本發明公開了一種RPKI中認證機構資源異常分配的檢測方法，目的是解決CA資源分配的未經授權分配、重復分配及重疊分配的資源異常問題。技術方案是先在CA和RP即依賴方之間構建CA資源異常分配檢測系統，在CA添加發送模塊，CA資源異常分配檢測系統由解析模塊、檢測模塊、存儲模塊組成；CA頒發資源證書后，發送模塊將資源證書及資源證書的父證書發送到CA資源異常分配檢測系統，解析模塊進行資源的解析，檢測模塊對資源進行未經授權分配檢測、資源重復分配檢測和資源重疊分配檢，同時RP周期性地對通過CA資源異常分配檢測系統檢測的證書進行同步；采用本發明可解決CA的所有資源異常分配問題，增強了RPKI中資源分配的安全性。

技術領域

本發明屬于路由安全技術領域，尤其涉及一種RPKI(Resource Public KeyInfrastructure，資源公共密鑰基礎架構)中認證機構即CA(Certificate Authority)資源異常分配的檢測方法。

背景技術

互聯網被劃分為許多較小的自治系統(Autonomous System,AS)，目前，自治系統之間的路由選擇協議是BGP(Border Gateway Protocol，邊界網關協議)，BGP協議在安全方面的設計存在較大的不足：BGP協議默認接受AS發起的任何路由通告，這就意味著，即使一個AS在網絡上發起一個不屬于自己的IP地址前綴的路由通告,這一路由通告也會被其他的AS接受并繼續傳播。BGP的這一安全缺陷容易導致一種典型的互聯網安全威脅——路由劫持。現已發生的典型的路由劫持事件包括:1997年4月的AS7007事件、2004年12月的土耳其電信集團劫持互聯網事件、2008年2月的巴基斯坦劫持YouTube事件，以及2014年2月的加拿大流量劫持事件等。路由劫持對互聯網的正常運行影響非常大，可能會導致路由黑洞、流量竊聽以及拒絕服務攻擊等。RPKI的提出正是為了解決路由劫持，目前，RPKI在全球的部署范圍也正在逐步地擴大，尤其是在南美洲和歐洲，以及全球多個國家和地區都已經開始或完成了RPKI的實際部署工作。

針對域間路由系統存在的安全問題，RPKI通過構建一個公鑰證書體系來完成對互聯網碼號資源(Internet Number Resource,INR)的所有權(即分配關系)和使用權(即路由源授權)的認證，并以此“認證信息”來指導BGP中邊界路由器的路由決策，幫助其檢驗BGP報文中路由起源信息的合法性和真實性，從而有效地防止路由劫持的發生。其中，INR包含IP資源和AS資源。圖1為RPKI的模塊組成，如圖1所示，RPKI主要包括CA和RP(Relying Party，依賴方)兩個機構，CA機構負責資源分配，即進行證書及相關簽名對象的頒發工作，圖中的IANA、APNIC、CNNC等均為CA機構，RP機構用來同步CA機構頒發的證書及簽名對象，BGP路由模塊通過向RP獲取路由授權信息進行路由的起源認證。