CN101001245B - 一种边界网关协议中更新信息的验证方法 - Google Patents

一种边界网关协议中更新信息的验证方法 Download PDF

Info

Publication number
CN101001245B
CN101001245B CN2006100012555A CN200610001255A CN101001245B CN 101001245 B CN101001245 B CN 101001245B CN 2006100012555 A CN2006100012555 A CN 2006100012555A CN 200610001255 A CN200610001255 A CN 200610001255A CN 101001245 B CN101001245 B CN 101001245B
Authority
CN
China
Prior art keywords
checking
prefix
updating message
verified
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006100012555A
Other languages
English (en)
Other versions
CN101001245A (zh
Inventor
李贺军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN2006100012555A priority Critical patent/CN101001245B/zh
Priority to PCT/CN2006/002029 priority patent/WO2007079627A1/zh
Publication of CN101001245A publication Critical patent/CN101001245A/zh
Priority to US12/169,263 priority patent/US7826456B2/en
Application granted granted Critical
Publication of CN101001245B publication Critical patent/CN101001245B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/033Topology update or discovery by updating distance vector protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种边界网关协议中更新信息的验证方法,该方法包括:AS接收到更新消息后,根据确定的最大验证次数对更新消息进行验证,如果验证通过则信任所述更新信息。上述更新消息可以为AS_PATH和/或前缀。本发明中,AS接收到更新消息后,通过根据最大验证次数对更新信息进行验证,保证了AS对更新信息进行验证的过程中,验证次数不会超过所述最大验证次数,使得在对更新信息验证过程中降低了CPU的负荷,提高了网络收敛速度。

Description

一种边界网关协议中更新信息的验证方法
技术领域
本发明涉及边界网关协议(Border Gateway Protocol,BGP)领域,特别是指一种边界网关协议中更新信息的验证方法。
背景技术
BGP是一种距离矢量形式的外部网关路由协议,主要用于在自治系统(Autonomous System,AS)之间分布路由信息,是当前因特网(Internet)的核心路由协议,也是外部网关路由协议的事实标准。虽然BGP是一种距离矢量路由协议,但其使用增量的,触发性的路由更新,而不是一般距离矢量协议所使用的整个路由表的、周期性的更新,因此节约了更新所占用的带宽。
AS之间通过BGP交互更新信息,这些信息包括前缀信息、撤销的前缀信息和路径属性信息等。其中重要的路径属性之一是BGP更新信息到达某网络所经过的AS路径(AS_PATH)信息,对于AS_PATH的检查可以防止环路的发生。
当前的BGP协议中,没有机制用于对前缀信息和AS_PATH的有效性进行验证,于是由于系统误配置或者恶意邻居攻击都会产生通告非法前缀的情况。这些情况有可能导致路由黑洞攻击、拒绝服务攻击(Denial of Service)等。同时沿途恶意AS可能对于AS_PATH进行修改,使得无法确定更新消息的传播路径。这些是BGP协议存在主要的安全隐患。
为解决上述安全问题,出现了两种扩展BGP协议框架方案,分别为安全源BGP(Secure Origin BGP,SoBGP)和安全BGP(Secure BGP,SBGP)。两者对前缀验证采用了类似的方案,下面以SBGP为例对两种扩展BGP协议框架方案中对前缀的验证进行详细说明。
在SBGP中,为实现对前缀信息的验证,首先由前缀所有者,如顶层地址分配机构(IANA)、各地区地址分配机构(RIR)或网络服务提供商(ISP)等,在SBGP路由器上分发证书,并使用证书中公钥对应的私钥签名来授权特定AS,使该AS可以通告产生前缀所有者所拥有的前缀。上述私钥签名的数据对象又称为地址证明(Address Attestation,AA),为前缀和产生该前缀的AS号的对应关系。AA信息也在SBGP路由器之间分发。更新消息接收者在接收到更新消息后,根据AA进行前缀验证,即验证该前缀和产生该前缀的AS是否在AA中存在对应关系,如果验证通过,接收者才信任接收的前缀信息,如果验证未通过,根据本地配置进行处理,例如丢弃更新消息、延后验证等。
SBGP和SoBGP对AS_PATH的验证采用了两种不同的验证方法,下面分别说明。
在SoBGP中,对AS_PATH的验证方法如下:支持SoBGP的AS相互之间传递与自身直连的AS信息,每个AS汇总接收到的连接信息生成AS互连拓扑图。当AS接收到更新消息时,检查AS_PATH是否为拓扑图中存在的路径,如果是则验证通过;否则根据本地配置进行处理,例如丢弃更新消息、延后验证等。
这种SoBGP系统对AS_PATH的验证方法中,只能够对是否存在AS_PATH进行确认,而不能对AS_PATH中的AS是否合法进行验证,使得SoBGP系统的安全性仍然很低。
在SBGP中,对AS_PATH的验证方法为:在更新消息传递过程中,AS对更新消息报文利用私钥以嵌套方式进行签名,即被签名的信息除了更新消息报文的内容之外,还包括上一个AS的签名部分;接收者在接收到更新消息后,通过公钥逐层对签名是否合法进行验证。例如,更新消息在经过第N个AS(N>2)时,该AS首先对第N-1个AS的签名进行验证,验证通过后再对第N-2个AS的签名进行验证,......,直至对第1个AS的签名验证通过,则对该AS_PATH的验证通过,信任接收到的AS_PATH,证实了该更新消息确实经过了AS_PATH中的各个AS,再对更新消息报文和此前的各个AS的签名进行签名,并在其他验证都通过后将更新消息发送给第N+1个AS;否则,如果验证未通过,根据本地配置进行处理,例如丢弃更新消息、延后验证等。通过这种对AS_PATH的验证方法,就实现了对AS_PATH中各个AS是否合法的验证,只有AS_PATH中所有的AS都是合法的接收更新消息的AS才会信任所接收到的AS_PATH。
在上述SBGP技术对AS_PATH的验证过程中,由于需要对嵌套签名中的所有签名进行验证,对于更新消息的发送者,假设为AS1的签名,需要验证N-1次,对第二个AS需要验证N-2次,......,当N值很大后,这种重复验证的次数越来越多,而每次验证都多次执行需要CPU密集操作的密钥计算步骤,导致设备的CPU负荷非常巨大。进而,由于BGP的一个重要性能指标是网络收敛速度,如果采用SBGP,大量占用CPU资源会严重影响到路由计算,导致SBGP技术难以实际应用。
此外,SoBGP和SGBP技术对前缀进行验证的过程中也存在相似的问题,由于每个AS都需要对前缀进行验证,需要占用大量的CPU资源,提高了CPU的负荷。
发明内容
有鉴于此,本发明的主要目的在于提供一种边界网关协议中更新信息的验证方法,能够在对更新信息验证过程中降低CPU负荷。
为达到上述目的,本发明提供了一种边界网关协议中更新信息的验证方法,该方法包括:
AS接收到更新消息后,根据确定的最大验证次数对更新消息中的更新信息进行验证,如果验证通过则信任所述更新信息。
较佳地,所述最大验证次数的确定方法为:所述AS根据预先统一设置在AS中的最大验证次数确定,或所述AS与更新消息的通告者协商确定。
所述的更新信息可以包括自治系统路径AS_PATH;则所述根据设置的最大验证次数对更新信息进行验证为:
对AS_PATH中所述AS的前驱AS的嵌套签名逐层进行验证,当进行验证的签名个数达到了所述最大验证次数后,停止验证。
所述的对AS_PATH中所述AS的前驱AS的嵌套签名逐层进行验证包括:
对AS_PATH中未被验证的第一个前驱AS的签名进行验证,如果验证通过,返回执行本步骤;否则根据本地配置进行处理。
较佳地,所述进行验证的签名个数达到了所述最大验证次数后,停止验证包括:
为接收的更新消息设置初始值为所述最大验证次数的计数器,AS每进行一次签名验证,所述计数器值减一,当所述计数器减为0时停止验证。
进一步地,所述当进行验证的签名个数达到了所述最大验证次数后,停止验证之前包括:
当完成了对全部签名的验证后,停止验证,然后根据对所述全部签名的验证结果,如果验证通过则信任所述更新信息。
较佳地,所述的更新信息包括前缀;所述根据确定的最大验证次数对前缀进行验证为:
所述AS判断其前驱AS对前缀进行验证的总次数是否已经达到了所述最大验证次数,如果是则不再对前缀进行验证,并直接信任该前缀;否则对更新消息中的前缀进行验证。
较佳地,所述AS判断其前驱AS对前缀进行验证的总次数是否已经达到了所述最大验证次数的方法为:
AS进行签名时,在签名中标识该AS是否对前缀进行了验证;
接收到更新消息的AS判断该更新消息包括的标识该AS对前缀进行了验证的签名个数是否达到了所述最大验证次数。
较佳地,所述的最大验证次数为大于等于2的整数。
所述根据设置的最大验证次数对更新消息中的更新信息进行验证,如果验证未通过,则可以根据本地配置进行处理。
由上述方案可以看出,本发明中,通过AS接收到更新消息后,根据预先统一确定的,或者与更新消息通告者协商确定的最大验证次数对更新消息中的AS_PATH和/或前缀进行验证,如果验证通过则信任对应的更新信息,从而保证了AS对更新信息进行验证的过程中,验证次数不会超过所述最大验证次数,使得在对更新信息验证过程中降低了CPU的负荷,提高了网络收敛速度,较SBGP系统更易于实际应用,较SoBGP系统安全性更高。
进一步,本发明中通过在AS的签名中加入标识该AS是否进行了前缀认证的信息,节约了系统资源。
附图说明
图1为更新消息经过的AS路径示意图;
图2为本发明验证方法第三实施例的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
在BGP中,AS_PATH上同时有两个AS被攻占,或者同时有两个AS发生误配置的可能性微乎其微,可以忽略。在背景技术中所述的两个BGP安全问题,现实中往往是由于误配置而不是被攻击,目前鲜有路由设备被攻占出现安全问题的情况。并且由于不同的AS往往属于不同的组织,由不同的组织负责安全保护,所以同时由两个AS被同一组织攻占用于发送联动攻击的几率就更小了,更可以被忽略。类似地,对于三个或更多AS同时被黑客攻占,或者同时有三个AS发生误配置的可能性就更加微小了。
基于上述原因,本发明提出的边界网关协议中更新信息的验证方法的主要思想是,AS接收到更新消息后,根据确定的最大验证次数对更新消息中的更新信息进行验证,如果验证通过则信任所述更新信息。
本发明中,在确定最大验证次数时,可以是该AS根据预先统一设置在AS中的最大验证次数确定,也可以是该AS与更新消息的通告者协商确定。
上述根据最大验证次数对更新信息进行验证,可以是只根据最大验证次数对更新消息中的AS_PATH进行验证,也可以是只根据最大验证次数对更新消息中的前缀进行验证,还可以是对AS_PATH的验证和对前缀的验证都根据最大验证次数来进行。下面分别通过具体实施例详细说明上述三种验证方式。
在本发明的第一实施例中,接收到更新消息的AS只根据最大验证次数对更新消息中的AS_PATH进行验证。
在本实施例中,AS在更新消息中对AS_PATH中的签名采用嵌套方式进行。AS接收到更新消息后,根据预先统一在AS中设定的最大验证次数i,或根据与更新消息的通告者协商确定的最大验证次数i,为接收的更新消息中的AS_PATH设置一个初始值为i的计数器,最大验证次数i的值可以为大于1的整数,较佳地可以取大于2的整数,如2、3、4、5......。AS对该AS_PATH中AS的签名每进行一次验证,将该更新消息对应的计数器减一;然后在该次认证通过后再进行下一次验证,并再将计数器减一,当计数器为0后,停止对签名的验证,如果对签名的验证都通过则信任所接收的更新消息中的AS_PATH,并对更新消息报文和AS_PATH中的所有签名进行签名;否则,根据本地配置进行处理,例如丢弃更新消息、延后验证等。当然,如果在计数器减为0之前,已经完成了AS_PATH中全部签名的验证,则也停止对签名的验证,此时若对所有签名的验证都通过则信任所接收的更新消息中的AS_PATH;否则,根据本地配置进行处理,例如丢弃更新消息、延后验证等。
如图1所示,假设更新消息经过AS1、AS2、AS3、......、ASN,其中N为正整数,则以嵌套方式对更新消息进行签名为:AS1对更新消息报文进行签名后,AS2再对更新消息报文和AS2的签名进行签名,AS3再对更新消息报文、AS2和AS1的签名进行签名,......,依次类推,ASN则对更新消息报文及前面从AS1到ASN-1的签名进行签名。
而在验证过程中,假设最大验证次数i的值取2,则AS1只执行签名步骤,而不执行验证步骤;AS2对AS1的签名进行验证,验证通过后对更新消息报文和AS1的签名进行签名;AS3对AS2和AS1的签名进行验证,验证通过后对更新消息报文、AS2和AS1的签名进行签名;在AS4,只对其前面i个,即AS3和AS2的签名进行验证,验证通过后对更新消息报文、AS3、AS2和AS1的签名进行签名;在AS5,只对其前面i个,即AS4和AS3的签名进行验证,验证通过后对更新消息报文、AS4、AS3、AS2和AS1的签名进行签名;此后依次类推,ASN只需要对ASN-1和ASN-2的签名进行验证即可。通过这种验证方法,对于AS_PATH中的所有AS来说,即保证了每个AS当其前驱AS大于等于两个时,能够对两个前驱AS进行验证,又能保证每个AS的签名最多只被验证两次,在N大于等于4时,在保证网络安全的情况下,大大减少了验证时的计算量,降低了CPU的负担。
在本发明的第二实施例中,接收到更新消息的AS只根据最大验证次数对更新消息中的前缀进行验证。
在本实施例中,AS需要在更新消息中设置前缀验证标识,以说明该AS是否执行了对前缀的验证,该标识可以有两个值分别表示该AS进行了前缀验证和该AS没有进行前缀验证。
AS接收到更新消息后,根据更新消息中的前缀验证标识,以及预先在AS中统一设置的最大验证次数i,或者与更新消息的通告者协商确定的最大验证次数i,判断是否已经有i个AS对前缀进行了验证,如果是则不再对前缀进行验证,并在更新消息中设置表示该AS没有进行前缀验证的前缀验证标识;否则,对前缀进行验证,并在更新消息中设置表示该AS进行了前缀验证的前缀验证标识。
本实施例中对于更新信息中的前缀所进行的验证,由于采用了只验证i次的方法,降低了CPU的负担。与第一实施例中相同,i为大于等于1的整数,较佳地取大于2的整数。
在本发明的第三实施例中,对AS_PATH的验证和对前缀的验证都根据最大验证次数来进行。本实施例中前缀验证所进行的最大验证次数与对AS_PATH进行验证时对签名的最大验证次数可以相同也可以不同。具体对AS_PATH的验证和对前缀的验证所采用的方式分别与第一实施例和第二实施例中相同。
下面以对前缀验证和对AS_PATH验证取相同的最大验证次数,并且该值取2为例,基于图1对本实施例进行说明。
在图1中,AS1产生一个前缀并进行通告后,在发送更新消息的全部过程中,只需要沿途有两个AS对前缀进行验证即可。除AS1外的接收到更新消息的AS在进行验证时都执行下述步骤:
步骤201、接收到更新消息的AS判断是否已经有两个前驱AS进行了前缀验证,如果是执行步骤202;否则执行步骤203。
本实施例中可以是AS在AS_PATH的签名中加入一个表示该AS是否已经对前缀进行验证的字段信息,将该字段作为前缀验证标识。则本步骤中,判断是否已经有两个前驱AS进行了前缀验证就是判断在AS_PATH的所有签名中,所包括的已经进行前缀验证的前缀验证标识数量是否已经达到2个。
步骤202、进行AS_PATH验证,验证通过后进行签名,将签名信息中的前缀验证标识设置为没有进行前缀验证。
步骤203、执行前缀验证,验证通过后进行AS_PATH验证,在AS_PATH验证通过后进行签名,将签名信息中的前缀验证标识设置为已进行前缀验证,如果验证未通过根据本地配置进行处理,例如丢弃更新消息、延后验证等。
步骤202和本步骤中对AS_PATH所进行的验证所采用的方法与第一实施例中相同,这里不再详述。
对于更新消息的发送方AS1,其需要产生前缀,并将该前缀通告给其他AS。AS1可以不在签名信息中包括前缀验证标识,也可以在签名信息中设置前缀验证标识为没有进行前缀验证。设置前缀验证标识时,AS1可以对自身产生的前缀根据AA进行验证,也可以不进行验证,并根据是否进行了验证的信息设置前缀验证标识的值。
利用本发明中对于前缀验证的方案后,相对于SoBGP和SBG系统,减少了前缀验证的计算量,降低了CPU占用率,且实现简单易行,提高了验证效率。
相对于SoBGP,本发明提出的方案对AS_PATH的验证更加完整可信,提高了安全性;相对于SBGP,本发明提出的方案对AS_PATH的验证在基本不影响SBGP系统安全强度的情况下,降低了CPU的占用率,提高了网络收敛速度,较SBGP技术易于实际应用。
此外,本发明也可以应用于增量部署之中,应用到增量部署中后,其前缀检验执行效率高于SBGP和SoBGP系统,而对AS_PATH的验证完整性优于SoBGP系统。
以上是对本发明具体实施例的说明,在具体的实施过程中可对本发明的方法进行适当的改进,以适应具体情况的具体需要。因此可以理解,根据本发明的具体实施方式只是起示范作用,并不用以限制本发明的保护范围。

Claims (9)

1.一种边界网关协议中更新信息的验证方法,其特征在于,该方法包括:
自治系统AS接收到更新消息后,根据确定的最大验证次数对更新消息中的更新信息进行验证,如果验证通过则信任所述更新信息;
所述的更新信息包括自治系统路径AS_PATH;
所述根据确定的最大验证次数对更新信息进行验证为:
对AS_PATH中所述AS的前驱AS的嵌套签名逐层进行验证,当进行验证的签名个数达到了所述最大验证次数后,停止验证。
2.根据权利要求1所述的方法,其特征在于,所述最大验证次数的确定方法为:
所述AS根据预先统一设置在AS中的最大验证次数确定,或者所述AS与更新消息的通告者协商确定。
3.根据权利要求1所述的方法,其特征在于,所述的对AS_PATH中所述AS的前驱AS的嵌套签名逐层进行验证包括:
对AS_PATH中未被验证的第一个前驱AS的签名进行验证,如果验证通过,返回执行本步骤;否则根据本地配置进行处理。
4.根据权利要求1所述的方法,其特征在于,所述进行验证的签名个数达到了所述最大验证次数后,停止验证包括:
为接收的更新消息设置初始值为所述最大验证次数的计数器,AS每进行一次签名验证,所述计数器值减一,当所述计数器减为0时停止验证。
5.根据权利要求1所述的方法,其特征在于,所述当进行验证的签名个数达到了所述最大验证次数后,停止验证之前进一步包括:
当完成了对全部签名的验证后,停止验证,然后根据对所述全部签名的验证结果,如果验证通过则信任所述更新信息。
6.根据权利要求1至5中任一所述的方法,其特征在于,所述的更新信息包括前缀;所述根据确定的最大验证次数对更新消息中的更新信息进行验证为:
所述AS判断其前驱AS对前缀进行验证的总次数是否已经达到了所述最大验证次数,如果是则不再对前缀进行验证,并直接信任该前缀;否则对更新消息中的前缀进行验证。
7.根据权利要求6所述的方法,其特征在于,所述AS判断其前驱AS对前缀进行验证的总次数是否已经达到了所述最大验证次数的方法为:
AS进行签名时,在签名中标识该AS是否对前缀进行了验证;
接收到更新消息的AS判断该更新消息包括的标识该AS对前缀进行了验证的签名个数是否达到了所述最大验证次数。
8.根据权利要求1所述的方法,其特征在于,所述的最大验证次数为大于等于2。
9.根据权利要求1所述的方法,其特征在于,所述根据确定的最大验证次数对更新消息中的更新信息进行验证,如果验证未通过,则根据本地配置进行处理。
CN2006100012555A 2006-01-10 2006-01-10 一种边界网关协议中更新信息的验证方法 Expired - Fee Related CN101001245B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN2006100012555A CN101001245B (zh) 2006-01-10 2006-01-10 一种边界网关协议中更新信息的验证方法
PCT/CN2006/002029 WO2007079627A1 (fr) 2006-01-10 2006-08-10 Procédé de vérification des informations d'actualisation dans le protocole de passerelle frontière
US12/169,263 US7826456B2 (en) 2006-01-10 2008-07-08 Method and system for verifying update information in BGP

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2006100012555A CN101001245B (zh) 2006-01-10 2006-01-10 一种边界网关协议中更新信息的验证方法

Publications (2)

Publication Number Publication Date
CN101001245A CN101001245A (zh) 2007-07-18
CN101001245B true CN101001245B (zh) 2010-04-14

Family

ID=38255968

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006100012555A Expired - Fee Related CN101001245B (zh) 2006-01-10 2006-01-10 一种边界网关协议中更新信息的验证方法

Country Status (3)

Country Link
US (1) US7826456B2 (zh)
CN (1) CN101001245B (zh)
WO (1) WO2007079627A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8243628B2 (en) 2009-01-30 2012-08-14 Embarq Holdings Company, Llc Free market based pricing for bandwidth and network usage
US8964763B2 (en) * 2009-02-09 2015-02-24 Hewlett-Packard Development Company, L.P. Inter-router communication method and module
US9166990B2 (en) * 2009-02-09 2015-10-20 Hewlett-Packard Development Company, L.P. Distributed denial-of-service signature transmission
US9104986B2 (en) 2009-03-09 2015-08-11 Centurylink Intellectual Property Llc Customer premise equipment with access to free market based pricing for bandwidth on a communications network
CN101656638B (zh) * 2009-09-08 2011-10-19 中国科学院计算技术研究所 面向误配置的域间前缀劫持检测方法
US8619780B1 (en) 2010-09-30 2013-12-31 Amazon Technologies, Inc. Processing packet routing information
US8812856B2 (en) * 2012-02-10 2014-08-19 Zynga Inc. Methods and systems for state synchronization over a non-reliable network using signature processing
US20150261799A1 (en) * 2014-03-14 2015-09-17 Siemens Aktiengesellschaft Systems, apparatus, and methods for tracking changes in data structures using nested signatures
CN105471725B (zh) * 2014-08-05 2019-01-22 新华三技术有限公司 穿越自治系统的路由方法和装置
KR102021213B1 (ko) 2014-10-31 2019-09-11 콘비다 와이어리스, 엘엘씨 엔드 투 엔드 서비스 계층 인증
EP3272094B1 (en) 2015-03-16 2021-06-23 Convida Wireless, LLC End-to-end authentication at the service layer using public keying mechanisms
US9935816B1 (en) * 2015-06-16 2018-04-03 Amazon Technologies, Inc. Border gateway protocol routing configuration
CN106487746A (zh) * 2015-08-26 2017-03-08 中兴通讯股份有限公司 一种bmp报文认证的方法及装置
DE102018129354A1 (de) * 2018-11-21 2020-05-28 Phoenix Contact Gmbh & Co. Kg Verfahren zum Bearbeiten von Anwendungsprogrammen auf einem verteilten Automatisierungssystem
CN110061918B (zh) * 2019-04-18 2021-01-22 广西大学 一种自治域间路由安全性评估方法和装置
CN110572386A (zh) * 2019-09-03 2019-12-13 赛尔网络有限公司 排名统计监测方法、装置
US11146587B2 (en) * 2019-10-02 2021-10-12 Charter Communications Operating, Llc Method and apparatus for out of path border gateway protocol validation
CN113542116B (zh) * 2021-02-26 2023-02-21 互联网域名系统北京市工程研究中心有限公司 基于aspa改进的路径验证方法
CN115883088B (zh) * 2023-01-10 2023-05-12 中国人民解放军61660部队 基于bgp路由的自治域安全参数更新方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6487167B1 (en) * 1999-03-10 2002-11-26 Nortel Networks Limited Exclusion list of senders to an autonomous system
CN1649294A (zh) * 2004-01-29 2005-08-03 三星电子株式会社 用于处理ipv6网络上的验证的方法和设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1095857A (en) * 1914-01-22 1914-05-05 A E Little & Company Method of making shoe-linings.
US6704795B1 (en) * 1999-10-12 2004-03-09 Cisco Technology, Inc. Technique for reducing consumption of router resources after BGP restart
JP2002281010A (ja) * 2001-03-19 2002-09-27 Nec Corp マイクロモビリティ網における経路更新通知保護用鍵配布システム
JP3846726B2 (ja) * 2003-08-27 2006-11-15 日本電信電話株式会社 インターネットフルルート差分分析方法
US8285874B2 (en) * 2004-01-27 2012-10-09 Cisco Technology, Inc. Routing systems and methods for implementing routing policy with reduced configuration and new configuration capabilities

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6487167B1 (en) * 1999-03-10 2002-11-26 Nortel Networks Limited Exclusion list of senders to an autonomous system
CN1649294A (zh) * 2004-01-29 2005-08-03 三星电子株式会社 用于处理ipv6网络上的验证的方法和设备

Also Published As

Publication number Publication date
CN101001245A (zh) 2007-07-18
WO2007079627A1 (fr) 2007-07-19
US20080267189A1 (en) 2008-10-30
US7826456B2 (en) 2010-11-02

Similar Documents

Publication Publication Date Title
CN101001245B (zh) 一种边界网关协议中更新信息的验证方法
US11757635B2 (en) Client authentication and access token ownership validation
CN105009509B (zh) 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议
CN106060014B (zh) 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法
CN109981639B (zh) 基于区块链的分布式可信网络连接方法
CN101808142B (zh) 通过路由器或交换机实现可信网络连接的方法和装置
CN101442411A (zh) 一种p2p网络中对等用户结点间的身份认证方法
CN103701700A (zh) 一种通信网络中的节点发现方法及系统
CN108282779A (zh) 天地一体化空间信息网络低时延匿名接入认证方法
CN104539578B (zh) 一种rpki数据的主动同步方法和系统
Wang et al. Efficient extensible conditional privacy‐preserving authentication scheme supporting batch verification for VANETs
WO2023040527A1 (zh) 一种基于区块链的网络节点控制方法、系统及共识节点
CN108075895B (zh) 一种基于区块链的节点许可方法和系统
CN114553480B (zh) 跨域单点登录方法、装置、电子设备及可读存储介质
CN101296482A (zh) 实现消息认证的方法、基站、中继站及中继通信系统
Le et al. SC-OA: A secure and efficient scheme for origin authentication of interdomain routing in cloud computing networks
CN116389111A (zh) 基于标识的强权限控制模式下联盟链身份认证方式
CN116015970A (zh) 一种基于sgx的跨域身份认证方法
CN104703174A (zh) 一种无线Mesh网络路由安全保护方法
CN101626366B (zh) 保护代理邻居发现的方法、系统和相关装置
Diaz et al. On securing online registration protocols: Formal verification of a new proposal
CN104486082A (zh) 认证方法和路由器
Modares et al. Enhancing security in mobile IPv6
Bakkali et al. Security problems in BGP: An overview
CN111917746B (zh) 一种路由协议接入认证方法、设备及介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100414

CF01 Termination of patent right due to non-payment of annual fee