本发明专利技术涉及一种加强RPKI中CA证书签发安全的事前控制方法。在RPKI中CA实体向其下级实体进行资源分配的过程中,在CA证书签发之前,通过以下两个条件对待分配的资源进行检测:<1>分配给下级CA实体的所有资源,必须全部从属于当前CA实体本身;<2>满足条件<1>的所有资源,不能被分配两次或多次到不同的下级CA实体;在满足两个条件之后,进行资源的分配和CA证书的签发。本发明专利技术能够防止资源重复分配和未获授权资源分配这两种操作风险,保证RPKI路由起源认证功能的安全性和可靠性。
【技术实现步骤摘要】
本专利技术属于网络技术、信息
,具体涉及一种加强RPKI中CA证书签发安全的事前控制方法。
技术介绍
整个互联网被划分成许多自治系统AS(AutonomousSystem),目前,AS之间的路由选择协议采用的是边界网关协议BGP(BorderGatewayProtocol),BGP协议本身在安全方面存在较大的问题:BGP协议默认接受AS发起的所有路由通告,这就意味着,即使一个AS在网络上中发起一个不属于自己的IP地址前缀的路由通告,这一路由通告也会被其他的AS接受并继续在网络中传播。BGP协议在安全方面的这一设计缺陷容易引发一种严重的互联网安全威胁——路由劫持。现已发生的典型的路由劫持事件主要有:1997年4月的AS7007事件、2004年12月的土耳其电信劫持互联网事件、2008年2月的巴基斯坦劫持YouTube事件,和2014年2月的加拿大流量劫持事件等。路由劫持的发生对互联网的正常、安全运行影响非常大,可能会造成网络中的路由黑洞、数据窃听以及大范围的拒绝服务攻击等。RPKI的提出正是为了防止路由劫持的发生,目前,与RPKI相关的国际技术标准在IETFSIDR工作组中得到了迅速的发展和积极的推进,相关的国内技术标准也在CCSA中逐步引起关注并得到立项。并且,RPKI在全球的部署脚步也正在加快,尤其是在欧洲、南美洲,以及全球多个国家和地区都已经开始了RPKI的部署。为了解决互联网域间路由系统存在的安全问题,资源公钥基础设施RPKI(ResourcePublicKeyInfrastructure)通过构建一个公钥证书体系来完成对互联网码号资源INR(InternetNumberResource,包括IP地址前缀和AS号)的所有权和使用权(分别对应于分配关系和路由源授权)的认证,并通过这种“认证信息”来指导域间路由系统中边界路由器的路由决策,实现其验证BGP报文中路由源信息的正确性和合法性的功能,以此防止路由劫持的发生。RPKI依附于互联网码号资源的分配过程:在互联网码号资源的分配层次中,如图1所示,最上层的是互联网号码分配机构IANA(InternetAssignedNumbersAuthority),IANA将互联网码号资源分配给5个地区性互联网注册机构RIR(RegionalInternetRegistry),包括AFRINIC、ARIN、APNIC、LACNIC和RIPE,RIR又可以将自己的资源向其下级实体(包括本地互联网注册机构LIR(LocalInternetRegistry)、国家级互联网注册机构NIR(NationalInternetRegistry)和互联网服务提供商ISP(InternetServiceProvider))进行资源再分配,继而下级实体再依次向下分配。图1中SubscriberOrganizations表示直接从RIR或NIR获取资源的组织和机构。为了实现互联网码号资源所有权和使用权的可认证,RPKI机制要求每一层在向下层进行资源分配的过程中,必须签发相应的资源证书,RPKI中的证书主要包括两种:认证权威CA(CertificationAuthority)证书和端实体EE(EndEntity)证书。CA证书用于实现互联网码号资源所有权(分配关系)的认证,端实体证书则主要用于对路由源授权ROA(RouteOriginAuthorization)的认证。RPKI路由起源认证过程中最重要的数字签名对象就是ROA,它用于表明该资源的合法持有者授权哪个(或哪些)AS,允许其针对特定的IP地址前缀在网络中进行路由起源通告。完整的RPKI体系结构如图2所示,RPKI包括认证权威CA、资料库Repository和依赖方RP(RelyingParty)三个基本的功能模块。这三个模块之间通过签发、存储、验证RPKI中的各种数字对象来互相合作,共同完成RPKI的路由起源认证功能。IETFSIDR(SecureInter-DomainRouting)工作组密切关注资源公钥基础设施RPKI中由于认证权威CA的错误操作所引起的各种潜在的严重安全隐患。CA操作潜在的安全风险可能会对资源持有者造成严重的影响,例如:增加一个新的路由源授权ROA可能会导致真实网络环境中合法的路由被判定为无效(Invalid);删除合法的资源证书意味着资源持有者所持有资源的撤销,并可能会导致该资源的合法持有者在互联网络中的访问不可达。更为严重的是,一个CA实体错误的资源分配和证书签发操作所影响的并不仅仅是该CA实体本身,也包括该实体范围内的各个实体及资源持有者。这也就意味着,发生资源分配和证书签发错误操作的CA实体在RPKI层次结构(如图1所示)中的位置越靠近顶端,则该CA实体所造成的安全影响也会越大。例如,如果发生错误操作的CA实体是一个处于较低层次的互联网服务提供商ISP,那么该错误操作所导致的安全影响只会限制在该ISP的有限范围内;然而,如果进行错误操作的CA实体是地区性互联网注册机构RIR或国家级互联网注册机构NIR,那么这种错误操作所导致的安全影响会对该区域中所有的相关实体,也包括从属于这些实体的下级实体,造成严重的安全影响。在RPKI中CA实体所进行的操作,主要包括伴随资源分配过程中的资源证书的签发、ROA等数字签名对象的签发以及RPKI资料库的管理等。这些操作依附于资源分配这一过程,只有上级CA实体向下级CA实体分配资源、并且下级CA实体获得资源后,才能进行资源的再次分配以及各种RPKI数字签名对象的签发、资料库管理等操作。因此,RPKI中CA实体资源分配过程中各种操作的安全性和准确性,是RPKI正确实现其路由起源认证功能的重要基础和前提。在RPKI中CA向其下级实体进行资源分配的过程中,存在资源重复分配和未获授权资源分配两种重要的操作风险:1)资源的重复分配操作,指的是同一资源被分配两次或多次到不同的下级CA实体。如图3所示,假设资源ASN65540-65550和IP地址块203.0.113.128/26经由APNIC分配给了其下级CA实体JPNIC,当APNIC对其另一下级CA实体CNNIC进行资源分配时,APNIC由于错误的资源分配操作(误操作或恶意操作)将已经分配给JPNIC实体的资源ASN65540和IP地址块203.0.113.128/26重复分配给了CNNIC实体。因此,当CNNIC实体和JPNIC实体在使用这些资源时,就会出现资源冲突以及资源不可用等严重问题。2)未获授权的资源分配操作,指的是CA实体将不属于自身的资源分配给本文档来自技高网...
【技术保护点】
一种加强RPKI中CA证书签发安全的事前控制方法,其步骤包括:1)在RPKI中CA实体向其下级实体进行资源分配的过程中,在CA证书签发之前,通过以下两个条件对待分配的资源进行检测:<1>分配给下级CA实体的所有资源,必须全部从属于当前CA实体本身;<2>满足条件<1>的所有资源,不能被分配两次或多次到不同的下级CA实体;2)在满足步骤1)所述的两个条件之后,进行资源的分配和CA证书的签发。
【技术特征摘要】
1.一种加强RPKI中CA证书签发安全的事前控制方法,其步骤包括:
1)在RPKI中CA实体向其下级实体进行资源分配的过程中,在CA证书签发之前,通过
以下两个条件对待分配的资源进行检测:
<1>分配给下级CA实体的所有资源,必须全部从属于当前CA实体本身;
<2>满足条件<1>的所有资源,不能被分配两次或多次到不同的下级CA实体;
2)在满足步骤1)所述的两个条件之后,进行资源的分配和CA证书的签发。
2.如权利要求1所述的方法,其特征在于:在资源迁移这一应用场景中,允许处于资源迁移
过程中的资源被多个不同的CA实体共同所有。
3.如权利要求2所述的方法,其特征在于:在资源迁移这一应用场景中,只允许用于表征资
源迁移过程的TAO对象中ipAddrBlocks和asIdentifiers两个字段所指定的资源被重复分配
到不同的CA实体,而其他不处于资源迁移...
【专利技术属性】
技术研发人员:李晓东,刘晓伟,延志伟,耿光刚,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。