基于區(qū)塊鏈的RPKI中CA資源異常分配檢測(cè)技術(shù)

彭素芳 劉亞萍

摘 ? 要：RPKI用于保障互聯(lián)網(wǎng)基礎(chǔ)號(hào)碼資源的可信分配和安全使用。隨著RPKI技術(shù)的發(fā)展，由于RPKI的安全性依賴于CA機(jī)構(gòu)，所以RPKI中與CA機(jī)構(gòu)相關(guān)的安全性問題逐漸突出。文章針對(duì)由于CA機(jī)構(gòu)的惡意操作或者誤操作在資源分配過程中出現(xiàn)的資源異常分配的風(fēng)險(xiǎn)，提出了基于區(qū)塊鏈CA資源異常分配的檢測(cè)技術(shù)。這項(xiàng)技術(shù)可以有效地解決RPKI資源分配過程中的資源未經(jīng)授權(quán)分配、資源再次分配的問題，同時(shí)可以避免單點(diǎn)故障的風(fēng)險(xiǎn)，最后通過實(shí)驗(yàn)驗(yàn)證了這種機(jī)制的有效性和可行性。

關(guān)鍵詞：資源公鑰基礎(chǔ)設(shè)施;資源未經(jīng)授權(quán)分配;資源再次分配;區(qū)塊鏈

中圖分類號(hào)：TP309 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： RPKI is used to guarantee the trusted distribution and secure the use of internet basic number resources. With the development of RPKI， since the security of RPKI depends on the certificate authority， the security issues related to the certificate authority in RPKI are becoming more prominent. Due to the malicious operation or misoperation of the certificate authority， resource allocation risks by CAs in RPKI occur. In order to solve the problem， this paper proposes a detection technology of CA resource abnormal allocation in RPKI based on Blockchain. This technology can effectively avoid the risk of unauthorized resource assignment and resource reassignment in RPKI， and it can avoid the risk of single points of failure. The effectiveness and feasibility of this technology are verified by experiment.

Key words： RPKI; unauthorized resource assignment; resource reassignment;blockchain

1 引言

資源公鑰基礎(chǔ)設(shè)施（Resource Public Key Infrastructure，RPKI）[1]是一種用于保障互聯(lián)網(wǎng)基礎(chǔ)號(hào)碼資源（包括AS號(hào)和IP資源）[2]安全使用的公鑰基礎(chǔ)設(shè)施。通過對(duì)X.509公鑰證書[3]進(jìn)行擴(kuò)展，RPKI中的證書權(quán)威機(jī)構(gòu)（Certificate Authority，CA）在分配資源時(shí)會(huì)生成相應(yīng)的資源證書，依托資源證書實(shí)現(xiàn)了對(duì)互聯(lián)網(wǎng)基礎(chǔ)號(hào)碼資源使用授權(quán)的認(rèn)證，并以路由源聲明（Route Origin Attestation，ROA）[4]的形式幫助域間路由系統(tǒng)，驗(yàn)證某個(gè)AS針對(duì)特定IP地址前綴的路由通告是否合法。

然而，RPKI中CA機(jī)構(gòu)的誤操作或者惡意操作，可能會(huì)造成資源的異常分配，最終導(dǎo)致資源不可用或者資源沖突的問題[5，6]。雖然，目前有相關(guān)的研究提出了通過增強(qiáng)CA的“事前控制”機(jī)制和增強(qiáng)RP的“滯后”操作來克服該問題，但是只能解決部分資源異常分配的問題，同時(shí)存在單點(diǎn)故障的風(fēng)險(xiǎn)。

區(qū)塊鏈技術(shù)屬于一種去中心化的記錄技術(shù)，網(wǎng)絡(luò)中不存在中心節(jié)點(diǎn)，各節(jié)點(diǎn)地位平等。區(qū)塊鏈技術(shù)具有防篡改、自治性的特性。區(qū)塊鏈的防篡改特點(diǎn)是通過數(shù)據(jù)加密和共識(shí)算法來保證的。自治性是指通過共識(shí)算法和智能合約來實(shí)現(xiàn)節(jié)點(diǎn)自主運(yùn)行，系統(tǒng)無需信任的第三方也可以自動(dòng)地正確執(zhí)行[7，8]。本文提出了一種基于區(qū)塊鏈的RPKI中CA資源異常分配的檢測(cè)技術(shù)，用于檢測(cè)RPKI中CA資源的異常分配。區(qū)塊鏈的共識(shí)機(jī)制使得多個(gè)節(jié)點(diǎn)執(zhí)行資源分配檢測(cè)過程，避免了該機(jī)制中的單點(diǎn)故障風(fēng)險(xiǎn)。由于區(qū)塊鏈自主性特點(diǎn)，節(jié)點(diǎn)自動(dòng)執(zhí)行CA資源分配的檢測(cè)機(jī)制，可以避免節(jié)點(diǎn)惡意繞過CA資源分配檢測(cè)。機(jī)構(gòu)的證書頒發(fā)操作記錄在區(qū)塊鏈上，區(qū)塊鏈的防篡改特性避免了機(jī)構(gòu)惡意篡改證書頒發(fā)記錄，便于出錯(cuò)后的查證工作。本文提出的機(jī)制，解決了RPKI中的CA資源分配的異常問題，增強(qiáng)了RPKI中CA資源分配的安全性。最后，實(shí)驗(yàn)表明該機(jī)制不但有效地解決了資源未經(jīng)授分配、資源再次分配的資源分配異常問題，而且還避免了單點(diǎn)故障的風(fēng)險(xiǎn)。

2 RPKI中CA資源分配及異常問題

RPKI中資源的分配屬于層次化分配體系[9]，如圖1所示，層次的頂端是互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（The Internet Assigned Numbers Authority，IANA），其下是五大區(qū)域互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（Regional Internet Registry，RIR），RIR負(fù)責(zé)管理自己地域內(nèi)的IP地址和AS號(hào)碼資源。在一些地區(qū)，如亞太互聯(lián)網(wǎng)絡(luò)信息中心（Asia Pacific Network Information Center，APNIC），分配體系的第三層是國家互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（National Internet Registry，NIR）和本地互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（Local Internet Registry，LIR）及獨(dú)立分配的IP地址持有者。在其他地區(qū)，第三級(jí)只由互聯(lián)網(wǎng)服務(wù)提供商（Internet Service Provider，ISP）/LIR和獨(dú)立資源持有者構(gòu)成。

通常，IP地址塊的持有者會(huì)分配其地址塊的一部分給自己的部門或者與其有注冊(cè)關(guān)系的機(jī)構(gòu)?；谶@種架構(gòu)，IP地址的分配關(guān)系可以被層次化的PKI[10]描述―每個(gè)證書都描述一次IP地址分配。這種描述同樣適用于AS號(hào)碼的分配，但是AS號(hào)碼不能由除RIR和NIR之外的機(jī)構(gòu)再次分配。IP地址和AS號(hào)碼由同一套R(shí)PKI維護(hù)。

RPKI中有兩種證書[11]：一種為CA證書，用于表明某個(gè)實(shí)體對(duì)AS號(hào)和IP地址的所有權(quán);另一種為EE證書，用于對(duì)ROA進(jìn)行簽名驗(yàn)證。CA機(jī)構(gòu)將發(fā)布的證書以及相關(guān)數(shù)據(jù)發(fā)送到Repository[12]中，依賴方（Relying Party，RP）用于同步Repository中的簽名數(shù)據(jù)，并進(jìn)行ROA的驗(yàn)證。邊界路由器收到路由通告的時(shí)候，向RPKI服務(wù)器查詢關(guān)于某IP地址前綴的授權(quán)信息，再與路由通告中的路由源消息比較是否一致，從而進(jìn)行路由決策[13]，RPKI運(yùn)行機(jī)制如圖2所示。

針對(duì)RPKI中資源分配過程中出現(xiàn)的資源異常分配問題，F(xiàn)u Y、Wang C等人[5]將資源異常分配情況分為未經(jīng)授權(quán)資源分配、資源再次分配和資源轉(zhuǎn)移三種情況。資源轉(zhuǎn)移是兩個(gè)互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)之間的私下約定，本文考慮了未經(jīng)授權(quán)資源分配和資源再次分配的這兩種問題，暫不考慮資源轉(zhuǎn)移的問題。

未經(jīng)授權(quán)資源分配是指CA節(jié)點(diǎn)將不屬于自己的AS資源或IP資源分配給下級(jí)節(jié)點(diǎn)。未經(jīng)授權(quán)資源分配分為完全未經(jīng)授權(quán)資源分配和部分未經(jīng)授權(quán)資源分配。完全未經(jīng)授權(quán)資源分配指CA節(jié)點(diǎn)分配給下級(jí)節(jié)點(diǎn)的所有資源都不屬于該CA節(jié)點(diǎn)的合法資源。部分未經(jīng)授權(quán)資源分配指CA節(jié)點(diǎn)分配給下級(jí)節(jié)點(diǎn)的部分資源不屬于該CA節(jié)點(diǎn)的合法資源。如圖3所示，APNIC頒發(fā)證書給JPNIC，此過程為正常分配，但是APNIC頒發(fā)證書給TWNIC和APNIC分配給TWNIC的資源都不屬于APNIC的合法資源，此過程為完全未經(jīng)授權(quán)資源分配，APNIC頒發(fā)證書給CNNIC，APNIC分配給CNNIC的資源中，ASN 666不屬于APNIC的合法資源，此過程為部分未經(jīng)授權(quán)資源分配。

資源再次分配是指CA節(jié)點(diǎn)將已經(jīng)分配給某個(gè)下級(jí)節(jié)點(diǎn)的資源再次分配給其他下級(jí)節(jié)點(diǎn)。資源再次分配可分為三種類型：Matching、Subset和Intersection。

Matching指CA節(jié)點(diǎn)分配給某下級(jí)節(jié)點(diǎn)的資源和已經(jīng)分配給另一個(gè)下級(jí)節(jié)點(diǎn)的資源相同。如圖4所示，APNIC先頒發(fā)證書給JPNIC，此過程為正常分配，之后APNIC頒發(fā)證書給CNNIC，APNIC給CNNIC分配的資源和APNIC分配給JPNIC的資源相同，此過程為Matching類型的資源再次分配。

Subset是指CA節(jié)點(diǎn)分配給某下級(jí)節(jié)點(diǎn)的資源包含已經(jīng)分配給另一個(gè)下級(jí)節(jié)點(diǎn)的資源。如圖5所示，APNIC先頒發(fā)證書給JPNIC，此過程為正常分配，之后APNIC頒發(fā)證書給CNNIC，APNIC給CNNIC分配的資源包含APNIC已經(jīng)分配給JPNIC的資源，此過程為Subset類型的資源再次分配。本文的“資源重復(fù)分配”包括Matching和Subset這兩種類型。

Intersection是指CA節(jié)點(diǎn)分配給某下級(jí)節(jié)點(diǎn)的資源和已經(jīng)分配給另一個(gè)節(jié)點(diǎn)的資源有重疊，以下稱Intersection類型為資源重疊分配。如圖6所示，APNIC先頒發(fā)證書給JPNIC，此過程為正常分配，APNIC再頒發(fā)證書給CNNIC，APNIC給CNNIC分配的資源和APNIC分配給JPNIC的資源有重疊，此過程為Intersection類型的資源再次分配。

RPKI中沒有針對(duì)CA資源分配的檢測(cè)機(jī)制。目前，提出通過增強(qiáng)CA或者RP的功能來避免RPKI中CA資源異常分配的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的研究仍然處于RFC草案階段。

3 基于區(qū)塊鏈的RPKI中CA資源異常分配檢測(cè)技術(shù)

Fu Y、Wang C等人[5]認(rèn)為，可以通過增強(qiáng)CA或者RP功能來避免資源異常分配的風(fēng)險(xiǎn)。RPKI中的RP用于對(duì)RPKI中產(chǎn)生的證書和ROA等數(shù)字簽名對(duì)象進(jìn)行驗(yàn)證，但是RP只驗(yàn)證資源證書鏈的簽發(fā)，不檢測(cè)資源分配過程中出現(xiàn)的異常情況。通過完善和改進(jìn)現(xiàn)有RP的功能來解決資源異常問題的機(jī)制屬于一種“滯后”操作，在CA產(chǎn)生了錯(cuò)誤操作之后，利用改進(jìn)后的RP對(duì)資料庫中的數(shù)字簽名對(duì)象進(jìn)行驗(yàn)證，如果驗(yàn)證不通過，則需要對(duì)CA進(jìn)行通知，以便CA可以及時(shí)糾正錯(cuò)誤，此機(jī)制需要一個(gè)故障恢復(fù)等待的時(shí)間，此時(shí)間為RP發(fā)現(xiàn)錯(cuò)誤后通知CA，CA重新頒發(fā)正確的證書到RP所需的時(shí)間[14]。

為了減少由于CA機(jī)構(gòu)的錯(cuò)誤操作所導(dǎo)致的故障恢復(fù)等待時(shí)間，文獻(xiàn)[6]提出一種“事前控制”機(jī)制來解決資源未經(jīng)授權(quán)分配和資源重復(fù)分配的問題，并用實(shí)驗(yàn)驗(yàn)證了“事前控制”機(jī)制的可行性。通過修改rpki.net提供的RPKI-CA[15]工具，在進(jìn)行證書頒發(fā)之前對(duì)頒發(fā)的資源進(jìn)行驗(yàn)證，如果屬于資源未經(jīng)授權(quán)分配或資源重復(fù)分配，那么頒發(fā)證書的操作將不被允許。這種機(jī)制需要資源持有者本地執(zhí)行資源分配之前的驗(yàn)證，如果資源持有者被攻擊成為惡意節(jié)點(diǎn)，不執(zhí)行頒發(fā)證書前的本地驗(yàn)證機(jī)制，依然可以執(zhí)行資源重復(fù)分配及資源未經(jīng)授權(quán)分配操作，因此存在單點(diǎn)故障的風(fēng)險(xiǎn)。另外，該機(jī)制存在只考慮了資源未經(jīng)授權(quán)分配及資源重復(fù)分配的問題，沒有考慮資源重疊分配問題的缺陷。

本文提出的基于區(qū)塊鏈的事前控制機(jī)制（Pre-Control Mechanism Based on Blockchain，簡(jiǎn)稱BPCM技術(shù)）結(jié)合區(qū)塊鏈對(duì)頒發(fā)的證書進(jìn)行驗(yàn)證，驗(yàn)證通過的證書才是有效地證書，此技術(shù)采用了“事前控制”的原理。其主要思想：（1）增加資源重疊分配檢測(cè)機(jī)制，覆蓋更多的資源異常分配問題;（2）利用區(qū)塊鏈提出的“合約”的概念，合約是一段在區(qū)塊鏈上自動(dòng)執(zhí)行的程序。一旦將合約發(fā)布到區(qū)塊鏈上，合約將不可更改，節(jié)點(diǎn)調(diào)用合約即可自動(dòng)執(zhí)行程序[16]，通過在區(qū)塊鏈上部署的CA資源異常分配驗(yàn)證合約（簡(jiǎn)稱“驗(yàn)證合約”），通過多個(gè)第三方驗(yàn)證，保證資源分配的無沖突性;（3）在區(qū)塊鏈上驗(yàn)證RPKI中CA資源證書頒發(fā)過程，記錄機(jī)構(gòu)的證書頒發(fā)操作，可有效地避免機(jī)構(gòu)的惡意操作，便于出錯(cuò)后的查證工作;（4）在區(qū)塊鏈?zhǔn)褂肞BFT等共識(shí)算法下，可以使得所提出的BPCM技術(shù)滿足一定的容錯(cuò)性，有效地解決RPKI中存在的單點(diǎn)故障問題。

在RPKI中，CA機(jī)構(gòu)頒發(fā)證書后，證書存放在Repository中，RP機(jī)構(gòu)周期性的同步證書，并對(duì)資源證書鏈進(jìn)行證書簽發(fā)有效性驗(yàn)證。

在BPCM技術(shù)中，將CA機(jī)構(gòu)作為區(qū)塊鏈的節(jié)點(diǎn)加入?yún)^(qū)塊鏈中，CA機(jī)構(gòu)頒發(fā)的證書需要發(fā)送給“驗(yàn)證合約”驗(yàn)證，驗(yàn)證通過后才能存放到區(qū)塊鏈上，區(qū)塊鏈代替了RPKI中的Repository的功能。區(qū)塊鏈上存儲(chǔ)的數(shù)據(jù)是“Key-Value”形式，Key值為證書的哈希值，Value字段存有證書字節(jié)、證書的資源、證書頒發(fā)的子證書哈希值數(shù)組（如果證書沒有子證書，數(shù)組為空）。子證書的哈希值也是區(qū)塊鏈上的Key值，對(duì)應(yīng)的Value字段有證書字節(jié)、證書的資源以及該證書頒發(fā)的子證書的哈希值，如圖7所示。

在BPCM技術(shù)中，CA節(jié)點(diǎn)加入?yún)^(qū)塊鏈后，將RPKI中生成的頒發(fā)證書及父證書的哈希值發(fā)送給“驗(yàn)證合約”。“驗(yàn)證合約”除了驗(yàn)證證書簽發(fā)的有效性，即驗(yàn)證父證書是不是頒發(fā)證書的簽名證書，還將進(jìn)行未經(jīng)授權(quán)資源分配、資源重復(fù)分配及資源重疊分配的檢測(cè)。未經(jīng)授權(quán)資源分配檢測(cè)過程：從頒發(fā)證書獲取證書中的資源，根據(jù)父證書的哈希值從區(qū)塊鏈中獲取父證書的資源，遍歷頒發(fā)證書的資源組，驗(yàn)證頒發(fā)證書的資源是否都包含在父證書的資源中。資源重復(fù)分配及資源重疊分配檢測(cè)過程：根據(jù)父證書的哈希值從區(qū)塊鏈上獲取子證書的哈希值數(shù)組，根據(jù)子證書的哈希值從區(qū)塊鏈上獲取子證書的資源，遍歷各個(gè)子證書的資源組，驗(yàn)證頒發(fā)證書中是否有和子證書中的資源重復(fù)或重疊的資源。“驗(yàn)證合約”驗(yàn)證通過的證書存儲(chǔ)到區(qū)塊鏈，區(qū)塊鏈上添加了一條Key值為頒發(fā)證書的哈希值，Value值為頒發(fā)證書字節(jié)、頒發(fā)證書的資源、子證書哈希值數(shù)組（此時(shí)數(shù)組為空）字段的記錄，同時(shí)需要將證書的哈希值添加到父證書的Value中的子證書哈希值數(shù)組字段中。當(dāng)節(jié)點(diǎn)收到一個(gè)資源證書時(shí)，只需要去區(qū)塊鏈上查詢這個(gè)資源證書是否存在，如果存在，代表這個(gè)證書是受“驗(yàn)證合約”驗(yàn)證通過的合法資源證書。

頒發(fā)證書過程如圖8所示。

4 實(shí)驗(yàn)

實(shí)驗(yàn)在Ubuntu 14.04系統(tǒng)下進(jìn)行，節(jié)點(diǎn)在Docker容器內(nèi)運(yùn)行，實(shí)驗(yàn)分為功能實(shí)驗(yàn)和安全實(shí)驗(yàn)。功能實(shí)驗(yàn)分別在RPKI實(shí)驗(yàn)、文獻(xiàn)[6]提出的技術(shù)、本文提出的BPCM技術(shù)下進(jìn)行。RPKI使用由rpki.net提供的RPKI-CA和 RPKI-RP[17]工具，按照相應(yīng)的CA節(jié)點(diǎn)配置，配置節(jié)點(diǎn)的資源以及節(jié)點(diǎn)間的父子關(guān)系，完成實(shí)驗(yàn)環(huán)境的搭建。文獻(xiàn)[6]提出的技術(shù)中，使用修改后的RPKI-CA工具進(jìn)行實(shí)驗(yàn)。本文中，實(shí)驗(yàn)在Hyperledger Fabric[18，19]系統(tǒng)部署完“驗(yàn)證合約”的環(huán)境中進(jìn)行，F(xiàn)abric系統(tǒng)采用的共識(shí)算法為RAFT算法。功能實(shí)驗(yàn)按照未經(jīng)授權(quán)資源分配、資源重復(fù)分配、資源重疊分配三種場(chǎng)景下進(jìn)行實(shí)驗(yàn)驗(yàn)證。安全實(shí)驗(yàn)在文獻(xiàn)[6]提出的技術(shù)和本文提出的BPCM技術(shù)下進(jìn)行。

4.1 功能實(shí)驗(yàn)

4.1.1 未經(jīng)授權(quán)資源分配實(shí)驗(yàn)

實(shí)驗(yàn)按照?qǐng)D3的CA節(jié)點(diǎn)層次關(guān)系進(jìn)行實(shí)驗(yàn)，APNIC給TWNIC分配資源{ASNs：627;IP Prefixes： 172.6.27.0/25}，其中資源{ASNs：627;IP Prefixes：172.6.27.0/25}不屬于APNIC所擁有的合法資源。

由于資源未經(jīng)授權(quán)分配，理論上該證書頒發(fā)應(yīng)該不通過。在RPKI實(shí)驗(yàn)中，由于不檢測(cè)資源分配情況，證書頒發(fā)通過。文獻(xiàn)[6]中，未通過APNIC節(jié)點(diǎn)的本地資源未經(jīng)授權(quán)分配檢測(cè)，證書頒發(fā)未通過。BPCM技術(shù)中，“驗(yàn)證合約”的資源未經(jīng)授權(quán)分配檢測(cè)未通過，證書頒發(fā)未通過，實(shí)驗(yàn)結(jié)果如表1所示。

4.1.2 資源重復(fù)分配實(shí)驗(yàn)

資源重復(fù)分配實(shí)驗(yàn)包括Matching類型實(shí)驗(yàn)和Subset類型實(shí)驗(yàn)。Matching類型實(shí)驗(yàn)按照?qǐng)D4的CA節(jié)點(diǎn)層次關(guān)系進(jìn)行實(shí)驗(yàn)配置，APNIC已經(jīng)給JPNIC分配了資源{ASNs：75540-75544;IP Prefixes： 201.0.

113.0/25}，現(xiàn)APNIC給CNNIC分配資源{ASNs：75540-75544;IP Prefixes：201.0.113.0/25}。APNIC往CNNIC節(jié)點(diǎn)分配的資源和 APNIC節(jié)點(diǎn)分配給JPNIC節(jié)點(diǎn)的資源重復(fù)。

Subset類型實(shí)驗(yàn)按照?qǐng)D5的CA節(jié)點(diǎn)層次關(guān)系進(jìn)行實(shí)驗(yàn)配置。APNIC已經(jīng)給JPNIC分配了資源{ASNs：75540-75544;IP Prefixes：201.0.113.0/25}，現(xiàn)APNIC給CNNIC分配資源{ASNs：75550、75540-75544; IP Prefixes：200.0.2.0/25、201.0.113.0/25}。

APNIC往CNNIC節(jié)點(diǎn)分配的資源中，包含 APNIC節(jié)點(diǎn)分配給JPNIC節(jié)點(diǎn)的資源。

由于資源重復(fù)分配，理論上本文的兩個(gè)實(shí)驗(yàn)中頒發(fā)的證書均不通過。在RPKI實(shí)驗(yàn)中，由于不進(jìn)行資源分配檢測(cè)，兩個(gè)實(shí)驗(yàn)中頒發(fā)的證書均通過。文獻(xiàn)[6]中，未通過APNIC本地的資源重復(fù)分配檢測(cè)，證書頒發(fā)未通過。在BPCM技術(shù)中，“驗(yàn)證合約”的資源重復(fù)分配檢測(cè)未通過，兩個(gè)實(shí)驗(yàn)中頒發(fā)的證書均未通過，實(shí)驗(yàn)結(jié)果如表1所示。

4.1.3 資源重疊分配實(shí)驗(yàn)驗(yàn)證

通過實(shí)驗(yàn)按照?qǐng)D6的CA節(jié)點(diǎn)層次關(guān)系進(jìn)行實(shí)驗(yàn)配置，APNIC已經(jīng)給JPNIC分配了資源{ ASNs：75540-

75544;IP Prefixes：201.0.113.0/25}，現(xiàn)假設(shè)APNIC節(jié)點(diǎn)要給CNNIC節(jié)點(diǎn)分配資源{ASNs：75542-75550;IP Prefixes： 201.0.113.0/25}。APNIC給CNNIC節(jié)點(diǎn)分配的資源和APNIC已分配給JPNIC節(jié)點(diǎn)的資源有重疊。

由于資源重疊分配，理論上該證書頒發(fā)應(yīng)該不通過。RPKI實(shí)驗(yàn)，由于不進(jìn)行資源分配檢測(cè)，證書頒發(fā)通過。文獻(xiàn)[6]中，未考慮資源重疊分配檢測(cè)，證書頒發(fā)通過。在BPCM技術(shù)中，“驗(yàn)證合約”的資源重疊分配檢測(cè)未通過，證書頒發(fā)未通過，實(shí)驗(yàn)結(jié)果如表1所示。

4.2 安全實(shí)驗(yàn)

安全實(shí)驗(yàn)在文獻(xiàn)[6]、BPCM技術(shù)中進(jìn)行。安全實(shí)驗(yàn)按照?qǐng)D3的資源未經(jīng)授權(quán)分配、圖4的Matching類型資源重復(fù)分配及圖5的Subset類型的資源重復(fù)分配的場(chǎng)景進(jìn)行實(shí)驗(yàn)驗(yàn)證。假設(shè)APNIC節(jié)點(diǎn)被攻擊，頒發(fā)前不進(jìn)行本地的資源分配檢測(cè)工作。

文獻(xiàn)[6]中，由于APNIC被攻擊，繞過了本地的資源分配檢測(cè)工作，實(shí)驗(yàn)中頒發(fā)證書均成功生成。在BPCM技術(shù)中，APNIC節(jié)點(diǎn)不進(jìn)行本地的資源分配檢測(cè)，生成錯(cuò)誤的資源證書，由于資源證書需要區(qū)塊鏈的其他背書節(jié)點(diǎn)來運(yùn)行“驗(yàn)證合約”來檢測(cè)，“驗(yàn)證合約”依然可以檢測(cè)出資源證書的錯(cuò)誤，資源證書不可能通過“驗(yàn)證合約”的檢測(cè)。實(shí)驗(yàn)結(jié)果如表2所示，結(jié)果表明了BPCM技術(shù)在節(jié)點(diǎn)被攻擊后，仍可正常進(jìn)行資源異常分配的檢測(cè)，不存在單點(diǎn)故障問題。

5 結(jié)束語

針對(duì)RPKI中CA資源分配中出現(xiàn)的資源未經(jīng)授權(quán)分配、資源重復(fù)分配及資源重疊分配的資源分配異常問題，本文結(jié)合區(qū)塊鏈技術(shù)，采用了“事前控制”的思想，提出了基于區(qū)塊鏈的RPKI的CA資源異常分配的檢測(cè)技術(shù)—BPCM技術(shù)，并通過實(shí)驗(yàn)驗(yàn)證了該機(jī)制的可行性及安全性。

本文提出的BPCM技術(shù)，避免了RPKI中CA資源分配中出現(xiàn)的資源未經(jīng)授權(quán)分配、資源重復(fù)分配及資源重疊分配的風(fēng)險(xiǎn)。結(jié)合區(qū)塊鏈技術(shù)，通過多個(gè)第三方的驗(yàn)證，解決了單點(diǎn)故障的問題。在區(qū)塊鏈實(shí)現(xiàn)了“驗(yàn)證合約”，在“驗(yàn)證合約”上驗(yàn)證RPKI中CA資源證書頒發(fā)過程，記錄了機(jī)構(gòu)的資源分配過程，避免了機(jī)構(gòu)惡意進(jìn)行資源分配，增強(qiáng)了RPKI中CA資源分配的安全性，為RPKI提供正確的路由驗(yàn)證功能提供了重要保障。

基金項(xiàng)目：

1.國家重點(diǎn)研發(fā)項(xiàng)目（項(xiàng)目編號(hào)：2018YFB1003602）;

2.廣東省重點(diǎn)領(lǐng)域研發(fā)計(jì)劃項(xiàng)目（項(xiàng)目編號(hào)：2019B010137005）。

參考文獻(xiàn)

[1] 馬迪.RPKI 概覽[J].電信網(wǎng)技術(shù)，2012（9）：30-33.

[2] C. Lynn， S. Kent， K. Seo. X.509 Extensions for IP ?Addresses and AS Identifiers[J]. IETF RFC 3779， June 2004.

[3] Housley R， Ford W， Polk W. Internet X.509 Public Key Infrastructure Certificate and CRL Profile[J]. IETF RFC 2459， April 2002.

[4] Lepinski M， Kent S， Kong D.A profile for route origin authorizations（ROAs）[J]. IETF RFC 6482， February 2012.

[5] Fu Y， Wang C， Yan Z， etal. Scenarios of unexpected ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? resource assignment in RPKI [EB/OL]. https：//tools.ietf. ? ?org/html/draft-fu-sidr-unexpected-scenarios-02，2019.

[6] 劉曉偉，延志偉，耿光剛，李曉東.RPKI中CA資源分配風(fēng)險(xiǎn)及防護(hù)技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2016，25（08）：16-22.

[7] Nakamoto S. Bitcoin：A peer-to-peer electronic cash system[EB/OL]. https：//bitcoin.org/bitcoin.pdf，2019.

[8] 王棟，石欣，陳智雨，呂梓童.區(qū)塊鏈智能合約技術(shù)在供應(yīng)鏈中的應(yīng)用研究[J].網(wǎng)絡(luò)空間安全，2018，9（08）：8-17.

[9] Huston G， Michaelson G. Validation of route origination ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? using the resource certificate public key infrastructure （PKI） and route origin authorizations （ROAs） [J]. IETF RFC 6483， February 2012.

[10] Adams C， Farrell S， Kause T， et al. Internet X.509 Public Key Infrastructure Certificate Management Protocol （CMP）[J]. Ietf Rfc Sri Network Information， 2005， 11（3）：82-89.

[11] Lepinski M， Kent S. An infrastructure to support secure ? ? ? ? ? ? ? ? ? ? ? ? internet routing[J]. IETF RFC 6480， February 2012.

[12] Huston G， Loomans R， Michaelson G. A profile for ? resource certificate repository structure[J]. IETF RFC 6481， February 2012.

[13] Bush R. Origin validation operation based on the resource public key infrastructure （RPKI） [J]. IETF RFC 7115， January 2014.

[14] Kent S， Ma D. Adverse Actions by a Certification ?Authority（CA） or Repository Manager in the Resource Public Key Infrastructure（RPKI）[EB/OL].https：//www.rfc-editor.org/rfc/ rfc8211.html， 2019.

[15] Dragon Research Labs.RPKI CA Tools [EB/OL]. http：//rpki.net/wiki/doc/RPKI/CA，2019.

[16] Ethereum Project[EB/OL].https：//www.ethereum.org/，2019.

[17] Dragon Research Labs. RPKI Relying Party Tools[EB/OL]. http：//trac.rpki.net/wiki/doc/RPKI/RP， 2019.

[18] Hyperledger Fabric[EB/OL].https：//www.hyperledger.org/projects/fabric， 2019.

[19] 周博軒，滿毅，劉寧寧，張奕欣，張翀.基于Hyperledger Fabric的生物數(shù)據(jù)安全管理[J].網(wǎng)絡(luò)空間安全，2019，10（04）：55-60.