基于ASPA改进的路径验证方法技术

本发明专利技术公开了一种基于ASPA改进的路径验证方法，该方法通过利用ASPA二元组，在路由通告中，对路径属性中的偶数次序的AS路由引入签名增强了对路径属性AS_PATH的保护力度，同时，在签名传递时使用2个单位的签名缓存队列，每跳路由器收到数据包时，也只需取队首签名进行一次签名验证，在安全保证的基础上，减少了BGP通告数据包的负载大小和签名验签次数，也减轻了CPU的负担。了CPU的负担。了CPU的负担。

【技术实现步骤摘要】
基于ASPA改进的路径验证方法


[0001]本专利技术涉及互联网域名
，特别涉及一种基于ASPA改进的路径验证方法。

技术介绍

[0002]由于BGP设计存在缺陷，导致攻击者能伪造数据包造成劫持，目前，RPKI(互联网号码资源公钥证书体系)基于PKI体系，ip前缀资源持有者将ip授权关系以签名对象的格式进行批量签发，依赖方RP服务器对签名文件仓库进行拉取、解析、校验，最后将校验通过的AS号和ip二元组推送给路由器，路由器在收到路由通告时将会利用该数据源进行身份鉴别。
[0003]基于RPKI体系，IETF提出草案ASPA，对BGP路由通告中AS_PATH属性进行验证。其中每一个AS资源持有者将上游provider的AS号集合进行批量签发。代表该AS作为customer，会给provider集合中所有AS发送路由通告。路由器获取全球的ASPA数据之后，可对BGP通告中AS_PATH进行滑动窗口为2的路径合法验证。
[0004]如图1所示，为ASPA签名对象的示意图。域间关系主要分为三个角色，customer、provider本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于ASPA改进的路径验证方法，其特征在于，所述方法包括：在BGP路由器对路由通告进行传递过程中，每间隔一个AS路由对AS_PATH所在的AS路径进行签名。2.根据权利要求1所述的路径验证方法，其特征在于，所述签名的内容为包含即将转发邻居AS编号的AS_PATH信息。3.根据权利要求2所述的路径验证方法，其特征在于，所述的签名针对偶数次序的AS路由进行，奇数次序的路由器只对AS_PATH签名信息进行转发，而不进行路径信息的签名。4.根据权利要求3所述的路径验证方法，其特征在于，对所述AS路径进行签名的有效半径为两个AS单元。5.根据权利要求4所述的路径验证方法，其特征在于，所述的BGP路由通告在广播过程中，不断地进行逻辑上的出队入队操作...

【专利技术属性】
技术研发人员：马迪，包卓，毛伟，肖文龙，邵晴，邢志杰，
申请(专利权)人：互联网域名系统北京市工程研究中心有限公司，
类型：发明
国别省市：