一種加強rpki中ca證書簽發(fā)安全的事前控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)技術(shù)、信息技術(shù)領(lǐng)域,具體涉及一種加強RPKI中CA證書簽發(fā)安全的事前控制方法。
【背景技術(shù)】
[0002]整個互聯(lián)網(wǎng)被劃分成許多自治系統(tǒng)AS(Autonomous System),目前,AS之間的路由選擇協(xié)議采用的是邊界網(wǎng)關(guān)協(xié)議BGP(Border Gateway Protocol),BGP協(xié)議本身在安全方面存在較大的問題:BGP協(xié)議默認(rèn)接受AS發(fā)起的所有路由通告,這就意味著,即使一個AS在網(wǎng)絡(luò)上中發(fā)起一個不屬于自己的IP地址前綴的路由通告,這一路由通告也會被其他的AS接受并繼續(xù)在網(wǎng)絡(luò)中傳播。BGP協(xié)議在安全方面的這一設(shè)計缺陷容易引發(fā)一種嚴(yán)重的互聯(lián)網(wǎng)安全威脅——路由劫持?,F(xiàn)已發(fā)生的典型的路由劫持事件主要有:1997年4月的AS 7007事件、2004年12月的土耳其電信劫持互聯(lián)網(wǎng)事件、2008年2月的巴基斯坦劫持YouTube事件,和2014年2月的加拿大流量劫持事件等。
[0003]路由劫持的發(fā)生對互聯(lián)網(wǎng)的正常、安全運行影響非常大,可能會造成網(wǎng)絡(luò)中的路由黑洞、數(shù)據(jù)竊聽以及大范圍的拒絕服務(wù)攻擊等。RPKI的提出正是為了防止路由劫持的發(fā)生,目前,與RPKI相關(guān)的國際技術(shù)標(biāo)準(zhǔn)在IETF SIDR工作組中得到了迅速的發(fā)展和積極的推進(jìn),相關(guān)的國內(nèi)技術(shù)標(biāo)準(zhǔn)也在CCSA中逐步引起關(guān)注并得到立項。并且,RPKI在全球的部署腳步也正在加快,尤其是在歐洲、南美洲,以及全球多個國家和地區(qū)都已經(jīng)開始了RPKI的部署。
[0004]為了解決互聯(lián)網(wǎng)域間路由系統(tǒng)存在的安全問題,資源公鑰基礎(chǔ)設(shè)施RPKI(Resource Public Key Infrastructure)通過構(gòu)建一個公鑰證書體系來完成對互聯(lián)網(wǎng)碼號資源INR(Internet Number Resource,包括IP地址前綴和AS號)的所有權(quán)和使用權(quán)(分別對應(yīng)于分配關(guān)系和路由源授權(quán))的認(rèn)證,并通過這種“認(rèn)證信息”來指導(dǎo)域間路由系統(tǒng)中邊界路由器的路由決策,實現(xiàn)其驗證BGP報文中路由源信息的正確性和合法性的功能,以此防止路由劫持的發(fā)生。
[0005]RPKI依附于互聯(lián)網(wǎng)碼號資源的分配過程:在互聯(lián)網(wǎng)碼號資源的分配層次中,如圖1所示,最上層的是互聯(lián)網(wǎng)號碼分配機構(gòu)IANA(Internet Assigned Numbers Authority),I ANA將互聯(lián)網(wǎng)碼號資源分配給5個地區(qū)性互聯(lián)網(wǎng)注冊機構(gòu)RIR (Reg1nal InternetRegistry),包括AFRINIC、ARIN、APNIC、LACNIC和RIPE,RIR又可以將自己的資源向其下級實體(包括本地互聯(lián)網(wǎng)注冊機構(gòu)LIR(Local Internet Registry)、國家級互聯(lián)網(wǎng)注冊機構(gòu)NIR(Nat1nal Internet Registry)和互聯(lián)網(wǎng)服務(wù)提供商ISP(Internet Service Provider))進(jìn)行資源再分配,繼而下級實體再依次向下分配。圖1中Subscriber Organizat1ns表示直接從RIR或NIR獲取資源的組織和機構(gòu)。
[0006]為了實現(xiàn)互聯(lián)網(wǎng)碼號資源所有權(quán)和使用權(quán)的可認(rèn)證,RPKI機制要求每一層在向下層進(jìn)行資源分配的過程中,必須簽發(fā)相應(yīng)的資源證書,RPKI中的證書主要包括兩種:認(rèn)證權(quán)威CA( Certifi cat 1n Authority)證書和端實體EE (End Entity)證書。CA證書用于實現(xiàn)互聯(lián)網(wǎng)碼號資源所有權(quán)(分配關(guān)系)的認(rèn)證,端實體證書則主要用于對路由源授權(quán)ROA(RouteOrigin Authori zat 1n)的認(rèn)證。RPKI路由起源認(rèn)證過程中最重要的數(shù)字簽名對象就是ROA,它用于表明該資源的合法持有者授權(quán)哪個(或哪些)AS,允許其針對特定的IP地址前綴在網(wǎng)絡(luò)中進(jìn)行路由起源通告。
[0007]完整的RPKI體系結(jié)構(gòu)如圖2所示,RPKI包括認(rèn)證權(quán)威CA、資料庫Repository和依賴方RP(Relying Party)三個基本的功能模塊。這三個模塊之間通過簽發(fā)、存儲、驗證RPKI中的各種數(shù)字對象來互相合作,共同完成RPKI的路由起源認(rèn)證功能。
[0008]IETF SIDR(Secure Inter-Domain Routing)工作組密切關(guān)注資源公鑰基礎(chǔ)設(shè)施RPKI中由于認(rèn)證權(quán)威CA的錯誤操作所引起的各種潛在的嚴(yán)重安全隱患。CA操作潛在的安全風(fēng)險可能會對資源持有者造成嚴(yán)重的影響,例如:增加一個新的路由源授權(quán)ROA可能會導(dǎo)致真實網(wǎng)絡(luò)環(huán)境中合法的路由被判定為無效(Invalid);刪除合法的資源證書意味著資源持有者所持有資源的撤銷,并可能會導(dǎo)致該資源的合法持有者在互聯(lián)網(wǎng)絡(luò)中的訪問不可達(dá)。更為嚴(yán)重的是,一個CA實體錯誤的資源分配和證書簽發(fā)操作所影響的并不僅僅是該CA實體本身,也包括該實體范圍內(nèi)的各個實體及資源持有者。這也就意味著,發(fā)生資源分配和證書簽發(fā)錯誤操作的CA實體在RPKI層次結(jié)構(gòu)(如圖1所示)中的位置越靠近頂端,則該CA實體所造成的安全影響也會越大。例如,如果發(fā)生錯誤操作的CA實體是一個處于較低層次的互聯(lián)網(wǎng)服務(wù)提供商ISP,那么該錯誤操作所導(dǎo)致的安全影響只會限制在該ISP的有限范圍內(nèi);然而,如果進(jìn)行錯誤操作的CA實體是地區(qū)性互聯(lián)網(wǎng)注冊機構(gòu)RIR或國家級互聯(lián)網(wǎng)注冊機構(gòu)NIR,那么這種錯誤操作所導(dǎo)致的安全影響會對該區(qū)域中所有的相關(guān)實體,也包括從屬于這些實體的下級實體,造成嚴(yán)重的安全影響。
[0009]在RPKI中CA實體所進(jìn)行的操作,主要包括伴隨資源分配過程中的資源證書的簽發(fā)、ROA等數(shù)字簽名對象的簽發(fā)以及RPKI資料庫的管理等。這些操作依附于資源分配這一過程,只有上級CA實體向下級CA實體分配資源、并且下級CA實體獲得資源后,才能進(jìn)行資源的再次分配以及各種RPKI數(shù)字簽名對象的簽發(fā)、資料庫管理等操作。因此,RPKI中CA實體資源分配過程中各種操作的安全性和準(zhǔn)確性,是RPKI正確實現(xiàn)其路由起源認(rèn)證功能的重要基礎(chǔ)和前提。
[0010]在RPKI中CA向其下級實體進(jìn)行資源分配的過程中,存在資源重復(fù)分配和未獲授權(quán)資源分配兩種重要的操作風(fēng)險:
[0011]I)資源的重復(fù)分配操作,指的是同一資源被分配兩次或多次到不同的下級CA實體。如圖3所示,假設(shè)資源ASN 65540-65550和IP地址塊203.0.113.128/26經(jīng)由APNIC分配給了其下級CA實體JPNIC,當(dāng)APNIC對其另一下級CA實體CNNIC進(jìn)行資源分配時,APNIC由于錯誤的資源分配操作(誤操作或惡意操作)將已經(jīng)分配給JPNIC實體的資源ASN 65540和IP地址塊203.0.113.128/26重復(fù)分配給了CNNIC實體。因此,當(dāng)CNNIC實體和JPNIC實體在使用這些資源時,就會出現(xiàn)資源沖突以及資源不可用等嚴(yán)重問題。
[0012]2)未獲授權(quán)的資源分配操作,指的是CA實體將不屬于自身的資源分配給其下級CA實體。如圖4所示,假設(shè)APNIC實體并不是ASN 65551和IP地址塊192.0.3.128/26的合法資源持有者。當(dāng)APNIC實體向其下級CA實體TWNIC進(jìn)行資源分配時,由于錯誤的資源分配操作將這部分未獲授權(quán)的資源(不屬于APNIC實體的資源)分配給了TWNIC實體。因此,當(dāng)TWNIC實體在實際使用這些資源時,就會出現(xiàn)資源不可用等嚴(yán)重問題。
【發(fā)明內(nèi)容】
[0013]為了防止在RPKI中CA實體向其下級實體進(jìn)行資源分配的過程中,資源重復(fù)分配和未獲授權(quán)資源分配這兩種操作風(fēng)險,本發(fā)明旨在設(shè)計并實現(xiàn)一種“事前控制機制”,防止資源分配過程中的重要安全問題,從而保證RPKI路由起源認(rèn)證功能的安全性和可靠性。
[0014]本發(fā)明采用的技術(shù)方案如下:
[0015]一種加強RPKI中CA證書簽發(fā)安全的事前控制方法,其步驟包括:
[0016]I)在RPKI中CA實體向其下級實體進(jìn)行資源分配的過程中,在CA證書簽發(fā)之前,通過以下兩個條件對待分配的資源進(jìn)行檢測:
[0017]〈1>分配給下級CA實體的所有資源,必須全部從屬于當(dāng)前CA實體本身;
[0018]〈2>滿足條件〈1>的所有資源,不能被分配兩次或多次到不同的下級CA實體;
[0019]2)在滿足步驟I)所述的兩個條件之后,進(jìn)行資源的分配和CA證書的簽發(fā)。
[0020]進(jìn)一步地,在資源迀移這一特殊應(yīng)用場景中,允許處于資源迀移過程中的資源被多個不同的CA實體共同所有。具體地,只允許用于表征資源迀移過程的TAO對象中ipAddrBlocks和asldentifiers兩個字段所指定的資源被重復(fù)分配到不同的CA實體,而其他不處于資源迀移過程中的資源仍然保證滿足步驟I)所述的兩個條件。
[0021 ]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果如下:
[0022]本發(fā)明針對在RPKI中CA向其下級實體進(jìn)行資源分配的過程中潛在的資源重復(fù)分配和未獲授權(quán)資源