本发明专利技术实施例提供一种BGP路由信息验证方法及装置,其中方法包括:确定本自治域之外的任一自治域的BGP路由信息;基于所述任一自治域的BGP路由信息,生成待验证IPv6地址;访问所述待验证IPv6地址,得到所述待验证IPv6地址对应可信任网站所提供的验证信息;基于所述验证信息,验证所述BGP路由信息。本发明专利技术实施例提供的方法及装置,通过访问待验证IPv6地址,以及根据待验证IPv6地址对应可信任网站所提供的验证信息验证BGP路由信息,充分利用IPv6协议所提供的海量地址空间,实现了BGP路由信息的双重验证,从而确保BGP路由信息的真实性,避免了BGP路由劫持导致的危险和损失。
BGP route information verification method and device
【技术实现步骤摘要】
BGP路由信息验证方法及装置
本专利技术涉及互联网
,尤其涉及一种BGP路由信息验证方法及装置。
技术介绍
边界网关协议(BorderGatewayProtocol,BGP)是自治域之间用来交换路由的重要协议。通过BGP,不同的自治域之间可以互相传递路由信息,使得全球的自治域可以相互沟通路由,实现互联网的全球可达。通过BGP,自治域还可以进行路由优选、避免环路,同时更高效率地进行路由传递。然而,BGP的设计初衷假定了全球互联网的参与者均是善意的,并未考虑其安全问题,这就导致了在目前的BGP框架下,互联网的路由可能被不合法具有相关地址的人员出于恶意或错误配置所劫持。如何验证BGP路由信息的真实性,避免由BGP路由劫持带来的危险和损失,是本领域技术人员亟待解决的问题。
技术实现思路
本专利技术实施例提供一种BGP路由信息验证方法及装置,用以解决BGP路由可能被劫持的问题。第一方面,本专利技术实施例提供一种BGP路由信息验证方法,包括:确定本自治域之外的任一自治域的BGP路由信息;基于所述任一自治域的BGP路由信息,生成待验证IPv6地址;访问所述待验证IPv6地址,得到所述待验证IPv6地址对应可信任网站所提供的验证信息;基于所述验证信息,验证所述BGP路由信息。优选地,所述BGP路由信息包括所述任一自治域的第一路由前缀、第一合法自治域号码和第一路由前缀长度;所述第一路由前缀、第一合法自治域号码和第一路由前缀长度分别为从所述BGP路由信息中提取的路由前缀、合法自治域号码和路由前缀长度。优选地,所述基于所述任一自治域的BGP路由信息,生成待验证IPv6地址,具体包括:将所述任一自治域的第一路由前缀,作为所述待验证IPv6地址的前缀;基于所述任一自治域的第一合法自治域号码和第一路由前缀长度,生成所述待验证IPv6地址的后缀;基于所述待验证IPv6地址的前缀和后缀,得到所述待验证IPv6地址。优选地,所述验证信息包括所述任一自治域的第二路由前缀、第二合法自治域号码和第二路由前缀长度;所述第二路由前缀、第二合法自治域号码和第二路由前缀长度分别为从所述验证信息中提取得到的路由前缀、合法自治域号码和路由前缀长度。优选地,所述基于所述验证信息,验证所述BGP路由信息,具体包括:若所述第一路由前缀、第一合法自治域号码和第一路由前缀长度分别与所述第二路由前缀、第二合法自治域号码和第二路由前缀长度一致,则确定所述BGP路由信息通过验证;否则,确定所述BGP路由信息验证失败。优选地,还包括:基于本自治域的BGP路由信息,生成验证服务IPv6地址;经过第三方机构得到所述验证服务IPv6地址所对应验证服务的可信任网站的证书,并基于所述验证服务的可信任网站提供对应于本自治域的BGP路由信息的验证信息。优选地,所述基于所述任一自治域的BGP路由信息,生成待验证IPv6地址,之后还包括:若访问所述待验证IPv6地址失败,则确定所述BGP路由信息验证失败。第二方面,本专利技术实施例提供一种BGP路由信息验证装置,包括:BGP路由确定单元,用于确定本自治域之外的任一自治域的BGP路由信息;待验证地址生成单元,用于基于所述任一自治域的BGP路由信息,生成待验证IPv6地址;验证信息获取单元,用于访问所述待验证IPv6地址,得到所述待验证IPv6地址对应可信任网站所提供的验证信息;BGP验证单元,用于基于所述验证信息,验证所述BGP路由信息。第三方面,本专利技术实施例提供一种电子设备,包括处理器、通信接口、存储器和总线,其中,处理器,通信接口,存储器通过总线完成相互间的通信,处理器可以调用存储器中的逻辑命令,以执行如第一方面所提供的方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。本专利技术实施例提供的一种BGP路由信息验证方法及装置,基于任一自治域的BGP路由信息,生成待验证IPv6地址,通过访问待验证IPv6地址,以及根据待验证IPv6地址对应可信任网站所提供的验证信息验证BGP路由信息,充分利用IPv6协议所提供的海量地址空间,实现了BGP路由信息的双重验证,从而确保BGP路由信息的真实性,避免了BGP路由劫持导致的危险和损失。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的BGP路由信息验证方法的流程示意图;图2为本专利技术实施例提供的BGP路由信息验证装置的结构示意图;图3为本专利技术实施例提供的电子设备的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。针对于路由劫持问题,目前提出的解决方案即RPKI(资源公共密钥基础架构)技术。RPKI技术是通过PKI体系对资源证书进行签名,来验证自治域和P地址之间资源分配关系的一种技术。然而由于RPKI是由全世界五个RIR(RegionalInternetRegistry)作为证书的信任锚链,具有高度中心化特性,在网络部分中断的情况下无法进行有限验证。对此,本专利技术实施例提供一种BGP路由信息验证方法。图1为本专利技术实施例提供的BGP路由信息验证方法的流程示意图,如图1所示,该方法的执行主体可以为本自治域内专用于验证BGP路由信息的服务器,也可以为本自治域内任一需要应用BGP路由信息与外界通信的边界路由器等,本专利技术实施例中以执行主体为专用于验证BGP路由信息的服务器为例进行说明。该方法包括:步骤110,确定本自治域之外的任一自治域的BGP路由信息。具体地,本自治域外的任一自治域的BGP路由信息可以是本自治域的边界路由器得到并发送的,该自治域的BGP路由信息存在被劫持的风险,需要进行BGP路由信息验证。步骤120,基于该自治域的BGP路由信息,生成待验证IPv6地址。步骤130,访问待验证IPv6地址,得到待验证IPv6地址对应可信任网站所提供的验证信息。具体地,针对于任一自治域,该自治域预先应用设定好的规则,基于自身的BGP路由信息中包含的信息,生成了为其余自治域提供验证服务的IPv6地址,并在该IPv6地址所对应的可信任网站上挂载了验证信息,以供其余自治域获取验证信息以实现BGP路由信本文档来自技高网...
【技术保护点】
1.一种BGP路由信息验证方法,其特征在于,包括:/n确定本自治域之外的任一自治域的BGP路由信息;/n基于所述任一自治域的BGP路由信息,生成待验证IPv6地址;/n访问所述待验证IPv6地址,得到所述待验证IPv6地址对应可信任网站所提供的验证信息;/n基于所述验证信息,验证所述BGP路由信息。/n
【技术特征摘要】
1.一种BGP路由信息验证方法,其特征在于,包括:
确定本自治域之外的任一自治域的BGP路由信息;
基于所述任一自治域的BGP路由信息,生成待验证IPv6地址;
访问所述待验证IPv6地址,得到所述待验证IPv6地址对应可信任网站所提供的验证信息;
基于所述验证信息,验证所述BGP路由信息。
2.根据权利要求1所述的BGP路由信息验证方法,其特征在于,所述BGP路由信息包括所述任一自治域的第一路由前缀、第一合法自治域号码和第一路由前缀长度;
所述第一路由前缀、第一合法自治域号码和第一路由前缀长度分别为从所述BGP路由信息中提取的路由前缀、合法自治域号码和路由前缀长度。
3.根据权利要求2所述的BGP路由信息验证方法,其特征在于,所述基于所述任一自治域的BGP路由信息,生成待验证IPv6地址,具体包括:
将所述任一自治域的第一路由前缀,作为所述待验证IPv6地址的前缀;
基于所述任一自治域的第一合法自治域号码和第一路由前缀长度,生成所述待验证IPv6地址的后缀;
基于所述待验证IPv6地址的前缀和后缀,得到所述待验证IPv6地址。
4.根据权利要求2所述的BGP路由信息验证方法,其特征在于,所述验证信息包括所述任一自治域的第二路由前缀、第二合法自治域号码和第二路由前缀长度;
所述第二路由前缀、第二合法自治域号码和第二路由前缀长度分别为从所述验证信息中提取得到的路由前缀、合法自治域号码和路由前缀长度。
5.根据权利要求4所述的BGP路由信息验证方法,其特征在于,所述基于所述验证信息,验证所述BGP路由信息,具体包括:
若所述第一路由前缀、第一合法自治域号码和第一路由前缀长度分...
【专利技术属性】
技术研发人员:包丛笑,李星,刘人杰,常得量,翁喆,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。