基于RPKI的证书链局部验证方法、系统及存储介质与流程

基于rpki的证书链局部验证方法、系统及存储介质
技术领域
1.本技术涉及dns服务技术领域，特别是涉及一种基于rpki的证书链局部验证方法、系统及存储介质。


背景技术：

2.随着互联网规模的不断扩大，互联网性质的不断演变，互联网码号资源分配需求的不断增长，资源分配体系也在不断变革。ietf(the internet engineering task force，国际互联网工程任务组)于1990年成立iana(the internetassignednumbers authority，互联网数字分配机构)，以确保互联网码号资源得到公平且有效的分配。截至目前，世界范围内共有五个正在运作的rir(regional internet registry，互联网注册机构)，负责特定地理区域内码号资源的分配和指定，从而实现ip地址和as(autonomous system，自治系统)号在可控范围内的管理自治。图1列举了五大rir的相关信息，包括成立时间和服务管辖范围。rpki(resource public key infrastructure,互联网码号资源公钥基础设施)资料库负责存储这些承载了inr(internet number resource,互联网码号资源)分配/授权信息的rc(resource certificate,资源证书)/roa(route originauthorization,路由起源声明)等数字对象,供全球的rp下载。
3.rpki由三大基本组件组成:ca(certificate authority,认证权威)、rp(relying party,依赖方)和repository(资料库)。这三大组件通过签发、传送、存储、验证各种数字对象来彼此协作,共同完成rpki的功能。ca通过签发rc来表达inr分配关系，签发roa来授权某个isp(internet service providers,互联网服务提供商)针对自己的一部分ip地址前缀发起源路由通告；rpki资料库负责存储这些承载了inr分配/授权信息的rc/roa等数字对象,供全球的rp下载；rp同步并验证rpki证书和签名对象,并将其处理成ip地址前缀与asn(autonomous system number，自治系统号)的真实授权关系并下放至as边界路由器指导路由过滤，如图2所示。随着rpki部署率越来越高，rpki的数据量也逐渐增大，给rp的同步下载和验证传输等流程提出了效率挑战。
4.目前主流rp采用的证书验证算法为全局验证。由于各种证书是有上下级的验证关系的、证书同级间的彼此也存在验证关系，一个证书修改可能会影响其他证书，所以当前主流证书验证算法是进行全局验证，即无论哪个证书有更新，都要把全部证书验证一遍，随着rpki部署率提高，将会大大影响整个rp服务器效率。


技术实现要素：

5.基于此，有必要针对上述技术问题，本技术提供一种基于rpki的证书链局部验证方法、系统及存储介质，根据证书间的特点，将证书链全局验证优化为局部验证，有效提升了rp服务器的性能。
6.本发明的第一方面，提供了一种基于rpki的证书链局部验证方法，包括：构建证书链的验证树结构，所述的验证树结构具有多个层级，各层级记录有一或多组存储证书文件，
包括：cer公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种；
7.rpki的依赖方在检测到某组的存储证书文件有更新时，对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。
8.进一步地，所述的局部的验证和更新包括：当检测到有cer公钥证书文件更新时，先在所述证书链的验证树结构中查询定位到需更新cer公钥证书文件所在的组，验证和更新对应的cer公钥证书文件，以及验证和更新由所述cer公钥证书文件签发的其它各子节点的存储证书文件。
9.进一步地，所述的局部的验证和更新包括：当检测到有资料清单文件更新时，先在所述证书链的验证树结构中查询定位到需更新资料清单文件所在的组，验证和更新对应的资料清单文件，以及同组的cer公钥证书文件和证书撤销列表文件。
10.进一步地，所述的局部的验证和更新包括：当检测到有证书撤销列表文件更新时，先在所述证书链的验证树结构中查询定位到需更新撤销列表文件所在的组，验证和更新对应的撤销列表文件，以及同组的cer公钥证书文件和资料清单文件。
11.进一步地，所述的局部的验证和更新包括：当检测到有路由起源授权文件更新时，先在所述证书链的验证树结构中查询定位到需更新路由起源授权文件所在的组，验证和更新对应的路由起源授权文件。
12.进一步地，若对资料清单文件和证书撤销列表文件进行更新时，同组的cer公钥证书文件出现变化，则对所述cer公钥证书文件签发的其它各子节点的存储证书文件也进行验证更新。
13.进一步地，若对证书撤销列表文件进行更新时，同组的资料清单文件若出现变化，则对同组的所述资料清单文件也进行更新。
14.本发明的第二方面，提供了一种基于rpki的证书链局部验证系统，包括：
15.证书链构建模块，用于构建证书链的验证树结构，所述的验证树结构具有多个层级，各层级记录有多组存储证书文件，包括：cer公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种；
16.检测更新模块，rpki的依赖方在检测到某层级的某组的存储证书文件有更新时，对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。
17.本发明的第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如本发明第一方面所述的方法之一。
18.本发明所提供的基于rpki的证书链局部验证方法、系统及存储介质，利用证书链的结构与树的结构十分相似的特点，通过构建证书链验证树与存储证书之间的关系，记录每个cer(存储公钥证书的文件格式，代表ca证书)、crl(certificate revocation list，证书撤销列表)，roa(route origin authorization，路由起源授权)，mft(manifest，资料清单)文件，并在rp有证书更新时，只需进行局部验证更新，而无需进行全局验证更新，减少了所需验证的证书总数量，减少了验证时间，并且没有遗漏真正需要验证的证书，未降低验证质量，显著提升了rp服务器的性能。
附图说明
19.图1为本现有技术中的五大rir机构的列表图。
20.图2为本现有技术中的rpki整体架构及运行机制示意图
21.图3为本发明实施例中的证书链的验证树结构的示意图。
22.图4为本发明实施例中的当前rp依赖方采用的证书链全局验证方法的示意图。
23.图5为本发明实施例中的更新cer文件的示意图。
24.图6为本发明实施例中的更新mft或crl文件的示意图。
25.图7为本发明实施例中的更新roa文件的示意图。
具体实施方式
26.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。此外，为了清楚和简洁，省略对公知功能和结构的描述。
27.本文使用的术语仅用于描述本发明的各种实施例，而不旨在限制本发明。除非上下文另有明确指示，否则单数形式旨在包括复数形式。在本发明中，应理解，术语“包括”或“具有”指示特征、数字、步骤、操作、元件、部件或其组合的存在，并且不排除一个或更多个其它特征、数字、步骤、操作、元件、部件或其组合的存在，或添加一个或更多个其它特征、数字、步骤、操作、元件、部件或其组合的可能性。
28.实施例一
29.考虑到证书链的结构与树的结构十分相似，所以可以构建证书链验证树以存储证书之间的关系，记录每个cer、mft、crl、roa文件，如图3所示的为本技术所构建的证书链的验证树结构，其具有根节点root，从根节点之后按照层级划分，而每一层级则形成一组或多组子节点，如二级节点包括mft(manifest，资料清单)文件、cer(存储公钥证书的文件格式，代表ca证书)、crl(certificate revocation list，证书撤销列表)文件，除根节点和最末级节点外，其它层级均由cer、crl、mft文件组成，末级节点包含roa文件、mft和crl文件，其中，roa文件仅存在于最末级层级中。由于下级的子节点所签发的一些存储证书文件依赖上一层级所在组的cer证书文件，由此可形成树状的多层级验证结构。目前主流rp采用的证书验证算法为全局验证。由于各种证书是有上下级的验证关系的、证书同级间的彼此也存在验证关系，一个证书修改可能会影响其他证书，所以当前主流证书验证算法是进行全局验证，即无论哪个证书有更新，都要把全部证书验证一遍，如图4所示，当某层级的cer文件有更新时，其上的节点、同级的节点、其下的节点中包含的各个存储证书文件全部一一进行更新，如此大大增加了验证时间。
30.本发明的实施例一提供了一种基于rpki的证书链局部验证方法，旨在根据存储证书间的特点，发现在某存储证书更新时，其实并不需要对整个证书链进行全局验证，而是可以通过与该更新存储证书有关的局部证书间的更新验证即可完成，故提出一种证书链验的局部验证方法，将证书链全局验证优化为局部验证，进而减少验证时间，以有效提升rp服务器的性能。
31.参照图3所示，构建完成的证书链的验证树结构具有多个层级，各层级记录有多种存储证书文件，包括：cer公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单
文件中的多种；
32.rpki的依赖方(rp)在检测到某层级的存储证书文件有更新时，对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。
33.具体来说，证书的更新涉及到四种情况，也即cer公钥证书文件的更新、证书撤销列表文件的更新、路由起源授权文件的更新、资料清单文件的更新，针对不同的存储证书更新，进行不同情况的局部更新。
34.如图5所示，假设检测到某层级的某组的cer(存储公钥证书的文件格式)文件更新，因为cer代表ca证书，所以当某cer文件更新时不仅涉及到它自身，还涉及到它所签发的子cer/crl/roa/mft文件，则先在证书链验证树中找到该层级对应组的cer文件，验证并更新对应cer文件，同时验证并更新由其签发的其他层级的cer/crl/roa/mft文件即可，与该cer文件同层级的其它组的cer/crl/roa/mft文件则无需更新，如图5中三角形虚线框的部分为需要更新的部分。
35.如图6所示，假设检测到某层级的某组的mft(manifest，资料清单)文件更新，因为mft代表资料清单，其中包含存储库发布点中与负责在存储库中发布的机构关联的所有已签名对象(文件)的列表。即当有mft文件更新时，先在证书链验证树中找到某层级某组对应的mft文件，验证并更新对应mft文件及其同级同组的cer和crl文件(mft文件的更新通常会带来cer文件和crl文件的更新)，若同级cer文件发生变化后，则和图5所示的cer文件更新过程相同，也即更新该组下的对应cer文件及其签发的其它各子节点的cer/crl/roa/mft文件，此外，若同层级的同组的crl文件有变化则更新本组对应的crl文件即可，如图6中椭圆形虚线框的部分为需要更新的部分。
36.再请参照如图6所示，和前述更新mft文件类似的，当检测到某层级的某组的crl(certificate revocation list，证书撤销列表)文件更新，因为crl代表证书撤销列表，它列出存储库中被认为不能再使用的证书的序列号，所以当有crl文件更新时，先在证书链验证树中找到对应的crl文件，验证并更新对应crl文件及其同级同组的cer和mft文件(crl文件的更新通常会带来cer文件和mft文件的更新)，若同级cer文件有变化，则和图5所示的cer文件更新过程相同，也即更新该组下的对应cer文件及其签发的其它各子节点的cer/crl/roa/mft文件，此外，若同级同组的mft文件有变化则更新对应mft文件即可。
37.参照图7所示，当检测到是roa(route originauthorization，路由起源授权)文件更新时，roa是一种加密签名的对象，表示授权哪个自治系统(as)来生成特定ip地址前缀或一组前缀。它的更新不会影响其它证书文件，所以当有roa文件更新时，只需在证书链验证树中找到对应的roa文件并进行验证更新即可，如图7中仅对最末级圆形虚线框出的部分为需要更新的部分。
38.本技术实施例一提供的基于rpki的证书链局部验证方法，通过构建证书链验证树以存储证书之间的关系，存储证书之间的上下级以及同级之间的关系，使得在证书插入删除或者更新时，更快找到需要插入删除或者更新的证书，消耗的资源和代价更小，每个层级通过记录的cer、crl、roa、mft文件，并在rp有证书更新时，只需根据证书链验证树结构关系，进行局部验证更新，而无需进行全局验证更新，减少了所需验证的证书总数量，减少了验证时间，并且没有遗漏真正需要验证的证书，未降低验证质量，显著提升了rp服务器的性能。
39.实施例二
40.本发明的实施例二提供了一种基于rpki的证书链局部验证系统，包括：
41.证书链构建模块，用于构建证书链的验证树结构，所述的验证树结构具有多个层级，各层级记录有一或多组存储证书文件，每组包括：cer公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种，其中，路由起源授权文件仅存在于最末级；
42.检测更新模块，rpki的依赖方在检测到某层级的某组的存储证书文件有更新时，对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。
43.关于本实施例基于rpki的证书链局部验证系统的具体限定可以参见上文中对于基于rpki的证书链局部验证方法的限定，在此不再赘述。上述基于rpki的证书链局部验证系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
44.实施例三
45.本发明的实施例三，提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时，使得处理器执行上述基于rpki的证书链局部验证方法的步骤。此处基于rpki的证书链局部验证方法的步骤可以是上述各个实施例的基于rpki的证书链局部验证方法中的步骤：构建证书链的验证树结构，所述的验证树结构具有多个层级，各层级记录有一或多组存储证书文件，包括：cer公钥证书文件、证书撤销列表文件、路由起源授权文件、资料清单文件中的多种；rpki的依赖方在检测到某组的存储证书文件有更新时，对需更新的所述存储证书关联的同组和/或其它各子节点的存储证书文件进行局部的验证和更新。
46.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
47.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。