CN105141597A - 一种基于标识即公钥的自表示安全路由授权方法 - Google Patents

Abstract

本发明公开了一种标识即公钥的自表示安全路由授权方法，包括如下步骤：S1.公布公共安全参数，启动信任根；S2.构建自信任的地址体系；S3.构建自信任的路由标识体系；S4.地址拥有者向NASA签发地址授权书，NASA指派其部署的路由宣告者宣告该地址可达信息；S5.路由宣告者签发路径认证书，向对等路由器宣告携带路径认证书以及地址授权书的路由更新；S6.对等路由宣告者接收路由更新，验证地址授权书及路由路径上各宣告者签发的路径认证书，确认路由更新的合法性。本发明原理简单，易于部署，能够实现域间路由的源认证及路径认证，可有效解决传统域间路由机制无法避免的前缀劫持问题。

Description

一种基于标识即公钥的自表示安全路由授权方法

技术领域

本发明涉及可信安全网络基础设施领域，特指一种使用地址即公钥的自信任网络地址和标识即公钥的自信任路由资源标识构建的自表示安全路由机制，在保持现有域间路由机制情况下构建安全的路由策略，解决域间路由的源认证以及路径认证问题。

背景技术

随着信息技术的深入发展与广泛应用，互联网(Internet)已经渗入到人们生活中的各个角落。根据中国互联网信息中心截至2014年6月30日的统计，目前我国网民的数量已经达到6.32亿，可访问网站达到273万，国际出口带宽将近四百万兆比特每秒。信息化办公，商务交易，在线购物，网络社交，可以说，互联网已经成为整个社会生产和生活不可或缺的一部分。

互联网的互联互通依赖于底层的域间路由协议。产生于20世纪80年代的边界网关路由协议(BorderGatewayProtocol，BGP)，其版本BGPv4是目前互联网中实际运行的域间路由协议。随着技术发展，互联网从其前身阿帕网进入发展时期，为解决因网络规模急剧扩大而导致的路由可扩展性问题，美国的BBN公司提出一种解决方案，将阿帕网从一个单一协同管理的网络转化成由多个自治系统(AutonomousSystem，AS)分散互联的网络。自治系统又称为自治域，由独立实体管理。根据CIDRReport2015年1月26日的报告，全球一共有49442个AS参与整个互联网的运作。BGPv4协议是将这些分散的自治域联通，构建互联网的事实协议。历史上，BGP对于互联网的商业化和全球化立下了汗马功劳。然而，BGP协议的设计在安全方面留有巨大的缺陷，具体体现于BGP路由器默认接受并无条件信任邻居路由器通告的任何路由，这直接导致了BGP路由协议容易受到前缀地址劫持和路由篡改攻击，可能引起网络瘫痪，使得有网不能通，用户无法正常链接网络。

为弥补BGP路由协议与的固有缺陷，学术界与工业界提出过多个路由协议安全机制，包括美国学者提出的S-BGP，思科公司提出的soBGP，以及近年由美国国防部先进研究项目局提出的RPKI等机制。但是，这些机制分别遭遇了不同程度的部署难题。S-BGP的部署需要引入一套独立的用于证书发布和路由验证的公钥基础设施，需要各层级互联网注册机构以及路由器厂商的共同参与，其部署难度非常大。因此自2000年提出至今，S-BGP一直未能实现部署；soBGP针对部署难的问题，提出不依赖层次结构信任模型的简洁的安全机制。但是由于缺乏信任锚，soBGP的安全性相对S-BGP等其他机制显著降低；RPKI也依赖于独立的公钥基础设施，为了降低部署难度，该机制只针对前缀劫持攻击中篡改路由更新中源地址的问题，使用路由源证明和实体证书，实现BGP的源路由认证。但是RPKI无法进行路由更新的路径认证，使得部署了RPKI的BGP路由机制依然存在前缀劫持的威胁。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种易于部署的域间路由安全机制，实现域间路由的源认证以及路径认证，解决传统域间路由机制无法避免的前缀劫持问题。

为解决上述技术问题，本发明提出的技术方案为一种基于标识即公钥的自表示安全路由授权方法，其步骤为：

S1.网络地址数字授权机构NANA部署根密钥管理机构root-PKG，发布信任体系的公共安全参数，完成地址即公钥信任体系的初始化，启动信任根，所述公共安全参数包括构建基于身份密码机制实例时使用的具体参数和基于身份密码机制使用的具体算法；

S2.部署层级网络地址密钥管理机构，生成并分发网络运营机构所拥有网络地址的对应私钥，赋予网络地址自信任特性；

S3.部署层级网络标识密钥管理机构，生成并分发网络自治域管理机构NASA所部署路由器的路由资源标识对应私钥，赋予其路由资源标识自信任特性；

S4.地址拥有者为自治域AS签发地址授权书，授权其发布该地址可达信息，网络自治域管理机构NASA将授权书交予自治域部署的路由器，指派该路由宣告者代表源自治域AS宣告地址可达信息；

S5.路由宣告者发布路由更新，为包括下一跳对等路由器在内的路由路径签发路径认证书，并向对等路由器宣告携带路径认证书以及地址授权书的路由更新；

S6.路由宣告者接收路由更新，验证地址授权书，分别验证路由路径上各宣告者签发的路径认证书，确认对等路由器宣告路由更新的合法性。

其中，本发明将运行此安全路由机制的路由器称为路由宣告者，相邻的并且相互交换路由更新的路由宣告者称为对等路由器。

作为本发明的进一步改进：所述步骤S2的具体步骤如下：

S2.1.区域子网络的网络区域注册机构NARA向网络地址数字授权机构NANA申请地址对应私钥，网络地址数字授权机构NANA利用网络地址密钥管理协议为区域子网络分配网络地址对应私钥；

S2.2.自治域子网络的网络自治域管理机构NASA向自己的上一级网络区域注册机构NARA申请地址对应私钥，网络自治域管理机构NASA利用网络地址密钥管理协议为自治域子网络分配网络地址对应私钥；

S2.3.底层网络节点向自己的上一级网络自治域管理机构NASA申请地址对应私钥，网络自治域管理机构NASA利用网络地址密钥管理协议为网络节点分配网络地址对应私钥。

作为本发明的进一步改进：所述步骤S3的具体步骤如下：

S3.1.自治域子网络的网络自治域管理机构NASA向网络地址数字授权机构NANA申请自治域管理机构用于生成路由资源标识私钥的密钥生成构件，网络地址数字授权机构NANA利用网络地址密钥管理协议为自治域管理机构分配机构标识对应密钥生成构件，网络自治域管理机构NASA获取密钥生成构件，完成子密钥管理机构nasa-PKG的部署；

S3.2.网络自治域管理机构NASA的子密钥管理机构nasa-PKG利用网络地址密钥管理协议为其部署的路由器分配路由资源标识对应私钥。

作为本发明的进一步改进：所述步骤S4的具体步骤如下：

S4.1.地址拥有者根据网络地址密钥管理协议，用具有特定有效期限T的地址IP对应私钥为自治域AS的标识ASN进行签名，得到Sig(T||IP，ASN)；

S4.2.地址拥有者生成地址授权书Auth＝{IP，T，ASN，Sig(T||IP，ASN)}，将其颁发给自治域AS的网络自治域管理机构NASA；

S4.3.网络自治域管理机构NASA将地址授权书Auth交付给部署于自治域AS所属的路由器，授权其代表自治域AS宣告地址IP可达。

作为本发明的进一步改进：所述步骤S5的具体步骤如下：

S5.1.路由宣告者提取选将下一跳对等路由器所在自治域加入路径属性AS_PATH字段中；

S5.2.路由宣告者使用有效期限为T的路由资源标识所对应私钥对路由路径AS_PATH进行签名，得到Sig(T||ASN||R_id，AS_PATH)，R_id为路由器标识；

S5.3.路由宣告者生成路径认证书Cert＝{R_id，T，Sig(T||ASN||R_id，AS_PATH)}，将其添加至路由更新的路径属性中；

S5.4.路由宣告者向对等路由器宣告路由更新，并同时向其提供地址授权书Auth。

作为本发明的进一步改进：所述步骤S6的具体步骤如下：

S6.1.路由宣告者提取地址授权书Auth所指示自信任地址的公钥；

S6.2.路由宣告者根据网络地址信任体系，使用信任体系发布的公共安全参数，验证地址授权书Auth的签名信息，判断源自治域AS宣告此地址可达的合法性，合法则跳转到S6.3，否则丢弃该地址授权书，不进行处理；

