CN110061919B - 一种bgp路由邻居建立和维护方法及设备 - Google Patents
一种bgp路由邻居建立和维护方法及设备 Download PDFInfo
- Publication number
- CN110061919B CN110061919B CN201910323120.8A CN201910323120A CN110061919B CN 110061919 B CN110061919 B CN 110061919B CN 201910323120 A CN201910323120 A CN 201910323120A CN 110061919 B CN110061919 B CN 110061919B
- Authority
- CN
- China
- Prior art keywords
- bgp speaker
- bgp
- opposite
- speaker
- local
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种BGP路由邻居建立和维护方法及设备,不需要修改BGP路由原有的协议,不需要部署复杂的密钥管理设施,基于对端BGP发言人发送信息完整度,通过惩罚模型对BGP路由邻居进行维护,如果在对端BGP发言人发送不完整信息时,根据惩罚模型对对端BGP发言人进行惩罚;惩罚期结束后,如果对端BGP发言人发送完整信息时,则本端BGP发言人和对端BGP发言人重新建立邻居关系进行正常交互,同时根据惩罚模型更新对端BGP发言人的节点信任度p,能够提高BGP路由的安全性。进一步的,本端BGP发言人可以根据自身安全需求自主设置惩罚因子k的大小,从而提升安全等级。
Description
技术领域
本发明属于通信技术领域,更具体地,涉及一种BGP路由邻居建立和维护方法及设备。
背景技术
边界网关协议BGP(Border Gateway Protocol,简写为BGP)是连接互联网络中各个自治系统AS(Autonomous Systems,简写为AS)的域间路由选择协议,用于交换各个AS之间的路由信息。每一个BGP路由器都包含3张表:邻居关系表、转发表和路由表。BGP的主要作用是将互联网中所有的AS连接在一起,随着互联网的快速增长以及网络规模的不断扩大,BGP协议所处理的信息也愈来愈复杂。
每个AS被分配一个唯一的编号作为AS编号,AS只能管理各自内部的路由选择,BGP将各个AS连接到网络中,在使用BGP协议时,每个AS都需要选择一个或多个路由节点作为该AS的BGP发言人,一般情况下,如图1所示,AS会选择边界路由作为BGP发言人。
每个AS的BGP发言人与周围AS的BGP发言人建立邻居关系时,通过有限状态机FSM(Finite State Machine,简写为FSM)来显示它自身的状态,BGP有限状态机共包括6种状态,如图2所示,包括:空闲状态Idle、准备连接状态Connect、激活状态Active、信息发送状态Open Sent、信息确认状态Open Confirm和连接建立状态Established。
随着网络的发展,网络环境变得越来越复杂,越来越多的恶意路由加入到网络中,发起了各种各样的网络攻击,BGP系统的不安全之处也逐渐显示出来,BGP安全漏洞主要体现在如下三个方面:
(1)在BGP发言人与邻居AS的BGP发言人进行通信时,无法保证更新消息的完整性、以及邻居AS的BGP发言人身份的真实性;
(2)在BGP系统中,当某个AS宣告时,没有一个有效的办法来证明Update消息中NLRI字段中内容是否为真实消息;
(3)在BGP系统中,当某个AS宣告时,没有一个有效的办法来证明Update消息中AS_PATH属性是否为真实消息。
针对以上三种BGP系统漏洞,产生的攻击主要有三种:BGP会话攻击、BGP前缀劫持攻击以及BGP路由篡改攻击。因此,解决BGP的安全问题迫在眉睫。
现有的一种解决BGP安全问题的方案是,建立基于公钥基础设施PKI(Public KeyInfrastructure,简写为PKI)的认证体系对BGP进行安全改进,这种方案需要部署复杂的密钥管理设施。
现有的另一种解决BGP安全问题的方案是,对BGP基于网络信任模型进行了安全扩展,但是由于其需要修改甚至替换现有的BGP,所以部署起来相对困难,同时它计算开销巨大,需要大量存储空间,实现代价巨大,严重影响了运营商的利益,因此没有被广泛接受。
鉴于此,克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。
发明内容
