CN111385246B - 一种安全路由识别方法及装置 - Google Patents
一种安全路由识别方法及装置 Download PDFInfo
- Publication number
- CN111385246B CN111385246B CN201811620079.2A CN201811620079A CN111385246B CN 111385246 B CN111385246 B CN 111385246B CN 201811620079 A CN201811620079 A CN 201811620079A CN 111385246 B CN111385246 B CN 111385246B
- Authority
- CN
- China
- Prior art keywords
- node
- target path
- adjacent
- neighbor
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/24—Connectivity information management, e.g. connectivity discovery or connectivity update
- H04W40/246—Connectivity information discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
Abstract
本申请提供一种安全路由识别方法及装置,由第一AS节点接收第一消息,该第一消息用于指示到达第一路由前缀的目标路径,目标路径用于指示目标路径上的AS节点之间所具有的第一相邻关系,之后由第一AS节点根据区块链中存储的目标路径上的AS节点的邻居信息和该第一相邻关系,判断目标路径是否存在安全威胁,其中,该目标路径上的AS节点的邻居信息包括目标路径上的AS节点分别与其他AS节点之间的第二相邻关系。本申请提供了一种在AS节点之间路由的发布过程中识别目标路径中安全威胁的方案,可提高路由发布过程的安全性。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种安全路由识别方法及装置。
背景技术
全球的互联网被分成很多个自治域(autonomous system,AS),每个国家的运营商、机构、甚至公司等都可以申请AS并获得AS号码,且每个AS内可分配多个网际协议(internet protocol,IP)地址,这些IP地址属于AS,并且这些IP地址可以拥有相同或不同的路由前缀(route prefix)。目前,在进行通信时,发信方AS需要得知收信方AS所拥有的路由前缀。
通过发布边界网关协议(border gateway protocol,BGP)更新(update)消息,源AS节点可将自身拥有的路由前缀以及AS号码向相邻的AS节点发送,相邻节点在update消息中添加自身的AS号码,并继续将BGP update消息向相邻的AS节点发送,重复以上过程,其他AS节点可根据update消息中携带的AS号码,确定到达源AS节点所拥有的路由前缀的路由,从而可以通过该路由与源AS节点进行通信。
然而,通过以上方式发布AS之间路由时无法识别是否存在安全威胁(securitythreat),因此容易发生路径篡攻击或造成路由泄露等威胁。
发明内容
本申请提供一种安全路由识别方法及装置,用以实现AS节点之间路由的发布过程中安全威胁的识别。
第一方面,本申请提供一种安全路由识别方法,由第一AS节点接收第一消息,该第一消息用于指示到达第一路由前缀的目标路径,该目标路径用于指示目标路径上的AS节点之间的第一相邻关系,此后,第一AS节点根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断第一消息所指示的目标链路是否存在安全威胁。
采用以上方法,第一AS节点可识别其他AS节点所发布的路径存在的安全威胁,从而提高AS节点之间发布路由时的安全性。
在一种可能的设计中,目标路径上的AS节点的邻居信息可包括第二相邻关系,该第二相邻关系可用于指示该AS节点的全部相邻节点,第一AS节点可在判断该第二相邻关系与该第一相邻关系不匹配时,确定第一消息所指示的目标路径存在安全威胁。根据该设计,第一AS节点可识别目标路径所存在的路径篡改攻击,以进一步提高AS节点间发布路径时的安全性。
在一种可能的设计中,若该第一相邻关系具体指示第二AS节点为第三AS节点的相邻节点,第二相邻关系具体用于指示第二AS节点的全部相邻节点,其中,该第二AS节点具有该第一路由前缀,则第一AS节点可在判断该第三AS节点不是第二AS节点的全部相邻节点中的一个AS节点时,确定该目标路径存在安全威胁。根据该设计,第一AS节点仅验证第二AS节点与第三AS节点之间的相邻关系是存储于区块链,即可验证是否存在路径篡改攻击,从而节省识别路径篡改攻击时的计算开销,提高识别效率。
在一种可能的设计中,若第一相邻关系用于指示目标路径上的每个AS节点在目标路径上的相邻节点,该第二相邻关系具体用于指示所述每个AS节点的全部相邻节点,则第一AS节点可根据第二相邻关系,分别判断每个AS节点在目标路径上的相邻节点与第二相邻关系指示的每个AS节点的全部相邻节点是否匹配,若是,则第一AS节点判断所述第二相邻关系与所述第一相邻关系匹配,否则,第一AS节点判断所述第二相邻关系与所述第一相邻关系不匹配。在实施中,第一AS节点可分别判断第一相邻关系所指示目标路径上的每个AS节点的相邻节点,是否与第二相邻关系指示的AS节点的全部相邻节点匹配。
示例性的,第一AS节点可根据目标路径上AS节点与第一AS节点的位置关系,以由远及近的顺序,依次判断该第一相邻关系指示的每个AS节点的相邻节点,是否与第二相邻关系指示的该AS节点的全部相邻节点匹配,其中,在确定第一相邻关系指示的任一AS节点的相邻节点,与第二相邻关系指示的该AS节点的全部相邻节点不匹配时,判断目标路径存在安全隐。采用该设计,可识别路径篡改攻击,以提高识别路径篡改攻击时的效率。
在一种可能的设计中,若邻居信息包括用于指示所述目标路径上的AS节点与相邻节点之间的商业关系的信息,第一AS节点还可根据该商业关系的信息以及所述第一相邻关系,判断是否存在路由泄露,若是,则判断目标路径存在安全威胁。根据该设计,第一AS节点可在收到第一消息后,识别第一消息所指示的目标路径是否存在路由泄露,进一步提高AS节点间发布路径时的安全性。
在一种可能的设计中,若邻居信息包括用于指示该目标路径上的AS节点的与相邻节点之间的商业关系的信息,以及用于指示该第一路由前缀对应的传递策略的信息,则第一AS节点可根据该商业关系的信息、用于指示第一路由前缀对应的传递策略的信息以及该第一相邻关系,判断所述目标路径与所述传递策略是否匹配,若是,则判断所述目标路径存在安全威胁。根据该设计,第一AS节点可识别目标路径是否符合该目标路径到达的路由前缀所对应的传递策略,若不符合则识别目标路径存在安全威胁,从而可进一步提高AS节点间发布路径时的安全性。
在一种可能的设计中,第一AS节点可在确定目标路径存在安全威胁后,丢弃第一消息。根据该设计,第一AS节点一旦识别存在安全威胁的路径,则丢弃指示该路径的消息,从而避免存储该路径而造成网络安全的漏洞,以及可避免进一步发布该消息,从而提高AS节点间发布路径时的安全性。
在一种可能的设计中,第一AS节点还可在接收第一消息之前,将自身的邻居信息发布至区块链中,第一AS节点的邻居信息包括但不限于用于指示第一AS节点的全部相邻节点的信息、用于指示第一AS节点与相邻节点之间的商业关系的信息或者用于指示第一AS节点具有的第二路由前缀所对应的传递策略的信息中的部分或全部信息。根据该设计,第一AS节点可将自身的邻居信息发布至区块链,之后可以由区块链中的其他节点将第一AS节点的邻居信息写入区块链中,从而使得邻居信息同步至全网,用于其他AS节点根据本申请提供的安全路由识别方法,验证包含该第一AS节点的路径是否存在安全威胁,以提高AS节点间发布路径时的安全性。
第二方面,本申请提供一种网络节点,所述网络节点具有实现上述第一方面方法实例中第一AS节点行为的功能。所述功能可以通过硬件或软件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
一种可能的实施方式中,所述网络节点的结构可包括收发单元和处理单元,这些单元可以执行上述第一方面的方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
一种可能的实施方式中,所述网络节点的结构可包括收发器、存储器以及处理器。该收发器用于所述网络节点进行通信,如用于接收上述第一方面提供的方法中第一AS节点所接收的第一消息。该处理器被配置为支持网络节点执行上述第一方面提供的方法中相应的功能。所述存储器与所述处理器耦合,其用于保存网络节点必要的程序指令和数据。
第三方面,本申请还提供一种计算机可读存储介质,其上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行上述第一方面或第一方面的任意一种可能的设计提供的方法。
第四方面,本申请还提供了一种包含指令的计算机程序产品,当所述指令在计算机上运行时,使得计算机执行上述第一方面或第一方面的任意一种可能的设计提供的方法。
第五方面,本申请还提供了一种系统,该系统包括上述第二方面的任意一种可能的设计提供的网络节点。
第六方面,本申请还提供了一种芯片,该芯片包括处理器和存储器,存储器中存储有程序指令,处理器用于执行储存器中的程序指令,以实现上述第一方面或第一方面的任意一种可能的设计提供的方法。
以上第二方面至第六方面所带来的技术效果可参见上述第一方面的描述,此处不再赘述。
附图说明
图1为本申请实施例提供的一种网络系统的架构示意图;
图2为本申请实施例提供的另一种网络系统的架构示意图;
图3为本申请实施例提供的一种网络节点的结构示意图;
图4为本申请实施例提供的一种安全路由识别方法的流程示意图;
图5为本申请实施例提供的一种网络节点之间的拓扑关系示意图;
图6为本申请实施例提供的一种交易信息的示意图;
图7为本申请实施例提供的另一种网络节点的结构示意图。
具体实施方式
应理解,本申请实施例中“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一(项)个”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b或c中的至少一项(个),可以表示:a,b,c,a和b,a和c,b和c,或a、b和c,其中a、b、c可以是单个,也可以是多个。
下面对本申请涉及或可能涉及的词语进行解释:
1、至少一个,是指一个,或一个以上,即包括一个、两个、三个及以上。
2、携带,可以是指某消息用于承载某信息或数据,也可以是指某消息由某信息构成。
3、路径篡改攻击,是指恶意的攻击节点对AS节点已知的路由进行的篡改攻击,攻击节点可以声称包括该攻击节点、且到达某个路由前缀的路径短于AS节点已知的到达该路由前缀的路径,AS节点在得知存在更短的路径能够到达路由前缀时,会将攻击节点声称的路径替换已知的到达该路由前缀的路径,但实际上攻击节点声称的路径并不能到达这个路由前缀,恶意的攻击节点便劫持了AS节点发送至这个路由前缀的流量。
4、路由泄露,是指在传递到达某个路由前缀的路由过程中,违背了路由指示消息的传递规则造成的路由错误或混乱,路由指示消息的传递规则与AS节点之间的商业关系有关,这里的路由指示消息用于指示到达某个路由前缀的路径,该消息可以是BGP update消息。商业关系可用于指示相邻的AS节点之中的客户(customer)节点以及业务提供者(provider)节点,例如,相邻的AS节点中,某个AS节点为另一个AS节点的customer节点,同时,该另一个AS节点为该某个AS节点的provider节点,或用于指示相邻的AS节点均为对等(peer)节点,例如,相邻的AS节点互为peer节点。AS节点能够获知自身与相邻的AS节点之间的商业关系。一般来说,在通过路由指示消息在三个AS节点之间传递到达某个路由前缀的路由时,应保证:来自customer节点的路由指示消息,允许传递给customer节点、peer节点和provider节点;来自peer节点的路由指示消息,允许传递给customer节点,不允许传递给peer节点和provider节点;来自provider节点的路由指示消息,允许传递给customer节点,不允许传递给peer节点和provider节点;否则,将会发生路由泄露。
5、路径,或称路由,在本申请中是指从一个AS节点到达另一个AS节点所拥有的路由前缀的路径。根据路径,从一个AS节点到达另一个AS节点为一跳,路径的跳数表示根据路径发送信息时,从一个AS节点发送至另一个AS节点的次数。可以理解,跳数等于路径包含的全部AS节点的数量减一。
下面结合附图对本申请实施例进行详细说明。首先,介绍本申请实施例提供的系统,之后介绍本申请实施例提供的执行路由确定方法的设备、装置,最后介绍本申请实施例提供的路由确定方法的具体实现方式。
如图1所示,本申请实施例提供的网络系统100可包括多个AS节点101,AS节点101可以包括AS服务器。AS节点101可通过网络接口实现通信,如,AS节点101之间可传输本申请实施例所涉及的第一消息。这里的网络接口,包括但不限于光纤链路接口,以太网接口,铜线接口等。AS节点101还可包括一个或多个BGP路由器,BGP路由器之间可进行基于传输控制协议(transmission control protocol,TCP)的数据传输。
在如图1所示的网络系统100中,至少一个AS节点101可将信息发布至区块链中,和/或,获取区块链中存储的信息。具体的,AS节点101可将与自身相邻的其他AS节点101的AS号码等信息发布至区块链中,在经过其他AS节点的验证(如,AS节点101通过交易发布信息,则其他AS节点验证该交易)后,将这些信息写入区块链中,AS节点101也可以从区块链中读取其他AS节点101存储的相邻AS节点的AS号码等信息。
另外,本申请并不排除全部AS节点101均能够与区块链进行交互,从而每个AS节点101可将交易信息存储至区块链中,其他AS节点101可获取区块链中存储的信息,实现信息的同步。示例性的,如图2所示,若应用于以太坊区块链系统,网络系统100可包括多个AS节点,多个AS节点的AS号码分别为AS1~AS5、AS11~AS15,其中AS1~AS5、AS11~AS15均为以太坊区块链系统中的自治域系统节点。另外,如图2所示直线,可表示AS节点之间为相邻节点。
应理解,在如图1网络系统100或如图2所示的网络系统200中,若两个AS节点间可进行通信,则这两个AS节点互为邻居节点。
本申请实施例提供的路由确定方法,可由如图3所示的网络节点300实施。如图3所示,该网络节点300可包括处理器301、存储器302以及收发器303。其中,存储器302用于存储程序指令、指令和数据;收发器303可用于支持网络节点300进行通信,如,收发器303可用于发送处理器301生成的消息,或接受其他网络节点发送的消息。收发器303可以是无线网络收发器。收发器303可还可以是通信接口,该通信接口可以是光纤链路接口,以太网接口或者铜线接口等;处理器301可调用存储器302中的程序指令和/或指令,实现本申请实施例提供的安全路由识别方法,以识别AS节点所发布的路径中的安全威胁。本申请实施例中并不限制处理器301、存储器302以及收发器303之间的连接介质,处理器301、存储器302以及收发器303之间可以通过总线(bus)连接,也可以通过其他连接介质实现连接。应理解,网络节点300可以是AS节点101包括的AS服务器或BGP路由器。网络节点300也可以由芯片或其他装置实现。
下面结合图4,说明本申请实施例提供的路由确定方法,该方法可包括以下步骤:
S101:第一AS节点接收第一消息,该第一消息用于指示到达第一路由前缀的目标路径,该目标路径用于指示目标路径上的AS节点之间的第一相邻关系。
S102:第一AS节点根据第一相邻关系以及区块链中存储的目标路径上的AS节点的邻居信息,判断目标路径是否存在安全威胁。
采用以上方法,第一AS节点可根据第一消息中的第一相邻关系,以及根据区块链中存储的目标路径上的AS节点的邻居信息识别目标路径是否存在安全威胁,从而提供了一种在AS节点之间路由的发布过程中识别安全威胁的方案,提高AS节点之间路由发布过程的安全性。
本申请所涉及的第一消息可以是BGP update消息。具体的,BGP update消息的AS_PATH域可携带用于指示目标路径的信息,其中,目标路径可通过多个先后写入的AS节点的AS号码表示,其中先后写入的两个AS号码各自所属AS节点之间为相邻节点,从而目标路径上的AS节点之间的第一相邻关系可通过多个相邻的AS号码表示。
具体来说,以图2所示网络系统200为例,若AS1节点拥有路由前缀16.0.0.0/16,AS1节点可以在GBP update消息的网络层可达信息(network layer reachabilityinformation,NLRI)中携带16.0.0.0/16,以表示该GBP update消息指示到达目标路由前缀16.0.0.0/16的目标路径。AS1节点还可在AS_PATH域中携带AS号码AS1,表示到达目标路由前缀16.0.0.0/16需达AS1。AS1节点若将该GBP update消息发送至AS2节点,AS2节点在收到update消息后,更新自身存储的到达目标路由前缀16.0.0.0/16的目标路径为由AS2节点到达AS1节点,并在AS_PATH域中添加自身的AS号码AS2,该GBP update消息表示到达目标路由前缀16.0.0.0/16需通过AS2节点到达AS1节点,之后AS2节点可将GBP update消息发送至AS3节点,AS3节点收到GBP update消息后可重复以上过程。
若将如图2所示的AS5节点作为第一AS节点,当GBP update消息由AS1节点发出并先后经过AS2节点、AS3节点以及AS4节点到达AS5节点时,GBP update消息的AS_PATH域中包括以下AS号码:AS4、AS3、AS2以及AS1,表示在从AS5节点到达路由前缀16.0.0.0/16时,需要从AS5节点先后经过AS4节点、AS3节点、AS2节点最后到达AS1节点,即目标路径包括AS5节点、AS4节点、AS3节点、AS2节点以及AS1节点,其中,AS5节点、AS4节点为相邻节点,AS4节点与AS3节点为相邻节点,AS3节点与AS2节点为相邻节点,AS2节点与AS1节点为相邻节点。从而以上目标路径,可用于指示第一相邻关系包括AS5节点与AS4节点之间的相邻关系、AS4节点与AS3节点之间的相邻关系、AS3节点与AS2节点之间的相邻关系以及AS2节点与AS1节点之间的相邻关系。
另外,第一消息中还可携带用于指示目标路径上与某个AS节点相邻的AS节点的AS号码,以指示目标路径上该AS节点与相邻的AS节点之间的相邻关系。例如,第一消息可携带目标路径上的AS节点的邻居列表,该邻居列表可包括AS节点在目标路径上的相邻节点的AS号码。
具体的,仍以图2所示网络系统200为例,若目标路径用于指示到达路由前缀时需要从AS5节点出发先后经过AS4节点、AS3节点、AS2节点最后到达AS1节点,即目标路径包括AS1节点、AS2节点、AS3节点、AS4节点以及AS5节点。该目标路径上各个AS节的相邻节点可通过表1所示的邻居列表表示,其中,表中“相邻节点”一栏的AS号码所关联的AS节点,表示该表中位于同一行的“AS节点”一栏所示的AS号码所关联的AS节点的相邻节点。如表1所示,目标链路上,AS1节点的相邻节点为AS2节点,AS2节点的相邻节点为AS1节点以及AS3节点,AS3节点的相邻节点为AS2节点以及AS4节点,AS4节点的相邻节点为AS3节点以及AS5节点,以及,AS5节点的相邻节点为AS4节点。
| AS节点 | 相邻节点 |
| AS1 | AS2 |
| AS2 | AS1,AS3 |
| AS3 | AS2,AS4 |
| AS4 | AS3,AS5 |
| AS5 | AS4 |
表1
应理解,以上第一相邻关系的指示方式仅仅是举例说明,本申请并不限制只能通过GBPupdate消息的AS_PATH域中的AS号码或者只能以如表1所示的邻居列表来指示第一消息中的第一相邻关系,例如,还可以通过以上两种方式的结合来指示第一相邻关系,或者,还可通过其他明示或隐式指示的方式来指示第一相邻关系。
在实施中,区块链中存储的目标路径上的AS节点的邻居信息可以是预配置在区块链中,或者由目标路径上的AS节点发布区块链中的。
示例性的,区块链中存储的目标路径上的AS节点的邻居信息可包括第二相邻关系,该第二相邻关系可用于指示目标路径上的AS节点的全部相邻节点。
本申请所涉及的第二相邻关系,可包括目标路径上的AS节点的全部相邻节点的AS号码,应理解,这里所述的全部相邻节点,包括但不限于目标链路上的节点。在实施中,第二相邻关系可用于指示每个目标路径上的AS节点在各自所在网络系统中的全部相邻节点。该第二相邻关系可写入区块链中,以实现第二相邻关系的全网同步。第一AS节点可获取区块链中存储的第二相邻关系。
具体的,第二相邻关系也可表现为邻居列表。仍以如图2所示的网络系统200为例,若目标路径用于指示到达路由前缀时需要从AS5节点出发先后经过AS4节点、AS3节点、AS2节点最后到达AS1节点,即目标路径包括AS1节点、AS2节点、AS3节点、AS4节点以及AS5节点。其中,AS1节点、AS2节点、AS3节点、AS4节点以及AS5节点各自的相邻节点如表2所示。根据表2可知,目标路径上的AS1节点的相邻节点包括AS11节点以及AS2节点。目标路径上的AS2节点的相邻节点包括AS12节点、AS1节点以及AS3节点。目标路径上的AS3节点的相邻节点包括AS13节点、AS2节点以及AS4节点。目标路径上的AS4节点的相邻节点包括AS14节点、AS3节点以及AS5节点。目标路径上的AS5节点的相邻节点包括AS15节点以及AS4节点。
| AS节点 | 相邻节点 |
| AS1 | AS11,AS2 |
| AS2 | AS11,AS1,AS3 |
| AS3 | AS13,AS2,AS4 |
| AS4 | AS14,AS3,AS5 |
| AS5 | AS15,AS4 |
表2
应理解,以上第二相邻关系的指示方式仅仅是举例说明,本申请并不限制只能以如表2所示的邻居列表来指示第一消息中的第一相邻关系,例如,还可以通过其他明示或隐式指示的方式来指示第二相邻关系。
另外应理解,区块链中可以存储一个邻居列表以表示第二相邻关系,该邻居列表可包括网络系统200中多个或全部AS节点的相邻节点的AS号码。区块链也可以存储多个邻居列表,每个邻居列表用于存储一个或多个AS节点的相邻节点的AS号码。
在S102所示步骤的实施中,第一AS节点可在接收第一消息后,可判断第一消息所指示的目标路径是否存在路径篡改攻击、路由泄露或者到达第一路由前缀的目标路径与第一路由前缀对应的传递策略不匹配等安全威胁中的一项或者多项,若是,则确定存在安全威胁。
在S102所示步骤的一种实现方式中,第一AS节点可在判断第二相邻关系与第一相邻关系不匹配时,确定存在路径篡改攻击,此时第一AS节点可确定第一消息所指示的目标路径存在安全威胁。应理解,若第一消息所指示的目标路径的第一相邻关系与在全网同步的第二相邻关系不匹配,可认为第一消息指示的目标路径可信度较低,此时第一AS节点可判定第一消息所指示的目标路径存在安全威胁。
具体的,在一种可能的实现方式中,若第一相邻关系用于指示第二AS节点为第三AS节点的相邻节点,其中,第二AS节点具有第一路由前缀,第二AS节点与第三AS节点均位于目标链路上,在判断第二相邻关系与第一相邻关系是否匹配时,第一AS节点可判断第三AS节点是否属于第二相邻关系指示的第二AS节点的全部相邻节点中的一个。若是,则可判断第二相邻关系与第一相邻关系匹配。否则,若第三AS节点不是第二相邻关系指示的第二AS节点的全部相邻节点其中之一,则可判断第二相邻关系与第一相邻关系不匹配,此时可判断目标链路存在安全威胁。应理解,这里的第三AS节点可以与第一AS节点是相同的AS节点。
仍以如图2所示的网络系统200为例,AS1节点拥有路由前缀16.0.0.0/16,若AS1节点向AS5节点发送第一消息以发起路径篡改攻击,该第一消息所指示的到达路由前缀的目标路径为由AS5节点出发到达AS1节点,即该目标路径指示的第一相邻关系具体指示AS1节点与AS5节点互为相邻节点。若区块链中存储的第二相邻关系如表2所示,AS5节点可从区块链中获取该第二相邻关系,该第二相邻关系用于指示AS1节点的全部相邻节点,此后,AS5节点可在根据如表2确定AS1的全部相邻节点不包括AS5节点后,第二相邻关系与第一相邻关系不匹配,从而判断目标路径存在安全威胁。
在另一种可能的实现方式中,若第一相邻关系具体指示目标路径上的每个AS节点在目标路径上的相邻节点,该第二相邻关系具体指示目标路径上的每个AS节点的全部相邻节点,第一AS节点还可根据第二相邻关系,分别判断第一相邻关系指示的每个AS节点在目标路径上的相邻节点与第二相邻关系指示的每个AS节点的全部相邻节点是否匹配。若均匹配,则可判断第二相邻关系与第一相邻关系匹配。若其中任意一次判断结果为不匹配,则判断第二相邻关系与第一相邻关系不匹配。具体的,在分别判断第一相邻关系指示的每个AS节点在目标路径上的相邻节点,与第二相邻关系指示的每个AS节点的全部相邻节点是否匹配时,第一AS节点可将第一相邻关系指示的每一个AS节点的相邻节点与,第二相邻关系指示的每个AS节点的全部相邻节点比对。
仍以如图2所示的网络系统200为例,AS1节点拥有路由前缀16.0.0.0/16,AS5节点接收的第一消息指示的到达路由前缀16.0.0.0/16的目标路径具体包括:从AS5节点出发先后经过AS4节点、AS3节点、AS2节点最后到达AS1节点,即目标路径包括AS1节点、AS2节点、AS3节点、AS4节点以及AS5节点。该目标路径所指示的第一相邻关系可表示为表1所述的邻居列表。若区块链中存储的AS5节点、AS4节点、AS3节点、AS2节点以及AS1节点分别与其他AS节点的第二相邻关系,可表示为如表2所示的邻居列表。AS5节点可分别判断表1中AS5节点的邻居节点是否均包括在表2中AS5节点的邻居节点中、表1中AS4节点的邻居节点是否包括在表2中AS4节点的邻居节点中、表1中AS3节点的邻居节点是否包括在表2中AS3节点的邻居节点中、表1中AS2节点的邻居节点是否包括在表2中AS2节点的邻居节点中、表1中AS1节点的邻居节点是否包括在表2中AS1节点的邻居节点中,若其中任意一次判断的结果为否定结果,则AS5节点可判断第二相邻关系与第一相邻关系不匹配,从而判定目标路径存在安全威胁,并且AS5节点可不再继续执行上述判断过程中未进行的判断过程。
具体的,AS5节点可按照以下顺序进行判断,首先判断表1中AS1节点的邻居节点是否包括在表2中AS1节点的邻居节点中,若判断结果为否定结果,则AS5节点可确定第一消息所指示的目标路径存在安全威胁,若判断结果为肯定结果,则AS5节点可以进一步判断表1中AS2节点的邻居节点是否包括在表2中AS2节点的邻居节点中。若表1中AS2节点的邻居节点未包括在表2中AS2节点的邻居节点中,则AS5节点可确定第一消息所指示的目标路径存在安全威胁,否则,若表1中AS2节点的邻居节点包括在表2中AS2节点的邻居节点中,AS5节点可以进一步判断表1中AS3节点的邻居节点是否包括在表2中AS3节点的邻居节点中。若表1中AS3节点的邻居节点未包括在表2中AS3节点的邻居节点中,则AS5节点可确定第一消息所指示的目标路径存在安全威胁,否则,若表1中AS3节点的邻居节点包括在表2中AS3节点的邻居节点中,AS5节点可以进一步判断表1中AS4节点的邻居节点是否包括在表2中AS4节点的邻居节点中。若AS4节点的邻居节点未包括在表2中AS4节点的邻居节点中,则AS5节点可确定第一消息所指示的目标路径存在安全威胁,否则,若AS4节点的邻居节点包括在表2中AS4节点的邻居节点中,则AS5节点可以进一步判断表1中AS5节点的邻居节点是否包括在表2中AS5节点的邻居节点中。若表1中AS5节点的邻居节点未包括在表2中AS5节点的邻居节点中,则AS5节点可确定第一消息所指示的目标路径存在安全威胁,否则,若表1中AS5节点的邻居节点包括在表2中AS5节点的邻居节点中,则AS5节点可判断该目标路径未发生路由泄露。
根据以上方案,AS5节点根据目标路径由远及近地分别判断第一相邻关系指示的每个AS节点在目标路径上的相邻节点,与第二相邻关系指示的每个AS节点的全部相邻节点是否匹配,可提高识别路径篡改攻击的效率。
在S102所示步骤的一种实现方式中,若区块链中存储的目标路径上的AS节点的邻居信息还包括用于指示目标路径上的AS节点与相邻节点之间的商业关系的信息,第一AS节点还可根据该商业关系的信息以及第一相邻关系,判断目标路径是否存在路由泄露,以识别是否存在安全威胁。
具体的,若第一相邻关系具体指示目标路径上的第四AS节点与第五AS节点相邻,以及指示该第五AS节点与第一AS节点相邻,其中第四AS节点以及该第五AS节点是该目标路径上的AS节点,另外,目标路径还指示在到达第一路由前缀时需要由该第一AS节点到达该第五AS节点,之后由该第五AS节点到达该第四AS节点,若该目标路径上的AS节点的邻居信息还包括用于指示该第四AS节点与该第五AS节点之间的商业关系的信息,以及用于指示该第五AS节点与该第一AS节点之间的商业关系的信息,则第一AS节点可根据该第四AS节点与该第五AS节点之间的商业关系以及该第五AS节点与该第一AS节点之间的商业关系,判断该目标路径是否存在路由泄露。
具体的,第一AS节点可在确定满足以下条件中的一个或多个时,第一AS节点判断存在路由泄露:
条件一,该第一AS节点为该第五AS节点的provider节点,且该第五AS节点为该第四AS节点的customer节点。
若第一AS节点根据该第四AS节点与该第五AS节点之间的商业关系,确定该第五AS节点为该第四AS节点的customer节点,且根据该第五AS节点与该第一AS节点之间的商业关系,确定该第一AS节点为该第五AS节点的provider节点,则第一AS节点判断目标路径存在路由泄露。
以图2所示网络系统200为例,若AS5节点接收的第一消息指示目标路径从AS5节点到达AS4节点,再由AS4节点到达AS3节点,AS5节点若根据区块链中存储的用于指示AS5节点与AS节点的商业关系的信息以及用于指示AS4节点与AS3节点的商业关系的信息,判断AS5节点为AS4节点的provider节点,且AS4节点为AS3节点的customer节点,则AS4节点判断第一消息所指示的目标路径存在路由泄露。
条件二,该第一AS节点为该第五AS节点的peer节点,且该第五AS节点为该第四AS节点的对等peer节点。
若该第一AS节点根据该第四AS节点与该第五AS节点之间的商业关系,确定该第五AS节点为该第四AS节点的对等peer节点,且根据该第五AS节点与该第一AS节点之间的商业关系,确定该第一AS节点为该第五AS节点的peer节点,则第一AS节点判断存在路由泄露。
仍以图2所示网络系统200为例,若AS5节点接收的第一消息指示目标路径从AS5节点到达AS4节点,再由AS4节点到达AS3节点,AS5节点若根据区块链中存储的用于指示AS5节点与AS节点的商业关系的信息以及用于指示AS4节点与AS3节点的商业关系的信息,判断AS5节点为AS4节点的peer节点,且AS4节点为AS3节点的peer节点,则AS4节点判断第一消息所指示的目标路径存在路由泄露。
条件三,该第一AS节点为该第五AS节点的provider节点,且该第五AS节点为该第四AS节点的peer节点。
若该第一AS节点根据该第四AS节点与该第五AS节点之间的商业关系,确定该第五AS节点为该第四AS节点的peer节点,且根据该第五AS节点与该第一AS节点之间的商业关系,确定该第一AS节点为该第五AS节点的provider节点,则第一AS节点判断存在路由泄露。
仍以图2所示网络系统200为例,若AS5节点接收的第一消息指示目标路径从AS5节点到达AS4节点,再由AS4节点到达AS3节点,AS5节点若根据区块链中存储的用于指示AS5节点与AS节点的商业关系的信息以及用于指示AS4节点与AS3节点的商业关系的信息,判断AS5节点为AS4节点的provider节点,且AS4节点为AS3节点的peer节点,则AS4节点判断第一消息所指示的目标路径存在路由泄露。
条件四,该第一AS节点为该第五AS节点的peer节点,且该第五AS节点为该第四AS节点的customer节点。
若该第一AS节点根据该第四AS节点与该第五AS节点之间的商业关系,确定该第五AS节点为该第四AS节点的customer节点,且据该第五AS节点与该第一AS节点之间的商业关系,确定该第一AS节点为该第五AS节点的peer节点,则第一AS节点判断存在路由泄露。
仍以图2所示网络系统200为例,若AS5节点接收的第一消息指示目标路径从AS5节点到达AS4节点,再由AS4节点到达AS3节点,AS5节点若根据区块链中存储的用于指示AS5节点与AS节点的商业关系的信息以及用于指示AS4节点与AS3节点的商业关系的信息,判断AS5节点为AS4节点的peer节点,且AS4节点为AS3节点的customer节点,则AS4节点判断第一消息所指示的目标路径存在路由泄露。
应理解,以上判断是否存在路由泄露的条件指示举例说明,在实施中,只要第一AS节点根据目标路径中相邻的AS节点之间的商业关系,确定第一消息违背路由指示消息的传递规则,即可判定确定目标路径存在路由泄露。其中,在三个AS节点之间传递用于指示路径的路由指示消息时,路由指示消息的传递规则包括:来自customer节点的路由指示消息,允许传递给customer节点、peer节点和provider节点;来自peer节点的路由指示消息,允许传递给customer节点,不允许传递给peer节点和provider节点;来自provider节点的路由指示消息,允许传递给customer节点,不允许传递给peer节点和provider节点。
在上例中,第一AS节点可从区块链中获取用于指示第四AS节点与第五AS节点之间的商业关系的信息,以及用于指示第五AS节点与第一AS节点之间的商业关系的信息。
示例性的,区块链中存储的目标路径上的AS节点的邻居信息,可包括用于指示目标链路上AS节点分别与其他的AS节点之间的商业关系的信息。例如,若目标路径用于指示到达路由前缀时需要从如图2所示的AS5节点出发,先后经过AS4节点、AS3节点、AS2节点最后到达AS1节点,区块链可存储如图2所示的网络系统200中,用于指示AS5节点与AS4节点之间的商业关系的信息、用于指示AS4节点与AS3节点之间的商业关系的信息、用于指示AS3节点与AS2节点之间的商业关系的信息、用于指示AS2节点与AS1节点之间的商业关系的信息。
又如,AS0节点与邻居节点之间拓扑关系图如图5所示,可见,AS0节点的相邻节点包括AS01节点~AS09节点、AS11节点、AS12节点、AS21节点以及AS22节点,其中,AS11节点和AS12节点是AS0节点的provider节点,AS21节点和AS22节点是AS0节点的peer节点,AS01节点~AS09节点为AS0节点的customer节点,区块链中可存储用于指示AS11节点和AS12节点是AS0节点的provider节点的信息、用于指示AS21节点和AS22节点是AS0节点的peer节点的信息以及用于指示AS01节点~AS09节点为AS0节点的customer节点的信息。
具体的,用于指示AS节点分别与其他的AS节点之间的商业关系的信息可在区块链中存储为散列表,散列表的键(key)、值(value)的存储都是256bit,散列表中未被占用的键值对可设置为0。其中,key可用于描述商业关系,与key对应的value可用于描述满足该商业关系的邻居节点。
示例性的,区块链可以将AS0节点的邻居信息存储为如表3所示的邻居列表,以体现AS0节点与其他相邻的AS节点之间的商业关系,其中,表中第3行的key表示AS0节点的provider节点的第1条(共1条)信息,与该key对应的value为“AS11,AS12”,表示AS11节点以及AS12节点为AS0节点的provider节点;表中第4行的key表示AS0节点的peer节点的第1条(共1条)信息,与该key对应的value为“AS21,AS22”,表示AS21节点以及AS22节点为AS0节点的peer节点;表中第5行的key表示AS0的customer节点的第1条(共2条)信息,与该key对应的value为“AS01,AS02,AS03,AS04,AS05,AS06,AS07,AS08”,表示AS01节点、AS02节点、AS03节点、AS04节点、AS05节点、AS06节点、AS07节点以及AS08节点为AS0的customer节点;表中第6行的key表示AS0节点的customer节点的第2条(共2条)信息,与该key对应的value为“AS09”,表示AS09节点为AS0节点的customer节点。应理解,如表3所示的邻居列表中key一栏包含的AS号码所关联的AS节点均为AS0节点的相邻节点。
表3
应理解,以上用于指示AS节点分别与其他的AS节点之间的商业关系的信息在区块链中的存储方式只是举例说明,本申请并不限制只能以如表3所示的邻居列表的方式来存储该信息,例如,还可以通过其他明示或隐式的方式来存储用于指示AS节点分别与其他的AS节点之间的商业关系的信息。
在S102所示步骤的一种实现方式中,若区块链中存储的目标路径上的AS节点的邻居信息还包括用于指示AS节点的与相邻节点之间的商业关系的信息,以及用于指示第一路由前缀对应的传递策略的信息,则第一AS节点还可根据区块链中存储的该商业关系的信息、该传递策略的信息以及第一相邻关系,判断到达第一路由前缀的目标路径是否与第一路由前缀对应的传递策略不匹配,以识别目标路径是否存在安全威胁。其中,拥有第一路由前缀的AS节点可设定该第一路由前缀对应的传递策略,传递策略可用于指示是否允许其他AS节点(其他AS节点可接收到达第一路由前缀的路由指示消息以获知到达第一路由前缀的路径)将到达该第一路由前缀的路径指示给该其他AS节点的provider节点。拥有第一路由前缀的AS节点还可将该第一路由前缀对应的传递策略发布至区块链。
具体的,若第一消息所指示的目标路径具体用于指示由第一AS节点到达第六AS节点,该目标路径上的AS节点的邻居信息还包括用于指示该第六AS节点与第一AS节点之间的商业关系的信息以及包括用于指示该第一路由前缀对应的传递策略的信息,其中,该第六AS节点是该目标路径上的AS节点。若该第一AS节点在该第一路由前缀对应的传递策略用于指示不允许该第六AS节点将到达该第一路由前缀的路径指示给该第六AS节点的provider节点,且第一AS节点根据该第六AS节点与该第一AS节点之间的商业关系信息,确定该第一AS节点为该第六AS节点的provider节点,则第一AS节点可判断目标路径与第一路由前缀对应的传递策略不匹配,此时,第一AS节点确定该目标路径存在安全威胁。
仍以如图2所示网络系统200为例,若AS5节点收到的第一消息指示到达路由前缀16.0.0.0/16的目标路径,该目标路径包括从AS5节点到达AS4节点,其中,路由前缀16.0.0.0/16为AS1节点所拥有的路由前缀。AS5节点可从区块链中获取用于指示AS5节点与AS4节点之间的商业关系的信息,以及获取路由前缀16.0.0.0/16对应的传递策略,若AS5节点根据路由前缀16.0.0.0/16对应的传递策略确定该传递策略表示是不允许AS4节点将到达路由前缀的路径指示给AS4节点的provider节点,且AS5节点根据AS5节点与AS4节点之间的商业关系确定AS5节点为AS4节点的provider节点,则AS5节点可确定第一消息所指示的目标路径与路由前缀16.0.0.0/166对应的传递策略不匹配,此时AS5节点可判断该目标路径存在安全威胁。
示例性的,区块链中存储的目标路径上的AS节点的邻居信息可包括还可包含用于指示路由前缀对应的传递策略的信息,该信息可以是拥有该路由前缀的AS节点发布区块链中的。在实施中,用于指示路由前缀对应的传递策略的信息,可存储于如表4所示的邻居列表中。如表4所示,在区块链以邻居列表形式所存储的AS0节点的邻居信息中,还可以包含AS0节点拥有的路由前缀(IP_prefix)的信息,以及包含用于指示每个路由前缀对应的传递策略的信息。
根据表4第3行的内容可知,AS0节点拥有路由前缀IP_prefix_1、IP_prefix_2以及IP_prefix_3,其中,表4中第5行包括的路由传递策略“AS21(IP_prefix_2)”,表示不允许AS02将其收到的指示如何到达路由前缀“IP_prefix_2”的路径向上游节点传递;表4中第5行包括的路由传递策略“AS09(IP_prefix_1,IP_prefix_2,IP_prefix_3)”,表示不允许AS09将其收到的指示如何到达路由前缀“IP_prefix_1”、“IP_prefix_2”以及“IP_prefix_3”的路径向上游节点传递;另外根据表4,AS0节点并未限制AS01节点将其收到的指示如何到达路由前缀“IP_prefix_1”、“IP_prefix_2”以及“IP_prefix_3”的路径向上游节点传递。
表4
应理解,以上用于指示路由前缀对应的传递策略的信息在区块链中的存储方式只是举例说明,本申请并不限制只能以如表4所示的邻居列表的方式来存储该信息,例如,还可以通过其他明示或隐式的方式来存储用于指示路由前缀对应的传递策略的信息。
在本申请实施例中,第一AS节点可根据S102所示步骤判断第一消息所指示的目标路径是否存在安全威胁,若判断结果为目标路径存在安全威胁,第一AS节点可丢弃该第一消息,以避免根据第一消息更新到达第一路由前缀的路由。具体的,第一AS节点可在确定存在路径篡改攻击后,丢弃第一消息;和/或,第一AS节点还可在确定存在路由泄露后,丢弃第一消息;和/或,第一AS节点还可在确定到达第一路由前缀的目标路径与第一路由前缀对应的传递策略不匹配后,丢弃第一消息。
在本申请实施例中,第一AS节点还可将第一AS节点的邻居信息发布至区块链,之后可由区块链中的其他AS节点将该邻居信息写入区块链中,从而由区块链存储该邻居信息。具体的,第一AS节点可将用于指示第一AS节点的全部相邻节点的信息、用于指示所述第一AS节点分别与相邻节点之间的商业关系的信息,或者用于指示第二路由前缀对应的传递策略的信息中的部分或全部信息发布至区块链中,其中,第一AS节点拥有所述第二路由前缀,第二路由前缀对应的传递策略用于指示是否允许其他AS节点将到达所述第二路由前缀的路径(该路径可通过BGP updat消息指示给该其他AS节点)指示给该其他AS节点的provider节点。
以如图5所示AS0节点为例,AS0节点可将如表4所示的邻居列表写入区块链,该邻居列表可包括用于指示AS0节点的相邻节点的信息,以及用于指示AS0节点与相邻节点之间的商业关系的信息,以及用于指示AS0节点所拥有的路由前缀IP_prefix_1、IP_prefix_2以及IP_prefix_3分别对应的传递策略的信息。
在一种可能的实现方式中,第一AS节点可调用区块链中部署的智能合约发起交易,在交易信息中携带邻居信息,从而通过交易将第一AS节点的邻居信息发布至区块链中。具体的,智能合约可以是区块链中的区块链节点发布的,通过该智能合约可以声明AS节点对邻居信息的操作类型,例如,可通过智能合约,声明AS节点可将邻居信息写入(write)区块链,或者可以对区块链中存储的邻居信息进行修改(update)或删除(delete)操作。智能合约在发布后,区块链中的各区块链节点在本地维护智能合约的执行。应理解,第一AS节点以及第一AS节点以外的区块链上的其他AS节点,均可通过区块链中部署的智能合约发起交易,从而将邻居信息发布至区块链,之后可由其他AS节点在验证该交易后,在本地将邻居信息写入区块链,使得邻居信息在全网同步。
当AS节点调用智能合约发起交易,若区块链中的其他节点确定该交易通过验证,则可对邻居信息进行智能合约所请求的操作,例如,AS节点通过智能合约请求将邻居信息发布至区块链,则该其他节点可在确定该交易通过验证后将AS节点的邻居信息写入区块链。
如图6所示,若区块链中的区块链节点分别为0节点~n+1节点。若AS1节点调用智能合约发起交易,其中,该交易的交易信息中包含的交易地址为智能合约的地址,交易信息包含的交易类型为写入,表示这是AS1节点首次向区块链中写入AS1节点的邻居信息,交易信息还包括AS号码AS2和AS6,表示AS2节点以及AS6节点为AS1节点的相邻节点,交易信息中还可包含此次交易的费用(gas)和对应的费用值(gas price)。区块链中的0节点可基于AS1节点发起的交易,在验证该交易后,将用于指示AS2节点以及AS6节点为AS1节点的相邻节点的信息写入智能合约对应的账户存储(例如,0节点可将“Neighbor List:AS2,AS6”写入智能合约对应的账户存储,以表示AS2节点以及AS6节点为AS1节点的相邻节点),并将此次交易写入区块链。
进一步的,若AS3节点调用智能合约发起交易,其中,交易的地址为智能合约的地址,交易类型为写入,表示这是AS3节点首次向区块链中写入AS3节点的邻居信息,交易信息还包括AS号码AS6,表示AS6节点为AS3节点的相邻节点。区块链中的3节点可基于AS3节点发起的交易,将用于指示AS6节点为AS3节点的相邻节点的信息写入智能合约对应的账户存储,并将此次交易写入区块链。
进一步的,若AS1节点调用智能合约发起交易,其中,交易的地址为智能合约的地址,交易类型为删除,表示这是AS1节点删除区块链中存储的AS1节点的邻居信息,交易信息还包括AS号码AS6,表示AS6节点为AS1节点的相邻节点。区块链中的n节点可基于AS1节点发起的交易,删除智能合约对应的账户存储中的用于指示AS2为AS1节点的相邻节点的信息,保留用于指示AS6节点为AS1节点的相邻节点的信息,并将此次交易写入区块链。
采用以上方式,第一AS节点可以通过智能合约发起交易,在区块链中的区块链节点验证交易后,可通过交易将AS节点的邻居信息写入智能合约对应的账户存储,或者对智能合约对应的账户中存储的邻居信息进行修改或删除,并将该交易写入区块链,从而将AS节点的邻居信息发布至区块链。
应理解,本申请所涉及的在区块链中存储的目标路径上的AS节点的邻居信息,也可是由目标路径上的AS节点通过以上方法发布至区块链的,该AS节点的邻居信息在发布至区块链后,可以由区块链中的其他节点根据以上所示方法写入区块链。
在实施中,调用智能合约发起交易的AS节点可在交易信息中携带邻居信息,该邻居信息可表现为如表1至表4中任一所示的邻居列表,区块链中的区块链节点在验证交易后将交易信息写入区块链,从而将如表1至表4中任一所示的邻居列表发布至区块链。写入区块链中的邻居信息,可用于其他AS节点获取后验证其他AS节点所接收的路由指示消息所指示的路径是否存在安全威胁。
基于与以上方法实施例相同的发明构思,本申请实施例还提供了一种网络节点,该网络节点可用于实现上述方法实施例中的由第一AS节点实现的功能。可以理解的是,该网络节点为了实现上述由第一AS节点实现的功能,可包含执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例所描述的各个示例单元及算法步骤,本申请能够以硬件、计算机软件或硬件和计算机软件的结合形式来实现该网络节点。其中,该网络节点的某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。
在一种可能的实现方式中,本申请实施例所提供的网络节点,可具有如图3中所示网络节点300的结构。
基于该结构,收发器303可用于接收第一消息,该第一消息用于指示到达第一路由前缀的目标路径,该目标路径用于指示该目标路径上的AS节点之间的第一相邻关系。处理器301,可用于调用该存储器中存储的程序指令,执行:根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁。
在一种可能的实现方式中,若邻居信息包括第二相邻关系,该第二相邻关系用于指示该目标路径上的AS节点的全部相邻节点,处理器301在根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁时,可具体用于:判断该第二相邻关系与该第一相邻关系是否匹配,若匹配,则判断该目标路径不存在安全威胁;若不匹配,则判断该目标路径存在安全威胁。
若第一相邻关系具体指示第二AS节点为第三AS节点的相邻节点,其中,该第二AS节点具有该第一路由前缀,该第二相邻关系具体用于指示该第二AS节点的全部相邻节点,处理器301在判断该第二相邻关系与该第一相邻关系是否匹配时,可具体用于:根据该第二相邻关系,判断该第三AS节点是否属于该第二AS节点的全部相邻节点之一,若是,则判断该第二相邻关系与该第一相邻关系匹配,否则,判断该第二相邻关系与该第一相邻关系不匹配。
若第一相邻关系用于指示该目标路径上的每个AS节点在该目标路径上的相邻节点,该第二相邻关系具体用于指示该每个AS节点的全部相邻节点,处理器301在判断该第二相邻关系与该第一相邻关系是否匹配时,可具体用于:根据该第二相邻关系,分别判断该每个AS节点在该目标路径上的相邻节点与该第二相邻关系指示的该每个AS节点的全部相邻节点是否匹配。若是,则可判断该第二相邻关系与该第一相邻关系匹配。否则,判断该第二相邻关系与该第一相邻关系不匹配。
在一种可能的实现方式中,若邻居信息包括用于指示该目标路径上的AS节点与相邻节点之间的商业关系的信息,处理器301在根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁时,具体用于:根据该商业关系的信息以及该第一相邻关系,判断是否存在路由泄露。若是,则可判断该目标路径存在安全威胁。否则,可判断该目标路径不存在安全威胁。
在一种可能的实现方式中,若该邻居信息包括用于指示该目标路径上的AS节点的与相邻节点之间的商业关系的信息,以及用于指示该第一路由前缀对应的传递策略的信息,处理器301在根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁时,具体用于:根据该商业关系的信息、用于指示该第一路由前缀对应的传递策略的信息以及该第一相邻关系,判断该目标路径与该传递策略是否匹配。若是,则可判断该目标路径存在安全威胁。否则,可判断该目标路径不存在安全威胁。
本申请中,处理器301在确定该目标路径存在安全威胁之后,还可丢弃该第一消息。
另外,处理器301还可在收发器303接收第一消息之前,将该第一AS节点的邻居信息发布至区块链中;该第一AS节点的邻居信息包括下列信息中的部分或全部信息:用于指示该第一AS节点的全部相邻节点的信息;或者,用于指示该第一AS节点与相邻节点之间的商业关系的信息,该商业关系用于指示该第一AS节点分别与该其他AS节点互为客户customer或业务提供者provider关系,或者互为对等peer关系;或者,用于指示第二路由前缀对应的传递策略的信息,该第一AS节点具有该第二路由前缀,该第二路由前缀的传递策略用于指示是否允许接收第二消息的AS节点将到达该第二路由前缀的路径指示给该接收第二消息的AS节点的provider节点,该第二消息用于指示到达该第二路由前缀的路径。
应理解,本申请所涉及的处理器1202可以是中央处理器(central processingunit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。存储器1203可以是随机存取存储器(random-access memory,RAM)、只读存储器(read-only memory,ROM)等。
在一种可能的实现方式中,本申请实施例所提供的网络节点也可由模块化结构实现。示例性的,网络节点可具有如图7中所示网络节点700的结构,可见,该网络节点700可包括收发单元701以及处理单元702。
基于该结构,收发单元701可用于接收第一消息,该第一消息用于指示到达第一路由前缀的目标路径,该目标路径用于指示该目标路径上的AS节点之间的第一相邻关系。处理单元702,可用于根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁。
在一种可能的实现方式中,若邻居信息包括第二相邻关系,该第二相邻关系用于指示该目标路径上的AS节点的全部相邻节点,处理单元702根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁时,可具体用于:判断该第二相邻关系与该第一相邻关系是否匹配,若匹配,则判断该目标路径不存在安全威胁;若不匹配,则判断该目标路径存在安全威胁。
若第一相邻关系具体指示第二AS节点为第三AS节点的相邻节点,其中,该第二AS节点具有该第一路由前缀,该第二相邻关系具体用于指示该第二AS节点的全部相邻节点,处理单元702在判断该第二相邻关系与该第一相邻关系是否匹配时,可具体用于:根据该第二相邻关系,判断该第三AS节点是否属于该第二AS节点的全部相邻节点之一,若是,则判断该第二相邻关系与该第一相邻关系匹配,否则,判断该第二相邻关系与该第一相邻关系不匹配。
若第一相邻关系用于指示该目标路径上的每个AS节点在该目标路径上的相邻节点,该第二相邻关系具体用于指示该每个AS节点的全部相邻节点,处理单元702在判断该第二相邻关系与该第一相邻关系是否匹配时,可具体用于:根据该第二相邻关系,分别判断该每个AS节点在该目标路径上的相邻节点与该第二相邻关系指示的该每个AS节点的全部相邻节点是否匹配。若是,则可判断该第二相邻关系与该第一相邻关系匹配。否则,判断该第二相邻关系与该第一相邻关系不匹配。
在一种可能的实现方式中,若邻居信息包括用于指示该目标路径上的AS节点与相邻节点之间的商业关系的信息,处理单元702在根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁时,具体用于:根据该商业关系的信息以及该第一相邻关系,判断是否存在路由泄露。若是,则可判断该目标路径存在安全威胁。否则,可判断该目标路径不存在安全威胁。
在一种可能的实现方式中,若该邻居信息包括用于指示该目标路径上的AS节点的与相邻节点之间的商业关系的信息,以及用于指示该第一路由前缀对应的传递策略的信息,处理单元702在根据区块链中存储的该目标路径上的AS节点的邻居信息以及该第一相邻关系,判断该目标路径是否存在安全威胁时,具体用于:根据该商业关系的信息、用于指示该第一路由前缀对应的传递策略的信息以及该第一相邻关系,判断该目标路径与该传递策略是否匹配。若是,则可判断该目标路径存在安全威胁。否则,可判断该目标路径不存在安全威胁。
本申请中,处理单元702在确定该目标路径存在安全威胁之后,还可丢弃该第一消息。
另外,处理单元702还可在收发器303接收第一消息之前,将该第一AS节点的邻居信息发布至区块链中;该第一AS节点的邻居信息包括下列信息中的部分或全部信息:用于指示该第一AS节点的全部相邻节点的信息;或者,用于指示该第一AS节点与相邻节点之间的商业关系的信息,该商业关系用于指示该第一AS节点分别与该其他AS节点互为客户customer或业务提供者provider关系,或者互为对等peer关系;或者,用于指示第二路由前缀对应的传递策略的信息,该第一AS节点具有该第二路由前缀,该第二路由前缀的传递策略用于指示是否允许接收第二消息的AS节点将到达该第二路由前缀的路径指示给该接收第二消息的AS节点的provider节点,该第二消息用于指示到达该第二路由前缀的路径。
应理解,以上如图7所示的网络节点700也可由如图3所示的网络节点300实现。具体的,收发单元701所具有的功能,可以由收发器303实现;处理单元702所具有的功能,可以由处理器301调用存储器302中的程序指令实现。
另外应理解,本申请并不排除以上网络节点由芯片或芯片系统实现。该芯片可与储存器、收发器耦合,用于执行储存器中的程序指令,以实现上述方法实施中第一AS节点的功能。其中,“耦合”是指两个部件彼此直接或间接地结合,这种结合可以是固定的或可移动性的,这种结合可以允许流动液、电、电信号或其它类型信号在两个部件之间进行通信。该芯片系统可包括该芯片。
基于与上述方法实施例相同构思,本申请实施例还提供了另一种计算机可读存储介质,其上存储有代码,这些代码被计算机调用执行时,可以使得计算机实现上述方法实施例、方法实施例的任意一种可能的实现方式中由第一AS节点执行的操作。本申请实施例中,对所述计算机可读存储介质不做限定,例如,可以是RAM、ROM等。
基于与上述方法实施例相同构思,本申请还提供一种计算机程序产品,该计算机程序产品在被计算机调用执行时,可以使得计算机实现上述方法实施例、方法实施例的任意一种可能的实现方式中由第一AS节点执行的操作。
基于与上述方法实施例相同构思,本申请还提供一种通信系统,该通信系统可用于实现上述方法实施例、方法实施例的任意一种可能的实现方式中由第一AS节点执行的操作。该通信系统可包括本申请所涉及的第一AS节点。示例性的,该通信系统具有如图1所示结构。
本申请实施例是参照实施例所涉及的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
Claims (16)
1.一种安全路由识别方法,其特征在于,包括:
第一自治域系统AS节点接收第一消息,所述第一消息用于指示到达第一路由前缀的目标路径,所述目标路径用于指示所述目标路径上的AS节点之间的第一相邻关系;
所述第一AS节点根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁,所述目标路径上的AS节点的邻居信息是预配置在区块链中的,或者是由所述目标路径上的AS节点发布到区块链中的。
2.如权利要求1所述的方法,其特征在于,所述邻居信息包括第二相邻关系,所述第二相邻关系用于指示所述目标路径上的AS节点的全部相邻节点,所述第一AS节点根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁,包括:
所述第一AS节点判断所述第二相邻关系与所述第一相邻关系是否匹配,若匹配,则所述目标路径不存在安全威胁;若不匹配,则所述目标路径存在安全威胁。
3.如权利要求2所述的方法,其特征在于,所述第一相邻关系用于指示第二AS节点为第三AS节点的相邻节点,所述第二AS节点具有所述第一路由前缀,所述第二相邻关系具体用于指示所述第二AS节点的全部相邻节点;
所述第一AS节点判断所述第二相邻关系与所述第一相邻关系是否匹配,包括:
所述第一AS节点根据所述第二相邻关系,判断所述第三AS节点是否属于所述第二AS节点的全部相邻节点之一;
若是,则判断所述第一AS节点判断所述第二相邻关系与所述第一相邻关系匹配;
否则,所判断述第一AS节点判断所述第二相邻关系与所述第一相邻关系不匹配。
4.如权利要求2所述的方法,其特征在于,所述第一相邻关系用于指示所述目标路径上的每个AS节点在所述目标路径上的相邻节点,所述第二相邻关系具体用于指示所述每个AS节点的全部相邻节点;
所述第一AS节点判断所述第二相邻关系与所述第一相邻关系是否匹配,包括:
所述第一AS节点根据所述第二相邻关系,分别判断所述每个AS节点在所述目标路径上的相邻节点与所述第二相邻关系指示的所述每个AS节点的全部相邻节点是否匹配;
若是,则所述第一AS节点判断所述第二相邻关系与所述第一相邻关系匹配;
否则,所述第一AS节点判断所述第二相邻关系与所述第一相邻关系不匹配。
5.如权利要求1所述的方法,其特征在于,所述邻居信息包括用于指示所述目标路径上的AS节点与相邻节点之间的商业关系的信息,所述第一AS节点根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁,包括:
所述第一AS节点根据所述商业关系的信息以及所述第一相邻关系,判断是否存在路由泄露,若是,则判断所述目标路径存在安全威胁;否则,判断所述目标路径不存在安全威胁。
6.如权利要求1所述的方法,其特征在于,所述邻居信息包括用于指示所述目标路径上的AS节点的与相邻节点之间的商业关系的信息,以及用于指示所述第一路由前缀对应的传递策略的信息,所述第一AS节点根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁,包括:
所述第一AS节点根据所述商业关系的信息、用于指示所述第一路由前缀对应的传递策略的信息以及所述第一相邻关系,判断所述目标路径与所述传递策略是否匹配,若是,则判断所述目标路径存在安全威胁;否则,判断所述目标路径不存在安全威胁。
7.如权利要求2-6任一所述的方法,其特征在于,所述第一AS节点判断所述目标路径存在安全威胁之后,该方法还包括:
所述第一AS节点丢弃所述第一消息。
8.如权利要求1-7任一所述的方法,其特征在于,所述第一自治域系统AS节点接收第一消息之前,还包括:
所述第一AS节点将所述第一AS节点的邻居信息发布至区块链中;
所述第一AS节点的邻居信息包括下列信息中的部分或全部信息:
用于指示所述第一AS节点的全部相邻节点的信息;或者
用于指示所述第一AS节点与相邻节点之间的商业关系的信息,所述商业关系用于指示所述第一AS节点分别与所述相邻节点互为客户customer或业务提供者provider关系,或者互为对等peer关系;或者
用于指示第二路由前缀对应的传递策略的信息,所述第一AS节点具有所述第二路由前缀,所述第二路由前缀的传递策略用于指示是否允许接收第二消息的AS节点将到达所述第二路由前缀的路径指示给所述接收第二消息的AS节点的provider节点,所述第二消息用于指示到达所述第二路由前缀的路径。
9.一种网络节点,其特征在于,包括收发单元以及处理单元;
所述收发单元,用于接收第一消息,所述第一消息用于指示到达第一路由前缀的目标路径,所述目标路径用于指示所述目标路径上的AS节点之间的第一相邻关系;
所述处理单元,用于根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁,所述目标路径上的AS节点的邻居信息是预配置在区块链中的,或者是由所述目标路径上的AS节点发布到区块链中的。
10.如权利要求9所述的网络节点,其特征在于,所述邻居信息包括第二相邻关系,所述第二相邻关系用于指示所述目标路径上的AS节点的全部相邻节点,所述处理单元在根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁时,具体用于:
判断所述第二相邻关系与所述第一相邻关系是否匹配,若匹配,则判断所述目标路径不存在安全威胁;若不匹配,则判断所述目标路径存在安全威胁。
11.如权利要求10所述的网络节点,其特征在于,所述第一相邻关系用于指示第二AS节点为第三AS节点的相邻节点,所述第二AS节点具有所述第一路由前缀,所述第二相邻关系具体用于指示所述第二AS节点的全部相邻节点;
所述处理单元在判断所述第二相邻关系与所述第一相邻关系是否匹配时,具体用于:
根据所述第二相邻关系,判断所述第三AS节点是否属于所述第二AS节点的全部相邻节点之一;
若是,则判断所述第二相邻关系与所述第一相邻关系匹配;
否则,判断所述第二相邻关系与所述第一相邻关系不匹配。
12.如权利要求10所述的网络节点,其特征在于,所述第一相邻关系用于指示所述目标路径上的每个AS节点在所述目标路径上的相邻节点,所述第二相邻关系具体用于指示所述每个AS节点的全部相邻节点;
所述处理单元在判断所述第二相邻关系与所述第一相邻关系是否匹配时,具体用于:
根据所述第二相邻关系,分别判断所述每个AS节点在所述目标路径上的相邻节点与所述第二相邻关系指示的所述每个AS节点的全部相邻节点是否匹配;
若是,则断所述第二相邻关系与所述第一相邻关系匹配;
否则,判断所述第二相邻关系与所述第一相邻关系不匹配。
13.如权利要求9所述的网络节点,其特征在于,所述邻居信息包括用于指示所述目标路径上的AS节点与相邻节点之间的商业关系的信息,所述处理单元在根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁时,具体用于:
根据所述商业关系的信息以及所述第一相邻关系,判断是否存在路由泄露,若是,则判断所述目标路径存在安全威胁;否则,判断所述目标路径不存在安全威胁。
14.如权利要求9所述的网络节点,其特征在于,所述邻居信息包括用于指示所述目标路径上的AS节点的与相邻节点之间的商业关系的信息,以及用于指示所述第一路由前缀对应的传递策略的信息,所述处理单元在根据区块链中存储的所述目标路径上的AS节点的邻居信息以及所述第一相邻关系,判断所述目标路径是否存在安全威胁时,具体用于:
根据所述商业关系的信息、用于指示所述第一路由前缀对应的传递策略的信息以及所述第一相邻关系,判断所述目标路径与所述传递策略是否匹配,若是,则判断所述目标路径存在安全威胁;否则,判断所述目标路径不存在安全威胁。
15.如权利要求10-14任一所述的网络节点,其特征在于,所述处理单元在判断所述目标路径存在安全威胁之后,还用于:
丢弃所述第一消息。
16.如权利要求9-15任一所述的网络节点,其特征在于,在所述收发单元接收所述第一消息之前,所示处理单元还用于:
将所述第一AS节点的邻居信息发布至区块链中;
所述第一AS节点的邻居信息包括下列信息中的部分或全部信息:
用于指示所述第一AS节点的全部相邻节点的信息;或者
用于指示所述第一AS节点与相邻节点之间的商业关系的信息,所述商业关系用于指示所述第一AS节点分别与所述相邻节点互为客户customer或业务提供者provider关系,或者互为对等peer关系;或者
用于指示第二路由前缀对应的传递策略的信息,所述第一AS节点具有所述第二路由前缀,所述第二路由前缀的传递策略用于指示是否允许接收第二消息的AS节点将到达所述第二路由前缀的路径指示给所述接收第二消息的AS节点的provider节点,所述第二消息用于指示到达所述第二路由前缀的路径。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811620079.2A CN111385246B (zh) | 2018-12-28 | 2018-12-28 | 一种安全路由识别方法及装置 |
| EP19883339.4A EP3709595B1 (en) | 2018-12-28 | 2019-12-18 | Secure route identification method and device |
| PCT/CN2019/126429 WO2020135190A1 (zh) | 2018-12-28 | 2019-12-18 | 一种安全路由识别方法及装置 |
| US16/869,761 US11388083B2 (en) | 2018-12-28 | 2020-05-08 | Secure route identification method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811620079.2A CN111385246B (zh) | 2018-12-28 | 2018-12-28 | 一种安全路由识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385246A CN111385246A (zh) | 2020-07-07 |
| CN111385246B true CN111385246B (zh) | 2021-09-21 |
Family
ID=71128382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811620079.2A Active CN111385246B (zh) | 2018-12-28 | 2018-12-28 | 一种安全路由识别方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11388083B2 (zh) |
| EP (1) | EP3709595B1 (zh) |
| CN (1) | CN111385246B (zh) |
| WO (1) | WO2020135190A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111106940B (zh) * | 2019-11-25 | 2022-11-04 | 广州大学 | 一种基于区块链的资源公钥基础设施的证书交易验证方法 |
| CN114422430B (zh) * | 2020-10-12 | 2023-05-16 | 中国电信股份有限公司 | 用于控制路由泄露的电子设备、方法和介质 |
| CN114598487B (zh) * | 2020-12-04 | 2023-06-02 | 华为技术有限公司 | 一种验证as对的方法、装置及设备 |
| CN112887208B (zh) * | 2021-01-27 | 2022-03-22 | 北京邮电大学 | 一种路由泄露检测方法、装置及设备 |
| CN113067774B (zh) * | 2021-06-02 | 2021-09-14 | 支付宝(杭州)信息技术有限公司 | 区块链网络间的交易转发方法 |
| US11233727B1 (en) | 2021-08-27 | 2022-01-25 | King Abdulaziz University | System and method for securing SDN based source routing |
| CN113872857B (zh) * | 2021-09-02 | 2023-04-07 | 咪咕文化科技有限公司 | 跨机房数据转发方法、设备及计算机程序产品 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1976313A (zh) * | 2006-09-19 | 2007-06-06 | 中国人民解放军国防科学技术大学 | 高性能路由器bgp路由协议分布并行实现方法 |
| CN101102325A (zh) * | 2006-11-09 | 2008-01-09 | 华为技术有限公司 | 通告自治系统边界连接信息的方法和装置 |
| CN104270307A (zh) * | 2014-09-28 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种bgp邻居的建立方法及设备 |
| CN106059917A (zh) * | 2016-06-17 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种路由信息处理方法和装置 |
| CN108337173A (zh) * | 2018-03-23 | 2018-07-27 | 中国电子科技集团公司第五十四研究所 | 基于本地缓存和结构化p2p的分布式名址映射系统及方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7990888B2 (en) * | 2005-03-04 | 2011-08-02 | Cisco Technology, Inc. | System and methods for network reachability detection |
| CN101155054A (zh) * | 2006-09-28 | 2008-04-02 | 华为技术有限公司 | 自治系统域间pce路径自动探测和计算的方法和装置 |
| US8353034B2 (en) * | 2008-11-25 | 2013-01-08 | At&T Intellectual Property I, L.P. | System and method to locate a prefix hijacker within a one-hop neighborhood |
| US8869279B2 (en) * | 2011-05-13 | 2014-10-21 | Imperva, Inc. | Detecting web browser based attacks using browser response comparison tests launched from a remote source |
| CN103442008B (zh) * | 2013-08-29 | 2016-08-31 | 上海瀛联体感智能科技有限公司 | 一种路由安全检测系统及检测方法 |
| CN107302518B (zh) * | 2016-04-15 | 2020-02-14 | 任子行网络技术股份有限公司 | 基于加权相似度的域间路由系统安全状态感知方法和装置 |
| US11223598B2 (en) * | 2016-05-03 | 2022-01-11 | Nokia Of America Corporation | Internet security |
| CN106506274B (zh) * | 2016-11-08 | 2020-12-15 | 东北大学秦皇岛分校 | 一种可动态扩展的高效单包溯源方法 |
| EP3679683A4 (en) * | 2017-09-08 | 2021-08-25 | Uledger, Inc. | SYSTEMS AND PROCEDURES FOR PROVIDING IMMUTABLE RECORDINGS |
| US20200186458A1 (en) * | 2018-12-06 | 2020-06-11 | T-Mobile Usa, Inc. | Autonomous system route validation via blockchain |
| US10893022B1 (en) * | 2018-12-20 | 2021-01-12 | Equinix, Inc. | Routing protocol security using a distributed ledger |
-
2018
- 2018-12-28 CN CN201811620079.2A patent/CN111385246B/zh active Active
-
2019
- 2019-12-18 EP EP19883339.4A patent/EP3709595B1/en active Active
- 2019-12-18 WO PCT/CN2019/126429 patent/WO2020135190A1/zh unknown
-
2020
- 2020-05-08 US US16/869,761 patent/US11388083B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1976313A (zh) * | 2006-09-19 | 2007-06-06 | 中国人民解放军国防科学技术大学 | 高性能路由器bgp路由协议分布并行实现方法 |
| CN101102325A (zh) * | 2006-11-09 | 2008-01-09 | 华为技术有限公司 | 通告自治系统边界连接信息的方法和装置 |
| CN104270307A (zh) * | 2014-09-28 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种bgp邻居的建立方法及设备 |
| CN106059917A (zh) * | 2016-06-17 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种路由信息处理方法和装置 |
| CN108337173A (zh) * | 2018-03-23 | 2018-07-27 | 中国电子科技集团公司第五十四研究所 | 基于本地缓存和结构化p2p的分布式名址映射系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020135190A1 (zh) | 2020-07-02 |
| EP3709595A1 (en) | 2020-09-16 |
| US20200267074A1 (en) | 2020-08-20 |
| EP3709595B1 (en) | 2022-02-16 |
| CN111385246A (zh) | 2020-07-07 |
| EP3709595A4 (en) | 2021-03-31 |
| US11388083B2 (en) | 2022-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111385246B (zh) | 一种安全路由识别方法及装置 | |
| CN110636001B (zh) | 发送网络性能参数、计算网络性能的方法和网络节点 | |
| CN106060014B (zh) | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 | |
| CN105009509A (zh) | 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议 | |
| EP3054635B1 (en) | System and method for on-demand content exchange with adaptive naming in information-centric networks | |
| CN111934996B (zh) | 消息传输方法及装置 | |
| CN111147380B (zh) | 一种路由处理的方法和网络设备 | |
| US20210158346A1 (en) | Method for certificate transaction validation of blockchain-based resource public key infrastructure | |
| CN111126988A (zh) | 基于区块链的转账方法、装置、设备及计算机介质 | |
| CN113726665B (zh) | 基于区块链的边界网关路由的更新方法 | |
| US9210088B2 (en) | Providing network-wide enhanced load balancing | |
| EP4342148A2 (en) | Extending border gateway protocol (bgp) flowspec origination authorization using path attributes | |
| Sriram | BGPSEC design choices and summary of supporting discussions | |
| KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| US20230059348A1 (en) | Blockchain enhanced route authorization | |
| Tsumak | Securing BGP using blockchain technology | |
| CN110147995A (zh) | 一种基于密钥层级的审计方法 | |
| CN115021930B (zh) | 一种基于资源公钥基础设施区块链的路由器证书颁发方法 | |
| CN112995298A (zh) | 基于区块链的通讯方法及存储介质 | |
| CN117424712A (zh) | 访问控制方法、电子设备及存储介质 | |
| CN117424713A (zh) | 通信方法、电子设备及存储介质 | |
| CN110098982A (zh) | 链路状态提供方法、装置、路由器及计算机可读存储介质 | |
| Sames | Integrating BGPsec Validation with the RTRlib and So ware Routers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |