CN114124411B - 信息注册方法、信息认证方法、dns服务器及存储介质 - Google Patents
信息注册方法、信息认证方法、dns服务器及存储介质 Download PDFInfo
- Publication number
- CN114124411B CN114124411B CN202111484542.7A CN202111484542A CN114124411B CN 114124411 B CN114124411 B CN 114124411B CN 202111484542 A CN202111484542 A CN 202111484542A CN 114124411 B CN114124411 B CN 114124411B
- Authority
- CN
- China
- Prior art keywords
- route origin
- domain name
- record
- route
- announcement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000013475 authorization Methods 0.000 claims abstract description 80
- 230000004044 response Effects 0.000 claims abstract description 48
- 238000012795 verification Methods 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 abstract description 2
- 230000008520 organization Effects 0.000 description 5
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 241001189642 Theroa Species 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络通信技术领域,具体地涉及一种边界网关协议的信息注册方法、信息认证方法、DNS服务器及计算机可读存储介质。本发明提供的边界网关协议的信息注册方法包括:步骤S1,将路由起源授权编码为路由起源授权字段,将路由起源授权字段作为指定域名的指定记录的应答结果;步骤S2,将指定域名的指定记录及指定记录的应答结果保存到DNS服务器中指定域名的区域文件中;步骤S3,将路由起源授权字符串和指定域名地址段编码为地址字段,将地址字段作为指定域名的指针记录的应答结果;步骤S4,将指定域名的指针记录及指针记录的应答结果保存到DNS服务器中指定域名的区域文件中。
Description
技术领域
本发明涉及网络通信技术领域,具体地涉及一种边界网关协议的信息注册方法、信息认证方法、DNS服务器及计算机可读存储介质。
背景技术
边界网关协议(Border Gateway Protocol,简称BGP)是一种自治系统的路由协议,用于在不同的自治系统(Autonomous System,简称AS)之间交换信息,BGP协议是沟通互联网的主用路由协议,例如不同省份、不同国家之间的路由大多要依靠BGP协议。但由于BGP协议在进行路由通告的过程中,报文内容公开,容易被篡改和仿冒,而且自治系统会无条件地信任发送给自己的任何路由通告,这就导致流量劫持、路由泄露和网络中断等网络安全事故频发。
现有技术中,通过互联网码号资源公钥基础设施(Resource Public KeyInfrastructure,简称RPKI)签发和认证一种特定格式的数字证书和数字签名,帮助路由设备检验BGP协议消息的真实性,从而增强BGP协议的安全性,帮助避免互联网路由劫持。具体地,资源公钥基础设施签发路由起源授权(Route Origin Authorization,简称ROA),它是一种将IP地址前缀与BGP起源自治系统(AS)绑定签名的记录,互联网中的路由设备可以利用ROA来执行路由协议验证。
但是,资源公钥基础设施(RPKI)用来验证BGP协议的证书信息即ROA数据保存于互联网数字分配机构(The Internet Assigned Numbers Authority)中,也就是说在实际应用时,RPKI验证BGP协议的实施依赖于互联网数字分配机构例如区域互联网注册管理机构、国家互联网注册管理机构、互联网服务提供商等提供的基础设施,而一般企业很难自己实施这类设施。
发明内容
针对以上问题,本发明提供了一种边界网关协议的信息注册方法、信息认证方法、DNS服务器及计算机可读存储介质,将边界网关协议的证书验证信息缓存到DNS域名的解析记录中,从而能够通过DNS域名解析系统实现边界网关协议的证书验证信息的存储和验证。
本发明的技术方案中提供的边界网关协议的信息注册方法,包括:
步骤S1,将路由起源授权编码为路由起源授权字段,将路由起源授权字段作为指定域名的指定记录的应答结果;
步骤S2,将指定域名的指定记录及指定记录的应答结果保存到DNS服务器中指定域名的区域文件中;
步骤S3,将路由起源授权字符串和指定域名地址段编码为地址字段,将地址字段作为指定域名的指针记录的应答结果;
步骤S4,将指定域名的指针记录及指针记录的应答结果保存到DNS服务器中指定域名的区域文件中。
通过上述方案中的步骤,将边界网关协议的证书验证信息即路由起源授权(ROA)信息记录到指定域名的指定记录的应答结果中,即通过进行指定域名解析即可从指定域名的指定记录中获取路由起源授权信息,并且路由起源授权信息能够直接保存在DNS服务器中,不必依赖互联网数字分配机构的基础设施进行存储管理。进一步地,将地址字段记录到指定域名的指针记录中,在路由通告IP地址时,能够通过IP地址的反向解析得到指定域名,再通过指定域名解析获取路由起源授权信息,路由通告的整体路由起源授权(ROA)验证过程均可通过DNS系统来实现。
具体地,在本发明的技术方案中,边界网关协议的信息注册方法中的步骤S1包括:
步骤S11,签发包含路由起源授权中的IP地址前缀的终端实体证书;
步骤S12,用终端实体证书的私钥签发路由起源授权。
在上述边界网关协议的信息注册方法的步骤中,路由起源授权的证书通过私钥进行签发,保证只有指定的证书签发机构(Certification Authority,简称CA)能够进行证书签发。
优选地,在本发明的技术方案中,边界网关协议的信息注册方法中的指定域名的指定记录为TXT记录。TXT记录一般由于保存域名的附加文本信息,其中的信息可任意填写,在本方案中用TXT记录保存路由起源授权(ROA)信息。
进一步地,在本发明的技术方案中,边界网关协议的信息注册方法中的指定域名的指定记录为自定义记录。换言之,路由起源授权(ROA)信息可以保存在指定域名的闲置的DNS记录中,也可以由用户自定义一种DNS记录专门用来保存路由起源授权(ROA)信息。
优选地,在本发明的技术方案中,边界网关协议的信息注册方法中的DNS服务器为企业DNS授权服务器。企业网络可以通过企业DNS授权服务器进行路由起源授权(ROA)信息的存储和验证,无需依赖互联网数字分配机构的基础设施进行存储管理。
在本发明的技术方案中,还提供了一种DNS服务器,DNS服务器包括存储器和处理器,存储器中的程序或者指令由处理器执行时,能够执行以下步骤:
步骤S1,将路由起源授权编码为路由起源授权字段,将路由起源授权字段作为指定域名的指定记录的应答结果;
步骤S2,将指定域名的指定记录及指定记录的应答结果保存到DNS服务器中指定域名的区域文件中;
步骤S3,将路由起源授权字符串和指定域名地址段编码为地址字段,将地址字段作为指定域名的指针记录的应答结果;
步骤S4,将指定域名的指针记录及指针记录的应答结果保存到DNS服务器中指定域名的区域文件中。
通过上述DNS服务器可以进行路由起源授权(ROA)信息的存储和验证,无需依赖互联网数字分配机构的基础设施进行存储管理。
在本发明的技术方案中,还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述边界网关协议的信息注册方法的步骤。
在本发明的技术方案中,还提供了一种边界网关协议的信息认证方法,包括:
步骤S5,根据路由起源宣告中的地址字段,发起地址字段的IP地址反向解析请求;
步骤S6,根据IP地址反向解析请求的应答结果,进行IP地址反向解析请求的应答结果中的指定域名的指定记录查询,得到路由起源宣告中的地址字段对应的路由起源授权;
步骤S7,根据路由起源宣告中的地址字段对应的路由起源授权,验证路由起源宣告是否有效。
通过上述方案中的步骤,能够根据路由起源宣告中的地址字段,解析出对应的指定域名,再根据域名的解析记录得到地址字段对应的路由起源授权,从而实现路由起源宣告的路由起源授权信息的验证,并且其中的路由起源授权信息能够通过DNS系统直接进行携带存储。
具体地,在本发明的技术方案中,边界网关协议的信息认证方法中的步骤S7包括:
步骤S71,判断路由起源宣告中的地址字段对应的路由起源授权是否为空,若是,则路由起源宣告的验证结果为无效,若否,进行步骤S72;
步骤S72,判断路由起源宣告中的IP地址前缀的长度是否大于路由起源授权中规定的最大前缀长度,若是,则路由起源宣告的验证结果为无效,若否,进行步骤S73;
步骤S73,判断路由起源宣告中的自治系统号是否与路由起源授权中的自治系统号匹配,若否,则路由起源宣告的验证结果为无效,若是,则路由起源宣告的验证结果为有效。
在上述方案中的步骤中,通过路由起源授权信息的验证,可以过滤掉无效、错误的路由宣告,从而路由安全能够得到更好的保障。
在本发明的技术方案中,还提供了一种DNS服务器,DNS服务器包括存储器和处理器,当存储器中的程序或者指令由处理器执行时,能够执行以下步骤:
步骤S5,根据路由起源宣告中的地址字段,发起地址字段的IP地址反向解析请求;
步骤S6,根据IP地址反向解析请求的应答结果,进行IP地址反向解析请求的应答结果中的指定域名的指定记录查询,得到路由起源宣告中的地址字段对应的路由起源授权字段;
步骤S7,根据路由起源宣告中的地址字段对应的路由起源授权,验证路由起源宣告是否有效。
通过上述DNS服务器可以进行路由起源授权(ROA)信息的存储和验证,无需依赖互联网数字分配机构的基础设施进行存储管理。
在本发明的技术方案中,还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述边界网关协议的信息认证方法的步骤。
