[发明专利]一种基于区块链的资源公钥基础设施的资源冲突检测方法

说明书

本发明公开了一种基于区块链的资源公钥基础设施的资源冲突检测方法，目的是提高资源证书颁发过程中资源冲突的检测效率。技术方案是构建由资源颁发者、资源交易应用客户端、资源接收者、区块链网络组成的基于区块链的资源公钥基础设施系统，资源交易应用客户端由资源交易模块、资源证书生成模块、显示模块组成；构建资源交易结构和资源树；资源颁发者的资源证书生成模块颁发RC，对RC资源进行冲突检查；区块链的智能合约或链码对RC颁发交易进行资源冲突检查；资源颁发者的资源证书生成模块颁发ROA，对ROA资源进行资源冲突检查；智能合约或链码对ROA颁发交易进行资源冲突检查。本发明能提升资源证书系统的自身安全性，检测效率高。

技术领域

本发明属于网络信息安全领域，尤其涉及一种基于区块链的改善RPKI (ResourcePublic Key Infrastructure，即资源公钥基础设施)安全性的资源公钥基础设施资源冲突的检测方法。

背景技术

BGP(Border Gateway Protocol，即边界网关协议)是Internet中的域间路由协议。但是，传统的BGP协议容易受到许多安全威胁攻击，最常见的BGP攻击之一是前缀劫持。通过伪造BGP路由通告信息中的起源AS(Autonomous system，即自治系统，起源AS，即发起路由通告信息的AS)，导致对应这些IP地址前缀的流量被劫持者的AS拦截或丢弃。资源公钥基础设施(即RPKI)是用于支持 IP地址前缀起源验证的基础设施，它能提供授权的IP地址前缀与起源AS的可信映射。IP地址等于网络地址加上主机地址，IP地址前缀是指IP地址中与其网络部分相对应的地址部分，即IP地址的网络地址，用来唯一地标识着连入Internet的一个网络的网络号。IP地址＝{地址前缀,主机号}。为了区分地址前缀，通常采用斜线记法，即IP地址/网络前缀所占比特数。例如：192.168.24.0/22表示32位的地址中，前22位为网络前缀，后10(32-22＝10)位代表主机号。在换算中，192.168.24.0对应的二进制为：

1100 0000(192)，1010 1000(168)，0001 1000(24)，0000 0000(0)

RPKI依附于互联网数字资源(InternetNumbersResources，INR)的分配过程，INR包括IP地址资源和AS号资源，即机构所拥有的IP地址和AS号，以互联网注册管理机构RIR(Regional Internet Registry)作为最上层的资源颁发者， RIR又可以将自己的Internet号码资源向下级资源颁发者如本地互联网注册机构 (LocalInternetRegistry，LIR)、国家级互联网注册机构(NationalInternetRegistry， NIR)和互联网服务提供商(InternetServiceProvider，ISP)分配，然后下级资源颁发者再依次逐级向下分配，通过自上而下的权限层次结构提供可验证的IP地址前缀与起源AS的映射库。RPKI由三个组件组成：基于公钥基础设施的证书对象，用于表示路由起源授权ROA(Route OriginAuthorization)的签名对象，以及用于保存对象的分布式存储系统。RP(Relying Party即依赖方)是RPKI的使用者，RP获取签名对象集合的副本，验证签名，生成有效ROA列表，并定期检查在分布式存储系统中签名对象的更新，并同步这些更新。ROA是IP地址所有者授权AS为其进行路由通告的授权信息，包含一个AS号码以及一个或多个 IP地址前缀之间的“绑定关系”。

ROA可以被RP用来验证为某一特定IP地址前缀发起路由的AS是否被地址所有者所授权。BGP路由器使用RPKI中RP提供的有效ROA列表信息来区分合法起源AS发起的BGP路由以及可能被劫持的BGP路由。