CN101588343A - 前缀与as映射关系的管理方法、报文处理方法和装置 - Google Patents
前缀与as映射关系的管理方法、报文处理方法和装置 Download PDFInfo
- Publication number
- CN101588343A CN101588343A CNA2008100977213A CN200810097721A CN101588343A CN 101588343 A CN101588343 A CN 101588343A CN A2008100977213 A CNA2008100977213 A CN A2008100977213A CN 200810097721 A CN200810097721 A CN 200810097721A CN 101588343 A CN101588343 A CN 101588343A
- Authority
- CN
- China
- Prior art keywords
- prefix
- data message
- mapping relations
- address
- encapsulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种前缀和自治系统之间映射关系管理方法,包括:当前组织在下发前缀的同时,生成并下发前缀分配路径及证明;其下一级组织对接收到的前缀分配路径及证明进行验证;当验证通过时,获得前缀的分配路径,向预设第三方提供前缀的分配路径及证明;ISP网络运行中心由该信息确定前缀的最长有效分配路径,进而建立前缀和AS之间的映射关系。基于上述方法建立前缀和自治系统之间映射关系,本发明同时还公开了报文处理方法和装置。本发明实施例可以有效避免前缀劫持攻击。另外,当其应用于下一代基于AS域间路由协议时,能够有效正确地建立全球前缀和AS的映射表,向前推动基于AS域间路由协议的设计和完善。
Description
技术领域
本发明涉及域间路由协议技术,更具体地说,涉及一种域间路由协议中建立地址空间(前缀)和AS(Autonomous System,自治系统)之间映射关系的方法,以及基于上述方法得出的前缀和AS之间映射关系的报文处理方法和装置。
背景技术
目前,ICANN(Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)是负责对全球Internet上IP地址进行统一编号分配的机构。ICANN将IP地址分配给大洲级的RIR(RIR,RegionalInternet Registry,地方性Internet注册机构),如APNIC(Asia and PacificNetwork Information Center,亚太地区互联网络信息中心)等,这些RIR负责各大洲范围内IP地址的分配和登记注册。通常RIR会进一步地分配地址给下一级注册组织,如NIR(National Internet Registry,国家级Internet注册机构)或者大型ISPs(Internet Service Providers,Internet服务提供商),同时授予这些NIR或者大型ISPs指定(Assignment)和分配(Allocation)地址空间的权利。通常,NIR或者大型ISPs根据授权,进一步地指定地址空间到一些小型ISPs。其中,指定的地址空间是指委托(delegate)给一个ISP的地址空间,以供其在建立的网络中使用,该ISP被称之为被指定地址空间的拥有ISP,且已指定的地址不允许在往下层指定给其它ISPs。分配的地址空间是指分配给IRs或者大型ISPs的地址空间,以供进一步分配之用。最终,网络中的所有ISPs都将获得指定的地址空间(也称为前缀)。如图1所示,为现有技术前缀分配示意图。
但是,在实际地址分配结构中,IR或者大型ISPs仅负责分配地址空间到下层ISP,而不明确这些地址空间(前缀)中哪些地址属于指定地址,哪些地址属于分配地址。
AS是internet的组成部分,每个AS包括处于一个ISP管理之下的若干网络和路由器。ISP将获得的指定前缀进一步指定给位于一个或者多个AS中的终端设备使用,从而使得一个AS中所有终端设备获得的前缀与该AS之间建立起映射关系,在BGP(Border Gateway Protocol,边界网络协议)中,这种映射关系意味着该AS获得了指定前缀拥有ISP的授权,能够发起这些指定前缀可达的路由通告。
所述BGP是为TCP/IP网络设计的用于AS之间的路由协议,该协议的基本功能是与其它BGP自治系统交换网络层可达信息(Net LayerResearchable Information,NLRI)。具有以下特点:
1)基于策略
BGP允许每个AS可以根据自己的需求独立定义路由策略,并结合BGP更新报文中所携带的路径属性实现策略选择路由。
2)路径矢量
BGP更新报文携带AS_PATH路径属性。所述AS_PATH记录了该路由所经自治系统的号码列表,其中最后一个就是该更新报文的发起AS号码。
3)基于前缀
BGP更新报文的NLRI域携带了与发起AS存在映射关系的前缀列表,以向其它自治系统通告网络层可达信息。
4)增量式更新
两个支持BGP的路由器之间初始交换的路由信息是整个BGP路由表,此后,仅仅在BGP路由表有改动(包括旧路由的撤销、新路由的建立)时通过更新报文来宣告这种改变。
但是,BGP没有验证更新报文的发起AS和NLRI域中前缀之间是否存在映射关系,即BGP没有验证发起AS是否被授予“发出NLRI中前缀可达的路由通告”的权利,因此容易受到“前缀劫持”攻击。如果一个AS恶意地发出非本AS内前缀的可达路由通告,称此前缀被这个恶意AS劫持,该AS被称为劫持AS,该AS这种恶意行为就被称为“前缀劫持”攻击。当前缀劫持攻击发生后,网络中的自治系统分别收到来自合法AS和劫持AS的被劫持前缀可达的路由通告。由于没有任何验证机制,接收到该路由通告的AS将根据BGP最优路由选择规则,选择出一条最优路由,如果选择劫持AS通告的路由作为可达被劫持前缀的最优路由,那么该AS发出的到达被劫持前缀的数据报文会被路由到劫持AS。那么,该劫持AS可以将这些数据报文丢弃,形成流量黑洞,或者对数据报文进行窃听/记录/修改,甚至扮演合法AS中报文接收者的行为,主动响应被劫报文的发送者。另外,最新研究发现,垃圾邮件发送者经常采用这种劫持前缀的方式发送垃圾邮件。
为了应对前缀劫持攻击,加强BGP的安全性,需要建立前缀和AS之间的映射关系。现有方法根据所采用的信任模型,分为以下两类:
1、基于分布式信任模型的psBGP(pretty secure BGP)
psBGP受当不存在可信任权威机构时,人类彼此之间获取信任的方式启发的。每个AS创建一个绑定AS和前缀的前缀声明列表,其中包含本AS和对等体AS,以向外声明与自己存在映射关系的前缀,及本AS认为与对等体AS存在映射关系的前缀。如果一个自治系统作出的关于自己的前缀声明与任意一个对等体AS做出的关于该AS的前缀声明一致,就认为这个前缀声明是正确的,即该AS与声明中的前缀之间存在映射关系。
但是,选择一个可信任的对等体AS是异常困难的,如果某一AS选择相同机构管理下对等体AS的前缀声明,则对于其他AS来说,很难判断该AS及所述对等体AS是否可信,因为它们之间可能彼此串通的。另外,psBGP的设计者也不建议这种选择,但是如果根据设计者的建议,选择不同机构管理下的对等体自治系统的前缀声明,则可能会生成错误的一致性验证失败的结果,也就是说,某一AS和所选对等体AS的前缀声明不一致,仅仅因为对等体AS有意提供了一个错误的前缀声明。
2、基于集中式信任模型的方法,包括S-BGP(secure BGP)、soBGP(secure origin BGP)、SPV(Secure Path Vector)、APA(AggregatedPath Authentication)和OA(Origin Authentication)。
其中,以OA最为典型。OA的方法的主要思想是:生成前缀分配路径上每一步分配的地址分配证明,以及拥有ISP生成前缀和AS映射关系证明。验证者首先验证所有地址分配证明的正确性以确定拥有ISP,然后,验证前缀和AS映射关系证明是否由该拥有ISP生成,若是,建立映射证明中前缀和AS之间的映射关系。
但是,在实际地址分配过程中,IR/上层ISP仅负责分配地址空间到下层ISP,而不明确这些地址中哪些是指定地址空间,哪些是分配地址空间。因此,OA方法中的地址分配证明仅能够保证沿着地址分配证明提供的分配路径,前缀从ICANN分配到最后一个地址分配证明中的下层ISP,但是不能够保证该下层ISP就是此前缀的拥有ISP。于是,当前缀实际分配路径上的某个非拥有ISP恶意地生成前缀和某个AS的映射关系证明时,将会给验证者传递“该非拥有ISP指定的AS与前缀之间存在映射关系”。这种情况下,即使网络中所有AS都部署了OA机制,一些网络发起的到达前缀的数据报文仍然会被转发到恶意ISP指定的AS,发生前缀劫持攻击。由于这类攻击仅前缀分配路径上拥有ISP的上层ISPs能够发起,所以称之为上层ISP前缀劫持攻击。
从上述内容可以看出,现有技术不存在一种有效的关于前缀路由的验证机制,容易受到前缀劫持攻击。
发明内容
有鉴于此,本发明提供一种地址空间(前缀)和自治系统之间映射关系的管理方法、报文处理方法和装置,以解决现有技术容易受到前缀劫持攻击的问题。
本发明是这样实现的:
一种前缀和自治系统之间映射关系管理方法,包括:
当前组织在下发前缀的同时,生成并下发前缀分配路径及证明;
其下一级组织对接收到的前缀分配路径及证明进行验证;
当验证通过时,获得前缀的分配路径,向预设的第三方提供;
所述预设的第三方依据该信息确定前缀的最长有效分配路径,进而建立前缀和提供该最长分配路径的AS之间的映射关系。
优选的,还包括:
所述预设的第三方将建立的网络中所有AS和前缀的映射表离线下发到各AS中的路由器。
优选的,所述预设的第三方将获得的包含AS号码、前缀分配路径的信息存储在预设的知识库中。
优选的,该信息中包含证明签名,所述预设的第三方按照以下步骤确定前缀的有效分配路径:
所述预设的第三方对网络中各AS提供的信息中的前缀分配路径和证明签名进行验证,当验证通过时,确定其中包含的前缀分配路径为前缀的有效分配路径。
优选的,建立前缀和AS之间的映射关系包括:
确定前缀的最长有效分配路径,及提供该路经的AS;
建立该前缀与该AS之间的映射关系,并按照此方式建立网络中所有AS和前缀的映射关系。
优选的,建立前缀和AS之间的映射关系还包括:
当前缀存在多个最长有效分配路径时,建立前缀和多个AS之间的映射关系。
优选的,所述预设的知识库数量为多个,彼此相连,周期性进行信息交互以保持同步。
本发明还公开了一种数据报文处理方法,包括:
AS中的路由器收到数据报文,获取该数据报文的目的IP地址;
当该数据报文的目的IP地址属于本AS内的主机的IP地址时,查询预先建立的前缀和AS的映射关系;当本AS与数据报文中的目的IP地址不存在映射关系,或者,数据报文中源IP地址与源AS号码之间不存在映射关系时,丢弃该数据报文。
优选的,还包括:
当该数据报文的目的IP地址不属于本AS内的主机的IP地址时,查询预先建立的前缀和AS的映射关系,获得目的IP地址对应的目的AS号码;
将本AS号码和目的AS号码及所述数据报文进行封装后,转发给所述目的AS号码对应的AS。
优选的,所述前缀和AS的映射关系存储在预先设置的知识库中。
优选的,所述知识库的数量为多个,彼此相连,周期性进行信息交互以保持同步。
同时,本发明还提供一种BGP更新报文处理方法,包括:
AS中的路由器收到BGP更新报文后,获取该报文的NLRI信息和源AS;
查询预先获得的前缀和AS映射关系,判断NLRI中前缀和所述源AS之间是否存在映射关系,若是,进一步执行BGP更新报文处理过程;否则,丢弃该更新报文。
本发明还公开一种数据报文处理装置,包括:
知识库,用于存储指示前缀和AS的映射关系的参考信息;
第一信息获取单元,用于接收数据报文,并获取该数据报文的目的IP地址和源IP地址;
第一判断单元,用于判断该数据报文是本AS内主机发出的到达其它AS内主机的数据报文,还是其它AS转发过来的封装数据报文;
第一处理单元,用于当该数据报文是本AS内主机发出的到达其它AS内主机的数据报文时,根据源和目的AS号码封装数据报文,并提供给转发单元;
第二判断单元,用于当数据报文是其它AS转发过来的封装数据报文时,判断该封装数据报文的目的AS号码与本AS号码是否相同;
第三判断单元,用于当该封装数据报文的目的AS号码与本AS号码相同时,查询所述参考信息,判断封装数据报文中的源、目的IP地址与源、目的AS号码之间是否存在映射关系;
第二处理单元,用于当封装数据报文中的源IP地址与源AS号码,或者目的IP地址和目的AS号码不存在映射关系时,丢弃该封装数据报文;否则,将该封装数据报文提供给转发单元;
第三处理单元,用于当所述封装数据报文的目的AS号码与本AS号码不相同时,将封装数据报文提供给转发单元;
转发单元,用于转发所述封装数据报文。
本发明同时还公开了一种BGP更新报文处理装置,包括:
知识库,用于存储指示前缀和AS的映射关系的参考信息;
第二信息获取单元,用于接收BGP更新报文,获取该报文的NLRI信息和源AS;
第四判断单元,用于查询所述参考信息,判断NLRI中前缀和所述源AS之间是否存在映射关系;
第四处理单元,用于当所述第四判断单元判断出NLRI中前缀和所述源AS之间不存在映射关系时,丢弃该BGP更新报文。
