CN112003822B - 路由起源授权的质量检测方法和装置 - Google Patents
路由起源授权的质量检测方法和装置 Download PDFInfo
- Publication number
- CN112003822B CN112003822B CN202010680081.XA CN202010680081A CN112003822B CN 112003822 B CN112003822 B CN 112003822B CN 202010680081 A CN202010680081 A CN 202010680081A CN 112003822 B CN112003822 B CN 112003822B
- Authority
- CN
- China
- Prior art keywords
- roa
- bgp message
- bgp
- message set
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种路由起源授权的质量检测方法和装置,所述方法包括:获取BGP消息在执行路由起源验证时的验证结果;根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA。本申请的方案根据执行路由起源验证时的验证结果,利用互联网码号资源相关信息确定有效但是存在安全威胁的ROA,进而能够帮助INR持有者在签发ROA过程中尽量提高ROA的质量,从而避免低质量的ROA对域间路由系统造成的伤害。
Description
技术领域
本申请涉及路由安全技术领域,具体涉及一种路由起源授权的质量检测方法和装置。
背景技术
互联网被划分为许多较小的自治系统(Autonomous System,AS),目前,自治系统之间的路由选择协议是边界网关协议(Border Gateway Protocol,BGP)。BGP将为数众多、拓扑各异、大小不一的AS连接在一起并相互交换路由信息。
作为路径矢量协议,BGP在传播路由时使用Update消息携带路径信息。路径信息用于指示到达该路由的网络拓扑,也用于路由选择。BGP传播的路径信息主要包含网络层可达信息(Network Layer Reachability Information,简称NLRI)和路径属性(PathAttribute)。NLRI包含IP地址前缀和长度,用于标识目的网络的CIDR地址。路径属性描述到达该CIDR地址的路由的属性。其中AS_PATH属性列出了到达目的网络所经过的一串AS路径。
如图1所示,自治系统AS1是IP地址前缀16.1.0.0/16的合法持有者,它通过BGP的Update消息向外通告NLRI为16.1.0.0/16,AS_PATH为1的路由,该路由通告被AS2接收到;AS2一方面将目的地址包含在16.1.0.0/16地址块中的IP数据包经该路由发送给AS1,另一方面把自己的AS号加到AS_PATH的最前端,并继续向外通告该路由,即向外通告NLRI为16.1.0.0/16,AS_PATH为2 1的路由。
然而,BGP协议在安全方面的设计存在较大的不足。针对BGP的安全问题,互联网码号资源公钥基础设施(Resource Public Key Infrastructure,RPKI)被设计出来。它的基本思想是构建一个PKI(公钥基础设施)来完成对互联网码号资源(Internet NumberResource,INR)的所有权(分配关系)和使用权(路由起源授权,Route OriginationAuthorizations,简称ROA)的认证,用这些“认证信息”来指导BGP路由器,帮助其检验BGP消息的真实性,从而避免域间路由劫持。其中,INR包含IP资源(IP地址前缀)和AS资源(AS号)。
如图2所示,RPKI主要包括CA(Certification Authority,数字证书认证机构)和RP(Relying Party,依赖方)两个机构。CA机构负责资源分配,即进行证书及相关签名对象的颁发工作,图中的IANA、APNIC、CNNC等均为CA机构。RP机构用来同步CA机构颁发的证书及签名对象,BGP路由模块通过向RP获取路由授权信息进行路由的起源认证。
考虑到BGP路由器的性能和存储限制以及数据包的实时传输要求,RPKI并不要求每一台BGP路由器同步下载数据对象以获取IP前缀和AS号之间的授权关系。RPKI通过设立RP作为BGP路由器的代理,负责一些重复的、可离线处理的事务,包括数据对象的同步下载,证书链的构建和验证,INR使用权信息的生成和传输,缓存管理等工作。
具体来说,RP通过rsync/delta协议从RPKI资料库下载各种数字证书和签名,保存为本地副本,并且需要定期更新该副本。RP会对这些本地RPKI数据进行验证,从而得到IP前缀与AS号的真实授权关系(即<IP-prefix,maxLength,AS#>映射),并存放在本地缓存中。
BGP路由参与者,比如,某个自治域的BGP Speaker,可以选择一个或多个自己信任的RP,委托其处理RPKI信息。BGP Speaker通过rpki-rtr协议从RP下载<IP-prefix,maxLength,AS#>映射数据,称之为INR使用权信息,由RP根据有效ROA的内容生成,用以验证BGP Update消息中AS_PATH的起源AS是否有通告NLRI的授权。
