CN115883088A - 基于bgp路由的自治域安全参数更新方法 - Google Patents
基于bgp路由的自治域安全参数更新方法 Download PDFInfo
- Publication number
- CN115883088A CN115883088A CN202310029994.9A CN202310029994A CN115883088A CN 115883088 A CN115883088 A CN 115883088A CN 202310029994 A CN202310029994 A CN 202310029994A CN 115883088 A CN115883088 A CN 115883088A
- Authority
- CN
- China
- Prior art keywords
- autonomous domain
- bgp
- domain
- certificate
- cryptosystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,具体而言涉及一种基于BGP路由的自治域安全参数更新方法,包括以下步骤:通过RPKI发布自治域的CA证书,自治域的可信性被认证;部署标识密码系统,输出密码系统安全参数并启动自治域信任根,密码系统安全参数包括自信任标识密码主公钥及标识密码算法;当自治域管辖的IP地址资源变动时,更新密码系统安全参数;通过自治域的CA证书私钥为密码系统安全参数进行签名;配置自治域的域间路由器,将密码系统安全参数、签名和IP地址资源变动信息封装为BGP更新报文,按照BGP协议向全网发送BGP更新报文;BGP更新报文被接收,签名被提取,通过报文源自治域CA证书公钥验证签名有效性,更新BGP更新报文源自治域对应的密码系统安全参数。
Description
技术领域
本发明属于网络安全技术领域,具体而言涉及一种基于BGP路由的自治域安全参数更新方法。
背景技术
边界网关协议(Border Gateway Protocol version 4,BGPv4)作为现行互联网域间路由协议标准和事实协议,承载了全球互联网50亿用户的跨域互联互通功能。整个互联网以自治域(autonomous system,AS)为单位,划分为不同的连通网络单元,每个自治域网络拥有多个域间路由器和更多的域内路由器,分别负责转发域内用户与其他自治域用户的通信流量,以及与域内其他用户的通信流量。以公网IP地址作为用户网络标识,用户设置公网IP地址接入互联网时均接受某个自治域的管理,自治域AS会将域内所管理的IP地址段以IP前缀的形式通告其他自治域,全网自治域间会转发新的IP前缀通告信息,同时更新自己的路由表,从而在流量达到时能够按照新的路由寻址,达到全网任意IP互通的目的。
可信网络体系旨在为每个终端提供IP源地址认证,防止地址欺骗、反射型DDOS攻击等,做到报文溯源、流量可信等功能。不同于自验证网络(如HIP)通过全新的网络编址设计将公钥置入编址,以达到网络地址可信的目标,自信任网络体系基于标识密码,可形成IP地址即公钥的一体化安全网络,兼容现有的IP编址。
如何有效地管理全网大范围的可信IP地址,使得任何通信双方都能快速认证对方的可信性,是一个挑战问题。如果选用全局统一的自信任根作为私钥生成管理机构(Private Key Generator,PKG),直接为每个IP地址分发管理密钥,其开销是无法接受的。现有技术中采用层次式标识密码技术将网络划分为三层管理机构,通过独立的网络标识密钥管理协议实现网络路由器的标识密钥的分发和认证。相似方式也可用于终端IP的标识密钥分发和认证。然而该方案有如下劣势:(1)全部参与方需要运行独立的网络标识密钥管理协议来发送和接收密钥及管理消息,特别对闭源设计的商用路由器,其方案的扩展性可部署性差;(2)用于IP标识密钥分发的情况,由于全网IP归属变更较路由器变更会更频繁,方案采用的预制私钥有效期机制若设置时间周期较长则无法实现即时撤销,若设计时间周期短则需要频繁发送更新通告,难以满足高效的地址密钥更新管理和撤销;(3)整套体系依赖多层管理机构配合,共同形成可信体系,部署难度较大,难以在全网部署推行。
现有技术中的另外一种网络资源可信管理的渐进部署方式是借助资源公钥基础设施(Resource Public Key Infrastructure)。作为BGP 协议安全标准,RPKI负责管理机构、供应商和自治域AS等实体的资源证书的发布、存储与查询。要实现IP地址即公钥的网络地址可信机制,可将网络分为两级安全管理层,第一级安全管理层借助现有的BGP安全标准机制,实现自顶端互联网编号管理机构及五大洲管理机构向末端AS实体的证书及密钥管理,第二级安全管理则利用标识密码,以自治域为单位实现其授权归属的IP地址密钥管理,每个自治域可部署独立的PKG执行独立的标识密钥管理,配用不同的标识主公钥及标识密码系统参数,从而形成标识密码融合RPKI的分级可信网络体系。这样的体系一方面可借助RPKI实现兼容现有互联网资源安全基础设施的资源密钥安全管理,另一方面可实现自治域内的IP即公钥的地址密钥管理机制。
但是,在上述融合RPKI的分级可信网络体系下,对于通信两端的IP地址,都需要提前获知对方所在自治域的最新表示系统参数。因此对于上述网络体系而言,如何更新网络中各自治域各自的系统参数是需要解决的技术问题。
发明内容
为解决上述现有技术中存在的技术问题,本发明提供一种基于BGP路由的自治域安全参数更新方法,包括以下步骤:
通过RPKI发布自治域的CA证书,所述自治域的可信性被认证;
部署标识密码系统,输出密码系统安全参数并启动自治域信任根,所述系统安全参数包括自信任标识密码主公钥及标识密码算法;
当所述自治域管辖的IP地址资源变动时,更新所述密码系统安全参数;
通过所述自治域的CA证书私钥为所述密码系统安全参数进行签名;
配置所述自治域的域间路由器,将所述密码系统安全参数、所述签名和IP地址资源变动信息封装为BGP更新报文,按照BGP协议向全网发送所述BGP更新报文;
所述BGP更新报文被接收,所述签名被提取,通过报文源自治域CA证书公钥验证所述签名有效性,更新所述BGP更新报文源自治域对应的所述密码系统安全参数。
在一些实施例中,所述标识密码算法包括私钥生成算法、加密/解密算法、签名/验证算法以及密钥协商算法中的一种或者多种。
在一些实施例中,所述启动自治域信任根包括
获取并存储最新的全网各自治域各自的所述密码系统安全参数;
为域内IP地址终端提供报文源IP地址的所述密码系统安全参数的查询服务。
在一些实施例中,所述当自治域管辖的IP地址资源变动时,更新所述密码系统安全参数的过程包括
获取本自治域的IP地址归属变动信息;
分析处理新增的归属IP地址前缀信息和失效的归属IP地址前缀信息,更新所管辖的IP地址总量;
重新部署所述标识密码系统,输出所述密码系统安全参数。
在一些实施例中,所述当自治域管辖的IP地址资源变动时,更新所述密码系统安全参数的过程还包括
为当前合法归属的IP地址分发新的标识密钥,并撤销旧的所述标识密钥。
在一些实施例中,所述通过自治域的CA证书私钥为所述密码系统安全参数进行签名的过程包括
所述自治域的CA证书及CA证书私钥被授权使用;
解析CA证书内容,提取证书私钥标识符SKI、证书过期时间和CA证书公钥信息;
根据预设的签名算法,使用所述CA证书私钥对所述私钥标识符SKI、自治域标识AS和所述密码系统安全参数SysPara进行签名,生成签名Signature,其中所述自治域标识AS指示被通告更新所述密码系统安全参数的自治域。
在一些实施例中,所述配置自治域的域间路由器,将所述密码系统安全参数、所述签名和IP地址资源变动信息封装为BGP更新报文,按照BGP协议向全网发送所述BGP更新报文的过程包括
形成字段<SKI,AS,SysPara,Signature_Length,Signature,ASI>作为BGP扩展属性,其中ASI表示被采用的所述签名算法;
将所述IP地址资源变动信息和所述BGP扩展属性封装为所述BGP更新报文;
所述域间路由器按照BGP协议标准通过邻居自治域向全网通告所述所述BGP更新报文。
在一些实施例中,所述BGP扩展属性参数被设置为可选可传递完全的不需扩展长度的。
在一些实施例中,所述BGP更新报文被第二自治域接收时,第二自治域的域间路由器被配置为
将所述BGP更新报文中的所述BGP扩展属性提取出来;
根据所述BGP扩展属性中的SKI通过RPKI搜索获得验证CA证书核对所述验证CA证书对应的自治域与所述BGP更新报文中的所述自治域标识AS是否匹配;
若是则通过所述CA证书公钥根据ASI对应的所述签名算法验证Signature的有效性;
若验证有效则将字段<AS,SysPara>存储到所述第二自治域的第二标识密码管理系统中。
与现有技术相比,本发明提供的基于BGP路由的自治域安全参数更新方法的优势在于易于扩展实现,其为标识密码融合RPKI的分级可信网络体系提供了兼容现有BGP协议标准的自治域自信任标识主公钥参数更新通告能力。本发明在实现时无需改变现有IP地址资源标识语义,无需改变CA证书的RPKI标准,无需改变BGP协议标准,为构建可信网络报文传输提供基本支撑。本发明借助自治域域间路由器,能够紧密结合BGP的IP前缀变更通告,同一时间发布更新的自治域密码系统安全参数。自治域的IP前缀通告到哪,自治域参数发布到哪,从而借助BGP实现无需带外域间密管协议的跨域自信任密钥同步管理,实现分布式快速便捷的自治域参数更新。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于BGP路由的自治域安全参数更新方法流程示意图;
图2为本发明实施例密码系统安全参数的BGP报文格式示意图;
图3为本发明实施例BGP扩展属性Attr.Value字段格式示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为便于对本申请实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本申请实施例的限定。
本实施例提供一种基于BGP路由的自治域安全参数更新方法,如图1所示,包括以下步骤:
步骤1:通过RPKI发布自治域的CA证书,自治域的可信性被认证。
具体而言,步骤1是本实施例描述的可信网络中的各自治域主动执行的,自治域通过RPKI可向全网发布自己的实体CA证书,全网路由安全实体通过RPKI的证书链认证自治域的可信性,具体的执行步骤完全参照现有的RPKI RFC整套规范,此处不多做赘述。
步骤2:部署标识密码系统,输出密码系统安全参数并启动自治域信任根,系统安全参数包括自信任标识密码主公钥及标识密码算法。
在进行自治域实体信任认证之后,对自治域的域内信任管理体系进行部署,本实施例中,该任务的执行是由自治域可信管理机构(Trust Autonomous System Authority,简称TASA)进行的。TASA部署标识密码系统,完成信任体系的初始化,输出密码系统安全参数并且启动自治域信任根。密码系统安全参数需要被公开以便于其他自治域使用与本自治域安全通信,密码系统安全参数包括自信任标识密码主公钥及标识密码算法。较佳地,标识密码算法包括私钥生成算法、加密/解密算法、签名/验证算法以及密钥协商算法中的一种或者多种。
在一些实施例中,输出的密码系统安全参数BGP报文格式如图2所示,完整的密码系统安全参数记为SysPara=<sa_public_key,sa_security_parameter,sa_algorithm_suite,sa_ET>。
具体地,其中sa_public_key表示自治域的自信任标识密码主公钥,该字段是该自治域所配置的PKG系统参数主私钥s对应的主公钥信息S。例如若采用BF-IBE标识密码算法,其主公钥表示为S=s∙P,其中P为sa_security_parameter系统安全参数中的椭圆曲线有限域生成元,s∙P运算表示为一次椭圆曲线有限域元素的点乘运算,代表s个P的加法运算。
sa_security_parameter表示自治域采用的标识密码算法体系的安全参数,定义了双线性对、哈希函数等运算组件,例如标识符为0x1表示使用国密标识密码算法SM9的系统安全参数标准。
sa_algorithm_suite表示自治域标识密码算法套件,该字段表示标识加密算法、签名算法和密钥协商算法类别。例如标识符为0x2表示使用BF-IBE+CC-IBS+SOK-IBKE算法套件。
以及有效期限字段sa_ET,该字段与CA证书有效期中的notAfter字段形式相同,指示该系统参数的有效期限。该字段表明该自治域在此有效期限内会使用系统参数管理分发IP地址密钥;若超过此期限,则表明系统参数失效,会有系统系统参数发布。
优选地,在一些实施例中,步骤2中的启动自治域信任根包括两个功能,一是获取并存储最新的全网各自治域各自的密码系统安全参数;二是为域内IP地址终端提供报文源IP地址的密码系统安全参数的查询服务。
步骤3:当自治域管辖的IP地址资源变动时,更新密码系统安全参数。自治域所属的IP地址资源变动时,需要及时的对全网进行密码系统安全参的通告更新,以提高网络安全通信的准确性。在一些实施例中,具体包括以下步骤:
步骤3.1、当本自治域的IP地址归属信息变动时,TASA获取到本自治域的IP地址归属变动信息。
步骤3.2、TASA分析处理新增的归属IP地址前缀信息和失效的归属IP地址前缀信息,更新所管辖的IP地址总量。
步骤3.3、TASA重新进行步骤2,以生成新的密码系统安全参数。新的密码系统安全参数主要包括密码标识算法的版本更新。优选地,也可以安排一定的策略对自信任标识密码主公钥进行更新,例如定期更新。
优选地,在一些实施例中,还包括步骤3.4、为当前合法归属的IP地址分发新的标识密钥,并撤销旧的标识密钥。以实现失效IP地址的密钥撤销、新增IP地址的密钥分发、合法IP地址的密钥更新。
通过步骤3实现当域内IP地址资源变动时,标识密码系统完成对于变动响应密码系统安全参数的自行更新。
步骤4:通过自治域的CA证书私钥为密码系统安全参数进行签名。TASA先利用自治域的CA证书私钥,为自治域的最新的自信任标识密码主公钥等密码系统安全参数进行签名。
在一些实施例中,步骤4具体包括以下过程:
步骤4.1、自治域管理者将授权RPKI体系中本自治域的CA证书和C证书私钥给TASA使用。
步骤4.2、TASA解析AS证书内容,提取证书私钥标识符SKI、证书过期时间Expired_Time和CA证书公钥信息。应当注意的是,证书过期时间Expired_Time和前述密码系统安全参数中的sa_ET的关系应当是sa_ET≤Expired Time。
步骤4.3、TASA根据预设的签名算法,签名算法及参数例如由网络地址信任体系提供由ASI(Algorithm Suite Identifier)字段进行约束,使用CA证书私钥对私钥标识符SKI、自治域标识AS和密码系统安全参数SysPara进行签名,生成签名Signature,其中自治域标识AS指示被通告更新密码系统安全参数的自治域。最终输出字段包括<SKI,AS,SysPara,Signature,ASI>。
步骤5:配置自治域的域间路由器,将密码系统安全参数、签名和IP地址资源变动信息封装为BGP更新报文,按照BGP协议向全网发送BGP更新报文。在一些实施例中,步骤5具体包括以下过程:
步骤5.1、TASA配置自治域的域间路由器,根据上述签名及密码系统安全参数等信息形成字段<SKI,AS,SysPara,Signature_Length,Signature,ASI>作为BGP扩展属性。设BGP扩展属性的属性类型号为N,属性类型为可选可传递完全的不需扩展长度的。
即BGP扩展属性包括3个字段:Attr.TYPE、Attr.Length和Attr.Value,其中Attr.TYPE 分为两个字段:Attr.Flags(1byte)=“11000000”,Attr.Type Code(1byte)=N。Attr.Length((1byte))=实际属性总长度。Attr.Value如图3所示,完整表示为Attr.Value=<SKI,AS,SysPara,Signature_Length,Signature,ASI>,以上加到BGP更新报文的PathAttributes字段中。
具体地,Attr.Value中的SKI(Subject Key Identifier)字段包含用于验证签名的RPKI路由器证书[RFC6487]的Subject Key Identifier扩展中的值。SKI有固定大小的20个八进制位。
自治域标识字段AS,长度为4个八进制位,指示被通告更新系统参数的自治域。通常情况下,该字段应与BGP更新报文的地址前缀通告的AS相同。
系统参数字段,长度不定长,用于验证系统参数更新通告的真实性。该签名字段的签发私钥为CA证书私钥AS_cakey,签名的对象是所对应证书中的对象密钥标识符SKI、自治域标识AS和密码系统安全参数SysPara,签名算法及参数由网络地址信任体系提供由ASI字段进行约束,该签名可记为:Sig(SKI||AS||SysPara,AS_cakey)。
ASI字段包含用于验证签名的签名算法标识符,BGP标准规定标识符为0x1表示使用ECDSA和SHA-256算法套件。
接着,步骤5.2、将IP地址资源变动信息和BGP扩展属性封装为BGP更新报文。
步骤5.3、自治域的域间路由器按照BGP协议标准向邻居自治域通告全网IP地址前缀归属更新,同时通告了自治域SysPara的更新。
在一个自治域的更新通告过程中,以上为更新发送方自治域也即源自治域所执行的过程。当源自治域完成报文发送后由接收方自治域接收到BGP更新报文,执行以下步骤。
步骤6:BGP更新报文被接收,签名被提取,通过报文源自治域CA证书公钥验证签名有效性,更新BGP更新报文源自治域对应的密码系统安全参数。
在一些实施例中,步骤6具体包括BGP更新报文被第二自治域接收时,第二自治域的域间路由器被配置为:
步骤6.1、将BGP更新报文中的BGP扩展属性提取出来;BGP更新报文每途径一个自治域域间路由器进行转发时,该自治域的TASA均配置域间路由器策略,将接收的BGP更新报文中的扩展信息<SKI’,AS’,SysPara’,Signature’,ASI’>提取出来。
步骤6.2、根据BGP扩展属性中的SKI通过RPKI搜索获得验证CA证书核对验证CA证书对应的自治域与BGP更新报文中的自治域标识AS是否匹配。
实际操作中TASA根据SKI’搜索RPKI中的证书,查验证书对应的AS是否是通告报文中AS’相同,若相同,则利用证书公钥,按照ASI对应的算法,来验证签名Signature’的有效性。
步骤6.3、若是匹配则通过CA证书公钥根据ASI对应的签名算法验证Signature的有效性。
步骤6.4、若验证有效则将字段<AS,SysPara>存储到第二自治域的第二标识密码管理系统中,表示该自治域对应的密码系统安全参数。
通过以上过程为标识密码融合RPKI的分级可信网络体系提供了兼容现有BGP协议标准的自治域自信任标识主公钥参数更新通告能力。
每当自治域内的IP地址用户收到其他IP地址发来的网络认证报文时,向自治域标识密码管理系统请求源IP对应AS所采用的系统密钥及安全参数,结合报文中的认证信息,通过标识密码算法实现IP可信认证。具体包括以下过程:
每当自治域内的用户收到其他网络地址发来的网络认证报文时,向自治域标识密钥管理系统请求源地址sIP所采用的密码系统安全参数。
自治域标识密码管理系统首先检索源地址sIP所归属的AS,然后到存储库中查找sAS对应的sSysPara返回给用户。
用户根据自己的网络地址dIP标识私钥,对方网络地址sIP标识公钥,结合对方的密码系统安全参数sSysPara,以及报文中的认证信息,通过标识密码算法进行计算验证,验证通过则实现了源地址sIP的可信认证。
需要说明的是,附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种基于BGP路由的自治域安全参数更新方法,其特征在于,包括以下步骤:
通过RPKI发布自治域的CA证书,所述自治域的可信性被认证;
部署标识密码系统,输出密码系统安全参数并启动自治域信任根,所述密码系统安全参数包括自信任标识密码主公钥及标识密码算法;
当所述自治域管辖的IP地址资源变动时,更新所述密码系统安全参数;
通过所述自治域的CA证书私钥为所述密码系统安全参数进行签名;
配置所述自治域的域间路由器,将所述密码系统安全参数、所述签名和IP地址资源变动信息封装为BGP更新报文,按照BGP协议向全网发送所述BGP更新报文;
所述BGP更新报文被接收,所述签名被提取,通过报文源自治域CA证书公钥验证所述签名有效性,更新所述BGP更新报文源自治域对应的所述密码系统安全参数。
2.根据权利要求1所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述标识密码算法包括私钥生成算法、加密/解密算法、签名/验证算法以及密钥协商算法中的一种或者多种。
3.根据权利要求1所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述启动自治域信任根包括
获取并存储最新的全网各自治域各自的所述密码系统安全参数;
为域内IP地址终端提供报文源IP地址的所述密码系统安全参数的查询服务。
4.根据权利要求1所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述当自治域管辖的IP地址资源变动时,更新所述密码系统安全参数的过程包括
获取本自治域的IP地址归属变动信息;
分析处理新增的归属IP地址前缀信息和失效的归属IP地址前缀信息,更新所管辖的IP地址总量;
重新部署所述标识密码系统,输出所述密码系统安全参数。
5.根据权利要求4所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述当自治域管辖的IP地址资源变动时,更新所述密码系统安全参数的过程还包括
为当前合法归属的IP地址分发新的标识密钥,并撤销旧的所述标识密钥。
6.根据权利要求1所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述通过自治域的CA证书私钥为所述密码系统安全参数进行签名的过程包括
所述自治域的CA证书及CA证书私钥被授权使用;
解析CA证书内容,提取证书私钥标识符SKI、证书过期时间和CA证书公钥信息;
根据预设的签名算法,使用所述CA证书私钥对所述私钥标识符SKI、自治域标识AS和所述密码系统安全参数SysPara进行签名,生成签名Signature,其中所述自治域标识AS指示被通告更新所述密码系统安全参数的自治域。
7.根据权利要求6所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述配置自治域的域间路由器,将所述密码系统安全参数、所述签名和IP地址资源变动信息封装为BGP更新报文,按照BGP协议向全网发送所述BGP更新报文的过程包括
形成字段<SKI,AS,SysPara,Signature_Length,Signature,ASI>作为BGP扩展属性,其中ASI表示被采用的所述签名算法;
将所述IP地址资源变动信息和所述BGP扩展属性封装为所述BGP更新报文;
所述域间路由器按照BGP协议标准通过邻居自治域向全网通告所述所述BGP更新报文。
8.根据权利要求7所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述BGP扩展属性参数被设置为可选可传递完全的不需扩展长度的。
9.根据权利要求7所述的基于BGP路由的自治域安全参数更新方法,其特征在于:所述BGP更新报文被第二自治域接收时,第二自治域的域间路由器被配置为
将所述BGP更新报文中的所述BGP扩展属性提取出来;
根据所述BGP扩展属性中的SKI通过RPKI搜索获得验证CA证书核对所述验证CA证书对应的自治域与所述BGP更新报文中的所述自治域标识AS是否匹配;
若是则通过所述CA证书公钥根据ASI对应的所述签名算法验证Signature的有效性;
若验证有效则将字段<AS,SysPara>存储到所述第二自治域的第二标识密码管理系统中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310029994.9A CN115883088B (zh) | 2023-01-10 | 2023-01-10 | 基于bgp路由的自治域安全参数更新方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310029994.9A CN115883088B (zh) | 2023-01-10 | 2023-01-10 | 基于bgp路由的自治域安全参数更新方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115883088A true CN115883088A (zh) | 2023-03-31 |
| CN115883088B CN115883088B (zh) | 2023-05-12 |
Family
ID=85758382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310029994.9A Active CN115883088B (zh) | 2023-01-10 | 2023-01-10 | 基于bgp路由的自治域安全参数更新方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115883088B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080267189A1 (en) * | 2006-01-10 | 2008-10-30 | Huawei Technologies Co., Ltd. | Method and system for verifying update information in bgp |
| CN105072116A (zh) * | 2015-08-13 | 2015-11-18 | 中国人民解放军国防科学技术大学 | 基于标识即公钥的自信任路由资源标识及密钥分配方法 |
| CN105141597A (zh) * | 2015-08-13 | 2015-12-09 | 中国人民解放军国防科学技术大学 | 一种基于标识即公钥的自表示安全路由授权方法 |
| CN110061918A (zh) * | 2019-04-18 | 2019-07-26 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
| CN110868429A (zh) * | 2019-12-20 | 2020-03-06 | 北京网太科技发展有限公司 | Bgp路由协议安全防护方法及装置 |
| CN111211976A (zh) * | 2020-03-02 | 2020-05-29 | 清华大学 | Bgp路由信息验证方法及装置 |
-
2023
- 2023-01-10 CN CN202310029994.9A patent/CN115883088B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080267189A1 (en) * | 2006-01-10 | 2008-10-30 | Huawei Technologies Co., Ltd. | Method and system for verifying update information in bgp |
| CN105072116A (zh) * | 2015-08-13 | 2015-11-18 | 中国人民解放军国防科学技术大学 | 基于标识即公钥的自信任路由资源标识及密钥分配方法 |
| CN105141597A (zh) * | 2015-08-13 | 2015-12-09 | 中国人民解放军国防科学技术大学 | 一种基于标识即公钥的自表示安全路由授权方法 |
| CN110061918A (zh) * | 2019-04-18 | 2019-07-26 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
| CN110868429A (zh) * | 2019-12-20 | 2020-03-06 | 北京网太科技发展有限公司 | Bgp路由协议安全防护方法及装置 |
| CN111211976A (zh) * | 2020-03-02 | 2020-05-29 | 清华大学 | Bgp路由信息验证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 喻卫等: "BGP 安全机制的研究", 计算机工程与应用 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115883088B (zh) | 2023-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Seth et al. | Practical security for disconnected nodes | |
| US8700894B2 (en) | Method and system for securing routing information of a communication using identity-based encryption scheme | |
| US8098823B2 (en) | Multi-key cryptographically generated address | |
| CN110958229A (zh) | 一种基于区块链的可信身份认证方法 | |
| CN101960814B (zh) | Ip地址委派 | |
| WO2001008351A1 (en) | System and method for certificate exchange | |
| JP5144685B2 (ja) | 移動ネットワークにおけるシグナリング委任 | |
| CN112351019B (zh) | 一种身份认证系统及方法 | |
| Dinu et al. | DHCP server authentication using digital certificates | |
| Chattaraj et al. | On the design of blockchain-based access control scheme for software defined networks | |
| Huston et al. | Securing bgp with bgpsec | |
| Yang et al. | Blockchain-based decentralized public key management for named data networking | |
| Liu et al. | Secure name resolution for identifier-to-locator mappings in the global internet | |
| CN115580498B (zh) | 融合网络中的跨网通信方法及融合网络系统 | |
| US20230077053A1 (en) | Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method | |
| KR100970552B1 (ko) | 비인증서 공개키를 사용하는 보안키 생성 방법 | |
| Dinu et al. | DHCPAuth—a DHCP message authentication module | |
| CN115883088B (zh) | 基于bgp路由的自治域安全参数更新方法 | |
| CN114301612A (zh) | 信息处理方法、通信设备和加密设备 | |
| Chuan et al. | Secure public key regime (SPKR) in vehicular networks | |
| Lee et al. | Secure communications between bandwidth brokers | |
| Palmieri et al. | Enhanced Security Strategies for MPLS Signaling. | |
| Shue et al. | A Unified approach to intra-domain security | |
| Eie | Authentication in protected core networking | |
| Jacobs | Providing better confidentiality and authentication on the Internet using Namecoin and MinimaLT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |