【技术实现步骤摘要】
一种基于多方安全计算的路由泄露检测方法和装置
[0001]本专利技术涉及路由异常检测
,尤其涉及一种基于多方安全计算的路由泄露检测方法和装置。
技术介绍
[0002]目前,互联网由10万多个自治系统组成。自治系统(AS)之间使用边界网关协议BGP来交换路由信息以实现互联网的全局可达。然而在BGP的设计之初,并未充分考虑安全性问题,导致其存在着严重的路由安全隐患。互联网每天都会出现各种路由异常事件,其中路由泄露是较为常见的一种,约占总异常事件的22%。BGP路由宣告中含有去往目标自治系统的AS_PATH(可视为AS路径),收到BGP宣告的自治系统可以沿着该宣告中的AS_PATH向目标自治系统发送消息。AS_PATH可以理解为由一组自治系统的ASN(Autonomous System Number,自治系统编号)组成的编码。如果自治系统没有遵守正确的路由策略进行路由宣告,而是将路由宣告给了错误的自治系统,路由泄露就有可能发生。路由泄露可能会导致严重的网络服务中断,并带来数据安全风险,对互联网的安全稳定产生巨大威胁。精确识别路由泄露可以有效限制BGP路由宣告的泄露范围,尽可能减小对互联网的影响。
[0003]现有的路由泄露检测方法主要分为以下两种:(1)基于商业关系推断的路由泄露检测方法,这类方法首先需要对自治系统之间的商业关系进行推断,并利用推断结果结合路由策略(valley
‑
free原则:来自customer AS的BGP路由宣告可以发送给任何邻接AS,来自peer AS或provid ...
【技术保护点】
【技术特征摘要】
1.一种基于多方安全计算的路由泄露检测方法,适用于每一个自治系统,其特征在于,所述方法包括:提取缓存区中每一条BGP路由宣告中的AS_PATH;其中,所述缓存区中缓存一段时间内来自其它自治系统的BGP路由宣告,所述AS_PATH为一组自治系统编号组成的编码;对于每一条AS_PATH,在所述AS_PATH存在路由泄露隐患的情况下,向中央计算单元发起所述AS_PATH的路由泄露检测请求,以使所述中央计算单元中的多个计算节点利用自治系统商业关系秘密分片存储库对所述AS_PATH的商业关系合法性进行多方安全计算;根据所述AS_PATH的多方安全计算的反馈结果,确定所述AS_PATH是否存在路由泄露;其中,所述自治系统商业关系秘密分片存储库包括中央计算单元中每一个计算节点维护的自治系统商业关系秘密分片存储子库;每一个所述计算节点维护的自治系统商业关系秘密分片存储子库包括:每一个自治系统向所述计算节点上传的记载自身与其它自治系统之间商业关系的秘密分片;每一个自治系统向所述计算节点上传的记载自身与其它自治系统之间商业关系的秘密分片,是以每一个所述自治系统与其它自治系统之间商业关系的编码值为秘密值,利用Shamir秘密分享技术对所述秘密值做与所述计算节点相关的加密处理而得到的。2.根据权利要求1所述的基于多方安全计算的路由泄露检测方法,其特征在于,所述AS_PATH是否存在路由泄露隐患的判断过程,包括:生成所述AS_PATH对应的自治系统三元组集合;在所述自治系统三元组集合中包含存在路由泄露隐患的自治系统三元组时,认定所述AS_PATH存在路由泄露隐患;其中,一个自治系统三元组不包含于自治系统三元组数据库中,则其存在路由泄露隐患;所述自治系统三元组数据库是一个实时更新的数据库,初始时由本地路由信息库和本地转发信息库所涵盖的所有自治系统三元组构成。3.根据权利要求2所述的基于多方安全计算的路由泄露检测方法,其特征在于,所述AS_PATH的路由泄露检测请求,包括:所述自治系统三元组集合中存在路由泄露隐患的自治系统三元组;以及对所述AS_PATH的商业关系合法性进行多方安全计算的多个计算节点对应的计算节点编号列表。4.根据权利要求3所述的基于多方安全计算的路由泄露检测方法,其特征在于,确定所述AS_PATH不存在路由泄露之后,还包括:认定所述AS_PATH的路由泄露检测请求中的自治系统三元组不存在路由泄露,并将其更新至所述自治系统三元组数据库;确定所述AS_PATH存在路由泄露之后,还包括:丢弃所述AS_PATH对应的BGP路由宣告。5.一种基于多方安全计算的路由泄露检测方法,适用于中央计算单元,所述中央计算单元中包括多个计算节点,其特征在于,所述方法包括:在收到AS_PATH的路由泄露检测请求的情况下,控制多个计算节点利用自治系统商业
关系秘密分片存储库对所述AS_PATH的商业关系合法性进行多方安全计算;向相应请求方反馈所述AS_PATH的多方安全计算的结果;其中,所述自治系统商业关系秘密分片存储库包括中央计算单元中每一个计算节点维护的自治系统商业关系秘密分片存储子库;每一个所述计算节点维护的自治系统商业关系秘密分片存储子库包括:每一个自治系统向所述计算节点上传的记载自身与其它自治系统之间商业关系的秘密分片;每一个自治系统向所述计算节点上传的记载自身与其它自治系统之间商业关系的秘密分片,是以每一个所述自治系统与其它自治系统之间商业关系的编码值为秘密值,利用Shamir秘密分享技术对所述秘密值做与所述计算节点相关的加密处理而得到的。6.根据权利要求5所述的基于多方安全计算的路由泄露检测方法,其特征在于,所述商业关系包括C2P、P2P和P2C三种,各自对应的编码值为1,0,
‑
1;计算节点A接收到自治系统α上传的记载自身与自治系统β之间商业关系的秘密分片(ASα,ASβ,A,f(A))之后,还包括:获取自身接收到的自治系统β上传的记载自身与自治系统α之间商业关系的秘密分片(ASβ,ASα,A,G(A))、计算节点B接收到的自治系统α上传的记载自身与自治系统β之间商业关系的秘密分片(ASα,ASβ,B,f(B))以及计算节点B接收到的自治系统β上传的记载自身与自治系统α之间商业关系的秘密分片(ASβ,ASα,B,G(B));对f(A)+G(A)和f(B)+G(B)做联合解算,确定f(0)+G(0)是否等于0;若是,确定秘密分片(ASα,ASβ,A,f(A))不存在误传,若否,确定秘密分片(ASα,ASβ,A,f(A))、(ASβ,ASα,A,G(A))、(ASα,ASβ,B,f(B))和(ASβ,ASα,B,G(B))至少一个存在误传,告知自治系统α重传秘密分片(ASα,ASβ,A,f(A))和(ASα,ASβ,B,f(B)),告知自治系统β重传秘密分片(ASβ,ASα,A,G(A))和(ASβ,ASα,B,G(B));其中,计算节点B是计算节点A的邻接节点,f(
·
)是自治系统α利用Shamir秘密分享技术加密自身与自治系统β之间商业...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。