專利名稱:前綴與as映射關(guān)系的管理方法�����、報文處理方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及域間;洛由協(xié)議技術(shù)����,更具體地說,涉及一種域間路由協(xié)議中 建立地址空間(前綴)和AS (Autonomous System,自治系統(tǒng))之間映射關(guān) 系的方法�����,以及基于上述方法得出的前綴和AS之間映射關(guān)系的報文處理方法 和裝置����。
背景技術(shù):
目前,ICANN(lnternet Corporation for Assigned Names and Numbers,
互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu))是負(fù)責(zé)對全球Internet上IP地址進(jìn)行統(tǒng)一 編號分配的機(jī)構(gòu)����。ICANN將IP地址分配給大洲級的RIR (RIR, Regional Internet Registry,地方性Internet注冊機(jī)構(gòu)),如APNIC (Asia and Pacific Network Information Center,亞太地區(qū)互聯(lián)網(wǎng)絡(luò)信息中心)等,這些RIR負(fù) 責(zé)各大洲范圍內(nèi)IP地址的分配和登記注冊����。通常RIR會進(jìn)一步地分配地址給 下一級注冊組織,如NIR (National Internet Registry,國家級Internet注冊 機(jī)構(gòu))或者大型ISPs(lnternet Service Providers, Internet服務(wù)提供商)��,同 時授予這些NIR或者大型ISPs指定(Assignment)和分配(Allocation)地址 空間的權(quán)利。通常��,NIR或者大型ISPs根據(jù)授權(quán)����,進(jìn)一步地指定地址空間到 一些小型ISPs。其中���,指定的地址空間是指委托(delegate)給一個ISP的 地址空間�����,以供其在建立的網(wǎng)絡(luò)中使用�,該ISP凈皮稱之為^皮指定地址空間的 擁有ISP�,且已指定的地址不允許在往下層指定給其它ISPs。分配的地址空 間是指分配給IRs或者大型ISPs的地址空間�����,以供進(jìn)一步分配之用�。最終, 網(wǎng)絡(luò)中的所有ISPs都將獲得指定的地址空間(也稱為前綴)���。如圖1所示��, 為現(xiàn)有技術(shù)前綴分配示意圖��。
但是����,在實(shí)際地址分配結(jié)構(gòu)中��,IR或者大型ISPs僅負(fù)責(zé)分配地址空間到 下層ISP����,而不明確這些地址空間(前綴)中哪些地址屬于指定地址,哪些地 址屬于分配地址����。AS是internet的組成部分,每個AS包括處于一個ISP管理之下的若干 網(wǎng)絡(luò)和路由器���。ISP將獲得的指定前綴進(jìn)一步指定給位于一個或者多個AS中 的終端設(shè)備使用�,從而使得一個AS中所有終端設(shè)備獲得的前綴與該AS之間 建立起映射關(guān)系��,在BGP ( Border Gateway Protocol,邊界網(wǎng)絡(luò)協(xié)i義)中�, 這種映射關(guān)系意味著該AS獲得了指定前綴擁有ISP的授權(quán),能夠發(fā)起這些 指定前綴可達(dá)的路由通告��。
所述BGP是為TCP/IP網(wǎng)絡(luò)設(shè)計的用于AS之間的路由協(xié)議,該協(xié)議的 基本功能是與其它BGP自治系統(tǒng)交換網(wǎng)絡(luò)層可達(dá)信息(Net Layer Researchable Information, NLRI)�����。具有以下特點(diǎn)
1 )基于策略
BGP允許每個AS可以根據(jù)自己的需求獨(dú)立定義路由策略���,并結(jié)合BGP 更新報文中所攜帶的路徑屬性實(shí)現(xiàn)策略選擇路由�。
2) 路徑矢量
BGP更新報文攜帶AS_PATH路徑屬性�����。所述AS—PATH記錄了該路由
所經(jīng)自治系統(tǒng)的號碼列表��,其中最后一個就是該更新報文的發(fā)起AS號碼��。
3) 基于前綴
BGP更新報文的NLRI域攜帶了與發(fā)起AS存在映射關(guān)系的前綴列表�, 以向其它自治系統(tǒng)通告網(wǎng)絡(luò)層可達(dá)信息。
4) 增量式更新
兩個支持BGP的路由器之間初始交換的路由信息是整個BGP路由表���, 此后����,僅僅在BGP路由表有改動(包括舊路由的撤銷��、新路由的建立)時通 過更新才艮文來宣告這種改變。
但是�,BGP沒有驗(yàn)證更新報文的發(fā)起AS和NLRI域中前綴之間是否存 在映射關(guān)系�����,即BGP沒有驗(yàn)證發(fā)起AS是否被授予"發(fā)出NLRI中前綴可達(dá) 的路由通告"的權(quán)利�����,因此容易受到"前綴劫持"攻擊���。如果一個AS惡意地 發(fā)出非本AS內(nèi)前綴的可達(dá)路由通告����,稱此前綴被這個惡意AS劫持��,該AS 被稱為劫持AS�����,該AS這種惡意行為就被稱為"前綴劫持"攻擊����。當(dāng)前綴劫 持攻擊發(fā)生后�,網(wǎng)絡(luò)中的自治系統(tǒng)分別收到來自合法AS和劫持AS的被劫持 前綴可達(dá)的路由通告�����。由于沒有任何驗(yàn)證機(jī)制���,接收到該路由通告的AS將根 據(jù)BGP最優(yōu)路由選擇規(guī)則���,選擇出 一條最優(yōu)路由,如果選擇劫持AS通告的路由作為可達(dá)一皮劫持前綴的最優(yōu)路由����,那么該AS發(fā)出的到達(dá)被劫持前綴的數(shù)
據(jù)報文會被路由到劫持AS。那么�,該劫持AS可以將這些數(shù)據(jù)報文丟棄,形 成流量黑洞�����,或者對數(shù)據(jù)報文進(jìn)行竊聽/記錄/修改���,甚至扮演合法AS中報文 接收者的行為����,主動響應(yīng)被劫報文的發(fā)送者。另外��,最新研究發(fā)現(xiàn)�,垃圾郵 件發(fā)送者經(jīng)常采用這種劫持前綴的方式發(fā)送垃圾郵件。
為了應(yīng)對前綴劫持攻擊����,加強(qiáng)BGP的安全性�����,需要建立前綴和AS之間 的映射關(guān)系?,F(xiàn)有方法根據(jù)所采用的信任模型,分為以下兩類
1 �����、基于分布式信任模型的psBGP ( pretty secure BGP)
psBGP受當(dāng)不存在可信任權(quán)威機(jī)構(gòu)時����,人類彼此之間獲取信任的方式啟 發(fā)的。每個AS創(chuàng)建一個綁定AS和前綴的前綴聲明列表�,其中包含本AS和 對等體AS,以向外聲明與自己存在映射關(guān)系的前綴,及本AS認(rèn)為與對等體 AS存在映射關(guān)系的前綴���。如果一個自治系統(tǒng)作出的關(guān)于自己的前綴聲明與任 意一個對等體AS做出的關(guān)于該AS的前綴聲明一致�����,就認(rèn)為這個前綴聲明是 正確的����,即該AS與聲明中的前綴之間存在映射關(guān)系�����。