针对现有技术的以上缺陷或改进需求,本发明所要解决的技术问题是,解决现有的BGP安全方案需要修改BGP路由原有协议或需要部署复杂的密钥管理设施的问题。
为实现上述目的,按照本发明的一个方面,提供了一种BGP路由邻居建立和维护方法,包括:
初次建立本端BGP发言人和对端BGP发言人之间的邻居关系;
如果所述对端BGP发言人发送不完整信息时,所述本端BGP发言人根据惩罚模型对所述对端BGP发言人进行指定惩罚期惩罚,以停止与所述对端BGP发言人合作;
如果所述对端BGP发言人在指定惩罚期惩罚结束后发送完整信息时,则所述本端BGP发言人和所述对端BGP发言人之间重新建立邻居关系。
优选的,所述不完整信息为:保留有私人信息的不完全信息、恶意信息或错误信息;所述完整信息为:所述对端BGP发言人包含的全部信息。
优选的,所述惩罚期根据节点信任度p和惩罚因子k来设定;
所述惩罚期与节点信任度p和惩罚因子k的对应关系为:
其中,T为惩罚期的轮数;f(p)为惩罚期转换函数;p为节点信任度,节点信任度p为所述本端BGP发言人对所述对端BGP发言人的信任程度;k为惩罚因子,惩罚因子k为所述本端BGP发言人根据自身所需安全程度来设定,所述本端BGP发言人所需安全程度越高,惩罚因子k越大,所述本端BGP发言人所需安全程度越低,惩罚因子k越小。
优选的,在所述初次建立本端BGP发言人和对端BGP发言人之间的邻居关系之前,还包括:
查询所述节点信任度p是否在预设阈值范围内;
如果所述节点信任度p在预设阈值范围内,则初次建立所述本端BGP发言人和所述对端BGP发言人之间的邻居关系。
优选的,如果所述对端BGP发言人在所述惩罚期内接受惩罚,则所述惩罚期逐一递减,直到所述惩罚期结束。
优选的,如果所述对端BGP发言人在所述惩罚期内不接受惩罚,则重新计算所述惩罚期,依据重新计算的惩罚期再次对所述对端BGP发言人进行惩罚。
优选的,如果所述对端BGP发言人不在所述惩罚期内,则在所述本端BGP发言人和所述对端BGP发言人每交互一次后,更新对所述对端BGP发言人的所述节点信任度p。
优选的,在所述初次建立本端BGP发言人和对端BGP发言人之间的邻居关系之前,还包括:
初始化BGP;
所述初始化BGP具体包括:
获取所述对端BGP发言人所属的AS编号;
设定所述惩罚因子k。
优选的,所述初次建立本端BGP发言人和对端BGP发言人之间的邻居关系,具体包括:
处于空闲状态的所述本端BGP发言人向所述对端BGP发言人发送TCP请求,TCP连接成功后,所述本端BGP发言人向所述对端BGP发言人传输一个Open信息,所述本端BGP发言人的状态变为信息发送状态;
处于信息发送状态的所述本端BGP发言人等候所述对端BGP发言人传输来的Open信息;
所述本端BGP发言人收到所述对端BGP发言人传送的Open信息后,若检查显示接收的Open信息是正确的,所述本端BGP发言人给所述对端BGP发言人传输Keepalive信息,所述本端BGP发言人状态变为信息确认状态;
所述本端BGP发言人接收到所述对端BGP发言人传输的Keepalive信息,所述本端BGP发言人的状态变为连接建立状态,所述本端BGP发言人和所述对端BGP发言人之间的邻居关系建立完成。
本发明的另一个方面,提供了一种BGP路由邻居建立和维护设备,应用于本端BGP发言人,包括:
BGP邻居初次建立单元,用于初次建立本端BGP发言人和对端BGP发言人之间的邻居关系;
惩罚单元,用于如果所述对端BGP发言人发送不完整信息时,所述本端BGP发言人根据惩罚模型对所述对端BGP发言人进行指定惩罚期惩罚,以停止与所述对端BGP发言人合作;
BGP邻居重新建立单元,用于如果所述对端BGP发言人在指定惩罚期惩罚结束后发送完整信息时,则所述本端BGP发言人和所述对端BGP发言人之间重新建立邻居关系。
本发明提供了一种BGP路由邻居建立和维护方法及设备,所述BGP路由邻居建立方法包括:初次建立本端BGP发言人和对端BGP发言人之间的邻居关系;如果所述对端BGP发言人发送不完整信息时,所述本端BGP发言人根据惩罚模型对所述对端BGP发言人进行指定惩罚期惩罚,以停止与所述对端BGP发言人合作;如果所述对端BGP发言人在指定惩罚期惩罚结束后发送完整信息时,则所述本端BGP发言人和所述对端BGP发言人之间重新建立邻居关系。本发明的BGP邻居建立和维护方法不需要修改BGP路由原有的协议,不需要部署复杂的密钥管理设施,基于对端BGP发言人发送信息完整度并依据惩罚模型来调整与对端BGP发言人的BGP路由邻居建立策略,能够提高BGP路由的安全性。
进一步的,本端BGP发言人可以根据自身安全需求自主设置惩罚因子k的大小,从而提升安全等级。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的自治系统AS和BGP发言人的关系示意图;
图2是本发明实施例提供的有限状态机FSM的状态示意图;
图3是本发明实施例提供三个自治系统AS的关系示意图;
图4是本发明实施例提供的BGP路由邻居建立和维护方法的流程示意图;
图5是本发明实施例提供的惩罚模型的流程示意图;
图6是本发明实施例提供的初次建立本端BGP发言人和对端BGP发言人之间的邻居关系的流程示意图;
图7是本发明实施例提供的BGP路由邻居建立和维护设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明的描述中,术语“内”、“外”、“纵向”、“横向”、“上”、“下”、“顶”、“底”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明而不是要求本发明必须以特定的方位构造和操作,因此不应当理解为对本发明的限制。
此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图3所示,在自治系统AS10、自治系统AS20和自治系统AS30中均存在普通路由节点、BGP发言人和协同监测节点,例如,自治系统AS10存在普通路由节点11、BGP发言人12和协同监测节点13,自治系统AS20中存在普通路由节点21、BGP发言人22和协同监测节点23,自治系统AS30中存在普通路由节点31、BGP发言人32和协同监测节点33。各BGP发言人之间能够建立邻居关系;协同监测节点具备监测能力,能够监测普通路由节点的路由信息,普通路由节点可以向协同监测节点请求其它路由节点的路由信息,也可以向协同监测节点发送自身路由信息。
协同监测节点13、协同监测节点23和协同监测节点33配合协同监测中心,来保证BGP中路由信息的准确性和BGP网络的系统稳定性。在BGP网络中,协同监测中心主要负责存储和计算各路由节点的节点信任度p,以及判断各路由节点的行为是否正常,路由节点的行为正常是指路由节点发送完整信息,路由节点的行为不正常是指路由节点发送不完整信息,如果不正常,则计算惩罚期并将不完整信息和惩罚期告知与之交互的BGP发言人。
实施例1:
如图4所示,本发明实施例一提供了一种BGP路由邻居建立和维护方法,所述方法包括以下步骤:
步骤S100:初次建立本端BGP发言人和对端BGP发言人之间的邻居关系。
在本端BGP发言人和对端BGP发言人之间的邻居关系初次建立后,本端BGP发言人和对端BGP发言人之间可以进行路由信息的交互。其中,本端BGP发言人是立足于本端自治系统AS的,对端BGP发言人是立足于对端自治系统AS的,本端自治系统AS和对端自治系统AS之间通过本端BGP发言人和对端BGP发言人进行信息交互。例如,如图3所示,自治系统AS10和自治系统AS20进行信息交互时,以BGP发言人13作为本端BGP发言人,以BGP发言人23作为对端BGP发言人。
在初次建立本端BGP发言人和对端BGP发言人之间的邻居关系之前,还需要对BGP网络进行初始化,初始化BGP需要获取对端BGP发言人所属的AS编号和设定惩罚因子k。其中,惩罚因子k为本端BGP发言人根据自身所需安全程度来设定,例如,所述本端BGP发言人所需安全程度越高,惩罚因子k越大,所述本端BGP发言人所需安全程度越低,惩罚因子k越小。初始化BGP还需要将本端BGP发言人设置为空闲状态,发送TCP请求连接到其它AS并监听是否有来自对端BGP发言人的邻居建立请求。
在初次建立本端BGP发言人和对端BGP发言人之间的邻居关系之前,如果收到来自对端BGP发言人的邻居建立请求,需要向协同监测中心请求查询该对端BGP发言人的节点信任值p是否在预设阈值P范围内,如果所述节点信任度p在预设阈值P范围内,例如0≤P≤1,则初次建立所述本端BGP发言人和所述对端BGP发言人之间的邻居关系。
例如,向协同监测中心请求查询该对端BGP发言人的节点信任值p,如果查询不到该对端BGP发言人的节点信任值p,则认为该节点信任值p=0,在预设阈值P范围内,建立本端BGP发言人和对端BGP发言人的邻居关系;如果查询到该对端BGP发言人的节点信任值p,且节点信任值p∈(0,1]在预设阈值P范围内,则建立本端BGP发言人和对端BGP发言人的邻居关系。
如果查询到对端BGP发言人的节点信任值p不在预设阈值P范围内,则根据惩罚模型对该对端BGP发言人进行惩罚,直至惩罚期结束。
BGP路由邻居建立方法的具体内容参阅后续实施例三。
步骤S200:如果所述对端BGP发言人发送不完整信息时,所述本端BGP发言人根据惩罚模型对所述对端BGP发言人进行指定惩罚期惩罚,以停止与所述对端BGP发言人合作。
本端BGP发言人和对端BGP发言人之间建立好邻居关系之后,本端BGP发言人和对端BGP发言人之间可以进行路由信息的交换,并各自将获得到的路由信息发送给各自所在自治系统AS的协同监测节点,例如,本端BGP发言人将得到的路由信息发送给本端自治系统AS的协同监测节点,对端BGP发言人将得到的路由信息发送给对端自治系统AS的协同监测节点。各自协同监测节点分别向协同监测中心请求服务,各自协同监测节点将得到的路由信息与协同监测中心处的路由信息进行对比,由协同监测中心判断该消息的消息类型,消息类型包括完整信息或不完整信息。
完整信息为对端BGP发言人包含的全部信息,即协同监测节点监测到的路由信息和协同监测中心处的路由信息是一致的;不完整信息是指协同监测节点监测到的路由信息和协同监测中心处的路由信息时不一致的,例如,不完整信息为保留有私人信息的不完全信息、恶意信息或错误信息。
当对端BGP发言人发送不完整信息,被协同监测中心发现时,协同监测中心根据惩罚模型设定对对端BGP发言人的指定惩罚期,在对端BGP发言人处于指定惩罚期内,协同监测中心将发送不完整信息的对端BGP发言人列入黑名单,对端BGP发言人在惩罚期内无法享受协同监测中心的服务;同时,协同监测中心将不完整信息反馈给本端的协同监测节点,本端的协同监测节点通知本端BGP发言人对对端BGP发言人进行指定惩罚期惩罚,停止与对端BGP发言人合作,本端BGP发言人将自身状态变为空闲状态。
惩罚期根据节点信任度p和惩罚因子k来设定,其中,节点信任度p为所述本端BGP发言人对所述对端BGP发言人的信任程度;惩罚因子k为所述本端BGP发言人根据自身所需安全程度来设定。
所述惩罚期与节点信任度p和惩罚因子k的对应关系为:
其中,T为惩罚期的轮数;f(p)为惩罚期转换函数;p为节点信任度;k为惩罚因子,所述本端BGP发言人所需安全程度越高,惩罚因子k越大,所述本端BGP发言人所需安全程度越低,惩罚因子k越小。
需要说明的是,惩罚因子k越大,相对应的惩罚期的轮数也越大;反之,惩罚因子k越小,相对应的惩罚期的轮数也越小。
如果所述对端BGP发言人在惩罚期内接受惩罚,则惩罚期逐一递减,直到惩罚期结束。例如,本端BGP发言人和对端BGP发言人交互到t轮时,协同监测中心发现对端BGP发言人发送的是不完整信息时,协同监测中心计算对端BGP发言人的惩罚期为T轮,在T轮惩罚期内,当本端BGP发言人收到对端BGP发言人发来的Start Event消息时,本端BGP发言人将采取不合作,并更新惩罚期,惩罚期逐一递减,直至惩罚期结束。
如果所述对端BGP发言人在T轮惩罚期内不接受惩罚,则更新对端BGP发言人的节点信任度p,此时更新后的节点信任度p是减小的,重新计算惩罚期,依据重新计算的惩罚期再次对所述对端BGP发言人进行惩罚。
如果所述对端BGP发言人不在惩罚期内,则在所述本端BGP发言人和所述对端BGP发言人每一次交互后,更新对所述对端BGP发言人的所述节点信任度p,此时更新后的节点信任度p是增大的。
步骤S300:如果所述对端BGP发言人在指定惩罚结束后发送完整信息,则所述本端BGP发言人和对端BGP发言人之间重新建立邻居关系。
在指定惩罚期惩罚结束后,本端BGP发言人收到对端BGP发言人发来的StartEvent消息时,本端BGP发言人考虑和对端BGP发言人进行合作,准备尝试与对端BGP发言人重新建立邻居关系。
本端BGP发言人和对端BGP发言人之间新的邻居关系建立好后,本端BGP发言人和对端BGP发言人之间可以互相交换信息,同时将自身获得的路由信息传送给各自所在自治系统的协同监测节点,协同监测节点继续对各自自治系统AS的路由信息进行监测。若有路由节点再发送不完整信息,则按照上述步骤S100至步骤S300,再次重新建立本端BGP发言人和对端BGP发言人的邻居关系。
本发明实施例一提供的BGP路由邻居建立和维护方法,不需要修改BGP路由原有的协议,不需要部署复杂的密钥管理设施,基于对端BGP发言人发送信息完整度,通过惩罚模型对BGP路由邻居进行维护,如果在对端BGP发言人发送不完整信息时,根据惩罚模型对对端BGP发言人进行惩罚;惩罚期结束后,如果对端BGP发言人发送完整信息时,则本端BGP发言人和对端BGP发言人重新建立邻居关系进行正常交互,同时根据惩罚模型更新对端BGP发言人的节点信任度p,能够提高BGP路由的安全性。
进一步的,本端BGP发言人可以根据自身安全需求自主设置惩罚因子k的大小,从而提升安全等级。
实施例2:
本发明实施例提供的BGP路由邻居建立和维护方法,路由邻居关系建立好后,是通过惩罚模型对该路由邻居进行维护的,参阅图5,对惩罚模型的工作过程进行详细说明,具体步骤如下:
步骤S410:获取对端AS的编号。
步骤S420:判断对端BGP发言人是否在惩罚期内。
如果对端BGP发言人不在惩罚期内,则进入步骤S430或步骤S440。
如果对端BGP发言人是在惩罚期内,则进入步骤S450或步骤S460。
步骤S430:如果对端BGP发言人合作,则更新对对端BGP发言人的节点信任度p。
对端BGP发言人合作是指,对端BGP发言人发送完整信息给本端BGP发言人,协同监测中心更新对对端BGP发言人的节点信任度p,此时更新后的节点信任度p是增大的。
步骤S440:如果对端BGP发言人不合作,则计算惩罚期并开始惩罚。
对端BGP发言人不合作是指,对端BGP发言人发送不完整信息给本端BGP发言人,协同监测中心计算对对端BGP发言人的惩罚期,并将不完整信息和惩罚期告知本端BGP发言人,本端BGP发言人在惩罚期内对对端BGP发言人进行惩罚,同时进入步骤S450或步骤S460。
步骤S450:对端BGP发言人接受惩罚,则惩罚期逐一递减。
如果对端BGP发言人在惩罚期内接受惩罚,则惩罚期的轮数逐一递减,直至惩罚期结束。
步骤S460:对端BGP发言人不接受惩罚,则重新计算惩罚期并开始惩罚。
如果对端BGP发言人在惩罚期内不接受惩罚,则更新对对端BGP发言人的节点信任度p,此时更新后的节点信任度p是减小的,重新计算惩罚期,依据重新计算的惩罚期再次对对端BGP发言人进行惩罚。
本发明实施例提供的BGP路由邻居建立和维护方法中,通过惩罚模型对BGP路由邻居进行维护,对端BGP发言人在与本端BGP发言人进行路由信息交互时,如果在对端BGP发言人发送不完整信息时,根据惩罚模型对对端BGP发言人进行惩罚;如果对端BGP发言人发送完整信息时,则本端BGP发言人和对端BGP发言人进行正常交互,同时根据惩罚模型更新对端BGP发言人的节点信任度p。
如果对端BGP发言人发送不完整信息的次数越多,或在惩罚期内不接受惩罚,更新后的该对端BGP发言人的节点信任度p越低,则本端BGP发言人对对端BGP发言人施加的惩罚期轮数越多、周期越长,该对端BGP发言人所能获取的路由信息交互次数就越少,为了使自身获取更多的路由信息交互,对端BGP发言人就需要提升节点信任度p,因此需要向本端BGP发言人发送完整信息,以实现BGP路由邻居的维护,提高BGP路由的安全性。
实施例3:
参阅图6,本发明实施例提供的本端BGP发言人和对端BGP发言人之间的邻居关系建立方法,具体步骤如下:
步骤S101:处于空闲状态的所述本端BGP发言人向所述对端BGP发言人发送TCP请求,TCP连接成功后,所述本端BGP发言人向所述对端BGP发言人传输一个Open信息,所述本端BGP发言人的状态变为信息发送状态。
步骤S102:处于信息发送状态的所述本端BGP发言人等候所述对端BGP发言人传输来的Open信息
步骤S103:所述本端BGP发言人收到所述对端BGP发言人传送的Open信息后,若检查显示接收的Open信息是正确的,所述本端BGP发言人给所述对端BGP发言人传输Keepalive信息,所述本端BGP发言人状态变为信息确认状态
步骤S104:所述本端BGP发言人接收到所述对端BGP发言人传输的Keepalive信息,所述本端BGP发言人的状态变为连接建立状态,所述本端BGP发言人和所述对端BGP发言人之间的邻居关系建立完成。
当本端BGP发言人的状态变为连接建立状态时,本端BGP发言人和对端BGP发言人的邻居关系建立完成,本端BGP发言人和对端BGP发言人之间可以进行Update、Keepalive、Notification等消息的传输。
实施例4:
如图7所示,本发明实施例提供了一种BGP路由邻居建立和维护设备,应用于本端BGP发言人,所述设备包括:
BGP邻居初次建立单元501,用于初次建立本端BGP发言人和对端BGP发言人之间的邻居关系;
惩罚单元502,用于如果所述对端BGP发言人发送不完整信息时,所述本端BGP发言人根据惩罚模型对所述对端BGP发言人进行指定惩罚期惩罚,以停止与所述对端BGP发言人合作;
BGP邻居重新建立单元503,用于如果所述对端BGP发言人在指定惩罚期惩罚结束后发送完整信息时,则所述本端BGP发言人和所述对端BGP发言人之间重新建立邻居关系。
进一步的,所述不完整信息为:保留有私人信息的不完全信息、恶意信息或错误信息;所述完整信息为:所述对端BGP发言人包含的全部信息。
进一步的,所述惩罚期根据节点信任度p和惩罚因子k来设定;
所述惩罚期与节点信任度p和惩罚因子k的对应关系为:
其中,T为惩罚期的轮数;f(p)为惩罚期转换函数;p为节点信任度,节点信任度p为所述本端BGP发言人对所述对端BGP发言人的信任程度;k为惩罚因子,惩罚因子k为所述本端BGP发言人根据自身所需安全程度来设定,所述本端BGP发言人所需安全程度越高,惩罚因子k越大,所述本端BGP发言人所需安全程度越低,惩罚因子k越小。
进一步的,还包括查询单元:
查询单元,用于查询所述节点信任度p是否在预设阈值范围内;
BGP邻居初次建立单元501,还用于如果所述节点信任度p在预设阈值范围内,则初次建立所述本端BGP发言人和所述对端BGP发言人之间的邻居关系。
进一步的,还包括惩罚期逐一递减单元,用于如果所述对端BGP发言人在所述惩罚期内接受惩罚,则所述惩罚期逐一递减,直到所述惩罚期结束。
进一步的,还包括惩罚期重新计算单元,用于如果所述对端BGP发言人在惩罚期内不接受惩罚,则重新计算惩罚期,依据重新计算的惩罚期再次对所述对端BGP发言人进行惩罚。
进一步的,还包括节点信任度更新单元,用于如果所述对端BGP发言人不在惩罚期内,则在所述本端BGP发言人和所述对端BGP发言人每一次交互后,更新对所述对端BGP发言人的所述节点信任度p。
进一步的,还包括初始化单元,用于获取所述对端BGP发言人所属的AS编号和设定所述惩罚因子k。
进一步的,所述BGP邻居初次建立单元501,具体用于处于空闲状态的所述本端BGP发言人向所述对端BGP发言人发送TCP请求,TCP连接成功后,所述本端BGP发言人向所述对端BGP发言人传输一个Open信息,所述本端BGP发言人的状态变为信息发送状态;
处于信息发送状态的所述本端BGP发言人等候所述对端BGP发言人传输来的Open信息;
所述本端BGP发言人收到所述对端BGP发言人传送的Open信息后,若检查显示接收的Open信息是正确的,所述本端BGP发言人给所述对端BGP发言人传输Keepalive信息,所述本端BGP发言人状态变为信息确认状态;
所述本端BGP发言人接收到所述对端BGP发言人传输的Keepalive信息,所述本端BGP发言人的状态变为连接建立状态,所述本端BGP发言人和所述对端BGP发言人之间的邻居关系建立完成。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种BGP路由邻居建立和维护方法,其特征在于,包括:
初次建立本端BGP发言人和对端BGP发言人之间的邻居关系;
如果所述对端BGP发言人发送不完整信息时,所述本端BGP发言人根据惩罚模型对所述对端BGP发言人进行指定惩罚期惩罚,以停止与所述对端BGP发言人合作;
如果所述对端BGP发言人在指定惩罚期惩罚结束后发送完整信息时,则所述本端BGP发言人和所述对端BGP发言人之间重新建立邻居关系;
所述惩罚期根据节点信任度p和惩罚因子k来设定;
所述惩罚期与节点信任度p和惩罚因子k的对应关系为:
其中,T为惩罚期的轮数;f(p)为惩罚期转换函数;p为节点信任度,节点信任度p为所述本端BGP发言人对所述对端BGP发言人的信任程度;k为惩罚因子,惩罚因子k为所述本端BGP发言人根据自身所需安全程度来设定,所述本端BGP发言人所需安全程度越高,惩罚因子k越大,所述本端BGP发言人所需安全程度越低,惩罚因子k越小。
2.根据权利要求1所述的BGP路由邻居建立和维护方法,其特征在于,所述不完整信息为:保留有私人信息的不完全信息、恶意信息或错误信息;所述完整信息为:所述对端BGP发言人包含的全部信息。
3.根据权利要求1所述的BGP路由邻居建立和维护方法,其特征在于,在所述初次建立本端BGP发言人和对端BGP发言人之间的邻居关系之前,还包括:
查询所述节点信任度p是否在预设阈值范围内;
如果所述节点信任度p在预设阈值范围内,则初次建立所述本端BGP发言人和所述对端BGP发言人之间的邻居关系。
4.根据权利要求1所述的BGP路由邻居建立和维护方法,其特征在于,如果所述对端BGP发言人在所述惩罚期内接受惩罚,则所述惩罚期逐一递减,直到所述惩罚期结束。
5.根据权利要求1所述的BGP路由邻居建立和维护方法,其特征在于,如果所述对端BGP发言人在所述惩罚期内不接受惩罚,则重新计算惩罚期,依据重新计算的惩罚期再次对所述对端BGP发言人进行惩罚。
6.根据权利要求1所述的BGP路由邻居建立和维护方法,其特征在于,如果所述对端BGP发言人不在所述惩罚期内,则在所述本端BGP发言人和所述对端BGP发言人每交互一次后,更新对所述对端BGP发言人的所述节点信任度p。
7.根据权利要求1所述的BGP路由邻居建立和维护方法,其特征在于,在所述初次建立本端BGP发言人和对端BGP发言人之间的邻居关系之前,还包括:
初始化BGP;
所述初始化BGP具体包括:
获取所述对端BGP发言人所属的AS编号;
设定所述惩罚因子k。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910323120.8A CN110061919B (zh) | 2019-04-22 | 2019-04-22 | 一种bgp路由邻居建立和维护方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910323120.8A CN110061919B (zh) | 2019-04-22 | 2019-04-22 | 一种bgp路由邻居建立和维护方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110061919A CN110061919A (zh) | 2019-07-26 |
| CN110061919B true CN110061919B (zh) | 2021-03-05 |
Family
ID=67319975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910323120.8A Active CN110061919B (zh) | 2019-04-22 | 2019-04-22 | 一种bgp路由邻居建立和维护方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110061919B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113141278A (zh) * | 2020-01-20 | 2021-07-20 | 华为技术有限公司 | 网络节点之间连接状态的检测方法及装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7864706B1 (en) * | 2008-04-04 | 2011-01-04 | Force 10 Networks, Inc. | Border gateway protocol peer dampening |
| CN101605089B (zh) * | 2008-06-11 | 2012-02-22 | 华为技术有限公司 | Bgp动态迁移方法和装置 |
| CN101631079B (zh) * | 2009-08-27 | 2012-05-23 | 清华大学 | 互联网路由变化抑制方法 |
| KR101242599B1 (ko) * | 2010-06-30 | 2013-03-19 | 주식회사 케이티 | Mpls vpn 라우팅 정보 관리 서버 및 그 방법 |
| CN101969647B (zh) * | 2010-09-10 | 2013-03-06 | 南京邮电大学 | 移动自组织网络中基于信任模型的协作通信方法 |
| US8422358B2 (en) * | 2010-11-23 | 2013-04-16 | International Business Machines Corporation | Best-path evaluation based on reliability of network interface layers |
| CN102035831B (zh) * | 2010-11-26 | 2013-07-24 | 北京邮电大学 | 一种基于两跳回复的bgp协议改造方法 |
| CN102104550B (zh) * | 2011-03-10 | 2012-07-04 | 中国人民解放军信息工程大学 | 域间路由系统中自治系统间信任关系的建立和维护方法 |
| CN102202004B (zh) * | 2011-07-08 | 2014-01-22 | 福建星网锐捷网络有限公司 | 路由错误处理方法、装置和路由设备 |
| CN103095699B (zh) * | 2013-01-11 | 2015-11-25 | 中国传媒大学 | 一种基于网络编码的信任值计算方法 |
| CN103746964A (zh) * | 2013-12-19 | 2014-04-23 | 柳州职业技术学院 | 一种针对bgp路由协议雪崩式攻击的预防方法 |
| CN103793612B (zh) * | 2014-02-18 | 2016-06-29 | 广西大学 | 一种适合于考虑风电随机特性的电力系统的电网规划方法 |
| CN104038427A (zh) * | 2014-06-30 | 2014-09-10 | 杭州华三通信技术有限公司 | 路由更新方法和路由更新装置 |
| CN105591904B (zh) * | 2015-09-08 | 2019-05-07 | 新华三技术有限公司 | 一种抑制bgp邻居震荡的方法及装置 |
-
2019
- 2019-04-22 CN CN201910323120.8A patent/CN110061919B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110061919A (zh) | 2019-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8441988B2 (en) | Method for providing home agent geographic redundancy via a service redundancy protocol | |
| US6810259B1 (en) | Location update protocol | |
| US7606175B1 (en) | Extended service set mesh path selection | |
| US7502354B1 (en) | Mesh networking using point coordination function | |
| US7522540B1 (en) | Extended service set mesh topology discovery | |
| US7835301B1 (en) | Extended service set mesh topology representation | |
| US7856001B2 (en) | Wireless mesh routing protocol utilizing hybrid link state algorithms | |
| US20130254415A1 (en) | Routing requests over a network | |
| US20060133613A1 (en) | Authentication method of ad hoc network and wireless communication terminal thereof | |
| US8539082B2 (en) | Ad-hoc established device network | |
| CN105871719B (zh) | 路由状态和/或策略信息的处理方法及装置 | |
| CN113810977A (zh) | 一种生成算力拓扑的方法、系统、节点及介质 | |
| WO2010088835A1 (zh) | 实现本地交换的方法及系统 | |
| JP2002531003A (ja) | ネットワークトポロジを判別する方法およびシステム | |
| US20190132235A1 (en) | Method for distance-vector routing using adaptive publish-subscribe mechanisms | |
| CN110061919B (zh) | 一种bgp路由邻居建立和维护方法及设备 | |
| US8743750B2 (en) | Method of evaluating the reliability of a route in a cooperative network | |
| CN103491011A (zh) | Bgp会话变更方法及设备 | |
| CN116506119B (zh) | 一种基于路由寻址的密钥分发网络组建方法 | |
| WO2018058316A1 (zh) | 集中抄表的组网方法和集中抄表的组网系统 | |
| CN110830370B (zh) | 一种基于ospf协议的ibgp传递路由更新方法 | |
| CN104270307A (zh) | 一种bgp邻居的建立方法及设备 | |
| Cisco | Configuring IP Routing Protocols | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| CN114629845B (zh) | 一种基于容器的路由型数据中心网络管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |