【技术实现步骤摘要】
数据对象同步验证方法、装置及RP
[0001]本专利技术涉及互联网
,以及涉及域间路由安全
、
互联网码号资源公钥基础设施
(Resource Public Key lnfrastructure
,
RPKl)
;特别是涉及一种数据对象同步验证方法
、
装置及
RP。
技术介绍
[0002]边界网关协议
(Border Gateway Protocol
,
BGP)
是互联网事实上的域间路由标准,它连接互联网中数以万计的自治系统
(Autonomous System
,
AS)
并提供路由,然而它在设计之初并未提供带内的安全机制,即
BGP
协议本身没有规定安全机制
。
由于在
BGP
协议中,
AS
之间的信任关系是天然的,
BGP
系统很难应对错误配置或恶意攻击,因为
BGP
【技术保护点】
【技术特征摘要】
1.
一种数据对象同步验证方法,其特征在于,所述方法应用于互联网码号资源公钥基础设施
RPKI
中的依赖方
RP
,所述
RP
用于同步并验证所述
RPKI
的发布点中的
RPKI
数据对象,并将验证通过的
RPKI
数据对象发送至互联网中自治系统之间的一个或多个
BGP
路由器;所述方法包括:所述
RP
在开始进行当前轮次的
RPKI
数据对象同步验证时,获取所述
RP
在所述当前轮次的之前轮次的
RPKI
数据对象同步验证时所涉及到的至少一个发布点;同步所述至少一个发布点中的
RPKI
数据对象;对从所述至少一个发布点同步到的
RPKI
数据对象进行合法性验证,并将通过合法性验证的
RPKI
数据对象发送至所述路由器
。2.
根据权利要求1所述的方法,其特征在于,所述互联网码号资源公钥基础设施还包括第一发布点;其中,所述第一发布点中的
RPKI
数据对象依赖所述至少一个发布点中的第二发布点中的
RPKI
数据对象;所述方法还包括:在所述至少一个发布点中的
RPKI
数据对象通过合法性验证之后,同步所述第一发布点中的
RPKI
数据对象;对从所述第一发布点同步到的
RPKI
数据对象进行合法性验证
。3.
根据权利要求1所述的方法,其特征在于,所述
RP
具有预设的发布点,所述方法还包括:所述同步所述至少一个发布点中的
RPKI
数据对象包括:同时同步所述至少一个发布点中的
RPKI
数据对象和所述预设的发布点中的
RPKI
数据对象;所述对从所述至少一个发布点同步到的
RPKI
数据对象进行合法性验证:同时对所述至少一个发布点中的
RPKI
数据对象和所述预设的发布点中的
RPKI
数据对象进行合法性验证
。4.
根据权利要求1‑3中任一项所述的方法,其特征在于,所述至少一个发布点包括多个发布点,所述
RP
包括调度器
、
多个用于从发布点同步
RPKI
数据对象的同步线程;其中,所述同步所述至少一个发布点中的
RPKI
数据对象包括:所述调度器将所述多个发布点作为多个同步任务,添加到同步任务队列,其中,一个发布点作为一个同步任务;所述多个同步线程中的每个同步线程,从所述同步任务队列中获取一个同步任务,并执行所获取到的同步任务,以从该同步任务对应的发布点同步
RPKI
数据对象
。5.
根据权利要求4所述的方法,其特征在于,所述方法还包括:所述同步线程执行所获取到的所述同步任务之前,判断所述同步线程所获取到的同步任务对应的发布点是否处于同步中状态或同步完成状态;在确认所述同步线程所获取到的同步任务对应的发布点不处于同步中状态和同步完成状态时,执行所述同步线程所获取到的同步任务
。6.
根据权利要求4所述的方法,其特征在于,所述
RP
还包括:至少一个用于对
RPKI
数据对象进行合法性验证的验证线程;所述对从所述至少一个发布点同步到的
RPKI
数据对象进行合法性验证包括:所述调度器将所述同步线程同步到的
RPKI
数据对象作为验证任务,添加到验证任务队列;所述至少一个验证线程中的每个验证线程,从所述验证任务队列中,获取一个验证任
务,并执行所获取到的验证任务
。7.
根据权利要求1所述的方法,其特征在于,所述
RP
包括调度器
、
验证线程
、
同步线程;多个同步线程在对相同的
RPKI
数据对象进行读写需要获取互斥锁;其中,调度器
、
验证线程
、
多个同步线程之间通过验证任务队列
、
先验同步任务队列
、
同步任务队列
、
验证结果队列
、
用于容纳正在同步的发布点的第一
HashSet、
用于容纳同步完成的发布点的第二
HashSet
以及用于表示正在执行验证任务的验证线程的数量的
int
变量;所述调度器用于向任务队列中放入任务,所述验证线程用于从验证任务队列中取任务并执行所取的任务,所述同步线程用于从线程任务队列中取任务并执行所取得任务所述方法包括:按照用户配置设置线程的数目;其中,同步线程的默认数目为2×
(CPU
核心数
‑
1)
,验证线程数目的默认为1;验证任务队列被初始化为空队列;验证结果队列被初始化为空队列;先验同步任务队列被初始化为空队列;同步任务队列被初始化为包含用户配置的信任锚对应的发布点的队列;第一
Hashset
被初始化为空的
HashSet
;第二
Hashset
被初始化为空的
HashSet
;
int
变量的值被初始化为0;所述验证线程执行步骤
11
‑
13
...
【专利技术属性】
技术研发人员:李彦彪,于晨晖,谢高岗,
申请(专利权)人:中国科学院计算机网络信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。