本发明专利技术公开了一种前缀和自治系统之间映射关系管理方法,包括:当前组织在下发前缀的同时,生成并下发前缀分配路径及证明;其下一级组织对接收到的前缀分配路径及证明进行验证;当验证通过时,获得前缀的分配路径,向预设第三方提供前缀的分配路径及证明;ISP网络运行中心由该信息确定前缀的最长有效分配路径,进而建立前缀和AS之间的映射关系。基于上述方法建立前缀和自治系统之间映射关系,本发明专利技术同时还公开了报文处理方法和装置。本发明专利技术实施例可以有效避免前缀劫持攻击。另外,当其应用于下一代基于AS域间路由协议时,能够有效正确地建立全球前缀和AS的映射表,向前推动基于AS域间路由协议的设计和完善。
【技术实现步骤摘要】
本专利技术涉及域间;洛由协议技术,更具体地说,涉及一种域间路由协议中 建立地址空间(前缀)和AS (Autonomous System,自治系统)之间映射关 系的方法,以及基于上述方法得出的前缀和AS之间映射关系的报文处理方法 和装置。
技术介绍
目前,ICANN(lnternet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)是负责对全球Internet上IP地址进行统一 编号分配的机构。ICANN将IP地址分配给大洲级的RIR (RIR, Regional Internet Registry,地方性Internet注册机构),如APNIC (Asia and Pacific Network Information Center,亚太地区互联网络信息中心)等,这些RIR负 责各大洲范围内IP地址的分配和登记注册。通常RIR会进一步地分配地址给 下一级注册组织,如NIR (National Internet Registry,国家级Internet注册 机构)或者大型ISPs(lnternet Service Providers, Internet服务提供商),同 时授予这些NIR或者大型ISPs指定(Assignment)和分配(Allocation)地址 空间的权利。通常,NIR或者大型ISPs根据授权,进一步地指定地址空间到 一些小型ISPs。其中,指定的地址空间是指委托(delegate)给一个ISP的 地址空间,以供其在建立的网络中使用,该ISP净皮称之为^皮指定地址空间的 拥有ISP,且已指定的地址不允许在往下层指定给其它ISPs。分配的地址空 间是指分配给IRs或者大型ISPs的地址空间,以供进一步分配之用。最终, 网络中的所有ISPs都将获得指定的地址空间(也称为前缀)。如图1所示, 为现有技术前缀分配示意图。但是,在实际地址分配结构中,IR或者大型ISPs仅负责分配地址空间到 下层ISP,而不明确这些地址空间(前缀)中哪些地址属于指定地址,哪些地 址属于分配地址。AS是internet的组成部分,每个AS包括处于一个ISP管理之下的若干 网络和路由器。ISP将获得的指定前缀进一步指定给位于一个或者多个AS中 的终端设备使用,从而使得一个AS中所有终端设备获得的前缀与该AS之间 建立起映射关系,在BGP ( Border Gateway Protocol,边界网络协i义)中, 这种映射关系意味着该AS获得了指定前缀拥有ISP的授权,能够发起这些 指定前缀可达的路由通告。所述BGP是为TCP/IP网络设计的用于AS之间的路由协议,该协议的 基本功能是与其它BGP自治系统交换网络层可达信息(Net Layer Researchable Information, NLRI)。具有以下特点1 )基于策略BGP允许每个AS可以根据自己的需求独立定义路由策略,并结合BGP 更新报文中所携带的路径属性实现策略选择路由。2) 路径矢量BGP更新报文携带AS_PATH路径属性。所述AS—PATH记录了该路由所经自治系统的号码列表,其中最后一个就是该更新报文的发起AS号码。3) 基于前缀BGP更新报文的NLRI域携带了与发起AS存在映射关系的前缀列表, 以向其它自治系统通告网络层可达信息。4) 增量式更新两个支持BGP的路由器之间初始交换的路由信息是整个BGP路由表, 此后,仅仅在BGP路由表有改动(包括旧路由的撤销、新路由的建立)时通 过更新才艮文来宣告这种改变。但是,BGP没有验证更新报文的发起AS和NLRI域中前缀之间是否存 在映射关系,即BGP没有验证发起AS是否被授予发出NLRI中前缀可达 的路由通告的权利,因此容易受到前缀劫持攻击。如果一个AS恶意地 发出非本AS内前缀的可达路由通告,称此前缀被这个恶意AS劫持,该AS 被称为劫持AS,该AS这种恶意行为就被称为前缀劫持攻击。当前缀劫 持攻击发生后,网络中的自治系统分别收到来自合法AS和劫持AS的被劫持 前缀可达的路由通告。由于没有任何验证机制,接收到该路由通告的AS将根 据BGP最优路由选择规则,选择出 一条最优路由,如果选择劫持AS通告的路由作为可达一皮劫持前缀的最优路由,那么该AS发出的到达被劫持前缀的数据报文会被路由到劫持AS。那么,该劫持AS可以将这些数据报文丟弃,形 成流量黑洞,或者对数据报文进行窃听/记录/修改,甚至扮演合法AS中报文 接收者的行为,主动响应被劫报文的发送者。另外,最新研究发现,垃圾邮 件发送者经常采用这种劫持前缀的方式发送垃圾邮件。为了应对前缀劫持攻击,加强BGP的安全性,需要建立前缀和AS之间 的映射关系。现有方法根据所采用的信任模型,分为以下两类1 、基于分布式信任模型的psBGP ( pretty secure BGP)psBGP受当不存在可信任权威机构时,人类彼此之间获取信任的方式启 发的。每个AS创建一个绑定AS和前缀的前缀声明列表,其中包含本AS和 对等体AS,以向外声明与自己存在映射关系的前缀,及本AS认为与对等体 AS存在映射关系的前缀。如果一个自治系统作出的关于自己的前缀声明与任 意一个对等体AS做出的关于该AS的前缀声明一致,就认为这个前缀声明是 正确的,即该AS与声明中的前缀之间存在映射关系。但是,选择一个可信任的对等体AS是异常困难的,如果某一AS选择相 同机构管理下对等体AS的前缀声明,则对于其他AS来说,很难判断该AS 及所述对等体AS是否可信,因为它们之间可能彼此串通的。另外,psBGP 的设计者也不建议这种选择,但是如果根据设计者的建议,选择不同机构管 理下的对等体自治系统的前缀声明,则可能会生成错误的一致性验证失败的 结果,也就是说,某一AS和所选对等体AS的前缀声明不一致,仅仅因为对 等体AS有意提供了 一个错误的前缀声明。2、基于集中式信任模型的方法,包括S-BGP(secure BGP)、 soBGP(secure origin BGP)、 SPV(Secure Path Vector)、 APA(Aggregated Path Authentication)和OA(Origin Authentication^其中,以OA最为典型。OA的方法的主要思想是生成前缀分配路径上 每一步分配的地址分配证明,以及拥有ISP生成前缀和AS映射关系证明。 验证者首先-睑证所有地址分配证明的正确性以确定拥有ISP,然后,-验ii前缀 和AS映射关系证明是否由该拥有ISP生成,若是,建立映射证明中前缀和 AS之间的映射关系。但是,在实际地址分配过程中,IR/上层ISP仅负责分配地址空间到下层 ISP,而不明确这些地址中哪些是指定地址空间,哪些是分配地址空间。因此, OA方法中的地址分配证明仅能够保证沿着地址分配证明提供的分配路径,前 缀从ICANN分配到最后一个地址分配证明中的下层ISP,但是不能够保证该 下层ISP就是此前缀的拥有ISP。于是,当前缀实际分配5^径上的某个非拥 有ISP恶意地生成前缀和某个AS的映射关系证明时,将会给验证者传递该 非拥有ISP指定的AS与前缀之间存在映射关系。这种情况下,即本文档来自技高网...
【技术保护点】
一种前缀和自治系统之间映射关系管理方法,其特征在于,包括: 当前组织在下发前缀的同时,生成并下发前缀分配路径及证明; 其下一级组织对接收到的前缀分配路径及证明进行验证; 当验证通过时,获得前缀的分配路径,向预设的第三方提供 ; 所述预设的第三方依据该信息确定前缀的最长有效分配路径,进而建立前缀和提供该最长分配路径的AS之间的映射关系。
【技术特征摘要】
1、一种前缀和自治系统之间映射关系管理方法,其特征在于,包括当前组织在下发前缀的同时,生成并下发前缀分配路径及证明;其下一级组织对接收到的前缀分配路径及证明进行验证;当验证通过时,获得前缀的分配路径,向预设的第三方提供;所述预设的第三方依据该信息确定前缀的最长有效分配路径,进而建立前缀和提供该最长分配路径的AS之间的映射关系。2、 如权利要求1所述的方法,其特征在于,还包括 所述预设的第三方将建立的网络中所有AS和前缀的映射表离线下发到各AS中的^各由器。3、 如权利要求1或2所述的方法,其特征在于,所述预设的第三方将获 得的包含AS号码、前缀分配路径的信息存储在预设的知识库中。4、 如权利要求3所述的方法,其特征在于,该信息中包含证明签名,所 述预设的第三方按照以下步骤确定前缀的有效分配路径所述预设的第三方对网络中各AS提供的信息中的前缀分配路径和证明 签名进行验证,当验证通过时,确定其中包含的前缀分配3各径为前缀的有效 分配路径。5、 如权利要求4所述的方法,其特征在于,建立前缀和AS之间的映射 关系包括确定前缀的最长有效分配路径,及提供该^各经的AS; 建立该前缀与该AS之间的映射关系,并按照此方式建立网络中所有AS 和前缀的映射关系。6、 如权利要求5所述的方法,其特征在于,建立前缀和AS之间的映射 关系还包括当前缀存在多个最长有效分配路径时,建立前缀和多个AS之间的映射关系。7、 如权利要求5所述的方法,其特征在于,所述预设的知识库数量为多 个,彼此相连,周期性进行信息交互以保持同步。8、 一种数据报文处理方法,其特征在于,包括AS中的路由器收到数据报文,获取该数据报文的目的IP地址; 当该数据报文的目的IP地址属于本AS内的主机的IP地址时,查询预先 建立的前缀和AS的映射关系;当本AS与数据报文中的目的IP地址不存在 映射关系,或者,数据报文中源IP地址与源AS号码之间不存在映射关系时, 丢弃该数据报文。9、 如权利要求8所述的方法,其特征在于,还包括 当该数据报文的目的IP地址不属于本AS内的主机的IP地址时,查询预先建立的前缀和AS的映射关系,获得目的IP地址对应的目的AS号码;将本AS号码和目的AS号码及所述数据报文进行封装后,转...
【专利技术属性】
技术研发人员:程东年,王娜,黄慧群,申涓,张兴明,黄万伟,刘建强,朱宣勇,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:41[中国|河南]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。