从上述的技术方案可以看出,与现有技术相比,本发明实施例通过建立的前缀和AS之间的映射关系,并将该映射关系提供给网络中各AS使用,各AS的路由器接收到报文后,可根据该映射关系判断接收到的路由通告中发起AS是否被授权通告NLRI域中的前缀。如果发起AS和前缀之间不存在映射关系,则可认为发起AS劫持了该前缀,于是直接丢弃该报文,从而有效地防止前缀劫持的攻击。进而加强了路由协议的安全性及保证所建立路由的正确性,从而进一步最终保护整个Internet网络基础设施的安全。
本发明实施例可以应用于现有的BGP协议,也可以应用于下一代基于AS域间路由协议,当其应用于下一代基于AS域间路由协议时,能够有效正确地建立全球前缀和AS的映射表,向前推动基于AS域间路由协议的设计和完善。
附图说明
图1为现有技术前缀分配示意图;
图2为本发明一种前缀和自治系统映射关系的管理方法实施例中AS获得分配路径的流程图;
图3-A为一个IP地址实际分配示例系统;
图3-B为图3-A所示的系统对应的IP地址AS分配系统;
图4为本发明一种前缀和自治系统映射关系的管理方法的实施例中建立并分发前缀和AS之间映射关系的基本流程图;
图5为本发明一种前缀和自治系统映射关系的管理方法实施例中建立前缀和AS映射关系的流程图;
图6为本发明一种BGP更新报文处理方法的实施例流程图;
图7为本发明一种数据报文处理方法的实施例流程图;
图8为本发明一种数据报文处理装置的实施例的结构示意图;
图9为本发明一种BGP更新报文处理装置的实施例的结构示意图。
具体实施方式
基于现有技术存在的问题,本发明提供了一种解决方案,其基本思想是:
(1)预先建立前缀和AS之间的映射关系:上一级组织在下发前缀的同时,生成并下发前缀分配路径及证明,并由下一级组织对接收到的前缀分配路径及证明进行验证,当验证通过时,向预设的第三方提供前缀分配路径及证明;所述预设的第三方由该信息确定前缀的最长有效分配路径,进而建立前缀和提供该最长分配路径的AS之间的映射关系;
(2)AS中的路由器当接收到路由通告时,依据上述建立的前缀和AS之间的映射关系,验证该路由通告中发起AS是否与被授权通告NLRI中的前缀,若不是,即可认为发起AS劫持了该前缀,则直接丢弃该路由通告。从而有效地防止了前缀劫持攻击,加强路由协议的安全性及保证所建立路由的正确性,从而最终保护整个Internet网络基础设施的安全。
为了使得本领域技术人员更好理解本发明技术方案,下面结合附图和实施例进行详细描述。
本发明公开了一种前缀和自治系统映射关系的建立方法,其基本过程包括两部分:
一是,网络中各个AS获取对应的前缀分配路径及证明;
二是,各AS将前缀分配路径及证明提供给一预设第三方,由该预设第三方建立前缀最长有效分配路径和AS的映射关系。
该预设第三方一般为可信的机构,例如ISP网络运行中心。
预先建立与IP地址实际分配系统并行的IP地址AS分配系统。
其具体的过程如下:
根据IP地址实际分配系统中ISPs之间的层次关系,这些ISPs拥有的AS之间也形成了一个相应的层次结构,为了便于描述,称这种层次结构为IP地址AS分配系统。因为IP地址分配系统中的ICANN和Internet注册机构不拥有AS,所以这些机构仍然存在于IP地址AS分配系统中。
实际上,一个ISP可能拥有多个AS,在这种情况下,本实施例认为这些AS彼此独立且在IP地址AS分配系统中位于与对应ISP同一层。
在预先创建IP地址AS分配系统之后,网络中的各AS按照以下步骤获得前缀的分配路径:
首先,APNIC在IP地址的分配过程中,生成前缀的分配路径及分配路径证明,其中,分配路径证明由每一步地址分配的分配证明组成,分配证明包含源组织名称(即APNIC)、分配的前缀和目的组织名称(也即获得所述前缀的组织名称)。
例如:
假设自治系统ASissuer分配前缀prefixASsubscriber到自治系统ASsubscriber,则定义(prefixASsubscriber,ASsubscriber)的分配证明是:[ASissuer,prefixASsubscriber,ASsubscriber,SNASsubscriber]ASissuer;其中,SNASsubscriber表示ASsubscriber的地址分配证明序列号,初始时为零。假设前缀p的分配路径是:(ASt,ASt-1,...AS2,AS1,IR);则可定义前缀p的分配路径证明是:
([IR,prefixAS1,AS1,SNAS1]IR,[AS1,prefixAS2,AS2,SNAS2]AS1,...,[ASt-1,p,ASt,SNASt]ASt-1),其中,prefixASi含有前缀p,1≤i≤t-1。
ICANN将前缀分配给RIR(如APNIC),并由RIR进一步分配前缀。
各级别的组织都在分配IP的过程中,生成相应的前缀分配路径及前缀分配路径证明。处于中间层次的各组织可能包含多个AS,也可能包含一个AS,图2示出了本发明一种前缀和自治系统映射关系的管理方法实施例中AS获得前缀分配路径的过程,具体包括以下步骤:
步骤S101、当前AS接收来自上级组织下发的前缀,及分配信息。
该分配信息包含分配路径和分配路径证明。
步骤S102、对分配证明进行验证,若验证通过,则进入步骤S103;否则,退出流程。
验证的具体方式为:针对上级组织提供的前缀分配路径及证明,对每一步分配证明进行验证。
具体过程为:针对上级组织提供的前缀分配路径及证明,根据前缀分配路径,对每一步分配证明进行验证。首先,验证分配证明是否正确;其次,验证分配路径中的上级AS和下级AS是否与分配路径中相关信息一致,然后,验证分配路径中的前缀是否包含前缀p,最后,验证分配路径中的地址分配证明序列号是否最新。
步骤S103、该AS对应的组织是否继续向下分配前缀,若是,进入步骤S104;否则,进入步骤S105。
步骤S104、获得对应前缀分配路径及证明,将需要分配的前缀下发,同时生成该分配的前缀的分配路径及证明并下发。
步骤S105、获得对应的前缀分配路径及证明。
下一级组织按照上述步骤S101-步骤S104进行操作。
需要说明的是,一个ISP有可能拥有两个或者两个以上的AS,在这种情况下,本文认为这些AS彼此独立且在IP地址AS分配系统中位于对应ISP的同一层。如果该ISP为下层ISP分配地址,它需要从拥有的多个自治系统中选出一个主自治系统。主自治系统的地址分配证明中含有与主自治系统存在映射关系的前缀,分配给下层ISP的前缀以及该ISP从上层ISP获得但是未分配的前缀。其它自治系统就是该ISP的从自治系统。如果ISP建立它拥有的某个前缀与一个从自治系统的映射关系,那么在IP地址AS分配系统中,该前缀就被分配给这个从自治系统。
下面通过一个具体例子进一步进行说明:
图3-A和图3-B分别给出一个IP地址实际分配示例系统和与之对应的IP地址AS分配系统。
在图2-A所示IP地址实际分配示例系统中,APNIC分配前缀(Prefix1,Prefix2,Prefix3,Prefix4,Prefix5)到ISP1,其中指定前缀包括Prefix1和Prefix2,分配前缀包括Prefix3,Prefix4和Prefix5;ISP1进一步地分配Prefix3到ISP3,Prefix5到ISP5。ISP1拥有主自治系统AS1和从自治系统AS2,且建立Prefix1和AS1的映射关系,Prefix2和AS2的映射关系;ISP3拥有自治系统AS3,ISP5拥有自治系统AS5。从而,获得如图3-B所示的IP地址AS分配示例系统。
A、当APNIC分配(Prefix1,Prefix3,Prefix4,Prefix5)到AS1时,APNIC生成前缀(Prefix1,Prefix3,Prefix4,Prefix5)的分配证明:[APNIC,Prefix1,Prefix3,Prefix4,Prefix5,AS1,SNAS1]APNIC。
并且,伴随着前缀的分配,APNIC下发分配路径(AS1,APNIC)和分配路径证明[APNIC,Prefix1,Prefix3,Prefix4,Prefix5,AS1,SNAS1]APNIC到AS1。当APNIC分配Prefix2到AS2时,APNIC生成Prefix2的分配证明:[APNIC,Prefix2,AS2,SNAS2]APNIC。
并且,伴随着前缀的分配,APNIC下发分配路径(AS2,APNIC)和分配路径证明[APNIC,Prefix2,AS2,SNAS2]APNIC到AS2。
B、当AS1分配Prefix3到AS3时,AS1生成Prefix3的分配证明:[AS1,Prefix3,AS3,SNAS3]AS1。
并且,伴随着Prefix3的分配,AS1下发分配路径(AS3,AS1,APNIC)和分配路径证明([APNIC,Prefix1,Prefix3,Prefix4,Prefix5,AS1,SNAS1]APNIC,[AS1,Prefix3,AS3,SNAS3]AS1)到AS3。
C、与AS3类似,AS5获得前缀Prefix5的分配路径及证明。
在各个AS都获得前缀的分配路径及证明之后,进入前缀分配路径及证明的分发过程。如图4所示,为本发明一种前缀和自治系统映射关系的管理方法的实施例中建立并分发前缀和AS之间映射关系的基本流程图。
各自治系统签名获得前缀的分配路径及证明后,执行以下步骤:
步骤S201、将包含自治系统、前缀分配路径和证明签名的信息发送给ISPNOC(ISP Network Operation Center,ISP网络运行中心)。
各自治系统签名获得前缀的分配路径及证明,生成包含自治系统、前缀分配路径和证明签名的信息,并发送给ISP NOC。
步骤S202、ISP NOC将获得的信息上传到预设的知识库中。
该知识库数量可以为多个,一般情况下可由大型的ISPs和Internet交换点进行维护,小型ISPs仅利用这些知识库。
各个知识库彼此相连,可以周期性地彼此交互以保持同步。
步骤S203、ISP NOC根据所述知识库中的信息,建立网络中所有AS和前缀的映射表。
步骤S204、ISP NOC将建立的网络中所有AS和前缀的映射表下发。
ISP NOC将建立的网络中所有AS和前缀的映射表下发到自治系统中的BGP路由器。为了保证安全性,建议采用离线发送的方式将映射表下发到路由器。
ISP NOC建立AS和前缀的映射表的过程如图5所示,具体包括以下步骤:
步骤S301、ISP NOC验证各AS上报的信息中前缀分配路径和证明签名是否由其中的AS生成,若是,进入S302;否则,结束流程。
步骤S302、验证其中前缀分配路径和证明的正确性,验证通过时,进入步骤S303;否则,结束流程。
步骤S303、生成前缀的有效分配路径,进入步骤S304。
步骤S304、判断前缀有效分配路径的个数,当个数为1时,进入步骤S305;当个数为0时,结束流程;当个数大于1的时,进入步骤S306。
步骤S305、建立前缀和提供有效分配路径的AS之间的映射关系,结束。
步骤S306、获取前缀最长有效分配路径。
步骤S307、判断前缀最长有效分配路径的个数,当个数为1时,进入步骤S305;当个数为0时,结束流程;当个数大于1的时,进入步骤S308。
步骤S308、建立前缀和提供这些最长分配路径的AS之间的映射关系。
在上述步骤S204之后,该ISP所拥有AS中的BGP路由器接收到ISPNOC下发的AS和前缀的映射表。
本实施例可以应用在多种协议中。
当应用在BGP协议时,其BGP路由器收到BGP更新报文后,按照图6所示流程进行处理,图6为一种BGP报文处理方法的实施例流程图。
具体包括以下步骤:
步骤S401、读取BGP更新报文的NLRI信息和源AS。
读取该更新报文的NLRI信息和源AS,也即AS_PATH路径属性中第一个AS。
步骤S402-步骤S403、查询预先获得的前缀和AS映射关系,判断NLRI的前缀和源AS之间是否存在映射关系,若是,进入步骤S404;否则,进入步骤S405。
步骤S404、进一步执行BGP更新报文的处理过程。
步骤S405、丢弃该BGP更新报文。
本实施例中,BGP路由器能够根据预先建立的前缀和AS之间的映射关系,判断接收的路由通告中发起AS是否是被授权通告NLRI域中的前缀,如果发起AS和该前缀之间不存在映射关系,则可认为发起AS劫持了该前缀,于是直接丢弃该数据报文。
当应用于下一代基于AS域间路由协议时,当边界路由器收到数据报文之后,按照图7所示流程进行处理,图7为一种数据报文处理方法的实施例流程图。具体包括以下步骤:
步骤S501、获取数据报文的源、目的IP地址。
步骤S502、判断数据报文属于哪种数据报文,第一种数据报文:由本AS内主机发出的到达其它AS内主机的数据报文,第二种数据报文:其它AS转发过来的封装数据报文。
若是第一种,进入步骤S503;若是第二种,则,进入步骤S506。
步骤S503、根据目的IP地址,查询知识库中存储的前缀和AS映射表,获得目的AS号码。
步骤S504、利用本AS号码和目的AS号码,对所述数据报文进行封装,封装后的数据报文的格式如下表所示:
表1
| 源AS号码 | 目的AS号码 | 初始数据报文 |
步骤S505、根据基于AS全球路由表,转发封装数据报文至下一跳AS,结束。
步骤S506-步骤S507、边界路由器接收到封装数据报文后,判断该封装数据报文的目的AS是否是本AS,若是,进入步骤S508;否则,进入步骤S505。
步骤S508、对数据报文的目的IP地址和源IP地址与本AS和源AS的映射关系进行验证,若验证通过,则进入步骤S509;否则,进入步骤S510。
