一種加強rpki中ca證書簽發(fā)安全的事前控制方法
【技術領域】
[0001]本發(fā)明屬于網(wǎng)絡技術�����、信息技術領域����,具體涉及一種加強RPKI中CA證書簽發(fā)安全的事前控制方法�。
【背景技術】
[0002]整個互聯(lián)網(wǎng)被劃分成許多自治系統(tǒng)AS(Autonomous System),目前,AS之間的路由選擇協(xié)議采用的是邊界網(wǎng)關協(xié)議BGP(Border Gateway Protocol)����,BGP協(xié)議本身在安全方面存在較大的問題:BGP協(xié)議默認接受AS發(fā)起的所有路由通告,這就意味著�,即使一個AS在網(wǎng)絡上中發(fā)起一個不屬于自己的IP地址前綴的路由通告,這一路由通告也會被其他的AS接受并繼續(xù)在網(wǎng)絡中傳播����。BGP協(xié)議在安全方面的這一設計缺陷容易引發(fā)一種嚴重的互聯(lián)網(wǎng)安全威脅——路由劫持?��,F(xiàn)已發(fā)生的典型的路由劫持事件主要有:1997年4月的AS 7007事件、2004年12月的土耳其電信劫持互聯(lián)網(wǎng)事件����、2008年2月的巴基斯坦劫持YouTube事件,和2014年2月的加拿大流量劫持事件等����。
[0003]路由劫持的發(fā)生對互聯(lián)網(wǎng)的正常、安全運行影響非常大����,可能會造成網(wǎng)絡中的路由黑洞、數(shù)據(jù)竊聽以及大范圍的拒絕服務攻擊等����。RPKI的提出正是為了防止路由劫持的發(fā)生,目前����,與RPKI相關的國際技術標準在IETF SIDR工作組中得到了迅速的發(fā)展和積極的推進,相關的國內(nèi)技術標準也在CCSA中逐步引起關注并得到立項�。并且,RPKI在全球的部署腳步也正在加快�,尤其是在歐洲����、南美洲���,以及全球多個國家和地區(qū)都已經(jīng)開始了RPKI的部署�。
[0004]為了解決互聯(lián)網(wǎng)域間路由系統(tǒng)存在的安全問題���,資源公鑰基礎設施RPKI(Resource Public Key Infrastructure)通過構建一個公鑰證書體系來完成對互聯(lián)網(wǎng)碼號資源INR(Internet Number Resource���,包括IP地址前綴和AS號)的所有權和使用權(分別對應于分配關系和路由源授權)的認證,并通過這種“認證信息”來指導域間路由系統(tǒng)中邊界路由器的路由決策���,實現(xiàn)其驗證BGP報文中路由源信息的正確性和合法性的功能,以此防止路由劫持的發(fā)生�����。
[0005]RPKI依附于互聯(lián)網(wǎng)碼號資源的分配過程:在互聯(lián)網(wǎng)碼號資源的分配層次中�����,如圖1所示��,最上層的是互聯(lián)網(wǎng)號碼分配機構IANA(Internet Assigned Numbers Authority),I ANA將互聯(lián)網(wǎng)碼號資源分配給5個地區(qū)性互聯(lián)網(wǎng)注冊機構RIR (Reg1nal InternetRegistry),包括AFRINIC���、ARIN�����、APNIC��、LACNIC和RIPE����,RIR又可以將自己的資源向其下級實體(包括本地互聯(lián)網(wǎng)注冊機構LIR(Local Internet Registry)���、國家級互聯(lián)網(wǎng)注冊機構NIR(Nat1nal Internet Registry)和互聯(lián)網(wǎng)服務提供商ISP(Internet Service Provider))進行資源再分配�����,繼而下級實體再依次向下分配����。圖1中Subscriber Organizat1ns表示直接從RIR或NIR獲取資源的組織和機構����。
[0006]為了實現(xiàn)互聯(lián)網(wǎng)碼號資源所有權和使用權的可認證����,RPKI機制要求每一層在向下層進行資源分配的過程中�,必須簽發(fā)相應的資源證書,RPKI中的證書主要包括兩種:認證權威CA( Certifi cat 1n Authority)證書和端實體EE (End Entity)證書����。CA證書用于實現(xiàn)互聯(lián)網(wǎng)碼號資源所有權(分配關系)的認證,端實體證書則主要用于對路由源授權ROA(RouteOrigin Authori zat 1n)的認證�����。RPKI路由起源認證過程中最重要的數(shù)字簽名對象就是ROA�,它用于表明該資源的合法持有者授權哪個(或哪些)AS,允許其針對特定的IP地址前綴在網(wǎng)絡中進行路由起源通告�。
[0007]完整的RPKI體系結構如圖2所示,RPKI包括認證權威CA����、資料庫Repository和依賴方RP(Relying Party)三個基本的功能模塊����。這三個模塊之間通過簽發(fā)、存儲、驗證RPKI中的各種數(shù)字對象來互相合作��,共同完成RPKI的路由起源認證功能��。
[0008]IETF SIDR(Secure Inter-Domain Routing)工作組密切關注資源公鑰基礎設施RPKI中由于認證權威CA的錯誤操作所引起的各種潛在的嚴重安全隱患��。CA操作潛在的安全風險可能會對資源持有者造成嚴重的影響��,例如:增加一個新的路由源授權ROA可能會導致真實網(wǎng)絡環(huán)境中合法的路由被判定為無效(Invalid);刪除合法的資源證書意味著資源持有者所持有資源的撤銷����,并可能會導致該資源的合法持有者在互聯(lián)網(wǎng)絡中的訪問不可達。更為嚴重的是����,一個CA實體錯誤的資源分配和證書簽發(fā)操作所影響的并不僅僅是該CA實體本身,也包括該實體范圍內(nèi)的各個實體及資源持有者��。這也就意味著���,發(fā)生資源分配和證書簽發(fā)錯誤操作的CA實體在RPKI層次結構(如圖1所示)中的位置越靠近頂端�����,則該CA實體所造成的安全影響也會越大�。例如,如果發(fā)生錯誤操作的CA實體是一個處于較低層次的互聯(lián)網(wǎng)服務提供商ISP����,那么該錯誤操作所導致的安全影響只會限制在該ISP的有限范圍內(nèi);然而���,如果進行錯誤操作的CA實體是地區(qū)性互聯(lián)網(wǎng)注冊機構RIR或國家級互聯(lián)網(wǎng)注冊機構NIR�,那么這種錯誤操作所導致的安全影響會對該區(qū)域中所有的相關實體���,也包括從屬于這些實體的下級實體��,造成嚴重的安全影響���。
[0009]在RPKI中CA實體所進行的操作,主要包括伴隨資源分配過程中的資源證書的簽發(fā)����、ROA等數(shù)字簽名對象的簽發(fā)以及RPKI資料庫的管理等。這些操作依附于資源分配這一過程���,只有上級CA實體向下級CA實體分配資源���、并且下級CA實體獲得資源后,才能進行資源的再次分配以及各種RPKI數(shù)字簽名對象的簽發(fā)�、資料庫管理等操作。因此���,RPKI中CA實體資源分配過程中各種操作的安全性和準確性����,是RPKI正確實現(xiàn)其路由起源認證功能的重要基礎和前提���。
[0010]在RPKI中CA向其下級實體進行資源分配的過程中�,存在資源重復分配和未獲授權資源分配兩種重要的操作風險:
[0011]I)資源的重復分配操作����,指的是同一資源被分配兩次或多次到不同的下級CA實體。如圖3所示�����,假設資源ASN 65540-65550和IP地址塊203.0.113.128/26經(jīng)由APNIC分配給了其下級CA實體JPNIC����,當APNIC對其另一下級CA實體CNNIC進行資源分配時,APNIC由于錯誤的資源分配操作(誤操作或惡意操作)將已經(jīng)分配給JPNIC實體的資源ASN 65540和IP地址塊203.0.113.128/26重復分配給了CNNIC實體���。因此���,當CNNIC實體和JPNIC實體在使用這些資源時����,就會出現(xiàn)資源沖突以及資源不可用等嚴重問題���。
[0012]2)未獲授權的資源分配操作�,指的是CA實體將不屬于自身的資源分配給其下級CA實體���。如圖4所示�����,假設APNIC實體并不是ASN 65551和IP地址塊192.0.3.128/26的合法資源持有者���。當APNIC實體向其下級CA實體TWNIC進行資源分配時,由于錯誤的資源分配操作將這部分未獲授權的資源(不屬于APNIC實體的資源)分配給了TWNIC實體��。因此�����,當TWNIC實體在實際使用這些資源時,就會出現(xiàn)資源不可用等嚴重問題�。
【發(fā)明內(nèi)容】
[0013]為了防止在RPKI中CA實體向其下級實體進行資源分配的過程中,資源重復分配和未獲授權資源分配這兩種操作風險�,本發(fā)明旨在設計并實現(xiàn)一種“事前控制機制”��,防止資源分配過程中的重要安全問題���,從而保證RPKI路由起源認證功能的安全性和可靠性�。
[0014]本發(fā)明采用的技術方案如下:
[0015]一種加強RPKI中CA證書簽發(fā)安全的事前控制方法����,其步驟包括:
[0016]I)在RPKI中CA實體向其下級實體進行資源分配的過程中,在CA證書簽發(fā)之前�,通過以下兩個條件對待分配的資源進行檢測:
[0017]〈1>分配給下級CA實體的所有資源,必須全部從屬于當前CA實體本身�����;
[0018]〈2>滿足條件〈1>的所有資源�����,不能被分配兩次或多次到不同的下級CA實體�;
[0019]2)在滿足步驟I)所述的兩個條件之后���,進行資源的分配和CA證書的簽發(fā)。
[0020]進一步地����,在資源迀移這一特殊應用場景中,允許處于資源迀移過程中的資源被多個不同的CA實體共同所有�。具體地,只允許用于表征資源迀移過程的TAO對象中ipAddrBlocks和asldentifiers兩個字段所指定的資源被重復分配到不同的CA實體����,而其他不處于資源迀移過程中的資源仍然保證滿足步驟I)所述的兩個條件。
[0021 ]與現(xiàn)有技術相比��,本發(fā)明的有益效果如下:
[0022]本發(fā)明針對在RPKI中CA向其下級實體進行資源分配的過程中潛在的資源重復分配和未獲授權資源