S6.3.路由宣告者根据路径属性AS_PATH的自治域信息，以及路径认证书Cert所指示的路由宣告者和有效期限T，提取出路由路径上所有路由宣告者的路由资源标识公钥；

S6.4.路由宣告者依次使用路由路径上对应路由器的路由资源标识公钥，验证路径认证书Cert的签名信息，判断各路由器宣告的路由路径的真实性，真实则接收该路径，否则丢弃。

与现有技术相比，本发明的优点在于：

1、本发明原理简单、易实现和推广。本发明在实现时无需改变现有路由资源标识地址语义，无需依赖第三方信任系统，为进一步构建可信的网络路由控制、可信网络报文传输及可信网络名录管理提供基本支撑。

2、本发明中网络地址及路由资源标识的分配均为自信任分配，网络地址及路由资源分配到哪里，公钥就跟到哪里，私钥绑定到哪里，从而实现无需依赖第三方信任系统的自信任网络体系。

3、本发明中网络地址及路由资源标识即地址拥有者的公钥，无需第三方绑定。

4、本发明中网络地址语言及路由器部署方式与现有保持不变，兼容现有路由策略，保持了现有路由成功的核心基因。

附图说明

图1为本发明一种标识即公钥的自表示安全路由授权方法流程图。

图2为本发明网络地址信任体系和网络标识信任体系的组织结构示意图。

图3为本发明利用自信任地址和自信任路由资源标识实现自表示安全路由的具体执行步骤示意图。

图4为本发明地址授权书的具体结构示意图。

图5为本发明路径认证书的具体结构示意图。

具体实施方式

以下结合说明书附图和具体优选的实施例对本发明作进一步描述，但并不因此而限制本发明的保护范围。

本发明的一种标识即公钥的自表示安全路由授权方法，其实现的基础是自信任的网络地址体系和自信任的路由标识体系，通过层次式安全的IP地址私钥产生及分发机制，完成IP地址及私钥的绑定，以及通过层次式的认证方式完成路由器的部署，实现路由资源标识及对应私钥的绑定。通过网络地址拥有者使用网络地址私钥对其地址进行签名，路由器宣告者对其发布路由路径进行签名，对等路由器通过提取路径上路由资源标识公钥，依次验证路由器的签名信息，即可验证各路由器宣告的路由路径的真实性。

如图1所示，在本实施例中，本发明一种标识即公钥的自表示安全路由授权方法，包括如下步骤：

S1.网络地址数字授权机构NANA(NetworkAddressandNumberAuthority)部署根密钥管理机构root-PKG，发布信任体系的公共安全参数，完成地址即公钥信任体系的初始化，启动信任根，公共安全参数包括构建基于身份密码机制实例时使用的具体参数和基于身份密码机制使用的具体算法；

S2.部署层级网络地址密钥管理机构，生成并分发网络运营机构所拥有网络地址的对应私钥，赋予网络地址自信任特性；

S3.部署层级网络标识密钥管理机构，生成并分发网络自治域管理机构NASA(NetworkAutonomousSystemAuthority)所部署路由器的路由资源标识对应私钥，赋予其路由资源标识自信任特性；

S4.地址拥有者为自治域AS签发地址授权书，授权其发布该地址可达信息，网络自治域管理机构NASA将授权书交予自治域部署的路由器，指派该路由宣告者代表源自治域AS宣告地址可达信息；

S5.路由宣告者发布路由更新，为包括下一跳对等路由器在内的路由路径签发路径认证书，并向对等路由器宣告携带路径认证书以及地址授权书的路由更新；

S6.路由宣告者接收路由更新，验证地址授权书，分别验证路由路径上各宣告者签发的路径认证书，确认对等路由器宣告路由更新的合法性。

在本实施例中，步骤S1、S2和S3为构建本发明所依赖的自信任网络地址体系和自信任路由标识体系，如图2所示。步骤S1网络地址数字授权机构NANA部署根密钥管理机构root-PKG，发布信任体系的公共安全参数，完成地址即公钥信任体系的初始化，启动信任根，公共安全参数包括构建基于身份密码机制实例时使用的具体参数和基于身份密码机制使用的具体算法。在本实施例中，基于身份密码机制使用的算法包括私钥生成算法，加密/解密算法，签名/验证算法等。

