本申请提供了一种基于RPKI的证书链局部验证方法、系统及存储介质。该方法包括:构建证书链的验证树结构,所述的验证树结构具有多个层级,各层级记录有多种存储证书文件,包括:CER公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种;RPKI的依赖方在检测到某层级的存储证书文件有更新时,对需更新的所述存储证书关联的同层级和/或其它各子节点的存储证书文件进行局部的验证和更新。本申请提出的一种证书链的局部验证方法,能够有效优化RP验证证书时的性能,提高RP效率。率。率。
【技术实现步骤摘要】
基于RPKI的证书链局部验证方法、系统及存储介质
[0001]本申请涉及DNS服务
,特别是涉及一种基于RPKI的证书链局部验证方法、系统及存储介质。
技术介绍
[0002]随着互联网规模的不断扩大,互联网性质的不断演变,互联网码号资源分配需求的不断增长,资源分配体系也在不断变革。IETF(The Internet Engineering Task Force,国际互联网工程任务组)于1990年成立IANA(The InternetAssignedNumbers Authority,互联网数字分配机构),以确保互联网码号资源得到公平且有效的分配。截至目前,世界范围内共有五个正在运作的RIR(Regional Internet Registry,互联网注册机构),负责特定地理区域内码号资源的分配和指定,从而实现IP地址和AS(Autonomous System,自治系统)号在可控范围内的管理自治。图1列举了五大RIR的相关信息,包括成立时间和服务管辖范围。RPKI(Resource Public Key Infrastructure,互联网码号资源公钥基础设施)资料库负责存储这些承载了INR(Internet Number Resource,互联网码号资源)分配/授权信息的RC(Resource Certificate,资源证书)/ROA(Route OriginAuthorization,路由起源声明)等数字对象,供全球的RP下载。
[0003]RPKI由三大基本组件组成:CA(Certificate Authority,认证权威)、RP(Relying Party,依赖方)和repository(资料库)。这三大组件通过签发、传送、存储、验证各种数字对象来彼此协作,共同完成RPKI的功能。CA通过签发RC来表达INR分配关系,签发ROA来授权某个ISP(Internet Service Providers,互联网服务提供商)针对自己的一部分IP地址前缀发起源路由通告;RPKI资料库负责存储这些承载了INR分配/授权信息的RC/ROA等数字对象,供全球的RP下载;RP同步并验证RPKI证书和签名对象,并将其处理成IP地址前缀与ASN(autonomous system number,自治系统号)的真实授权关系并下放至AS边界路由器指导路由过滤,如图2所示。随着RPKI部署率越来越高,RPKI的数据量也逐渐增大,给RP的同步下载和验证传输等流程提出了效率挑战。
[0004]目前主流RP采用的证书验证算法为全局验证。由于各种证书是有上下级的验证关系的、证书同级间的彼此也存在验证关系,一个证书修改可能会影响其他证书,所以当前主流证书验证算法是进行全局验证,即无论哪个证书有更新,都要把全部证书验证一遍,随着RPKI部署率提高,将会大大影响整个RP服务器效率。
技术实现思路
[0005]基于此,有必要针对上述技术问题,本申请提供一种基于RPKI的证书链局部验证方法、系统及存储介质,根据证书间的特点,将证书链全局验证优化为局部验证,有效提升了RP服务器的性能。
[0006]本专利技术的第一方面,提供了一种基于RPKI的证书链局部验证方法,包括:构建证书链的验证树结构,所述的验证树结构具有多个层级,各层级记录有一或多组存储证书文件,
包括:CER公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种;
[0007]RPKI的依赖方在检测到某组的存储证书文件有更新时,对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。
[0008]进一步地,所述的局部的验证和更新包括:当检测到有CER公钥证书文件更新时,先在所述证书链的验证树结构中查询定位到需更新CER公钥证书文件所在的组,验证和更新对应的CER公钥证书文件,以及验证和更新由所述CER公钥证书文件签发的其它各子节点的存储证书文件。
[0009]进一步地,所述的局部的验证和更新包括:当检测到有资料清单文件更新时,先在所述证书链的验证树结构中查询定位到需更新资料清单文件所在的组,验证和更新对应的资料清单文件,以及同组的CER公钥证书文件和证书撤销列表文件。
[0010]进一步地,所述的局部的验证和更新包括:当检测到有证书撤销列表文件更新时,先在所述证书链的验证树结构中查询定位到需更新撤销列表文件所在的组,验证和更新对应的撤销列表文件,以及同组的CER公钥证书文件和资料清单文件。
[0011]进一步地,所述的局部的验证和更新包括:当检测到有路由起源授权文件更新时,先在所述证书链的验证树结构中查询定位到需更新路由起源授权文件所在的组,验证和更新对应的路由起源授权文件。
[0012]进一步地,若对资料清单文件和证书撤销列表文件进行更新时,同组的CER公钥证书文件出现变化,则对所述CER公钥证书文件签发的其它各子节点的存储证书文件也进行验证更新。
[0013]进一步地,若对证书撤销列表文件进行更新时,同组的资料清单文件若出现变化,则对同组的所述资料清单文件也进行更新。
[0014]本专利技术的第二方面,提供了一种基于RPKI的证书链局部验证系统,包括:
[0015]证书链构建模块,用于构建证书链的验证树结构,所述的验证树结构具有多个层级,各层级记录有多组存储证书文件,包括:CER公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种;
[0016]检测更新模块,RPKI的依赖方在检测到某层级的某组的存储证书文件有更新时,对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。
[0017]本专利技术的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如本专利技术第一方面所述的方法之一。
[0018]本专利技术所提供的基于RPKI的证书链局部验证方法、系统及存储介质,利用证书链的结构与树的结构十分相似的特点,通过构建证书链验证树与存储证书之间的关系,记录每个CER(存储公钥证书的文件格式,代表CA证书)、CRL(certificate revocation list,证书撤销列表),ROA(Route Origin Authorization,路由起源授权),MFT(Manifest,资料清单)文件,并在RP有证书更新时,只需进行局部验证更新,而无需进行全局验证更新,减少了所需验证的证书总数量,减少了验证时间,并且没有遗漏真正需要验证的证书,未降低验证质量,显著提升了RP服务器的性能。
附图说明
[0019]图1为本现有技术中的五大RIR机构的列表图。
[0020]图2为本现有技术中的RPKI整体架构及运行机制示意图
[0021]图3为本专利技术实施例中的证书链的验证树结构的示意图。
[0022]图4为本专利技术实施例中的当前RP依赖方采用的证书链全局验证方法的示意图。
[0023]图5为本专利技术实施例中的更新CER文件的示本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于RPKI的证书链局部验证方法,其特征在于,包括:构建证书链的验证树结构,所述的验证树结构具有多个层级,各层级记录有一或多组存储证书文件,包括:CER公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种;RPKI的依赖方在检测到某层级的存储证书文件有更新时,对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。2.如权利要求1所述的方法,其特征在于,所述的局部的验证和更新包括:当检测到有CER公钥证书文件更新时,先在所述证书链的验证树结构中查询定位到需更新CER公钥证书文件所在的组,验证和更新对应的CER公钥证书文件,以及验证和更新由所述CER公钥证书文件签发的其它各子节点的存储证书文件。3.如权利要求2所述的方法,其特征在于,所述的局部的验证和更新包括:当检测到有资料清单文件更新时,先在所述证书链的验证树结构中查询定位到需更新资料清单文件所在的组,验证和更新对应的资料清单文件,以及同组的CER公钥证书文件和证书撤销列表文件。4.如权利要求3所述的方法,其特征在于,所述的局部的验证和更新包括:当检测到有证书撤销列表文件更新时,先在所述证书链的验证树结构中查询定位到需更新撤销列表文件所在的组,验证和更新对应的撤销列表文件,以及同组的CER公钥证...
【专利技术属性】
技术研发人员:邵晴,詹子林,马迪,毛伟,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。