用于控制域间路由变更的方法、边界路由器和系统技术方案

本发明专利技术公开一种用于控制域间路由变更的方法、边界路由器和系统。其中在用于控制域间路由变更的方法中，边界路由器当接收到跨域发布的路由变更信息时，从路由变更信息中提取出路由信息、与路由信息相关联的路由信息签名、以及路由变更信息发布者所属AS的数字证书，利用与数字证书相关联的公钥对路由信息签名进行解密，若解密成功，则将路由信息作为路由候选条目添加到路由表数据库中，从而实现路由表更新。通过利用与数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证，从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁，实现对BGP域间路由的路由可信变更控制。

【技术实现步骤摘要】

本专利技术涉及通信领域，特别涉及一种用于控制域间路由变更的方法、边界路由器和系统。
技术介绍
目前，互联网的域间路由选择通过BGP(BorderGatewayProtocol，边界网关协议)路由信息交换来完成。但是，BGP路由协议在设计之处，对域间路由的变更缺乏完善的安全设计，AS(AutonomousSystem，自治系统)边界路由器无条件信任BGP邻居发送的路由变更信息。此安全漏洞导致运营商面临路由劫持、伪造路由攻击等安全风险，严重威胁到互联网基础设施的日常运营。因此互联网域间路由变更的可信控制已成为全世界运营商共同的关注热点。
技术实现思路
本专利技术实施例提供一种用于控制域间路由变更的方法、边界路由器和系统。通过对跨域发布的路由信息进行安全验证，从而有效解决了因协议安全漏洞而存在的安全威胁，实现对BGP域间路由的路由可信变更控制。根据本专利技术的一个方面，提供一种用于控制域间路由变更的方法，包括：当接收到跨域发布的路由变更信息时，从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书；利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密；若所述公钥能够对所述路由信息签名成功解密，则将所述路由信息作为路由候选条目添加到路由表数据库中，从而实现路由表更新。在一个实施方式中，若所述公钥能够对所述路由信息签名成功解密，还包括：对所述路由信息进行HASH运算，以得到路由信息摘要H1；判断H1与H2是否相同，其中H2为所述公钥对所述路由信息签名成功解密后得到的信息；若H1与H2相同，则执行将所述路由信息作为路由候选条目添加到路由表数据库中的步骤。在一个实施方式中，利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤包括：判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥；若本地存储有与所述发布者所属AS的数字证书相关联的公钥，则利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密；若本地未存储与所述发布者所属AS的数字证书相关联的公钥，则从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥，并利用获取的公钥对所述路由信息签名进行解密。在一个实施方式中，若本地存储有与所述发布者所属AS的数字证书相关联的公钥，还包括：判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的时间戳信息是否合法；若所述时间戳信息合法，则执行利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤。在一个实施方式中，若所述时间戳信息不合法，则执行从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥的步骤。在一个实施方式中，在跨域发布路由信息时，对跨域发布的路由信息进行HASH运算，以得到路由信息摘要；利用CA分配给当前域的私钥对路由信息摘要进行加密，以得到与所述跨域发布的路由信息相关联的路由信息签名；跨域发布路由变更信息，其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。根据本专利技术的另一方面，提供一种用于控制域间路由变更的边界路由器，包括接口单元、提取单元、身份验证单元和更新单元，其中：接口单元，用于接收跨域发布的路由变更信息；提取单元，用于当接口单元接收到跨域发布的路由变更信息时，从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书；身份验证单元，用于利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密；更新单元，用于根据身份验证单元的验证结果，若所述公钥能够对所述路由信息签名成功解密，则将所述路由信息作为路由候选条目添加到路由表数据库中，从而实现路由表更新。在一个实施方式中，边界路由器还包括完整性验证单元，其中：完整性验证单元，用于在身份验证单元指示所述公钥能够对所述路由信息签名成功解密时，对所述路由信息进行HASH运算，以得到路由信息摘要H1；判断H1与H2是否相同，其中H2为所述公钥对所述路由信息签名成功解密后得到的信息；若H1与H2相同，则指示更新单元执行将所述路由信息作为路由候选条目添加到路由表数据库中的操作。在一个实施方式中，身份验证单元具体判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥；若本地存储有与所述发布者所属AS的数字证书相关联的公钥，则利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密；若本地未存储与所述发布者所属AS的数字证书相关联的公钥，则从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥，并利用获取的公钥对所述路由信息签名进行解密。在一个实施方式中，身份验证单元还用于在本地存储有与所述发布者所属AS的数字证书相关联的公钥时，判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的时间戳信息是否合法；若所述时间戳信息合法，则执行利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的操作。在一个实施方式中，身份验证单元还用于在所述时间戳信息不合法时，执行从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥的操作。在一个实施方式中，边界路由器还包括信息签名单元，其中：信息签名单元，用于在跨域发布路由信息时，对跨域发布的路由信息进行HASH运算，以得到路由信息摘要；利用CA分配给当前域的私钥对路由信息摘要进行加密，以得到与所述跨域发布的路由信息相关联的路由信息签名；接口单元还用于跨域发布路由变更信息，其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。根据本专利技术的另一方面，提供一种用于控制域间路由变更的系统，包括认证授权中心CA和至少一个自治系统AS，其中每个AS包括边界路由器，其中：所述边界路由器为上述任一实施例涉及的边界路由器；CA，用于向每个AS分配数字证书及相应的公钥和私钥。本专利技术通过利用与路由信息发布者所属AS的数字证书相关联的密钥对本文档来自技高网...

【技术保护点】
一种用于控制域间路由变更的方法，其特征在于，包括：当接收到跨域发布的路由变更信息时，从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书；利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密；若所述公钥能够对所述路由信息签名成功解密，则将所述路由信息作为路由候选条目添加到路由表数据库中，从而实现路由表更新。

【技术特征摘要】
1.一种用于控制域间路由变更的方法，其特征在于，包括：
当接收到跨域发布的路由变更信息时，从所述路由变更信息中提取
出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变
更信息发布者所属自治系统AS的数字证书；
利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信
息签名进行解密；
若所述公钥能够对所述路由信息签名成功解密，则将所述路由信息
作为路由候选条目添加到路由表数据库中，从而实现路由表更新。
2.根据权利要求1所述的方法，其特征在于，
若所述公钥能够对所述路由信息签名成功解密，还包括：
对所述路由信息进行HASH运算，以得到路由信息摘要H1；
判断H1与H2是否相同，其中H2为所述公钥对所述路由信息签
名成功解密后得到的信息；
若H1与H2相同，则执行将所述路由信息作为路由候选条目添加
到路由表数据库中的步骤。
3.根据权利要求1或2所述的方法，其特征在于，
利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信
息签名进行解密的步骤包括：
判断本地是否存储有与所述发布者所属AS的数字证书相关联的公
钥；
若本地存储有与所述发布者所属AS的数字证书相关联的公钥，则
利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述
路由信息签名进行解密；
若本地未存储与所述发布者所属AS的数字证书相关联的公钥，则
从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公

\t钥，并利用获取的公钥对所述路由信息签名进行解密。
4.根据权利要求3所述的方法，其特征在于，
若本地存储有与所述发布者所属AS的数字证书相关联的公钥，还
包括：
判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的
时间戳信息是否合法；
若所述时间戳信息合法，则执行利用本地存储的与所述发布者所属
AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤。
5.根据权利要求4所述的方法，其特征在于，
若所述时间戳信息不合法，则执行从认证授权中心CA获取与所述
发布者所属AS的数字证书相关联的公钥的步骤。
6.根据权利要求1或2所述的方法，其特征在于，还包括：
在跨域发布路由信息时，对跨域发布的路由信息进行HASH运算，
以得到路由信息摘要；
利用CA分配给当前域的私钥对路由信息摘要进行加密，以得到与
所述跨域发布的路由信息相关联的路由信息签名；
跨域发布路由变更信息，其中路由变更信息包括所述跨域发布的路
由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA
分配给当前域的数字证书。
7.一种用于控制域间路由变更的边界路由器，其特征在于，包括
接口单元、提取单元、身份验证单元和更新单元，其中：
接口单元，用于接收跨域发布的路由变更信息；
提取单元，用于当接口单元接收到跨域发布的路由变更信息时，从
所述路由变更信息中提取出路由信息、与所述路由信息相关...

【专利技术属性】
技术研发人员：王帅，余晓光，黄维龙，刘东鑫，肖宇峰，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京;11