管理和查询映射信息的方法、设备及通信系统技术方案

本发明专利技术公开了一种管理和查询映射信息的方法、设备及通信系统，其中，所述管理映射信息的方法包括：利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；向传输网络中的注册代理提交所述签名映射对；所述注册代理通过数据同步与其它注册代理共享所述签名映射对。通过实施本发明专利技术的一种管理映射信息的方法、数据发送方法、设备及通信系统，实现了网络路由中映射信息的注册、查询及同步安全。

Method and device for managing and inquiring mapping information and communication system

The invention discloses a method, equipment management and query mapping information and communication system, wherein, the method comprises the following steps: the mapping information management of the corresponding prefix using the private key of the certificate of mapping information in the mapping information for signature, signature of the signature mapping; mapping to submit to the registration the transmission in the network; the registered agent through the data synchronization with other registered agents share the signature of mapping. By implementing a method for managing mapping information, a data transmitting method, a device and a communication system, the registration, inquiry and synchronization security of the mapping information in the network routing are realized.

【技术实现步骤摘要】

本专利技术涉及通信网络数据传输技术，尤其涉及一种管理和查询映射信息的方法、设备及通信系统。
技术介绍
目前，随着多归属网络(multi-homing)和流量工程(traffic engineering)的广泛部署，Intemet路由数量增长迅速。 一方面由于需要更大容量的路由表存储芯片导致路由器设备成本上升，另 一方面导致路由收敛变的更加緩慢。为了緩解上述路由数量激增导致路由表过大的问题，如图1所示，将因特网(Internet)分为两部分， 一部分为传输(transit)网络，处于网络的中心位置；另 一部分为边界(edge)网络，通过边界路由器(border router， BR)连接到transit网络。BR知道其所连接的edge网络和transit网络中的路由信息，但是不会相互渗透。边界网络内部的路由前缀信息不扩散到传输网络，而是由edge网络的BR负责将edge网络中的前缀信息(prefix )注册到transit网络中的注册代理(registrationagent,以下简称为RA)上，所述prefix和注册该prefix的BR的映射关系信息称为映射信息，每个RA维护一个保存映射信息的数据库，称为映射信息数据库。Transit网络中的多个RA通过通信协议(比如BGP协议扩展)来同步各自映射信息数据库中的信息，使得各个数据库保持同步，维持一样的映射信息记录。同步完成之后，Transit网络中的任何一个RA都知道到达其中一个prefix需要通过哪个BR进行中转。例如在图l中，Edge网络A到达edge网络B的流量，将首先到达连接edge网络A的BR-A， BR-A然后到RA查询与目的IP地址最长匹配的prefix的映射信息，得到注册该映射信息的BR的信息，即BR-B，然后BR-A通过到达BR-B的隧道(如MPLS隧道，IP in IP,GRE等各种隧道均可)将数据包转发到BR-B。 BR-B知道它所连接的edge网络内部的路由信息，因此在Edge网络内部根据路由表进行转发，最终数据包到达目的地。这种转发方案称为转发和查找分离方案，即RA只完成映射信息查询的响应功能，edge之间的流量不需要经过RA中转，专利技术人在实现本专利技术的过程中发现，在上述分离方案中存在一些潜在的安全问题映射信息注册安全攻击者可能会仿冒他人身份向RA注册错误的映射信息，比如注册不属于自己的prefix。映射信息查询安全攻击者可能会假冒RA向查询者4是供错误的映射信息，RA也可能会出于某种目的篡改某些映射信息对中的信息，如前缀长度或入口地址，比如在图1示例的场景中，将Edge B网络的入口从BR-B改成BR-B，。映射信息数据库同步安全在各个RA同步映射信息数据库时，某些RA可能会发布不真实的映射信息，比如修改已有映射信息记录的前缀长度然后再发布，或者干脆伪造不存在的映射信息对。
技术实现思路
本专利技术实施例的目的在于提供一种管理网结^各由中映射信息的方法、 一种查询映射信息的方法、 一种边界网络设备、 一种注册代理设备以及一种通信系统，实现网络路由中映射信息的注册、查询及同步安全。为此，本专利技术实施例提出了一种管理网络路由中映射信息的方法，包括利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；向传输网络中的注册代理提交所述签名映射对；所述注册代理通过数据同步与其它注册代理共享所述签名映射对。本专利技术实施例提出了一种查询映射信息的方法，包括第一边界网络所有者根据第二边界网络所有者的前缀查询注册代理，并获取注册代理反馈的第二边界网络所有者的签名映射对；第 一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效；当通过所述检查确定所述签名映射对有效后，第一边界网络所有者提取所述签名映射对中的映射信息。相应地，本专利技术实施例提出了一种边界网络设备，包括签名映射对生成单元，用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；提交单元，用于将所述签名映射对提交给传输网络中的注册代理。本专利技术实施例提出了 一种注册代理设备，包括接收单元，用于接收边界网络所有者提交的签名映射对；签名映射对数据库单元，用于保存所述接收单元接收的签名映射对；同步单元，用于将所述签名映射对数据库单元保存的签名映射对同步到其它注册代理。相应地，本专利技术实施例还提出了一种通信系统，包括边界网络设备，用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对，并将该签名映射对-提交给注册代理设备；所述注册代理设备，用于接收所述边界网络设备提交的签名映射对，通过数据同步与其它注册代理共享所述签名映射对。通过实施本专利技术实施例提出的一种管理映射信息的方法、查询映射信息的方法、设备及通信系统，通过利用证书私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统的可靠性。附图说明图l是现有的因特网架构示意图2是本专利技术实施例提供的一种管理映射信息的方法主流程图3是本专利技术实施例提供的前缀以及证书分配示意图4是本专利技术实施例提供的一种应用场景示意图5是本专利技术的一种管理映射信息的方法中实施例一；图6是本专利技术的一种管理映射信息的方法实施例二；图7是本专利技术的一种查询映射信息的方法的流程图8是本专利技术的一种管理映射信息的方法实施例三；图9是本专利技术实施例中Organization A的证书的示意图IO是本专利技术实施例中传输网络所有者的证书的示意图11是本专利技术实施例提出的一种通信系统的结构框图12是本专利技术的一种边界网络设备的实施例一；8图13是本专利技术的一种边界网络设备的实施例二；图14是本专利技术的一种边界网络设备的实施例三；图15是本专利技术的一种边界网络设备的实施例四；图16是本专利技术的一种注册代理设备的实施例一；图17是本专利技术的一种注册代理设备的实施例二；图18是本专利技术的一种注册代理设备的实施例三；图19是本专利技术的一种注册代理设备的实施例四。具体实施例方式为了清楚、完整地展现本专利技术实施例的技术方案，下面将结合附图详细阐述本专利技术实施例提出的一种管理网络路由中映射信息的方法、 一种查询映射信息的方法、 一种边界网络设备、 一种注册代理设备以及一种通信系统。在对技术方案进行阐述之前，需要说明的是，在本专利技术实施例的描迷中，边界网络所有者(Organization)与边界网络i殳备指同一对象；注册代理(RA)与注册代理设备指同 一对象；第 一边界网络所有者和Organization A指同 一对象，第二边界网络所有者和Organization B指同 一对象。参考图2,图示了本专利技术实施例的一种管理网绍J各由中映射信息的方法的注流程图，所述方法包括SlOl，利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；其中，所述映射信息对至少包括以下信息前缀、传输网络的IP地址、映射控制信息。所述签名映射对至少包括以下信息前缀、传输网络的IP地址、映射控制信息、签名控制信息、签名；所述签名控制信息包括用于签名的证书信息、本签名映射对撤回点、有效日期、签名算法信息。5102, 向传输网络中的注册代理提交所述签名映射对；5103, 所述注册本文档来自技高网...

【技术保护点】
一种管理网络路由中映射信息的方法，其特征在于，包括：　利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；　向传输网络中的注册代理提交所述签名映射对；　所述注册代理通过数据同步与其它注册代理共享 所述签名映射对。

【技术特征摘要】
1、一种管理网络路由中映射信息的方法，其特征在于，包括利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；向传输网络中的注册代理提交所述签名映射对；所述注册代理通过数据同步与其它注册代理共享所述签名映射对。2、 如权利要求l所述的方法，其特征在于，所述映射信息对至少包括以下 信息前缀、传输网络的IP地址、映射控制信息。3、 如权利要求l所述的方法，其特征在于，所述签名映射对至少包括以下 信息前缀、传输网络的IP地址、映射控制信息、签名控制信息、签名。4、 如权利要求3所述的方法，其特征在于，所述签名控制信息包括用于 签名的证书信息、所述签名映射对撤回点、有效日期、签名算法信息。5、 如权利要求l所述的方法，其特征在于，所述利用映射信息对中的前缀 对应的证书的私钥对所述映射信息对进行签名，生成签名映射对，具体包括利用所述前缀对应的证书的私钥对该前缀和传输网络的自治系统编号进行 签名，生成第一签名映射对，并提交给传输网络所有者；所述传输网络所有者利用包含有所述自治系统编号的证书对所述第一签名 映射对和所述传输网络的IP地址进行签名，生成第二签名映射对，后转到向所 述传输网络中的注册代理提交所述签名映射对的步骤。6、 如权利要求5所述的方法，其特征在于，所述第一签名映射对至少包括 以下信息前缀、自治系统编号、第一签名控制信息、第一签名。7、 如权利要求6所述的方法，其特征在于，第一签名控制信息包括所述 边界网络所有者的证书信息、第一签名映射对撤回点、有效日期、签名算法信息。8、 如权利要求5所述的方法，其特征在于，所述第二签名映射对至少包括以下信息第一签名映射对、所述传输网络的IP地址、映射控制信息、第二签 名控制信息、第二签名。9、 如权利要求8所述的方法，其特征在于，所述第二签名控制信息包括 所述传输网络所有者的证书信息、所述第二签名映射对的撤回点、有效日期、 签名算法信息。10、 如权利要求1或5所述的方法，其特征在于，进一步包括 边界网络所有者生成签名映射对撤回记录；将生成的所述签名映射对招t回记录提交给传输网S备中的注册代理； 所述注册代理将所述签名映射对撤回记录对应的签名映射对删除，并将所 述签名映射对撤回记录同步到其它注册代理。11、 如权利要求IO所述的方法，其特征在于，所述签名映射对撤回记录包 括前缀、可用的传输网络IP地址、映射控制信息、撤回签名控制信息、撤回 签名。12、 一种查询映射信息的方法，其特征在于，包括第一边界网络所有者根据第二边界网络所有者的前缀查询注册代理，并获 取注册代理反馈的第二边界网络所有者的签名映射对；第一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名 映射对是否有效；当通过所述检查确定所述签名映射对有效后，第一边界网络所有者提取所 述签名映射对中的映射信息。13、 如权利要求12所述的方法，其特征在于，所述第一边界网络所有者根 据所述签名映射对中的签名控制信息;险...

【专利技术属性】
技术研发人员：刘亚，徐小虎，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]