具体的验证方式为:判断本AS是否与数据报文中的目的IP地址存在映射关系,及数据报文中源IP地址是否与源AS号码之间存在映射关系。
步骤S509、根据所述数据报文中的目的IP地址,将该数据报文转发到目的主机,结束。
步骤S510、直接丢弃该数据报文,结束。
本发明实施例建立前缀和AS之间的映射关系,能够有效地防止前缀劫持的攻击,加强了路由协议的安全性及保证所建立路由的正确性,从而最终保护整个互联网网络基础设施的安全。
另外,当本发明实施例应用于下一代基于AS域间路由协议时,能够有效正确地建立全球前缀和AS映射表,向前推动基于AS域间路由协议的设计和完善。
需要说明的是,在IP地址分配系统中,任一AS在任意时刻只拥有一个前缀分配证明和一个前缀分配路径及证明,IP地址的AS分配系统构成一个树型结构,当叶子AS拥有的前缀发生变化时,这个AS需要更新自己的前缀分配路径和证明。进一步地,如果它是某个ISP的从AS,那么主AS和以主AS为根的所有AS也需要更新自己的前缀分配路径和证明。
而非叶子AS拥有的前缀发生变化时,这个AS和以它为根的所有AS需要更新自己的前缀分配路径及证明。进一步地,如果该自治系统是某个ISP的主AS,且它拥有前缀的变化与从AS相关(例如,前缀被分配给从AS)时,从AS也需要更新自己的前缀分配路径及证明。
从而,在IP地址AS分配系统中,当一个前缀分配状态发生改变时,更新前缀分配路径和证明的过程包含以下情况:
增加更新:当一个未分配的前缀被分配给一个新的AS时,这个AS获得该前缀的分配路径及证明,如果这个AS是一个ISP的从AS时,那么该ISP的主AS执行撤销更新。
替换更新:当一个未分配前缀被分配给一个已存在的AS时,这个AS的分配证明序号加1,获得一个新的含有增加前缀的分配证明,使用新的分配证明替换旧的分配证明;以该AS为根的所有AS更新自己的分配路径证明,通过使用该AS新的分配证明替换分配路径证明中旧的分配证明;如果这个AS是一个ISP的从AS,那么这个ISP的主AS执行撤销更新;
不完全撤销更新:当一个AS撤销前缀,且该AS的分配证明仍然含有其他前缀时,该AS的分配证明序列号加1,获得一个新的不含有撤销前缀的分配证明,使用新的分配证明替换旧的分配证明,以该AS为根的所有AS更新自己的分配路径证明,通过使用该AS新的分配证明替换分配路径证明中旧的分配证明;如果该AS是一个ISP的从AS时,该ISP的主AS执行增加更新。
完全撤销更新:当某个AS撤销一个前缀,且该AS的分配证明不含有其他前缀,则该AS的分配证明序列号清零,且该AS的前缀分配路径和证明无效;如果该AS是某个ISP的从AS时,该ISP的主AS执行增加更新。
例如,在图3-B所示系统中,当AS2撤销Prefix2(即ISP1收回对AS2通告Prefix2的授权)时,AS2执行完全撤销:AS2的分配证明序列号清零且前缀分配路径和证明变无效;因为AS2是ISP1的从自治系统,AS1执行增加更新:获得新的分配证明为:
[APNIC,Prefix1,Prefix2,Prefix3,Prefix4,Prefix5,AS1,SNAS1]APNIC,
且使用这个新的分配证明替换自己和AS3,AS5中对应的分配证明,生成新的分配路径证明。AS3新的分配路径证明是:([APNIC,Prefix1,Prefix2,Prefix3,Prefix4,Prefix5,AS1,SNAS1]APNIC,[AS1,Prefix3,AS3,SNAS3]AS1)
当某个ISP拥有AS更新自己的前缀分配路径及证明时,ISP NOC向知识库上传更新报文,该更新报文的格式可以如下表所示:
表2
| AS号码 | 更新类型 | 相关数据 |
当更新类型为增加、替换或者不完全撤销时,相关数据域含有一包含AS号码、前缀分配路径和证明签名的信息。
当更新类型为完全撤销更新时,相关数据域为空。
于是,当某知识库在收到更新报文后,除向其他知识库洪泛更新报文外,根据更新类型执行相应的操作:
当更新类型为增加时,知识库增加一包含AS号码、前缀分配路径和证明签名的信息;
当更新类型为替换或者不完全撤销时,知识库使用新的包含AS号码、前缀分配路径和证明签名的信息,替换该AS旧的包含AS号码、前缀分配路径和证明签名的信息;
当更新类型为完全撤销更新时,知识库删除与知识库中该AS的包含AS号码、前缀分配路径和证明签名的信息。
在知识库执行完更新操作后,通知ISP下载所有新更新的包含AS号码、前缀分配路径和证明签名的信息,或者,由ISP主动获取该信息。
对应前文数据报文处理方法的实施例,本发明同时还提供了一种数据报文处理装置。
请参考图8,为本发明一种数据报文处理装置的实施例的结构示意图。
数据报文处理装置包括:知识库111、第一信息获取单元112、第一判断单元113、第一处理单元114、第二判断单元115、第三判断单元116、第二处理单元117、第三处理单元118和转发单元119。
其中:
所述知识库111用于存储指示前缀和AS的映射关系的参考信息,该参考信息可以以表格的形式存在,前缀和AS的映射关系的建立过程在前文已经详细描述过,在此不再赘述。
所述第一信息获取单元112用于接收数据报文,并获取该数据报文的目的IP地址和源地址。
所述第一判断单元113用于根据数据报文的目的IP地址和源IP地址,判断该数据报文的种类,第一种是:本AS内主机发出的到达其它AS内主机的数据报文,第二种是:其它AS转发过来的封装数据报文。
所述第一处理单元114用于当该数据报文是本AS内主机发出的到达其它AS内主机的数据报文时,根据源和目的AS号码封装数据报文,并提供给转发单元119,由该转发单元119将该封装数据报文转发至下一跳地址。
封装后的数据报文格式如表3所示:
表3
| 源AS号码 | 目的AS号码 | 初始数据报文 |
所述第二判断单元115用于获取所述第一判断单元113的判断结果,当数据报文是其它AS转发过来的封装数据报文时,判断该封装数据报文的目的AS号码与本AS号码是否相同。
所述第三判断单元116用于当该封装数据报文的目的AS号码与本AS号码相同时,查询所述参考信息,判断封装数据报文中的源、目的IP地址与源、目的AS号码之间是否存在映射关系,也即:判断本AS与数据报文中的目的IP地址是否存在映射关系,及判断数据报文中源IP地址与源AS号码之间是否存在映射关系。
所述第二处理单元117,用于获取所述第三判断单元116的判断结果,当封装数据报文中的源IP地址与源AS号码,或者目的IP地址和目的AS号码不存在映射关系时,丢弃该封装数据报文;否则,将该封装数据报文提供给所述转发单元119,由该转发单元119进行转发。
所述第三处理单元118用于获取所述第二判断单元115的判断结果,当所述封装数据报文的目的AS号码与本AS号码不相同时,将封装数据报文提供给转发单元119,由该转发单元119进行转发。
所述知识库111的数量可以为一个或者多个,当为多个时,各知识库111彼此相连,周期性进行信息交互以保持同步,也就是说保持其中数据的一致性。
针对前文BGP更新报文处理方法,本发明同时还公开了一种执行该方法的BGP更新报文处理装置。
图9示出了该装置实施例的结构示意图。
BGP更新报文处理装置包括:知识库211、第二信息获取单元212、第四判断单元213和第四处理单元214。
其中:
所述知识库211与前文知识库111相同,用于存储指示前缀和AS的映射关系的参考信息。
所述第二信息获取单元212用于接收BGP更新报文,获取该报文的NLRI信息和源AS号码。
所述第四判断单元213用于查询所述参考信息,判断NLRI中前缀和所述源AS之间是否存在映射关系。
所述第四处理单元214用于当所述第四判断单元213判断出NLRI中前缀和所述源AS之间不存在映射关系时,丢弃该BGP更新报文。
而当所述第四判断单元213判断出NLRI中前缀和所述源AS之间存在映射关系时,则由现有的处理单元对报文进行进一步的处理。
本领域技术人员可以理解,可以使用许多不同的工艺和技术中的任意一种来表示信息、消息和信号。例如,上述说明中提到过的消息、信息都可以表示为电压、电流、电磁波、磁场或磁性粒子、光场或以上任意组合。
专业人员还可以进一步应能意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (14)
1、一种前缀和自治系统之间映射关系管理方法,其特征在于,包括:
当前组织在下发前缀的同时,生成并下发前缀分配路径及证明;
其下一级组织对接收到的前缀分配路径及证明进行验证;
当验证通过时,获得前缀的分配路径,向预设的第三方提供;
所述预设的第三方依据该信息确定前缀的最长有效分配路径,进而建立前缀和提供该最长分配路径的AS之间的映射关系。
2、如权利要求1所述的方法,其特征在于,还包括:
所述预设的第三方将建立的网络中所有AS和前缀的映射表离线下发到各AS中的路由器。
3、如权利要求1或2所述的方法,其特征在于,所述预设的第三方将获得的包含AS号码、前缀分配路径的信息存储在预设的知识库中。
4、如权利要求3所述的方法,其特征在于,该信息中包含证明签名,所述预设的第三方按照以下步骤确定前缀的有效分配路径:
所述预设的第三方对网络中各AS提供的信息中的前缀分配路径和证明签名进行验证,当验证通过时,确定其中包含的前缀分配路径为前缀的有效分配路径。
5、如权利要求4所述的方法,其特征在于,建立前缀和AS之间的映射关系包括:
确定前缀的最长有效分配路径,及提供该路经的AS;
建立该前缀与该AS之间的映射关系,并按照此方式建立网络中所有AS和前缀的映射关系。
6、如权利要求5所述的方法,其特征在于,建立前缀和AS之间的映射关系还包括:
当前缀存在多个最长有效分配路径时,建立前缀和多个AS之间的映射关系。
7、如权利要求5所述的方法,其特征在于,所述预设的知识库数量为多个,彼此相连,周期性进行信息交互以保持同步。
8、一种数据报文处理方法,其特征在于,包括:
AS中的路由器收到数据报文,获取该数据报文的目的IP地址;
当该数据报文的目的IP地址属于本AS内的主机的IP地址时,查询预先建立的前缀和AS的映射关系;当本AS与数据报文中的目的IP地址不存在映射关系,或者,数据报文中源IP地址与源AS号码之间不存在映射关系时,丢弃该数据报文。
9、如权利要求8所述的方法,其特征在于,还包括:
当该数据报文的目的IP地址不属于本AS内的主机的IP地址时,查询预先建立的前缀和AS的映射关系,获得目的IP地址对应的目的AS号码;
将本AS号码和目的AS号码及所述数据报文进行封装后,转发给所述目的AS号码对应的AS。
10、如权利要求8或9所述的方法,其特征在于,所述前缀和AS的映射关系存储在预先设置的知识库中。
11、如权利要求11所述的方法,其特征在于,所述知识库的数量为多个,彼此相连,周期性进行信息交互以保持同步。
12、一种BGP更新报文处理方法,其特征在于,包括:
AS中的路由器收到BGP更新报文后,获取该报文的NLRI信息和源AS;
查询预先获得的前缀和AS映射关系,判断NLRI中前缀和所述源AS之间是否存在映射关系,若是,进一步执行BGP更新报文处理过程;否则,丢弃该更新报文。
13、一种数据报文处理装置,其特征在于,包括:
知识库,用于存储指示前缀和AS的映射关系的参考信息;
第一信息获取单元,用于接收数据报文,并获取该数据报文的目的IP地址和源IP地址;
第一判断单元,用于判断该数据报文是本AS内主机发出的到达其它AS内主机的数据报文,还是其它AS转发过来的封装数据报文;
第一处理单元,用于当该数据报文是本AS内主机发出的到达其它AS内主机的数据报文时,根据源和目的AS号码封装数据报文,并提供给转发单元;
第二判断单元,用于当数据报文是其它AS转发过来的封装数据报文时,判断该封装数据报文的目的AS号码与本AS号码是否相同;
第三判断单元,用于当该封装数据报文的目的AS号码与本AS号码相同时,查询所述参考信息,判断封装数据报文中的源、目的IP地址与源、目的AS号码之间是否存在映射关系;
第二处理单元,用于当封装数据报文中的源IP地址与源AS号码,或者目的IP地址和目的AS号码不存在映射关系时,丢弃该封装数据报文;否则,将该封装数据报文提供给转发单元;
第三处理单元,用于当所述封装数据报文的目的AS号码与本AS号码不相同时,将封装数据报文提供给转发单元;
转发单元,用于转发所述封装数据报文。
14、一种BGP更新报文处理装置,其特征在于,包括:
知识库,用于存储指示前缀和AS的映射关系的参考信息;
第二信息获取单元,用于接收BGP更新报文,获取该报文的NLRI信息和源AS;
第四判断单元,用于查询所述参考信息,判断NLRI中前缀和所述源AS之间是否存在映射关系;
第四处理单元,用于当所述第四判断单元判断出NLRI中前缀和所述源AS之间不存在映射关系时,丢弃该BGP更新报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100977213A CN101588343A (zh) | 2008-05-20 | 2008-05-20 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100977213A CN101588343A (zh) | 2008-05-20 | 2008-05-20 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101588343A true CN101588343A (zh) | 2009-11-25 |
Family
ID=41372406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100977213A Pending CN101588343A (zh) | 2008-05-20 | 2008-05-20 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101588343A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102104550A (zh) * | 2011-03-10 | 2011-06-22 | 中国人民解放军信息工程大学 | 域间路由系统中自治系统间信任关系的建立和维护方法 |
| CN105376098A (zh) * | 2015-11-30 | 2016-03-02 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| CN108886521A (zh) * | 2016-02-22 | 2018-11-23 | 动态网络服务股份有限公司 | 用于找到全球路由劫持的方法和设备 |
| CN110971522A (zh) * | 2018-09-30 | 2020-04-07 | 华为技术有限公司 | 一种确定路由泄露的方法、设备和系统 |
| CN111147380A (zh) * | 2018-11-02 | 2020-05-12 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN111464449A (zh) * | 2019-01-18 | 2020-07-28 | 广西民族大学 | 一种域间流量本地化交换方法 |
| CN112398741A (zh) * | 2019-08-15 | 2021-02-23 | 华为技术有限公司 | 学习路由的方法、转发报文的方法、设备和存储介质 |
| CN113612684A (zh) * | 2020-08-11 | 2021-11-05 | 北京航空航天大学 | 一种基于二分查找的域间路径标识前缀匹配方法 |
| CN113872861A (zh) * | 2020-06-30 | 2021-12-31 | 华为技术有限公司 | 一种生成表项的方法、发送报文的方法及设备 |
| CN114598487A (zh) * | 2020-12-04 | 2022-06-07 | 华为技术有限公司 | 一种验证as对的方法、装置及设备 |
| WO2022166607A1 (zh) * | 2021-02-03 | 2022-08-11 | 华为技术有限公司 | 发送报文的方法、装置、系统及存储介质 |
| US11799756B2 (en) | 2019-08-15 | 2023-10-24 | Huawei Technologies Co., Ltd. | Route learning method, packet forwarding method and device, and storage medium |
-
2008
- 2008-05-20 CN CNA2008100977213A patent/CN101588343A/zh active Pending
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102104550B (zh) * | 2011-03-10 | 2012-07-04 | 中国人民解放军信息工程大学 | 域间路由系统中自治系统间信任关系的建立和维护方法 |
| CN102104550A (zh) * | 2011-03-10 | 2011-06-22 | 中国人民解放军信息工程大学 | 域间路由系统中自治系统间信任关系的建立和维护方法 |
| CN105376098B (zh) * | 2015-11-30 | 2019-06-14 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| CN105376098A (zh) * | 2015-11-30 | 2016-03-02 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| CN108886521B (zh) * | 2016-02-22 | 2021-09-10 | 动态网络服务股份有限公司 | 用于找到全球路由劫持的方法和设备 |
| US11394745B2 (en) | 2016-02-22 | 2022-07-19 | Dynamic Network Services, Inc. | Methods and apparatus for finding global routing hijacks |
| CN108886521A (zh) * | 2016-02-22 | 2018-11-23 | 动态网络服务股份有限公司 | 用于找到全球路由劫持的方法和设备 |
| CN110971522A (zh) * | 2018-09-30 | 2020-04-07 | 华为技术有限公司 | 一种确定路由泄露的方法、设备和系统 |
| US11799774B2 (en) | 2018-09-30 | 2023-10-24 | Huawei Technologies Co., Ltd. | Method, device, and system for determining route leak |
| CN111147380A (zh) * | 2018-11-02 | 2020-05-12 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| US11863447B2 (en) | 2018-11-02 | 2024-01-02 | Huawei Technologies Co., Ltd. | Route processing method and network device |
| CN114389994A (zh) * | 2018-11-02 | 2022-04-22 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN114389994B (zh) * | 2018-11-02 | 2022-12-27 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN111464449B (zh) * | 2019-01-18 | 2022-07-12 | 广西民族大学 | 一种域间流量本地化交换方法 |
| CN111464449A (zh) * | 2019-01-18 | 2020-07-28 | 广西民族大学 | 一种域间流量本地化交换方法 |
| CN112398741B (zh) * | 2019-08-15 | 2023-09-05 | 华为技术有限公司 | 学习路由的方法、转发报文的方法、设备和存储介质 |
| US11799756B2 (en) | 2019-08-15 | 2023-10-24 | Huawei Technologies Co., Ltd. | Route learning method, packet forwarding method and device, and storage medium |
| CN112398741A (zh) * | 2019-08-15 | 2021-02-23 | 华为技术有限公司 | 学习路由的方法、转发报文的方法、设备和存储介质 |
| WO2022001765A1 (zh) * | 2020-06-30 | 2022-01-06 | 华为技术有限公司 | 一种生成表项的方法、发送报文的方法及设备 |
| CN113872861A (zh) * | 2020-06-30 | 2021-12-31 | 华为技术有限公司 | 一种生成表项的方法、发送报文的方法及设备 |
| CN113612684A (zh) * | 2020-08-11 | 2021-11-05 | 北京航空航天大学 | 一种基于二分查找的域间路径标识前缀匹配方法 |
| CN114598487A (zh) * | 2020-12-04 | 2022-06-07 | 华为技术有限公司 | 一种验证as对的方法、装置及设备 |
| WO2022166607A1 (zh) * | 2021-02-03 | 2022-08-11 | 华为技术有限公司 | 发送报文的方法、装置、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101588343A (zh) | 前缀与as映射关系的管理方法、报文处理方法和装置 | |
| Mathy et al. | LISP-DHT: Towards a DHT to map identifiers onto locators | |
| US20200186458A1 (en) | Autonomous system route validation via blockchain | |
| EP2583415B1 (en) | Method, diameter node, and computer readable medium for providing dynamic origination-based routing key registration in a diameter network | |
| KR20190002638A (ko) | 블록체인으로 인터넷 리소스의 할당을 위한 트랜잭션을 보호하는 방법 | |
| EP2672679A1 (en) | Method and Apparatus for Maintaining Routing Information | |
| US9325611B2 (en) | Selecting network services based on hostname | |
| Rak et al. | Information-driven network resilience: Research challenges and perspectives | |
| CN113055297B (zh) | 网络拓扑发现方法及装置 | |
| CN110012119A (zh) | 一种ip地址前缀授权与管理方法 | |
| CN102763377B (zh) | 用于冗余连接的路由信息的分配方法 | |
| Kantola | 6G network needs to support embedded trust | |
| EP2276206A1 (en) | A method, device and communication system for managing and inquiring mapping information | |
| Kirkpatrick | Fixing the internet | |
| CN108768853B (zh) | 基于域名路由器的分布式混合域名系统及方法 | |
| Papadimitriou | OSPFv2 Routing Protocols Extensions for Automatically Switched Optical Network (ASON) Routing | |
| CN112968915B (zh) | Dns域名服务器攻击的处理方法、处理系统、处理装置 | |
| CN102368740A (zh) | 一种网络寻址方法 | |
| Sfirakis et al. | Validating IP prefixes and AS-paths with blockchains | |
| US20030093561A1 (en) | Allocating internet protocol (IP) addresses to nodes in communications networks which use integrated IS-IS | |
| Gummadi et al. | Practical routing-layer support for scalable multihoming | |
| US20210136030A1 (en) | Method for Sending an Information Item and for Receiving an Information Item for the Reputation Management of an IP Resource | |
| Wachs | A secure and resilient communication infrastructure for decentralized networking applications | |
| Iamartino | Study and measurements of the RPKI deployment | |
| US11838201B1 (en) | Optimized protected segment-list determination for weighted SRLG TI-LFA protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20091125 |