一种加强RPKI中CA证书签发安全的事前控制方法

摘要

本发明涉及一种加强RPKI中CA证书签发安全的事前控制方法。在RPKI中CA实体向其下级实体进行资源分配的过程中，在CA证书签发之前，通过以下两个条件对待分配的资源进行检测：分配给下级CA实体的所有资源，必须全部从属于当前CA实体本身；满足条件的所有资源，不能被分配两次或多次到不同的下级CA实体；在满足两个条件之后，进行资源的分配和CA证书的签发。本发明能够防止资源重复分配和未获授权资源分配这两种操作风险，保证RPKI路由起源认证功能的安全性和可靠性。

说明书

技术领域

本发明属于网络技术、信息技术领域，具体涉及一种加强RPKI中CA证书签发安全的 事前控制方法。

背景技术

整个互联网被划分成许多自治系统AS(AutonomousSystem)，目前，AS之间的路由选 择协议采用的是边界网关协议BGP(BorderGatewayProtocol)，BGP协议本身在安全方面存 在较大的问题：BGP协议默认接受AS发起的所有路由通告，这就意味着，即使一个AS在 网络上中发起一个不属于自己的IP地址前缀的路由通告，这一路由通告也会被其他的AS接 受并继续在网络中传播。BGP协议在安全方面的这一设计缺陷容易引发一种严重的互联网安 全威胁——路由劫持。现已发生的典型的路由劫持事件主要有：1997年4月的AS7007事件、 2004年12月的土耳其电信劫持互联网事件、2008年2月的巴基斯坦劫持YouTube事件，和 2014年2月的加拿大流量劫持事件等。

路由劫持的发生对互联网的正常、安全运行影响非常大，可能会造成网络中的路由黑洞、 数据窃听以及大范围的拒绝服务攻击等。RPKI的提出正是为了防止路由劫持的发生，目前， 与RPKI相关的国际技术标准在IETFSIDR工作组中得到了迅速的发展和积极的推进，相关 的国内技术标准也在CCSA中逐步引起关注并得到立项。并且，RPKI在全球的部署脚步也正 在加快，尤其是在欧洲、南美洲，以及全球多个国家和地区都已经开始了RPKI的部署。

为了解决互联网域间路由系统存在的安全问题，资源公钥基础设施RPKI(ResourcePublic KeyInfrastructure)通过构建一个公钥证书体系来完成对互联网码号资源INR(InternetNumber Resource,包括IP地址前缀和AS号)的所有权和使用权(分别对应于分配关系和路由源授权) 的认证，并通过这种“认证信息”来指导域间路由系统中边界路由器的路由决策，实现其验 证BGP报文中路由源信息的正确性和合法性的功能，以此防止路由劫持的发生。

RPKI依附于互联网码号资源的分配过程：在互联网码号资源的分配层次中，如图1所示， 最上层的是互联网号码分配机构IANA(InternetAssignedNumbersAuthority)，IANA将互联 网码号资源分配给5个地区性互联网注册机构RIR(RegionalInternetRegistry)，包括 AFRINIC、ARIN、APNIC、LACNIC和RIPE，RIR又可以将自己的资源向其下级实体(包 括本地互联网注册机构LIR(LocalInternetRegistry)、国家级互联网注册机构NIR(National InternetRegistry)和互联网服务提供商ISP(InternetServiceProvider))进行资源再分配，继 而下级实体再依次向下分配。图1中SubscriberOrganizations表示直接从RIR或NIR获取资 源的组织和机构。

为了实现互联网码号资源所有权和使用权的可认证，RPKI机制要求每一层在向下层进行 资源分配的过程中，必须签发相应的资源证书，RPKI中的证书主要包括两种：认证权威CA (CertificationAuthority)证书和端实体EE(EndEntity)证书。CA证书用于实现互联网码号 资源所有权(分配关系)的认证，端实体证书则主要用于对路由源授权ROA(RouteOrigin Authorization)的认证。RPKI路由起源认证过程中最重要的数字签名对象就是ROA，它用于 表明该资源的合法持有者授权哪个(或哪些)AS，允许其针对特定的IP地址前缀在网络中 进行路由起源通告。

完整的RPKI体系结构如图2所示，RPKI包括认证权威CA、资料库Repository和依赖 方RP(RelyingParty)三个基本的功能模块。这三个模块之间通过签发、存储、验证RPKI 中的各种数字对象来互相合作，共同完成RPKI的路由起源认证功能。

