本發明公開了一種基于區塊鏈的資源公鑰基礎設施的資源沖突檢測方法，目的是提高資源證書頒發過程中資源沖突的檢測效率。技術方案是構建由資源頒發者、資源交易應用客戶端、資源接收者、區塊鏈網絡組成的基于區塊鏈的資源公鑰基礎設施系統，資源交易應用客戶端由資源交易模塊、資源證書生成模塊、顯示模塊組成；構建資源交易結構和資源樹；資源頒發者的資源證書生成模塊頒發RC，對RC資源進行沖突檢查；區塊鏈的智能合約或鏈碼對RC頒發交易進行資源沖突檢查；資源頒發者的資源證書生成模塊頒發ROA，對ROA資源進行資源沖突檢查；智能合約或鏈碼對ROA頒發交易進行資源沖突檢查。本發明能提升資源證書系統的自身安全性，檢測效率高。

技術領域

本發明屬于網絡信息安全領域，尤其涉及一種基于區塊鏈的改善RPKI (ResourcePublic Key Infrastructure，即資源公鑰基礎設施)安全性的資源公鑰基礎設施資源沖突的檢測方法。

背景技術

BGP(Border Gateway Protocol，即邊界網關協議)是Internet中的域間路由協議。但是，傳統的BGP協議容易受到許多安全威脅攻擊，最常見的BGP攻擊之一是前綴劫持。通過偽造BGP路由通告信息中的起源AS(Autonomous system，即自治系統，起源AS，即發起路由通告信息的AS)，導致對應這些IP地址前綴的流量被劫持者的AS攔截或丟棄。資源公鑰基礎設施(即RPKI)是用于支持 IP地址前綴起源驗證的基礎設施，它能提供授權的IP地址前綴與起源AS的可信映射。IP地址等于網絡地址加上主機地址，IP地址前綴是指IP地址中與其網絡部分相對應的地址部分，即IP地址的網絡地址，用來唯一地標識著連入Internet的一個網絡的網絡號。IP地址＝{地址前綴,主機號}。為了區分地址前綴，通常采用斜線記法，即IP地址/網絡前綴所占比特數。例如：192.168.24.0/22表示32位的地址中，前22位為網絡前綴，后10(32-22＝10)位代表主機號。在換算中，192.168.24.0對應的二進制為：

1100 0000(192)，1010 1000(168)，0001 1000(24)，0000 0000(0)

RPKI依附于互聯網數字資源(InternetNumbersResources，INR)的分配過程，INR包括IP地址資源和AS號資源，即機構所擁有的IP地址和AS號，以互聯網注冊管理機構RIR(Regional Internet Registry)作為最上層的資源頒發者， RIR又可以將自己的Internet號碼資源向下級資源頒發者如本地互聯網注冊機構 (LocalInternetRegistry，LIR)、國家級互聯網注冊機構(NationalInternetRegistry， NIR)和互聯網服務提供商(InternetServiceProvider，ISP)分配，然后下級資源頒發者再依次逐級向下分配，通過自上而下的權限層次結構提供可驗證的IP地址前綴與起源AS的映射庫。RPKI由三個組件組成：基于公鑰基礎設施的證書對象，用于表示路由起源授權ROA(Route OriginAuthorization)的簽名對象，以及用于保存對象的分布式存儲系統。RP(Relying Party即依賴方)是RPKI的使用者，RP獲取簽名對象集合的副本，驗證簽名，生成有效ROA列表，并定期檢查在分布式存儲系統中簽名對象的更新，并同步這些更新。ROA是IP地址所有者授權AS為其進行路由通告的授權信息，包含一個AS號碼以及一個或多個 IP地址前綴之間的“綁定關系”。

ROA可以被RP用來驗證為某一特定IP地址前綴發起路由的AS是否被地址所有者所授權。BGP路由器使用RPKI中RP提供的有效ROA列表信息來區分合法起源AS發起的BGP路由以及可能被劫持的BGP路由。