CN105791244B - 用于控制域间路由变更的方法、边界路由器和系统 - Google Patents
用于控制域间路由变更的方法、边界路由器和系统 Download PDFInfo
- Publication number
- CN105791244B CN105791244B CN201410827965.8A CN201410827965A CN105791244B CN 105791244 B CN105791244 B CN 105791244B CN 201410827965 A CN201410827965 A CN 201410827965A CN 105791244 B CN105791244 B CN 105791244B
- Authority
- CN
- China
- Prior art keywords
- routing
- routing iinformation
- public key
- publisher
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种用于控制域间路由变更的方法、边界路由器和系统。其中在用于控制域间路由变更的方法中,边界路由器当接收到跨域发布的路由变更信息时,从路由变更信息中提取出路由信息、与路由信息相关联的路由信息签名、以及路由变更信息发布者所属AS的数字证书,利用与数字证书相关联的公钥对路由信息签名进行解密,若解密成功,则将路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。通过利用与数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证,从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁,实现对BGP域间路由的路由可信变更控制。
Description
技术领域
本发明涉及通信领域,特别涉及一种用于控制域间路由变更的方法、边界路由器和系统。
背景技术
目前,互联网的域间路由选择通过BGP(Border Gateway Protocol,边界网关协议)路由信息交换来完成。但是,BGP路由协议在设计之处,对域间路由的变更缺乏完善的安全设计,AS(Autonomous System,自治系统)边界路由器无条件信任BGP邻居发送的路由变更信息。此安全漏洞导致运营商面临路由劫持、伪造路由攻击等安全风险,严重威胁到互联网基础设施的日常运营。因此互联网域间路由变更的可信控制已成为全世界运营商共同的关注热点。
发明内容
本发明实施例提供一种用于控制域间路由变更的方法、边界路由器和系统。通过对跨域发布的路由信息进行安全验证,从而有效解决了因协议安全漏洞而存在的安全威胁,实现对BGP域间路由的路由可信变更控制。
根据本发明的一个方面,提供一种用于控制域间路由变更的方法,包括:
当接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书;
利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;
若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。
在一个实施方式中,若所述公钥能够对所述路由信息签名成功解密,还包括:
对所述路由信息进行HASH运算,以得到路由信息摘要H1;
判断H1与H2是否相同,其中H2为所述公钥对所述路由信息签名成功解密后得到的信息;
若H1与H2相同,则执行将所述路由信息作为路由候选条目添加到路由表数据库中的步骤。
在一个实施方式中,利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤包括:
判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥;
若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;
若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥,并利用获取的公钥对所述路由信息签名进行解密。
在一个实施方式中,若本地存储有与所述发布者所属AS的数字证书相关联的公钥,还包括:
判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的时间戳信息是否合法;
若所述时间戳信息合法,则执行利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤。
在一个实施方式中,若所述时间戳信息不合法,则执行从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥的步骤。
在一个实施方式中,在跨域发布路由信息时,对跨域发布的路由信息进行HASH运算,以得到路由信息摘要;
利用CA分配给当前域的私钥对路由信息摘要进行加密,以得到与所述跨域发布的路由信息相关联的路由信息签名;
跨域发布路由变更信息,其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。
根据本发明的另一方面,提供一种用于控制域间路由变更的边界路由器,包括接口单元、提取单元、身份验证单元和更新单元,其中:
接口单元,用于接收跨域发布的路由变更信息;
提取单元,用于当接口单元接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书;
身份验证单元,用于利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;
更新单元,用于根据身份验证单元的验证结果,若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。
在一个实施方式中,边界路由器还包括完整性验证单元,其中:
完整性验证单元,用于在身份验证单元指示所述公钥能够对所述路由信息签名成功解密时,对所述路由信息进行HASH运算,以得到路由信息摘要H1;判断H1与H2是否相同,其中H2为所述公钥对所述路由信息签名成功解密后得到的信息;若H1与H2相同,则指示更新单元执行将所述路由信息作为路由候选条目添加到路由表数据库中的操作。
在一个实施方式中,身份验证单元具体判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥;若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥,并利用获取的公钥对所述路由信息签名进行解密。
在一个实施方式中,身份验证单元还用于在本地存储有与所述发布者所属AS的数字证书相关联的公钥时,判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的时间戳信息是否合法;若所述时间戳信息合法,则执行利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的操作。
在一个实施方式中,身份验证单元还用于在所述时间戳信息不合法时,执行从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥的操作。
在一个实施方式中,边界路由器还包括信息签名单元,其中:
信息签名单元,用于在跨域发布路由信息时,对跨域发布的路由信息进行HASH运算,以得到路由信息摘要;利用CA分配给当前域的私钥对路由信息摘要进行加密,以得到与所述跨域发布的路由信息相关联的路由信息签名;
接口单元还用于跨域发布路由变更信息,其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。
根据本发明的另一方面,提供一种用于控制域间路由变更的系统,包括认证授权中心CA和至少一个自治系统AS,其中每个AS包括边界路由器,其中:
所述边界路由器为上述任一实施例涉及的边界路由器;
CA,用于向每个AS分配数字证书及相应的公钥和私钥。
本发明通过利用与路由信息发布者所属AS的数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证,从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁,实现对BGP域间路由的路由可信变更控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明用于控制域间路由变更的方法一个实施例的示意图。
图2为本发明用于控制域间路由变更的方法另一实施例的示意图。
图3为本发明用于公钥对路由信息签名进行解密一个实施例的示意图。
图4为本发明用于公钥对路由信息签名进行解密另一实施例的示意图。
图5为本发明边界路由器一个实施例的示意图。
图6为本发明边界路由器另一实施例的示意图。
图7为本发明用于控制域间路由变更的系统一个实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明用于控制域间路由变更的方法一个实施例的示意图。优选的,本实施例的方法步骤可由边界路由器执行。
步骤101,当接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书。
例如,每个AS的边界路由器在跨域发布路由前缀信息时,对路由前缀进行数字签名。相应的路由变更信息包括:
x.x.x.x/18…+路由信息签名+发布者AS的数字证书
其中x.x.x.x/18…为路由前缀信息的一个示例。
步骤102,利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密。
步骤103,若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。
通过上述处理,可对发布者进行身份验证。若公钥能够对路由信息签名成功解密,则可认为路由变更信息的发布者通过身份认证;否则,可认为路由变更信息的发布者为假冒,并不再进行后续操作。
基于本发明上述实施例提供的用于控制域间路由变更的方法,通过利用与路由信息发布者所属AS的数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证,从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁,实现对BGP域间路由的路由可信变更控制。
图2为本发明用于控制域间路由变更的方法另一实施例的示意图。优选的,本实施例的方法步骤可由边界路由器执行。
步骤201,当接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书。
步骤202,利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密。
步骤203,若所述公钥能够对所述路由信息签名成功解密,对所述路由信息进行HASH运算,以得到路由信息摘要H1。这里将公钥对所述路由信息签名成功解密后得到的信息作为H2。
步骤204,判断H1与H2是否相同。
步骤205,若H1与H2相同,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。
在该实施例中,在对发布者进行身份验证后,进一步进行完整性验证。由于发布者在生成路由信息签名时,首先对路由前缀信息进行HASH运算,以得到路由信息摘要,然后利用CA(Certificate Authority,认证授权中心)给该发布者所在AS发布的私钥,对路由信息摘要进行加密以得到路由信息签名。因此,在进行完整性验证时,首先利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密,以得到H2,然后对路由信息进行HASH运算以得到路由信息摘要H1。若H1与H2不一致,则表明路由变更信息在传输过程中遭到了篡改,此时便会认定完整性验证未通过,并不进行后续操作。若H1与H2一致,则表明路由变更信息在传输过程中未遭到了篡改,此时便会继续进行后续操作。
图3为本发明用于公钥对路由信息签名进行解密一个实施例的示意图。其中,上述利用与发布者所属AS的数字证书相关联的公钥对路由信息签名进行解密的步骤可包括:
步骤301,判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥。若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则执行步骤302;若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则执行步骤303。
步骤302,利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密。之后,不再执行本实施例的其它步骤。
若之前从CA查询过相应公钥,本地会有相应存储记录。在这种情况下可直接使用本地存储的公钥,可有效减少网络资源开销。
步骤303,从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥。
步骤304,利用获取的公钥对所述路由信息签名进行解密。
图4为本发明用于公钥对路由信息签名进行解密另一实施例的示意图。在该实施例中,为了确保系统安全,为存储在本地的公钥设置时间戳信息,公钥仅能在指定的时间范围内使用。
步骤401,判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥。若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则执行步骤402;若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则执行步骤404。
步骤402,判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的时间戳信息是否合法。若所述时间戳信息合法,则执行步骤403;若所述时间戳信息不合法,则执行步骤404。
这里,若时间戳信息表明该公钥的存储时间已超过预定时间范围,则可认定该公钥的时间戳信息非法,由此可提高系统的安全性。
步骤403,利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密。之后,不再执行本实施例的其它步骤。
步骤404,从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥。
步骤405,利用获取的公钥对所述路由信息签名进行解密。
在一个实施例中,边界路由器在跨域发布路由信息时,对跨域发布的路由信息进行HASH运算,以得到路由信息摘要。边界路由器利用CA分配给当前域的私钥对路由信息摘要进行加密,以得到与所述跨域发布的路由信息相关联的路由信息签名。边界路由器最终实现跨域发布路由变更信息,其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。
图5为本发明边界路由器一个实施例的示意图。如图5所示,边界路由器可包括接口单元501、提取单元502、身份验证单元503和更新单元504。其中:
接口单元501,用于接收跨域发布的路由变更信息。
提取单元502,用于当接口单元501接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书。
身份验证单元503,用于利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密。
更新单元504,用于根据身份验证单元503的验证结果,若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新。
基于本发明上述实施例提供的用于控制域间路由变更的边界路由器,通过利用与路由信息发布者所属AS的数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证,从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁,实现对BGP域间路由的路由可信变更控制。
图6为本发明边界路由器另一实施例的示意图。与图5所示实施例相比,在图6所示实施例中,边界路由器还可包括完整性验证单元601。其中:
完整性验证单元601,用于在身份验证单元503指示所述公钥能够对所述路由信息签名成功解密时,对所述路由信息进行HASH运算,以得到路由信息摘要H1;判断H1与H2是否相同,其中H2为所述公钥对所述路由信息签名成功解密后得到的信息;若H1与H2相同,则指示更新单元504执行将所述路由信息作为路由候选条目添加到路由表数据库中的操作。
也就是说,在该实施例中,除了对路由变更信息发布者进行身份验证以外,还会对路由变更信息的完整性进行验证。若验证通过,则表明所接收到的路由变更信息未被篡改;若验证未通过,则表明所接收到的路由变更信息已被篡改,从而进一步提高了系统安全性。
在一个实施例中,身份验证单元503在查询与所述发布者所属AS的数字证书相关联的公钥时,首先判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥。若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密。若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥,并利用获取的公钥对所述路由信息签名进行解密。
由于边界路由器会对之前获得的公钥信息进行存储记录,因此在查询相关公钥时,首先判断本地是否具有相应的公钥信息,若本地有相关的公钥信息,则无需再从CA获取,从而有效减少了网络资源开销。
优选的,为了确保系统安全性,可在存储公钥信息时为公钥设置相应的时间戳信息,用于标识公钥的存储时间。当需要使用该公钥时,判断该公钥的时间戳信息是否合法,即判断该公钥的存储时间是否在允许范围内。若所述时间戳信息合法,则利用该公钥对路由信息签名进行解密,否则重新从CA获取。
在一个实施例中,如图6所示,边界路由器还可包括信息签名单元602,用于对需要跨域发布的路由信息进行处理。其中:
信息签名单元602用于在跨域发布路由信息时,对跨域发布的路由信息进行HASH运算,以得到路由信息摘要;利用CA分配给当前域的私钥对路由信息摘要进行加密,以得到与所述跨域发布的路由信息相关联的路由信息签名。
接口单元501还用于跨域发布路由变更信息,其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。
从而,边界路由器即可接收跨域发布的路由更新信息,也可跨域发布路由更新信息。
图7为本发明用于控制域间路由变更的系统一个实施例的示意图。如图7所示,该系统可包括认证授权中心CA 701和至少一个自治系统AS,其中每个AS包括边界路由器702。其中:
边界路由器702为图5或图6中任一实施例涉及的边界路由器。
CA 701,用于向每个AS分配数字证书及相应的公钥和私钥。
基于本发明上述实施例提供的用于控制域间路由变更的系统,通过利用与路由信息发布者所属AS的数字证书相关联的密钥对跨域发布的路由信息签名进行安全验证,从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁,实现对BGP域间路由的路由可信变更控制。
其中,CA 701可登记各AS边界路由器的身份信息,并对每个AS分配数字身份证书、公钥和私钥。当边界路由器查询相关公钥时,向CA发送查询请求,其中查询请求中包括相关AS的数字证书。CA在接收到查询请求时,从查询请求中提取出数字证书,查询与提取出的数字证书相关联的公钥,并向发送查询请求的边界路由器发送查询请求响应,其中查询请求响应包括查询到的公钥。从而便于接收到查询请求相应的边界路由器利用接收到的公钥对相应的路由信息签名进行解密。
针对当前互联网域间路由变更控制保护的难题,本发明提出利用与路由信息发布者所属AS的数字证书相关联的密钥对跨域发布的路由信息进行安全验证,通过对路由变更信息发布者进行身份验证、以及对路由信息的完整行验证,从而有效解决了因协议安全漏洞而存在的路由劫持、伪造路由攻击等安全威胁,实现对BGP域间路由的路由可信变更控制。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (11)
1.一种用于控制域间路由变更的方法,其特征在于,包括:
当接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书;
利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;
若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新;
其中,若所述公钥能够对所述路由信息签名成功解密,还包括:
对所述路由信息进行HASH运算,以得到路由信息摘要H1;
判断H1与H2是否相同,其中H2为所述公钥对所述路由信息签名成功解密后得到的信息;
若H1与H2相同,则执行将所述路由信息作为路由候选条目添加到路由表数据库中的步骤。
2.根据权利要求1所述的方法,其特征在于,
利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤包括:
判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥;
若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;
若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥,并利用获取的公钥对所述路由信息签名进行解密。
3.根据权利要求2所述的方法,其特征在于,
若本地存储有与所述发布者所属AS的数字证书相关联的公钥,还包括:
判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的时间戳信息是否合法;
若所述时间戳信息合法,则执行利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的步骤。
4.根据权利要求3所述的方法,其特征在于,
若所述时间戳信息不合法,则执行从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥的步骤。
5.根据权利要求1所述的方法,其特征在于,还包括:
在跨域发布路由信息时,对跨域发布的路由信息进行HASH运算,以得到路由信息摘要;
利用CA分配给当前域的私钥对路由信息摘要进行加密,以得到与所述跨域发布的路由信息相关联的路由信息签名;
跨域发布路由变更信息,其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。
6.一种用于控制域间路由变更的边界路由器,其特征在于,包括接口单元、提取单元、身份验证单元、更新单元和完整性验证单元,其中:
接口单元,用于接收跨域发布的路由变更信息;
