(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210449556.3 (22)申请日 2022.04.26 (71)申请人 互联网域名系统北京市工程研究中 心有限公司 地址 101408 北京市怀柔区雁栖经济开发 区兴科南 二街3号院1号楼32 2室 (72)发明人 邵晴　詹子林　马迪　毛伟　 (74)专利代理 机构 北京市万慧达律师事务所 11111 专利代理师 黄玉东 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 基于RPKI的证书链局部验证方法、 系统及存 储介质 (57)摘要 本申请提供了一种基于RPKI的证书链局部 验证方法、 系统及存储介质。 该方法包括： 构建证 书链的验证树结构， 所述的验证树结构具有多个 层级， 各层级记录有多种存储证书文件， 包括： CER公钥证书文件、 证书撤销列表文件、 路由起源 授权文件、 资料清单文件中的多种； RPKI的依赖 方在检测到某层级的存储证书文件有更新时， 对 需更新的所述存储证书关联的同层级和/或其它 各子节点的存储证书文件进行局部的验证和更 新。 本申请提出的一种证书链的局部验证方法， 能够有效优化RP验证证书时的性能， 提高RP效 率。 权利要求书1页 说明书5页 附图4页 CN 115001697 A 2022.09.02 CN 115001697 A 1.一种基于RPKI的证书链局部验证方法， 其特 征在于， 包括： 构建证书链 的验证树结构， 所述的验证树结构具有多个层级， 各层级记录有一或多组 存储证书文件， 包括： CER公钥证书文件、 证书撤销列表文件、 路 由起源授权文件、 资料清单 文件中的多种； RPKI的依赖方在检测到某层级的存储证书文件有更新时， 对需更新的所述存储证书关 联的同组和/或其它各子节点的存 储证书文件进行局部的验证和更新。 2.如权利要求1所述的方法， 其特征在于， 所述的局部的验证和更新包括： 当检测到有 CER公钥证书文件 更新时， 先在所述证书链的验证树结构中查询定位到需更新CER公钥证书 文件所在的组， 验证和更新对应的CER公钥证书文件， 以及验证和更新由所述CER公钥证书 文件签发的其它各子节点的存 储证书文件。 3.如权利要求2所述的方法， 其特征在于， 所述的局部的验证和更新包括： 当检测到有 资料清单文件更新时， 先在所述证书链的验证树结构中查询定位到需更新资料清单文件所 在的组， 验证和更新对应的资料清单文件， 以及同组的CER公钥证书文件和证书撤销列 表文 件。 4.如权利要求3所述的方法， 其特征在于， 所述的局部的验证和更新包括： 当检测到有 证书撤销列 表文件更新时， 先在所述证书链的验证树结构中查询定位到需更新撤销列表文 件所在的组， 验证和更新对应的撤销列表文件， 以及同组的CER公钥证书文件和资料清单文 件。 5.如权利要求4所述的方法， 其特征在于， 所述的局部的验证和更新包括： 当检测到有 路由起源授权文件更新时， 先在所述证书链的验证树结构中查询定位到需更新路由起源授 权文件所在的组， 验证和更新对应的路由起源授权文件。 6.如权利要求4所述的方法， 其特征在于， 若对资料清单文件和证书撤销列表文件进行 更新时， 同层级的CER公钥证书文件出现变化， 则对所述CER公钥证书文件签发的其它各子 节点的存 储证书文件也进行验证更新。 7.如权利要求3所述的方法， 其特征在于， 若对证书撤销列表文件进行更新时， 同组的 资料清单文件若出现变化， 则对同层级的所述资料清单文件也进行 更新。 8.一种基于RPKI的证书链局部验证系统， 其特 征在于， 包括： 证书链构建模块， 用于构建证书链的验证树结构， 所述的验证树结构具有多个层级， 各 层级记录有多组存储证书文件， 包括： CER公钥证书文件、 证书撤销列表文件、 路由起源授权 文件、 资料清单文件中的多种； 检测更新模块， RPKI的依赖方在检测到某层级 的存储证书文件有更新时， 对需更新的 所述存储证书关联的同层级和/或其它各子节点的存 储证书文件进行局部的验证和更新。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被 处理器执行时实现权利要求1至7中任一项所述的方法的步骤。权　利　要　求　书 1/1 页 2 CN 115001697 A 2基于RPKI的证书链局部验证方 法、 系统及存 储介质 技术领域 [0001]本申请涉及D NS服务技术领域， 特别是涉及一种基于 RPKI的证书链局部验证方法、 系统及存 储介质。 背景技术 [0002]随着互联网规模的不断扩大， 互联网性质的不断演变， 互联网码号资源分配需求 的不断增长， 资源分配体系也在不断变革。 IETF(Th e Internet  Engineering  Task Force， 国际互联网工程任务组)于1990年成立IANA(The  InternetAssignedNumbers  Authority， 互联网数字分配机构)， 以确保互联网码号资源得到公平且有效的分配。 截至目前， 世界范 围内共有五个正在运作的RIR(Regional  Internet  Registry， 互联网注册机构)， 负责特定 地理区域内码号资源的分配和指定， 从而实现IP地址和AS(Autonomous  System， 自治系统) 号在可控范围内的管理自治。 图1列举了五大RIR的相关信息， 包括成立时间和服务管辖范 围。 RPKI(Resource  Public Key Infrastructure,互联网码号资源公钥基础设施)资料库 负责存储这些承载了INR(Internet  Number Resource,互联网码号 资源)分配/授权信息的 RC(Resour ce Certificate,资源证书)/ROA(Route  OriginAut horization,路由起源声明) 等数字对象,供全球的RP下 载。 [0003]RPKI由三大基本组件组成:CA(Certificate  Authority,认证权威)、 RP(Relying   Party,依赖方)和repository(资料库)。 这三大 组件通过签发、 传送、 存储、 验证各种数字对 象来彼此协作,共同完成RPKI的功能。 CA通过签发RC来表达INR分配 关系， 签发ROA来授权某 个ISP(Internet  Service Providers,互联网服务提供商)针对自己的一部分IP地址前缀 发起源路由通告； RPKI资料库负责存储这些承载了INR分配/授权信息的RC/ROA等数字对 象,供全球的RP下载； RP同步并验证RPKI证书和签名对象,并将其处理成IP地址前缀与ASN (autonomous system number， 自治系统号)的真实授权关系并下放至AS边界路由器指导路 由过滤， 如图2所示。 随着RPKI部署率越来越高， RPKI的数据量也逐渐增大， 给RP的同步下载 和验证传输等 流程提出了效率挑战。 [0004]目前主流RP采用的证书验证算法为全局验证。 由于各种证书是有上下级的验证关 系的、 证书同级间的彼此也存在 验证关系， 一个证书修改可能会影响其他证书， 所以当前主 流证书验证算法是进 行全局验证， 即无论哪个证书有 更新， 都要把全部证书验证一遍， 随着 RPKI部署率 提高， 将会大 大影响整个RP服 务器效率。 发明内容 [0005]基于此， 有必要针对上述技术问题， 本申请提供一种基于RPKI的证书链局部验证 方法、 系统及存储介质， 根据证书间的特点， 将证书链全局验证优化为局部验证， 有效提升 了RP服务器的性能。 [0006]本发明的第一方面， 提供了一种基于 RPKI的证书链局部验证方法， 包括： 构建证书 链的验证树结构， 所述的验证树结构具有多个层级， 各层级记录有一 或多组存储证书文件，说　明　书 1/5 页 3 CN 115001697 A 3