CN114598487B - 一种验证as对的方法、装置及设备 - Google Patents
一种验证as对的方法、装置及设备 Download PDFInfo
- Publication number
- CN114598487B CN114598487B CN202011410695.2A CN202011410695A CN114598487B CN 114598487 B CN114598487 B CN 114598487B CN 202011410695 A CN202011410695 A CN 202011410695A CN 114598487 B CN114598487 B CN 114598487B
- Authority
- CN
- China
- Prior art keywords
- pair
- verification
- information
- path
- path information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Abstract
本申请公开了一种验证AS对的方法、装置及设备,涉及计算机网络技术领域,该方法法能够避免在验证AS路径时对该AS路径的路径信息中的AS对的误判,从而提高验证AS路径的准确率。该方法应用于网络设备。该方法包括:获取包括AS对的路径信息;确定路径信息中AS对所属区域的区域信息;基于确定的AS对所属区域的区域信息,对该AS对进行验证。其中,路径信息中的AS对,包括该路径信息中相邻的两个AS号。
Description
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种验证自治系统AS对的方法、装置及设备。
背景技术
自治系统(autonomous system,AS)是指在一个实体管辖下的拥有相同选路策略的因特网协议(Internet Protocol,IP)网络。由于边界网关协议(Border GatewayProtocol,BGP)在设计之初并未考虑安全因素,因此在具有预设商业关系的邻居AS之间传递BGP路由信息时,容易出现路由信息泄露的问题。而路由信息泄露,往往会使流量绕行更长的路径,从而导致流量传输的时延增大。进一步的,严重的路由信息泄露还可能导致路由访问异常中断、流量侦听、中间人攻击以及仿冒攻击等安全风险。
为防止路由泄露,AS通常可以通过资源公钥基础设施(resource public keyinfrastructure,RPKI)机制,并基于无谷(valley free)原则对接收到的BGP路由信息中AS路径(AS path)的路径信息里的每个AS对(AS pair)进行验证,以确认该AS路径的合法性,从而确认该BGP路由的安全性。然而,AS在通过现有技术对接收到的AS路径的路径信息进行验证时,通常会出现对AS路径的路径信息中AS对误判的情况,这样的话,会导致该AS路径的验证结果错误。
基于此,如何避免验证AS路径时对该AS路径的路径信息中AS对的误判,是现有技术中亟待解决的技术问题。
发明内容
本申请实施例提供了一种验证AS对的方法、装置及设备,该方法能够避免在验证AS路径时对该AS路径的路径信息中的AS对的误判,从而提高验证AS路径的准确率。
第一方面,本申请实施例提供了一种验证AS对的方法,该方法可以应用于网络设备。该方法包括:获取包括AS对的路径信息,确定路径信息中的AS对所属区域的区域信息。然后,基于确定的AS对所属区域的区域信息,对AS对进行验证。其中,路径信息中的AS对,包括该路径信息中相邻的两个AS号。
通过本申请实施例提供的验证AS对的方法对验证AS对的时候,引入了基于AS对所属区域的区域信息对AS对进行验证。这样的话,即可避免了在验证路径信息中的AS对时,由于不同地区相同AS对具有不同的商业关系所造成的商业关系误判。进一步,当AS对能验证准确的话,那么基于无谷原则验证包括AS对的路径信息所对应的路径的合法性时,验证的准确度也相应提高。
在一种可能的设计方式中,上述基于确定的AS对所属区域的区域信息,对AS对进行验证包括:基于确定的AS对所属区域的区域信息以及验证表项数据库,对AS对进行验证。
在另一种可能的设计方式中,上述基于确定的AS对所属区域的区域信息,以及验证表项数据库,对AS对进行验证包括:当该验证表项数据库中存在包括AS对、以及与该AS对所属区域的区域信息对应的区域标识的验证表项,则确定对该AS对验证成功。
在另一种可能的设计方式中,上述基于确定的AS对所属区域的区域信息,以及验证表项数据库,对AS对进行验证包括:当该验证表项数据库中不存在包括AS对、以及与该AS对所属区域的区域信息对应的区域标识的验证表项,则确定对该AS对验证失败。
通过上述几种可能的实现方式,由于验证表项数据库中包括AS对所属区域的区域标识,这样,当在基于AS所属区域的区域信息,在验证表项数据库中验证AS对时,不仅需要在验证表项数据库中匹配与待验证AS对相同的AS对,还需要在验证表项数据库中确定与待验证AS对相同的AS对的区域标识是否和待验证AS对的所属区域的区域信息相匹配。
这样,即可避免在验证路径信息中的AS对时,由于不同地区相同AS对具有不同的商业关系所造成的商业关系误判。进一步,当AS对能验证准确的话,那么基于无谷原则验证包括AS对的路径信息所对应的路径的合法性时,验证的准确度也相应提高。
在另一种可能的设计方式中,上述确定路径信息中的AS对所属区域的区域信息包括:在包括路径信息的路由信息中确定AS对所属区域的区域信息。或者,基于路由信息的前缀确定AS对所属区域的区域信息。
通过该可能的实现方式,可以获取到路径信息中AS对所属区域的区域信息。这样,网络设备即可基于该区域信息在验证表项数据库中对该AS对进行验证,提高了AS对的验证的准确率。
需要说明的是,本申请实施例可以通过任意能够获取到AS对所属区域的区域信息的方式,来获取该区域信息。
在另一种可能的设计方式中,在基于确定的AS对所属区域的区域信息,以及验证表项数据库对AS对进行验证之前,上述方法还包括:获取该验证表项数据库。
在另一种可能的设计方式中,上述的验证表项数据库包括第一验证表项数据库。则获取该验证表项数据库包括:接收来自服务器的协议数据单元(protocol data units,PDU)报文,PDU报文中包括具有预设商业关系的AS对和具有预设商业关系的AS对所属区域的区域标识。然后,基于接收到的PDU报文,生成该第一验证表项数据库。
在另一种可能的设计方式中,上述的验证表项数据库还包括第二验证表项数据库。则上述获取该验证表项数据库包括:基于网络路由表和/或网络数据,生成该第二验证表项数据库。其中,该网络路由表和/或网络数据中包括具有预设商业关系的AS对和具有预设商业关系的AS对所属区域的区域信息。
通过上述几种可能的实现方式,网络设备可以通过不同方式构建出本地的包括AS对所属区域标识的验证表项数据库。这样,基于构建好的验证表项数据库和待验证AS对所属区域的区域信息,即可对AS对进行准确验证,从而提高了验证包括AS对的路径信息所对应路径的准确率。
在另一种可能的设计方式中,上述基于确定的AS对所属区域的区域信息,以及验证表项数据库,对AS对进行验证包括:基于AS对所属区域的区域信息,以及上述第一验证表项数据库,对AS对进行验证。如果AS对验证失败,则基于AS对所属区域的区域信息和上述第二验证表项数据库,对AS对进行验证。
通过该可能的实现方式,网络设备可以先基于AS对所属区域的区域信息和从服务器获取到的第一验证表项数据库来验证AS对,当验证失败,即可再次根据AS对所属区域的区域信息和基于分析网络路由表和/或网络数据得到的第一验证表项数据库来验证AS对。这样,即可在服务器的验证数据不够全面时,由分析网络路由表和/或网络数据所得到的验证数据来进一步对待验证AS对进行验证,从而进一步降低了验证AS对时的误判率。
在另一种可能的设计方式中,上述基于确定的AS对所属区域的区域信息,以及验证表项数据库,对AS对进行验证包括:基于AS对所属区域的区域信息,以及验证表项数据库中与路径信息的前缀对应的目标验证表项,对AS对进行验证。其中,该目标验证表项中AS对的IP版本与路径信息中前缀的IP版本相同。
通过该可能的实现方式,消除了由于AS采用不同IP版本时对验证路径信息中AS对验证时的影响。
在另一种可能的设计方式中,上述的路径信息包括按照预设顺序排列的多个AS号,该多个AS号用于指示该路径信息对应的路径。上述方法还包括:依次对该路径信息中的每个AS对进行验证,以实现该路径信息对应的路径的验证。
通过该可能的实现方式,由于通过本申请实施例提供的方法验证AS对,可以避免由于在验证路径信息中的AS对时,由于不同地区相同AS对具有不同的商业关系所造成的商业关系误判。这样,由于AS对能够验证准确,那么基于无谷原则验证包括AS对的路径信息所对应的路径的合法性时,验证的准确度也相应提高。
在另一种可能的设计方式中,上述方法还包括:当在上述路径信息中首次验证AS对失败时,翻转该路径信息中未进行验证的AS对。然后,对翻转后的AS对进行验证,以完成该路径信息对应的路径的验证。
通过该可能的实现方式,可以使得验证表项数据库在构建时,仅需构建具有单一商业关系的数据库,即提高了构建验证表项数据库的效率。这是由于在验证路径信息中,通常只包括C2P AS对、P2C AS对以及P2P AS对。这样的话,仅构建包括C2P AS对的验证表项数据库,或者仅构建包括P2C AS对的验证表项数据库即可。当第一次验证AS对失败时,只需将后续为验证的AS对进行翻转,在路径合法的时,翻转后的AS对即可在验证表项数据库中匹配到相同的AS对,从而能够顺利进行验证。
在另一种可能的设计方式中,上述方法还包括:如果上述路径信息中包括至多一个验证失败的AS对,则确定该路径信息对应的路径验证成功。
在另一种可能的设计方式中,上述方法还包括:基于上述路径信息生成第一转发表项。
通过该两种可能的实现方式,网络设备基于验证成功的路径对应的路径信息生成转发表项。由于该转发表项对应的路径验证成功,即该转发表项为安全的转发表项。这样,当网络设备后续转发报文时,即可使用该安全的转发表项,不会发生路由泄露,从而保证的传输数据的安全性。
在另一种可能的设计方式中,上述方法还包括:如果上述路径信息包括至少两个验证失败的AS对,则确定该路径信息对应的路径验证失败。
在另一种可能的设计方式中,上述方法还包括:基于上述路径信息生成第二转发表项。然后,为该第二转发表项标记特定信息,该特定信息用于指示该第二转发表项是高风险转发表项或低优先级转发表项。
通过该两种可能的实现方式,网络设备可以基于验证失败的路径对应的路径信息生成转发表项。由于该转发表项对应的路径验证失败,即该转发表项为非安全的转发表项,即通过该转发表项转发报文时,可能会发生路由泄露,从而造成数据泄露。进一步的,通过为这些非安全的转发表项标记特定信息,即可提醒网络设备在使用这些转发表项时,综合考虑该转发表项所带来的风险,例如不使用这些转发表项转发安全性要求较高的数据报文。也就是说,网络设备可以基于实际情况使用这些转发表项,从而提高了网络设备使用转发表项时的灵活性。
在另一种可能的设计方式中,如果上述的网络设备是第一AS中的网络设备;则上述方法还包括:向该目标设备发送上述路径信息对应的路径的验证结果。其中,该目标设备是第一AS中与该网络设备连接通信的设备。
通过该可能的设计,当该目标设备接收到包括该路径信息的BGP更新报文后,可以基于该验证结果对该路径信息进行处理,而不必再对该路径信息进行验证,从而节省了目标设备的资源,即提高了目标设备的效率。
在另一种可能的设计方式中,上述“获取包括AS对的路径信息”,包括:获取边界网关协议BGP更新报文。其中,该BGP更新报文中包括有上述的路径信息。
在另一种可能的设计方式中,上述方法还包括:在接收上述BGP更新报文后,对该BGP更新报文里的路径信息中的AS对进行验证,以实现该路径信息对应的路径的验证。或者,在发送该BGP更新报文前,对该BGP更新报文里的路径信息中的AS对进行验证,以实现该路径信息对应的路径的验证。
通过该可能的实现方式,网络设备验证包括AS对的路径信息所对应的路径的时机比较灵活,即可在接收路径信息后即进行验证,也可以在接收到路径信息或生成路径信息后,发送该路径信息之前进行验证,这样,即表明本申请实施例提供的方法适用于多种场景,提高了本申请实施例方法应用的范围。
第二方面,本申请实施例提供了一种验证自治系统AS对的装置,该装置应用于网络设备。该装置包括:获取单元,用于获取路径信息,路径信息包括AS对,AS对包括路径信息中相邻的两个AS号。处理单元,用于确定AS对所属区域的区域信息,以及用于基于区域信息对AS对进行验证。
在一种可能的设计方式中,上述的处理单元,具体用于基于区域信息和验证表项数据库,对AS对进行验证。
在另一种可能的设计方式中,上述处理单元,具体用于当验证表项数据库中存在包括AS对、以及与区域信息对应的区域标识的验证表项,则确定对AS对验证成功。
在另一种可能的设计方式中,上述的处理单元,还具体用于当验证表项数据库中不存在包括AS对、以及与区域信息对应的区域标识的验证表项,则确定对AS对验证失败。
在另一种可能的设计方式中,上述的处理单元,还用于在包括路径信息的路由信息中确定AS对所属区域的区域信息。或者,还用于基于路由信息的前缀,确定AS对所属区域的区域信息。
在另一种可能的设计方式中,上述的获取单元,还用于获取验证表项数据库。
在另一种可能的设计方式中,上述验证表项数据库包括第一验证表项数据库,则上述装置还包括:接收单元,用于接收来自服务器的协议数据单元PDU报文,PDU报文中包括具有预设商业关系的AS对和具有预设商业关系的AS对所属区域的区域标识。上述的处理单元,还用于基于PDU报文,生成第一验证表项数据库。
在另一种可能的设计方式中,上述验证表项数据库还包括第二验证表项数据库。则上述的处理单元,还用于基于网络路由表和/或网络数据,生成第二验证表项数据库。其中,网络路由表和/或网络数据中包括具有预设商业关系的AS对和具有预设商业关系的AS对所属区域的区域信息。
在另一种可能的设计方式中,上述的处理单元,还具体用于基于区域信息和第一验证表项数据库,对AS对进行验证;以及用于,如果AS对验证失败,则基于区域信息和第二验证表项数据库,对AS对进行验证。
在另一种可能的设计方式中,上述的处理单元,还具体用于基于区域信息,以及验证表项数据库中与路径信息的前缀对应的目标验证表项,对AS对进行验证。其中,目标验证表项中AS对的网际互联协议IP版本与路径信息中前缀的IP版本相同。
在另一种可能的设计方式中,上述路径信息包括按照预设顺序排列的多个AS号,该多个AS号用于指示路径信息对应的路径。则上述的处理单元,还用于依次对路径信息中的每个AS对进行验证,以实现路径信息对应的路径的验证。
在另一种可能的设计方式中,上述处理单元,还用于当在路径信息中首次验证AS对失败时,翻转路径信息中未进行验证的AS对。以及,用于对翻转后的AS对进行验证,以完成路径信息对应的路径的验证。
在另一种可能的设计方式中,上述的处理单元,还用于如果路径信息中包括至多一个验证失败的AS对,则确定路径信息对应的路径验证成功。
在另一种可能的设计方式中,上述的处理单元,还用于基于路径信息生成第一转发表项。
在另一种可能的设计方式中,上述的处理单元,还用于如果路径信息包括至少两个验证失败的AS对,则确定路径信息对应的路径验证失败。
在另一种可能的设计方式中,上述的处理单元,还用于基于路径信息生成第二转发表项。以及,用于为第二转发表项标记特定信息,特定信息用于指示第二转发表项是高风险转发表项或低优先级转发表项。
在另一种可能的设计方式中,如果上述的网络设备是第一AS中的网络设备,则上述装置还包括:发送单元,用于向目标设备发送路径信息对应的路径的验证结果;其中,目标设备是第一AS中与网络设备连接通信的设备。
在另一种可能的设计方式中,上述的获取单元,具体用于获取边界网关协议BGP更新报文,BGP更新报文中包括路径信息。
在另一种可能的设计方式中,上述的处理单元,还用于在接收BGP更新报文后,对该BGP更新报文里的路径信息中的AS对进行验证,以实现该路径信息对应的路径的验证。或者,用于在发送BGP更新报文前,对该BGP更新报文里的路径信息中的AS对进行验证,以实现该路径信息对应的路径的验证。
应理解,上述划分的各个功能模块/单元可以集成为一个或多个单元/模块,上述划分的各个功能模块/单元执行的可能的技术方案和有益效果的描述均可以参考上述第一方面或其相应的可能的设计提供的技术方案,此处不再赘述。
第三方面,本申请实施例提供了一种验证AS对的装置。该验证AS对的装置包括:存储器和一个或多个处理器,存储器和处理器耦合。存储器用于存储计算机指令,处理器用于调用该计算机指令,以执行如第一方面及其任一种可能的设计方式提供的任一种方法。
第四方面,本申请实施例提供了一种验证AS对的设备,该设备是AS中的网络设备。该设备用于执行如第一方面及其任一种可能的设计方式提供的任一种方法。
第五方面,本申请实施例提供了一种计算机可读存储介质,如计算机非瞬态的可读存储介质。其上储存有计算机程序(或指令),当该计算机程序(或指令)在验证AS对的装置上运行时,使得该验证AS对的装置执行上述第一方面中的任一种可能的实现方式提供的任一种方法。
第六方面,本申请实施例提供了一种计算机程序产品,当其在验证AS对的装置上运行时,使得第一方面中的任一种可能的实现方式提供的任一种方法被执行。
第七方面,本申请实施例提供了一种芯片系统,包括:处理器,处理器用于从存储器中调用并运行该存储器中存储的计算机程序,执行第一方面中的实现方式提供的任一种方法。
可以理解的是,上述提供的任一种装置、计算机存储介质、计算机程序产品或芯片系统等均可以应用于上文所提供的对应的方法,因此,其所能达到的有益效果可参考对应的方法中的有益效果,此处不再赘述。
在本申请实施例中,上述验证AS对的装置的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请实施例类似,属于本申请实施例权利要求及其等同技术的范围之内。
附图说明
图1为本申请实施例提供的一种合法的AS路径的示意图;
图2为本申请实施例提供的一种非法的AS路径的示意图;
图3为本申请实施例提供的一种网络设备的硬件结构示意图;
图4为本申请实施例提供的一种验证系统的架构示意图;
图5为本申请实施例提供的一种验证AS对的方法的流程示意图;
图6为本申请实施例提供的一种生成第一验证表项数据库的方法流程示意图;
图7为本申请实施例提供的一种AS用户在RIR网站上注册ASPA信息的示意图;
图8为本申请实施例提供的一种PDU报文的示意图;
图9为本申请实施例提供的一种生成第二验证表项数据库的方法流程示意图;
图10为本申请实施例提供的一种验证AS对的装置100的结构示意图;
图11为本申请实施例提供的一种芯片系统的结构示意图;
图12为本申请实施例提供的计算机程序产品的结构示意图。
具体实施方式
为了更清楚的理解本申请实施例,下面对本申请实施例中涉及的部分术语或技术进行说明:
1)AS邻居商业关系
AS邻居商业关系是指两个邻居AS之间签订的关于流量转发的付费方式的商业合同关系。基本商业关系包括消费者到提供商关系(customer to provider,C2P),提供商到消费者关系(provider to customer,P2C),端到端关系(peer to peer,P2P),以及同级到同级关系(sibling to sibling,S2S)。
其中,C2P关系是指customer AS作为BGP路由发送方,付费给provider AS,并将customer自己的路由和客户的路由通过provider发送到英特网(internet),以实现通过provider与internet通信。可以看出,provider AS是BGP路由的接收方。
P2C关系可以理解为C2P关系的反向描述,其描述的内容和C2P关系的内容一致。区别仅在于C2P关系以customer AS的角度描述,而P2C关系以provider AS的角度描述。不再赘述。
此外,具有P2P关系的两个AS关系对等,且该对等AS间双边免费。但从经济利益的角度出发,两个对等AS都不希望对方通过自己来访问Internet,因此对等AS只把自己的路由和自己客户的路由公告给对方。
具有S2S关系的两个AS属于同一个组织,两者之间可以自由交换流量,无须任何费用。
2)其他术语
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的实施例中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本申请中术语“至少一个”的含义是指一个或多个,本申请中术语“多个”的含义是指两个或两个以上,例如,多个第二报文是指两个或两个以上的第二报文。本文中术语“系统”和“网络”经常可互换使用。
应理解,在本文中对各种所述示例的描述中所使用的术语只是为了描述特定示例,而并非旨在进行限制。如在对各种所述示例的描述和所附权利要求书中所使用的那样,单数形式“一个(“a”,“an”)”和“该”旨在也包括复数形式,除非上下文另外明确地指示。
还应理解,本文中所使用的术语“和/或”是指并且涵盖相关联的所列出的项目中的一个或多个项目的任何和全部可能的组合。术语“和/或”,是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本申请中的字符“/”,一般表示前后关联对象是一种“或”的关系。
还应理解,在本申请的各个实施例中,各个过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
还应理解,术语“包括”(也称“includes”、“including”、“comprises”和/或“comprising”)当在本说明书中使用时指定存在所陈述的特征、整数、步骤、操作、元素、和/或部件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元素、部件、和/或其分组。
还应理解,术语“如果”可被解释为意指“当...时”(“when”或“upon”)或“响应于确定”或“响应于检测到”。类似地,根据上下文,短语“如果确定...”或“如果检测到[所陈述的条件或事件]”可被解释为意指“在确定...时”或“响应于确定...”或“在检测到[所陈述的条件或事件]时”或“响应于检测到[所陈述的条件或事件]”。
应理解,说明书通篇中提到的“一个实施例”、“一实施例”、“一种可能的实现方式”意味着与实施例或实现方式有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”、“一种可能的实现方式”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
应理解,BGP路由信息中包括有AS路径的路径信息(以下简称AS路径信息),一条AS路径信息可以包括按照第一预设顺序(对应本申请实施例中的预设顺序)排列的多个AS号(AS number,ASN)。其中,AS路径信息中的每个AS号唯一标识一个AS。这样,该第一预设顺序即用于指示AS路径信息所指示的AS路径经过该多个AS号所标识的多个AS的顺序。
在按照第一预设顺序排列的多个AS号中,相邻的两个AS号即为一个AS对(ASpair)。即在AS路径信息中,包括多个AS对。且该多个AS对也是按照第一预设顺序排列的。
作为示例,如果AS路径1的路径信息是(ASN 3,ASN 2,ASN 1),则AS路径1的起点AS可以是ASN 1所标识的AS,终点AS可以是ASN 3所标识的AS。即,ASN 1、ASN 2、ASN 3的排列顺序,指示了AS路径1依次经过ASN 1所标识的AS、ASN 2所标识的AS、以及ASN 3所标识的AS。其中,AS路径1的路径信息中包括有2个AS对,分别为ASN 1:ASN 2和ASN 2:ASN 3。
其中,AS路径信息中的任一个AS对,可以是具有预设AS邻居商业关系的一对邻居AS。该预设AS邻居商业关系可以是上述描述的C2P关系、P2C关系、P2P关系或S2S关系中的任一种。
为简单描述,在本申请实施例下文中,将具有C2P关系的AS对称为C2P AS对,将具有P2C关系的AS对称为P2C AS对,将具有P2P关系的AS对称为P2P AS对,将具有S2S关系的AS对称为S2S AS对。
对于具有C2P或P2C关系的任一个AS对而言,该AS对中的邻居AS的先后顺序,与该AS对所具有的商业关系对应。
作为示例,对于AS对1,ASN 1:ASN 2而言,如果AS对1是C2P AS对,则ASN 1所标识的AS是customer AS,ASN 2标识的AS是provider AS。如果AS对1是P2C AS对,则ASN 1所标识的AS是provider AS,ASN 2标识的AS是customer AS。
为了避免BGP路由泄露带来的后果,当前通常采用Valley Free原则来检测一条BGP路由信息中的AS路径信息是否存在路由泄露的情况。
该Valley Free原则是指,对于任意BGP路由信息中的AS路径信息,该AS路径信息只能包括严格按照第二预设顺序排列的m个C2P AS对、0或1个P2P AS对或n个P2C AS对中的至少一个AS对。其中,m和n是大于或等于0的整数。
其中,该第二预设顺序包括:C2P AS对之后可以包括0或多个C2P AS对、P2P AS对、或者0或多个P2C AS对中的至少一种。P2P AS对之后仅包括是0或多个P2C AS对。P2C AS对之后仅包括0或多个P2C AS对。
也就是说,如果将仅包括C2P AS对的AS路径信息所指示的路径称为上行路径(upstream path),将仅包括P2C AS对的AS路径信息所指示的路径称为下行路径(downstream path)。则基于Valley Free原则,可以使一条同时包括有上行路径和下行路径的AS路径,不会反复出现由上下行路径构成的波峰或波谷。这样,也即符合了利益最大化原则。
这样的话,当AS路径信息中的AS对的排列顺序符合上述的Valley Free原则,则可以认为该AS路径信息没有发生路由泄露,即该AS路径信息所指示的AS路径是合法的。当AS路径信息中的AS对的排列顺序不符合上述的Valley Free原则,则可以认为该AS路径信息发生了路由泄露,即该AS路径信息所指示的AS路径是非法的。
示例性的,参考图1,图1示出了一种合法的AS路径的示意图。
如图1所示,图1示出的AS路径1的路径信息包括:(ASN 5,ASN 4,ASN 3,ASN 2,ASN1)。
其中,AS路径1的起点AS是ASN 1所标识的AS,终点AS是ASN 5所标识的AS。在AS路径1的路径信息中,包括4个AS对,分别为ASN 1:ASN 2、ASN 2:ASN 3、ASN 3:ASN 4以及ASN4:ASN 5。其中,ASN 1:ASN 2和ASN 2:ASN 3均是C2P AS对,ASN 3:ASN 4和ASN 4:ASN 5均是P2C AS对。
可以看出,在ASN 1:ASN 2中,ASN 2所标识的AS是作为provider的AS,而在ASN 2:ASN 3中,ASN 2所标识的AS是作为customer的AS。类似的,在ASN 3:ASN 4中,ASN 4所标识的AS是作为customer的AS,而在ASN 4:ASN 5中,ASN 4所标识的AS是作为provider的AS。
可以看出,在AS路径1的路径信息中,在具有C2P关系的ASN 1:ASN 2之后,包括具有C2P关系的ASN 2:ASN 3,以及包括具有P2C关系的ASN 3:ASN 4和ASN 4:ASN 5。在具有C2P关系的ASN 2:ASN 3之后,仅包括有P2C关系的ASN 3:ASN 4和ASN 4:ASN 5。在具有P2C关系的ASN 3:ASN 4之后,仅包括具有P2C关系的ASN 4:ASN 5。
因此,AS路径1的路径信息中的AS对的排列顺序是符合Valley Free原则,即AS路径1是合法的。
图1示出的AS路径2的路径信息包括:(ASN 8,ASN 7,ASN 6,ASN 3,ASN 2,ASN 1)。
其中,AS路径2的起点AS是ASN 1所标识的AS,终点AS是ASN 8所标识的AS。在AS路径2的路径信息中,包括5个AS对,分别为ASN 1:ASN 2、ASN 2:ASN 3、ASN 3:ASN 6、ASN 6:ASN 7以及ASN 7:ASN 8。其中,ASN 1:ASN 2和ASN 2:ASN 3均是C2P AS对,ASN 3:ASN 6是P2P AS对,ASN 6:ASN 7和ASN 7:ASN 8均是P2C AS对。
可以看出,在AS路径2的路径信息中,在具有C2P关系的ASN 1:ASN 2之后,包括具有C2P关系的ASN 2:ASN 3,包括具有P2P关系的ASN 3:ASN 6,还包括具有P2C关系的ASN 6:ASN 7和ASN 7:ASN 8。在具有C2P关系的ASN 2:ASN 3之后,包括具有P2P关系的ASN 3:ASN6,还包括具有P2C关系的ASN 6:ASN 7和ASN 7:ASN 8。在具有P2P关系的ASN 3:ASN 6之后,仅包括具有P2C关系的ASN 6:ASN 7和ASN 7:ASN 8。在具有P2C关系的ASN 6:ASN 7后,仅包括具有P2C关系的ASN 7:ASN 8。
因此,AS路径2的路径信息中的AS对的排列顺序是符合Valley Free原则,即AS路径2也是合法的。
参考图2,图2示出了一种非法的AS路径的示意图。
如图2中的(a)所示,图2中的(a)示出的AS路径1的路径信息包括:(ASN 9,ASN 5,ASN 4,ASN 3,ASN 2,ASN 1)。
其中,AS路径1的起点AS是ASN 1所标识的AS,终点AS是ASN 9所标识的AS。在AS路径1的路径信息中,包括5个AS对,分别为ASN 1:ASN 2、ASN 2:ASN 3、ASN 3:ASN 4、ASN 4:ASN 5以及ASN 5:ASN 9。其中,ASN 1:ASN 2、ASN 2:ASN 3以及ASN 5:ASN 9可以均是C2PAS对,ASN 3:ASN 4和ASN 4:ASN 5可以均是P2C AS对。
可以看出,在AS路径1的路径信息中,在具有P2C关系的ASN 4:ASN 5之后,包括具有C2P关系的ASN 5:ASN 9。可见,AS路径1的路径信息中的AS对ASN 4:ASN 5和AS对ASN 5:ASN 9的排列顺序不符合Valley Free原则,即该AS路径1是非法的。
图2中的(b)示出的AS路径2的路径信息包括:(ASN 10,ASN 8,ASN 7,ASN 6,ASN3,ASN 2,ASN 1)。
其中,AS路径2的起点AS是ASN 1所标识的AS,终点AS是ASN 10所标识的AS。在AS路径2的路径信息中,包括6个AS对,分别为ASN 1:ASN 2、ASN 2:ASN 3、ASN 3:ASN 6、ASN 6:ASN 7、ASN 7:ASN 8以及ASN 8:ASN 10。其中,ASN 1:ASN 2、ASN 2:ASN 3以及ASN 8:ASN10均是C2P AS对,ASN 3:ASN 6是P2P AS对,ASN 6:ASN 7和ASN 7:ASN 8均是P2C AS对。
可以看出,在AS路径2的路径信息中,在具有P2C关系的ASN 7:ASN 8之后,包括具有C2P关系的ASN 8:ASN 10。可见,AS路径2的路径信息中的AS对ASN 7:ASN 8和AS对ASN 8:ASN 10的排列顺序不符合Valley Free原则,即该AS路径2也是非法的。
然而,在基于上述的Valley Free原则验证BGP路由信息中的AS路径信息所指示的AS路径的合法性时,经常出现对该AS路径信息中AS对所具有的商业关系的误判,从而导致验证该AS路径信息所指示的AS路径的合法性时发生错误。
其中,对AS路径信息中AS对所具有的商业关系的误判,通常是由于在不同地区中,同一个AS对可能具有不同的商业关系造成的。
作为示例,在地区A,AS对1是具有C2P关系的AS对。而在地区2,AS对1是具有P2C关系的AS对。
这样的话,在地区B,基于上述Valley Free原则验证包括AS对1的AS路径信息所指示的AS路径的合法性时,可能会将该AS对1在地区A的商业关系,认为是AS对1在地区B的商业关系来判定该AS路径信息所指示的AS路径是否合法,从而导致在地区B,该AS路径实际是合法的AS路径时,被判定非法AS路径,而在该AS路径实际是非法AS的路径时,反而被判定为合法AS路径。
基于此,本申请实施例提供一种验证AS对的方法,该方法通过在用于验证AS对的验证表项数据库中,增加每个AS对所属区域的区域标识。这样,即可避免在基于ValleyFree原则验证BGP路由信息中路径信息所指示的AS路径的合法性时,由于对该路径信息中的AS对的商业关系的误判,从而导致的对该AS路径合法性的误判。
因此,本申请实施例所提供的验证AS对的方法,提高了验证包括该AS对的路径信息所指示的AS路径合法性的准确率。
本申请实施例还提供一种验证AS对的装置(以下简称验证装置),该验证装置可以是任意需要验证AS对的网络设备。
示例性的,该网络设备可以是网络分析设备、网络控制设备、网关设备或路由设备等,对此不作限定。
参考图3,图3示出了本申请实施例提供的一种网络设备30的硬件结构示意图。
如图3所示,网络设备30包括处理器31、存储器32、通信接口33以及总线34。处理器31、存储器32以及通信接口33之间可以通过总线34连接。
处理器31是网络设备30的控制中心,可以是一个通用中央处理单元(centralprocessing unit,CPU),也可以是其他通用处理器等。其中,通用处理器可以是微处理器或者是任何常规的处理器等。
作为一个示例,处理器31可以包括一个或多个CPU,例如图3中所示的CPU 0和CPU1。
存储器32可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
一种可能的实现方式中,存储器32可以独立于处理器31存在。存储器32可以通过总线34与处理器31相连接,用于存储数据、指令或者程序代码。处理器31调用并执行存储器32中存储的指令或程序代码时,能够实现本申请实施例提供的验证AS对的方法。
另一种可能的实现方式中,存储器32也可以和处理器31集成在一起。
通信接口33,用于网络设备30与其他设备(如服务器等)通过通信网络连接,所述通信网络可以是以太网,无线接入网(radio access network,RAN),无线局域网(wirelesslocal area networks,WLAN)等。通信接口33可以包括用于接收数据的接收单元,以及用于发送数据的发送单元。
总线34,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要指出的是,图3中示出的结构并不构成对该网络设备的限定,除图3所示部件之外,该网络设备30可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本申请实施例还提供一种验证AS对的系统(以下简称为验证系统),该验证系统是基于RPKI机制的验证系统。
具体的,参考图4,图4示出了本申请实施例提供的一种验证系统40的架构示意图。
如图4所示,验证系统40包括AS 41和AS 42,AS 41和AS 42之间可以通过网络设备411和网络设备421运行外部BGP(external/exterior BGP,EBGP)来交换BGP路由信息。其中,网络设备411可以是AS 41的网关设备,网络设备421可以是AS 42的网关设备。应理解,上述的验证装置可以应用于该网络设备中。
其中,网络设备411与RPKI服务器43连接通信。该RPKI服务器43与信任锚点44连接通信,并可以从信任锚点44获取自治系统服务商验证(autonomous system providerauthorization,ASPA)信息。
然后,RPKI服务器43对ASPA信息进行加工处理,以得到明文的ASPA验证信息。其中,RPKI服务器43可以是AS 41专用的RPKI服务器,也可以是包括AS 41在内的多个AS(例如还包括AS42)公用的RPKI服务器,对此不作限定。
这样,网络设备411即可从RPKI服务器43获取到ASPA验证信息,并用以生成验证表项数据库。这样的话,网络设备411即可在接收到网络设备421发送的BGP路由信息后,基于该验证表项数据库,对该BGP路由信息里的AS路径信息中的AS对进行验证,以实现对该AS路径信息所指示的AS路径的合法性验证。
下面结合附图,对本申请实施例提供的验证AS对的方法予以说明。
参考图5,图5示出了本申请实施例提供的一种验证AS对的方法的流程示意图。该方法可以应用于图4所示的验证系统40中的网络设备。该方法可以包括以下步骤:
S101、网络设备获取路径信息。
其中,该路径信息即为上文描述的AS路径信息,即该路径信息指示了一条AS路径,该AS路径即为该路径信息对应的路径。
也就是说,该路径信息中包括至少一个AS对,该至少一个AS对中的任一个AS对,是该路径信息中相邻的两个AS号。其中,AS对的相关说明可以参考上文描述,这里不予赘述。
可选的,网络设备可以通过获取BGP更新报文来获取该路径信息。其中,该BGP更新报文中包括该路径信息。
在一种可能的实现方式中,网络设备可以在生成BGP更新报文后,以及向邻居设备发送该BGP更新报文之前,对该BGP更新报文里路径信息中的AS对进行验证,从而实现该路径信息中所指示的AS路径的合法性验证。
作为示例,参考图4,如果网络设备是AS 41中作为网关设备的网络设备411,则网络设备411可以在生成BGP更新报文后,以及向AS 41的邻居AS 42中作为网关设备的网络设备421发送该BGP更新报文之前,对该BGP更新报文里路径信息中的AS对进行验证,以实现该路径信息所指示的AS路径的合法性验证。
在另一种可能的实现方式中,网络设备可以在接收到邻居设备发送的BGP更新报文后,对该BGP更新报文里路径信息中的AS对进行验证,从而实现该路径信息所指示的AS路径的合法性验证。
作为示例,参考图4,如果网络设备是AS 41中作为网关设备的网络设备411,则网络设备411可以在接收到AS 41的邻居AS 42中作为网关设备的网络设备421发送的BGP更新报文后,对该BGP更新报文里路径信息中的AS对进行验证,以实现该路径信息所指示的AS路径的合法性验证。
其中,通过对AS对进行验证,从而实现对包括该AS对的路径信息所指示的AS路径的合法性验证的说明,可以参考下文S104的描述,这里不予赘述。
S102、网络设备确定上述路径信息中AS对所属区域的区域信息。
为简单描述,下文以网络设备确定第一AS对所属区域的区域信息为例进行说明。其中,第一AS对是S101中获取的路径信息中的至少一个AS对中的任一个AS对。
一种可能的实现方式,包括上述路径信息的路由信息中包括有第一AS对所属区域的区域信息。这样,网络设备即可从包括该路径信息的路由信息中确定出第一AS对所属区域的区域信息。
可选的,对于接收到路由信息(例如BGP路由信息)的网络设备1,网络设备1可以在该BGP路由信息里的路径属性信息中添加网络设备1的地理位置信息。然后,网络设备1即可以将添加了自身地理位置信息的BGP路由信息发送至邻居设备。
其中,如果该邻居设备是与网络设备1所在AS相邻的AS中的网络设备,则网络设备1还在该BGP路由信息里的路径信息中添加自身所在AS的AS号(例如ASN 1)。
这样,如果该邻居设备是本申请实施例所述的网络设备,则本申请实施例所述的网络设备在接收到网络设备1添加了自身地理位置信息的BGP路由信息后,该BGP路由信息里包括ASN 1的第一AS对所属区域的区域信息,即可以基于网络设备1所添加的地理位置信息确定得到。
示例性的,网络设备1可以在接收到的BGP路由信息1里添加地理位置信息,具体如下所示:
-AS path:3356 4809 9392
-286:4990(Europe)
其中,“286”是网络设备1所在AS(例如AS 1)的AS号。网络设备1在该BGP路由信息1里的路径属性信息中添加的自身的地理位置信息可以是“4990(Europe)”,以标记自身所处地理位置为“Europe”。其中,“4990”是“Europe”的标识号。
如果网络设备所在AS的邻居AS是AS 2,则当网络设备1需要将接收到的BGP路由信息1发送至AS 2中的网络设备2时,网络设备1还需在BGP路由信息1的路径信息中添加AS 1的AS号286。即上述的AS path变为“AS path:286 3356 4809 9392”。
这样,当本申请实施例所述的网络设备是上述的网络设备2时,本申请实施例所述的网络设备接收到网络设备1发送的BGP路由信息1后,该BGP路由信息1中包括AS号286的第一AS对(即AS对3356:286)所属区域的区域信息,即为网络设备1在BGP路由信息1里添加的地理位置信息“4990(Europe)”,也即AS对3356:286所属区域的区域信息为“Europe”。其中,3356是网络设备1所在AS的另一个邻居AS(例如AS 3)的AS号。
另一种可能的实现方式,包括上述路径信息的路由信息中包括有前缀。通常,该前缀是由IP地址段和掩码组成,对此不予赘述。这样,网络设备即可以基于该前缀所覆盖的任一个IP地址,探测到达该IP地址所经过的地理位置,从而确定出路径信息中的AS对所属区域的区域信息。
作为示例,路径信息1具体如下:
"as_path":"4809 58879 132813",
"prefix":"45.195.52.0/22"
其中,路径信息1为(4809,58879,132813),路径信息1的前缀是45.195.52.0/22。则网络设备可以基于该前缀所覆盖的IP地址(例如45.195.52.1)进行traceroute探测,并获取到返回的traceroute结果。
例如,该traceroute结果中指示,到达45.195.52.1经过了以下网络节点:AS号4809所在AS的一个或多个位于地区1的网络节点,AS号58879所在AS的一个或多个位于地区1和地区2的网络节点,AS号132813所在AS的一个或多个位于地区2的网络节点。
那么,网络设备即可确定该路径信息中的AS对132813:58879所属区域的区域信息为地区2,AS对58879:4809所属区域的区域信息为地区1。
当然,以上用于确定第一AS对所属区域的区域信息的可能的实现方式,仅为示例性说明,本申请实施例对确定第一AS对所属区域的区域信息的具体实现方式不作限定。
S103、网络设备基于上述确定的AS对所属区域的区域信息,对AS对进行验证。
为简单描述,以网络设备基于确定的第一AS对所属区域的区域信息,对第一AS对进行验证为例进行说明。
具体的,网络设备基于确定的第一AS对所属区域的区域信息(本申请实施例下文中将“第一AS对所属区域的区域信息”简称为“第一区域信息”)和验证表项数据库,对第一AS对进行验证。
其中,该验证表项数据库可以是网络设备预置的,也可以是网络设备在对上述路径信息中的AS对进行验证之前从服务器获取的,对此不作限定。
其中,该验证表项数据库中包括至少一条验证表项。
对于该至少一条验证表项中的第一验证表项而言,第一验证表项中包括至少一个具有预设商业关系的AS对。其中,该预设商业关系可以是上文描述的C2P关系、P2C关系、P2P关系或S2S关系中的任一个。
为方便描述,本申请实施例在下文中以该预设商业关系是C2P关系为例进行说明。这种情况下,即第一验证表项中包括至少一个C2P AS对,也即,验证表项数据库中的AS对均为C2P AS对。
应理解,对于第一验证表项中的至少一个C2P AS对而言,该至少一个C2P AS对包括相同的customer AS号(例如AS 1的ASN 1)。也就是说,该customer AS号所指示的AS,包括至少一个provider AS。
示例性的,如表1所示,表1中所示出的表格的一行,即为一个验证表项。
其中,验证表项1可以包括customer AS1的AS号(即ASN 1)和provider AS2的AS号(ASN 2)构成的AS对(即ASN 1:ASN 2)。
验证表项2可以包括customer AS3的AS号(即ASN 3)和和provider AS4(ASN 4)构成的AS对(即ASN 3:ASN 4),以及包括customer AS3的AS号(即ASN 3)和provider AS5(ASN5)构成的AS对(即ASN 3:ASN 5)。
可以看出,customer AS3包括两个provider AS(即provider AS4和providerAS5)。
具体如表1所示:
表1
| Customer ASN | Provider ASNs |
| ASN 1 | ASN 2 |
| ASN 3 | ASN 4,ASN 5 |
需要说明的是,上述的第一验证表项中还包括上述至少一个C2P AS对所属区域的区域标识。
其中,该至少一个C2P AS对的所属区域,即为该至少一个C2P AS对所处的地理区域。该区域标识唯一标识了该至少一个C2P AS对所处的地理区域。
作为第二个示例,结合表1,参考表2,表2示意性的示出了包括AS对所属区域的区域标识的验证表项1和验证表项2。
其中,验证表项1所包括的1个C2P AS对所属区域的区域标识为区域标识1,验证表项2所包括的2个C2P AS对所属区域的区域标识为区域标识2。
具体如表2所示:
表2
| Customer ASN | Provider ASNs | 区域标识(Region Identifier) |
| ASN 1 | ASN 2 | 区域标识1 |
| ASN 3 | ASN 4,ASN 5 | 区域标识2 |
可以理解的是,同一个AS对在不同区域的商业关系,可以均为C2P关系。因此,验证表项数据库中可以包括多个包括相同AS对、但区域标识不同的验证表项。
作为第三个示例,如果表2中示出的AS对(ASN 1:ASN 2)在区域标识为区域标识3的区域中,也是C2P关系,则验证表项数据库中还包括一条包括AS对(ASN 1:ASN 2)、且区域标识为区域标识3的验证表项。
具体如表3所示:
表3
| Customer ASN | Provider ASNs | 区域标识(Region Identifier) |
| ASN 1 | ASN 2 | 区域标识1 |
| ASN 3 | ASN 4,ASN 5 | 区域标识2 |
| ASN 1 | ASN 2 | 区域标识3 |
作为第四个示例,如果表2中示出的AS对(ASN 3:ASN 4)在区域标识为区域标识4的区域中,也是C2P关系,则验证表项数据库中还包括一条包括AS对(ASN 3:ASN 4)、且区域标识为区域标识4的验证表项。
具体如表4所示:
表4
| Customer ASN | Provider ASNs | 区域标识(Region Identifier) |
| ASN 1 | ASN 2 | 区域标识1 |
| ASN 3 | ASN 4,ASN 5 | 区域标识2 |
| ASN 3 | ASN 4 | 区域标识4 |
还应理解,对于包括相同customer ASN的至少一个AS对来说,如果该至少一个AS对在所有区域中的商业关系均为C2P关系,则在包括该至少一个C2P AS对的验证表项中,该验证表项的区域标识可以为空。
作为第五个示例,如果表2中示出的AS对(ASN 3:ASN 4)和(ASN 3:ASN 5)在所有区域内均为C2P关系,则验证表项数据库中包括(ASN 3:ASN 4)和(ASN 3:ASN 5)的验证表项,其区域标识可以为空。
具体如表5所示:
表5
| Customer ASN | Provider ASNs | 区域标识(Region Identifier) |
| ASN 1 | ASN 2 | 区域标识1 |
| ASN 3 | ASN 4,ASN 5 |
可选的,上述的验证表项数据库可以包括第一验证表项数据库和第二验证表项数据库中的至少一个验证表项数据库。
为清楚描述,本申请实施例下文中以上述的验证表项数据库包括第一验证表项数据库和第二验证表项数据库为例进行具体说明。
其中,第一验证表项数据库可以是基于服务器获取到的ASPA验证信息生成的验证表项数据库。其中,该ASPA验证信息可以是服务器从区域互联网注册机构(regionalinternet registry,RIR)(例如五大RIR:亚太RIR、北美RIR、欧洲RIR、南美RIR以及非洲RIR)的信任锚点获取的。
有关生成第一验证表项数据库的具体描述,可以参考下文S201-S203的描述,这里不予赘述。
第二验证表项数据库可以是基于网络上公开的网络路由表和/或网络数据所生成的验证表项数据库。有关生成第二验证表项数据库的具体描述,可以参考下文文S301-S302的描述,这里不予赘述。
应理解,上述的第一验证表项数据库,可以包括第一验证表项子数据库和第二验证表项子数据库。其中,对于第一验证表项子数据库中的任一条验证表项中的任一个AS对而言,该任一个AS对所标识的一对AS采用的IP地址,均为第四版因特网协议(internetprotocol version 4,IPv4)的IP地址。
对于第二验证表项子数据库中的任一条验证表项中的任一个AS对而言,该任一个AS对所标识的一对AS采用的IP地址,均为第六版因特网协议(internet protocol version6,IPv6)的IP地址。
类似的,上述的第二验证表项数据库,可以包括第三验证表项子数据库和第四验证表项子数据库。其中,对于第三验证表项子数据库中的任一条验证表项中的任一个AS对而言,该任一个AS对所标识的一对AS采用的IP地址,均为IPv4的IP地址。
对于第四验证表项子数据库中的任一条验证表项中的任一个AS对而言,该任一个AS对所标识的一对AS采用的IP地址,均为IPv6的IP地址。
这样,网络设备即可基于第一区域信息、第一验证表项数据库以及第二验证表项数据库,对路径信息中的AS对进行验证。
在一种可能的实现方式中,网络设备可以先基于第一区域信息和第一验证表项数据库,对第一AS对进行验证。当第一AS对验证失败,网络设备可以再基于第一区域信息和第二验证表项数据库,对第一AS对进行验证。
具体的,当网络设备先基于第一区域信息和第一验证表项数据库,对第一AS对进行验证时,网络设备可以基于上述获取的路径信息中的前缀,确定用于验证该路径信息中AS对的验证表项子数据库。
容易理解,如果上述获取的路径信息中前缀的IP地址段是IPv4地址段,则用于验证第一AS对的验证表项子数据库是第一验证表项子数据库。如果路径信息中前缀的IP地址段是IPv6地址段,则用于验证第一AS对的验证表项数据库是第二验证表项子数据库。
以路径信息中前缀的IP地址段是IPv4地址段为例,这种情况下,用于验证该第一AS对的验证表项数据库是第一验证表项子数据库(这种情况下,第一验证表项子数据库中的验证表项,对应于本申请实施例中的目标验证表项)。
这样,网络设备可以基于第一区域信息,确定在第一验证表项子数据库中,是否存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项,或者,确定在第一验证表项子数据库中,是否存在包括第一AS对、以及区域标识项为空的验证表项,来确定对第一AS对是否验证成功。
具体的,如果网络设备确定在第一验证表项子数据库中,存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项,则确定第一AS对验证成功。
如果网络设备确定在第一验证表项子数据库中,不存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项,则确定第一AS对验证失败。
可选的,网络设备可以先遍历第一验证表项子数据库,以确定第一验证表项子数据库中是否存在第一AS对。
因此,当第一验证表项子数据库中存在第一AS对时,网络设备可以进一步确定第一验证表项子数据库里第一AS对所在的验证表项中,区域标识项是否为空。由上文可知,若区域标识项为空,则包括该区域标识项的验证表项中的AS对,在所有区域的商业关系均相同。
这样,若该区域标识项为空,则网络设备确定在第一验证表项子数据库中,存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项,即确定第一AS对验证成功。
若该区域标识项不为空,则在一种可能的实现方式中,网络设备可以基于上述的预设规则确定出该区域标识项中的区域标识所对应的地理区域,并进一步确定该地理区域和第一区域信息所指示的地理区域是否相同。
若相同,则网络设备确定在第一验证表项子数据库中,存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项。若不同,则网络设备确定在第一验证表项子数据库中,不存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项,即确定第一AS对验证失败。
若该区域标识项不为空,则在另一种可能的实现方式中,网络设备可以基于预先通过上述预设规则所确定出的第一区域信息对应的第一区域标识,进一步确定第一验证表项子数据库里第一AS对所在验证表项中的区域标识项的区域标识,是否是第一区域标识。
若是,则网络设备确定在第一验证表项子数据库中,存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项。若否,则网络设备确定在第一验证表项子数据库中,不存在包括第一AS对、以及与第一区域信息对应的区域标识的验证表项,即确定第一AS对验证失败。
当第一AS对验证失败,网络设备可以再基于第一区域信息和第二验证表项数据库,对第一AS对进行验证。
具体的,当上述获取的路径信息中前缀的IP地址段是IPv4地址段时,网络设备可以基于第一区域信息和第二验证表项数据库中的第三验证表项子数据库,对第一AS对进行验证。
其中,网络设备基于第一区域信息和第三验证表项子数据库,对第一AS对进行验证的过程,可以参考上文中网络设备基于第一区域信息和第一验证表项子数据库,对第一AS对进行验证的过程的描述,不再赘述。
在另一种可能是实现方式中,网络设备可以基于第一区域信息和第三验证表项数据库,对第一AS对进行验证。其中,第三验证表项数据库是第一验证表项数据库和第二验证表项数据库的合并后得到的验证表项数据库。
可以理解的是,第三验证表项数据库中包括第五验证表项子数据库和第六验证表项子数据库。其中,对于第五验证表项子数据库中的任一条验证表项中的任一个AS对而言,该任一个AS对所标识的一对AS采用的IP地址,均为IPv4的IP地址。
可选的,第五验证表项子数据库可以是第一验证表项子数据库和第三验证表项子数据库合并得到的,对此不作限定。
对于第六验证表项子数据库中的任一条验证表项中的任一个AS对而言,该任一个AS对所标识的一对AS采用的IP地址,均为IPv6的IP地址。
可选的,第六验证表项子数据库可以是第二验证表项子数据库和第四验证表项子数据库合并得到的,对此不作限定。
这样,当上述获取的路径信息中前缀的IP地址段是IPv4地址段时,网络设备可以基于第一区域信息和第三验证表项数据库中的第五验证表项子数据库,对第一AS对进行验证。
其中,网络设备基于第一区域信息和第五验证表项子数据库,对第一AS对进行验证的过程,可以参考上文中网络设备基于第一区域信息和第一验证表项子数据库,对第一AS对进行验证的过程的描述,不再赘述。
S104、网络设备依次对所获取的路径信息中的每个AS对进行验证,以实现对该路径信息所指示的AS路径的验证。
具体的,网络设备可以依次对所获取的路径信息中的每个AS对进行验证,并基于上文描述的valley free原则,实现对该路径信息所指示的AS路径的合法性验证。
其中,valley free原则的说明可以参考上文描述,这里不再赘述。
由上文描述可知,路径信息所包括的至少一个AS对是按照第一预设顺序排列的,且该第一预设顺序与该路径信息所指示的AS路径所经过的AS的顺序对应。
因此,网络设备可以按照第一预设顺序,依次对所获取的路径信息中的每个AS对进行验证,并基于上文描述的valley free原则,实现对该路径信息所指示的AS路径的合法性的验证。
作为示例,参考图1,以路径信息是图1所示的AS路径1的路径信息为例进行说明。
对于AS路径1(ASN 5,ASN 4,ASN 3,ASN 2,ASN 1),网络设备可以从包括AS路径1的起点AS的AS对开始,依次对AS路径1的路径信息中的每个AS对进行验证。即网络设备可以按照ASN 1:ASN 2→ASN 2:ASN 3→ASN 3:ASN 4→ASN 4:ASN 5的顺序,对AS路径1的路径信息中的每个AS对进行验证。
当然,网络设备也可以从包括AS路径1的终点AS的AS对开始,依次对AS路径1的路径信息中的每个AS对进行验证。即网络设备可以按照ASN 4:ASN 5→ASN 3:ASN 4→ASN 2:ASN 3→ASN 1:ASN 2的顺序,对AS路径1的路径信息中的每个AS对进行验证。对此不作限定。
应理解,基于上文描述的valley free原则和仅包括C2P AS对的验证表项数据库,对路径信息中的每个AS对进行验证时,如果路径信息中包括至多一个验证失败的AS对,则可以确定该路径信息所指示的AS路径验证成功,即该AS路径合法。如果路径信息中包括至少两个验证失败的AS对,则可以确定该路径信息所指示的AS路径验证失败,即该AS路径非法。
其中,应理解,网络设备可以在上述路径信息中首次验证AS对失败时,翻转路径信息中未进行验证的AS对。对于任一个未进行验证的AS对,网络设备可以通过掉换该AS对中的两个AS号,来实现AS对的翻转。这样,即可以实现AS对所具有的商业关系的逆转。
例如,对于具有C2P关系的AS对ASN 1:ASN 2,将该AS对中的AS号掉换位置后,即得到翻转后的AS对ASN 2:ASN 1,且该翻转后的AS对所具有的商业关系为P2C关系。
这样,网络设备即可在仅包括C2P AS对的验证表项数据库中,对路径信息中的P2CAS对进行验证。可以理解,P2C AS对翻转后,即为C2P AS对。
作为示例,参考图1,以路径信息是图1所示的AS路径1的路径信息,且网络设备按照ASN 1:ASN 2→ASN 2:ASN 3→ASN 3:ASN 4→ASN 4:ASN 5的顺序,对AS路径1的路径信息中的每个AS对进行验证为例进行说明。
网络设备可以基于S102-S103所述的方法,依次对AS路径1的路径信息中的每个AS对进行验证。如果网络设备对AS对ASN 1:ASN 2和ASN 2:ASN 3均验证成功,而对AS对ASN3:ASN 4验证失败,也就是说,网络设备在验证AS路径1时首次验证AS对失败。
这种情况下,网络设备可以将AS路径1的路径信息中未进行验证的AS对ASN 4:ASN5进行翻转,即将AS对ASN 4:ASN 5被翻转为ASN 5:ASN 4。然后,网络设备继续采用S102-S103所述的方法,对AS对ASN 5:ASN 4进行验证。
这样,如果ASN 5:ASN 4验证成功,则表示AS路径1的路径信息中包括一个验证失败的AS对(即验证失败的AS对ASN 3:ASN 4),这种情况下,则认为AS路径1验证成功,即AS路径1合法。如果ASN 5:ASN 4验证失败,则表示AS路径1的路径信息中包括两个验证失败的AS对(即验证失败的AS对ASN 3:ASN 4和ASN 4:ASN 5(或ASN 5:ASN 4)),这种情况下,则认为AS路径1验证失败,即AS路径1非法。
S105(可选的)、网络设备向目标设备发送上述路径信息所指示AS路径的验证结果。
其中,该目标设备可以是该网络设备所属AS(对应于本申请实施例的第一AS)中,与该网络设备连接通信的设备。该目标设备可以和该网络设备通过运行内部BGP(internal/interior BGP,IBGP)来交换BGP路由信息,不再赘述。
这样,网络设备对上述路径信息所指示的AS路径验证完成后,可以将该路径信息以及该验证结果发送至目标设备。
作为响应,目标设备可以接收到该路径信息以及该验证结果。这样的话,当该目标设备接收到包括该路径信息的BGP更新报文后,可以基于该验证结果对该路径信息进行处理,而不必再对该路径信息进行验证,从而节省了目标设备的资源,提高了目标设备的效率。
S106(可选的)、网络设备基于上述路径信息生成转发表项。
当网络设备对该路径信息所指示的AS路径验证成功,即表示该路径信息没有发生路由泄露,即该路径信息所指示的AS路径是合法的。
这种情况下,网络设备可以基于该路径信息,生成第一转发表项,并将该第一转发表项作为优先级最高的转发表项,以用于转发报文。
当网络对该路径信息所指示的AS路径验证失败,即表示该路径信息可能发生了路由泄露,即该路径信息所指示的AS路径是非法的。
这种情况下,网络设备可以基于该路径信息,生成第二转发表项,并为该第二转发表项标记特定信息。其中,该特定信息用于指示该第二转发表项是高风险转发表项或低优先级转发表项。
其中,转发表项的风险等级或优先等级,可以用于指示该转发表项中的路由信息发生泄漏的机率。例如,对于风险等级高的转发表项(即高风险转发表项)或优先级低的转发表项(即低优先级转发表项),该转发表项中的路由信息发生泄漏的机率较大,即该转发表项中的路由信息容易发生泄漏。
这样,网络设备即可基于转发表项的风险等级或优先等级,确定用于转发报文的转发表项。通常,网络设备选择安全的表项转发报文,当备选的转发表项中不存在安全的转发表项,网络设备则可以选择低风险转发表项或者高优先级的转发表项来转发报文。
以上,即为本申请实施例提供的验证AS对的方法,通过该方法,可以有效减少在验证路径信息所指示的AS路径时,对该路径信息中AS对的误判所导致的对该AS路径的误判,从而有效提高了验证AS路径的准确率。
下面,对本申请实施例提供的生成第一验证表项数据库和生成第二验证表项数据库的方法予以说明。
参考图6,图6示出了本申请实施例提供的一种生成第一验证表项数据库的方法流程示意图。该方法可以应用于图4所示的验证系统40中。该方法可以包括以下步骤。
S201、服务器获取ASPA验证信息。
其中,该服务器可以是RPKI高速缓存服务器,对此不作限定。
其中,该ASPA验证信息包括具有预设商业关系的AS对,以及该AS对所属区域的区域标识。
这里,该具有预设商业关系的AS对的说明,可以参考上文中对具有预设商业关系的AS对的描述,不再赘述。
其中,区域标识可以用于唯一标识一片地理区域。因此,该AS对所属区域的区域标识,即用于唯一标识该AS对所在的地理区域。本申请实施例对该地理区域的面积大小不作具体限定。
例如,该地理区域可以是以洲为单位划分的地理区域,或者可以是以国家为单位划分的地理区域,或者还可以是以省为单位划分的地理区域,对此不作限定。
其中,不同的地理区域,可以使用唯一的身份标识号(identity document,ID)作为与该地理区域对应的区域标识。该用于标识不同地理区域的ID可以是基于预设规则确定的。本申请实施例对该预设规则不作具体限定。
可选的,该预设规则可以是基于预先定义的ID,来标识不同的地理区域。
示例性的,地理区域1可以通过预先定义的ID 1来标识,地理区域2可以通过预先定义的ID 2来标识,等等,不再赘述。
可选的,该预设规则还可以是,基于预设编码规则所确定的ID,来标识不同的地理区域。本申请实施例对该预设编码规则不作具体限定。
示例性的,用于标识以洲为单位划分的地理区域的ID,可以通过5位二进制数按照从小到大的编码规则进行编码得到。
如表6所示,非洲对应的区域标识可以为00001(即1),大洋洲对应的区域标识可以为00010(即2),亚洲对应的区域标识可以为00011(即3),南极洲对应的区域标识可以为00100(即4),欧洲对应的区域标识可以为00101(即5),拉丁美洲/加勒比群岛对应的区域标识可以为00110(即6),北美洲对应的区域标识可以为00111(即7),以及预留区域对应的区域标识可以为01000-11111(即8~31)。
具体如表6所示:
表6
在一种可能的实现方式中,服务器可以从信任锚点获取ASPA验证信息。
具体的,该信任锚点的功能可以通过任意具有计算处理能力的计算机设备实现,本申请实施例对实现该信任锚点功能的设备的具体形式不作限定。
其中,该信任锚点可以是RIR的信任锚点。例如,对于亚太RIR,其信任锚点可以是信任锚点1。再例如,对于北美RIR,其信任锚点可以是信任锚点2,等等,不再赘述。
具体的,拥有AS号的用户(以下简称为AS用户)可以向其所在地区对应的RIR的信任锚点,上报自身的ASPA信息。这样,RIR的信任锚点即可获取到该AS用户的ASPA验证信息。
可选的,AS用户可以通过在其所在地区对应的RIR网站上注册ASPA信息,以使该RIR的信任锚点基于该ASPA信息确定出ASPA验证信息。
由上文描述可知,在验证表项数据库中,可以仅包括C2P AS对。因此,在AS用户在其所在地区对应的RIR网站上注册ASPA信息时,仅需作为customer的AS用户在其所在地区对应的RIR网站上注册ASPA信息。
下面即以作为customer的AS用户在其所在地区对应的RIR网站上注册ASPA信息为例进行说明。
示例性的,参考图7,图7示出了AS用户在RIR网站上注册ASPA信息的示意图。
如图7中的(a)所示,AS用户可以先基于预先注册的账户和密码,通过显示屏70上的RIR网站登录界面登录RIR网站。
接着,AS用户即可以在显示屏70上显示的RIR网站的“注册商业关系”界面701,在“customer AS”输入框中输入作为customer AS的AS号,在“provider AS”输入框中输入作为前述customer AS的provider AS的AS号,以及在“所属地理区域”输入框中输入,由前述的customer AS的AS号和provider AS的AS号构成的AS对所处的地理区域位置。
应理解,“customer AS”输入框中的AS号的数量仅为一个,而“provider AS”输入框中的AS号可以是多个,即一个customer AS可以对应有多个provider AS,对此不作限定。
然后,AS用户点击界面701上的“注册按钮”,即可将在界面“701”输入的ASPA信息提交到RIR。
这样,RIR的信任锚点即可接收到AS用户提交的ASPA信息,并基于该ASPA信息,确定出至少一个C2P AS对。RIR的信任锚点还可以基于该至少一个C2P AS对所处的地理区域位置,基于上述的预设规则,确定出该至少一个C2P AS对所属区域的区域标识。这样,RIR的信任锚点即基于AS用户提交的ASPA信息,得到了该AS用户的ASPA验证信息。
可以看出,基于图7中的(a)描述的示例,AS用户可以将自己的ASPA信息注册在RIR网站上,即图7中的(a)中的“customer AS”输入框中输入自身的AS号。也可以将已知的其他AS用户的ASPA信息注册在RIR网站上,即图7中的(a)中的“customer AS”输入框中输入该其他AS的AS号,对此不作限定。
如图7中的(b)所示,显示屏70上显示的RIR网站的“注册商业关系”界面701上,仅包括“provider AS”输入框。这种情况下,即默认作为该provider AS的customer AS是输入该ASPA信息的AS用户。
这样,AS用户可以在基于预先注册的账户和密码,通过显示屏70上的RIR网站登录界面登录RIR网站,并进入显示屏70上所显示的“注册商业关系”界面701后,在“providerAS”输入框中输入作为该AS用户的provider AS的AS号,以及在“所属地理区域”输入框中输入,前述provider AS的AS号和该AS用户的AS号所构成的AS对所处的地理区域位置。
应理解,“provider AS”输入框中的AS号可以是多个,不再赘述。
然后,AS用户点击界面701上的“注册按钮”,即可将在界面“701”输入的ASPA信息提交到RIR。
这样,RIR的信任锚点即可接收到AS用户提交的ASPA信息,并基于该ASPA信息,确定出至少一个C2P AS对。RIR的信任锚点还可以基于该至少一个C2P AS对所处的地理区域位置,基于上述的预设规则,确定出该至少一个C2P AS对所属区域的区域标识。这样,RIR的信任锚点即基于AS用户提交的ASPA信息,得到了该AS用户的ASPA验证信息。
可以看出,基于图7中的(b)描述的示例,AS用户可以将自身的ASPA信息注册在RIR网站上。
这样,RIR的信任锚点基于一个或多个AS用户注册的多个注册ASPA信息,即可确定出多条ASPA验证信息。
然后,RIR的信任锚点可以通过加密或不加密的方式,将确定出的ASPA验证信息发送给服务器。
可选的,RIR的信任锚点可以在接收到服务器获取ASPA验证信息的请求后,将确定出的ASPA验证信息通过加密或不加密的方式发送给服务器。
可选的,RIR的信任锚点可以主动的将确定出的ASPA验证信息通过加密或不加密的方式发送给服务器。
可选的,RIR的信任锚点可以按照预设周期,主动将确定出的ASPA验证信息通过加密或不加密的方式发送给服务器。对此不作限定。
作为响应,服务器接收到RIR的信任锚点发送的ASPA验证信息,即获取到该ASPA验证信息。
另一种可能的实现方式中,服务器获取基于网络上公开的网络路由表和/或网络数据所确定出的至少一条ASPA验证信息。
可选的,服务器可以接收网络设备发送的至少一条ASPA验证信息。该至少一条ASPA验证信息可以是该网络设备基于从网络上获取的公开的网络路由表和/或网络数据,所确定出的至少一条ASPA验证信息。
其中,网络上公开的网络路由表和/或网络数据中,包括具有预设商业关系的AS对和该AS对所属区域的区域信息。这样的话,基于这些网络路由表和/或网络数据,该网络设备即可确定出至少一条ASPA验证信息。
示例性的,网络设备可以通过路由处理工具,提取出网络路由表和/或网络数据中的至少一个AS对,并分析出该至少一个AS对所具有的商业关系。这样,网络设备即可以从该至少一个AS对中确定出至少一个具有预设商业关系的AS对。
然后,网络设备可以基于网络路由表和/或网络数据的上下文或前缀,确定该至少一个具有预设商业关系的AS对所处地理位置的区域信息。当然,该网络路由表和/或网络数据中也可以包括该该至少一个具有预设商业关系的AS对的区域置信息,对此不作限定。
这样,网络设备即可根据该至少一个具有预设商业关系的AS对的区域信息,并基于上述预设规则,确定出该至少一个具有预设商业关系的AS对的区域标识。这样,网络设备即基于网络上公开的网络路由表和/或网络数据,确定出至少一条ASPA验证信息。
可选的,服务器还可以直接从网络上获取公开的网络路由表和/或网络数据,进而确定出至少一条ASPA验证信息。
其中,服务器基于网络上公开的网络路由表和/或网络数据,确定至少一条ASPA验证信息的过程,可以参考上文中网络设备基于网络上公开的网络路由表和/或网络数据,确定至少一条ASPA验证信息的描述,不再赘述。
S202、服务器向网络设备发送ASPA验证信息。
其中,该网络设备可以是上述执行验证AS对的方法的网络设备,也可以是其他任意具有计算处理能力的网络设备,对此不作限定。
可选的,服务器可以先基于获取到的至少一条ASPA验证信息,生成至少一个协议数据单元(protocol data units,PDU)报文。然后,服务器向网络设备发送该至少一个PDU报文。
应理解,一条ASPA验证信息对应一个PDU报文,即在一个PDU报文中,包括至少一个具有预设商业关系的AS对,以及包括该至少一个具有预设商业关系的AS对所属区域的区域标识。这里,具有预设商业关系的AS对的说明,可以参考上文中具有预设商业关系的AS对的描述,这里不再赘述。
以该预设商业关系是C2P关系为例,这种情况下,在一个PDU报文中,包括一个作为customer AS的AS号、至少一个作为provider AS的AS号、以及该customer AS号和该至少一个provider AS号所构成的至少一个C2P AS对所属区域的区域标识。
下面示例性的示出本申请实施例所提供的PDU报文的格式。
参考图8,图8示出了本申请实施例所提供的一种PDU报文的示意图。
如图8所示,协议版本(Protocol Version)字段:用于指示服务器和网络设备之间采用的通信协议的版本号,通常占用1字节,即8个比特位。
例如,在服务器和网络设备之间运行的通信协议的版本号为2.0,则该字段的值为2,即0000 0010。
PDU类型(PDU type)字段:用于指示PDU的类型,通常占用1字节,即8个比特位。例如PDU类型的取值为11,则该字段的取值为11,即0000 1011。
填充字段(zero):用于使PDU报文4字节对齐。其中,4字节对齐是指比特位数可以被32整除,这里不作详述。
如图8所示,图8所示出的PDU报文中包括有2个zero字段,第一个zero字段占用2字节,即16个比特位。第二个zero字段占用1字节,即8个比特位,
长度(length)字段:用于表示该PDU报文的长度,通常占用4字节,即32个比特位。
标志位(flags)字段:通常占用1字节,即8个比特位。该字段中的比特位可以标识不同的内容。
示例性的,该字段中的第1个比特,可以用于指示该PDU报文所携带的AS对是否需要发布。例如,当第1个比特为0,则表示发布该PDU报文所携带的AS对。当第1个比特为1,则表示撤销该PDU报文所携带的AS对。
该字段中的第2个比特,可以用于指示该PDU报文中所携带的任一个AS对指示的一对AS采用的IP版本。例如,当第2个比特为0,则表示该PDU报文中所携带的任一个AS对指示的一对AS采用的是IPv4的IP地址。当第2个比特为1,则表示该PDU报文中所携带的任一个AS对指示的一对AS采用的是IPv6的IP地址。
应理解,这种情况下,该字段中的其余6个比特预留。
provider AS数量(provider AS count)字段:用于指示该PDU报文里所携带的AS对中,作为provider的AS的数量,通常占用2字节,即16个比特位。
customer AS号(customer autonomous system number)字段:即为该PDU报文里所携带的AS对中,作为customer的AS的AS号,通常占用4字节,即32个比特位。
provider AS号(provider autonomous system number(s))字段:即为该PDU报文里所携带的AS对中,作为provider的AS的AS号,通常占用4字节,即32个比特位。
应理解,该字段可以包括多个作为provider的AS的AS号,具体数量即为providerAS count字段所指示的数量。
区域标识(region identifier)字段:用于表示该PDU报文所携带的C2P AS对所属区域的区域标识。如图8所示,该字段可以占用4字节长度,即32个比特位。
应理解,区域标识字段的实际长度,与上述确定地理区域对应的区域标识的预设规则有关。例如在采用5位二进制数编码区域标识的时候,区域标识实际长度即为5比特。
可以理解的是,对于包括同一个customer AS号的多个C2P AS对而言,该多个C2PAS对的所属区域可以相同,也可以不同。当包括同一个customer AS号的多个C2P AS对的所属区域不同时,携带该多个C2P AS对的PDU报文的数量,与该多个C2P AS对所属区域的数量相同。
示例性的,对于以下5个C2P AS对:ASN1:ASN2、ASN1:ASN3、ASN1:ASN3、ASN1:ASN5以及ASN1:ASN2而言,如果C2P AS对ASN1:ASN2、ASN1:ASN3和ASN1:ASN3所属区域为区域1,对应区域标识1,C2P AS对ASN1:ASN5和ASN1:ASN2所属区域为区域2,对应区域标识2。即该5个C2P AS对所属区域的数量为2,
这样的话,服务器可以通过两个PDU报文来发送该5个C2P AS及其对应的区域标识。例如,通过PDU 1携带C2P AS对ASN1:ASN2、ASN1:ASN3、ASN1:ASN3以及区域标识1,通过PDU 2携带C2P AS对ASN1:ASN5、ASN1:ASN2以及区域标识2。
S203、网络设备获取上述的ASPA验证信息,并基于该ASPA验证信息,生成第一验证表项数据库。
可选的,网络设备接收到服务器发送的至少一个PDU报文后,即可从该至少一个PDU报文中获取到上述的ASPA验证信息。
这样,网络设备即可基于获取到的ASPA验证信息,生成第一验证表项数据库。
可以理解的是,当PDU报文中标志字段指示该PDU报文中所携带的任一个AS对指示的一对AS采用的IP地址是IPv4的IP地址,则网络设备从该PDU报文中获取的ASPA验证信息,用于生成第一验证表项数据库中的第一验证表项子数据库。
类似的,当PDU报文中标志字段指示该PDU报文中所携带的任一个AS对指示的一对AS采用的IP地址是IPv6的IP地址,则网络设备从该PDU报文中获取的ASPA验证信息,用于生成第一验证表项数据库中的第二验证表项子数据库。
其中,第一验证表项数据库的详细说明,可以参考上文有关验证表项数据库的描述,不再赘述。
可以理解的是,当网络设备获取到的ASPA验证信息中,包括基于网络上公开的网络路由表和/或网络数据所确定的ASPA验证信息,则本申请实施例中所述的验证表项数据库不再包括第二验证表项数据库,也即第一验证表项数据库即为本申请实施例中所述的验证表项数据库。
参考图9,图9示出了本申请实施例提供的一种生成第二验证表项数据库的方法流程示意图。该方法可以应用于图4所示的验证系统40中。该方法可以包括以下步骤。
S301、网络设备获取ASPA验证信息。
可选的,网络设备可以先从网络上获取网络上公开的网络路由表和/或网络数据,然后基于获取到的网络路由表和/或网络数据,确定出至少一条ASPA验证信息。
其中,网络设备基于网络上公开的网络路由表和/或网络数据确定至少一条ASPA验证信息的说明,可以参考上文S201中的相关描述,不再赘述。
S302、网络设备基于获取到的ASPA验证信息,生成第二验证表项数据库。
具体的,网络设备基于获取到的至少一条ASPA验证信息,生成第二验证表项数据库。
其中,对于该至少一条ASPA验证信息中的第一ASPA验证信息而言,当第一ASPA验证信息中任一个AS对指示的一对AS采用的IP地址是IPv4的IP地址,则第一ASPA验证信息用于生成第二验证表项数据库中的第三验证表项子数据库。
类似的,当第一ASPA验证信息中任一个AS对指示的一对AS采用的IP地址是IPv6的IP地址,则第一ASPA验证信息用于生成第二验证表项数据库中的第四验证表项子数据库。
其中,第二验证表项数据库的说明,可以参考上文有关验证表项数据库的描述,不再赘述。
综上,本申请实施例提供了一种验证AS对的方法,该方法通过在用于验证AS对的验证表项数据库中,增加每个AS对所属区域的区域标识。这样,即可避免在基于ValleyFree原则验证BGP路由信息中的路径信息所指示的AS路径的合法性时,由于对该路径信息中的AS对的商业关系的误判,从而导致的对该AS路径合法性的误判。因此,本申请实施例所提供的验证AS对的方法,提高了验证包括该AS对的路径信息所指示的AS路径的准确率。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对验证AS对的装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图10所示,图10示出了本申请实施例提供的一种验证AS对的装置100的结构示意图。装置100可以应用于网络设备,并用于执行上述的验证AS对的方法,例如用于执行图5所示的方法。其中,装置100可以包括获取单元101和处理单元102。
获取单元101,用于获取包括AS对的路径信息,路径信息中的AS对包括该路径信息中相邻的两个AS号。处理单元102,用于确定AS对所属区域的区域信息,以及用于基于AS对所属区域的区域信息对AS对进行验证。
作为示例,结合图5,获取单元101可以用于执行S101,处理单元102可以用于执行S102-S103。
可选的,处理单元102,具体用于基于上述确定的AS对所属区域的区域信息和验证表项数据库,对AS对进行验证。
作为示例,结合图5,处理单元102可以用于执行S103。
可选的,处理单元102,具体用于当上述验证表项数据库中存在包括AS对、以及与该AS对所属区域的区域信息对应的区域标识的验证表项,则确定对该AS对验证成功。
作为示例,结合图5,处理单元102可以用于执行S103。
可选的,处理单元102,还具体用于当上述验证表项数据库中不存在包括AS对、以及与该AS对所属区域的区域信息对应的区域标识的验证表项,则确定对该AS对验证失败。
作为示例,结合图5,处理单元102可以用于执行S103。
可选的,处理单元102,还用于在包括上述路径信息的路由信息中,确定AS对所属区域的区域信息;或者,还用于基于上述路由信息的前缀,确定AS对所属区域的区域信息。
作为示例,结合图5,处理单元102可以用于执行S103。
可选的,获取单元101,还用于获取上述的验证表项数据库。
作为示例,结合图6,获取单元101可以用于执行S203。
可选的,如果上述的验证表项数据库包括第一验证表项数据库。在装置100还包括:接收单元103,用于接收来自服务器的协议数据单元PDU报文,该PDU报文中包括具有预设商业关系的AS对和具有预设商业关系的AS对所属区域的区域标识。处理单元102,还用于基于接收到的PDU报文,生成上述第一验证表项数据库。
作为示例,结合图6,接收单元103和处理单元102可以用于执行S203。
可选的,如果上述的验证表项数据库还包括第二验证表项数据库。则处理单元102,还用于基于网络路由表和/或网络数据,生成上述第二验证表项数据库。其中,网络路由表和/或网络数据中包括具有预设商业关系的AS对和具有预设商业关系的AS对所属区域的区域信息。
作为示例,结合图9,处理单元102可以用于执行S302。
可选的,处理单元102,还具体用于基于AS对所属区域的区域信息和上述第一验证表项数据库,对AS对进行验证;以及用于,如果AS对验证失败,则基于AS对所属区域的区域信息和上述第二验证表项数据库,对AS对进行验证。
作为示例,结合图5,处理单元102可以用于执行S103。
可选的,处理单元102,还具体用于基于AS对所属区域的区域信息,以及上述验证表项数据库中与上述路径信息的前缀对应的目标验证表项,对AS对进行验证;其中,该目标验证表项中AS对的IP版本与该路径信息中前缀的IP版本相同。
作为示例,结合图5,处理单元102可以用于执行S103。
可选的,上述路径信息包括按照预设顺序排列的多个AS号,该多个AS号用于指示该路径信息对应的路径。处理单元102,还用于依次对该路径信息中的每个AS对进行验证,以实现该路径信息对应的路径的验证。
作为示例,结合图5,处理单元102可以用于执行S104。
可选的,处理单元102,还用于当在上述路径信息中首次验证AS对失败时,翻转该路径信息中未进行验证的AS对。处理单元102,还用于对翻转后的AS对进行验证,以完成该路径信息对应的路径的验证。
作为示例,结合图5,处理单元102可以用于执行S104。
可选的,处理单元102,还用于如果上述路径信息中包括至多一个验证失败的AS对,则确定该路径信息对应的路径验证成功。
作为示例,结合图5,处理单元102可以用于执行S104。
可选的,处理单元102,还用于基于上述路径信息生成第一转发表项。
作为示例,结合图5,处理单元102可以用于执行S106。
可选的,处理单元102,还用于如果上述路径信息包括至少两个验证失败的AS对,则确定该路径信息对应的路径验证失败。
作为示例,结合图5,处理单元102可以用于执行S104。
可选的,处理单元102,还用于基于上述路径信息生成第二转发表项。处理单元102,还用于为该第二转发表项标记特定信息,该特定信息用于指示该第二转发表项是高风险转发表项或低优先级转发表项。
作为示例,结合图5,处理单元102可以用于执行S106。
可选的,上述网络设备是第一AS中的网络设备。则装置100还包括:发送单元104,用于向目标设备发送上述路径信息对应的路径的验证结果。其中,该目标设备是第一AS中与上述网络设备连接通信的设备。
作为示例,结合图5,发送单元104可以用于执行S105。
可选的,获取单元101,具体用于获取边界网关协议BGP更新报文,该BGP更新报文中包括上述路径信息。
作为示例,结合图5,获取单元101可以用于执行S101。
可选的,处理单元102,还用于在上述接收BGP更新报文后,对该BGP更新报文里的路径信息中的AS对进行验证,以实现该路径信息对应的路径的验证。或者,处理单元102用于在发送上述BGP更新报文前,对该BGP更新报文里的路径信息中的AS对进行验证,以实现该路径信息对应的路径的验证。
作为示例,结合图5,处理单元102可以用于执行S103以及S104。
关于上述可选方式的具体描述可以参见前述的方法实施例,此处不再赘述。此外,上述提供的任一种装置100的解释以及有益效果的描述均可参考上述对应的方法实施例,不再赘述。
作为示例,结合图3,装置100中的获取单元101和处理单元102,可以通过图3中的处理器31执行图3中的存储器32中的程序代码来实现其功能。接收单元103和发送单元104,可以通过图3中的通信接口3实现其功能。
本申请实施例还提供一种芯片系统110,如图11所示,该芯片系统110包括至少一个处理器和至少一个接口电路。
作为示例,当该芯片系统110包括一个处理器和一个接口电路时,则该一个处理器可以是图11中实线框所示的处理器111(或者是虚线框所示的处理器111),该一个接口电路可以是图11中实线框所示的接口电路112(或者是虚线框所示的接口电路112)。
当该芯片系统110包括两个处理器和两个接口电路时,则该两个处理器包括图11中实线框所示的处理器111和虚线框所示的处理器111,该两个接口电路包括图11中实线框所示的接口电路112和虚线框所示的接口电路112。对此不作限定。
处理器111和接口电路112可通过线路互联。例如,接口电路112可用于接收信号(例如获取AS对所属区域的区域信息,或接收来自服务器的PDU报文等)。又例如,接口电路112可用于向其它装置(例如处理器111)发送信号。
示例性的,接口电路112可读取存储器中存储的指令,并将该指令发送给处理器111。当该指令被处理器111执行时,可使得验证AS对的装置执行上述实施例中的各个步骤。当然,该芯片系统110还可以包含其他分立器件,本申请实施例对此不作具体限定。
本申请另一实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当指令在验证AS对的装置上运行时,该验证AS对的装置执行上述方法实施例所示的方法流程中该验证AS对的装置执行的各个步骤。
在一些实施例中,所公开的方法可以实施为以机器可读格式被编码在计算机可读存储介质上的或者被编码在其它非瞬时性介质或者制品上的计算机程序指令。
图12示意性地示出本申请实施例提供的计算机程序产品的概念性局部视图,该计算机程序产品包括用于在计算设备上执行计算机进程的计算机程序。
在一个实施例中,计算机程序产品是使用信号承载介质120来提供的。该信号承载介质120可以包括一个或多个程序指令,其当被一个或多个处理器运行时可以提供以上针对图5描述的功能或者部分功能。因此,例如,参考图5中S101~S106的一个或多个特征可以由与信号承载介质120相关联的一个或多个指令来承担。此外,图12中的程序指令也描述示例指令。
在一些示例中,信号承载介质120可以包含计算机可读介质121,诸如但不限于,硬盘驱动器、紧密盘(CD)、数字视频光盘(DVD)、数字磁带、存储器、只读存储记忆体(read-only memory,ROM)或随机存储记忆体(random access memory,RAM)等等。
在一些实施方式中,信号承载介质120可以包含计算机可记录介质122,诸如但不限于,存储器、读/写(R/W)CD、R/W DVD、等等。
在一些实施方式中,信号承载介质120可以包含通信介质123,诸如但不限于,数字和/或模拟通信介质(例如,光纤电缆、波导、有线通信链路、无线通信链路、等等)。
信号承载介质120可以由无线形式的通信介质123(例如,遵守IEEE 1202.11标准或者其它传输协议的无线通信介质)来传达。一个或多个程序指令可以是,例如,计算机可执行指令或者逻辑实施指令。
在一些示例中,诸如针对图5描述的验证AS对的装置可以被配置为,响应于通过计算机可读介质121、计算机可记录介质122、和/或通信介质123中的一个或多个程序指令,提供各种操作、功能、或者动作。
应该理解,这里描述的布置仅仅是用于示例的目的。因而,本领域技术人员将理解,其它布置和其它元素(例如,机器、接口、功能、顺序、和功能组等等)能够被取而代之地使用,并且一些元素可以根据所期望的结果而一并省略。
另外,所描述的元素中的许多是可以被实现为离散的或者分布式的组件的、或者以任何适当的组合和位置来结合其它组件实施的功能实体。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上和执行计算机执行指令时,全部或部分地产生按照本申请实施例的流程或功能。
计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid statedisk,SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (34)
1.一种验证自治系统AS对的方法,其特征在于,应用于网络设备,所述方法包括:
获取路径信息,所述路径信息包括AS对,所述AS对包括所述路径信息中相邻的两个AS号,所述路径信息包括按照预设顺序排列的多个AS号,所述多个AS号用于指示所述路径信息对应的路径;
确定所述AS对所属区域的区域信息;
基于所述区域信息和验证表项数据库,对所述AS对进行验证;所述验证表项数据库中包括至少一条验证表项,每条验证表项中包括至少一个具有预设商业关系的AS对,以及包括所述至少一个具有预设商业关系的AS对所属区域的区域标识;
当所述验证表项数据库中存在包括所述AS对、以及与所述区域信息对应的区域标识的验证表项,则确定对所述AS对验证成功;或,
当所述验证表项数据库中不存在包括所述AS对、以及与所述区域信息对应的区域标识的验证表项,则确定对所述AS对验证失败。
2.根据权利要求1所述的方法,其特征在于,所述确定所述AS对所属区域的区域信息,包括:
在包括所述路径信息的路由信息中确定所述AS对所属区域的区域信息;或者,
基于所述路由信息的前缀,确定所述AS对所属区域的区域信息。
3.根据权利要求1或2所述的方法,其特征在于,在所述基于所述区域信息和验证表项数据库,对所述AS对进行验证之前,所述方法还包括:
获取所述验证表项数据库。
4.根据权利要求3中所述的方法,其特征在于,所述验证表项数据库包括第一验证表项数据库;则所述获取所述验证表项数据库,包括:
接收来自服务器的协议数据单元PDU报文,所述PDU报文中包括具有预设商业关系的AS对和所述具有预设商业关系的AS对所属区域的区域标识;
基于所述PDU报文,生成所述第一验证表项数据库。
5. 根据权利要求 4所述的方法,其特征在于,所述验证表项数据库还包括第二验证表项数据库;则所述获取所述验证表项数据库,包括:
基于网络路由表和/或网络数据,生成第二验证表项数据库;
其中,所述网络路由表和/或网络数据中包括具有预设商业关系的AS对和所述具有预设商业关系的AS对所属区域的区域信息。
6.根据权利要求5所述的方法,其特征在于,所述基于所述区域信息和验证表项数据库,对所述AS对进行验证,包括:
基于所述区域信息和所述第一验证表项数据库,对所述AS对进行验证;
如果所述AS对验证失败,则基于所述区域信息和所述第二验证表项数据库,对所述AS对进行验证。
7.根据权利要求1-2、4-6中任一项所述的方法,其特征在于,所述基于所述区域信息和验证表项数据库,对所述AS对进行验证,包括:
基于所述区域信息,以及所述验证表项数据库中与所述路径信息的前缀对应的目标验证表项,对所述AS对进行验证;其中,所述目标验证表项中AS对的网际互联协议IP版本与所述路径信息中前缀的IP版本相同。
8.根据权利要求1-2、4-6中任一项所述的方法,其特征在于,所述方法还包括:
依次对所述路径信息中的每个AS对进行验证,以实现所述路径信息对应的路径的验证。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
当在所述路径信息中首次验证AS对失败时,翻转所述路径信息中未进行验证的AS对;
对翻转后的AS对进行验证,以完成所述路径信息对应的路径的验证。
10.根据权利要求1-2、4-6、9中任一项所述的方法,其特征在于,所述方法还包括:
如果所述路径信息中包括至多一个验证失败的AS对,则确定所述路径信息对应的路径验证成功。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
基于所述路径信息生成第一转发表项。
12.根据权利要求9或11所述的方法,其特征在于,所述方法还包括:
如果所述路径信息包括至少两个验证失败的AS对,则确定所述路径信息对应的路径验证失败。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
基于所述路径信息生成第二转发表项;
为所述第二转发表项标记特定信息,所述特定信息用于指示所述第二转发表项是高风险转发表项或低优先级转发表项。
14.根据权利要求9、11、13中任一项所述的方法,其特征在于,所述网络设备是第一AS中的网络设备;所述方法还包括:
向目标设备发送所述路径信息对应的路径的验证结果;其中,所述目标设备是所述第一AS中与所述网络设备连接通信的设备。
15.根据权利要求1-2、4-6、9、11、13中任一项所述的方法,其特征在于,所述获取路径信息,包括:
获取边界网关协议BGP更新报文,所述BGP更新报文中包括所述路径信息。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:
在接收所述BGP更新报文后,对所述路径信息中的AS对进行验证,以实现所述路径信息对应的路径的验证;或者,
在发送所述BGP更新报文前,对所述路径信息中的AS对进行验证,以实现所述路径信息对应的路径的验证。
17.一种验证自治系统AS对的装置,其特征在于,应用于网络设备,所述装置包括:
获取单元,用于获取路径信息,所述路径信息包括AS对,所述AS对包括所述路径信息中相邻的两个AS号,所述路径信息包括按照预设顺序排列的多个AS号,所述多个AS号用于指示所述路径信息对应的路径;
处理单元,用于确定所述AS对所属区域的区域信息;以及用于基于所述区域信息和验证表项数据库,对所述AS对进行验证;所述验证表项数据库中包括至少一条验证表项,每条验证表项中包括至少一个具有预设商业关系的AS对,以及包括所述至少一个具有预设商业关系的AS对所属区域的区域标识;
所述处理单元,具体用于当所述验证表项数据库中存在包括所述AS对、以及与所述区域信息对应的区域标识的验证表项,则确定对所述AS对验证成功;或,具体用于当所述验证表项数据库中不存在包括所述AS对、以及与所述区域信息对应的区域标识的验证表项,则确定对所述AS对验证失败。
18.根据权利要求17所述的装置,其特征在于,
所述处理单元,还具体用于在包括所述路径信息的路由信息中确定所述AS对所属区域的区域信息;或者,还用于基于所述路由信息的前缀,确定所述AS对所属区域的区域信息。
19.根据权利要求17或18所述的装置,其特征在于,
所述获取单元,还用于获取所述验证表项数据库。
20.根据权利要求19所述的装置,其特征在于,所述验证表项数据库包括第一验证表项数据库;所述装置还包括:
接收单元,用于接收来自服务器的协议数据单元PDU报文,所述PDU报文中包括具有预设商业关系的AS对和所述具有预设商业关系的AS对所属区域的区域标识;
所述处理单元,还用于基于所述PDU报文,生成所述第一验证表项数据库。
21.根据权利要求20所述的装置,其特征在于,所述验证表项数据库还包括第二验证表项数据库;
所述处理单元,还还用于基于网络路由表和/或网络数据,生成第二验证表项数据库;
其中,所述网络路由表和/或网络数据中包括具有预设商业关系的AS对和所述具有预设商业关系的AS对所属区域的区域信息。
22.根据权利要求21所述的装置,其特征在于,
所述处理单元,还具体用于基于所述区域信息和所述第一验证表项数据库,对所述AS对进行验证;以及用于,如果所述AS对验证失败,则基于所述区域信息和所述第二验证表项数据库,对所述AS对进行验证。
23.根据权利要求17-18、20-22中任一项所述的装置,其特征在于,
所述处理单元,还具体用于基于所述区域信息,以及所述验证表项数据库中与所述路径信息的前缀对应的目标验证表项,对所述AS对进行验证;其中,所述目标验证表项中AS对的网际互联协议IP版本与所述路径信息中前缀的IP版本相同。
24.根据权利要求17-18、20-22中任一项所述的装置,其特征在于,
所述处理单元,还用于依次对所述路径信息中的每个AS对进行验证,以实现所述路径信息对应的路径的验证。
25.根据权利要求24所述的装置,其特征在于,
所述处理单元,还用于当在所述路径信息中首次验证AS对失败时,翻转所述路径信息中未进行验证的AS对;并对翻转后的AS对进行验证,以完成所述路径信息对应的路径的验证。
26.根据权利要求17-18、20-22、25中任一项所述的装置,其特征在于,
所述处理单元,还用于如果所述路径信息中包括至多一个验证失败的AS对,则确定所述路径信息对应的路径验证成功。
27.根据权利要求26所述的装置,其特征在于,
所述处理单元,还用于基于所述路径信息生成第一转发表项。
28.根据权利要求25或27所述的装置,其特征在于,
所述处理单元,还用于如果所述路径信息包括至少两个验证失败的AS对,则确定所述路径信息对应的路径验证失败。
29.根据权利要求28所述的装置,其特征在于,
所述处理单元,还用于基于所述路径信息生成第二转发表项;以及,用于为所述第二转发表项标记特定信息,所述特定信息用于指示所述第二转发表项是高风险转发表项或低优先级转发表项。
30.根据权利要求25、27、29中任一项所述的装置,其特征在于,所述网络设备是第一AS中的网络设备;所述装置还包括:
发送单元,用于向目标设备发送所述路径信息对应的路径的验证结果;其中,所述目标设备是所述第一AS中与所述网络设备连接通信的设备。
31.根据权利要求17-18、20-22、25、27、29中任一项所述的装置,其特征在于,
所述获取单元,具体用于获取边界网关协议BGP更新报文,所述BGP更新报文中包括所述路径信息。
32.根据权利要求31所述的装置,其特征在于,
所述处理单元,还用于在接收所述BGP更新报文后,对所述路径信息中的AS对进行验证,以实现所述路径信息对应的路径的验证;或者,用于在发送所述BGP更新报文前,对所述路径信息中的AS对进行验证,以实现所述路径信息对应的路径的验证。
33.一种验证自治系统AS对的装置,其特征在于,所述装置包括:存储器和一个或多个处理器,所述存储器用于存储计算机指令、程序或代码,所述处理器用于调用所述计算机指令,以执行如权利要求1至16中任一项所述的方法。
34.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,当所述计算机程序在验证自治系统AS对的装置上运行时,使得所述装置执行权利要求1至16中任一项所述的方法。
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011410695.2A CN114598487B (zh) | 2020-12-04 | 2020-12-04 | 一种验证as对的方法、装置及设备 |
| CN202310680002.9A CN116866002A (zh) | 2020-12-04 | 2020-12-04 | 一种验证as对的方法、装置及设备 |
| EP21209801.6A EP4009609A1 (en) | 2020-12-04 | 2021-11-23 | As pair verification method, apparatus, and device |
| BR102021023638-8A BR102021023638A2 (pt) | 2020-12-04 | 2021-11-24 | Método e dispositivos de verificação de par de sistema autônomo |
| MX2021014792A MX2021014792A (es) | 2020-12-04 | 2021-12-01 | Metodo, aparato y dispositivo de verificacion de pares as. |
| KR1020210170816A KR102602529B1 (ko) | 2020-12-04 | 2021-12-02 | As 페어 검증 방법, 장치 및 디바이스 |
| US17/541,485 US20220182381A1 (en) | 2020-12-04 | 2021-12-03 | As pair verification method, apparatus, and device |
| JP2021196904A JP7309828B2 (ja) | 2020-12-04 | 2021-12-03 | Asペア検証方法、装置及びデバイス |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011410695.2A CN114598487B (zh) | 2020-12-04 | 2020-12-04 | 一种验证as对的方法、装置及设备 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310680002.9A Division CN116866002A (zh) | 2020-12-04 | 2020-12-04 | 一种验证as对的方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114598487A CN114598487A (zh) | 2022-06-07 |
| CN114598487B true CN114598487B (zh) | 2023-06-02 |
Family
ID=78770421
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011410695.2A Active CN114598487B (zh) | 2020-12-04 | 2020-12-04 | 一种验证as对的方法、装置及设备 |
| CN202310680002.9A Pending CN116866002A (zh) | 2020-12-04 | 2020-12-04 | 一种验证as对的方法、装置及设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310680002.9A Pending CN116866002A (zh) | 2020-12-04 | 2020-12-04 | 一种验证as对的方法、装置及设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20220182381A1 (zh) |
| EP (1) | EP4009609A1 (zh) |
| JP (1) | JP7309828B2 (zh) |
| KR (1) | KR102602529B1 (zh) |
| CN (2) | CN114598487B (zh) |
| BR (1) | BR102021023638A2 (zh) |
| MX (1) | MX2021014792A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
| WO2020088684A1 (zh) * | 2018-11-02 | 2020-05-07 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN111130876A (zh) * | 2019-12-20 | 2020-05-08 | 北京邮电大学 | 一种自治域系统在三维地理空间的展示方法及装置 |
| CN111698189A (zh) * | 2019-03-11 | 2020-09-22 | 华为技术有限公司 | Bgp路由识别方法、装置及设备 |
| CN111865698A (zh) * | 2020-07-30 | 2020-10-30 | 中国电子信息产业集团有限公司第六研究所 | 一种基于地理信息的自治域级互联网拓扑可视化方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100384142C (zh) * | 2004-10-22 | 2008-04-23 | 中国人民解放军国防科学技术大学 | 基于多视图的域间路由异常检测方法 |
| US7930424B1 (en) * | 2007-05-09 | 2011-04-19 | Narus, Inc. | System and method for detecting bogus BGP route information |
| CN101588343A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
| KR20100043554A (ko) * | 2008-10-20 | 2010-04-29 | 주식회사 케이티 | 네트워크 연결 관계 제공 시스템 및 방법 |
| US8925079B2 (en) * | 2011-11-14 | 2014-12-30 | Telcordia Technologies, Inc. | Method, apparatus and program for detecting spoofed network traffic |
| WO2016096005A1 (en) * | 2014-12-18 | 2016-06-23 | Nokia Solutions And Networks Oy | Trusted routing between communication network systems |
| EP3420702B1 (en) * | 2016-02-22 | 2022-03-30 | Dynamic Network Services, Inc. | Methods and apparatus for finding global routing hijacks |
| CN111385246B (zh) * | 2018-12-28 | 2021-09-21 | 华为技术有限公司 | 一种安全路由识别方法及装置 |
-
2020
- 2020-12-04 CN CN202011410695.2A patent/CN114598487B/zh active Active
- 2020-12-04 CN CN202310680002.9A patent/CN116866002A/zh active Pending
-
2021
- 2021-11-23 EP EP21209801.6A patent/EP4009609A1/en active Pending
- 2021-11-24 BR BR102021023638-8A patent/BR102021023638A2/pt unknown
- 2021-12-01 MX MX2021014792A patent/MX2021014792A/es unknown
- 2021-12-02 KR KR1020210170816A patent/KR102602529B1/ko active IP Right Grant
- 2021-12-03 US US17/541,485 patent/US20220182381A1/en active Pending
- 2021-12-03 JP JP2021196904A patent/JP7309828B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
| WO2020088684A1 (zh) * | 2018-11-02 | 2020-05-07 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN111698189A (zh) * | 2019-03-11 | 2020-09-22 | 华为技术有限公司 | Bgp路由识别方法、装置及设备 |
| CN111130876A (zh) * | 2019-12-20 | 2020-05-08 | 北京邮电大学 | 一种自治域系统在三维地理空间的展示方法及装置 |
| CN111865698A (zh) * | 2020-07-30 | 2020-10-30 | 中国电子信息产业集团有限公司第六研究所 | 一种基于地理信息的自治域级互联网拓扑可视化方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杨家海 ; 焦亮 ; 秦董洪 ; 葛连升 ; .基于BGP路由表的域间路径特性实验研究.清华大学学报(自然科学版).2015,(第11期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| BR102021023638A2 (pt) | 2022-06-07 |
| US20220182381A1 (en) | 2022-06-09 |
| CN114598487A (zh) | 2022-06-07 |
| KR102602529B1 (ko) | 2023-11-14 |
| JP2022089799A (ja) | 2022-06-16 |
| CN116866002A (zh) | 2023-10-10 |
| MX2021014792A (es) | 2022-06-06 |
| KR20220079461A (ko) | 2022-06-13 |
| EP4009609A1 (en) | 2022-06-08 |
| JP7309828B2 (ja) | 2023-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106060014B (zh) | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 | |
| US9712515B2 (en) | Verifying an identity of a message sender | |
| US7533184B2 (en) | Peer-to-peer name resolution wire protocol and message format data structure for use therein | |
| US8843751B2 (en) | IP address delegation | |
| JP5468137B2 (ja) | オンライン第三者装置を導入するエンティティ双方向認証方法 | |
| CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
| JP2013506352A (ja) | オンライン信頼できる第三者を導入したエンティティの公開鍵の取得、証明書の検証及び認証の方法及びシステム | |
| CN101959183A (zh) | 一种基于假名的移动用户标识码imsi保护方法 | |
| JP4129216B2 (ja) | グループ判定装置 | |
| US20230396624A1 (en) | Extending border gateway protocol (bgp) flowspec origination authorization using path attributes | |
| US8850576B2 (en) | Methods for inspecting security certificates by network security devices to detect and prevent the use of invalid certificates | |
| JP5763943B2 (ja) | 情報処理装置及びプログラム | |
| CN107005913A (zh) | 邻近服务通信的验证方法、用户设备及邻近服务功能实体 | |
| WO2011082583A1 (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
| CN114598487B (zh) | 一种验证as对的方法、装置及设备 | |
| CN115632963A (zh) | 一种确认隧道连接状态的方法、设备、装置及介质 | |
| CN106576245B (zh) | 用户设备邻近请求认证 | |
| CN115943603A (zh) | 区块链增强路由授权 | |
| Tsumak | Securing BGP using blockchain technology | |
| CN113810330A (zh) | 发送验证信息的方法、装置及存储介质 | |
| US20240022602A1 (en) | Method and Apparatus for Route Verification and Data Sending, Device, and Storage Medium | |
| CN115208600A (zh) | 路由验证、数据发送的方法、装置、设备及存储介质 | |
| Meng et al. | Establish the intrinsic binding in naming space for future internet using combined public key | |
| KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 | |
| CN110431822B (zh) | 一种用于在无线通信网络中进行通信的无线通信设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |