[发明专利]一种基于区块链的资源公钥基础设施双向授权的方法

说明书

本发明公开了一种基于区块链的资源公钥基础设施双向授权的方法，目的是解决恶意操作导致合法BGP路由不合法、合法IP地址被阻断等安全威胁问题。技术方案是：构建由资源颁发者、资源交易应用客户端、资源接收者、区块链网络组成的基于区块链的资源公钥基础设施系统RPKIB；将资源颁发者对资源证书进行颁发、撤销、更新、修改的任何操作变为双向授权方式，只有颁发者和接收者都同意，才能实施资源证书的操作；颁发者将资源证书RC和路由起源授权ROA的操作作为交易通过区块链网络进行，通过双向授权区分操作是恶意行为还是正常操作。采用本发明可克服当前RPKI所面临的恶意操作，有效避免了合法BGP路由不合法、合法IP地址被阻断等安全威胁。

技术领域

本发明属于网络信息安全领域，尤其涉及一种基于区块链的改善RPKI(ResourcePublic Key Infrastructure，即资源公钥基础设施)安全性的资源公钥基础设施双向授权方法。

背景技术

BGP(Border Gateway Protocol，即边界网关协议)是Internet中的域间路由协议。但是，传统的BGP协议容易受到许多安全威胁攻击，最常见的BGP攻击之一是前缀劫持。通过伪造BGP路由通告信息中的起源AS(Autonomous system，即自治系统)(起源AS，即发起路由通告信息的AS)，导致对应这些IP地址前缀的流量被劫持者的AS拦截或丢弃。资源公钥基础设施(即RPKI)是用于支持IP地址前缀起源验证的基础设施，它能提供授权的IP地址前缀与起源AS的可信映射。IP地址等于网络地址加上主机地址，IP地址前缀是指是IP地址中与其网络部分相对应的地址部分，即IP地址的网络地址，用来唯一地标识着连入Internet的一个网络的网络号。IP地址＝{地址前缀,主机号}。为了区分地址前缀，通常采用斜线记法，即IP地址/网络前缀所占比特数。例如：192.168.24.0/22表示32位的地址中，前22位为网络前缀，后10(32-22＝10)位代表主机号。在换算中，192.168.24.0/22对应的二进制为：

1100 0000(192)，1010 1000(168)，0001 1000(24)，0000 0000(0)

RPKI依附于INR(InternetNumbersResources)的分配过程，INR(Internet数字资源)包括IP地址资源和AS号资源，即机构所拥有的IP地址和AS号，以互联网注册管理机构RIR(Regional Internet Registry)作为最上层的资源颁发者，RIR又可以将自己的Internet号码资源向下级资源颁发者如本地互联网注册机构(LocalInternetRegistry，LIR)、国家级互联网注册机构(NationalInternetRegistry，NIR)和互联网服务提供商(InternetServiceProvider，ISP)分配，然后下级资源颁发者再依次逐级向下分配，通过自上而下的权限层次结构提供可验证的IP地址前缀与起源AS的映射库。RPKI由三个组件组成：基于公钥基础设施的证书对象，用于表示路由起源授权ROA(Route OriginAuthorization)的签名对象，以及用于保存对象的分布式存储系统。RP(Relying Party即依赖方)是RPKI的使用者，RP获取签名对象集合的副本，验证签名，生成有效ROA列表，并定期检查在分布式存储系统中签名对象的更新，并同步这些更新。ROA是IP地址所有者授权AS为其进行路由通告的授权信息，包含一个AS号码以及一个或多个IP地址前缀之间的“绑定关系”。

ROA可以被RP用来验证为某一特定IP地址前缀发起路由的AS是否被地址所有者所授权。BGP路由器使用RPKI中RP提供的有效ROA列表信息来区分合法起源AS发起的BGP路由以及可能被劫持的BGP路由。