在RPKI部署环境中,当BGP路由器收到一个BGP消息时,它可根据从RP获取的INR使用权信息集合执行路由起源验证(Route Origin Validation,ROV),并根据验证结果和本地策略决定是否接受该BGP消息。例如,针对上例BGP消息的验证过程如下所示:
a)遍历INR使用权信息集合,找出IP前缀包含或者等于10.1.0.0/16的所有INR使用权信息,得到一个集合,记做“候选INR使用权信息集合”;
b)如果“候选INR使用权信息集合”为空,则该BGP消息的验证结果为“未知”;
c)如果“候选INR使用权信息集合”不为空,且存在任意一个INR使用权信息的源AS等于AS1,则该BGP消息的验证结果为“有效”;
d)否则,该BGP消息的验证结果为“无效”。
ROA作为互联网码号资源认证基础设施(RPKI)的核心要素,旨在为域间路由系统中的各个自治系统提供BGP消息决策的指导。因此,ROA的签发、撤销和其验证状态的变更均会直接影响BGP消息的有效性,进而间接地影响互联网流量的走向和可达性。RPKI依赖方对RPKI资料库中的所有数据对象进行验证,最后得出有效ROA集,并根据其生成INR使用权信息,即一系列的<IP-prefix,maxLength,AS#>映射数据。
相关技术中,ROA虽然经过RP的验证流程被视为有效且可被域间路由系统作为认证依据直接使用,但是它们可能无法提供起源认证的保护,甚至可能对域间路由系统造成其他类型的安全威胁,这种ROA被定义为威胁ROA;相对于不给域间路由系统带来安全威胁的ROA而言,威胁ROA的质量相较而言更低。因此,为提高ROA的质量以避免其对域间路由系统造成的伤害,需要定期检查ROA的质量以敦促INR持有者(任何INR持有者均是一个CA)在签发ROA的过程中,尽量避免签发低质量的ROA。
发明内容
为至少在一定程度上克服相关技术中存在的问题,本申请提供一种路由起源授权的质量检测方法和装置。
根据本申请实施例的第一方面,提供一种路由起源授权的质量检测方法,包括:
获取BGP消息在执行路由起源验证时的验证结果;
根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;
根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA。
进一步地,所述获取BGP消息在执行路由起源验证时的验证结果,包括:
使用ROA验证全球BGP消息,并获取验证结果。
进一步地,所述根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集,包括:
当验证结果为有效时,将其添加至该ROA的有效BGP消息集;
当验证结果为无效时,将其添加至该ROA的无效BGP消息集。
进一步地,所述互联网码号资源相关信息包括AS关系数据;
所述判断ROA是否为威胁ROA,包括:
从ROA的无效BGP消息集中选取原因为AS不匹配的BGP消息,构成第一候选BGP消息集;
根据第一候选BGP消息集和AS关系数据库判断ROA是否为威胁ROA。
进一步地,所述根据第一候选BGP消息集和AS关系数据库判断ROA是否为威胁ROA,包括:
对所述第一候选BGP消息集中的任何一个BGP消息,根据AS关系数据库判断该ROA中的起源AS和BGP消息中的起源AS是否为提供商和客户之间的关系;
如果任意一个BGP消息与该ROA满足上述关系,则该ROA为威胁ROA。
进一步地,所述互联网码号资源相关信息包括IP地址持有者信息;
所述判断ROA是否为威胁ROA,包括:
从ROA的无效BGP消息集中选取原因为前缀长度不匹配的BGP消息,构成第二候选BGP消息集;
对所述第二候选BGP消息集中的任何一个BGP消息,根据IP地址持有者信息判断该ROA中的IP前缀和BGP消息中的IP前缀是否属于同一个实体;
如果任意一个BGP消息与该ROA满足上述关系,则该ROA为威胁ROA。
进一步地,所述判断ROA是否为威胁ROA,包括:
根据ROA的有效BGP消息集,判断该ROA中前缀长度等于maxLength的IP前缀是否全部被有效BGP消息集中的BGP消息所宣告;
如果未全部被宣告,则该ROA为威胁ROA。
根据本申请实施例的第二方面,提供一种路由起源授权的质量检测装置,包括:
获取模块,用于获取BGP消息在执行路由起源验证时的验证结果;
构建模块,用于根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;
判断模块,用于根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA。
根据本申请实施例的第三方面,提供一种计算机设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中的计算机程序,以实现如上任意一种实施例所述方法的操作步骤。
根据本申请实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上任意一种实施例所述方法的操作步骤。
本申请的实施例提供的技术方案具备以下有益效果:
本申请的方案根据执行路由起源验证时的验证结果,利用互联网码号资源相关信息确定有效但是存在安全威胁的ROA,进而能够帮助INR持有者在签发ROA过程中尽量提高ROA的质量,从而避免低质量的ROA对域间路由系统造成的伤害。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是一个BGP协议更新消息实例的示意图。
