ES2614853T3 - Un método, un dispositivo y un sistema de comunicación para gestionar y solicitar información de mapeado - Google Patents

Un método, un dispositivo y un sistema de comunicación para gestionar y solicitar información de mapeado Download PDF

Info

Publication number
ES2614853T3
ES2614853T3 ES09753457.2T ES09753457T ES2614853T3 ES 2614853 T3 ES2614853 T3 ES 2614853T3 ES 09753457 T ES09753457 T ES 09753457T ES 2614853 T3 ES2614853 T3 ES 2614853T3
Authority
ES
Spain
Prior art keywords
mapping
pair
information
signed
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES09753457.2T
Other languages
English (en)
Inventor
Ya Liu
Xiaohu Xu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2614853T3 publication Critical patent/ES2614853T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/46Cluster building
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método para gestionar información de mapeado en encaminamiento de red, que comprende: firmar (S101), por parte de un dispositivo de una red perimetral, un par de información de mapeado utilizando una clave privada de un certificado correspondiente a un prefijo de la red perimetral en el par de información de mapeado con el fin de generar un par de mapeado firmado; enviar (S102), por parte del dispositivo de la red perimetral, el par de mapeado firmado a un agente de registro, RA, en una red de tránsito; y compartir (S103), por parte del RA, el par de mapeado firmado con otros RA mediante sincronización de datos; en donde el par de información de mapeado comprende al menos la siguiente información: el prefijo, una dirección del Protocolo de Internet, IP, del dispositivo, en donde la dirección IP se encuentra en la red de tránsito, e información de control de mapeado; y el par de mapeado firmado comprende al menos la siguiente información: el prefijo, la dirección IP, la información de control de mapeado, una información de control de firma y una firma, en donde: la información de control de firma comprende: una información de certificado utilizada para la firma, un punto de revocación del par de mapeado firmado, una fecha de expiración y una información del algoritmo de firma.

Description

5
10
15
20
25
30
35
40
45
50
DESCRIPCION
Un metodo, un dispositivo y un sistema de comunicacion para gestionar y solicitar informacion de mapeado Campo de la invencion
La presente invencion esta relacionada con una tecnologfa de transmision de datos en una red de comunicaciones y, en particular, con un metodo, un dispositivo y un sistema de comunicaciones para gestionar y consultar informacion de mapeado.
Antecedentes de la invencion
Con el amplio despliegue de sistemas de multi-homing (conexion simultanea a multiples redes) de ingeniena de trafico (TE), las rutas de Internet estan aumentando rapidamente. Esto, por un lado, requiere chips de mayor capacidad para almacenar tablas de encaminamiento de gran tamano, aumentando de este modo los costes de los routers y, por otro lado, provoca una convergencia de rutas mas lenta.
Con el fin de resolver el problema de tablas de encaminamiento de gran tamano provocado por el aumento brusco de las rutas, tal como se muestra en la FIG. 1, Internet se divide en dos partes: una red de transito que se encuentra en una posicion central de la red y una red perimetral que conecta con la red de transito a traves de un router frontera (BR). El BR conoce la informacion de encaminamiento de la red perimetral y la informacion de encaminamiento de la red de transito con las que se conecta, pero la informacion de encaminamiento no penetra en cada una.
Los prefijos de encaminamiento dentro de la red perimetral no se difunden a la red de transito. En su lugar, el BR de la red perimetral registra los prefijos de la red perimetral con un agente de registro (RA) de la red de transito. El mapeado entre un prefijo y el BR que registra el prefijo se describe como informacion de mapeado. Cada RA mantiene una base de datos que almacena informacion de mapeado, esto es una base de datos de informacion de mapeado. Multiples RA en la red de transito sincronizan la informacion de sus bases de datos de informacion de mapeado a traves de un protocolo de comunicaciones como, por ejemplo, una extension del Border Gateway Protocol (Protocolo de Pasarela Frontera) (BGP), de modo que se sincronizan las bases de datos y mantienen los mismos registros de informacion de mapeado. Despues de la sincronizacion, cualquier RA en la red de transito conoce que BR atraviesa una ruta desde el RA a un prefijo. En la FIG. 1, por ejemplo, el trafico desde la red perimetral A hacia la red perimetral B se encaminara en primer lugar a BR-A que conecta con la red perimetral A. A continuacion, BR-A consulta al RA la informacion de mapeado del prefijo mas largo que coincide con la direccion del Protocolo de Internet (IP) de destino con el fin de obtener la informacion del BR que registra la informacion de mapeado, esto es, BR-B. A continuacion, BR-A le reenvfa los paquetes a BR-B a traves de un tunel dirigido a bR-B como, por ejemplo, un tunel de Multi-Protocol Label Switching (Conmutacion mediante Etiquetas Multiprotocolo) (MPLS), un tunel IP en IP, o un tunel de Generic Route Encapsulation (Encapsulacion Generica de Rutas) (GRE). BR-B conoce la informacion de rutas dentro de la red perimetral con la que se encuentra conectado y reenvfa los paquetes en funcion de su tabla de encaminamiento en la red perimetral B hasta que los paquetes finalmente alcanzan el destino. Esta solucion de reenvfo es una solucion de separacion de reenvfo y consulta. Esto es, el RA unicamente responde a la consulta de informacion de mapeado y el RA no reenvfa el trafico entre redes perimetrales.
Sin embargo, en la solucion de separacion descrita anteriormente se hacen evidentes algunos problemas potenciales de seguridad:
Seguridad del registro de la informacion de mapeado: un atacante puede registrar informacion de mapeado falsa en el RA utilizando una identidad falsa, por ejemplo, registrando un prefijo que pertenece a alguien mas.
Seguridad de la consulta de informacion de mapeado: el atacante puede simular un RA para proporcionar informacion de mapeado falsa a una entidad que realice una consulta o, con algun proposito, alterar la informacion en algunas parejas de informacion de mapeado como, por ejemplo, la longitud del prefijo y la direccion de entrada, cambiando la entrada de la red perimetral B desde bR-B a BR-B' en el escenario que se muestra en la FIG. 1.
Seguridad de la sincronizacion de la base de datos de informacion de mapeado: cuando se sincronizan las bases de datos de informacion de mapeado de multiples RA, algunos RA pueden publicar informacion de mapeado falsa, por ejemplo, publicando un registro de mapeado con una longitud de prefijo alterada o fabricar una pareja de informacion de mapeado no existente.
El documento 'Zhao M y otros, "The performance impact of BGP security (El impacto del rendimiento de la seguridad del BGP)", IEEE NETWORK, IEEE SERVICE CENTER, NUEVA YORK, NY, EE.UU. vol. 19, num. 6, paginas 42-48 (1 de noviembre de 2005), XP001512559' describe que el Protocolo de la Pasarela Frontera posee vulnerabilidades de seguridad debido a que los interlocutores pueden proporcionar informacion falsa. Los
5
10
15
20
25
30
35
40
45
50
protocolos de seguridad propuestos pueden cubrir dichas vulnerabilidades, pero aumentan de forma significativa los costos de rendimiento, lo cual evita su despliegue en el mundo real. La criptograffa de clave publica puede cubrir estas vulnerabilidades. El documento informa de la investigacion de los inventores analizando los protocolos de seguridad propuestos recientemente y construyendo entornos de simulacion para evaluar sus costes, y disenando y validando tecnicas para reducirlos.
El documento 'CHARLES LYNN JOANNE MIKKELSON KAREN SEO BBN TECHNOLOGIES, "Secure BGP (BGP Seguro) (S-BGP) draft-clynn-s-bgp-protocol-01.txt; draft-clynn-s-bgp-protocol-01.txt", BORRADOR DE TRaBaJO DEL ESTANDAR DE IETF, IETF TASK FORCE, IETF, Suiza, num. 1, (1 de junio de 2003), XP015000564' describe que el Protocolo de la Pasarela Frontera (BGP), el cual se utiliza para distribuir informacion de encaminamiento entre sistemas autonomos (AS), es un componente cntico de la infraestructura de encaminamiento de Internet. Es altamente vulnerable a una variedad de ataques maliciosos tanto en teona como en la practica, debido a la ausencia de medios escalables para verificar la autenticidad y legitimidad del trafico de control BGP. Este documento es una especificacion del protocolo para BGP Seguro (S-BGP), una extension a BGP-4. S-BGP sigue el principio del menor privilegio y utiliza contramedidas que crea un sistema de autenticacion y autorizacion que cubre la mayor parte de los problemas de seguridad asociados a BGP. Con el fin de facilitar su adopcion y despliegue, S-BGP se ha disenado para minimizar la sobrecarga (de procesamiento, ancho de banda y almacenamiento) anadida por sus contramedidas y para poder interoperar con el BGP actual con el fin de poderse desplegar de forma incremental.
Resumen de la invencion
El objeto de la presente invencion es proporcionar un metodo para gestionar informacion de mapeado en el encaminamiento de red, un metodo para consultar informacion de mapeado, y un dispositivo de red perimetral, con el fin de garantizar la seguridad de la informacion de mapeado en las operaciones de registro, consulta y sincronizacion.
De acuerdo con el primer aspecto de la presente invencion, un metodo para gestionar informacion de mapeado en encaminamiento de red incluye:
firmar, por parte de un dispositivo de una red perimetral, un par de informacion de mapeado utilizando una clave privada de un certificado correspondiente a un prefijo de la red perimetral en el par de informacion de mapeado con el fin de generar un par de mapeado firmado;
enviarle, por parte del dispositivo de la red perimetral, el par de mapeado firmado a un RA en una red de transito; y
compartir, por parte del RA, el par de mapeado firmado con otros RA mediante sincronizacion de datos; en donde el par de informacion de mapeado comprende al menos la siguiente informacion: el prefijo, una direccion del Protocolo de Internet (IP) del dispositivo, en donde la direccion IP se encuentra en la red de transito, y una informacion de control de mapeado; y
el par de mapeado firmado comprende al menos la siguiente informacion: el prefijo, la direccion IP, la informacion de control de mapeado, informacion de control de firma, y una firma, en donde:
la informacion de control de firma comprende: informacion del certificado utilizado para la firma, punto de revocacion del par de mapeado firmado, fecha de expiracion e informacion del algoritmo de firma.
De acuerdo con el segundo aspecto de la presente invencion un metodo para consultar informacion de mapeado incluye:
consultarle, por parte de una organizacion de una primera red perimetral, a un RA en funcion de un prefijo de una segunda red perimetral y obtener un par de mapeado firmado de una organizacion de la segunda red perimetral devuelto por el RA;
comprobar, por parte de la organizacion de una primera red perimetral, si el par de mapeado firmado es valido en funcion de la informacion de control de firma en el par de mapeado firmado; y
despues de haber determinado mediante la comprobacion que el par de mapeado firmado es valido, extraer, por parte de la primera organizacion de la red perimetral, informacion de mapeado en el par de mapeado firmado;
en donde la informacion de mapeado comprende un mapeado entre el prefijo de la segunda red perimetral y una direccion del Protocolo de Internet, IP, de un dispositivo de la segunda red perimetral que registra el prefijo, en donde la direccion IP se encuentra en una red de transito; y
en donde el par de mapeado firmado comprende al menos la siguiente informacion: el prefijo, la direccion IP, la informacion de control de mapeado, informacion de control de firma, y una firma, en donde:
3
5
10
15
20
25
30
35
40
45
la informacion de control de firma comprende: informacion del certificado utilizado para la firma, punto de revocacion del par de mapeado firmado, fecha de expiracion e informacion del algoritmo de firma.
De acuerdo con el tercer aspecto de la presente invencion un dispositivo de una red perimetral incluye:
una unidad de generacion del par de mapeado firmado, configurada para firmar un par de informacion de mapeado utilizando una clave privada de un certificado correspondiente a un prefijo de la red perimetral en el par de informacion de mapeado con el fin de generar un par de mapeado firmado; y
una unidad de envfo, configurada para enviarle el par de mapeado firmado a un RA en una red de transito; en donde el par de informacion de mapeado comprende al menos la siguiente informacion: el prefijo, una direccion del Protocolo de Internet (IP) del dispositivo, en donde la direccion IP se encuentra en la red de transito, y una informacion de control de mapeado; y
el par de mapeado firmado comprende al menos la siguiente informacion: el prefijo, la direccion IP, la informacion de control de mapeado, informacion de control de firma, y una firma, en donde:
la informacion de control de firma comprende: informacion del certificado utilizado para la firma, punto de revocacion del par de mapeado firmado, fecha de expiracion e informacion del algoritmo de firma.
Con el metodo de gestion de mapeado de informacion, el metodo de consulta de informacion de mapeado, los dispositivos y el sistema de comunicaciones proporcionados por la presente invencion, con la clave privada de un certificado se firma un par de informacion de mapeado, lo cual asegura la fiabilidad de la informacion de mapeado en las operaciones de registro, consulta y sincronizacion y elimina los problemas de seguridad potenciales de la tecnica anterior. En consecuencia, se mejora la fiabilidad de la red o el sistema de comunicaciones.
Breve descripcion de los dibujos
La FIG. 1 ilustra una arquitectura de Internet en la tecnica anterior;
la FIG. 2 es un diagrama de flujo principal de un metodo para gestionar informacion de mapeado de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 3 ilustra un prefijo y una asignacion de certificado de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 4 ilustra un escenario de aplicacion de un modo de realizacion de la presente invencion;
la FIG. 5 ilustra un metodo para gestionar informacion de mapeado de acuerdo con un primer modo de realizacion de la presente invencion;
la FIG. 6 ilustra un metodo para gestionar informacion de mapeado de acuerdo con un segundo modo de realizacion de la presente invencion;
la FIG. 7 es un diagrama de flujo de un metodo para consultar informacion de mapeado de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 8 ilustra un metodo para gestionar informacion de mapeado de acuerdo con un tercer modo de realizacion de la presente invencion;
la FIG. 9 ilustra un certificado de una Organizacion A de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 10 ilustra un certificado de una organizacion de una red de transito de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 11 ilustra la estructura de un sistema de comunicaciones de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 12 ilustra un dispositivo de red perimetral de acuerdo con un primer modo de realizacion de la presente invencion;
la FIG. 13 ilustra un dispositivo de red perimetral de acuerdo con un segundo modo de realizacion de la presente invencion;
la FIG. 14 ilustra un dispositivo de red perimetral de acuerdo con un tercer modo de realizacion de la presente invencion;
5
10
15
20
25
30
35
40
45
la FIG. 15 ilustra un dispositivo de red perimetral de acuerdo con un cuarto modo de realizacion de la presente invencion;
la FIG. 16 ilustra un dispositivo RA de acuerdo con un primer modo de realizacion de la presente invencion;
la FIG. 17 ilustra un dispositivo RA de acuerdo con un segundo modo de realizacion de la presente invencion;
la FIG. 18 ilustra un dispositivo RA de acuerdo con un tercer modo de realizacion de la presente invencion; y
la FIG. 19 ilustra un dispositivo RA de acuerdo con un cuarto modo de realizacion de la presente invencion.
Descripcion detallada de los modos de realizacion
Con el fin de explicar mejor la solucion tecnica de los modos de realizacion de la presente invencion, de aqrn en adelante se describe detalladamente, haciendo referencia a los dibujos adjuntos, un metodo para gestionar informacion de mapeado en un encaminamiento de red, un metodo para consultar informacion de mapeado, un dispositivo de red perimetral, un dispositivo RA y un sistema de comunicaciones proporcionados por los modos de realizacion de la presente invencion.
Antes de explicar la solucion tecnica, se debe observar que, en la descripcion de los modos de realizacion de la presente invencion, una organizacion de red perimetral y un dispositivo de red perimetral se refieren al mismo objeto; un RA y un dispositivo RA se refieren al mismo objeto; la organizacion de la primera red perimetral y la Organizacion A se refieren al mismo objeto y la organizacion de la segunda red perimetral y la Organizacion B se refieren al mismo objeto.
La FIG. 2 ilustra un diagrama de flujo de un metodo para gestionar informacion de mapeado en encaminamiento de red de acuerdo con un modo de realizacion de la presente invencion. El metodo incluye los siguientes pasos:
5101. Un dispositivo de red perimetral firma un par de informacion de mapeado utilizando la clave privada de un certificado correspondiente al prefijo en el par de informacion de mapeado con el fin de generar un par de mapeado firmado.
El par de informacion de mapeado incluye al menos la siguiente informacion: prefijo, direccion IP de la red de transito e informacion de control de mapeado.
El par de mapeado firmado incluye al menos la siguiente informacion: prefijo, direccion IP de la red de transito, informacion de control de mapeado, informacion de control de firma y firma. La informacion de control de firma incluye: informacion de certificado utilizado para la firma, punto de revocacion del par de mapeado firmado, fecha de expiracion y algoritmo de firma.
5102. El dispositivo de red perimetral le envfa el par de mapeado firmado a un RA en la red de transito.
5103. El RA comparte el par de mapeado firmado con otros RA mediante sincronizacion de datos. En particular, el RA puede crear una base de datos de pares de mapeado firmados independiente con el fin de almacenar el par firmado.
Los RA sincronizan sus bases de datos de pares de mapeado firmados tomando un par de mapeado firmado como la unidad basica de registro y responden a las consultas proporcionando el par de mapeado firmado solicitado. En cada par de mapeado firmado se incluye un tiempo de vida. Se descartaran los pares de mapeado firmados cuyo tiempo de vida haya expirado. El rA no acepta ni distribuye un par de mapeado firmado cuyo tiempo de vida haya expirado. Cuando un solicitante recibe el par de mapeado firmado, el solicitante comprueba la firma sobre el par de mapeado de acuerdo con la informacion de certificado y la informacion del algoritmo de firma. El solicitante no llevara a cabo un procesamiento posterior hasta que la comprobacion de firma sea satisfactoria.
Los pasos S101 y S102 se pueden implementar del siguiente modo:
a. El dispositivo de red perimetral firma el prefijo y el numero de sistema autonomo (AS) de la red de transito utilizando la clave privada del certificado correspondiente al prefijo con el fin de generar un primer par de mapeado firmado y envfa el primer par de mapeado firmado a la organizacion de la red de transito.
b. La organizacion de la red de transito firma el primer par de mapeado firmado de acuerdo con el certificado que contiene el numero de AS con el fin de generar un segundo par de mapeado firmado y le envfa el segundo par de mapeado firmado al RA en la red.
El metodo para gestionar informacion de mapeado en el enrutamiento de red de acuerdo con el modo de realizacion de la presente invencion se ha descrito mas arriba en un sentido general. Aquellos experimentados en
la tecnica pueden entender que, firmando un par de informacion de mapeado utilizando la clave privada de un certificado de acuerdo con el modo de realizacion de la presente invencion, se garantiza la fiabilidad de la informacion de mapeado en las operaciones de registro, consulta y sincronizacion y se elimina el problema potencial de la tecnica anterior.
5 A continuacion se explica la solucion tecnica de los modos de realizacion de la presente invencion tomando como ejemplo el certificado de infraestructura de clave publica (PKI). Tal como se muestra en la FIG. 3, la organizacion superior de gestion de prefijos y AS en el mundo es la Internet Assigned Numbers Authority (Autoridad de Asignacion de Numeros de Internet) (IANA), bajo la cual se configuran cinco agentes regionales de nivel 1. El agente en la region Asia-Padfico es Asia-Pacific Network Information Center (Centro de Informacion de Red 10 Asia-Padfico) (APNIC). Por lo tanto, los operadores en la region Asia-Padfico como, por ejemplo, China Mobile,
China Telecom y China Netcom, y otras organizaciones que requieren prefijos de red y numeros de AS como, por ejemplo, la red de educacion China, pueden enviar solicitudes de direcciones IP y numeros de AS al APNIC. Un operador tambien puede funcionar como un agente en el area de cobertura de su red. Por ejemplo, China Netcom puede recibir solicitudes de prefijo de organizaciones en el area de Beijing. La FIG. 3 demuestra la 15 asignacion de prefijos de la IANA a una organizacion final asf como la correspondiente ruta de verificacion de certificados de recursos con respecto al segmento de red de ejemplo 10.0.0.0/8.
En la FIG. 3, las autoridades certificadoras (CA) incluyen IANA, APNIC, China Netcom y China Telecom, y organizaciones que tienen concedidos certificados de recursos son la red de educacion China, una organizacion de una primera red perimetral (Organizacion A) y una organizacion de una segunda red perimetral (Organizacion 20 B). China Netcom y China Telecom son propietarias de redes de transito que operan en la practica. Requieren
prefijos IP y numeros de AS. Los prefijos y los numeros de AS de diferentes certificados de recursos son mutuamente excluyentes. Esto es, en la FIG. 3, donde China Netcom ha asignado el prefijo 10.2.1.0/24 a la Organizacion A, no podra asignar el prefijo a la Organizacion B o a propia red de transito de China Netcom. Una red de usuario tambien puede solicitar directamente a la IANA secciones de direcciones IP independientes. 25 Cuando el usuario cambia de red de acceso, la renumeracion de direcciones de red internas es innecesaria.
A continuacion se explica la solucion tecnica de los modos de realizacion de la presente invencion bajo la arquitectura de red que se muestra en la FIG. 4 con referencia a los pasos de los metodos que se muestran en la FIG. 5, la FIG. 6, la FIG. 7 y la FIG. 8.
Se supone que se adopta el formato de certificado X.509 v3 de PKI. Tal como se muestra en la FIG. 9, la 30 Organizacion A obtiene un certificado mediante el modo de distribucion de certificados que se muestra en la FIG. 3. Se supone que la Organizacion A y la Organizacion B se conectan, respectivamente, a las redes de transito de China Netcom y China Telecom. Los prefijos de la Organizacion A y la Organizacion B no se distribuiran a las redes de transito. El prefijo 10.2.1.0/24 de la Organizacion A se asociara a la direccion 192.168.1.2 en la red de transito y el prefijo 10.3.1.0/24 de la Organizacion B se asociara a la direccion 192.168.2.2 en la red de transito. 35 Tal como se muestra en la FIG. 5, el procedimiento en el que la Organizacion A y la Organizacion B registran y sincronizan la informacion de mapeado incluye:
5200. Ambas organizaciones generan pares de informacion de mapeado en funcion de los prefijos y los ID de salida que se corresponden con los prefijos.
El par de informacion de mapeado de la Organizacion A es {prefijo=10.2.1.0/24, IP de transito=192.168.1.2, 40 informacion de control de mapeado}; el par de informacion de mapeado de la Organizacion B es {prefijo=10.3.1.0/24, IP de transito=192.168.2.2, informacion de control de mapeado}.
5201. La Organizacion A firma su par de informacion de mapeado utilizando la clave privada de su certificado de recursos y genera el par de mapeado firmado {prefijo=10.2.1.0/24, IP de transito=192.168.1.2, informacion de control de mapeado, informacion de control de firma, Firma A}.
45 De la misma forma, la Organizacion B genera del mismo modo un par de mapeado firmado {prefijo=10.3.1.0/24, IP de transito=192.168.2.2, informacion de control de mapeado, informacion de control de firma, Firma B}.
5202. Ambas organizaciones envfan los pares de mapeado firmados a los RA apropiados en la red de transito.
Preferiblemente, el par de mapeado firmado se envfa al RA adyacente. Esto es, el par de mapeado firmado de la Organizacion A se envfa al RA1 adyacente y el par de mapeado firmado de la Organizacion B se envfa al RA2 50 adyacente.
5203. El RA comparte el par de mapeado firmado con otros RA mediante sincronizacion de datos. Espedficamente, rA1 y RA2 sincronizan sus bases de datos de modo que la base de datos de mapeados firmados de RA1 tiene el par de mapeado firmado de la Organizacion B y la base de datos de RA2 tiene el par de mapeado firmado de la Organizacion A.
5
10
15
20
25
30
35
40
45
50
En la practica, los pasos S201 a S203 se pueden implementar del siguiente modo. Se toma como ejemplo de ilustracion la Organizacion A. En el caso de la Organizacion B la implementacion es igual. Tal como se muestra en la FIG. 6, la implementacion incluye:
5301. La Organizacion A firma el par de informacion de mapeado {10.2.1.0/24,100} utilizando la clave privada del certificado correspondiente al prefijo 10.2.1.0/24 en el par de informacion de mapeado con el fin de generar el par 1 de mapeado firmado {prefijo=10.2.1.0/24, AS#=100, informacion 1 de control de firma, firma 1}, y envfa el par 1 de mapeado firmado a la organizacion de la red de transito (la red de transito de China Netcom que se muestra en la FIG. 4).
5302. La red de transito de China Network firma el par 1 de mapeado firmado enviado por la Organizacion A con el certificado de recursos (el formato del cual se muestra en la FIG. 10) que contiene su AS# (100) con el fin de generar un par 2 de mapeado firmado {{prefijo=10.2.1.0/24, AS#=100, informacion 1 de control de firma, firma 1}, IP de transito=192.168.1.2, informacion de control de mapeado, informacion 2 de control de firma, firma 2}, y le envfa el par 2 de mapeado firmado al RA1.
5303. El RA1 comparte el par 2 de mapeado firmado con otros RA (RA2) mediante sincronizacion de datos.
La solucion tecnica que se muestra en la FIG. 6 reduce el acoplamiento de la gestion y mejora la flexibilidad de reasignacion de direcciones de encaminamiento de un router frontera en la red de transito. Una organizacion unicamente necesita conocer el AS# de la red de transito autorizada. Este AS# no cambia frecuentemente. La direccion de encaminamiento de un router frontera espedfico en la red de transito es completamente decidida por la red de transito y se puede reasignar dinamicamente muchas veces. Mientras que el AS# no cambie, no es necesaria una nueva firma de la organizacion del prefijo.
Consecuentemente, en un modo de realizacion de la presente invencion se proporciona un metodo para consultar informacion de mapeado. A continuacion se explica el metodo haciendo referencia a la FIG. 7.
Cuando la Organizacion A intenta enviar datos a la Organizacion B, en primer lugar la Organizacion A comprueba si BR-A tiene la informacion de mapeado correspondiente al prefijo de la Organizacion B. Si BR-A tiene la informacion de mapeado correspondiente al prefijo de la Organizacion B, la Organizacion A le envfa directamente los datos a la Organizacion B de acuerdo con la informacion de mapeado. En caso contrario se ejecutan los pasos que se muestran en la FIG. 7.
5401. La Organizacion A consulta a RA1 de acuerdo con el prefijo 10.3.1.0/24 de la Organizacion B y obtiene el par de mapeado firmado {prefijo=10.3.1.0/24, IP de transito=192.168.2.2, informacion de control de mapeado, informacion de control de firma, Firma B} devuelto por RA1. De hecho, la Organizacion A puede obtener el par de mapeado firmado de la Organizacion B consultando a RA1 o a RA2 de acuerdo con el prefijo 10.3.1.0/24 de la Organizacion B.
5402. La Organizacion A comprueba si el par de mapeado firmado es valido en funcion de la informacion de control de firma en el par de mapeado firmado, lo cual incluye:
comprobar si el formato del certificado es valido;
comprobar si se ha recibido la fecha de expiracion del par de mapeado firmado;
comprobar si el certificado de la Organizacion B es crefble y si el certificado ha expirado; y
verificar si el campo de firma en el par de mapeado firmado es valido con la clave privada en el certificado de la Organizacion B.
El BR-A toma el par de mapeado firmado como valido unicamente si la comprobacion es satisfactoria.
5403. Despues de haber determinado mediante la comprobacion que el par de mapeado firmado es valido, la Organizacion A le envfa datos a la Organizacion B de acuerdo con la informacion de mapeado en el par de mapeado firmado.
Tal como se puede ver a partir de la descripcion anterior, con el metodo de consulta de informacion de mapeado proporcionado en el modo de realizacion de la presente invencion, se firma un par de informacion de mapeado utilizando la clave privada de un certificado X.509v3. Cuando se consulta la informacion de mapeado, se verifica la firma del par de mapeado firmado y el par de mapeado firmado es valido unicamente cuando la verificacion es satisfactoria. De este modo, el metodo evita que un atacante proporcione informacion falsa al solicitante haciendose pasar por un RA. El metodo tambien evita que un RA altere la informacion de mapeado y de este modo mejora la fiabilidad de la consulta de informacion de mapeado y elimina los potenciales problemas de seguridad de la tecnica anterior. En consecuencia, se mejora la fiabilidad de la red o el sistema de comunicaciones.
5
10
15
20
25
30
35
40
45
En un metodo de gestion de encaminamiento de red de acuerdo con un modo de realizacion de la presente invencion, la organizacion de red perimetral puede revocar un par de mapeado firmado que ella ha registrado con el RA. Espedficamente, tomando como ejemplo la Organizacion A, tal como se muestra en la FIG. 8, el proceso de revocacion incluye:
5501. La Organizacion A genera un registro de revocacion del par de mapeado firmado en la forma primaria {{prefijo=10.2.1.0/24, IP de transito=192.168.1.2, informacion de control de mapeado}, informacion de control de firma de revocacion, Firma A de Revocacion}.
5502. La Organizacion A envfa el registro de revocacion del par de mapeado firmado generado a la base de datos de registros de revocacion de pares de mapeado firmados del RA1 adyacente. De hecho, la Organizacion A le puede enviar el registro de revocacion del par de mapeado firmado generado a la base de datos de registro de revocacion de pares de mapeado firmados de RA1 o de RA2.
5503. El RA1 elimina de la base de datos de pares de mapeado firmados el par de mapeado firmado que se corresponde con el registro de revocacion del par de mapeado firmado y sincroniza el registro de revocacion del par de mapeado firmado con las bases de datos de registro de revocacion de pares de mapeado firmados de otros RA (por ejemplo, el RA2). El resto de RA (por ejemplo, el RA2) eliminan de sus bases de datos de pares de mapeado firmados el par de mapeado firmado que se corresponde con el registro de revocacion del par de mapeado firmado.
En el caso de que la Organizacion B desee revocar su par de mapeado firmado, se ejecutan unos pasos similares a los descritos mas arriba y no se volveran a describir aqrn.
Con el metodo de gestion de informacion de mapeado proporcionado en el modo de realizacion de la presente invencion, se firma un par de informacion de mapeado utilizando la clave privada de un certificado X.509v3, lo cual asegura la fiabilidad de la informacion de mapeado en las operaciones de registro, consulta y sincronizacion y elimina los potenciales problemas de seguridad de la tecnica anterior. En consecuencia, se mejora la fiabilidad de la red o el sistema de comunicaciones.
Basandose en el metodo para gestionar y consultar informacion de mapeado de acuerdo con los modos de realizacion de la presente invencion descritos mas arriba, un modo de realizacion de la presente invencion proporciona un sistema de comunicaciones. Tal como se muestra en la FIG. 11, el sistema incluye:
un dispositivo de red perimetral, configurado para firmar un par de informacion de mapeado utilizando la clave privada de un certificado correspondiente al prefijo en el par de informacion de mapeado con el fin de generar un par de mapeado firmado y enviarle el par de mapeado firmado a un dispositivo RA; y
el dispositivo RA, configurado para recibir el par de mapeado firmado enviado por el dispositivo de red perimetral y compartir el par de mapeado firmado con otros RA mediante sincronizacion de datos.
La FIG. 12 ilustra un dispositivo de red perimetral de acuerdo con un primer modo de realizacion de la presente invencion. El dispositivo de red perimetral incluye:
una unidad 1100 de generacion de pares de mapeado firmados, configurada para firmar el par de informacion de mapeado utilizando la clave privada del certificado correspondiente al prefijo en el par de informacion de mapeado con el fin de generar el par de mapeado firmado; y
una unidad 1200 de envfo, configurada para enviarle el par de mapeado firmado al RA en la red de transito.
La FIG. 13 ilustra un dispositivo de red perimetral de acuerdo con un segundo modo de realizacion de la presente invencion. Ademas de la unidad 1100 de generacion de pares de mapeado firmados y la unidad 1200 de envfo, el dispositivo de red perimetral incluye, ademas:
una unidad 1300 de consulta, configurada para consultar al RA de acuerdo con el prefijo de la organizacion de la segunda red perimetral y obtener el par de mapeado firmado de la organizacion de la segunda red perimetral devuelto por el RA;
una unidad 1400 de comprobacion, acoplada a la unidad 1300 de consulta y configurada para comprobar si es valido el par de mapeado firmado de la organizacion de la segunda red perimetral; y
una unidad 1500 de envfo de datos, configurada para enviarle datos a la organizacion de la segunda red perimetral de acuerdo con la informacion de mapeado en el par de mapeado firmado despues de que la unidad 1400 de comprobacion haya determinado que el par de mapeado firmado es valido.
5
10
15
20
25
30
35
40
45
50
La FIG. 14 ilustra un dispositivo de red perimetral de acuerdo con un tercer modo de realizacion de la presente invencion. En el tercer modo de realizacion, el dispositivo de red perimetral tiene la misma estructura que el del segundo modo de realizacion e incluye, ademas:
una unidad 1600 de generacion de registros de revocacion, configurada para generar un registro de revocacion del par de mapeado firmado; y
una unidad 1700 de envfo de registros de revocacion, configurada para enviarle al RA el registro de revocacion del par de mapeado firmado con el fin de revocar el par de mapeado firmado que se corresponde con el registro de revocacion del par de mapeado firmado.
La FIG. 15 ilustra un dispositivo de red perimetral de acuerdo con un cuarto modo de realizacion de la presente invencion. En el cuarto modo de realizacion, el dispositivo de red perimetral tiene la misma estructura que el del primer modo de realizacion e incluye, ademas, la unidad 1600 de generacion de registros de revocacion y la unidad 1700 de envfo de registros de revocacion.
La FIG. 16 ilustra un dispositivo RA de acuerdo con un primer modo de realizacion de la presente invencion. El dispositivo RA incluye:
una unidad 2100 de recepcion, configurada para recibir un par de mapeado firmado enviado por una organizacion de la red perimetral;
una unidad 2200 de base de datos de pares de mapeado firmados, configurada para almacenar el par de mapeado firmado recibido por la unidad 2100 de recepcion; y
una unidad 2300 de sincronizacion, configurada para sincronizar con otros RA el par de mapeado firmado almacenado por la unidad 2200 de base de datos de pares de mapeado firmados.
La FIG. 17 ilustra un dispositivo RA de acuerdo con un segundo modo de realizacion de la presente invencion. Ademas de la unidad 2100 de recepcion, la unidad 2200 de base de datos de pares de mapeado firmados y la unidad 2300 de sincronizacion, el dispositivo RA en el segundo modo de realizacion incluye, ademas:
una unidad 2400 de respuesta a consultas, configurada para consultar un par de mapeado firmado correspondiente a un prefijo en funcion del prefijo proporcionado por una organizacion de la red perimetral y devolver el par de mapeado firmado a la organizacion de la red perimetral.
La FIG. 18 ilustra un dispositivo RA de acuerdo con un tercer modo de realizacion de la presente invencion. En el tercer modo de realizacion, el dispositivo RA tiene la misma estructura que el segundo modo de realizacion e incluye, ademas:
una unidad 2500 de respuesta a la revocacion, configurada para eliminar el par de mapeado firmado que se corresponde con un registro de revocacion del par de mapeado firmado proporcionado por la organizacion de la red perimetral desde la unidad de base de datos de pares de mapeado firmados y para sincronizar el registro de revocacion del par de mapeado firmado con otros RA; y
una unidad 2600 de base de datos de registros de revocacion, configurada para almacenar el par de mapeado firmado eliminado por la unidad 2500 de respuesta a la revocacion.
La FIG. 19 ilustra un dispositivo RA de acuerdo con un cuarto modo de realizacion de la presente invencion. En el cuarto modo de realizacion, el dispositivo RA tiene la misma estructura que el del primer modo de realizacion e incluye, ademas, la unidad 2500 de respuesta a la revocacion y la unidad 2600 de base de datos de registros de revocacion.
Para resumir, con el metodo de gestion de informacion de mapeado, el metodo de consulta de informacion de mapeado, los dispositivos y el sistema de comunicaciones proporcionados en los modos de realizacion de la presente invencion, un par de informacion de mapeado es firmado utilizando la clave privada de un certificado, lo cual asegura la fiabilidad de la informacion de mapeado en las operaciones de registro, consulta y sincronizacion, y elimina los potenciales problemas de seguridad de la tecnica anterior. En consecuencia, se mejora la fiabilidad de la red o el sistema de comunicaciones.
Mediante las descripciones de los modos de realizacion anteriores, aquellos experimentados en la tecnica pueden entender que la presente invencion se puede implementar utilizando unicamente hardware o utilizando software y una plataforma hardware universal necesaria. Basandose en dichos conocimientos, toda o parte de la solucion tecnica bajo la presente invencion que hace contribuciones a la tecnica anterior se puede materializar esencialmente en forma de un producto software. El producto software se puede almacenar en un medio de almacenamiento, el cual puede ser un disco magnetico, un disco compacto de memoria de solo lectura (CD- ROM), una memoria de solo lectura (ROM) o una memoria de acceso aleatorio (RAM). El producto de software
9
incluye una serie de instrucciones que permiten que un dispositivo informatico (ordenador personal, servidor o dispositivo de red) ejecute los metodos proporcionados en los modos de realizacion de la presente invencion.
Las descripciones anteriores son unicamente algunos ejemplos de modos de realizacion de la presente invencion, pero no pretenden limitar la presente invencion.

Claims (7)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    REIVINDICACIONES
    1. Un metodo para gestionar informacion de mapeado en encaminamiento de red, que comprende:
    firmar (S101), por parte de un dispositivo de una red perimetral, un par de informacion de mapeado utilizando una clave privada de un certificado correspondiente a un prefijo de la red perimetral en el par de informacion de mapeado con el fin de generar un par de mapeado firmado;
    enviar (S102), por parte del dispositivo de la red perimetral, el par de mapeado firmado a un agente de registro, RA, en una red de transito; y
    compartir (S103), por parte del RA, el par de mapeado firmado con otros RA mediante sincronizacion de datos;
    en donde el par de informacion de mapeado comprende al menos la siguiente informacion: el prefijo, una direccion del Protocolo de Internet, IP, del dispositivo, en donde la direccion IP se encuentra en la red de transito, e informacion de control de mapeado; y
    el par de mapeado firmado comprende al menos la siguiente informacion: el prefijo, la direccion IP, la informacion de control de mapeado, una informacion de control de firma y una firma, en donde:
    la informacion de control de firma comprende: una informacion de certificado utilizada para la firma, un punto de revocacion del par de mapeado firmado, una fecha de expiracion y una informacion del algoritmo de firma.
  2. 2. El metodo de la reivindicacion 1, que comprende, ademas:
    generar, por parte del dispositivo de red perimetral, un registro de revocacion del par de mapeado firmado que comprende: el prefijo, la direccion IP, la informacion de control de mapeado, una informacion de control de firma de revocacion y una firma de revocacion;
    enviar, por parte del dispositivo de red perimetral, al RA en la red de transito el registro de revocacion del par de mapeado firmado generado; y
    eliminar, por parte del RA, un par de mapeado firmado que se corresponde con el registro de revocacion del par de mapeado firmado y sincronizar el registro de revocacion del par de mapeado firmado con otros RA.
  3. 3. Un metodo para consultar informacion de mapeado, que comprende:
    consultar, por parte de una organizacion de la primera red perimetral, un agente de registro, RA, de acuerdo con un prefijo de una segunda red perimetral y obtener un par de mapeado firmado de una organizacion de la segunda red perimetral devuelto por el RA;
    comprobar, por parte de la organizacion de la primera red perimetral, si el par de mapeado firmado es valido de acuerdo con la informacion de control de firma en el par de mapeado firmado; y
    despues de haber determinado mediante la comprobacion que el par de mapeado firmado es valido, extraer, por parte de la organizacion de la primera red perimetral, la informacion de mapeado en el par de mapeado firmado;
    en donde la informacion de mapeado comprende un mapeado entre el prefijo de la segunda red perimetral y una direccion del Protocolo de Internet, IP, de un dispositivo de la segunda red perimetral que registra el prefijo, en donde la direccion IP se encuentra en la red de transito; y
    en donde el par de mapeado firmado comprende al menos la siguiente informacion: el prefijo, la direccion IP, una informacion de control de mapeado, una informacion de control de firma y una firma, en donde:
    la informacion de control de firma comprende: informacion de certificado utilizado por la firma, un punto de revocacion del par de mapeado firmado, una fecha de expiracion y una informacion del algoritmo de firma.
  4. 4. El metodo de la reivindicacion 3, en donde el paso de comprobacion de si el par de mapeado firmado es valido de acuerdo con la informacion de control de firma en el par de mapeado firmado comprende:
    comprobar si esta cualificado un formato de certificado;
    comprobar si ha llegado la fecha de expiracion del par de mapeado firmado;
    comprobar si es crefble un certificado de una organizacion de la segunda red perimetral y si ha expirado el certificado; y
    5
    10
    15
    20
    25
    30
    verificar si es valido un campo de firma en el par de mapeado firmado utilizando una clave publica en el certificado de la organizacion de la segunda red perimetral.
  5. 5. Un dispositivo de una red perimetral, que comprende:
    una unidad (1100) de generacion de pares de mapeado firmados, configurada para firmar un par de informacion de mapeado utilizando una clave privada de un certificado correspondiente a un prefijo de la red perimetral en el par de informacion de mapeado con el fin de generar un par de mapeado firmado; y
    una unidad (1200) de envfo, configurada para enviar el par de mapeado firmado a un agente de registro, RA, en una red de transito;
    en donde el par de informacion de mapeado comprende al menos la siguiente informacion: el prefijo, una direccion del Protocolo de Internet, IP, del dispositivo, en donde la direccion IP se encuentra en la red de transito, y una informacion de control de mapeado; y
    el par de mapeado firmado comprende al menos la siguiente informacion: el prefijo, direccion IP k, una informacion de control de mapeado, una informacion de control de firma y una firma, en donde:
    la informacion de control de firma comprende: una informacion de certificado utilizado para la firma, un punto de revocacion del par de mapeado firmado, una fecha de expiracion y una informacion del algoritmo de firma.
  6. 6. El dispositivo de la red perimetral de la reivindicacion 5, que comprende, ademas:
    una unidad (1300) de consulta, configurada para consultar un RA de acuerdo con un prefijo de una segunda red perimetral y obtener un par de mapeado firmado de una organizacion de la segunda red perimetral devuelto por el RA;
    una unidad (1400) de comprobacion, acoplada a la unidad (1300) de consulta y configurada para comprobar si es valido el par de mapeado firmado de la organizacion de la segunda red perimetral;
    una unidad (1500) de envfo de datos, configurada para enviar datos a la organizacion de la segunda red perimetral de acuerdo con la informacion de mapeado en el par de mapeado firmado despues de que la unidad de comprobacion haya determinado que el par de mapeado firmado es valido.
  7. 7. El dispositivo de la red perimetral de la reivindicacion 5 o 6, que comprende, ademas:
    una unidad (1600) de generacion de registros de revocacion, configurada para generar un registro de revocacion de un par de mapeado firmado; y
    una unidad (1700) de envfo de registros de revocacion, configurada para enviar el registro de revocacion del par de mapeado firmado a un RA con el fin de revocar un par de mapeado firmado que se corresponde con el registro de revocacion del par de mapeado firmado.
ES09753457.2T 2008-05-29 2009-05-06 Un método, un dispositivo y un sistema de comunicación para gestionar y solicitar información de mapeado Active ES2614853T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2008100285354A CN101594339B (zh) 2008-05-29 2008-05-29 管理和查询映射信息的方法、设备及通信系统
CN200810028535 2008-05-29
PCT/CN2009/071660 WO2009143739A1 (zh) 2008-05-29 2009-05-06 管理和查询映射信息的方法、设备及通信系统

Publications (1)

Publication Number Publication Date
ES2614853T3 true ES2614853T3 (es) 2017-06-02

Family

ID=41376596

Family Applications (1)

Application Number Title Priority Date Filing Date
ES09753457.2T Active ES2614853T3 (es) 2008-05-29 2009-05-06 Un método, un dispositivo y un sistema de comunicación para gestionar y solicitar información de mapeado

Country Status (5)

Country Link
US (1) US8539100B2 (es)
EP (1) EP2276206B1 (es)
CN (1) CN101594339B (es)
ES (1) ES2614853T3 (es)
WO (1) WO2009143739A1 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8621093B2 (en) * 2007-05-21 2013-12-31 Google Inc. Non-blocking of head end initiated revocation and delivery of entitlements non-addressable digital media network
US8635448B2 (en) * 2011-12-06 2014-01-21 Cisco Technology, Inc. Secure prefix authorization with untrusted mapping services
KR20150084221A (ko) * 2014-01-13 2015-07-22 삼성전자주식회사 어플리케이션 패키지의 재서명 장치, 방법 및 상기 어플리케이션 패키지를 실행하는 단말장치
DE102014212210A1 (de) * 2014-06-25 2015-12-31 Siemens Aktiengesellschaft Kontrolle eines Zugriffs auf über ein Datennetz abrufbare Inhalte
US11469903B2 (en) * 2019-02-28 2022-10-11 Microsoft Technology Licensing, Llc Autonomous signing management operations for a key distribution service
CN114172838A (zh) * 2021-11-10 2022-03-11 中盈优创资讯科技有限公司 一种虚假ip路由实时监测方法及装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6192051B1 (en) * 1999-02-26 2001-02-20 Redstone Communications, Inc. Network router search engine using compressed tree forwarding table
US7162539B2 (en) * 2000-03-16 2007-01-09 Adara Networks, Inc. System and method for discovering information objects and information object repositories in computer networks
US6871236B2 (en) * 2001-01-26 2005-03-22 Microsoft Corporation Caching transformed content in a mobile gateway
US7406526B2 (en) * 2001-09-28 2008-07-29 Uri Benchetrit Extended internet protocol network address translation system
DE60336464D1 (de) * 2003-08-06 2011-05-05 Motorola Inc Verfahren zur validierten Kommunikation
US7646775B2 (en) * 2005-03-08 2010-01-12 Leaf Networks, Llc Protocol and system for firewall and NAT traversal for TCP connections
EP1764970A1 (en) * 2005-09-19 2007-03-21 Matsushita Electric Industrial Co., Ltd. Multiple interface mobile node with simultaneous home- and foreign network connection
DE602006018660D1 (es) * 2006-04-25 2011-01-13 Ericsson Telefon Ab L M
US7853687B2 (en) * 2007-03-05 2010-12-14 Alcatel Lucent Access control list generation and validation tool
CN101340356B (zh) * 2007-07-05 2012-07-11 华为技术有限公司 转发信息的方法和信息转发设备
CN101123536B (zh) * 2007-09-19 2010-12-15 北京交通大学 实现一体化网络位置管理的方法

Also Published As

Publication number Publication date
US8539100B2 (en) 2013-09-17
EP2276206B1 (en) 2016-11-23
EP2276206A4 (en) 2011-05-04
EP2276206A1 (en) 2011-01-19
CN101594339B (zh) 2012-07-04
CN101594339A (zh) 2009-12-02
US20110072157A1 (en) 2011-03-24
WO2009143739A1 (zh) 2009-12-03

Similar Documents

Publication Publication Date Title
Kent et al. Secure border gateway protocol (S-BGP)
ES2614853T3 (es) Un método, un dispositivo y un sistema de comunicación para gestionar y solicitar información de mapeado
US8098823B2 (en) Multi-key cryptographically generated address
Khodaei et al. Towards deploying a scalable & robust vehicular identity and credential management infrastructure
CN102647394B (zh) 路由设备身份认证方法及装置
US11973617B2 (en) Border gateway protocol (BGP) hijacks prefix signing using public/private keys
JP5144685B2 (ja) 移動ネットワークにおけるシグナリング委任
CN112351019B (zh) 一种身份认证系统及方法
Seo et al. Public-key infrastructure for the secure border gateway protocol (S-BGP)
Matsumoto et al. Authentication challenges in a global environment
Yang et al. Blockchain-based decentralized public key management for named data networking
ES2776679T3 (es) Procedimientos de aumento de la seguridad en transmisiones de datos y de control de autenticación de nodos de una red ad hoc
Liu et al. Secure name resolution for identifier-to-locator mappings in the global internet
Castelluccia et al. Protecting AODV against Impersonation attacks
US20230077053A1 (en) Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method
Kent et al. Design and analysis of the secure border gateway protocol (S-BGP)
JP6536999B2 (ja) ホスト装置
KR100972743B1 (ko) 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법
Aiash et al. Securing address registration in Location/ID split protocol using ID-based cryptography
CN115883088B (zh) 基于bgp路由的自治域安全参数更新方法
Mueller et al. Let’s Revoke! Mitigating Revocation Equivocation by re-purposing the Certificate Transparency Log
Mancini et al. Relieve Internet routing security of public key infrastructure
Matsumoto et al. Designing a global authentication infrastructure
Muranaka et al. Secure routing protocols for sensor networks: Construction with signature schemes for multiple signers
Tahir et al. Privacy-preserving authentication protocol based on hybrid cryptography for VANETs