一种边界网关协议前缀劫持攻击防范方法技术

本发明专利技术公开了一种边界网关协议前缀劫持攻击防范方法，首先建立按照IP前缀和AS号码的分层分配系统来分配PKI，分配基于IP前缀和基于AS号码的两种PKI，两种PKI中分别包含IP前缀分配证明和AS号码分配证明，PKI根据IP前缀和AS号码的分配和撤销来进行更新，PKI的分发则是采用在ISP建立分发库的方式，当IP前缀和AS的通告消息到达路由器时则进行验证，首先验证公钥，再验证分配证书和连通性，证实通告的IP前缀或AS号码的授权。该方法可保护域间路由系统免受前缀劫持、IP子网前缀劫持、特别是上层ISP前缀劫持的攻击，同时能够有效防止IP前缀AS路径劫持、IP子网前缀AS路径劫持。

【技术实现步骤摘要】

本专利技术涉及计算机网络完全
，具体涉及一种基于IP(InternetProtocol)前缀和自治系统(Autonomous System)编号分配关系的公钥基础设施(PKI-Public Key Infrastructure)，能够有效的防范BGP前缀劫持攻击。
技术介绍
BGP(Border Gateway Protocol-边界网关协议)作为全球互联网上普遍应用的域间路由协议，在提供和维护因特网的连通性方面起着至关重要的作用。但BGP路由协议安全能力有限，BGP对等实体之间的通信缺少基本的认证和授权机制，无法对实体之间所传递的路由信息进行保护，在许多恶意攻击面前显得非常脆弱。特别是前缀劫持攻击，其危害特别严重，会导致全球互联网的动荡，造成巨大损失。例如：2008年2月24日发生的Pakistan Telecom劫持YouTube事件，其造成YouTube中断服务近2个小时，影响了全球2/3的互联网用户，这是一个典型的前缀劫持事件。前缀劫持攻击的主要危害是劫持者能够控制网络流量流向预定的方向，其攻击手段主要包括以下5种类型：1)劫持IP前缀：攻击者利用受害AS直接通告不属本文档来自技高网...

【技术保护点】
１．一种边界网关协议前缀劫持攻击防范方法，其特征在于，包括以下步骤：①建立基于ＩＰ前缀和ＡＳ（Ａｕｔｏｎｏｍｏｕｓ　Ｓｙｓｔｅｍ，自治系统）号码的ＰＫＩ的分层分配系统，该系统基于现有的ＩＰ地址和ＡＳ号码分配代理系统，增加使用如下两种ＰＫＩ来解决ＩＰ前缀和ＡＳ号码的证书分配：一是用于分配表征ＩＰ前缀所有权的证书；二是负责分配表征ＡＳ号码所有权及ＡＳ号码和路由器之间绑定关系的证书；②按照上述分层分配系统来分配基于ＩＰ前缀和ＡＳ号码的两种ＰＫＩ：ＰＫＩＩＰ和ＰＫＩＡＳ；③将ＰＫＩ根据ＩＰ前缀和ＡＳ号码的分配和撤销来进行更新；④采用在ＩＳＰ建立分发库的方式分发ＰＫＩ；⑤当ＩＰ前缀和ＡＳ号码的通告消息到...

【技术特征摘要】
1.一种边界网关协议前缀劫持攻击防范方法，其特征在于，包括以下步骤：①建立基于IP前缀和AS(Autonomous System，自治系统)号码的PKI的分层分配系统，该系统基于现有的IP地址和AS号码分配代理系统，增加使用如下两种PKI来解决IP前缀和AS号码的证书分配：一是用于分配表征IP前缀所有权的证书；二是负责分配表征AS号码所有权及AS号码和路由器之间绑定关系的证书；②按照上述分层分配系统来分配基于IP前缀和AS号码的两种PKI：PKIIP和PKIAS；③将PKI根据IP前缀和AS号码的分配和撤销来进行更新；④采用在ISP建立分发库的方式分发PKI；⑤当IP前缀和AS号码的通告消息到达BGP(Border Gateway Protocol-边界网关协议)路由器时则进行验证，首先验证公钥，然后验证相应的分配证明，以证实通告此IP前缀或者AS号码的组织获得了授权，并对此IP前缀或者AS号码进行通告。2.根据权利要求1所述的边界网关协议前缀劫持攻击防范方法，其特征在于，在步骤②中，两种PKI以及对应分配关系证明如下：a、IP前缀分配关系证明以及PKIIP设ISPi为ISPj分配的IP前缀，简单记为Prefixj，则它的前缀分配关系证明定义为：[分配前缀的实体，拥有前缀实体，前缀，分配序列号]，具体形式为：[ISPi，ISPj，Prefixj，DNj]，其中分配序列号：DNIP-j是ISPj与ISPi相关的前缀分配关系证明序列号，初始为零，如果ISPi第k次分配了Prefixk，则DNk为k，表示已分配了第k个前缀，以后Prefix每分配一次，则DN依次增加，路由更新中包含IP前缀的分配关系证明，证明上层ISP分配了哪些前缀；假设前缀Prefixi是由最顶层的ISPt分配给ISPt-1再分配给ISPt-2，依次分配，最后分配给ISPk，则定义前缀Prefixi的分配层次是(ISPt，ISPt-1，…，ISP2，ISPk)，它的PKIIP的一般形式为：公钥‖实体‖实体拥有的前缀‖分配层次‖已分配出去的前缀的分配关系证明，具体的PKIIP格式为：Public Key‖ISPi‖Prefixi‖(ISPt，ISPt-1，……，ISP2，ISP1)‖[SPt，ISPt-1，Prefixt-1，DNt-1]‖……‖[ISP2，ISP1，Prefix1，DN1]；b、AS号码分配关系证明及其PKIAS设上层ISPi拥有的AS号码为ASi，当其分配ASj到ISPj，定义ASj的分配关系为：[分配AS号的实体，分配AS号的实体所拥有的AS，拥有分配的AS号的实体，分配的AS号，AS号分配序列号]，具体的形式为：[ISPi，ASi，ISPj，ASj，DNj]，其中AS号分配序列号：DNAS-j是ISPj与ISPi相关的AS分配关系证明序列号，初始为零；如果ISPi第k次分配了ASk，则DNk为k，表示已分配了第k个AS号，以后AS号每分配一次，则DN依次增加；路由更新中包含AS号的分配关系证明，证明上层ISP分配了哪些AS号；假设ASi是由最顶层的ISPt分配给ISPt-1再分配给ISPt-2，依次分配，最后分配给ISP1，则定义ASi的分配层次是(ISPt，ISPt-1，…，ISP2，ISP1)，它的PKIAS的一般形式为：公钥‖实体‖实体拥有的AS号‖绑定的路由器ID‖分配层次‖已分配出去的AS号的分配关系证明...

【专利技术属性】
技术研发人员：阳小龙，隆克平，徐显达，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：90