IETFSIDR(SecureInter-DomainRouting)工作组密切关注资源公钥基础设施RPKI中由 于认证权威CA的错误操作所引起的各种潜在的严重安全隐患。CA操作潜在的安全风险可能 会对资源持有者造成严重的影响，例如：增加一个新的路由源授权ROA可能会导致真实网络 环境中合法的路由被判定为无效(Invalid)；删除合法的资源证书意味着资源持有者所持有资 源的撤销，并可能会导致该资源的合法持有者在互联网络中的访问不可达。更为严重的是， 一个CA实体错误的资源分配和证书签发操作所影响的并不仅仅是该CA实体本身，也包括 该实体范围内的各个实体及资源持有者。这也就意味着，发生资源分配和证书签发错误操作 的CA实体在RPKI层次结构(如图1所示)中的位置越靠近顶端，则该CA实体所造成的安 全影响也会越大。例如，如果发生错误操作的CA实体是一个处于较低层次的互联网服务提 供商ISP，那么该错误操作所导致的安全影响只会限制在该ISP的有限范围内；然而，如果进 行错误操作的CA实体是地区性互联网注册机构RIR或国家级互联网注册机构NIR，那么这 种错误操作所导致的安全影响会对该区域中所有的相关实体，也包括从属于这些实体的下级 实体，造成严重的安全影响。

在RPKI中CA实体所进行的操作，主要包括伴随资源分配过程中的资源证书的签发、 ROA等数字签名对象的签发以及RPKI资料库的管理等。这些操作依附于资源分配这一过程， 只有上级CA实体向下级CA实体分配资源、并且下级CA实体获得资源后，才能进行资源 的再次分配以及各种RPKI数字签名对象的签发、资料库管理等操作。因此，RPKI中CA实 体资源分配过程中各种操作的安全性和准确性，是RPKI正确实现其路由起源认证功能的重 要基础和前提。

在RPKI中CA向其下级实体进行资源分配的过程中，存在资源重复分配和未获授权资 源分配两种重要的操作风险：

1)资源的重复分配操作，指的是同一资源被分配两次或多次到不同的下级CA实体。如 图3所示，假设资源ASN65540-65550和IP地址块203.0.113.128/26经由APNIC分配给了其 下级CA实体JPNIC，当APNIC对其另一下级CA实体CNNIC进行资源分配时，APNIC由 于错误的资源分配操作(误操作或恶意操作)将已经分配给JPNIC实体的资源ASN65540和 IP地址块203.0.113.128/26重复分配给了CNNIC实体。因此，当CNNIC实体和JPNIC实体 在使用这些资源时，就会出现资源冲突以及资源不可用等严重问题。

2)未获授权的资源分配操作，指的是CA实体将不属于自身的资源分配给其下级CA实 体。如图4所示，假设APNIC实体并不是ASN65551和IP地址块192.0.3.128/26的合法资 源持有者。当APNIC实体向其下级CA实体TWNIC进行资源分配时，由于错误的资源分配 操作将这部分未获授权的资源(不属于APNIC实体的资源)分配给了TWNIC实体。因此， 当TWNIC实体在实际使用这些资源时，就会出现资源不可用等严重问题。

发明内容

为了防止在RPKI中CA实体向其下级实体进行资源分配的过程中，资源重复分配和未 获授权资源分配这两种操作风险，本发明旨在设计并实现一种“事前控制机制”，防止资源分 配过程中的重要安全问题，从而保证RPKI路由起源认证功能的安全性和可靠性。

本发明采用的技术方案如下：

一种加强RPKI中CA证书签发安全的事前控制方法，其步骤包括：

1)在RPKI中CA实体向其下级实体进行资源分配的过程中，在CA证书签发之前，通 过以下两个条件对待分配的资源进行检测：

<1>分配给下级CA实体的所有资源，必须全部从属于当前CA实体本身；

<2>满足条件<1>的所有资源，不能被分配两次或多次到不同的下级CA实体；

2)在满足步骤1)所述的两个条件之后，进行资源的分配和CA证书的签发。

进一步地，在资源迁移这一特殊应用场景中，允许处于资源迁移过程中的资源被多个不 同的CA实体共同所有。具体地，只允许用于表征资源迁移过程的TAO对象中ipAddrBlocks 和asIdentifiers两个字段所指定的资源被重复分配到不同的CA实体，而其他不处于资源迁移 过程中的资源仍然保证满足步骤1)所述的两个条件。

与现有技术相比，本发明的有益效果如下：

本发明针对在RPKI中CA向其下级实体进行资源分配的过程中潜在的资源重复分配和 未获授权资源分配两种重要的操作风险，通过实验测试对两种操作风险进行验证，并针对CA 实体在资源分配过程中的这两种操作风险提出了一种具有可行性和有效性的解决方案——事 前控制机制。这种机制可以在资源分配的过程中、CA证书签发之前进行控制，避免由于CA 的错误操作导致非法资源证书的生成，从而可以有效地防止资源重复分配和未获授权资源分 配两种操作风险的发生，并减少由于CA的错误操作所导致的错误恢复所需的等待时间。

附图说明

图1是RPKI层次结构示意图。

图2是RPKI体系结构示意图。

图3是资源重复分配示意图。

图4是未获授权资源分配示意图。

图5是事前控制原理实现流程图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图， 对本发明做进一步说明。

1.基本原理

本发明提出并实现了一种用于保证RPKI中认证权威资源分配过程CA操作的安全性和 准确性的事前控制机制。该“事前控制”机制的基本原理是，一个正确的资源分配和证书签 发过程应该满足以下两个条件：

<1>分配给下级CA实体的所有资源，必须全部从属于当前CA实体本身，从而防止未获 授权资源分配的发生；

<2>满足条件<1>的所有资源，不能被分配两次或多次到不同的下级CA实体，从而防止 资源的重复分配的发生。

针对事前控制机制中条件<2>的一种特殊情况是：在资源迁移这一应用场景的过程中，允 许某个中间状态，由多个不同CA实体签发的CA证书中包含对同一块码号资源的声明(也 就是对应于上述的资源重复分配的情况)。但资源迁移的最终结果仍然需要保证，资源迁移的 发起者和接收者都必须重新签发一个新的资源证书用于验证新的资源分配关系，且资源迁移 发起者的新的资源证书中不能再包含有已经被迁移到接收者的那些资源，资源迁移接收者的 新的资源证书中必须包含从资源迁移发起者转移过来的那些资源。

因此，资源迁移这一特殊场景体现在事前控制中，则是允许处于资源迁移过程中的资源 被多个不同的CA实体共同所有。针对这一特殊场景的一种可行的解决方案是：只允许用于 表征资源迁移过程的TAO(TransferAuthorizationObject)对象中ipAddrBlocks和asIdentifiers两 个字段所指定的资源被重复分配到不同的CA实体，而其他不处于资源迁移过程中的资源仍 然需要保证满足上述事前控制机制的两个条件。从而，保证事前控制机制能够兼容资源迁移 这种特殊场景需求，并有效地防止CA实体资源分配过程中的错误操作。其中，ipAddrBlocks 是指处于资源迁移过程中的IP地址前缀，asIdentifiers是指处于资源迁移过程中的AS(自治 系统)号。

准确性和可行性：本发明所提出的这一事前控制机制是在证书签发之前必须进行的验证 操作，也就是说只有同时满足上述事前控制机制的两个条件，才能进行后续的资源分配和证 书签发操作，这也就确保了该机制对资源的重复分配和未获授权资源分配两种操作风险的有 效检测和规避，从而保证CA资源分配、证书签发过程中CA操作的安全性和准确性。

2.事前控制机制原理实现流程

事前控制机制的原理实现流程如图5所示，采用本发明提出的事前控制机制，在进行资 源分配的过程中(在证书签发之前)就会对要进行分配的资源进行检测，防止资源的重复分 配和未获授权资源分配的发生：

首先是对条件<1>也就是未获授权资源分配的检查，如果在资源分配文件.csv文件中存在 不属于当前CA实体的资源(通过将资源分配文件中欲分配的资源与从注册数据库中获取的 当前CA实体持有的资源进行比对，判断欲分配的资源是否属于当前CA实体)，则发出 “UnauthorizedResourcesDetected”警告，也即“检测到未获授权的资源”警告，显示检测到 的不属于当前CA实体所拥有的资源，并要求对资源分配文件进行修改。

如果条件<1>满足(即没有检测到未获授权资源分配)，则进行条件<2>也就是资源的重 复分配的检查，如果在资源分配文件中存在某一部分资源被两次或多次分配到不同的下级CA 实体(在资源分配文件中查看欲分配给每个CA实体的资源，如果不同的CA实体对应的资 源中存在重叠，则表示该资源被多次分配到不同的CA实体)，则发出“ResourcesRe-Allocation Detected”警告，也即“检测到重复分配的资源”警告，显示被重复分配的资源，并要求修改 资源分配文件。当资源分配文件满足事前控制的两个条件之后，才能够完成资源的正确分配 和证书的签发。

本发明通过进一步的实验测试，验证、分析了这种“事前控制”机制的有效性和可行性。 采用本发明提出的事前控制机制，能够在证书签发之前就有效地检测到资源重复分配和未获 授权资源分配两种错误操作，从而防止错误资源证书的生成。此外，这种事前控制机制能够 尽可能地减少不必要的等待操作，省去了由于错误的证书签发、RP的验证以及错误恢复所需 的时间延迟。

本发明中对于资源重复分配和未获授权资源分配两种错误操作的“事前控制”，是通过判 断资源分配文件中是否存在被重复分配的资源和不属于当前CA实体的资源的方式实现的。 而在其他的资源分配方式中(例如通过网页接口进行资源分配和证书签发操作)，这种“事前 控制”可以通过逐条验证等方式实现。然而，这些不同的实现方式在本质上都是通过“事前 控制”(也就是在证书签发之前进行控制)来实现的。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可 以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保 护范围应以权利要求书所述为准。