在本实施例中，步骤S2利用层次化密码体系为网络节点分配网络地址对应私钥，其详细步骤包括：

S2.1.区域子网络的网络区域注册机构NARA(NetworkAreaRegisterAuthority)向网络地址数字授权机构NANA申请地址对应私钥，网络地址数字授权机构NANA利用网络地址密钥管理协议为区域子网络分配网络地址对应私钥；

S2.2.自治域子网络的网络自治域管理机构NASA向自己的上一级网络区域注册机构NARA申请地址对应私钥，网络自治域管理机构NASA利用网络地址密钥管理协议为自治域子网络分配网络地址对应私钥；

S2.3.底层网络节点向自己的上一级网络自治域管理机构NASA申请地址对应私钥，网络自治域管理机构NASA利用网络地址密钥管理协议为网络节点分配网络地址对应私钥。

在本实施例中，步骤S3利用层次化密码体系为路由器分配路由资源标识对应私钥，其详细步骤包括：

S3.1.自治域子网络的网络自治域管理机构NASA向网络地址数字授权机构NANA申请自治域管理机构用于生成路由资源标识私钥的密钥生成构件，网络地址数字授权机构NANA利用网络地址密钥管理协议为自治域管理机构分配机构标识对应密钥生成构件，网络自治域管理机构NASA获取密钥生成构件，完成子密钥管理机构nasa-PKG的部署；

S3.2.网络自治域管理机构NASA的子密钥管理机构nasa-PKG利用网络地址密钥管理协议为其部署的路由器分配路由资源标识对应私钥。

在本实施例中，步骤S3的具体实现过程为：网络自治域管理机构NASA选择私密值作为子密钥管理机构nasa-PKG的层级密钥，通过网络自治域管理机构标识、层级密钥和私钥管理有效期向根密钥管理机构root-PKG申请密钥生成构件，密钥生成构件用于生成路由资源私钥；根密钥管理机构root-PKG验证网络自治域管理机构NASA的申请信息，并为通过验证的网络自治域管理机构NASA生成密钥生成构件，利用网络地址密钥管理协议将该密钥生成构件安全分发至网络自治域管理机构NASA；网络自治域管理机构NASA获得密钥生成构件，完成子密钥管理机构nasa-PKG的部署；子密钥管理机构nasa-PKG提取路由器的路由资源标识即公钥，根据信任根发布的公共安全参数，通过密钥生成构件为路由资源标识生成对应的路由资源私钥；网络自治域管理机构NASA的子密钥管理机构nasa-PKG利用网络地址密钥管理协议将路由资源私钥安全分发至路由器，完成路由资源私钥的分配。

至此，自信任网络地址体系和自信任路由标识体系已经构建完毕，在本实施例中，步骤S4、S5和S6为本发明使用自信任地址和自信任路由资源标识，运行自表示安全路由授权机制。

步骤S4的详细步骤包括：

S4.1.地址拥有者根据网络地址密钥管理协议，用具有特定有效期限T的地址IP对应私钥为自治域AS的标识ASN进行签名，得到Sig(T||IP，ASN)；

S4.2.地址拥有者生成地址授权书Auth＝{IP，T，ASN，Sig(T||IP，ASN)}，将其颁发给自治域AS的网络自治域管理机构NASA；

S4.3.网络自治域管理机构NASA将地址授权书Auth交付给部署于自治域AS所属的路由器，授权其代表自治域AS宣告地址IP可达。

步骤S5的详细步骤包括：

S5.1.路由宣告者提取选将下一跳对等路由器所在自治域加入路径属性AS_PATH字段中；

S5.2.路由宣告者使用有效期限为T的路由资源标识所对应私钥对路由路径AS_PATH进行签名，得到Sig(T||ASN||R_id，AS_PATH)，R_id为路由器标识；

S5.3.路由宣告者生成路径认证书Cert＝{R_id，T，Sig(T||ASN||R_id，AS_PATH)}，将其添加至路由更新的路径属性中；

S5.4.路由宣告者向对等路由器宣告路由更新，并同时向其提供地址授权书Auth。

步骤S6的详细步骤包括：

S6.1.路由宣告者提取地址授权书Auth所指示自信任地址的公钥；

S6.2.路由宣告者根据网络地址信任体系，使用信任体系发布的公共安全参数，验证地址授权书Auth的签名信息，判断源自治域AS宣告此地址可达的合法性，合法则跳转到S6.3，否则丢弃该地址授权书，不进行处理；

S6.3.路由宣告者根据路径属性AS_PATH的自治域信息，以及路径认证书Cert所指示的路由宣告者和有效期限T，提取出路由路径上所有路由宣告者的路由资源标识公钥；

S6.4.路由宣告者依次使用路由路径上对应路由器的路由资源标识公钥，验证路径认证书Cert的签名信息，判断各路由器宣告的路由路径的真实性，真实则接收该路径，否则丢弃。

如图3所示，在本实施例中其具体实施过程为：

(1)签发地址授权书Auth：地址拥有者根据网络地址信任体系，使用地址对应的私钥签发地址授权书Auth＝{IP，T，AS₁，Sig(T||IP，AS₁)}，授权自治域AS₁在有效期限T之内发布此地址可达信息；

网络自治域管理机构NASA₁依托路由器宣告地址可达，执行步骤(2)：

(2)将Auth交付路由器：网络自治域管理机构NASA₁将Auth交付部署于该自治域中的路由器R₁，利用R₁发布路由更新宣告地址授权书所列的地址可达；

路由器获得网络自治域管理机构NASA₁的授权发布源路由更新，执行步骤(3)、(4)、(5)：

(3)路由器签发路径谁书Cert：路由器R₁准备向自治域AS₂宣告地址可达信息，使用有效期限为T的路由资源标识对应私钥为路由路径{AS₂/AS₁}签发路径认证书Cert₁＝{R₁，T，Sig(T||AS₁||R₁，2/1)}，其中2/1提取自路由更新信息的AS_PATH属性中，代表自治域路径AS₂/AS₁；

(4)将Auth置入路由更新：路由器R₁将路径认证书Cert₁添加至路由更新的路径属性中；

(5)宣告路由更新，提供地址授权书：路由器R₁向对等路由器R₂宣告路由更新，并同时向其提供地址授权书Auth；

路由器接收来自对等路由器宣告的路由更新，进行合法性验证，执行步骤(6)、(7)、(8)：

(6)验证Cert，判断源路由的合法性：路由器R_i提取地址授权书Auth所指示自信任地址的公钥，根据网络地址信任体系，使用信任体系发布的公共安全参数，验证Auth的签名信息，判断自治域AS₁宣告此源路由的合法性；

(7)提取各路由宣告者的公钥：路由器R_i根据路径属性AS_PATH的自治域信息AS₁、……、AS_i-1，以及路径认证书所指示的路由宣告者R₁、……、R_i-1和有效期限T，提取出各路由宣告者的路由资源标识公钥，分别为T||AS1||R₁、……、T||AS_i-1||R_i-1；

(8)验证路径上的路径认证证书：路由器R_i使用R_x-1(1<x≤i)的公钥，验证路径认证书Cert_x-1＝{R_x-1，T，Sig(T||AS_x-1||R_x-1,x/…/1)}的签名信息，判断路由器R_x-1宣告的路由路径的真实性；

其中，由于自信任路由资源标识包含路由器所在自治域信息，若使用路由资源标识所代表公钥验证签名信息通过，则隐式证明了该路由器代表路径认证书所指示的自治域的合法性。因此结合步骤(6)和步骤(8)，可完成路由器R1宣告源地址路由的合法性认证。

路由器宣告来自对等路由器宣告的路由更新，提供有效的路径认证书，执行步骤(9)、(10)、(11)：

(9)提取路由路径：路由器Ri提取路径属性AS_PATH字段的自治域路径i/…/1，以及路径证书的有效期限T；

(10)签发路径认证书：路由器R_i根据网络标识信任体系，使用有效期限为T的路由资源标识对应私钥，对加入下一跳自治域AS_i+1的路由路径进行签名，得到路径认证书Cert_i＝{R_i，T，Sig(T||AS_i||…||AS₁||R₁，i+1/…/1)}；

(11)宣告路由更新和地址授权书：路由器R_i将路径认证书添加至路径属性中，向对等路由器R_i+1宣告路由更新，并同时向R_i+1提供来自路由器R₁的地址授权书Auth；

路由器签发路径认证书时，如果未获得有效期限为T的公钥，则需重新向网络自治域管理机构NASA申请，并由相应的密钥管理机构为其生成对应期限的路由资源标识公钥。

在本实施例中，本发明设计的地址授权书包括4个字段：IP地址、有效期限、自治域标识和签名信息，如图4所示，地址授权书长度为32字节。其中，各字段描述如下：

(1)IP地址字段(IP)，长度为128位，兼容IPv4和IPv6地址。如果该字段指示IPv4地址，则字段的首96位填0，后32位填充IPv4地址；否则，全字段填充IPv6地址。

(2)有效期限字段(ExpiringTime)，长度为16位，指示该地址授权书的有效期限。该字段表明被授权的AS在此有效期限内可以宣告地址授权书指示的地址；若超过此期限，则表明此地址被其拥有者收回。结合IP地址字段和有效期限字段，可提取自信任IP地址的公钥，该公钥可记为PuK_addr＝T||IP。

(3)自治域标识字段(ASN)，长度为32位，指示被授权宣告此地址可达的自治域。通常情况下，地址拥有者生成地址授权书后，直接将其颁发给此字段指示的自治域。

(4)签名信息字段(Signature)，长度为80位，用于验证地址授权书的真实性。该签名字段的签发者为地址拥有者，采用地址与有效期限结合提取的地址公钥所对应的私钥签发，签名的对象是自治域标识，签名算法及参数由网络地址信任体系提供，该签名可记为：Sig(T||IP,ASN)。

完整的地址授权书记为：Auth＝{IP，T，ASN，Sig(T||IP，ASN)}。

本发明设计的路径认证书包括3个字段：域内路由器标识、有效期限和签名信息，如图5所示，地址授权书长度为16字节。其中，各字段描述如下：

(1)域内路由器标识字段(RouterID)，长度为32位，唯一指定自治域内的一台路由器。结合该字段和路由器所属的自治域的标识，可提取全局唯一的路由资源标识。

(2)有效期限字段(ExpiringTime)，长度为16位，指示该路径认证书的有效期限。该字段表明在此有效期限内，路由宣告者宣告的路由路径是合法的；若超过此期限，则表明该路由宣告者不再具备宣告此路由路径的资格。结合域内路由器标识字段和有效期限字段，以及路由器所属的自治域的标识，可提取自信任路由资源标识的公钥，该公钥可记为PuK_rid＝T||ASN||R_id。

(3)签名信息字段(Signature)，长度为80位，用于验证路径认证书的真实性。该签名字段的签发者为作为路由宣告者的路由器，采用路由资源标识与有效期限结合提取的路由资源标识公钥所对应的私钥签发，签名的对象是包括下一跳自治域在内的路由路径，签名算法及参数由网络地址信任体系提供，该签名可记为：Sig(T||ASN||R_id，AS_PATH)。其中，AS_PATH的部分信息提取自路由器接收的路由更新信息的路由属性AS_PATH字段。

完整的路径认证书记为：Cert＝{R_id，T，Sig(T||ASN||R_id，AS_PATH)}。

上述只是本发明的较佳实施例，并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明。因此，凡是未脱离本发明技术方案的内容，依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均应落在本发明技术方案保护的范围内。

Claims (6)

1.一种基于标识即公钥的自表示安全路由授权方法，其特征在于包括以下步骤：

S1.网络地址数字授权机构NANA部署根密钥管理机构root-PKG，发布信任体系的公共安全参数，完成地址即公钥信任体系的初始化，启动信任根，所述公共安全参数包括构建基于身份密码机制实例时使用的具体参数和基于身份密码机制使用的具体算法；

S2.部署层级网络地址密钥管理机构，生成并分发网络运营机构所拥有网络地址的对应私钥，赋予网络地址自信任特性；

S3.部署层级网络标识密钥管理机构，生成并分发网络自治域管理机构NASA所部署路由器的路由资源标识对应私钥，赋予其路由资源标识自信任特性；

S4.地址拥有者为自治域AS签发地址授权书，授权其发布该地址可达信息，网络自治域管理机构NASA将授权书交予自治域部署的路由器，指派该路由宣告者代表源自治域AS宣告地址可达信息；

S5.路由宣告者发布路由更新，为包括下一跳对等路由器在内的路由路径签发路径认证书，并向对等路由器宣告携带路径认证书以及地址授权书的路由更新；

S6.路由宣告者接收路由更新，验证地址授权书，分别验证路由路径上各宣告者签发的路径认证书，确认对等路由器宣告路由更新的合法性。

2.根据权利要求1所述的基于标识即公钥的自表示安全路由授权方法，其特征在于所述步骤S2的详细步骤包括：

S2.1.区域子网络的网络区域注册机构NARA向网络地址数字授权机构NANA申请地址对应私钥，网络地址数字授权机构NANA利用网络地址密钥管理协议为区域子网络分配网络地址对应私钥；

S2.2.自治域子网络的网络自治域管理机构NASA向自己的上一级网络区域注册机构NARA申请地址对应私钥，网络自治域管理机构NASA利用网络地址密钥管理协议为自治域子网络分配网络地址对应私钥；

S2.3.底层网络节点向自己的上一级网络自治域管理机构NASA申请地址对应私钥，网络自治域管理机构NASA利用网络地址密钥管理协议为网络节点分配网络地址对应私钥。

3.根据权利要求2所述的基于标识即公钥的自表示安全路由授权方法，其特征在于所述步骤S3的详细步骤包括：

S3.1.自治域子网络的网络自治域管理机构NASA向网络地址数字授权机构NANA申请自治域管理机构用于生成路由资源标识私钥的密钥生成构件，网络地址数字授权机构NANA利用网络地址密钥管理协议为自治域管理机构分配机构标识对应密钥生成构件，网络自治域管理机构NASA获取密钥生成构件，完成子密钥管理机构nasa-PKG的部署；

S3.2.网络自治域管理机构NASA的子密钥管理机构nasa-PKG利用网络地址密钥管理协议为其部署的路由器分配路由资源标识对应私钥。

4.根据权利要求3所述的基于标识即公钥的自表示安全路由授权方法，其特征在于所述步骤S4的详细步骤包括：

S4.1.地址拥有者根据网络地址密钥管理协议，用具有特定有效期限T的地址IP对应私钥为自治域AS的标识ASN进行签名，得到Sig(T||IP，ASN)；

S4.2.地址拥有者生成地址授权书Auth＝{IP，T，ASN，Sig(T||IP，ASN)}，将其颁发给自治域AS的网络自治域管理机构NASA；

S4.3.网络自治域管理机构NASA将地址授权书Auth交付给部署于自治域AS所属的路由器，授权其代表自治域AS宣告地址IP可达。

5.根据权利要求4所述的基于标识即公钥的自表示安全路由授权方法，其特征在于所述步骤S5的详细步骤包括：

S5.1.路由宣告者提取选将下一跳对等路由器所在自治域加入路径属性AS_PATH字段中；

S5.2.路由宣告者使用有效期限为T的路由资源标识所对应私钥对路由路径AS_PATH进行签名，得到Sig(T||ASN||R_id，AS_PATH)，R_id为路由器标识；

S5.3.路由宣告者生成路径认证书Cert＝{R_id，T，Sig(T||ASN||R_id，AS_PATH)}，将其添加至路由更新的路径属性中；

S5.4.路由宣告者向对等路由器宣告路由更新，并同时向其提供地址授权书Auth。

6.根据权利要求5所述的基于标识即公钥的自表示安全路由授权方法，其特征在于所述步骤S6的详细步骤包括：

S6.1.路由宣告者提取地址授权书Auth所指示自信任地址的公钥；

S6.2.路由宣告者根据网络地址信任体系，使用信任体系发布的公共安全参数，验证地址授权书Auth的签名信息，判断源自治域AS宣告此地址可达的合法性，合法则跳转到S6.3，否则丢弃该地址授权书，不进行处理；

S6.3.路由宣告者根据路径属性AS_PATH的自治域信息，以及路径认证书Cert所指示的路由宣告者和有效期限T，提取出路由路径上所有路由宣告者的路由资源标识公钥；

S6.4.路由宣告者依次使用路由路径上对应路由器的路由资源标识公钥，验证路径认证书Cert的签名信息，判断各路由器宣告的路由路径的真实性，真实则接收该路径，否则丢弃。