图2是RPKI体系的结构示意图。
图3是根据一示例性实施例示出的一种路由起源授权的质量检测方法的流程图。
图4(a)~(c)是根据一示例性实施例示出的一种前缀树的示意图。
图5是根据一示例性实施例示出的一种路由起源授权的质量检测装置的电路框图。
图6是根据一示例性实施例示出的一种计算机设备的电路结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的方法和装置的例子。
本申请提供的路由起源授权的质量检测方法,可以应用于如图2所示的RPKI体系中。该方法可以应用于RPKI依赖方,也可以应用于其它独立的设备中。
RPKI依赖方利用这些信息确定有效但是存在安全威胁的ROA,帮助INR持有者在签发ROA过程中尽量提高ROA的质量,从而避免由于质量低下ROA对域间路由系统造成的伤害。
图3是根据一示例性实施例示出的一种路由起源授权的质量检测方法的流程图。该方法可以包括以下步骤:
步骤S1:获取BGP消息在执行路由起源验证时的验证结果。
一些实施例中,所述获取BGP消息在执行路由起源验证时的验证结果,具体包括:
使用ROA验证全球BGP消息,并获取验证结果。
步骤S2:根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集。
一些实施例中,所述根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集,包括:
当验证结果为有效时,将其添加至该ROA的有效BGP消息集;
当验证结果为无效时,将其添加至该ROA的无效BGP消息集。
步骤S3:根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA。
需要说明的是,这里互联网码号资源指AS号,IP地址等。互联网码号资源相关信息包括如下项中的至少一项:全球BGP消息、AS之间的关系信息、INR的持有者信息。互联网码号资源相关信息是从第三方数据库查询获取的,比如:收集全球路由信息(全球BGP消息)的RouteView,收集AS之间关系信息的CAIDA AS relationship、INR(IP地址/ASN)的持有者信息的WHOIS数据库。上述第三方数据库均为公开的信息,数据库中的信息本身并不是本方案的发明内容。
本申请的方案根据执行路由起源验证时的验证结果,利用互联网码号资源相关信息确定有效但是存在安全威胁的ROA,进而能够帮助INR持有者在签发ROA过程中尽量提高ROA的质量,从而避免低质量的ROA对域间路由系统造成的伤害。
在一些实施例中,本申请的方案还可以包括:
步骤S4:如果一个ROA被判定为威胁ROA,则对该ROA对应的BGP消息进行滞后处理,并向该ROA的签发者发出通知。
通过向该ROA的签发者发出通知,可以帮助INR持有者改进ROA签发机制,使其在签发ROA过程中尽量提高ROA的质量。
为进一步详述本申请的技术方案,首先具体解释威胁ROA的概念。
如图4(a)所示,INR持有者从RIR或者ISP处获取的IP前缀P表示的IP地址空间可由一棵前缀树表示。在这棵树中,每个叶子节点是只含单个IP地址的前缀(或称为IP地址),每个非叶子节点有两个子节点,与之对应地,每个IP前缀有两个子前缀。另外,在并未对IP前缀P根据使用方式进行划分之前,INR持有者可以在域间路由系统中广播P以及其包括p12,p34,p1,p2,p3和p4在内的所有子前缀集。当INR持有者按照图4(b)对IP前缀P进行划分后,即p1为自己使用,p2保留为将来使用,p3和p4分配给其客户使用,INR持有者仅仅能够广播自己持有并使用的IP前缀,包括P,p12,p34,p1及其子前缀,如图4(c)所示。
威胁ROA的类型可以分为三种。
第一类为:Over-claiming(过分宣称)ROA。
INR持有者基于自身需求需要对其流量进行更加细粒度地控制,可通过比如流量工程、负载均衡等机制实现,因此,RPKI允许INR持有者通过为ROA设置maxLength字段达成这一目的。但是,INR持有者在签发ROA过程中可能由于maxLength字段配置错误,导致INR持有者将已经分配给其客户的INR仍然为自己使用;或者未及时更新ROA,导致本应有效的BGP消息被验证为无效。于是包含在该BGP消息中的IP地址空间将不可达,这种类型的ROA称之为“过分宣称ROA”。
如图4(b)所示,INR持有者仅能在域间路由广播IP前缀P,p12,p34,p1以及其子前缀,但是,当其签发的ROA内容为<P,maxLength,ASα>,其中maxLength=prefix_Length+2,则根据图4(c)可知,INR持有者实际上将分配给客户的IP前缀p3和p4也授权出去,从而导致客户发布的BGP消息被验证为无效。
第二类为:Too-specific(过于严格)ROA。
INR持有者通过ROA授权给自治系统的IP地址空间范围(根据IP前缀和maxLength确定)相较于自治系统实际可在域间路由系统中宣告的IP地址空间范围更小,从而导致自治系统的某些合法BGP消息被验证为无效,这种情况一般是由于maxLength设置太小而导致的。
第三类为:Loose(过于宽松)ROA。
INR持有者通过ROA授权给自治系统的IP地址空间范围(根据IP前缀和maxLength确定)相较于自治系统在域间路由系统中宣告的IP地址空间范围更大,也就是说,那些未由INR持有者在域间路由系统中宣告的BGP消息,可能会被攻击者利用,在BGPSEC还未完全部署的环境下,利用AS_PATH伪造发起子前缀劫持攻击。
本申请的方案通过在RPKI依赖方部署ROA质量检测机制,针对通过验证流程被验证为有效的ROA,检测其是否属于以上三种类型的威胁ROA,如果确认属于其中一种威胁ROA,则RPKI依赖方通过带外方式向INR持有者发起警告并慎重使用该ROA。
下面结合具体的应用场景,对本申请的方案进行拓展说明。
第一类,Over-claiming(过分宣称)ROA的确定。
当RP执行ROV时,一个BGP消息能够获取一个候选INR使用权信息集合,也就是说,该BGP消息中的IP前缀在一个或者多个ROA中,但是,由于源AS与BGP消息中的AS不相等导致该BGP消息被验证为无效。通过检查ROA中的AS和BGP消息中的AS是否为提供商和客户之间的关系,即可确定该ROA是否由提供商签发,且包含的IP地址空间过大导致该ROA为过分宣称的ROA。这种AS之间关系的确定需要借助域CAIDA提供的AS Relationship数据集。
一些实施例中,所述互联网码号资源相关信息包括AS关系数据;
所述判断ROA是否为威胁ROA,包括:
从ROA的无效BGP消息集中选取原因为AS不匹配的BGP消息,构成第一候选BGP消息集;
根据第一候选BGP消息集和AS关系数据库判断ROA是否为威胁ROA。
一些实施例中,所述根据第一候选BGP消息集和AS关系数据库判断ROA是否为威胁ROA,包括:
对所述第一候选BGP消息集中的任何一个BGP消息,根据AS关系数据库判断该ROA中的起源AS和BGP消息中的起源AS是否为提供商和客户之间的关系;
如果任意一个BGP消息与该ROA满足上述关系,则该ROA为威胁ROA。
第二类,Too-specific(过于严格)ROA的确定。
当RP执行ROV时,一个BGP消息不能够获取一个候选INR使用权信息集合,原因在于IP前缀的长度超过了ROA中maxLength的值,但是,该BGP消息中的AS与ROA中的AS相等,这说明该ROA很可能是由于INR持有者在签发时maxLength配置错误导致的。因此,可通过WHOIS数据库查询BGP消息中的IP前缀和ROA中的IP前缀是否属于同一个实体,如果是,则说明ROA签发错误,且可判断该ROA为“过于严格ROA”。
一些实施例中,所述互联网码号资源相关信息包括IP地址持有者信息;
所述判断ROA是否为威胁ROA,包括:
从ROA的无效BGP消息集中选取原因为前缀长度不匹配的BGP消息,构成第二候选BGP消息集;
对所述第二候选BGP消息集中的任何一个BGP消息,根据IP地址持有者信息判断该ROA中的IP前缀和BGP消息中的IP前缀是否属于同一个实体;
如果任意一个BGP消息与该ROA满足上述关系,则该ROA为威胁ROA。
第三类,Loose(过于宽松)ROA的确定。
当RP执行ROV时,针对一个ROA,可得到由其验证为有效的所有BGP消息,这些BGP消息中的IP前缀的前缀长度分布在,由ROA中IP前缀的前缀长度和maxLength字段确定的一个范围内,只有当所有前缀长度等于maxLength的IP前缀全部被BGP消息宣告后,才能认为该ROA中的IP地址空间不处于威胁状态下。因此,可通过RouteView或者其他BGP消息数据库获取一个ROA的有效BGP消息验证集,从而判断该ROA是否为“过于宽松ROA”。
一些实施例中,所述判断ROA是否为威胁ROA,包括:
根据ROA的有效BGP消息集,判断该ROA中前缀长度等于maxLength的IP前缀是否全部被有效BGP消息集中的BGP消息所宣告;
如果未全部被宣告,则该ROA为威胁ROA。
参照图4,INR持有者Alice从RIR处获取IP前缀P=10.1.0.0/16,并且将其划分为四个子空间,分别为p1=10.1.0.0/18,p2=10.1.64.0/18,p3=10.1.128.0/18和p4=10.1.192.0/18,并计划p1为自己使用,用于本网络的主机编号,p2保留为将来使用,p3和p4分别分配给客户Bob和客户Carol。
①当Alice签发了一个ROA=<10.1.0.0/16,18,ASα>,将如图4(c)的IP地址空间授权给ASα,包括已经分配给客户Bob和Carol的IP前缀p3和p4,因此,当Bob/Carol没有为p3/p4签发ROA时,Bob和Carol宣告的BGP消息将被ROA验证为无效,于是p3/p4表示的IP地址空间将不可达。因此,该ROA为“过分宣称ROA”。
②当Alice签发了一个ROA=<10.1.0.0/16,17,ASα>,并且由于p1是Alice合法持有的IP前缀,因此,Alice可在域间路由系统中广播包含p1的BGP消息后。当RP执行ROV时,发现p1的IP前缀长度为18,超过了ROA中maxLength规定的17,因此,该BGP消息被验证为无效。但是,由于p1的合法持有者为Alice,因此该BGP消息实际上是合法的,但是由于Alice在签发ROA时maxLength字段设置错误导致p1不可达,因此,该ROA为“过于严格ROA”。