附图说明
图1是本发明的第一实施方式中提供的一种信息注册方法的流程图;
图2是本发明的第一实施方式中提供的一种路由起源授权签发的流程图;
图3是本发明的第二实施方式中提供的一种信息认证方法的流程图;
图4是本发明的第二实施方式中提供的一种路由起源宣告验证的流程图;
图5是本发明的第三实施方式中提供的一种DNS服务器的示意图;
图6是本发明的第三实施方式中提供的另一种DNS服务器的示意图。
附图标记:1-DNS服务器,11-存储器,12-处理器,2-DNS服务器,21-存储器,22-处理器。
具体实施方式
下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明的保护范围。
[第一实施方式]
如图1所示,在本发明的第一实施方式中,提供了一种边界网关协议的信息注册方法,包括:
步骤S1,将路由起源授权编码为路由起源授权字段,将路由起源授权字段作为指定域名的指定记录的应答结果;
步骤S2,将指定域名的指定记录及指定记录的应答结果保存到DNS服务器中指定域名的区域文件中;
步骤S3,将路由起源授权字符串和指定域名地址段编码为地址字段,将地址字段作为指定域名的指针记录的应答结果;
步骤S4,将指定域名的指针记录及指针记录的应答结果保存到DNS服务器中指定域名的区域文件中。
为方便管理规模不断扩大的互联网,互联网被分成了多个自治系统(AutonomousSystem,简称AS),每个国家的运营商、机构、甚至公司等都可以是一个单独的自治系统(AS),每个自治系统(AS)用AS号码来唯一地标识。在独立的自治系统(AS)内部采用相同的路由技术,实现统一的路由策略,而不同的自治系统(AS)之间需要通过外部网关协议来交换路由信息,边界网关协议(Border Gateway Protocol,简称BGP)是目前互联网中广泛使用的外部网关协议。
每个自治系统(AS)将自己的IP地址前缀(即一段连续的IP地址块)通过边界网关协议(BGP)宣告给其他自治系统(AS),进而扩散到全球互联网。但由于边界网关协议(BGP)针对路由宣告采取信任制,IP地址前缀宣告错误的问题时有发生,因此引入了互联网码号资源公钥基础设施(Resource Public Key Infrastructure,简称RPKI)技术。RPKI通过签发和认证一种特定格式的数字证书和数字签名即路由起源授权(Route OriginAuthorization,简称ROA),将自治系统(AS)的IP地址前缀与AS号码绑定起来,帮助路由设备检验BGP协议消息的真实性,从而增强BGP协议的安全性。
具体地,路由起源授权(ROA)的格式如下:
IP地址前缀(Prefix) | 1.2.3.4/20 |
最大前缀长度(Max-length) | 24 |
起源AS号码(Origin ASN) | AS5678 |
上述路由起源授权(ROA)表示,AS号码为AS5678的自治系统已经被授权可以宣告1.2.3.4/20这段IP地址前缀,并且允许接收的最大的前缀长度为24位,即只有自治系统AS5678允许宣告这段IP地址前缀,若其他自治系统宣告IP地址前缀1.2.3.4/20会被视为非法宣告。
在本发明的第一实施方式中,首先,步骤S1将特殊格式的路由起源授权(ROA)通过通用编码方式编码为路由起源授权字段,例如Base64、Unicode、UTF-8等。例如,将上述表格中的路由起源授权(ROA)编码为Base64格式的路由起源授权字段<ROA.base64.text>;再将该路由起源授权字段<ROA.base64.text>作为指定域名(例如企业域名ROA.companyA.com)的指定记录的应答结果。
在本发明的实施方式中,指定记录可以是指定域名的某种现有的DNS记录,例如TXT记录,TXT记录一般由于保存域名的附加文本信息,其中的信息可任意填写;也可以是一种自定义记录,即由用户或系统自定义一种DNS记录专门用来保存路由起源授权(ROA)信息。
在本实施方式中,用指定域名(ROA.companyA.com)的TXT记录保存路由起源授权字段<ROA.base64.text>,即该指定域名的TXT记录形式如下:
ROA.companyA.com TXT<ROA.base64.text>
然后,步骤S2将指定域名的TXT记录及其应答结果保存到DNS服务器中指定域名的区域文件中,DNS服务器进行该指定域名的TXT记录解析时,即可获得路由起源授权字段<ROA.base64.text>,进而进行Base64解码获得路由起源授权(ROA)信息。
接着,步骤S3,将路由起源授权字符串(ROA字符串)和指定域名(ROA.companyA.com)的地址段1.2.3.4编码为地址字段。在本实施方式中,将ROA字符串放置于地址字段最左端,并将地址段1.2.3.4倒置,即得到地址字段ROA.4.3.2.1。并且,将该地址字段ROA.4.3.2.1作为指定域名(ROA.companyA.com)的指针记录的应答结果。其中,指针记录(Pointer Record,简称PTR记录),也被称为IP地址反向解析记录,能够把IP地址解析为域名,其具体形式如下:
ROA.4.3.2.1.in-addr.arpa.PTR ROA.companyA.com
最后,步骤S4将指定域名的指针记录及其应答结果保存到DNS服务器中指定域名的区域文件中,DNS服务器进行该地址字段ROA.4.3.2.1的地址反向解析时,能够获得对应的指定域名(ROA.companyA.com),在根据指定域名(ROA.companyA.com)的TXT记录解析获得路由起源授权字段<ROA.base64.text>,进而进行Base64解码获得路由起源授权(ROA)信息。
通过本实施方式中提供的边界网关协议的信息注册方法,将边界网关协议的证书验证信息即路由起源授权(ROA)信息记录到指定域名的指定记录的应答结果中,即通过进行指定域名解析即可从指定域名的指定记录中获取路由起源授权信息,并且路由起源授权信息能够直接保存在DNS服务器中,不必依赖互联网数字分配机构的基础设施进行存储管理。进一步地,将地址字段记录到指定域名的指针记录中,在路由通告IP地址时,能够通过IP地址的反向解析得到指定域名,再通过指定域名解析获取路由起源授权信息,路由通告的整体路由起源授权(ROA)验证过程均可通过DNS系统来实现。
具体地,如图2所示,在本实施方式中,边界网关协议的信息注册方法中的步骤S1包括:
步骤S11,签发包含路由起源授权中的IP地址前缀的终端实体证书;
步骤S12,用终端实体证书的私钥签发路由起源授权。
在上述边界网关协议的信息注册方法的步骤中,证书签发机构(CertificationAuthority,简称CA)通过终端实体证书的私钥签发路由起源授权(ROA),终端实体证书(End-Entity,EE证书)用于验证与资源使用授权相关的签名对象路由起源授权(ROA),终端实体证书与路由起源授权(ROA)一一关联,从而保证路由起源授权(ROA)签名的安全性和独立性。
优选地,在本发明的实施方式中,边界网关协议的信息注册方法中的DNS服务器为企业DNS授权服务器。企业网络可以通过企业DNS授权服务器进行路由起源授权(ROA)信息的存储和验证,无需依赖互联网数字分配机构的基础设施进行存储管理,实现路由起源授权(ROA)信息的存储和验证的去中心化。
在本发明的第一实施方式中,还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述边界网关协议的信息注册方法的步骤。
[第二实施方式]
如图3所示,在本发明的第二实施方式中,还提供了一种边界网关协议的信息认证方法,包括:
步骤S5,根据路由起源宣告中的地址字段,发起地址字段的IP地址反向解析请求;
步骤S6,根据IP地址反向解析请求的应答结果,进行IP地址反向解析请求的应答结果中的指定域名的指定记录查询,得到路由起源宣告中的地址字段对应的路由起源授权;
步骤S7,根据路由起源宣告中的地址字段对应的路由起源授权,验证路由起源宣告是否有效。
例如,接收到路由起源宣告,其中AS号码为AS5678,IP地址前缀为1.2.3.4/20,即地址字段为ROA.4.3.2.1,对该地址字段发起IP地址反向解析请求,根据PTR记录:
ROA.4.3.2.1.in-addr.arpa.PTR ROA.companyA.com
得到IP地址反向解析请求的应答结果即该地址字段对应的指定域名(ROA.companyA.com)。然后对该指定域名进行指定记录(TXT记录)查询,根据TXT记录:
ROA.companyA.com TXT<ROA.base64.text>
得到TXT记录的应答结果即路由起源宣告中的地址字段对应的路由起源授权字段<ROA.base64.text>,然后对路由起源授权字段进行base64解码,得到路由起源授权(ROA):
IP地址前缀(Prefix) | 1.2.3.4/20 |
最大前缀长度(Max-length) | 24 |
起源AS号码(Origin ASN) | AS5678 |
然后,根据上述路由起源授权(ROA),验证路由起源宣告是否有效。
通过上述方案中的步骤,能够根据路由起源宣告中的地址字段,解析出对应的指定域名,再根据域名的解析记录得到地址字段对应的路由起源授权,从而实现路由起源宣告的路由起源授权信息的验证,并且其中的路由起源授权信息能够通过DNS系统直接进行携带存储。
如图4所示,在本实施方式中,边界网关协议的信息认证方法中的步骤S7包括:
步骤S71,判断路由起源宣告中的地址字段对应的路由起源授权是否为空,若是,则路由起源宣告的验证结果为无效,若否,进行步骤S72;
步骤S72,判断路由起源宣告中的IP地址前缀的长度是否大于路由起源授权中规定的最大前缀长度,若是,则路由起源宣告的验证结果为无效,若否,进行步骤S73;
步骤S73,判断路由起源宣告中的自治系统号是否与路由起源授权中的自治系统号匹配,若否,则路由起源宣告的验证结果为无效,若是,则路由起源宣告的验证结果为有效。
例如,自治系统A和自治系统B均发出IP地址前缀为1.2.3.4/20的路由起源宣告,其中,自治系统A的自制系统号即AS号码为AS5678,自治系统B的自制系统号即AS号码为AS6789。由于二者的IP地址前缀均为1.2.3.4/20,即地址字段为ROA.4.3.2.1,由上述步骤S5-S7的解析过程可得其地址字段对应的路由起源授权(ROA)均为:
IP地址前缀(Prefix) | 1.2.3.4/20 |
最大前缀长度(Max-length) | 24 |
起源AS号码(Origin ASN) | AS5678 |
然后,进行步骤71,判断路由起源授权是否为空,两者的路由起源授权(ROA)均不为空;继续进行步骤S72,判断路由起源宣告中的IP地址前缀的长度是否大于路由起源授权中规定的最大前缀长度(24位),两者IP地址前缀均小于24位,继续进行步骤S73,路由起源宣告中的自治系统号是否与路由起源授权中的自治系统号匹配,路由起源授权(ROA)中与IP地址前缀1.2.3.4/20对应的自制系统号为AS5678;由此可知,自治系统A的自制系统号为AS5678,与路由起源授权(ROA)中的自制系统号匹配,自治系统A的路由宣告有效;而自治系统B的自制系统号为AS6789,与路由起源授权(ROA)中的自制系统号不匹配,自治系统B的路由宣告无效。
在本发明的第二实施方式中,还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述边界网关协议的信息认证方法的步骤。
[第三实施方式]
如图5所示,在本发明的第三实施方式中,还提供了一种DNS服务器1,该DNS服务器1包括存储器11和处理器12,当存储器11中的程序或者指令由处理器12执行时,DNS服务器1在进行域名缓存解析时,能够执行以下步骤:
步骤S1,将路由起源授权编码为路由起源授权字段,将路由起源授权字段作为指定域名的指定记录的应答结果;
步骤S2,将指定域名的指定记录及指定记录的应答结果保存到DNS服务器1中指定域名的区域文件中;
步骤S3,将路由起源授权字符串和指定域名地址段编码为地址字段,将地址字段作为指定域名的指针记录的应答结果;
步骤S4,将指定域名的指针记录及指针记录的应答结果保存到DNS服务器1中指定域名的区域文件中。
在本发明的第三实施方式中,还提供了另一种DNS服务器2,DNS服务器2包括存储器21和处理器22,当存储器21中的程序或者指令由处理器22执行时,能够执行以下步骤:
步骤S5,根据路由起源宣告中的地址字段,发起地址字段的IP地址反向解析请求;
步骤S6,根据IP地址反向解析请求的应答结果,进行IP地址反向解析请求的应答结果中的指定域名的指定记录查询,得到路由起源宣告中的地址字段对应的路由起源授权;
步骤S7,根据路由起源宣告中的地址字段对应的路由起源授权,验证路由起源宣告是否有效。
通过上述DNS服务器可以将边界网关协议的证书验证信息缓存到DNS域名的解析记录中,从而能够通过DNS域名解析系统实现边界网关协议的证书验证信息的存储和验证,无需依赖互联网数字分配机构的基础设施进行存储管理。
另外,需要说明的是,在本发明的实施方式中,DNS服务器中的存储器可包含非易失性存储器,例如只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、快闪存储器(FLASH)或能够在有或者没有应用电力的情况下存储程序指令或数据的任何其他装置。存储器还可包括易失性存储器,例如随机存取存储器(RAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)和同步动态随机存取存储器(SDRAM),还可使用其他类型的RAM来实现存储器。存储器可使用单个存储器模块或多个存储器模块来实现。虽然存储器被描绘为与处理器本地互连,但本领域的技术人员将认识到,在不偏离主题技术的范围的情况下存储器可与处理器分离地设置在不同的计算机中。
处理器还可以包括通用处理器、处理器核心、多处理器、可重配置处理器、微控制器、数字信号处理器(DSP)、专用集成电路(ASIC)、图形处理单元(GPU)、现场可编程门阵列芯片(FPGA)、可编程逻辑器件(PLD)、控制器、状态机、门控逻辑、离散硬件部件或者任何其他处理单元以及上述一个或多个处理器的组合。
至此,已经结合附图描述了本发明的技术方案。但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于上述具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围。
Claims (9)
1.一种边界网关协议的信息注册方法,其特征在于,包括:
步骤S1,将路由起源授权编码为路由起源授权字段,将所述路由起源授权字段作为指定域名的指定记录的应答结果;
所述步骤S1包括:
步骤S11,签发包含所述路由起源授权中的IP地址前缀的终端实体证书;
步骤S12,用所述终端实体证书的私钥签发所述路由起源授权;
步骤S2,将所述指定域名的指定记录及所述指定记录的应答结果保存到DNS服务器中所述指定域名的区域文件中;
步骤S3,将路由起源授权字符串和所述指定域名地址段编码为地址字段,将所述地址字段作为所述指定域名的指针记录的应答结果;
步骤S4,将所述指定域名的指针记录及所述指针记录的应答结果保存到DNS服务器中所述指定域名的区域文件中。
2.如权利要求1所述的边界网关协议的信息注册方法,其特征在于,所述指定域名的指定记录为TXT记录。
3.如权利要求1所述的边界网关协议的信息注册方法,其特征在于,所述指定域名的指定记录为自定义记录。
4.如权利要求1-3任一项所述的边界网关协议的信息注册方法,其特征在于,所述DNS服务器为企业DNS授权服务器。
5.一种边界网关协议的信息认证方法,其特征在于,包括:
步骤S5,根据路由起源宣告中的地址字段,发起所述地址字段的IP地址反向解析请求;
步骤S6,根据所述IP地址反向解析请求的应答结果,进行所述IP地址反向解析请求的应答结果中的指定域名的指定记录查询,得到所述路由起源宣告中的地址字段对应的路由起源授权;
步骤S7,根据所述路由起源宣告中的地址字段对应的所述路由起源授权,验证所述路由起源宣告是否有效;
所述步骤S7包括:
步骤S71,判断所述路由起源宣告中的地址字段对应的所述路由起源授权是否为空,若是,则所述路由起源宣告的验证结果为无效,若否,进行步骤S72;
步骤S72,判断所述路由起源宣告中的IP地址前缀的长度是否大于所述路由起源授权中规定的最大前缀长度,若是,则所述路由起源宣告的验证结果为无效,若否,进行步骤S73;
步骤S73,判断所述路由起源宣告中的自治系统号是否与所述路由起源授权中的自治系统号匹配,若否,则所述路由起源宣告的验证结果为无效,若是,则所述路由起源宣告的验证结果为有效。
6.一种DNS服务器,所述DNS服务器包括存储器和处理器,其特征在于,当所述存储器中的程序或者指令由所述处理器执行时,能够执行以下步骤:
步骤S1,将路由起源授权编码为路由起源授权字段,将所述路由起源授权字段作为指定域名的指定记录的应答结果;
所述步骤S1包括:
步骤S11,签发包含所述路由起源授权中的IP地址前缀的终端实体证书;
步骤S12,用所述终端实体证书的私钥签发所述路由起源授权;
步骤S2,将所述指定域名的指定记录及所述指定记录的应答结果保存到DNS服务器中所述指定域名的区域文件中;
步骤S3,将路由起源授权字符串和所述指定域名地址段编码为地址字段,将所述地址字段作为所述指定域名的指针记录的应答结果;
步骤S4,将所述指定域名的指针记录及所述指针记录的应答结果保存到DNS服务器中所述指定域名的区域文件中。
7.一种DNS服务器,所述DNS服务器包括存储器和处理器,其特征在于,当所述存储器中的程序或者指令由所述处理器执行时,能够执行以下步骤:
步骤S5,根据路由起源宣告中的地址字段,发起所述地址字段的IP地址反向解析请求;
步骤S6,根据所述IP地址反向解析请求的应答结果,进行所述IP地址反向解析请求的应答结果中的指定域名的指定记录查询,得到所述路由起源宣告中的地址字段对应的路由起源授权;
步骤S7,根据所述路由起源宣告中的地址字段对应的所述路由起源授权,验证所述路由起源宣告是否有效;
所述步骤S7包括:
步骤S71,判断所述路由起源宣告中的地址字段对应的所述路由起源授权是否为空,若是,则所述路由起源宣告的验证结果为无效,若否,进行步骤S72;
步骤S72,判断所述路由起源宣告中的IP地址前缀的长度是否大于所述路由起源授权中规定的最大前缀长度,若是,则所述路由起源宣告的验证结果为无效,若否,进行步骤S73;
步骤S73,判断所述路由起源宣告中的自治系统号是否与所述路由起源授权中的自治系统号匹配,若否,则所述路由起源宣告的验证结果为无效,若是,则所述路由起源宣告的验证结果为有效。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-4中任一项所述的边界网关协议的信息注册方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求5所述的边界网关协议的信息认证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111484542.7A CN114124411B (zh) | 2021-12-07 | 2021-12-07 | 信息注册方法、信息认证方法、dns服务器及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111484542.7A CN114124411B (zh) | 2021-12-07 | 2021-12-07 | 信息注册方法、信息认证方法、dns服务器及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114124411A CN114124411A (zh) | 2022-03-01 |
CN114124411B true CN114124411B (zh) | 2024-01-09 |
Family
ID=80367319
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111484542.7A Active CN114124411B (zh) | 2021-12-07 | 2021-12-07 | 信息注册方法、信息认证方法、dns服务器及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114124411B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283567A (zh) * | 2013-07-02 | 2015-01-14 | 北京四维图新科技股份有限公司 | 一种名称数据的压缩、解压缩方法及设备 |
CN105162900A (zh) * | 2015-09-25 | 2015-12-16 | 中国互联网络信息中心 | 一种多节点协作的域名解析和缓存方法及系统 |
CN105376344A (zh) * | 2015-11-26 | 2016-03-02 | 中国互联网络信息中心 | 一种与源地址相关的递归域名服务器的解析方法及系统 |
CN105376098A (zh) * | 2015-11-30 | 2016-03-02 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
WO2016082275A1 (zh) * | 2014-11-27 | 2016-06-02 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
CN105681047A (zh) * | 2016-03-25 | 2016-06-15 | 中国互联网络信息中心 | 一种ca证书签发方法及系统 |
CN108092897A (zh) * | 2017-11-23 | 2018-05-29 | 浙江大学 | 一种基于sdn的可信路由源管理方法 |
CN110012119A (zh) * | 2019-03-12 | 2019-07-12 | 广州大学 | 一种ip地址前缀授权与管理方法 |
CN111031010A (zh) * | 2019-11-25 | 2020-04-17 | 鹏城实验室 | 一种基于区块链的资源公钥基础设施的证书交易告警方法 |
CN112003822A (zh) * | 2020-07-15 | 2020-11-27 | 互联网域名系统北京市工程研究中心有限公司 | 路由起源授权的质量检测方法和装置 |
CN112543919A (zh) * | 2018-07-16 | 2021-03-23 | 亚马逊技术股份有限公司 | 地址迁移服务 |
CN113641979A (zh) * | 2021-08-12 | 2021-11-12 | 牙木科技股份有限公司 | 鉴权方法、鉴权系统及计算机可读存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11212139B2 (en) * | 2019-08-29 | 2021-12-28 | Charter Communications Operating, Llc | Border gateway protocol (BGP) hijacks prefix signing using public/private keys |
US11005811B2 (en) * | 2019-10-05 | 2021-05-11 | Ipxo Limited | Computer systems and methods for managing IP addresses |
CN111106940B (zh) * | 2019-11-25 | 2022-11-04 | 广州大学 | 一种基于区块链的资源公钥基础设施的证书交易验证方法 |
-
2021
- 2021-12-07 CN CN202111484542.7A patent/CN114124411B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283567A (zh) * | 2013-07-02 | 2015-01-14 | 北京四维图新科技股份有限公司 | 一种名称数据的压缩、解压缩方法及设备 |
WO2016082275A1 (zh) * | 2014-11-27 | 2016-06-02 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
CN105162900A (zh) * | 2015-09-25 | 2015-12-16 | 中国互联网络信息中心 | 一种多节点协作的域名解析和缓存方法及系统 |
CN105376344A (zh) * | 2015-11-26 | 2016-03-02 | 中国互联网络信息中心 | 一种与源地址相关的递归域名服务器的解析方法及系统 |
CN105376098A (zh) * | 2015-11-30 | 2016-03-02 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
CN105681047A (zh) * | 2016-03-25 | 2016-06-15 | 中国互联网络信息中心 | 一种ca证书签发方法及系统 |
CN108092897A (zh) * | 2017-11-23 | 2018-05-29 | 浙江大学 | 一种基于sdn的可信路由源管理方法 |
CN112543919A (zh) * | 2018-07-16 | 2021-03-23 | 亚马逊技术股份有限公司 | 地址迁移服务 |
CN110012119A (zh) * | 2019-03-12 | 2019-07-12 | 广州大学 | 一种ip地址前缀授权与管理方法 |
CN111031010A (zh) * | 2019-11-25 | 2020-04-17 | 鹏城实验室 | 一种基于区块链的资源公钥基础设施的证书交易告警方法 |
CN112003822A (zh) * | 2020-07-15 | 2020-11-27 | 互联网域名系统北京市工程研究中心有限公司 | 路由起源授权的质量检测方法和装置 |
CN113641979A (zh) * | 2021-08-12 | 2021-11-12 | 牙木科技股份有限公司 | 鉴权方法、鉴权系统及计算机可读存储介质 |
Non-Patent Citations (4)
Title |
---|
Privacy Preserving and Resilient RPKI;Kris Shrishak ect.;《IEEE INFOCOM 2021 - IEEE Conference on Computer Communications》;全文 * |
RISP: An RPKI-based inter-AS source protection mechanism;Yihao Jia ect.;《Tsinghua Science and Technology ( Volume: 23, Issue: 1, February 2018)》;全文 * |
RPKI概览;马迪;;电信网技术(第09期);全文 * |
一种改进的BGP路由源认证机制;贾佳;延志伟;耿光刚;金键;;计算机系统应用(第01期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114124411A (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101277257B (zh) | 一种dns动态更新的方法、装置和系统 | |
CN102006299B (zh) | 一种面向可信互联网的基于实体标识的身份认证方法及系统 | |
CN105592011B (zh) | 一种账号登录方法及装置 | |
JP7169462B2 (ja) | ブロックチェーンネットワークにおいてアイデンティティ証明書を取り換える方法、装置、記憶媒体及びコンピュータ機器 | |
CN101960814B (zh) | Ip地址委派 | |
US20100070761A1 (en) | Reliable authentication of message sender's identity | |
US11521205B2 (en) | Method for certificate transaction validation of blockchain-based resource public key infrastructure | |
US20140058875A1 (en) | Methods for facilitating an electronic signature and devices thereof | |
US20210160067A1 (en) | Method for bidirectional authorization of blockchain-based resource public key infrastructure | |
CN103078877B (zh) | 基于dns的用户认证和域名访问控制方法及系统 | |
CN110535971A (zh) | 基于区块链的接口配置处理方法、装置、设备及存储介质 | |
CN115021989B (zh) | 工业互联网异构标识解析体系互信互认方法及系统 | |
Galvin | Public Key Distribution with Secure DNS. | |
CA2986401C (en) | Authenticating a system based on a certificate | |
US20080010448A1 (en) | Delegated Certificate Authority | |
CN113536284A (zh) | 一种数字证书的验证方法、装置、设备和存储介质 | |
CN114127764A (zh) | 与分布式账本关联的目的地寻址 | |
CN114944937A (zh) | 分布式数字身份验证方法、系统、电子设备及存储介质 | |
CN114124411B (zh) | 信息注册方法、信息认证方法、dns服务器及存储介质 | |
CN112099964A (zh) | 接口的调用方法、装置、存储介质及电子装置 | |
Huston et al. | Resource public key infrastructure (RPKI) trust anchor locator | |
CN101594339A (zh) | 管理和查询映射信息的方法、设备及通信系统 | |
Sridhara et al. | Global distributed secure mapping of network addresses | |
CN111405079A (zh) | 一种域名解析方法、装置、存储介质及电子设备 | |
JP2007266797A (ja) | 認証システムおよびその認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |