本申請(qǐng)?zhí)岢隽艘环N資源管理公鑰基礎(chǔ)設(shè)施證書(shū)操作方法及系統(tǒng)，具體實(shí)現(xiàn)方案為：資料庫(kù)托管方終端運(yùn)行聯(lián)盟鏈系統(tǒng)，并獲得證書(shū)認(rèn)證機(jī)構(gòu)的發(fā)布或撤銷(xiāo)證書(shū)請(qǐng)求；資料庫(kù)托管方終端根據(jù)請(qǐng)求生成證書(shū)操作信息，并向聯(lián)盟鏈系統(tǒng)廣播證書(shū)操作信息；聯(lián)盟鏈系統(tǒng)中各聯(lián)盟鏈節(jié)點(diǎn)收到證書(shū)操作信息后，對(duì)證書(shū)操作信息進(jìn)行驗(yàn)證；各聯(lián)盟鏈節(jié)點(diǎn)在對(duì)證書(shū)操作信息驗(yàn)證通過(guò)后，將證書(shū)操作信息上鏈存證；依賴方終端向聯(lián)盟鏈系統(tǒng)之中的多個(gè)目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)發(fā)送更新請(qǐng)求；每個(gè)目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)根據(jù)更新請(qǐng)求向依賴方終端發(fā)送新增的證書(shū)操作信息。本申請(qǐng)可以有效地避免資料庫(kù)中的證書(shū)被惡意刪除和破壞等情況的發(fā)生，保證了資料庫(kù)信息的真實(shí)性。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)信息安全領(lǐng)域，具體涉及一種資源管理公鑰基礎(chǔ)設(shè)施證書(shū)操作方法及系統(tǒng)。

背景技術(shù)

資源公鑰基礎(chǔ)設(shè)施(Resource Public Key Infrastructure，簡(jiǎn)稱RPKI)是一種用于保障互聯(lián)網(wǎng)基礎(chǔ)號(hào)碼資源安全使用的公鑰基礎(chǔ)設(shè)施。RPKI系統(tǒng)通常包括三個(gè)基本的功能組件，包括證書(shū)認(rèn)證機(jī)構(gòu)(Certification Authority，簡(jiǎn)稱CA)、RPKI資料庫(kù)和多個(gè)RPKI依賴方。RPKI資料庫(kù)作為連接證書(shū)頒發(fā)體系與依賴方的橋梁。但是，目前其內(nèi)容并不能保證真實(shí)可信，具體體現(xiàn)在以下幾點(diǎn)：托管模式導(dǎo)致新證書(shū)或簽名對(duì)象的發(fā)布可不經(jīng)資源持有者的真實(shí)授權(quán)；已發(fā)布的證書(shū)或簽名對(duì)象可惡意被刪除、破壞、篡改；未過(guò)期證書(shū)可被上層CA單邊撤銷(xiāo)；依賴方對(duì)資料庫(kù)的視圖不一致。

發(fā)明內(nèi)容

本申請(qǐng)旨在提供一種資源管理公鑰基礎(chǔ)設(shè)施證書(shū)操作方法及系統(tǒng)。

根據(jù)本申請(qǐng)的第一方面，提供了一種資源管理公鑰基礎(chǔ)設(shè)施證書(shū)操作方法，包括：

資料庫(kù)托管方終端運(yùn)行聯(lián)盟鏈系統(tǒng)，并獲得證書(shū)認(rèn)證機(jī)構(gòu)的發(fā)布或撤銷(xiāo)證書(shū)請(qǐng)求；

所述資料庫(kù)托管方終端根據(jù)請(qǐng)求生成證書(shū)操作信息，并向所述聯(lián)盟鏈系統(tǒng)廣播證書(shū)操作信息；

所述聯(lián)盟鏈系統(tǒng)中各聯(lián)盟鏈節(jié)點(diǎn)收到所述證書(shū)操作信息后，對(duì)所述證書(shū)操作信息進(jìn)行驗(yàn)證；

所述各聯(lián)盟鏈節(jié)點(diǎn)在對(duì)所述證書(shū)操作信息驗(yàn)證通過(guò)后，將所述證書(shū)操作信息上鏈存證；

依賴方終端向所述聯(lián)盟鏈系統(tǒng)之中的多個(gè)目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)發(fā)送更新請(qǐng)求；

每個(gè)所述目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)根據(jù)所述更新請(qǐng)求向所述依賴方終端發(fā)送新增的證書(shū)操作信息。

在本申請(qǐng)的一些實(shí)施例中，所述資源管理公鑰基礎(chǔ)設(shè)施證書(shū)操作方法還包括：

每個(gè)所述目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)在向所述依賴方終端發(fā)送新增的證書(shū)操作信息的同時(shí)，發(fā)送與所述新增的證書(shū)操作信息對(duì)應(yīng)的簽名信息；

所述依賴方終端接收到每個(gè)所述目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)發(fā)送的新增證書(shū)操作信息和對(duì)應(yīng)的簽名信息時(shí)，根據(jù)所述簽名信息判斷每個(gè)所述目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)發(fā)送的新增證書(shū)操作信息是否相同。

在本申請(qǐng)的一些實(shí)施例中，所述資源管理公鑰基礎(chǔ)設(shè)施證書(shū)操作方法還包括：

若每個(gè)所述目標(biāo)聯(lián)盟鏈節(jié)點(diǎn)發(fā)送的新增證書(shū)操作信息不相同，所述依賴方終端向所述聯(lián)盟鏈系統(tǒng)發(fā)送異常事件；

所述聯(lián)盟鏈系統(tǒng)根據(jù)異常事件核實(shí)異常，并降低對(duì)應(yīng)資料庫(kù)托管方的信譽(yù)值。

在本申請(qǐng)實(shí)施例中，所述資料庫(kù)托管方，包括：

區(qū)域互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)、第三方資料庫(kù)托管機(jī)構(gòu)以及少部分自主管理資料庫(kù)的證書(shū)認(rèn)證機(jī)構(gòu)。

在本申請(qǐng)實(shí)施例中，若所述請(qǐng)求為發(fā)布請(qǐng)求，所述證書(shū)操作信息包括：

證書(shū)發(fā)布者和證書(shū)持有者的身份標(biāo)識(shí)、證書(shū)的指紋信息及針對(duì)全托管模式證書(shū)認(rèn)證機(jī)構(gòu)的私鑰簽名。

在本申請(qǐng)實(shí)施例中，所述對(duì)所述證書(shū)操作信息進(jìn)行驗(yàn)證包括：