【技术实现步骤摘要】
本专利技术涉及通信领域,特别涉及一种用于控制域间路由变更的方法、边界路由器和系统。
技术介绍
目前,互联网的域间路由选择通过BGP(BorderGatewayProtocol,边界网关协议)路由信息交换来完成。但是,BGP路由协议在设计之处,对域间路由的变更缺乏完善的安全设计,AS(AutonomousSystem,自治系统)边界路由器无条件信任BGP邻居发送的路由变更信息。此安全漏洞导致运营商面临路由劫持、伪造路由攻击等安全风险,严重威胁到互联网基础设施的日常运营。因此互联网域间路由变更的可信控制已成为全世界运营商共同的关注热点。
技术实现思路
本专利技术实施例提供一种用于控制域间路由变更的方法、边界路由器和系统。通过对跨域发布的路由信息进行安全验证,从而有效解决了因协议安全漏洞而存在的安全威胁,实现对BGP域间路由的路由可信变更控制。根据本专利技术的一个方面,提供一种用于控制域间路由变更的方法,包括:当接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书;利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。在一个实施方式 ...
【技术保护点】
一种用于控制域间路由变更的方法,其特征在于,包括:当接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书;利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。
【技术特征摘要】
1.一种用于控制域间路由变更的方法,其特征在于,包括:
当接收到跨域发布的路由变更信息时,从所述路由变更信息中提取
出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变
更信息发布者所属自治系统AS的数字证书;
利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信
息签名进行解密;
若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息
作为路由候选条目添加到路由表数据库中,从而实现路由表更新。
2.根据权利要求1所述的方法,其特征在于,
若所述公钥能够对所述路由信息签名成功解密,还包括:
对所述路由信息进行HASH运算,以得到路由信息摘要H1;
判断H1与H2是否相同,其中H2为所述公钥对所述路由信息签
名成功解密后得到的信息;
若H1与H2相同,则执行将所述路由信息作为路由候选条目添加
到路由表数据库中的步骤。
3.根据权利要求1或2所述的方法,其特征在于,
利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信
息签名进行解密的步骤包括:
判断本地是否存储有与所述发布者所属AS的数字证书相关联的公
钥;
若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则
利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述
路由信息签名进行解密;
若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则
从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公
\t钥,并利用获取的公钥对所述路由信息签名进行解密。
4.根据权利要求3所述的方法,其特征在于,
若本地存储有与所述发布者所属AS的数字证书相关联的公钥,还
包括:
判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的
时间戳信息是否合法;
若所述时间戳信息合法,则执行利用本地存储的与所述发布者所属
AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤。
5.根据权利要求4所述的方法,其特征在于,
若所述时间戳信息不合法,则执行从认证授权中心CA获取与所述
发布者所属AS的数字证书相关联的公钥的步骤。
6.根据权利要求1或2所述的方法,其特征在于,还包括:
在跨域发布路由信息时,对跨域发布的路由信息进行HASH运算,
以得到路由信息摘要;
利用CA分配给当前域的私钥对路由信息摘要进行加密,以得到与
所述跨域发布的路由信息相关联的路由信息签名;
跨域发布路由变更信息,其中路由变更信息包括所述跨域发布的路
由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA
分配给当前域的数字证书。
7.一种用于控制域间路由变更的边界路由器,其特征在于,包括
接口单元、提取单元、身份验证单元和更新单元,其中:
接口单元,用于接收跨域发布的路由变更信息;
提取单元,用于当接口单元接收到跨域发布的路由变更信息时,从
所述路由变更信息中提取出路由信息、与所述路由信息相关...
【专利技术属性】
技术研发人员:王帅,余晓光,黄维龙,刘东鑫,肖宇峰,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。