一种基于SDN的可信路由源管理方法技术

本发明专利技术提供一种基于SDN的可信路由源管理方法，该将RPKI资源库存放在SDN系统，RPKI资源库可以发布一种称为ROA的签名对象，将源IP地址前缀授权给特定的AS进行路由通告。使得源IP地址的合法持有者可验证的授权某个AS作为该地址的路由源。由SDN系统来完成RPKI资料库的管理。SDN总控负责将RPKI资料对ASR进行广播，使得所有的ASR能获取到正确的RPKI资源库信息，最大限度的保障路由的来源可靠性。本发明专利技术支持以命令行形式维护RPKI资料库，操作简单高效。

【技术实现步骤摘要】
一种基于SDN的可信路由源管理方法技术邻域本专利技术涉及网络
，尤其涉及一种基于SDN的可信路由源管理方法。
技术介绍
作为支撑互联互通的互联网基础设施，域间路由系统对互联网的安全有着至关重要的影响。作为互联网自治域之间路由信息交换的载体，BGP(BorderGatewayProtocol，边界网关协议)协议缺乏对路由通告内容真实性的验证，这在域间路由系统埋下了安全隐患。黑客的蓄意攻击以及错误的网络参数配置都可能导致路由劫持现象的发生。为了增强互联网基础设施的安全和可信，互联网社区计划部署RPKI(ResourcePublicKeyInfrastructure，基础资源公钥证书体系)，预期构建一个支撑域间路由安全的互联网基础资源管理系统。RPKI(ResourcePublicKeyInfrastructure，基础资源公钥证书体系)的构建旨在借助一个面向互联网基础资源的公钥证书体系，来完成IP地址所有权(分配关系)和使用权(路由起源通告)的认证。为验证路由通告签名者所持有的公钥，该签名者的IP地址分配上游为其签发证书：一方面验证其公钥；另一方面验证该实体对某个IP地址前缀的所有权。基本文档来自技高网...

【技术保护点】
一种基于SDN的可信路由源管理方法，其特征在于，包括：将RPKI资源库存放在SDN系统中，RPKI资源库中存储ROA数据，且对每条ROA数据进行编号；通过SDN控制器将RPKI资源库信息向所控制的SDN网络内的ASR进行广播；ASR接收到ROA后，将数据保存于ASR本地，供ASR进行源IP地址和源AS号绑定关系的真实性验证；当SDN网络中有新的ASR加入时，由SDN控制器将整表同步到新加入的ASR上；当RPKI资料库出现变化，由SDN控制器将变化表同步到所有ASR上。

【技术特征摘要】
1.一种基于SDN的可信路由源管理方法，其特征在于，包括：将RPKI资源库存放在SDN系统中，RPKI资源库中存储ROA数据，且对每条ROA数据进行编号；通过SDN控制器将RPKI资源库信息向所控制的SDN网络内的ASR进行广播；ASR接收到ROA后，将数据保存于ASR本地，供ASR进行源IP地址和源AS号绑定关系的真实性验证；当SDN网络中有新的ASR加入时，由SDN控制器将整表同步到新加入的ASR上；当RPKI资料库出现变化，由SDN控制器将变化表同步到所有ASR上。2.根据权利要求1所述的一种基于SDN的可信路由源管理方法，其特征在于，所述SDN控制器采用双进程架构，父进程负责监听socket端口，接收ASR的连接，根据ASR的查询报文检索RPKI资源库中的ROA数据，将检索出来的每一条ROA数据封装成一个TCP报文发送给ASR；子进程负责更新RPKI资源库中的ROA数据。3.根据权利要求2所述的一种基于SDN的可信路由源管理方法，其特征在于，所述SDN控制器以命令形式更新RPKI资源库中的ROA数据库：命令add用于添加ROA数据，命令del用于删除ROA数据，命令reset用于重置ROA数据，命令end用于结束输入。4.根据权利要求1所述的一种基于SDN的可信路由源管理方法，其特征在于，当SDN网络中有新的ASR加入时，SDN控制器将整表同步到新加入的ASR上的具体步骤为：SDN控制器等待ASR的连接，连接成功后，ASR向SDN控制器发送ResetQuery报文，SDN控制器接收ResetQuery报文后先发送CacheResponse报文，然后发送RPKI资料库中的所有ROA数据给ASR，每个报文封装一条ROA数据；所有ROA数据发送完后，发送一条EndofData报文，完成整表同步。5.根据权利要求4所述的一种基于SDN的可信路由源管理方法，其特征在于，所述ResetQuery报文由ASR定期向SDN控制器发送；所述ResetQuery报文长度为8字节，分4个字段；第一个字段为ProtocolVersion(协议版本)，默认为0，占1个字节；第二个字段为PDUType(报文类型号)，规定为2，占1个字节；第三个字段为reserved，默认为0，占2个字节；第四个字段为Length(长度)，规定为8，表示所述ResetQuery报文的长度，占4个字节；所述CacheResponse报文由SDN控制器向ASR发送；所述CacheResponse报文长度为8字节，分4个字段；第一个字段为ProtocolVersion(协议版本)，默认为0，占1个字节；第二个字段为PDUType(报文类型号)，规定为3，占1个字节；第三个字段为SessionID(会话号)，表示SDN控制器的编号，占2个字节；第四个字段为Length(长度)，规定为8，表示所述CacheResponse报文的长度，占4个字节；所述EndofData报文由SDN控制器向ASR发送；所述EndofData报文长度为12字节，分5个字段；第一个字段为ProtocolVersion(协议版本)，默认为0，占1个字节；第二个字段为PDUType(报文类型号)，规定为7，占1个字节；第三个字段为SessionID(会话号)，表示SDN控制器的编号，占2个字节；第四个字段为Length(长度)，规定为12，表示所述EndofData报文的长度，占4个字节；第五个字段为SerialNumber(序列号)，表示ASR当前拥有的ROA数据的最大编号，占4个字节。6.根据权利要求1所述的一种基于SDN的可信路由源管理方法，其特征在于，当RPKI资料库出现变化，SDN控制器将变化表同步到所有ASR上的具体步骤为：SDN控制器主动向ASR发送SerialNotify报文通知ASR进行数据同步，ASR收到SerialNotify报文后向SDN控制器发送SerialQuery报文，并带有ASR上ROA数据的最大序列号，SDN控制器根据该序列号查询RPKI资源库，将大于该序列号的ROA数据发送给ASR，若SDN控制器无法提供大于ASR查询序列号的ROA数据，则SDN控制器发送CacheReset报文，ASR接收后发送ResetQuery报文，完成变化表同步。7.根据权利要求6所述的一种基于SDN的可信路由源管理方法，其特征在于，所述SerialNotify报文长度为12字节，分5个字段；第一个字段为ProtocolVersion(协议版本)，默认为0，占1个字节；第二个字段为PDUType(报文类型...

【专利技术属性】
技术研发人员：吴春明，周海峰，王宇航，周伯阳，
申请(专利权)人：浙江大学，
类型：发明
国别省市：浙江,33