提取单元,用于当接口单元接收到跨域发布的路由变更信息时,从所述路由变更信息中提取出路由信息、与所述路由信息相关联的路由信息签名、以及所述路由变更信息发布者所属自治系统AS的数字证书;
身份验证单元,用于利用与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;
更新单元,用于根据身份验证单元的验证结果,若所述公钥能够对所述路由信息签名成功解密,则将所述路由信息作为路由候选条目添加到路由表数据库中,从而实现路由表更新;
完整性验证单元,用于在身份验证单元指示所述公钥能够对所述路由信息签名成功解密时,对所述路由信息进行HASH运算,以得到路由信息摘要H1;判断H1与H2是否相同,其中H2为所述公钥对所述路由信息签名成功解密后得到的信息;若H1与H2相同,则指示更新单元执行将所述路由信息作为路由候选条目添加到路由表数据库中的操作。
7.根据权利要求6所述的边界路由器,其特征在于,
身份验证单元具体判断本地是否存储有与所述发布者所属AS的数字证书相关联的公钥;若本地存储有与所述发布者所属AS的数字证书相关联的公钥,则利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密;若本地未存储与所述发布者所属AS的数字证书相关联的公钥,则从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥,并利用获取的公钥对所述路由信息签名进行解密。
8.根据权利要求7所述的边界路由器,其特征在于,
身份验证单元还用于在本地存储有与所述发布者所属AS的数字证书相关联的公钥时,判断本地存储的与所述发布者所属AS的数字证书相关联的公钥的时间戳信息是否合法;若所述时间戳信息合法,则执行利用本地存储的与所述发布者所属AS的数字证书相关联的公钥对所述路由信息签名进行解密的操作。
9.根据权利要求8所述的边界路由器,其特征在于,
身份验证单元还用于在所述时间戳信息不合法时,执行从认证授权中心CA获取与所述发布者所属AS的数字证书相关联的公钥的操作。
10.根据权利要求6所述的边界路由器,其特征在于,还包括信息签名单元,其中:
信息签名单元,用于在跨域发布路由信息时,对跨域发布的路由信息进行HASH运算,以得到路由信息摘要;利用CA分配给当前域的私钥对路由信息摘要进行加密,以得到与所述跨域发布的路由信息相关联的路由信息签名;
接口单元还用于跨域发布路由变更信息,其中路由变更信息包括所述跨域发布的路由信息、与所述跨域发布的路由信息相关联的路由信息签名、以及CA分配给当前域的数字证书。
11.一种用于控制域间路由变更的系统,其特征在于,包括认证授权中心CA和至少一个自治系统AS,其中每个AS包括如权利要求6-10中任一项所述的边界路由器,其中:
CA,用于向每个AS分配数字证书及相应的公钥和私钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410827965.8A CN105791244B (zh) | 2014-12-26 | 2014-12-26 | 用于控制域间路由变更的方法、边界路由器和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410827965.8A CN105791244B (zh) | 2014-12-26 | 2014-12-26 | 用于控制域间路由变更的方法、边界路由器和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105791244A CN105791244A (zh) | 2016-07-20 |
| CN105791244B true CN105791244B (zh) | 2019-02-12 |
Family
ID=56389456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410827965.8A Active CN105791244B (zh) | 2014-12-26 | 2014-12-26 | 用于控制域间路由变更的方法、边界路由器和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791244B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454069B (zh) * | 2017-07-21 | 2020-04-21 | 河南工程学院 | 基于as安全联盟的域间路由系统拟态防护方法 |
| CN108282337B (zh) * | 2017-12-04 | 2021-04-13 | 中国电子科技集团公司第三十研究所 | 一种基于可信密码卡的路由协议加固方法 |
| CN110035036B (zh) * | 2018-01-12 | 2021-01-15 | 中国移动通信有限公司研究院 | 数据传输方法、装置、网络设备及存储介质 |
| CN111314285B (zh) * | 2019-12-18 | 2021-04-06 | 北京邮电大学 | 一种路由前缀攻击检测方法及装置 |
| CN113765803B (zh) * | 2021-08-05 | 2023-10-24 | 新华三大数据技术有限公司 | 一种路由发布方法及装置、网络设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005012620A (ja) * | 2003-06-20 | 2005-01-13 | Fujitsu Ltd | ネットワークシステム及びアドレス作成方法 |
| CN101047565A (zh) * | 2006-04-24 | 2007-10-03 | 华为技术有限公司 | 检测边界网关协议节点运行信息一致性的系统及其方法 |
| CN101588240A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 一种报文处理方法 |
| CN101662393A (zh) * | 2009-07-24 | 2010-03-03 | 中国科学院计算技术研究所 | 域间前缀劫持检测与定位方法 |
| CN102148832A (zh) * | 2011-04-07 | 2011-08-10 | 清华大学 | 高效的边界网关路由协议路径鉴定方法 |
| CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
| CN102315988A (zh) * | 2011-09-15 | 2012-01-11 | 清华大学 | 高效的域间路由协议前缀劫持检测方法 |
-
2014
- 2014-12-26 CN CN201410827965.8A patent/CN105791244B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005012620A (ja) * | 2003-06-20 | 2005-01-13 | Fujitsu Ltd | ネットワークシステム及びアドレス作成方法 |
| CN101047565A (zh) * | 2006-04-24 | 2007-10-03 | 华为技术有限公司 | 检测边界网关协议节点运行信息一致性的系统及其方法 |
| CN101588240A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 一种报文处理方法 |
| CN101662393A (zh) * | 2009-07-24 | 2010-03-03 | 中国科学院计算技术研究所 | 域间前缀劫持检测与定位方法 |
| CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
| CN102148832A (zh) * | 2011-04-07 | 2011-08-10 | 清华大学 | 高效的边界网关路由协议路径鉴定方法 |
| CN102315988A (zh) * | 2011-09-15 | 2012-01-11 | 清华大学 | 高效的域间路由协议前缀劫持检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105791244A (zh) | 2016-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309565B (zh) | 一种安全认证的方法及装置 | |
| CN107742212B (zh) | 基于区块链的资产验证方法、装置及系统 | |
| CN104980477B (zh) | 云存储环境下的数据访问控制方法和系统 | |
| CN105791244B (zh) | 用于控制域间路由变更的方法、边界路由器和系统 | |
| CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
| CN105933315B (zh) | 一种网络服务安全通信方法、装置和系统 | |
| EP3496328A1 (en) | Communication system, communication client, communication server, communication method, and program | |
| CN109003083A (zh) | 一种基于区块链的ca认证方法、装置及电子设备 | |
| CN105591737A (zh) | 一种数据加密方法、解密方法、传输方法及系统 | |
| CN110492990A (zh) | 区块链场景下的私钥管理方法、装置及系统 | |
| CN106060078B (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
| CN105490997B (zh) | 安全校验方法、装置、终端及服务器 | |
| CN107871081A (zh) | 一种计算机信息安全系统 | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN109040079A (zh) | 直播链接地址的组建和验证方法及相应装置 | |
| CN116232593B (zh) | 多密码模组敏感数据分类分级与保护方法、设备及系统 | |
| CN108449756A (zh) | 一种网络密钥更新的系统、方法及装置 | |
| EP3499794A1 (en) | Ssl communication system, client, server, ssl communication method, and computer program | |
| CN110113355A (zh) | 物联网云端的接入方法及装置 | |
| CN109194651A (zh) | 一种身份认证方法、装置、设备及存储介质 | |
| CN110493225A (zh) | 一种请求传输方法、装置、设备及可读存储介质 | |
| CN104618307B (zh) | 基于可信计算平台的网银交易认证系统 | |
| KR101792220B1 (ko) | 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램 | |
| CN108449322A (zh) | 身份注册、认证方法、系统及相关设备 | |
| CN105071941B (zh) | 分布式系统节点身份认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |