[发明专利]一种基于资源公钥基础设施区块链的路由器证书颁发方法

说明书

本发明公开了一种基于资源公钥基础设施区块链的路由器证书颁发方法，以实现基于区块链的EE证书颁发。技术方案是：构建由安装有资源交易应用客户端的资源颁发者和资源接收者、区块链网络、验证节点组成的RPKIB，资源交易应用客户端的资源交易模块将颁发、撤销、获取EE证书的操作转化为区块链上的交易，根据验证结点的共识结果判断交易是否成功；验证节点运行资源证书交易智能合约对EE证书交易进行验证，运行共识算法对EE证书交易达成共识；路由器通构建和更新EE证书列表，根据EE证书列表查找对应EE证书，获取EE证书公钥，验证路由路径签名数据正确性；采用本发明能成功完成EE证书的颁发，支持域间路由协议的路径认证。

技术领域

本发明属于网络信息安全领域，尤其涉及一种为支持安全域间路由协议 BGPSEC的路径认证功能而提供的基于区块链的AS路由器证书颁发方法，用于支撑安全域间路由协议。

背景技术

BGP(Border Gateway Protocol，即边界网关协议)是Internet中的域间路由协议。但是，传统的BGP协议容易受到许多安全威胁攻击，最常见的BGP攻击之一是前缀劫持。通过伪造BGP路由通告信息中的起源AS(Autonomous system，即自治系统)(起源AS，即发起路由通告信息的AS)，导致对应这些IP地址前缀的流量被劫持者的AS拦截或丢弃。资源公钥基础设施(即RPKI)是用于支持IP 地址前缀起源验证的基础设施，它能提供授权的IP地址前缀与起源AS的可信映射。IP地址等于网络地址加上主机地址，IP地址前缀是指IP地址中与其网络部分相对应的地址部分，即IP地址的网络地址，用来唯一地标识着连入Internet的一个网络的网络号。IP地址＝{地址前缀,主机号}。为了区分地址前缀，通常采用斜线记法，即IP地址/网络前缀所占比特数。例如：192.168.24.0/22 表示32位的地址中，前22位为网络前缀，后10(32-22＝10)位代表主机号。在换算中，192.168.24.0/22对应的二进制为：

1100 0000(192)，1010 1000(168)，0001 1000(24)，0000 0000(0)

RPKI依附于Internet数字资源INR(InternetNumbersResources)的分配过程，INR包括IP地址资源和AS号资源，即机构所拥有的IP地址和AS号，以互联网注册管理机构RIR(Regional Internet Registry)作为最上层的资源颁发者，RIR又可以将自己的Internet号码资源向下级资源颁发者如本地互联网注册机构(LocalInternetRegistry，LIR)、国家级互联网注册机构 (NationalInternetRegistry，NIR)和互联网服务提供商(InternetServiceProvider，ISP)分配，然后下级资源颁发者再依次逐级向下分配，通过自上而下的权限层次结构提供可验证的IP地址前缀与起源AS的映射库。RPKI由三个组件组成：基于公钥基础设施的证书对象，用于表示路由起源授权ROA(Route OriginAuthorization)的签名对象，以及用于保存对象的分布式存储系统。RP(Relying Party即依赖方)是RPKI的使用者，RP获取签名对象集合的副本，验证签名，生成有效ROA列表，并定期检查在分布式存储系统中签名对象的更新，并同步这些更新。ROA是IP地址所有者授权AS为其进行路由通告的授权信息，包含一个AS号码以及一个或多个IP地址前缀之间的“绑定关系”。ROA可以被RP用来验证为某一特定IP地址前缀发起路由的AS是否被地址所有者所授权。BGP路由器使用RPKI中RP提供的有效ROA列表信息来区分合法起源AS发起的BGP路由以及可能被劫持的BGP路由。

BGP常见攻击之一是路径伪造。通过伪造BGP路由通告信息中的路径信息AS PATH，影响BGP路由器的选择过程，从而导致对应这些IP地址前缀的流量被劫持者的AS拦截或丢弃。