但是�����,選擇一個可信任的對等體AS是異常困難的�,如果某一AS選擇相 同機(jī)構(gòu)管理下對等體AS的前綴聲明,則對于其他AS來說��,很難判斷該AS 及所述對等體AS是否可信�,因?yàn)樗鼈冎g可能彼此串通的。另外��,psBGP 的設(shè)計者也不建議這種選擇,但是如果根據(jù)設(shè)計者的建議���,選擇不同機(jī)構(gòu)管 理下的對等體自治系統(tǒng)的前綴聲明��,則可能會生成錯誤的一致性驗(yàn)證失敗的 結(jié)果�����,也就是說�,某一AS和所選對等體AS的前綴聲明不一致����,僅僅因?yàn)閷?等體AS有意提供了 一個錯誤的前綴聲明����。
2、基于集中式信任模型的方法�,包括S-BGP(secure BGP)、 soBGP(secure origin BGP)����、 SPV(Secure Path Vector)、 APA(Aggregated Path Authentication)和OA(Origin Authentication^
其中���,以O(shè)A最為典型���。OA的方法的主要思想是生成前綴分配路徑上 每一步分配的地址分配證明����,以及擁有ISP生成前綴和AS映射關(guān)系證明�����。 驗(yàn)證者首先-瞼證所有地址分配證明的正確性以確定擁有ISP,然后�����,-驗(yàn)ii前綴 和AS映射關(guān)系證明是否由該擁有ISP生成���,若是���,建立映射證明中前綴和 AS之間的映射關(guān)系。但是�,在實(shí)際地址分配過程中,IR/上層ISP僅負(fù)責(zé)分配地址空間到下層 ISP�,而不明確這些地址中哪些是指定地址空間,哪些是分配地址空間�。因此��, OA方法中的地址分配證明僅能夠保證沿著地址分配證明提供的分配路徑���,前 綴從ICANN分配到最后一個地址分配證明中的下層ISP,但是不能夠保證該 下層ISP就是此前綴的擁有ISP。于是�,當(dāng)前綴實(shí)際分配5^徑上的某個非擁 有ISP惡意地生成前綴和某個AS的映射關(guān)系證明時,將會給驗(yàn)證者傳遞"該 非擁有ISP指定的AS與前綴之間存在映射關(guān)系"���。這種情況下�,即使網(wǎng)絡(luò) 中所有AS都部署了 OA機(jī)制����, 一些網(wǎng)絡(luò)發(fā)起的到達(dá)前綴的凄t據(jù)報文仍然會被 轉(zhuǎn)發(fā)到惡意ISP指定的AS,發(fā)生前綴劫持攻擊�。由于這類攻擊僅前綴分配路 徑上擁有ISP的上層ISPs能夠發(fā)起,所以稱之為上層ISP前綴劫持攻擊����。
從上述內(nèi)容可以看出�,現(xiàn)有技術(shù)不存在一種有效的關(guān)于前綴路由的驗(yàn)證 機(jī)制,容易受到前綴劫持攻擊���。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明提供一種地址空間(前綴)和自治系統(tǒng)之間映射關(guān)系 的管理方法、報文處理方法和裝置�,以解決現(xiàn)有技術(shù)容易受到前綴劫持攻擊 的問題。
本發(fā)明是這樣實(shí)現(xiàn)的
一種前綴和自治系統(tǒng)之間映射關(guān)系管理方法�����,包括 當(dāng)前組織在下發(fā)前綴的同時����,生成并下發(fā)前綴分配路徑及證明; 其下一級組織對接收到的前綴分配路徑及證明進(jìn)行馬全i正����; 當(dāng)驗(yàn)證通過時,獲得前綴的分配路徑�����,向預(yù)設(shè)的第三方提供���; 所述預(yù)設(shè)的第三方依據(jù)該信息確定前綴的最長有效分配3各徑�,進(jìn)而建立 前綴和提供該最長分配路徑的AS之間的映射關(guān)系����。 優(yōu)選的���,還包括
所述預(yù)設(shè)的第三方將建立的網(wǎng)絡(luò)中所有AS和前綴的映射表離線下發(fā)到 各AS中的^^由器。
優(yōu)選的�����,所述預(yù)設(shè)的第三方將獲得的包含AS號碼�、前綴分配路徑的信息 存儲在預(yù)設(shè)的知識庫中。優(yōu)選的���,該信息中包含證明簽名�����,所述預(yù)設(shè)的第三方按照以下步驟確定
前綴的有效分配路徑
所述預(yù)設(shè)的第三方對網(wǎng)絡(luò)中各AS提供的信息中的前綴分配路徑和證明 簽名進(jìn)行驗(yàn)證�����,當(dāng)-瞼證通過時����,確定其中包含的前綴分配3各徑為前綴的有效 分配路徑����。
優(yōu)選的,建立前綴和AS之間的映射關(guān)系包括 確定前綴的最長有效分配路徑��,及提供該路經(jīng)的AS; 建立該前綴與該AS之間的映射關(guān)系��,并^t安照此方式建立網(wǎng)絡(luò)中所有AS 和前綴的映射關(guān)系�����。
優(yōu)選的����,建立前綴和AS之間的映射關(guān)系還包括
當(dāng)前綴存在多個最長有效分配路徑時,建立前綴和多個AS之間的映射關(guān)系����。
優(yōu)選的,所述預(yù)設(shè)的知識庫數(shù)量為多個��,彼此相連����,周期性進(jìn)行信息交
互以保持同步。
本發(fā)明還公開了一種數(shù)據(jù)報文處理方法��,包括
AS中的路由器收到數(shù)據(jù)報文,獲取該數(shù)據(jù)報文的目的IP地址�����;
當(dāng)該數(shù)據(jù)報文的目的IP地址屬于本AS內(nèi)的主機(jī)的IP地址時��,查詢預(yù)先
建立的前綴和AS的映射關(guān)系��;當(dāng)本AS與數(shù)據(jù)報文中的目的IP地址不存在
映射關(guān)系����,或者,數(shù)據(jù)報文中源IP地址與源AS號碼之間不存在映射關(guān)系時�,
丟棄該數(shù)據(jù)報文。 優(yōu)選的�,還包括
當(dāng)該數(shù)據(jù)^J:的目的IP地址不屬于本AS內(nèi)的主機(jī)的IP地址時,查詢預(yù) 先建立的前綴和AS的映射關(guān)系����,獲得目的IP地址對應(yīng)的目的AS號碼;
將本AS號碼和目的AS號碼及所述數(shù)據(jù)才艮文進(jìn)行封裝后����,轉(zhuǎn)發(fā)給所述目 的AS號碼對應(yīng)的AS。
優(yōu)選的�����,所述前綴和AS的映射關(guān)系存儲在預(yù)先設(shè)置的知識庫中����。
優(yōu)選的,所述知識庫的數(shù)量為多個����,彼此相連,周期性進(jìn)行信息交互以 保持同步����。
同時,本發(fā)明還提供一種BGP更新報文處理方法���,包括
AS中的路由器收到BGP更新報文后����,獲取該報文的NLRI信息和源AS;查詢預(yù)先獲得的前綴和AS映射關(guān)系�����,判斷NLRI中前綴和所述源AS之 間是否存在映射關(guān)系�����,若是,進(jìn)一步執(zhí)行BGP更新報文處理過程���;否則�����,丟 棄該更新纟艮文����。
本發(fā)明還公開一種數(shù)據(jù)報文處理裝置��,包括 知識庫����,用于存儲指示前綴和AS的映射關(guān)系的參考信息; 第一信息獲取單元����,用于接收數(shù)據(jù)報文,并獲取該數(shù)據(jù)報文的目的IP地 址和源IP i也址�����;
第一判斷單元,用于判斷該數(shù)據(jù)報文是本AS內(nèi)主機(jī)發(fā)出的到達(dá)其它AS 內(nèi)主機(jī)的數(shù)據(jù)報文�,還是其它AS轉(zhuǎn)發(fā)過來的封裝數(shù)據(jù)報文;
第一處理單元�,用于當(dāng)該數(shù)據(jù)報文是本AS內(nèi)主機(jī)發(fā)出的到達(dá)其它AS內(nèi) 主機(jī)的數(shù)據(jù)報文時,根據(jù)源和目的AS號碼封裝數(shù)據(jù)報文��,并提供給轉(zhuǎn)發(fā)單元��;
第二判斷單元�,用于當(dāng)數(shù)據(jù)報文是其它AS轉(zhuǎn)發(fā)過來的封裝數(shù)據(jù)^^文時���, 判斷該封裝數(shù)據(jù)報文的目的AS號碼與本AS號碼是否相同���;
第三判斷單元,用于當(dāng)該封裝數(shù)據(jù)報文的目的AS號碼與本AS號碼相同 時����,查詢所述參考信息,判斷封裝數(shù)據(jù)報文中的源�����、目的IP地址與源�、目的 AS號碼之間是否存在映射關(guān)系����;
第二處理單元�,用于當(dāng)封裝數(shù)據(jù)報文中的源IP地址與源AS號碼,或者 目的IP地址和目的AS號碼不存在映射關(guān)系時���,丟棄該封裝數(shù)據(jù)"l艮文�;否貝'J���, 將該封裝數(shù)據(jù)報文提供給轉(zhuǎn)發(fā)單元�����;
第三處理單元��,用于當(dāng)所述封裝數(shù)據(jù)^^艮文的目的AS號碼與本AS號碼不 相同時����,將封裝數(shù)據(jù)報文提供給轉(zhuǎn)發(fā)單元����;
轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)所述封裝數(shù)據(jù)報文���。
本發(fā)明同時還公開了 一種BGP更新報文處理裝置�,包括
知識庫,用于存儲指示前綴和AS的映射關(guān)系的參考信息�;
第二信息獲取單元,用于接收BGP更新報文��,獲取該報文的NLRI信息 和源AS;
第四判斷單元���,用于查詢所述參考信息,判斷NLRI中前綴和所述源AS 之間是否存在映射關(guān)系����;
第四處理單元,用于當(dāng)所述第四判斷單元判斷出NLRI中前綴和所述源 AS之間不存在映射關(guān)系時�,丟棄該BGP更新凈艮文。從上述的技術(shù)方案可以看出���,與現(xiàn)有技術(shù)相比���,本發(fā)明實(shí)施例通過建立
的前綴和AS之間的映射關(guān)系,并將該映射關(guān)系提供給網(wǎng)絡(luò)中各AS使用����,各 AS的路由器接收到報文后���,可根據(jù)該映射關(guān)系判斷接收到的路由通告中發(fā)起 AS是否被授權(quán)通告NLRI域中的前綴。如果發(fā)起AS和前綴之間不存在映射 關(guān)系��,則可認(rèn)為發(fā)起AS劫持了該前綴�����,于是直接丟棄該報文�����,從而有效地防 止前綴劫持的攻擊���。進(jìn)而加強(qiáng)了路由協(xié)議的安全性及保證所建立路由的正確 性����,從而進(jìn)一步最終保護(hù)整個Internet網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全�����。
本發(fā)明實(shí)施例可以應(yīng)用于現(xiàn)有的BGP協(xié)議���,也可以應(yīng)用于下一代基于 AS域間路由協(xié)議����,當(dāng)其應(yīng)用于下一代基于AS域間路由協(xié)議時,能夠有效正 確地建立全球前綴和AS的映射表�,向前推動基于AS域間路由協(xié)議的設(shè)計和咒善。
圖1為現(xiàn)有技術(shù)前綴分配示意圖2為本發(fā)明一種前綴和自治系統(tǒng)映射關(guān)系的管理方法實(shí)施例中AS獲得
分配路徑的流程圖3-A為一個IP地址實(shí)際分配示例系統(tǒng)���;
圖3-B為圖3-A所示的系統(tǒng)對應(yīng)的IP地址AS分配系統(tǒng)�����;
圖4為本發(fā)明一種前綴和自治系統(tǒng)映射關(guān)系的管理方法的實(shí)施例中建立
并分發(fā)前綴和AS之間映射關(guān)系的基本流程圖5為本發(fā)明一種前綴和自治系統(tǒng)映射關(guān)系的管理方法實(shí)施例中建立前
綴和AS映射關(guān)系的流程圖6為本發(fā)明一種BGP更新報文處理方法的實(shí)施例流程圖7為本發(fā)明一種數(shù)據(jù)報文處理方法的實(shí)施例流程圖8為本發(fā)明一種數(shù)據(jù)報文處理裝置的實(shí)施例的結(jié)構(gòu)示意圖9為本發(fā)明 一種BGP更新報文處理裝置的實(shí)施例的結(jié)構(gòu)示意圖�����。
具體實(shí)施方式
基于現(xiàn)有技術(shù)存在的問題,本發(fā)明提供了一種解決方案�,其基本思想是: (1 )預(yù)先建立前綴和AS之間的映射關(guān)系上一級組織在下發(fā)前綴的同 時,生成并下發(fā)前綴分配路徑及證明�����,并由下一級組織對4妄收到的前綴分配 路徑及證明進(jìn)行驗(yàn)證�,當(dāng)-驗(yàn)證通過時,向預(yù)設(shè)的第三方提供前綴分配3各徑及 證明�;所述預(yù)設(shè)的第三方由該信息確定前綴的最長有效分配^ 各徑��,進(jìn)而建立 前綴和提供該最長分配路徑的AS之間的映射關(guān)系����;
(2) AS中的路由器當(dāng)接收到路由通告時�����,依據(jù)上述建立的前綴和AS 之間的映射關(guān)系����,驗(yàn)證該路由通告中發(fā)起AS是否與被授權(quán)通告NLRI中的前 綴,若不是����,即可認(rèn)為發(fā)起AS劫持了該前綴,則直接丟棄該路由通告��。從而 有效地防止了前綴劫持攻擊���,加強(qiáng)路由協(xié)議的安全性及保證所建立路由的正 確性����,從而最終保護(hù)整個Internet網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。
為了使得本領(lǐng)域技術(shù)人員更好理解本發(fā)明技術(shù)方案��,下面結(jié)合附圖和實(shí) 施例進(jìn)4亍詳纟田4苗述�����。
本發(fā)明公開了 一種前綴和自治系統(tǒng)映射關(guān)系的建立方法���,其基本過程包 括兩部分
一是����,網(wǎng)絡(luò)中各個AS獲取對應(yīng)的前綴分配路徑及證明�; 二是,各AS將前綴分配路徑及證明提供給一預(yù)設(shè)第三方��,由該預(yù)設(shè)第三 方建立前綴最長有效分配路徑和AS的映射關(guān)系��。
該預(yù)設(shè)第三方一般為可信的機(jī)構(gòu)��,例如ISP網(wǎng)絡(luò)運(yùn)行中心���。 預(yù)先建立與IP地址實(shí)際分配系統(tǒng)并行的IP地址AS分配系統(tǒng)。 其具體的過程如下
根據(jù)IP地址實(shí)際分配系統(tǒng)中ISPs之間的層次關(guān)系���,這些ISPs擁有的 AS之間也形成了一個相應(yīng)的層次結(jié)構(gòu)�,為了便于描述,稱這種層次結(jié)構(gòu)為IP 地址AS分配系統(tǒng)����。因?yàn)镮P地址分配系統(tǒng)中的ICANN和Internet注冊初4勾不 擁有AS,所以這些機(jī)構(gòu)仍然存在于IP地址AS分配系統(tǒng)中。
實(shí)際上��, 一個ISP可能擁有多個AS,在這種情況下�����,本實(shí)施例認(rèn)為這些 AS彼此獨(dú)立且在IP地址AS分配系統(tǒng)中位于與對應(yīng)ISP同一層���。
在預(yù)先創(chuàng)建IP地址AS分配系統(tǒng)之后���,網(wǎng)絡(luò)中的各AS按照以下步驟獲 得前綴的分配路徑首先,APNIC在IP地址的分配過程中�,生成前綴的分配路徑及分配路徑
證明,其中����,分配路徑證明由每一步地址分配的分配證明組成,分配證明包
含源組織名稱(即APNIC)�、分配的前綴和目的組織名稱(也即獲得所述前 綴的組織名稱)。 例如
假設(shè)自治系統(tǒng)yAS/ss"er分配前綴jOA"e/i^s^sc油er到自治系統(tǒng)>ASsuftscr,ben則 定義(pre/)乂4Ssujbsc油e/", ASs(vbsc油er)的分酉己"i正明是[AS/ssue/"��,/3/"ef/X/\Ssui sc〃'ber��, ASs"bscr/'6er�����,S/y^ssubsc池er]/(S,'ssuer; 其中����,SA^ssubscribe/"表示^Ssj^sc油er的地址分 配證明序列號,初始時為零���。假設(shè)前綴jD的分配路徑是(yASf����,ASM,…
AS2力S"f );則可定義前綴p的分配路徑證明是
([/f ���,jDA"e/^s�,��,yAS�����,����,SHR,[AS,�,pre^s2,AS2,SHs7,... ��,[/AS"�,p,/A&��, SA^s^s"),其中��,pre/y;^s,含有前綴jD, 1S^t畫1��。
ICANN將前綴分配給RIR (如APNIC)����,并由RIR進(jìn)一步分配前綴。
各級別的組織都在分配IP的過程中����,生成相應(yīng)的前綴分配路徑及前綴分 配路徑證明���。處于中間層次的各組織可能包含多個AS,也可能包含一個AS, 圖2示出了本發(fā)明一種前綴和自治系統(tǒng)映射關(guān)系的管理方法實(shí)施例中AS獲得 前綴分配3各徑的過程�����,具體包括以下步驟
步驟S101����、當(dāng)前AS接收來自上級組織下發(fā)的前綴,及分配信息��。
該分配信息包含分配路徑和分配^各徑證明���。
步驟S102��、對分配證明進(jìn)行驗(yàn)證�,若驗(yàn)證通過��,則進(jìn)入步驟S103;否
則���,退出流程���。
驗(yàn)證的具體方式為針對上級組織提供的前綴分配路徑及證明����,對每一 步分配證明進(jìn)行驗(yàn)證��。
具體過程為針對上級組織提供的前綴分配i 各徑及證明����,根據(jù)前綴分配 路徑����,對每一步分配證明進(jìn)行驗(yàn)證。首先�,驗(yàn)證分配證明是否正確;其次��, 驗(yàn)證分配路徑中的上級AS和下級AS是否與分配路徑中相關(guān)信息一致���,然后�����, 驗(yàn)證分配路徑中的前綴是否包含前綴p �,最后����,驗(yàn)證分配路徑中的地址分配證 明序列號是否最新��。
步驟S103����、該AS對應(yīng)的組織是否繼續(xù)向下分配前綴��,若是��,進(jìn)入步驟 S104;否則���,進(jìn)入步驟S105���。步驟S104、獲得對應(yīng)前綴分配路徑及證明���,將需要分配的前綴下發(fā)���,同
時生成該分配的前綴的分配路徑及i正明并下發(fā)。
步驟S105�、獲得對應(yīng)的前綴分配路徑及證明。
下一級組織按照上述步驟S101-步驟S104進(jìn)行操作��。
需要說明的是, 一個ISP有可能擁有兩個或者兩個以上的AS�,在這種情 況下,本文認(rèn)為這些AS彼此獨(dú)立且在IP地址AS分配系統(tǒng)中位于對應(yīng)ISP 的同一層�����。如果該ISP為下層ISP分配地址���,它需要從擁有的多個自治系統(tǒng) 中選出 一個主自治系統(tǒng)。主自治系統(tǒng)的地址分配證明中含有與主自治系統(tǒng)存 在映射關(guān)系的前綴�����,分配給下層ISP的前綴以及該ISP從上層ISP獲得但是 未分配的前綴����。其它自治系統(tǒng)就是該ISP的從自治系統(tǒng)。如果ISP建立它擁 有的某個前綴與 一個從自治系統(tǒng)的映射關(guān)系��,那么在IP地址AS分配系統(tǒng)中���, 該前綴就被分配給這個從自治系統(tǒng)����。
下面通過一個具體例子進(jìn)一步進(jìn)行說明
圖3-A和圖3-B分別給出一個IP地址實(shí)際分配示例系統(tǒng)和與之對應(yīng)的IP 地址AS分配系統(tǒng)。
在圖2-A所示IP地址實(shí)際分配示例系統(tǒng)中�����,APNIC分配前綴(Prefix1�����, Prefix2�����, Prefix3��, Prefix4�����, Prefix5)到ISP1,其中指定前綴包括Prefix1和 Prefix2����,分配前綴包括Prefix3,Prefix4和Prefix5; ISP1進(jìn)一步地分配Prefix3 到ISP3�, Prefix5到ISP5。 ISP1擁有主自治系統(tǒng)AS1和從自治系統(tǒng)AS2, 且建立Prefix1和AS1的映射關(guān)系�,Prefix2和AS2的映射關(guān)系;ISP3擁有 自治系統(tǒng)AS3���, ISP5擁有自治系統(tǒng)AS5����。從而�����,獲得如圖3-B所示的IP地 址AS分配示例系統(tǒng)���。
A、當(dāng)APNIC分配(PrefiXhPrefiX3���, Prefix4�����, Prefix5)到AS��,時����,APNIC 生成前綴(Prefix,Prefix3�,Prefix4,Prefix5)的分配證明[APNIC���, PrefiXhPrefix3�,Prefix4�����,Prefix5�,AS"i,SNAs如Nic�。
并且,伴隨著前綴的分配����,APNIC下發(fā)分配路徑(AS^APNIC)和分配路 徑證明[APNIC,PrefiXhPrefix3�����,PrefJX4�����,Prefix5,AS^SNAs���,]APN,c到AS���,。 當(dāng) APNIC分配Prefix2到AS2時�,APNIC生成Prefix2的分配i正明 [APNIC,Prefix2,AS2��,SNAS2]APNIC����。并且���,伴隨著前綴的分配�����,APNIC下發(fā)分配路徑(AS2�,APNIC)和分配路 徑證明[APNIC�, Prefix2,AS2,SNAS2]APN,c到AS2���。
B��、 當(dāng)AS,分配Prefix3到AS3時�,AS,生成Prefix3的分配i正明 [AShPrefix3,AS3��,SNAS3]卦
并且��,伴隨著Prefix3的分配�,AS,下發(fā)分配路徑(AS3�,AS"APNIC)和分 配路徑證明([APNIC,PrefiX"!��,PrefiX3�,Prefix4,Prefix5��,AShSNAM]APNK:���,[ASh
Prefix3����,AS3,SNAS3]AS1���, AS3�。
C�����、 與ASs類似�,ASs獲得前綴Prefix5的分配路徑及^E明。
在各個AS都獲得前綴的分配路徑及證明之后�,進(jìn)入前綴分配路徑及證明 的分發(fā)過程。如圖4所示��,為本發(fā)明一種前綴和自治系統(tǒng)映射關(guān)系的管理方 法的實(shí)施例中建立并分發(fā)前綴和AS之間映射關(guān)系的基本流程圖����。
各自治系統(tǒng)簽名獲得前綴的分配路徑及證明后,執(zhí)行以下步驟
步驟S201 ���、將包含自治系統(tǒng)、前綴分配路徑和證明簽名的信息發(fā)送給ISP NOC (ISP Network Operation Center, ISP網(wǎng)絡(luò)運(yùn)行中心)��。
各自治系統(tǒng)簽名獲得前綴的分配路徑及證明����,生成包含自治系統(tǒng)�����、前綴 分配路徑和證明簽名的信息��,并發(fā)送給ISP NOC����。
步驟S202�����、 ISP NOC將獲得的信息上傳到預(yù)設(shè)的知識庫中�。
該知識庫數(shù)量可以為多個, 一般情況下可由大型的ISPs和Internet交換 點(diǎn)進(jìn)行維護(hù)���,小型ISPs僅利用這些知識庫�����。
各個知識庫彼此相連��,可以周期性地彼此交互以保持同步����。
步驟S203、 ISPNOC根據(jù)所述知識庫中的信息���,建立網(wǎng)絡(luò)中所有AS和
前綴的映射表���。
步驟S204、 ISPNOC將建立的網(wǎng)絡(luò)中所有AS和前綴的映射表下發(fā)��。��、" ISP NOC將建立的網(wǎng)絡(luò)中所有AS和前綴的映射表下發(fā)到自治系統(tǒng)中的
BGP路由器��。為了保證安全性����,建議采用離線發(fā)送的方式將映射表下發(fā)到路由器。
ISP NOC建立AS和前綴的映射表的過程如圖5所示��,具體包括以下步
驟
步驟S301 ���、 ISP NOC驗(yàn)證各AS上報的信息中前綴分配^各徑和證明簽名 是否由其中的AS生成��,若是��,進(jìn)入S302;否則�����,結(jié)束流程����。步驟S302�、驗(yàn)證其中前綴分配路徑和證明的正確性,驗(yàn)證通過時���,進(jìn)入
步驟S303;否則��,結(jié)束流程���。
步驟S303、生成前綴的有效分配路徑����,進(jìn)入步驟S304。
步驟S304�����、判斷前綴有效分配路徑的個數(shù),當(dāng)個數(shù)為1時����,進(jìn)入步驟 S305;當(dāng)個數(shù)為0時,結(jié)束流程���;當(dāng)個數(shù)大于1的時����,進(jìn)入步驟S306����。
步驟S305、建立前綴和提供有效分配路徑的AS之間的映射關(guān)系�,結(jié)束。
步驟S306��、獲取前綴最長有效分配路徑���。
步驟S307�����、判斷前綴最長有效分配路徑的個數(shù)�,當(dāng)個數(shù)為1時,進(jìn)入步 驟S305;當(dāng)個數(shù)為0時���,結(jié)束流程;當(dāng)個數(shù)大于1的時����,進(jìn)入步驟S308。
步驟S308����、建立前綴和提供這些最長分配路徑的AS之間的映射關(guān)系。
在上述步驟S204之后��,該ISP所擁有AS中的BGP路由器接收到ISP NOC下發(fā)的AS和前綴的映射表��。
本實(shí)施例可以應(yīng)用在多種協(xié)議中��。
當(dāng)應(yīng)用在BGP協(xié)議時���,其BGP路由器收到BGP更新報文后�����,按照圖6 所示流程進(jìn)行處理�,圖6為一種BGP才艮文處理方法的實(shí)施例流程圖。 具體包括以下步驟
步驟S401 ����、讀取BGP更新報文的NLRI信息和源AS。 讀取該更新報文的NLRI信息和源AS,也即AS—PATH路徑屬性中第一 個AS��。
步驟S402-步驟S403����、查詢預(yù)先獲得的前綴和AS映射關(guān)系,判斷NLRI 的前綴和源AS之間是否存在映射關(guān)系�����,若是��,進(jìn)入步驟S404;否則����,進(jìn)入 步驟S405。
步驟S404����、進(jìn)一步執(zhí)行BGP更新報文的處理過程���。 步驟S405、丟棄該BGP更新報文��。
本實(shí)施例中�,BGP路由器能夠根據(jù)預(yù)先建立的前綴和AS之間的映射關(guān) 系,判斷接收的路由通告中發(fā)起AS是否是被授權(quán)通告NLRI域中的前綴����,如 果發(fā)起AS和該前綴之間不存在映射關(guān)系�,則可認(rèn)為發(fā)起AS劫持了該前綴, 于是直接丟棄該數(shù)據(jù)報文�����。當(dāng)應(yīng)用于下一代基于AS域間路由協(xié)議時��,當(dāng)邊界路由器收到數(shù)據(jù)報文之
后���,按照圖7所示流程進(jìn)行處理�,圖7為一種數(shù)據(jù)報文處理方法的實(shí)施例流 程圖����。具體包括以下步驟
步驟S501 �����、獲取數(shù)據(jù)凈艮文的源��、目的IP地址����。
步驟S502���、判斷數(shù)據(jù)報文屬于哪種數(shù)據(jù)報文���,第一種數(shù)據(jù)報文由本 AS內(nèi)主機(jī)發(fā)出的到達(dá)其它AS內(nèi)主機(jī)的數(shù)據(jù)報文,第二種數(shù)據(jù)報文其它AS 轉(zhuǎn)發(fā)過來的封裝數(shù)據(jù)報文����。
若是第一種,進(jìn)入步驟S503;若是第二種����,則,進(jìn)入步驟S506���。
步驟S503��、根據(jù)目的IP地址�����,查詢知識庫中存儲的前綴和AS映射表���, 獲得目的AS號碼�。
步驟S504���、利用本AS號碼和目的AS號碼�����,對所述數(shù)據(jù)報文進(jìn)行封裝, 封裝后的數(shù)據(jù)報文的格式如下表所示
表1
源AS號碼 目的AS號碼
初始數(shù)據(jù)才艮文
步驟S505����、根據(jù)基于AS全球路由表,轉(zhuǎn)發(fā)封裝數(shù)據(jù)報文至下一跳AS, 結(jié)束��。
步驟S506-步驟S507�、邊界路由器接收到封裝數(shù)據(jù)報文后,判斷該封裝 數(shù)據(jù)報文的目的AS是否是本AS,若是�,進(jìn)入步驟S508;否則��,進(jìn)入步驟 S505�����。
步驟S508��、對數(shù)據(jù)報文的目的IP地址和源IP地址與本AS和源AS的 映射關(guān)系進(jìn)行驗(yàn)證���,若驗(yàn)證通過,則進(jìn)入步驟S509;否則���,進(jìn)入步驟S510�。 具體的驗(yàn)證方式為判斷本AS是否與數(shù)據(jù)報文中的目的IP地址存在映 射關(guān)系�,及數(shù)據(jù)報文中源IP地址是否與源AS號碼之間存在映射關(guān)系。
步驟S509����、根據(jù)所述數(shù)據(jù)報文中的目的IP地址,將該數(shù)據(jù)報文轉(zhuǎn)發(fā)到 目的主機(jī)����,結(jié)束。
步驟S510�、直接丟棄該數(shù)據(jù)^^艮文�,結(jié)束���。
本發(fā)明實(shí)施例建立前綴和AS之間的映射關(guān)系�����,能夠有效地防止前綴劫持 的攻擊����,加強(qiáng)了路由協(xié)議的安全性及保證所建立路由的正確性��,從而最終保 護(hù)整個互聯(lián)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全����。另外���,當(dāng)本發(fā)明實(shí)施例應(yīng)用于下一代基于AS域間路由協(xié)議時�����,能夠有效 正確地建立全球前綴和AS映射表�����,向前推動基于AS域間路由協(xié)議的設(shè)計和咒善���。
需要說明的是�����,在IP地址分配系統(tǒng)中���,任一 AS在任意時刻只擁有一個 前綴分配證明和一個前綴分配路徑及i正明,IP地址的AS分配系統(tǒng)構(gòu)成一個 樹型結(jié)構(gòu)����,當(dāng)葉子AS擁有的前綴發(fā)生變化時,這個AS需要更新自己的前綴 分配路徑和證明����。進(jìn)一步地,如果它是某個ISP的從AS�����,那么主AS和以主 AS為根的所有AS也需要更新自己的前綴分配路徑和證明�。
而非葉子AS擁有的前綴發(fā)生變化時,這個AS和以它為根的所有AS需 要更新自己的前綴分配路徑及證明。進(jìn)一步地�����,如果該自治系統(tǒng)是某個ISP 的主AS�,且它擁有前綴的變化與從AS相關(guān)(例如,前綴被分配給從AS) 時�,從AS也需要更新自己的前綴分配^各徑及證明。
>火而���,在IP地址AS分配系統(tǒng)中���,當(dāng)一個前綴分配狀態(tài)發(fā)生改變時,更 新前綴分配路徑和證明的過程包含以下情況
增加更新當(dāng)一個未分配的前綴被分配給一個新的AS時��,這個AS獲得 該前綴的分配路徑及證明�,如果這個AS是一個ISP的從AS時,那么該ISP 的主AS執(zhí)行撤銷更新���。
替換更新當(dāng)一個未分配前綴被分配給一個已存在的AS時�,這個AS的 分配證明序號加1��,獲得一個新的含有增加前綴的分配證明��,〗吏用新的分配i正 明替換舊的分配證明����;以該AS為根的所有AS更新自己的分配路徑證明,通 過使用該AS新的分配證明替換分配路徑證明中舊的分配證明�����;如果這個AS 是一個ISP的從AS,那么這個ISP的主AS執(zhí)行撤銷更新����;
不完全撤銷更新當(dāng)一個AS撤銷前綴,且該AS的分配證明仍然含有其 他前綴時���,該AS的分配證明序列號加1��,獲得一個新的不含有撤銷前綴的分 配證明�����,使用新的分配證明替換舊的分配證明���,以該AS為根的所有AS更新 自己的分配路徑證明,通過使用該AS新的分配證明替換分配路徑證明中舊的 分配證明���;如果該AS是一個ISP的從AS時����,該ISP的主AS執(zhí)行增加更新。
完全撤銷更新當(dāng)某個AS撤銷一個前綴��,且該AS的分配證明不含有其 他前綴��,則該AS的分配證明序列號清零�,且該AS的前綴分配路徑和證明無 效;如果該AS是某個ISP的從AS時�,該ISP的主AS扭Z亍增加更新。例如����,在圖3-B所示系統(tǒng)中,當(dāng)AS2撤銷Prefix2 (即ISP���,收回對AS2通 告Prefix2的授權(quán))時�,AS2執(zhí)行完全撤銷AS2的分配證明序列號清零且前綴 分配路徑和證明變無效;因?yàn)锳S2是ISP�,的從自治系統(tǒng),AS,執(zhí)行增加更新 獲得新的分配證明為APNK:,
且使用這個新的分配證明替換自己和AS3��,AS5中對應(yīng)的分配證明��,生成 新的分配路徑i正明����。AS3新的分配路徑證明是([APNIC,Prefix「Prefix2�����, Prefix3���,Prefix4����,Prefix5��,AShSU固c��,[AShPrefix3��,AS3��,SNAS3]As0
當(dāng)某個ISP擁有AS更新自己的前綴分配路徑及證明時��,ISP NOC向知 識庫上傳更新報文���,該更新報文的格式可以如下表所示
表2
AS號碼 更新類型 相關(guān)數(shù)據(jù)
當(dāng)更新類型為增加���、替換或者不完全撤銷時���,相關(guān)數(shù)據(jù)域含有一包含AS 號碼、前綴分配路徑和證明簽名的信息��。
當(dāng)更新類型為完全撤銷更新時����,相關(guān)數(shù)據(jù)域?yàn)榭铡?br>
于是,當(dāng)某知識庫在收到更新報文后��,除向其他知識庫洪泛更新寺艮文外�����, 根據(jù)更新類型執(zhí)行相應(yīng)的操作
當(dāng)更新類型為增加時����,知識庫增加一包含AS號碼、前綴分配^各徑和i正 明簽名的信息�����;
當(dāng)更新類型為替換或者不完全撤銷時,知識庫使用新的包含AS號碼����、前 綴分配路徑和證明簽名的信息����,替換該AS舊的包含AS號碼、前綴分配路徑 和證明簽名的信息����;
當(dāng)更新類型為完全招t銷更新時,知識庫刪除與知識庫中該AS的包含AS 號碼���、前綴分配路徑和證明簽名的信息�。
在知識庫執(zhí)行完更新操作后�����,通知ISP下載所有新更新的包含AS號碼���、 前綴分配路徑和證明簽名的信息����,或者,由ISP主動獲取該信息��。
對應(yīng)前文數(shù)據(jù)報文處理方法的實(shí)施例����,本發(fā)明同時還提供了 一種數(shù)據(jù)報 文處理裝置。
請參考圖8����,為本發(fā)明一種數(shù)據(jù)凈艮文處理裝置的實(shí)施例的結(jié)構(gòu)示意圖。數(shù)據(jù)報文處理裝置包括知識庫111��、第一信息獲取單元112����、第一判斷 單元113、第一處理單元114��、第二判斷單元115���、第三判斷單元116��、第二 處理單元117���、第三處理單元118和轉(zhuǎn)發(fā)單元119�����。
其中
所述知識庫111用于存儲指示前綴和AS的映射關(guān)系的參考信息��,該參 考信息可以以表^"的形式存在���,前綴和AS的映射關(guān)系的建立過程在前文已經(jīng) 詳細(xì)描述過,在此不再贅述�。
所述第一信息獲取單元112用于接收數(shù)據(jù)報文����,并獲取該數(shù)據(jù)報文的目 的IP i也址和源;也址。
所述第一判斷單元113用于根據(jù)數(shù)據(jù)報文的目的IP地址和源IP地址���, 判斷該數(shù)據(jù)報文的種類���,第一種是本AS內(nèi)主機(jī)發(fā)出的到達(dá)其它AS內(nèi)主機(jī) 的數(shù)據(jù)報文,第二種是其它AS轉(zhuǎn)發(fā)過來的封裝數(shù)據(jù)報文。
所述第一處理單元114用于當(dāng)該數(shù)據(jù)報文是本AS內(nèi)主機(jī)發(fā)出的到達(dá)其 它AS內(nèi)主機(jī)的數(shù)據(jù)報文時,根據(jù)源和目的AS號碼封裝數(shù)據(jù)報文��,并提供給 轉(zhuǎn)發(fā)單元119���,由該轉(zhuǎn)發(fā)單元119將該封裝數(shù)據(jù)報文轉(zhuǎn)發(fā)至下一跳地址����。
封裝后的數(shù)據(jù)報文格式如表3所示
表3
源AS號碼 目的AS號碼
初始數(shù)據(jù)報文
所述第二判斷單元115用于獲取所述第一判斷單元113的判斷結(jié)果�����,當(dāng) 數(shù)據(jù)報文是其它AS轉(zhuǎn)發(fā)過來的封裝數(shù)據(jù)報文時��,判斷該封裝數(shù)據(jù)報文的目的 AS號碼與本AS號碼是否相同��。
所述第三判斷單元116用于當(dāng)該封裝數(shù)據(jù)報文的目的AS號碼與本AS號 碼相同時����,查詢所述參考信息,判斷封裝數(shù)據(jù)報文中的源����、目的IP地址與源、 目的AS號碼之間是否存在映射關(guān)系����,也即判斷本AS與數(shù)據(jù)報文中的目 的IP地址是否存在映射關(guān)系,及判斷凄t據(jù)報文中源IP地址與源AS號碼之間 是否存在映射關(guān)系���。
所述第二處理單元117,用于獲:f又所述第三判斷單元116的判斷結(jié)果��, 當(dāng)封裝數(shù)據(jù)報文中的源IP地址與源AS號碼�,或者目的IP地址和目的AS號 碼不存在映射關(guān)系時,丟棄該封裝數(shù)據(jù)報文��;否則����,將該封裝數(shù)據(jù)報文提供 給所述轉(zhuǎn)發(fā)單元119,由該轉(zhuǎn)發(fā)單元119進(jìn)行轉(zhuǎn)發(fā)�。所述第三處理單元118用于獲:f又所述第二判斷單元115的判斷結(jié)果,當(dāng) 所述封裝數(shù)據(jù)報文的目的AS號碼與本AS號碼不相同時����,將封裝數(shù)據(jù)報文提 供給轉(zhuǎn)發(fā)單元119��,由該轉(zhuǎn)發(fā)單元119進(jìn)行轉(zhuǎn)發(fā)�。
所述知識庫111的數(shù)量可以為一個或者多個,當(dāng)為多個時��,各知識庫111 彼此相連����,周期性進(jìn)行信息交互以保持同步,也就是說保持其中數(shù)據(jù)的一致 性。
針對前文BGP更新l艮文處理方法�����,本發(fā)明同時還公開了一種執(zhí)行該方法 的BGP更新報文處理裝置����。
圖9示出了該裝置實(shí)施例的結(jié)構(gòu)示意圖。
BGP更新報文處理裝置包括知識庫211��、第二信息獲取單元212��、第 四判斷單元213和第四處理單元214��。 其中
所述知識庫211與前文知識庫111相同����,用于存儲指示前綴和AS的映 射關(guān)系的參考信息。
所述第二信息獲取單元212用于接收BGP更新報文�����,獲:f又該報文的NLRI 信息和源AS號碼����。
所述第四判斷單元213用于查詢所述參考信息,判斷NLRI中前綴和所 述源AS之間是否存在映射關(guān)系。
所述第四處理單元214用于當(dāng)所述第四判斷單元213判斷出NLRI中前 綴和所述源AS之間不存在映射關(guān)系時��,丟棄該BGP更新報文��。
而當(dāng)所述第四判斷單元213判斷出NLRI中前綴和所述源AS之間存在映 射關(guān)系時�,則由現(xiàn)有的處理單元對^JL進(jìn)行進(jìn)一步的處理。
本領(lǐng)域技術(shù)人員可以理解���,可以-使用許多不同的工藝和4支術(shù)中的任意一 種來表示信息����、消息和信號��。例如��,上述說明中提到過的消息���、信息都可以 表示為電壓、電流�、電磁波、磁場或磁性粒子�����、光場或以上任意組合。
專業(yè)人員還可以進(jìn)一步應(yīng)能意識到��,結(jié)合本文中所公開的實(shí)施例描述的 各示例的單元及算法步驟��,能夠以電子硬件����、計算機(jī)軟件或者二者的結(jié)合來 實(shí)現(xiàn),為了清楚地說明硬件和軟件的可互換性��,在上述說明中已經(jīng)按照功能 一般性地描述了各示例的組成及步驟��。這些功能究竟以硬件還是軟件方式來 執(zhí)行�,取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能��,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為 超出本發(fā)明的范圍���。
結(jié)合本文中所公開的實(shí)施例描述的方法或算法的步驟可以直接用硬件�、 處理器執(zhí)行的軟件模塊����,或者二者的結(jié)合來實(shí)施。軟件模塊可以置于隨機(jī)存
儲器(RAM)����、內(nèi)存�����、只讀存儲器(ROM)�����、電可編程ROM�����、電可^察除可 編程ROM�、寄存器�����、硬盤�����、可移動;茲盤�、CD-ROM��、或技術(shù)領(lǐng)域內(nèi)所/>知的 任意其它形式的存儲介質(zhì)中。
對所公開的實(shí)施例的上述說明����,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用 本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易 見的����,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下, 在其它實(shí)施例中實(shí)現(xiàn)�����。因此�,本發(fā)明將不會被限制于本文所示的這些實(shí)施例, 而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍�。
權(quán)利要求
1、一種前綴和自治系統(tǒng)之間映射關(guān)系管理方法�,其特征在于,包括當(dāng)前組織在下發(fā)前綴的同時��,生成并下發(fā)前綴分配路徑及證明����;其下一級組織對接收到的前綴分配路徑及證明進(jìn)行驗(yàn)證;當(dāng)驗(yàn)證通過時��,獲得前綴的分配路徑,向預(yù)設(shè)的第三方提供���;所述預(yù)設(shè)的第三方依據(jù)該信息確定前綴的最長有效分配路徑�,進(jìn)而建立前綴和提供該最長分配路徑的AS之間的映射關(guān)系�。
2、 如權(quán)利要求1所述的方法���,其特征在于�����,還包括 所述預(yù)設(shè)的第三方將建立的網(wǎng)絡(luò)中所有AS和前綴的映射表離線下發(fā)到各AS中的^各由器�����。
3���、 如權(quán)利要求1或2所述的方法,其特征在于���,所述預(yù)設(shè)的第三方將獲 得的包含AS號碼�����、前綴分配路徑的信息存儲在預(yù)設(shè)的知識庫中�。
4���、 如權(quán)利要求3所述的方法����,其特征在于���,該信息中包含證明簽名���,所 述預(yù)設(shè)的第三方按照以下步驟確定前綴的有效分配路徑所述預(yù)設(shè)的第三方對網(wǎng)絡(luò)中各AS提供的信息中的前綴分配路徑和證明 簽名進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證通過時�,確定其中包含的前綴分配3各徑為前綴的有效 分配路徑。
5�����、 如權(quán)利要求4所述的方法��,其特征在于����,建立前綴和AS之間的映射 關(guān)系包括確定前綴的最長有效分配路徑�,及提供該^各經(jīng)的AS; 建立該前綴與該AS之間的映射關(guān)系���,并按照此方式建立網(wǎng)絡(luò)中所有AS 和前綴的映射關(guān)系����。
6��、 如權(quán)利要求5所述的方法�����,其特征在于�����,建立前綴和AS之間的映射 關(guān)系還包括當(dāng)前綴存在多個最長有效分配路徑時����,建立前綴和多個AS之間的映射關(guān)系。
7��、 如權(quán)利要求5所述的方法���,其特征在于���,所述預(yù)設(shè)的知識庫數(shù)量為多 個����,彼此相連�����,周期性進(jìn)行信息交互以保持同步����。
8�����、 一種數(shù)據(jù)報文處理方法�����,其特征在于����,包括AS中的路由器收到數(shù)據(jù)報文,獲取該數(shù)據(jù)報文的目的IP地址; 當(dāng)該數(shù)據(jù)報文的目的IP地址屬于本AS內(nèi)的主機(jī)的IP地址時�,查詢預(yù)先 建立的前綴和AS的映射關(guān)系;當(dāng)本AS與數(shù)據(jù)報文中的目的IP地址不存在 映射關(guān)系��,或者�����,數(shù)據(jù)報文中源IP地址與源AS號碼之間不存在映射關(guān)系時����, 丟棄該數(shù)據(jù)報文。
9�、 如權(quán)利要求8所述的方法,其特征在于�,還包括 當(dāng)該數(shù)據(jù)報文的目的IP地址不屬于本AS內(nèi)的主機(jī)的IP地址時,查詢預(yù)先建立的前綴和AS的映射關(guān)系��,獲得目的IP地址對應(yīng)的目的AS號碼����;將本AS號碼和目的AS號碼及所述數(shù)據(jù)報文進(jìn)行封裝后,轉(zhuǎn)發(fā)給所述目 的AS號碼對應(yīng)的AS����。
10�、 如權(quán)利要求8或9所述的方法����,其特征在于,所述前綴和AS的映 射關(guān)系存儲在預(yù)先設(shè)置的知識庫中����。
11、 如權(quán)利要求11所述的方法���,其特征在于,所述知識庫的數(shù)量為多個����, 彼此相連,周期性進(jìn)行信息交互以保持同步���。
12���、 一種BGP更新4艮文處理方法,其特征在于���,包括AS中的路由器收到BGP更新報文后�����,獲取該"t艮文的NLRI信息和源AS;查詢預(yù)先獲得的前綴和AS映射關(guān)系�����,判斷NLRI中前綴和所述源AS之 間是否存在映射關(guān)系�����,若是�,進(jìn)一步執(zhí)行BGP更新報文處理過程;否則����,丟 棄該更新纟艮文。
13����、 一種數(shù)據(jù)報文處理裝置,其特征在于�,包括 知識庫,用于存儲指示前綴和AS的映射關(guān)系的參考信息�����; 第一信息獲取單元,用于接收數(shù)據(jù)報文����,并獲取該數(shù)據(jù)報文的目的IP地址和源IP地址;第一判斷單元����,用于判斷該數(shù)據(jù)報文是本AS內(nèi)主機(jī)發(fā)出的到達(dá)其它AS 內(nèi)主機(jī)的數(shù)據(jù)報文,還是其它AS轉(zhuǎn)發(fā)過來的封裝數(shù)據(jù)報文�;第一處理單元,用于當(dāng)該數(shù)據(jù)報文是本AS內(nèi)主機(jī)發(fā)出的到達(dá)其它AS內(nèi) 主機(jī)的數(shù)據(jù)報文時�����,根據(jù)源和目的AS號碼封裝數(shù)據(jù)報文�����,并提供給轉(zhuǎn)發(fā)單元��;第二判斷單元�,用于當(dāng)數(shù)據(jù)報文是其它AS轉(zhuǎn)發(fā)過來的封裝數(shù)據(jù)報文時�����, 判斷該封裝數(shù)據(jù)報文的目的AS號碼與本AS號碼是否相同;第三判斷單元����,用于當(dāng)該封裝數(shù)據(jù)報文的目的AS號碼與本AS號碼相同 時,查詢所述參考信息�,判斷封裝數(shù)據(jù)報文中的源、目的IP地址與源�����、目的 AS號碼之間是否存在映射關(guān)系�;第二處理單元,用于當(dāng)封裝數(shù)據(jù)報文中的源IP地址與源AS號碼��,或者 目的IP地址和目的AS號碼不存在映射關(guān)系時�����,丟棄該封裝數(shù)據(jù)"R文��;否則��, 將該封裝數(shù)據(jù)報文提供給轉(zhuǎn)發(fā)單元�;相同時,將封裝數(shù)據(jù)報文提供給轉(zhuǎn)發(fā)單元����; 轉(zhuǎn)發(fā)單元�����,用于轉(zhuǎn)發(fā)所述封裝數(shù)據(jù)報文���。
14、 一種BGP更新報文處理裝置����,其特征在于,包括 知識庫���,用于存儲指示前綴和AS的映射關(guān)系的參考信息�����; 第二信息獲取單元,用于接收BGP更新報文�,獲取該報文的NLRI信息和源AS;第四判斷單元,用于查詢所述參考信息�����,判斷NLRI中前綴和所述源AS 之間是否存在映射關(guān)系;第四處理單元����,用于當(dāng)所述第四判斷單元判斷出NLRI中前綴和所述源 AS之間不存在映射關(guān)系時,丟棄該BGP更新報文�����。
全文摘要
本發(fā)明公開了一種前綴和自治系統(tǒng)之間映射關(guān)系管理方法��,包括當(dāng)前組織在下發(fā)前綴的同時�,生成并下發(fā)前綴分配路徑及證明;其下一級組織對接收到的前綴分配路徑及證明進(jìn)行驗(yàn)證�;當(dāng)驗(yàn)證通過時,獲得前綴的分配路徑���,向預(yù)設(shè)第三方提供前綴的分配路徑及證明���;ISP網(wǎng)絡(luò)運(yùn)行中心由該信息確定前綴的最長有效分配路徑,進(jìn)而建立前綴和AS之間的映射關(guān)系��?����;谏鲜龇椒ń⑶熬Y和自治系統(tǒng)之間映射關(guān)系,本發(fā)明同時還公開了報文處理方法和裝置��。本發(fā)明實(shí)施例可以有效避免前綴劫持攻擊�����。另外�����,當(dāng)其應(yīng)用于下一代基于AS域間路由協(xié)議時����,能夠有效正確地建立全球前綴和AS的映射表,向前推動基于AS域間路由協(xié)議的設(shè)計和完善��。
文檔編號H04L12/56GK101588343SQ20081009772
公開日2009年11月25日 申請日期2008年5月20日 優(yōu)先權(quán)日2008年5月20日
發(fā)明者劉建強(qiáng), 張興明, 朱宣勇, 娜 王, 涓 申, 程東年, 黃萬偉, 黃慧群 申請人:中國人民解放軍信息工程大學(xué)