10.11871/jfdc.issn.2096-742X.2022.03.007
基于行为透明性的RPKI撤销检测机制
[目的]为应对当前互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)层级式认证机制下因单边撤销导致的资源失效问题,本文提出了一种基于行为透明性(Behavior Transparency,BT)的单边撤销检测机制,并通过实验验证了该机制的效果和性能.[方法]本文详细分析了当前RPKI架构下的单边撤销问题和由此导致的下级认证权威(Certificate Authority,CA)资源失效风险,通过部署日志服务器记录CA签发行为来提高CA签发行为的透明性,并以此为基础设计了高效的单边撤销实时监测和应急处置机制.[结果]实验结果表明,在部署有日志服务器且日志服务器足够安全可控的前提下,该机制的检测效率能满足当前架构性能需求,且准确率达到100%,传输开销可忽略不计.[局限]该机制在面向未来的RPKI大规模部署环境下的效率、准确率和可扩展性还有待进一步验证.[结论]本文所提基于行为透明性的RPKI撤销检测在当前RPKI实际部署环境下新引入的开销较小,能有效实现检测目的,支持CA实时监测其自持有资源有效性以及针对其的单边撤销行为.
IP地址、AS号、域间路由安全、互联网码号资源公钥基础设施、透明性
4
TP393.08;R395.4;F814.49
2022-06-24(万方平台首次上网日期,不代表论文的发表时间)
共20页
90-109