本技術(shù)涉及路由安全，尤其涉及一種資源異常分配檢測方法、裝置、計算機(jī)設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、rpki(resource?pub?l?ic?key?i?nfrastructure，資源公鑰基礎(chǔ)設(shè)施)是一種基于公鑰基礎(chǔ)設(shè)施(pub?l?ic?key?i?nfrastructure，pki)的安全框架，旨在提升互聯(lián)網(wǎng)路由系統(tǒng)的安全性。rpki通過數(shù)字證書的方式，為網(wǎng)際協(xié)議ip(i?nternetprotoco?l，ip)地址塊和自治系統(tǒng)(autonomous?system，as)號的分配和授權(quán)提供可信的驗證機(jī)制，從而防止路由劫持、假冒、前綴劫持等安全問題。

2、由于認(rèn)證機(jī)構(gòu)的惡意操作或者誤操作，可能會導(dǎo)致在資源分配過程中出現(xiàn)資源異常分配的風(fēng)險，例如，同一個資源可能被上層機(jī)構(gòu)錯誤地分配給多個下層機(jī)構(gòu)，從而導(dǎo)致路由劫持、前綴劫持等安全問題。此時，需要對資源進(jìn)行檢測，確保資源分配的唯一性和合法性。

3、相關(guān)技術(shù)中，可以在同一個發(fā)布點內(nèi)，對資源證書進(jìn)行檢測，具體可以通過簡單比對證書間的信息確定是否發(fā)生沖突。然而，只對單一發(fā)布點內(nèi)部進(jìn)行資源證書之間的對比，可能會導(dǎo)致異常分配的漏檢，同時還可能使得跨發(fā)布點之間資源的潛在沖突不能被準(zhǔn)確檢測，進(jìn)而導(dǎo)致異常分配問題。綜上，相關(guān)技術(shù)中的資源異常分配檢測方法存在檢測不全面和不準(zhǔn)確的問題。

技術(shù)實現(xiàn)思路

1、本技術(shù)實施例的主要目的在于提出一種資源異常分配檢測方法、裝置、計算機(jī)設(shè)備及存儲介質(zhì)，能夠提高對資源異常分配檢測的全面性和準(zhǔn)確性。

2、為實現(xiàn)上述目的，本技術(shù)實施例的第一方面提出了一種資源異常分配檢測方法，所述方法包括：

3、獲取待測資源分配數(shù)據(jù)，并確定所述待測資源分配數(shù)據(jù)對應(yīng)的資源證書表和路由起源授權(quán)表；

4、確定用于對所述待測資源分配數(shù)據(jù)進(jìn)行檢測的多個沖突檢測項，并根據(jù)所述資源證書表和所述路由起源授權(quán)表分別為每個沖突檢測項匹配目標(biāo)查找表；

5、基于所述沖突檢測項對應(yīng)的數(shù)據(jù)關(guān)聯(lián)關(guān)系，從所述目標(biāo)查找表中確定所述沖突檢測項對應(yīng)的第一待檢測集合，以及與所述第一待檢測集合中的至少一個第一待測資源子數(shù)據(jù)具有所述數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待檢測集合；

6、確定所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)與所述第二待檢測集合中的第二待測資源子數(shù)據(jù)的非沖突條件，對滿足所述非沖突條件的第一待測資源子數(shù)據(jù)和對應(yīng)的第二待測資源子數(shù)據(jù)進(jìn)行排除，并將排除后剩余的目標(biāo)待測資源子數(shù)據(jù)確定為對應(yīng)沖突檢測項的沖突檢測結(jié)果；

7、基于所述多個沖突檢測項對應(yīng)的多個沖突檢測結(jié)果，得到所述待測資源分配數(shù)據(jù)的資源異常分配檢測結(jié)果。

8、相應(yīng)的，本技術(shù)實施例的第二方面提出了一種資源異常分配檢測裝置，所述裝置包括：

9、第一獲取模塊，用于獲取待測資源分配數(shù)據(jù)，并確定所述待測資源分配數(shù)據(jù)對應(yīng)的資源證書表和路由起源授權(quán)表；

10、匹配模塊，用于確定用于對所述待測資源分配數(shù)據(jù)進(jìn)行檢測的多個沖突檢測項，并根據(jù)所述資源證書表和所述路由起源授權(quán)表分別為每個沖突檢測項匹配目標(biāo)查找表；

11、確定模塊，用于基于所述沖突檢測項對應(yīng)的數(shù)據(jù)關(guān)聯(lián)關(guān)系，從所述目標(biāo)查找表中確定所述沖突檢測項對應(yīng)的第一待檢測集合，以及與所述第一待檢測集合中的至少一個第一待測資源子數(shù)據(jù)具有所述數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待檢測集合；

12、排除模塊，用于確定所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)與所述第二待檢測集合中的第二待測資源子數(shù)據(jù)的非沖突條件，對滿足所述非沖突條件的第一待測資源子數(shù)據(jù)和對應(yīng)的第二待測資源子數(shù)據(jù)進(jìn)行排除，并將排除后剩余的目標(biāo)待測資源子數(shù)據(jù)確定為對應(yīng)沖突檢測項的沖突檢測結(jié)果；

13、第二獲取模塊，用于基于所述多個沖突檢測項對應(yīng)的多個沖突檢測結(jié)果，得到所述待測資源分配數(shù)據(jù)的資源異常分配檢測結(jié)果。

14、在一些實施方式中，所述匹配模塊，還用于：

15、針對在證書鏈上下級間對所述待測資源分配數(shù)據(jù)進(jìn)行檢測的沖突檢測場景，確定非法分配沖突檢測項和非法授權(quán)沖突檢測項為沖突檢測項；

16、針對在證書鏈間對所述待測資源分配數(shù)據(jù)進(jìn)行檢測的沖突檢測場景，確定子證書間沖突檢測項、子證書與路由起源授權(quán)沖突檢測項，以及路由起源授權(quán)間沖突檢測項為沖突檢測項。

17、在一些實施方式中，所述沖突檢測項為非法分配沖突檢測項；所述非法分配沖突檢測項匹配的目標(biāo)查找表為資源證書表；所述排除模塊，還用于：

18、針對所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)，將所述第一待測資源子數(shù)據(jù)與所述第二待檢測集合中對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的至少一個第二待測資源子數(shù)據(jù)進(jìn)行網(wǎng)際協(xié)議地址前綴的匹配，得到第一匹配結(jié)果；其中，所述第一待測資源子數(shù)據(jù)為子證書對應(yīng)的網(wǎng)際協(xié)議地址前綴，所述第二待測資源子數(shù)據(jù)為所述子證書對應(yīng)的父證書的網(wǎng)際協(xié)議地址前綴；

19、當(dāng)所述第一匹配結(jié)果表征存在所述第一待測資源子數(shù)據(jù)與對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的目標(biāo)第一待測資源子數(shù)據(jù)符合包含關(guān)系時，確定所述第一待測資源子數(shù)據(jù)與所述目標(biāo)第一待測資源子數(shù)據(jù)滿足非沖突條件；

20、在所述第一待檢測集合中，對滿足所述非沖突條件的所述第一待測資源子數(shù)據(jù)和所述目標(biāo)第一待測資源子數(shù)據(jù)進(jìn)行排除，并根據(jù)排除后剩余的第一待測資源子數(shù)據(jù)和與所述剩余的第一待測資源子數(shù)據(jù)具有數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待測資源子數(shù)據(jù)確定為目標(biāo)待測資源子數(shù)據(jù)；

21、將所述目標(biāo)待測資源子數(shù)據(jù)確定為所述待測資源分配數(shù)據(jù)針對網(wǎng)際協(xié)議地址前綴的非法分配沖突檢測項的沖突檢測結(jié)果。

22、在一些實施方式中，所述沖突檢測項為非法分配沖突檢測項；所述非法分配沖突檢測項匹配的目標(biāo)查找表為資源證書表；所述排除模塊，還用于：

23、針對所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)，將所述第一待測資源子數(shù)據(jù)與所述第二待檢測集合中對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的至少一個第二待測資源子數(shù)據(jù)進(jìn)行自治系統(tǒng)編號的匹配，得到第二匹配結(jié)果；其中，所述第一待測資源子數(shù)據(jù)為子證書對應(yīng)的自治系統(tǒng)編號，所述第二待測資源子數(shù)據(jù)為所述子證書對應(yīng)的父證書的自治系統(tǒng)編號；

24、當(dāng)所述第二匹配結(jié)果表征存在所述第一待測資源子數(shù)據(jù)與對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的目標(biāo)第二待測資源子數(shù)據(jù)符合包含關(guān)系時，確定所述第一待測資源子數(shù)據(jù)與所述目標(biāo)第二待測資源子數(shù)據(jù)滿足非沖突條件；

25、在所述第一待檢測集合中，對滿足所述非沖突條件的所述第一待測資源子數(shù)據(jù)和所述目標(biāo)第二待測資源子數(shù)據(jù)進(jìn)行排除，并根據(jù)排除后剩余的第一待測資源子數(shù)據(jù)和與所述剩余的第一待測資源子數(shù)據(jù)具有數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待測資源子數(shù)據(jù)確定為目標(biāo)待測資源子數(shù)據(jù)；

26、將所述目標(biāo)待測資源子數(shù)據(jù)確定為所述待測資源分配數(shù)據(jù)針對自治系統(tǒng)編號的非法分配沖突檢測項的沖突檢測結(jié)果。

27、在一些實施方式中，所述沖突檢測項為非法授權(quán)沖突檢測項；所述非法授權(quán)沖突檢測項匹配的目標(biāo)查找表為資源證書表和路由起源授權(quán)表；所述排除模塊，還用于：

28、針對所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)，將所述第一待測資源子數(shù)據(jù)與所述第二待檢測集合中對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的至少一個第二待測資源子數(shù)據(jù)進(jìn)行網(wǎng)際協(xié)議地址前綴的匹配，得到第三匹配結(jié)果；其中，所述第一待測資源子數(shù)據(jù)為自治系統(tǒng)對應(yīng)的第一授權(quán)網(wǎng)際協(xié)議地址前綴，所述第二待測資源子數(shù)據(jù)為所述自治系統(tǒng)對應(yīng)的父證書的網(wǎng)際協(xié)議地址前綴；

29、當(dāng)所述第三匹配結(jié)果表征存在所述第一待測資源子數(shù)據(jù)與對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的目標(biāo)第三待測資源子數(shù)據(jù)符合包含關(guān)系時，確定所述第一待測資源子數(shù)據(jù)與所述目標(biāo)第三待測資源子數(shù)據(jù)滿足非沖突條件；

30、在所述第一待檢測集合中，對滿足所述非沖突條件的所述第一待測資源子數(shù)據(jù)和所述目標(biāo)第三待測資源子數(shù)據(jù)進(jìn)行排除，并根據(jù)排除后剩余的第一待測資源子數(shù)據(jù)和與所述剩余的第一待測資源子數(shù)據(jù)具有數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待測資源子數(shù)據(jù)確定為目標(biāo)待測資源子數(shù)據(jù)；

31、將所述目標(biāo)待測資源子數(shù)據(jù)確定為所述待測資源分配數(shù)據(jù)在所述非法授權(quán)沖突檢測項的沖突檢測結(jié)果。

32、在一些實施方式中，所述沖突檢測項為子證書間沖突檢測項；所述子證書間沖突檢測項匹配的目標(biāo)查找表為基于所述資源證書表生成的資源證書基數(shù)樹；所述排除模塊，還用于：

33、針對所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)，將所述第一待測資源子數(shù)據(jù)與所述第二待檢測集合中對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的至少一個第二待測資源子數(shù)據(jù)進(jìn)行統(tǒng)一資源標(biāo)識符的匹配，得到第四匹配結(jié)果；其中，所述第一待測資源子數(shù)據(jù)為第一子證書對應(yīng)的第一網(wǎng)際協(xié)議地址前綴，所述第二待測資源子數(shù)據(jù)為在所述資源證書基數(shù)樹中，與所述第一子證書的第一網(wǎng)際協(xié)議地址前綴存在包含關(guān)系的第二網(wǎng)際協(xié)議地址前綴；

34、當(dāng)所述第四匹配結(jié)果表征存在目標(biāo)第四待測資源子數(shù)據(jù)的統(tǒng)一資源標(biāo)識符等于所述第一待測資源子數(shù)據(jù)的統(tǒng)一資源標(biāo)識符時，確定所述第一待測資源子數(shù)據(jù)與所述目標(biāo)第四待測資源子數(shù)據(jù)滿足非沖突條件；或者，當(dāng)所述第四匹配結(jié)果表征存在目標(biāo)第四待測資源子數(shù)據(jù)的統(tǒng)一資源標(biāo)識符等于所述第一待測資源子數(shù)據(jù)的上層證書的統(tǒng)一資源標(biāo)識符時，確定所述第一待測資源子數(shù)據(jù)與所述目標(biāo)第四待測資源子數(shù)據(jù)滿足非沖突條件；

35、對與所述第一待測資源子數(shù)據(jù)滿足所述非沖突條件的所述目標(biāo)第四待測資源子數(shù)據(jù)進(jìn)行排除，并將排除后剩余與所述第一待測資源子數(shù)據(jù)存在數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待測資源子數(shù)據(jù)確定為目標(biāo)待測資源子數(shù)據(jù)；

36、將所述目標(biāo)待測資源子數(shù)據(jù)作為所述第一待測資源子數(shù)據(jù)的第一子沖突檢測結(jié)果，并針對所述第一待檢測集合中的多個第一待測資源子數(shù)據(jù)對應(yīng)的多個第一子沖突檢測結(jié)果，確定所述待測資源分配數(shù)據(jù)在所述子證書間沖突檢測項的沖突檢測結(jié)果。

37、在一些實施方式中，所述沖突檢測項為子證書與路由起源授權(quán)沖突檢測項；所述子證書與路由起源授權(quán)沖突檢測項匹配的目標(biāo)查找表為基于所述資源證書表生成的資源證書基數(shù)樹；所述排除模塊，還用于：

38、針對所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)，將所述第一待測資源子數(shù)據(jù)與所述第二待檢測集合中對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的至少一個第二待測資源子數(shù)據(jù)進(jìn)行統(tǒng)一資源標(biāo)識符的匹配，得到第五匹配結(jié)果；其中，所述第一待測資源子數(shù)據(jù)為自治系統(tǒng)對應(yīng)的第二授權(quán)網(wǎng)際協(xié)議地址前綴，所述第二待測資源子數(shù)據(jù)為在所述資源證書基數(shù)樹中，與所述第二授權(quán)網(wǎng)際協(xié)議地址前綴存在包含關(guān)系的第三網(wǎng)際協(xié)議地址前綴；

39、當(dāng)所述第五匹配結(jié)果表征存在目標(biāo)第五待測資源子數(shù)據(jù)的統(tǒng)一資源標(biāo)識符等于所述第一待測資源子數(shù)據(jù)的上層證書的統(tǒng)一資源標(biāo)識符時，確定所述第一待測資源子數(shù)據(jù)與所述目標(biāo)第五待測資源子數(shù)據(jù)滿足非沖突條件；

40、對與所述第一待測資源子數(shù)據(jù)滿足所述非沖突條件的所述目標(biāo)第五待測資源子數(shù)據(jù)進(jìn)行排除，并將排除后剩余與所述第一待測資源子數(shù)據(jù)存在數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待測資源子數(shù)據(jù)確定為目標(biāo)待測資源子數(shù)據(jù)；

41、將所述目標(biāo)待測資源子數(shù)據(jù)作為所述第一待測資源子數(shù)據(jù)的第二子沖突檢測結(jié)果，并針對所述第一待檢測集合中的多個第一待測資源子數(shù)據(jù)對應(yīng)的多個第二子沖突檢測結(jié)果，確定所述待測資源分配數(shù)據(jù)在所述子證書與路由起源授權(quán)沖突檢測項的沖突檢測結(jié)果。

42、在一些實施方式中，所述沖突檢測項為路由起源授權(quán)間沖突檢測項；所述路由起源授權(quán)間沖突檢測項匹配的目標(biāo)查找表為基于所述路由起源授權(quán)表生成的路由起源授權(quán)基數(shù)樹；所述排除模塊，還用于：

43、針對所述第一待檢測集合中的每個第一待測資源子數(shù)據(jù)，將所述第一待測資源子數(shù)據(jù)與所述第二待檢測集合中對應(yīng)數(shù)據(jù)關(guān)聯(lián)關(guān)系的至少一個第二待測資源子數(shù)據(jù)進(jìn)行統(tǒng)一資源標(biāo)識符的匹配，得到第六匹配結(jié)果；其中，所述第一待測資源子數(shù)據(jù)為自治系統(tǒng)對應(yīng)的第三授權(quán)網(wǎng)際協(xié)議地址前綴，所述第二待測資源子數(shù)據(jù)為在所述路由起源授權(quán)基數(shù)樹中，與所述第三授權(quán)網(wǎng)際協(xié)議地址前綴存在包含關(guān)系的第四授權(quán)網(wǎng)際協(xié)議地址前綴；

44、當(dāng)所述第六匹配結(jié)果表征存在目標(biāo)第六待測資源子數(shù)據(jù)的統(tǒng)一資源標(biāo)識符等于所述第一待測資源子數(shù)據(jù)的統(tǒng)一資源標(biāo)識符時，確定所述第一待測資源子數(shù)據(jù)與所述目標(biāo)第六待測資源子數(shù)據(jù)滿足非沖突條件；

45、對與所述第一待測資源子數(shù)據(jù)滿足所述非沖突條件的所述目標(biāo)第六待測資源子數(shù)據(jù)進(jìn)行排除；

46、獲取排除后剩余與所述第一待測資源子數(shù)據(jù)存在數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待測資源子數(shù)據(jù)的第一自治系統(tǒng)編號，以及所述第一待測資源子數(shù)據(jù)的第二自治系統(tǒng)編號；

47、當(dāng)存在所述第一自治系統(tǒng)編號和所述第二自治系統(tǒng)編號的其中一個為零時，將所述第一自治系統(tǒng)編號和所述第二自治系統(tǒng)編號分別對應(yīng)的授權(quán)網(wǎng)際協(xié)議地址前綴確定為目標(biāo)待測資源子數(shù)據(jù)；

48、將所述目標(biāo)待測資源子數(shù)據(jù)作為所述第一待測資源子數(shù)據(jù)的第三子沖突檢測結(jié)果，并針對所述第一待檢測集合中的多個第一待測資源子數(shù)據(jù)對應(yīng)的多個第三子沖突檢測結(jié)果，確定所述待測資源分配數(shù)據(jù)在所述路由起源授權(quán)間沖突檢測項的沖突檢測結(jié)果。

49、相應(yīng)的，本技術(shù)實施例的第三方面提出了一種計算機(jī)設(shè)備，所述計算機(jī)設(shè)備包括存儲器和處理器，所述存儲器存儲有計算機(jī)程序，所述處理器執(zhí)行所述計算機(jī)程序時實現(xiàn)本技術(shù)第一方面實施例任一項所述的資源異常分配檢測方法。

50、相應(yīng)的，本技術(shù)實施例的第四方面提出了一種計算機(jī)可讀存儲介質(zhì)，所述存儲介質(zhì)存儲有計算機(jī)程序，所述計算機(jī)程序被處理器執(zhí)行時實現(xiàn)本技術(shù)第一方面實施例任一項所述的資源異常分配檢測方法。

51、本技術(shù)實施例通過獲取待測資源分配數(shù)據(jù)，并確定待測資源分配數(shù)據(jù)對應(yīng)的資源證書表和路由起源授權(quán)表；確定用于對待測資源分配數(shù)據(jù)進(jìn)行檢測的多個沖突檢測項，并根據(jù)資源證書表和路由起源授權(quán)表分別為每個沖突檢測項匹配目標(biāo)查找表；基于沖突檢測項對應(yīng)的數(shù)據(jù)關(guān)聯(lián)關(guān)系，從目標(biāo)查找表中確定沖突檢測項對應(yīng)的第一待檢測集合，以及與第一待檢測集合中的至少一個第一待測資源子數(shù)據(jù)具有數(shù)據(jù)關(guān)聯(lián)關(guān)系的第二待檢測集合；確定第一待檢測集合中的每個第一待測資源子數(shù)據(jù)與第二待檢測集合中的第二待測資源子數(shù)據(jù)的非沖突條件，對滿足非沖突條件的第一待測資源子數(shù)據(jù)和對應(yīng)的第二待測資源子數(shù)據(jù)進(jìn)行排除，并將排除后剩余的目標(biāo)待測資源子數(shù)據(jù)確定為對應(yīng)沖突檢測項的沖突檢測結(jié)果；基于多個沖突檢測項對應(yīng)的多個沖突檢測結(jié)果，得到待測資源分配數(shù)據(jù)的資源異常分配檢測結(jié)果。以此，能夠在不同沖突檢測項中對待測資源分配數(shù)據(jù)進(jìn)行對應(yīng)檢測，不僅能夠跨發(fā)布點檢測，消除潛在的資源沖突漏檢問題，還能通過精確匹配和條件排除提高檢測準(zhǔn)確性，因而顯著提升了資源異常分配檢測的全面性和精確性。