【技术实现步骤摘要】
一种验证AS对的方法、装置及设备
[0001]本申请涉及计算机网络
,尤其涉及一种验证自治系统AS对的方法、装置及设备。
技术介绍
[0002]自治系统(autonomous system,AS)是指在一个实体管辖下的拥有相同选路策略的因特网协议(Internet Protocol,IP)网络。由于边界网关协议(Border Gateway Protocol,BGP)在设计之初并未考虑安全因素,因此在具有预设商业关系的邻居AS之间传递BGP路由信息时,容易出现路由信息泄露的问题。而路由信息泄露,往往会使流量绕行更长的路径,从而导致流量传输的时延增大。进一步的,严重的路由信息泄露还可能导致路由访问异常中断、流量侦听、中间人攻击以及仿冒攻击等安全风险。
[0003]为防止路由泄露,AS通常可以通过资源公钥基础设施(resource public key infrastructure,RPKI)机制,并基于无谷(valley free)原则对接收到的BGP路由信息中AS路径(AS path)的路径信息里的每个AS对(...
【技术保护点】
【技术特征摘要】
1.一种验证自治系统AS对的方法,其特征在于,应用于网络设备,所述方法包括:获取路径信息,所述路径信息包括AS对,所述AS对包括所述路径信息中相邻的两个AS号;确定所述AS对所属区域的区域信息;基于所述区域信息对所述AS对进行验证。2.根据权利要求1所述的方法,其特征在于,所述基于所述区域信息对所述AS对进行验证,包括:基于所述区域信息和验证表项数据库,对所述AS对进行验证。3.根据权利要求2所述的方法,其特征在于,所述基于所述区域信息和验证表项数据库,对所述AS对进行验证,包括:当所述验证表项数据库中存在包括所述AS对、以及与所述区域信息对应的区域标识的验证表项,则确定对所述AS对验证成功。4.根据权利要求2或3所述的方法,其特征在于,所述基于所述区域信息和验证表项数据库,对所述AS对进行验证,包括:当所述验证表项数据库中不存在包括所述AS对、以及与所述区域信息对应的区域标识的验证表项,则确定对所述AS对验证失败。5.根据权利要求1
‑
4中任一项所述的方法,其特征在于,所述确定所述AS对所属区域的区域信息,包括:在包括所述路径信息的路由信息中确定所述AS对所属区域的区域信息;或者,基于所述路由信息的前缀,确定所述AS对所属区域的区域信息。6.根据权利要求2
‑
5中任一项所述的方法,其特征在于,在所述基于所述区域信息和验证表项数据库,对所述AS对进行验证之前,所述方法还包括:获取所述验证表项数据库。7.根据权利要求6中所述的方法,其特征在于,所述验证表项数据库包括第一验证表项数据库;则所述获取所述验证表项数据库,包括:接收来自服务器的协议数据单元PDU报文,所述PDU报文中包括具有预设商业关系的AS对和所述具有预设商业关系的AS对所属区域的区域标识;基于所述PDU报文,生成所述第一验证表项数据库。8.根据权利要求7所述的方法,其特征在于,所述验证表项数据库还包括第二验证表项数据库;则所述获取所述验证表项数据库,包括:基于网络路由表和/或网络数据,生成第二验证表项数据库;其中,所述网络路由表和/或网络数据中包括具有预设商业关系的AS对和所述具有预设商业关系的AS对所属区域的区域信息。9.根据权利要求8所述的方法,其特征在于,所述基于所述区域信息和验证表项数据库,对所述AS对进行验证,包括:基于所述区域信息和所述第一验证表项数据库,对所述AS对进行验证;如果所述AS对验证失败,则基于所述区域信息和所述第二验证表项数据库,对所述AS对进行验证。10.根据权利要求2
‑
9中任一项所述的方法,其特征在于,所述基于所述区域信息和验
证表项数据库,对所述AS对进行验证,包括:基于所述区域信息,以及所述验证表项数据库中与所述路径信息的前缀对应的目标验证表项,对所述AS对进行验证;其中,所述目标验证表项中AS对的网际互联协议IP版本与所述路径信息中前缀的IP版本相同。11.根据权利要求1
‑
10中任一项所述的方法,其特征在于,所述路径信息包括按照预设顺序排列的多个AS号,所述多个AS号用于指示所述路径信息对应的路径;所述方法还包括:依次对所述路径信息中的每个AS对进行验证,以实现所述路径信息对应的路径的验证。12.根据权利要求11所述的方法,其特征在于,所述方法还包括:当在所述路径信息中首次验证AS对失败时,翻转所述路径信息中未进行验证的AS对;对翻转后的AS对进行验证,以完成所述路径信息对应的路径的验证。13.根据权利要求1
‑
12中任一项所述的方法,其特征在于,所述方法还包括:如果所述路径信息中包括至多一个验证失败的AS对,则确定所述路径信息对应的路径验证成功。14.根据权利要求13所述的方法,其特征在于,所述方法还包括:基于所述路径信息生成第一转发表项。15.根据权利要求11
‑
14中任一项所述的方法,其特征在于,所述方法还包括:如果所述路径信息包括至少两个验证失败的AS对,则确定所述路径信息对应的路径验证失败。16.根据权利要求15所述的方法,其特征在于,所述方法还包括:基于所述路径信息生成第二转发表项;为所述第二转发表项标记特定信息,所述特定信息用于指示所述第二转发表项是高风险转发表项或低优先级转发表项。17.根据权利要求11
‑
16中任一项所述的方法,其特征在于,所述网络设备是第一AS中的网络设备;所述方法还包括:向目标设备发送所述路径信息对应的路径的验证结果;其中,所述目标设备是所述第一AS中与所述网络设备连接通信的设备。18.根据权利要求1
‑
17中任一项所述的方法,其特征在于,所述获取路径信息,包括:获取边界网关协议BGP更新报文,所述BGP更新报文中包括所述路径信息。19.根据权利要求18所述的方法,其特征在于,所述方法还包括:在接收所述BGP更新报文后,对所述路径信息中的AS对进行验证,以实现所述路径信息对应的路径的验证;或者,在发送所述BGP更新报文前,对所述路径信息中的AS对进行验证,以实现所述路径信息对应的路径的验证。20.一种验证自治系统AS对的装置,其特征在于,应用于网络设备,所述装置包括:获取单元,用于获取路径信息,所述路径信息包括AS对,所述AS对包括...
【专利技术属性】
技术研发人员:庄顺万,王海波,顾钰楠,黄明庆,夏忠其,闫刚,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。