③当Alice签发了一个ROA==<10.1.0.0/16,17,ASα>,自治系统α仅仅对外广播了包含IP前缀10.1.0.0/16的BGP消息,而p12=10.1.0.0/17和p34=10.1.128.0/17这两个IP前缀并未对外广播。因此,攻击者可通过伪造AS_PATH的方式实施攻击,发起针对p12或者p34的子前缀攻击。因此,该ROA为“过于宽松ROA”。
采用本申请的方案,RPKI依赖方可通过定期从第三方数据库同步下载最新数据,包括全球BGP消息,AS之间的关系信息,以及INR的持有者信息等等,并通过执行ROV,获取每个ROA的有效BGP消息集,从而判断该ROA是否为威胁ROA。当一个ROA被判定为威胁ROA后,RP可通知其签发者并对由该威胁ROA判定为无效的BGP消息进行滞后处理,这取决于RP的本地策略。
图5是根据一示例性实施例示出的一种路由起源授权的质量检测装置的电路框图。参照图5,该装置包括:
获取模块,用于获取BGP消息在执行路由起源验证时的验证结果;
构建模块,用于根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;
判断模块,用于根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA。
关于上述实施例中的装置,其中各个模块执行操作的具体步骤已经在有关该方法的实施例中进行了详细描述,此处不再详细阐述说明。上述数据缓存处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
本申请的实施例还提供一种计算机设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中的计算机程序,以实现一种路由起源授权的质量检测方法:获取BGP消息在执行路由起源验证时的验证结果;根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于接入网络,从而与外部的终端进行通信连接。该计算机程序被处理器执行时以实现一种路由起源授权的质量检测方法。
本申请的实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现一种路由起源授权的质量检测方法:获取BGP消息在执行路由起源验证时的验证结果;根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (9)
1.一种路由起源授权的质量检测方法,其特征在于,包括:
获取BGP消息在执行路由起源验证时的验证结果;
根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;
根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA;
所述互联网码号资源相关信息包括AS关系数据;
所述判断ROA是否为威胁ROA,包括:
从ROA的无效BGP消息集中选取原因为AS不匹配的BGP消息,构成第一候选BGP消息集;
根据第一候选BGP消息集和AS关系数据库判断ROA是否为威胁ROA。
2.根据权利要求1所述的方法,其特征在于,所述获取BGP消息在执行路由起源验证时的验证结果,包括:
使用ROA验证全球BGP消息,并获取验证结果。
3.根据权利要求2所述的方法,其特征在于,所述根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集,包括:
当验证结果为有效时,将其添加至该ROA的有效BGP消息集;
当验证结果为无效时,将其添加至该ROA的无效BGP消息集。
4.根据权利要求1所述的方法,其特征在于,所述根据第一候选BGP消息集和AS关系数据库判断ROA是否为威胁ROA,包括:
对所述第一候选BGP消息集中的任何一个BGP消息,根据AS关系数据库判断该ROA中的起源AS和BGP消息中的起源AS是否为提供商和客户之间的关系;
如果任意一个BGP消息与该ROA满足所述提供商和客户之间的关系,则该ROA为威胁ROA。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述互联网码号资源相关信息包括IP地址持有者信息;
所述判断ROA是否为威胁ROA,包括:
从ROA的无效BGP消息集中选取原因为前缀长度不匹配的BGP消息,构成第二候选BGP消息集;
对所述第二候选BGP消息集中的任何一个BGP消息,根据IP地址持有者信息判断该ROA中的IP前缀和BGP消息中的IP前缀是否属于同一个实体;
如果任意一个BGP消息与该ROA满足提供商和客户之间的关系,则该ROA为威胁ROA。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述判断ROA是否为威胁ROA,包括:
根据ROA的有效BGP消息集,判断该ROA中前缀长度等于maxLength的IP前缀是否全部被有效BGP消息集中的BGP消息所宣告;
如果未全部被宣告,则该ROA为威胁ROA。
7.一种路由起源授权的质量检测装置,其特征在于,包括:
获取模块,用于获取BGP消息在执行路由起源验证时的验证结果;
构建模块,用于根据BGP消息的验证结果为相关ROA构建有效BGP消息集和无效BGP消息集;
判断模块,用于根据有效BGP消息集、无效BGP消息集和互联网码号资源相关信息,判断相应的ROA是否为威胁ROA;所述互联网码号资源相关信息包括AS关系数据;所述判断ROA是否为威胁ROA,包括:从ROA的无效BGP消息集中选取原因为AS不匹配的BGP消息,构成第一候选BGP消息集;根据第一候选BGP消息集和AS关系数据库判断ROA是否为威胁ROA。
8.一种计算机设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中的计算机程序,以实现权利要求1至6中任一项所述方法的操作步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述方法的操作步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010680081.XA CN112003822B (zh) | 2020-07-15 | 2020-07-15 | 路由起源授权的质量检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010680081.XA CN112003822B (zh) | 2020-07-15 | 2020-07-15 | 路由起源授权的质量检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112003822A CN112003822A (zh) | 2020-11-27 |
CN112003822B true CN112003822B (zh) | 2022-11-01 |
Family
ID=73466450
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010680081.XA Active CN112003822B (zh) | 2020-07-15 | 2020-07-15 | 路由起源授权的质量检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112003822B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US12007910B1 (en) * | 2021-11-22 | 2024-06-11 | Amazon Technologies, Inc. | Resource public key infrastructure (RPKI) validation system |
CN114124411B (zh) * | 2021-12-07 | 2024-01-09 | 牙木科技股份有限公司 | 信息注册方法、信息认证方法、dns服务器及存储介质 |
CN114553515B (zh) * | 2022-02-17 | 2024-05-17 | 支付宝(杭州)信息技术有限公司 | 基于区块链的nft资产的检验方法、业务处理方法及硬件 |
CN115022214B (zh) * | 2022-04-18 | 2024-06-18 | 清华大学 | 一种大规模准确高效的路由源验证部署测量方法和装置 |
CN117714081B (zh) * | 2024-02-06 | 2024-04-16 | 北京中关村实验室 | 一种基于智能合约的路由起源验证方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101656638A (zh) * | 2009-09-08 | 2010-02-24 | 中国科学院计算技术研究所 | 面向误配置的域间前缀劫持检测方法 |
WO2016082275A1 (zh) * | 2014-11-27 | 2016-06-02 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
CN105681345A (zh) * | 2016-03-11 | 2016-06-15 | 中国互联网络信息中心 | 一种加强rpki中ca证书签发安全的事前控制方法 |
CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
CN111147380A (zh) * | 2018-11-02 | 2020-05-12 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
CN111262683A (zh) * | 2020-01-15 | 2020-06-09 | 中南大学 | 一种rpki中认证机构资源异常分配的检测方法 |
-
2020
- 2020-07-15 CN CN202010680081.XA patent/CN112003822B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101656638A (zh) * | 2009-09-08 | 2010-02-24 | 中国科学院计算技术研究所 | 面向误配置的域间前缀劫持检测方法 |
WO2016082275A1 (zh) * | 2014-11-27 | 2016-06-02 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
CN105681345A (zh) * | 2016-03-11 | 2016-06-15 | 中国互联网络信息中心 | 一种加强rpki中ca证书签发安全的事前控制方法 |
CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
CN111147380A (zh) * | 2018-11-02 | 2020-05-12 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
CN111262683A (zh) * | 2020-01-15 | 2020-06-09 | 中南大学 | 一种rpki中认证机构资源异常分配的检测方法 |
Non-Patent Citations (1)
Title |
---|
边界网关协议安全研究综述;王娜;《计算机学报》;20170715;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112003822A (zh) | 2020-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112003822B (zh) | 路由起源授权的质量检测方法和装置 | |
US11223598B2 (en) | Internet security | |
EP2356792B1 (en) | Network nodes and methods for data authorization in distributed storage networks | |
JP6144783B2 (ja) | 情報中心のネットワークにおけるトラストアンカーを用いたプロトコルのルーティングに基づく名前/プレフィックスの増加 | |
Zhang et al. | SCION: Scalability, control, and isolation on next-generation networks | |
US7286479B2 (en) | Routing for a communications network | |
JP2013501466A (ja) | ネットワークトラフィックのフィルタリングのための方法およびシステム | |
JP7187692B2 (ja) | ルート処理方法およびネットワークデバイス | |
Li et al. | Bootstrapping accountability in the internet we have | |
US20230396624A1 (en) | Extending border gateway protocol (bgp) flowspec origination authorization using path attributes | |
CN115943603B (zh) | 区块链增强路由授权 | |
CN111598564A (zh) | 区块链节点连接建立方法、装置及设备 | |
Gurney et al. | Having your cake and eating it too: Routing security with privacy protections | |
Testart | Reviewing a Historical Internet Vulnerability: Why Isn't BGP More Secure and What Can We Do About it? | |
CN108924049B (zh) | 流规格路由调度方法及装置 | |
CN112003959B (zh) | 路由起源授权的自动签发方法和装置 | |
Tsumak | Securing BGP using blockchain technology | |
WO2022115129A1 (en) | Border gateway protocol (bgp) flowspec origination authorization using route origin authorization (roa) | |
Yang et al. | Towards blockchain-based secure BGP routing, challenges and future research directions | |
US11838201B1 (en) | Optimized protected segment-list determination for weighted SRLG TI-LFA protection | |
CN117714081B (zh) | 一种基于智能合约的路由起源验证方法及系统 | |
Koole et al. | A Comparative Analysis of Routing Policies in BGP and SCION | |
Perrig et al. | Control Plane | |
Okumus et al. | Design and implementation of a Secure Bandwidth Broker Discovery Protocol | |
Posse | A software defined networking architecture for secure routing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |