(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210595590.1 (22)申请日 2022.05.30 (71)申请人 广州大学 地址 510006 广东省广州市大 学城外环西 路230号 (72)发明人 刘亚萍　张硕　方滨兴　李清源　 (74)专利代理 机构 湖南企企卫知识产权代理有 限公司 43257 专利代理师 任合明 (51)Int.Cl. H04L 9/32(2006.01) H04L 67/1097(2022.01) H04L 45/00(2022.01) G06Q 40/04(2012.01) (54)发明名称 一种基于资源公钥基础设施区块链的路由 器证书颁发方法 (57)摘要 本发明公开了一种基于资源公钥基础设施 区块链的路由器证书颁发方法， 以实现基于区块 链的EE证书颁发。 技术方案是： 构建由安装有资 源交易应用客户端的资源颁发者和资源接收者、 区块链网络、 验证节点组成的RPKIB， 资源交易应 用客户端的资源交易模块将颁发、 撤销、 获取EE 证书的操作转化为区块链上的交易， 根据验证结 点的共识结果判断交易是否成功； 验证节点运行 资源证书交易智能合约对EE证书交易进行验证， 运行共识算法对EE证书交易达成共识； 路由器通 构建和更新EE证书列表， 根据EE证书列表查找对 应EE证书， 获取EE证书公钥， 验证路由路径签名 数据正确性； 采用本发明能成功 完成EE证书的颁 发， 支持域间路由协议的路径 认证。 权利要求书6页 说明书15页 附图6页 CN 115021930 A 2022.09.06 CN 115021930 A 1.一种基于资源公钥 基础设施区块链的路由器证书颁发方法， 其特征在于包括以下步 骤： 第一步， 构建资源公钥基础设施区块链系 统即RPKIB系 统； 它由资源颁发者、 资源交易 应用客户端、 资源接收者、 区块链网络、 验证节点组成； 路由器上安装区块链客户端， 作为 RPKIB系统的普通用户加入RPKIB系统； RPKIB系统中的资源颁发者中的资源交易模块、 验证 节点中资源证书交易智能合约以及路由器的区块链客户端依据分布式账本中的EE证书交 易记录分别构建E E证书列表； 区块链网络与资源颁发者、 资源接收者相连； 资源颁发者、 资源接收者与区块链网络相 连后即成为区块链网络的一个普通节点； 验证节点是区块链网络中的与普通节点即资源颁 发者、 资源接收者不同的另一类节点， 是对资源颁发者 发起的资源交易进 行验证的服务器， 其上安装有资源证书交易智能合约； 资源颁 发者与资源接收者将资源证书以及路由起源授 权ROA的各种操作均作为交易通过区块链网络进 行， 并将交易记录 保存在分布式账本中； 分 布式账本存在于所有区块链 节点中； 资源颁发者是服务器， 其上安装有资源交易应用客户端， 资源颁发者连接到区块链网 络后成为区块链网络的普通节点； 资源颁发者与资源接 收者作为交易双方， 经过双向授权 获得交易双方即资源颁发者、 资源接 收者的同意之后， 资源颁发者将交易发送给区块链网 络； 资源接收者是服务器， 其上安装有资源交易应用客户端， 与区块链相连； 资源接收者连 到区块链网络， 成为区块链网络的普通节点； 资源交易应用客户端由资源交易模块、 资源证书生成模块、 显示模块组成； 资源证书生成模块与资源交易模块相连； 资源证书生成模块从资源交易模块接收预颁 发的资源证书RC的信息、 ROA的信息， 以及自治域路由器证书即EE证书， 根据预颁发的RC的 信息生成与资源公钥基础设施RPKI定义相同的资源证书RC， 根据预颁发的ROA信息对资源 接收者所持有的资源创建路由起源授权ROA； 资源交易模块与资源证书生成模块、 显示模块、 区块链网络相连； 资源交易模块从资源 证书生成模块接收RC或ROA， 从资源颁发者或资源接收者接收关于RC或ROA的操作指令， 通 过区块链网络进行交易， 为资源颁发者或资源接收者提供RC或ROA资源交易的各种操作服 务， 一个操作即为 RPKIB中的一笔 交易； 交易 成功时资源交易模块将成功消息发送到显示模 块， 交易不成功时资源交易模块将冲突检测到的冲突原因、 操作失败原因、 交易结果 发送到 显示模块， 在撤销操作时将RC、 ROA发送给显示模块； 在RPKIB基本功能的基础上， 资源交易 模块从资源颁发者或资源接 收者接收关于EE证书的操作指令， 通过区块链网络进行交易， 为资源颁发者或资源接收者提供EE证书资源交易的颁 发操作和撤销操作， 交易成功时资源 交易模块将成功消息发送到显示模块， 交易不成功时资源交易模块将冲突检测到的冲突原 因、 操作失败原因、 交易结果发送到 显示模块， 在撤销操作时将E E证书发送给显示模块； 显示模块与资源交易模块相连， 它从资源交易模块接收交易成功消息或交易不成功时 的冲突原因、 操作失败原因、 交易结果， 并显示出来； 在撤销操作时从资源交易模块接收RC、 ROA、 EE证书， 并将RC、 ROA、 E E证书的具体内容显示出来； 验证节点是对资源颁发者发给区块链的资源交易进行验证的服务器， 其上安装有资源 证书交易智能合约； 验证节点运行资源证书交易智能合约对交易进行验证， 验证交易的签权　利　要　求　书 1/6 页 2 CN 115021930 A 2名、 交易的内容是否符合资源颁发者的权限， 交易的内容是否与当前已分配的资源没有冲 突， 将通过验证的交易记录 到分布式账本中； 资源证书交易智能合约由资源颁发者、 资源接收者共 同制定， 是以数字形式定义的承 诺， 用于解决资源颁发者和资源接收者之间的交易行为； 第二步， 定义资源交易结构； 资源交易结构包括交易发起者， 交易接收者， 交易类型， 交 易的属性， 交易的内容， 交易的证据， 交易签名； 第三步， 定义EE证书列表： EE证书列表记录当前有效 的所有EE证书； EE证书列表是一个 数组， 数组下 标为AS号减1， 数组中的每 个元素存储一个有效的E E证书或为空； 第四步， 基于区块链的资源公钥基础设施系统RPKIB中的资源交易模块和验证结点相 互配合， 完成资源颁发者对EE证书的颁发操作、 撤消操作、 以及自动撤销操作； 路由器上的 区块链客户端加入RPKIB区块链平台， 实时获取分布式账本， 通过读取分布式账本中的EE证 书交易记录， 构建和更新EE证书列表； 路由器的区块链客户端中运行的安全域间路由协议 在进行协议路径验证时， 依据EE证书列表中的EE证书， 对路 由路径签名数据的正确性进行 验证； 方法是： 资源交易模块按4.1～4.7的流程将对EE证书的操作转化为区块链上相应的 交易， 根据从验证结点收到的共识结果判断交易是否成功， 将成功与否的结果在显示模块 中显示； 同时验证节点按4.8～4.12的流程运行资源证书交易智能合约以对EE证书交易进 行验证， 并运行共识 算法以对EE证书交易达成共识， 将共识结果 发送给资源交易模块； 验证 节点达成共识后 将EE证书的交易 成功信息记录在分布式账本中； 同时路由器上安装了区块 链的客户端按4.13流程通过实时获取分布式账本中的EE证书交易记录， 构建和更新EE证书 列表， 获取E E证书公钥， 对路由路径签名数据的正确性进行验证； 4.1初始化EE证书列表为空， 从区块链平台获取分布式账本， 依据分布式账本中的EE证 书操作的交易记录更新EE证书列表： 在分布式账本中， 依据AS号检索对应的EE证书操作交 易记录， 获取最新的EE证书操作交易记录， 如果最新的EE证书操作交易记录是EE证书颁发 操作， 则在EE证书列表中该AS下标对应的元素中记录EE证书， 转4.2； 如果最近的EE证书操 作交易记录是E E证书撤销操作或自动撤销操作， 则不做处 理， 直接转 4.2； 4.2资源交易模块若从资源颁发者接收到第一EE证书EE1的颁发消息， 转4.3； 若从资源 颁发者接收到第二EE证书EE2的撤消消息， 转4.4； 若从资源颁 发者接收到第三EE证书EE3自 动撤销的消息， 转 4.5； 若从区块链 平台收到分布式账本更新事 件， 转4.6； 4.3此时资源交易模块从所属资源颁发者接收到EE1颁发消息， EE1颁发消息中包含资 源接收者的IP地址、 AS号即AS1， 按4.3.1～4.3.5所述证书颁发方法颁发证书E E1： 4.3.1资源交易模块设置一条E E1颁发指令， E E1颁发指令包括AS1； 4.3.2资源交易模块按照EE1颁发指令,以AS1 ‑1作为EE证书列表下标， 检索EE证书列 表， 查看AS1对应的E E证书是否存在； 4.3.3如果AS1对应的EE证书存在于EE证书列表， 资源 交易模块将 “资源冲突 ”消息发送 给显示模块， 显示模块显示 “资源冲突 ”消息， 消息中包含资源冲突原因即 “预颁发的EE证书 已存在”， 转第4.7步； 如果AS1对应的EE证书不存在于EE证书列表， 资源交易模块依据资源 交易结构构造EE1的颁发交易报文ee_issue， ee_issue的内容包括交易发起者即EE1证书的 颁发者、 交易接收者即EE1证书的接收者、 交易类型即EE证书颁发、 交易的内容即EE证书的 具体内容、 交易的属性、 交易的证据， EE1的资源颁发者对交易的签名； 此时交易的属性、 交权　利　要　求　书 2/6 页 3 CN 115021930 A 3