)(Repository)為依賴方(RP)提供其所需要的各種簽名對(duì)象。由于存儲(chǔ)在資料庫(kù)系統(tǒng)中的所有對(duì)象都由創(chuàng)建它們的實(shí)體進(jìn)行了數(shù)字簽名，所以依賴方能夠輕松發(fā)現(xiàn)這些已發(fā)布對(duì)象是否被篡改和攻擊。然而，數(shù)字簽名無(wú)法抵抗以下兩種攻擊一種攻擊是替換“過(guò)時(shí)”的簽名對(duì)象版本(即有效且尚未過(guò)期，但已被替換的對(duì)象),另一類攻擊是刪除資料庫(kù)系統(tǒng)中的簽名對(duì)象。RPKI資料庫(kù)系統(tǒng)使用名為“資源列表”的簽名對(duì)象來(lái)協(xié)助檢測(cè)這兩類攻擊。資源列表是一種簽名對(duì)象，使用在認(rèn)證權(quán)成(CA)的資料庫(kù)(一個(gè)包含有該CA簽發(fā)的下屬證書(shū)、證書(shū)撒銷列表(CRL)、終端實(shí)體證書(shū)(End-EntityCertificate)等簽名對(duì)象的目錄)發(fā)布點(diǎn)，它列出了所有在該資料庫(kù)發(fā)布點(diǎn)(目錄)中的簽名對(duì)象。資源列表中包含權(quán)成資料庫(kù)系統(tǒng)發(fā)布點(diǎn)上發(fā)布的每一個(gè)簽名對(duì)象的文件名字和文件內(nèi)容的散列雜湊值。資源列表能夠讓依賴方檢測(cè)到發(fā)布點(diǎn)上是否有非授權(quán)的對(duì)象刪除操作或者替換過(guò)時(shí)版本對(duì)象的操作，還能夠讓依賴方檢測(cè)到在資料庫(kù)系統(tǒng)中檢素對(duì)象時(shí)是否受到中間人攻擊。資源列表基于證書(shū)撤銷列表進(jìn)行建模，這是因?yàn)橘Y源列表需要解決對(duì)過(guò)期資源列表和重放攻擊的檢測(cè)問(wèn)題，這與證書(shū)撤銷列表需要解決的問(wèn)題相似。但是資源列表有效載荷的語(yǔ)法與證書(shū)撤銷列表有所不同，因?yàn)镽PKI資料庫(kù)系統(tǒng)中除證書(shū)撤銷列表外的其他內(nèi)容，比如路由源授權(quán)(ROA)等數(shù)字簽名對(duì)象。6資源列表的范圍一個(gè)和認(rèn)證權(quán)成資料庫(kù)系統(tǒng)發(fā)布點(diǎn)關(guān)聯(lián)的資源列表包括以下簽名對(duì)象：a)該認(rèn)證權(quán)威簽發(fā)的證書(shū)集合(未過(guò)期，未取消)b)該認(rèn)證權(quán)成最近簽發(fā)的證書(shū)撒銷列表c)所有可以使用該認(rèn)證權(quán)威所簽發(fā)的終端實(shí)體證書(shū)驗(yàn)證的簽名對(duì)象。上述的簽名對(duì)象包括，簽名對(duì)象的加密消息語(yǔ)法(CMS)封裝形式，以及用于驗(yàn)證該簽名對(duì)象的終端實(shí)體證書(shū)，參見(jiàn)ETFRFC6488。因此，不需要在認(rèn)證權(quán)威的資料庫(kù)系統(tǒng)發(fā)布點(diǎn)上單獨(dú)發(fā)布終端實(shí)體證書(shū)。當(dāng)多個(gè)認(rèn)證權(quán)威共享一個(gè)發(fā)布點(diǎn)的情況時(shí)，這時(shí)發(fā)布點(diǎn)會(huì)執(zhí)行密鑰輪換操作，同時(shí)發(fā)布點(diǎn)中還包含多個(gè)資源列表，遵照IETFRFC6489的規(guī)定。在這種情況下，每個(gè)資源列表會(huì)關(guān)聯(lián)對(duì)應(yīng)的認(rèn)證權(quán)威，僅描述相應(yīng)認(rèn)證權(quán)咸已發(fā)布的簽名對(duì)象集合7資源列表的簽名認(rèn)證權(quán)威的資源列表由終端實(shí)體證書(shū)來(lái)進(jìn)行驗(yàn)證。認(rèn)證權(quán)威可以選擇每次生成一個(gè)私鑰用來(lái)給一個(gè)資源列表簽名，并為一個(gè)資源列表的每個(gè)新版本生成一個(gè)新的密鑰對(duì)。這種相關(guān)終端實(shí)體證書(shū)的使用形式被稱為“一次性使用”終端實(shí)體證書(shū)或者，認(rèn)證權(quán)威也可以選擇使用相同的私鑰來(lái)簽署一系列資源列表。因?yàn)樵谌魏螘r(shí)間點(diǎn)都只有一個(gè)的資源列表(一個(gè)認(rèn)證權(quán)威對(duì)應(yīng)一個(gè)資源列表),所以關(guān)聯(lián)的終端實(shí)體證書(shū)一次只需要驗(yàn)證單個(gè)的資源列表對(duì)象。因此，只要由終端實(shí)體證書(shū)驗(yàn)證的一系列對(duì)象以相同的文件名發(fā)布，這種連續(xù)、多次的終端實(shí)體證書(shū)使用方法也是有效的。這種終端實(shí)體證書(shū)的使用形式被稱為“順序使用”終端實(shí)體證書(shū)8資源列表的內(nèi)容48.1資源列表內(nèi)容資源列表即是一個(gè)RPKI簽名對(duì)象。RPKI簽名對(duì)象模板要求在資源列表結(jié)構(gòu)中指定以下數(shù)據(jù)元素8.1.1電子內(nèi)容類型資源列表的電子內(nèi)容類型被定義為id-ct-rpkiManifest,且數(shù)值為1.2.840.113549.1.9.16.1.26。8.1.2電子內(nèi)容格式資源列表使用ITU-TX.690-2002定義的可辨別編碼規(guī)則(DER)中的ASN.1格式進(jìn)行編碼。資源列表的內(nèi)容定義如下：version[0]INTEGmanifestNumberINTEGER(0.MAX).thisUpdateGeneralizednexiUpdateGeneralizedTifleHashAlgOBJECfileListSEQUENCESfile完整資源列表實(shí)體示例見(jiàn)附錄A。8.1.3資源列表如果使用“一次性使用”終端實(shí)體證書(shū)來(lái)驗(yàn)證資源列表，則終端實(shí)體證書(shū)的有效期必須與從本次更新(thisUpdate)時(shí)間到下次更新(nexiUpdate)時(shí)間的間隔一致，以避免認(rèn)證權(quán)威的證書(shū)撤銷列表不必要的增長(zhǎng)。如果使用“順序使用”終端實(shí)體證書(shū)來(lái)驗(yàn)證資源列表，則終端實(shí)體證書(shū)的有效期不得小于當(dāng)前資源列表的下次更新時(shí)間。擴(kuò)展有效期會(huì)加大替換攻擊的可能性(替換攻擊如第5章所述)資源列表結(jié)構(gòu)中數(shù)據(jù)元素的定義如下：a)版本字段本字段為資源列表的版本號(hào)，在本版本的規(guī)范中要求該字段必須為0。b)列表序號(hào)字段本字段是一個(gè)正整數(shù)，指定的發(fā)布點(diǎn)每簽發(fā)一個(gè)新的資源列表都會(huì)增加該字段的值。由于資源列表是基于證書(shū)撤銷列表規(guī)范建模的，所以ManifestNumber與CRLNumber兩個(gè)字段類似，并且中對(duì)于CRLNumber值的范圍定義同樣適用于ManifestNumber的數(shù)值范圍，定義內(nèi)容應(yīng)符合IETFRFC5280的要以資源列表簽發(fā)者不得使用長(zhǎng)度超過(guò)20個(gè)字節(jié)的數(shù)值。本字段包括資源列表創(chuàng)建的時(shí)間，該字段與IETFRFC5280中CRL字段有相同名稱，受相同指定格式的約束本字段指下一次資源列表的計(jì)劃簽發(fā)時(shí)間。下次升級(jí)時(shí)間必須在本次升級(jí)時(shí)間之后。其中GenralizeTime字段與本次升級(jí)(thisUpdate)字段的值要求一致如果權(quán)威更改了它已在發(fā)布點(diǎn)中發(fā)布的任何項(xiàng)目，則權(quán)威必須在下次升級(jí)時(shí)間之前表。如果資源列表包含證書(shū)撤銷列表，則資源列表的nextUpdate字段必須與證書(shū)撒銷列表的nextUpdate字段的值相匹配，因?yàn)楫?dāng)證書(shū)撤銷列表發(fā)布時(shí)資源列表將被重新簽發(fā)。如果使用“一次性實(shí)體證書(shū)來(lái)驗(yàn)證資源列表。則如果在當(dāng)前資源列表的nextUpdate字段中指定的時(shí)間之前簽發(fā)新的資源列表時(shí)，認(rèn)證權(quán)威還必須簽發(fā)新的證書(shū)撒銷列表，該證書(shū)撒銷列表中包括與舊的資源列表相一e)文件散列雜湊算法字段本字段是認(rèn)證權(quán)威將文件放入資料庫(kù)時(shí)所使用的散列/雜湊算法的OID,所使用的散列/雜湊算法應(yīng)遵循密碼相關(guān)管理規(guī)定、國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。0文件列表字段本字段是一系列FileAndHash對(duì)象的序列。每個(gè)由認(rèn)證權(quán)威簽發(fā)并且當(dāng)前有效的簽名對(duì)象都對(duì)應(yīng)有一個(gè)FileAndHash條目。每個(gè)FileAndHash是一個(gè)有序?qū)?，包含資料庫(kù)發(fā)布點(diǎn)(目錄)中的文件名稱和文件內(nèi)容的散列雜湊值。8.2內(nèi)容類型屬性強(qiáng)制的內(nèi)容類型屬性必須將其attrValues字段與eContentType字段設(shè)置相同的OID。這個(gè)OID即為8.3資源列表驗(yàn)證c)pkiManifest字段中，thisUpdate字段時(shí)若上述檢查過(guò)程證明資源列表無(wú)效，則說(shuō)明資源列表必然己被丟棄并視為當(dāng)前沒(méi)有資源列表存在。9資源列表的產(chǎn)生對(duì)于RPKI資料庫(kù)系統(tǒng)中的認(rèn)證權(quán)威發(fā)布點(diǎn)，認(rèn)證權(quán)成必須通過(guò)以下步驟來(lái)產(chǎn)生資源列表a)若不存在密鑰對(duì)，或者如果使用新的密鑰對(duì)來(lái)使用“一次性使用”終端實(shí)體證書(shū)來(lái)驗(yàn)證，則生成一個(gè)新密鑰對(duì)，密鑰對(duì)的使用應(yīng)遵循密碼相關(guān)管理規(guī)定、國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。b)如果使用“一次性使用”終端實(shí)體證書(shū)，或者如果在步驟1中生成了密鑰對(duì)，或者如果使用在該資源列表的nextUpdate時(shí)間之前過(guò)期的“順序使用”終端實(shí)體證書(shū)，則為該密鑰對(duì)簽發(fā)終端實(shí)體證書(shū)。c)終端實(shí)體證書(shū)不能公布在認(rèn)證權(quán)威的資料庫(kù)系統(tǒng)發(fā)布點(diǎn)上。6d)資源列表內(nèi)容構(gòu)建資源列表的內(nèi)容已在第8.1.3條中描述。資源列表的文件列表字段包括此認(rèn)證權(quán)威已經(jīng)發(fā)布在資料庫(kù)系統(tǒng)發(fā)布點(diǎn)(目錄)的每個(gè)對(duì)象的文件名和散列/雜湊對(duì)。其中包含該認(rèn)證權(quán)威簽發(fā)并已經(jīng)發(fā)布的所有證書(shū)，最近簽發(fā)的證書(shū)撒銷列表以及所有由該CA簽發(fā)的終端實(shí)體證書(shū)驗(yàn)證過(guò)的對(duì)象。需要注意的是，資源列表不包括自引用(即資源列表本身的文件名和散列雜湊值),因?yàn)樵诤灻八豢赡苡?jì)算資源列表本身的散列雜湊值。c)使用CMSSignedData內(nèi)容類型格式(如第8章所述)封裝資源列表的內(nèi)容，使用與終端實(shí)體證書(shū)中相應(yīng)的私鑰對(duì)資源列表進(jìn)行簽名，并將資源列表發(fā)布到資料庫(kù)系統(tǒng)發(fā)布點(diǎn)。0在密鑰對(duì)僅使用一次的情況下，結(jié)合“一次性使用”終端實(shí)體證書(shū)，與該密朝對(duì)相關(guān)聯(lián)的私鑰必須立刻銷毀。10依賴方對(duì)資源列表的使用10.1測(cè)試資源列表的狀態(tài)對(duì)于給定的發(fā)布點(diǎn)，依賴方應(yīng)當(dāng)執(zhí)行以下測(cè)試來(lái)確定發(fā)布點(diǎn)資源列表的狀態(tài)：a)對(duì)于使用這個(gè)發(fā)布點(diǎn)的每個(gè)認(rèn)證權(quán)威，選擇認(rèn)證權(quán)威當(dāng)前的資源列表(“當(dāng)前”的資源列表即是由該認(rèn)證權(quán)威所簽發(fā)，在所有有效資源列表中擁有最高序號(hào)的資源列表，資源列表的有效性已在第8.1.3節(jié)給出定義)。如果發(fā)布點(diǎn)不包括有效的資源列表，請(qǐng)見(jiàn)第10.2條。若缺少有效的資源列表，后續(xù)測(cè)試則無(wú)法進(jìn)行。b)為了驗(yàn)證完整性，依賴方可以檢查每個(gè)發(fā)布點(diǎn)上的每個(gè)文件是否只顯示在一個(gè)當(dāng)前的資源列表中，并且當(dāng)前資源列表中列出的每個(gè)文件是否都在與該資源列表相同的發(fā)布點(diǎn)上發(fā)布。如果在發(fā)布點(diǎn)上存在任何資源列表中均沒(méi)有出現(xiàn)的文件，或者資源列表中列出的文件未出現(xiàn)在發(fā)布點(diǎn)，請(qǐng)見(jiàn)第10.5條，但仍然繼續(xù)進(jìn)行以下測(cè)試。c)檢查當(dāng)前時(shí)間是否在本次升級(jí)字段時(shí)間與下次升級(jí)字段時(shí)間之間。如果當(dāng)前時(shí)間不在此區(qū)間內(nèi)，則見(jiàn)第10.4條，但仍然繼續(xù)進(jìn)行以下的測(cè)試。d)驗(yàn)證每個(gè)資源列表中列出的每個(gè)文件的散列/雜湊值與在發(fā)布點(diǎn)上散列雜湊文件所獲得的值是否相匹配。如果資源列表上列出的文件計(jì)算出的散列雜湊值與資源列表中包含的散列雜湊值不匹配。參見(jiàn)第10.6條。c)依賴方可以檢查每個(gè)當(dāng)前資源列表的內(nèi)容是否符合資源列表的范圍約束，其中范圍約束于第6章中進(jìn)行了描述。0如果當(dāng)前資源列表包括不在資源列表范圍內(nèi)的對(duì)象的條目，則超出范圍的條目將在此資源列表中被忽略。對(duì)于每個(gè)已簽名對(duì)象，如果滿足以下所有條件：-其發(fā)布的資源列表和相關(guān)的發(fā)布點(diǎn)通過(guò)上述所有檢查-簽名對(duì)象有效：-用于驗(yàn)證簽名對(duì)象和相關(guān)聯(lián)發(fā)布點(diǎn)兩者認(rèn)證路徑上的每個(gè)證書(shū)的資源列表都通過(guò)以上所有檢查：那么依賴方可以得出結(jié)論，對(duì)資料庫(kù)系統(tǒng)的攻擊不會(huì)損害給定的簽名對(duì)象，并且簽名對(duì)象必須被視為有效(相對(duì)于資源列表檢查)。10.2資源列表的丟失由于發(fā)布者的失誤操作或者(蓄意的或偶然的)刪除、破壞了所有有效的資源列表，將可能導(dǎo)致發(fā)布點(diǎn)上現(xiàn)有資源列表的丟失當(dāng)沒(méi)有有效的資源列表可用時(shí)，對(duì)刪改攻擊或重放攻擊也就沒(méi)有了任何保護(hù)。所有發(fā)布點(diǎn)的簽名對(duì)象，以及使用此發(fā)布點(diǎn)證書(shū)驗(yàn)證的所有子對(duì)象，應(yīng)當(dāng)被視為可疑的，但可能被依賴方根據(jù)本地策略使用在此發(fā)布點(diǎn)使用簽名對(duì)象的首要風(fēng)險(xiǎn)是一個(gè)被取代的(但非過(guò)時(shí)的)證書(shū)撒銷列表可能會(huì)導(dǎo)致依賴方將一個(gè)已經(jīng)被撤銷的證書(shū)接受判定為有效的(并因此依靠該證書(shū)驗(yàn)證的簽名對(duì)象)。還有可能出現(xiàn)依賴方錯(cuò)誤地丟棄大量的有效簽名對(duì)象的風(fēng)險(xiǎn)。這會(huì)幫助不法分子在發(fā)布點(diǎn)對(duì)資源列表進(jìn)行刪除操作。不管發(fā)布的簽名對(duì)象是否適合依賴方使用，這種情況下應(yīng)當(dāng)產(chǎn)生一條告警，如“對(duì)于<pubpointname>不存在資源列表，可能會(huì)導(dǎo)致無(wú)法檢測(cè)的刪除或者重放替換攻擊產(chǎn)生”。如果依賴方能夠訪問(wèn)之前簽發(fā)的而且仍然有效的資源列表的本地緩存，依賴方可以使用該發(fā)布點(diǎn)最近簽發(fā)的有效資源列表來(lái)收集RPKI資料庫(kù)信息。由于發(fā)布者的失誤操作或者(蓄意的或偶然的)刪除操作，破壞了所有有效的資源列表，將可能導(dǎo)致發(fā)布點(diǎn)上現(xiàn)有資源列表的丟失。一個(gè)無(wú)效資源列表必須永遠(yuǎn)不被使用，即使該無(wú)效資源列表的序號(hào)大如果發(fā)布點(diǎn)內(nèi)有一個(gè)無(wú)效的資源列表，還有一或多個(gè)有效的資源列表，這種情況應(yīng)當(dāng)產(chǎn)生一條告警“在spubpointname發(fā)現(xiàn)一個(gè)無(wú)效的資源列表。表明該發(fā)布點(diǎn)遭到攻擊或發(fā)布者的錯(cuò)誤操作。本發(fā)布點(diǎn)的處理將會(huì)繼續(xù)使用最新的有效的資源列表”。當(dāng)依賴方可以訪問(wèn)之前發(fā)布的(有效)資源列表的本地緩存時(shí)，依賴方可以使用本地緩存的數(shù)據(jù)。如果當(dāng)前時(shí)間在資源列表的下次更新字段時(shí)間之后，則該資源列表將被視為過(guò)期。這可能是由于發(fā)布者未能及時(shí)發(fā)布新的資源列表，或由于(惡意或意外)損壞或制止更新資源列表。發(fā)布過(guò)期資源列表的實(shí)體在發(fā)布點(diǎn)簽發(fā)的所有已簽名對(duì)象，以及使用該實(shí)體簽發(fā)的證書(shū)驗(yàn)證過(guò)的所有子簽名對(duì)象在某種程度上都應(yīng)該被認(rèn)為可疑，但依賴方可以根據(jù)本地策略適當(dāng)?shù)厥褂?。使用此類簽名?duì)象的主要風(fēng)險(xiǎn)在于，可能存在較新的資源列表，如果存在，則表明某些對(duì)象已被刪除或替換(例如，新的資源列表可能顯示存在較新的證書(shū)撤銷列表，并且刪除了一個(gè)或多個(gè)被撤銷的證書(shū))。因此，使用過(guò)期的資源列表里的對(duì)象可能導(dǎo)致依賴方錯(cuò)誤地將無(wú)效對(duì)象視為有效。風(fēng)險(xiǎn)在于過(guò)時(shí)的資源列表所涵蓋的證書(shū)撤銷列表已被替換，因此依賴方可能錯(cuò)誤地將撤銷的證書(shū)視作有效的證書(shū)。如果資源列表的下次更新字段時(shí)間與當(dāng)前時(shí)間之間的時(shí)間間隔較短，則此風(fēng)險(xiǎn)有所減輕。在此發(fā)布點(diǎn)丟棄已簽名對(duì)象的風(fēng)險(xiǎn)在于依賴方可能會(huì)錯(cuò)誤地丟棄大量的有效簽名對(duì)象。這將有助于幫助不法分子在給定的發(fā)布點(diǎn)阻止發(fā)布新的資源列表不管發(fā)布的簽名對(duì)象是否適合依賴方使用，這種情況下應(yīng)該產(chǎn)生一條告警：“在<pubpointname找到的資源列表不再是最新的，發(fā)布點(diǎn)可能有未檢測(cè)到的別除操作”。需要注意的是當(dāng)前時(shí)間也可能在資源列表的本次更新時(shí)間字段的時(shí)間之前。這種情況可能是由于發(fā)布者錯(cuò)誤操作或本地時(shí)鐘的錯(cuò)誤，在這種情況下，應(yīng)該產(chǎn)生→條告警：“在<pubpointname>中找到的資源列表具有不正確的ThisUpdate字段，這可能是由于發(fā)布者錯(cuò)誤操作或本地時(shí)鐘錯(cuò)誤導(dǎo)致，本發(fā)布點(diǎn)將繼續(xù)使用除此以外的其他有效資源列表”。10.5資源列表與發(fā)布點(diǎn)匹配錯(cuò)誤如果有效的簽名對(duì)象沒(méi)有出現(xiàn)在任何資源列表中，同時(shí)假設(shè)這些資源列表并未過(guò)期(參見(jiàn)第10.4條),那么這個(gè)疏忽可能是由發(fā)布者的錯(cuò)誤造成。這也可能是(蓄意或意外的)用較老版本但依然有效的資源列表替換了現(xiàn)有版本資源列表造成的。然而，關(guān)于這些對(duì)象的合理對(duì)待方法是，如果對(duì)象表現(xiàn)為無(wú)效，則應(yīng)該使用任何適用于所述簽名對(duì)象的撤銷機(jī)制來(lái)撤銷它們，因此使用這樣的簽名對(duì)象的風(fēng)險(xiǎn)很因?yàn)橘Y源列表是過(guò)期的，所以證書(shū)撤銷列表的丟失是不可檢測(cè)的。在任何表上簽名對(duì)象，或者使用這樣簽名對(duì)象驗(yàn)證過(guò)的子對(duì)象是本地策略的問(wèn)題。不管未出現(xiàn)在資源列表上的對(duì)象是否適合依賴方使用，這種情況下應(yīng)當(dāng)產(chǎn)生一條告<pubpointname>的資料庫(kù)系統(tǒng)中存在，但并未在<pubpointname>的任何資源列表的<filelist>中被列如果資源列表中列出的文件并未出現(xiàn)在資料庫(kù)系統(tǒng)中。那么這些對(duì)象可能已被不恰當(dāng)?shù)?蓄意或意外)從資料庫(kù)系統(tǒng)中刪除。資源列表的首要目的是檢測(cè)這樣的刪除。因此，在這種情況中，這種情況應(yīng)該產(chǎn)生一條告警如下：“下列文件本應(yīng)在<pub這可能意味著這個(gè)發(fā)布點(diǎn)或者資料庫(kù)受到攻擊，或者是發(fā)布者進(jìn)行了錯(cuò)誤操作”。10.6散列/雜湊值與資料庫(kù)系統(tǒng)不匹配資源列表中的文件的散列雜湊值不正確可能是由于發(fā)布者操作錯(cuò)誤產(chǎn)生的，但也有可能是遭到了如果先前有效的資源列表中的對(duì)象的散列雜湊值正確，但現(xiàn)在出現(xiàn)了無(wú)效的散列雜湊值，那么該若有問(wèn)題的對(duì)象是證書(shū)撤銷列表，那么鳳險(xiǎn)會(huì)更嚴(yán)重。如果該對(duì)象可使用RPKI驗(yàn)證，那么如何使用該簽名對(duì)象是本地策略的問(wèn)題。如果出現(xiàn)在資源列表中的簽名對(duì)象有無(wú)效的散列/雜湊值，并且之前從未在資源列表中出現(xiàn)，那么目前尚不清楚該簽名對(duì)象的可用版本是否比資源列表指示的版本更新或更舊。如果資源列表是過(guò)期的 (參見(jiàn)10.4條),那么可用的版本有可能是比當(dāng)前資源列表版本更新的。是否使用這樣的簽名對(duì)象取決于本地策略。然而，一般來(lái)說(shuō)，使用過(guò)時(shí)版本的對(duì)象比徹底拋棄該對(duì)象更好因?yàn)檫@是本地策略的問(wèn)題，即使資源列表中的與較舊的證書(shū)撤