WO2009143739A1

WO2009143739A1 - 管理和查询映射信息的方法、设备及通信系统

Info

Publication number: WO2009143739A1
Application number: PCT/CN2009/071660
Authority: WO
Inventors: 刘亚; 徐小虎
Original assignee: 华为技术有限公司
Priority date: 2008-05-29
Filing date: 2009-05-06
Publication date: 2009-12-03
Also published as: US8539100B2; ES2614853T3; EP2276206B1; EP2276206A4; EP2276206A1; CN101594339B; CN101594339A; US20110072157A1

Description

管理和查询映射信息的方法、设备及通信系统本申请要求于 2008年 5月 29日提交中国专利局、申请号为 200810028535.4、发明名称为"管理和查询映射信息的方法、设备及通信系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信网络数据传输技术，尤其涉及一种管理和查询映射信息的方法、设备及通信系统。背景技术

目前 , 随着多归属网络（ multi-homing )和流量工程 (traffic engineering)的广泛部署， Internet路由数量增长迅速。一方面由于需要更大容量的路由表存储芯片导致路由器设备成本上升，另一方面导致路由收敛变的更加緩慢。

为了緩解上述路由数量激增导致路由表过大的问题，如图 1所示，将因特网 ( Internet )分为两部分，一部分为传输 ( transit ) 网络，处于网络的中心位置；另一部分为边界 ( edge )网络，通过边界路由器（ border router, BR )连接到 transit 网络。 BR知道其所连接的 edge网络和 transit网络中的路由信息，但是不会相互渗透。

边界网络内部的路由前缀信息不扩散到传输网络，而是由 edge网络的 BR负责将 edge网络中的前缀信息（ prefix )注册到 transit网络中的注册代理（ registration agent, 以下简称为 RA )上，所述 prefix和注册该 prefix的 BR的映射关系信息称为映射信息，每个 RA维护一个保存映射信息的数据库，称为映射信息数据库。 Transit网络中的多个 RA通过通信协议（比如： BGP协议扩展）来同步各自映射信息数据库中的信息，使得各个数据库保持同步，维持一样的映射信息记录。同步完成之后 , Transit网络中的任何一个 RA都知道到达其中一个 prefix需要通过哪个 BR进行中转。例如：在图 1中， Edge网络 A到达 edge网络 B的流量，将首先到达连接 edge网络 A的 BR-A, BR-A然后到 RA查询与目的 IP地址最长匹配的 prefix的映射信息，得到注册该映射信息的 BR的信息，即 BR-B, 然后 BR-A通过到达 BR-B的隧道（如 MPLS隧道， IP in IP，GRE等各种隧道均可）将数据包转发到 BR-B。 BR-B知道它所连接的 edge网络内部的路由信息，因此在 Edge网络内部根据路由表进行转发，最终数据包到达目的地。这种转发方案称为转发和查找分离方案，即 RA只完成映射信息查询的响应功能， edge之间的流量不需要经过 RA中转。

发明人在实现本发明的过程中发现，在上述分离方案中存在一些潜在的安全问题：

映射信息注册安全：攻击者可能会仿冒他人身份向 RA注册错误的映射信息，比如注册不属于自己的 prefix。

映射信息查询安全：攻击者可能会假冒 RA向查询者提供错误的映射信息， RA也可能会出于某种目的篡改某些映射信息对中的信息，如前缀长度或入口地址，比如在图 1示例的场景中，将 Edge B网络的入口从 BR-B改成 BR-B'。

映射信息数据库同步安全：在各个 RA同步映射信息数据库时，某些 RA可能会发布不真实的映射信息，比如修改已有映射信息记录的前缀长度然后再发布，或者干脆伪造不存在的映射信息对。发明内容

本发明实施例的目的在于提供一种管理网络路由中映射信息的方法、一种查询映射信息的方法、一种边界网络设备、一种注册代理设备以及一种通信系统，实现网络路由中映射信息的注册、查询及同步安全。

为此，本发明实施例提出了一种管理网络路由中映射信息的方法，包括：利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名 , 生成签名映射对；

向传输网络中的注册代理提交所述签名映射对；

所述注册代理通过数据同步与其它注册代理共享所述签名映射对。

本发明实施例提出了一种查询映射信息的方法，包括：

第一边界网络所有者根据第二边界网络所有者的前缀查询注册代理 , 并获取注册代理反馈的第二边界网络所有者的签名映射对；

第一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效；

当通过所述检查确定所述签名映射对有效后 , 第一边界网络所有者提取所述签名映射对中的映射信息。

相应地，本发明实施例提出了一种边界网络设备，包括：

签名映射对生成单元，用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；

提交单元，用于将所述签名映射对提交给传输网络中的注册代理。

本发明实施例提出了一种注册代理设备，包括：

接收单元，用于接收边界网络所有者提交的签名映射对；

签名映射对数据库单元，用于保存所述接收单元接收的签名映射对；同步单元，用于将所述签名映射对数据库单元保存的签名映射对同步到其它注册代理。

相应地，本发明实施例还提出了一种通信系统，包括：

边界网络设备，用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对，并将该签名映射对提交给注册代理设备；所述注册代理设备，用于接收所述边界网络设备提交的签名映射对，通过数据同步与其它注册代理共享所述签名映射对。

通过实施本发明实施例提出的一种管理映射信息的方法、查询映射信息的方法、设备及通信系统，通过利用证书私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统的可靠性。附图说明

图 1是现有的因特网架构示意图；

图 2是本发明实施例提供的一种管理映射信息的方法主流程图；

图 3是本发明实施例提供的前缀以及证书分配示意图；

图 4是本发明实施例提供的一种应用场景示意图；

图 5是本发明的一种管理映射信息的方法中实施例一；

图 6是本发明的一种管理映射信息的方法实施例二；

图 7是本发明的一种查询映射信息的方法的流程图；

图 8是本发明的一种管理映射信息的方法实施例三；

图 9是本发明实施例中 Organization A的证书的示意图；图 10是本发明实施例中传输网络所有者的证书的示意图；

图 11是本发明实施例提出的一种通信系统的结构框图；

图 12是本发明的一种边界网络设备的实施例一；

图 13是本发明的一种边界网络设备的实施例二；

图 14是本发明的一种边界网络设备的实施例三；

图 15是本发明的一种边界网络设备的实施例四；

图 16是本发明的一种注册代理设备的实施例一；

图 17是本发明的一种注册代理设备的实施例二；

图 18是本发明的一种注册代理设备的实施例三；

图 19是本发明的一种注册代理设备的实施例四。具体实施方式

为了清楚、完整地展现本发明实施例的技术方案，下面将结合附图详细阐述本发明实施例提出的一种管理网络路由中映射信息的方法、一种查询映射信息的方法、一种边界网络设备、一种注册代理设备以及一种通信系统。

在对技术方案进行阐述之前，需要说明的是，在本发明实施例的描述中，边界网络所有者（Organization ) 与边界网络设备指同一对象；注册代理（RA ) 与注册代理设备指同一对象；第一边界网络所有者和 Organization A指同一对象，第二边界网络所有者和 Organization B指同一对象。

参考图 2,图示了本发明实施例的一种管理网络路由中映射信息的方法的注流程图，所述方法包括：

5101 , 利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；

其中，所述映射信息对至少包括以下信息：前缀、传输网络的 IP地址、映射控制信息。

所述签名映射对至少包括以下信息：前缀、传输网络的 IP地址、映射控制信息、签名控制信息、签名；所述签名控制信息包括：用于签名的证书信息、本签名映射对撤回点、有效日期、签名算法信息。

5102, 向传输网络中的注册代理提交所述签名映射对；

S 103，所述注册代理通过数据同步与其它注册代理共享所述签名映射对，具体地，注册代理（RA )可以设置单独的签名映射对数据库来保存签名对。各个 RA以签名映射对为基本的记录单位来同步各自的签名映射对数据库，并响应查询对外提供签名映射对。每个签名映射对都内嵌了生命有效期信息 , 超出生命期的签名映射对应该被丢弃， RA不应该接受和分发超出生命期范围的签名映射对。当查询者接收到签名映射对后，根据其中的证书信息和签名算法信息对这个映射对进行签名检查，通过后才会进行后续的处理。

需要说明的是，步骤 S101〜S102可以由下述方式实现：

a、利用所述前缀对应的证书的私钥对该前缀和传输网络的自治系统编号进行签名，生成第一签名映射对，并提交给所述传输网络所有者；

b、所述传输网络所有者利用包含有所述自治系统编号的证书对所述第一签名映射对进行签名，生成第二签名映射对，并提交给网络中的注册代理。

以上从整体上对本发明实施例的一种管理网络路由中映射信息的方法进行了阐述，本领域的技术人员应该理解，本发明实施例通过利用证书私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患。

下面以采用公钥基础设施（ Public Key Infrastructure , ΡΚΙ )证书为例，具体阐述本发明实施例的技术方案。如图 3所示，国际上顶级前缀和 AS管理机构是国际因特网地址分配委员会 ( Internet Assigned Numbers Authority , IANA ) , 下设五个一级地区代理，对应亚太地区的代理是亚太互联网信息中心（Asia-Pacific Network Information Center, APNIC )。这样，亚太地区的运营商，如：中国移动、中国电信、中国网通等，以及各个需要网络前缀和自治系统编号（AS # ) 的组织，如：中国教育网，就可以向 APNIC提出 IP地址前缀和 AS#申请。运营商也可以承担其网络所覆盖范围的代理功能 , 比如中国网通可以受理北京地区范围内的各个组织的前缀申请。图 3以 10.0.0.0/8网段为例，示范了从 IANA 到终端组织的前缀分配过程，以及相应的资源证书—险证路径。

图 3中担任认证中心（Certificate Authority, CA )的分别是 IANA、 APNIC, 中国网通和中国电信，获得资源证书的是中国教育网、第一边界网络所有者 ( Organization A )和第二边界网络所有者（ Organization B )。中国网通和中国电信因为有自己实际运行的 transit网络，需要分配实际的 IP前缀和 AS # ,所以他们会根据需要给自身的 transit 网络也分配相应的资源证书。各个资源证书的前缀和 8 #是互相排斥的，即：如图 3中，中国网通已经将前缀 10.2.1.0/24分配给 Organization A, 那么就不能再分配给 Organization B , 也不能分配中国网通自己的 transit网络。用户网络也可以直接从 IANA申请运营商独立的 IP地址段，当用户更换接入运营商，不需要对内部网络地址重新编址（ renumbering )。

下面在图 4所述的一种网络架构下，下面结合图 5、图 6、图 7、图 8所示的方法步骤，具体伴细阐述本发明实施例的技术方案。

在本例中假设采用 PKI中的 X.509 v3证书格式，如图 9所示， Organization A按照图 3所述证书分发方式获得的证书。假设 Organization A和 B按照图 4的方式分别连接到中国网通和中国电信的 transit网络，那么 Organization A和 B的前缀将不会分发到 transit网络中， Organization A的前缀 10.2.1.0/24将映射到 transit网络中的 192.168.1.2地址， Organization B的前缀 10.3.1.0/24将映射到 transit网络中的 192.168.2.2地址。如图 5所示， Organization A和 Organization B 注册和同步映射信息的步骤包括：

5200, 才艮据前缀以及前缀对应的出口 ID生成映射信息对。

其中 , Organization A对应的映射信息对为： {prefix = 10.2.1.0/24, transit IP = 192.168.1.2, 映射控制信息 }; Organization B对应的映射信息对为： { prefix = 10.3.1.0/24, transit IP = 192.168.2.2, 映射控制信息 }

5201 , Organization A用其资源证书对应的私钥为其映射信息对签名并生成签名映射对： { prefix = 10.2.1.0/24, transit IP = 192.168.1.2, 映射控制信息，签名控制信息 , Signature A}；

相应地， Organization B 也用同样的方法生成签名映射对： { prefix = 10.3.1.0/24, transit IP = 192.168.2.2,映射控制信息，签名控制信息， Signature B};

5202, 向传输网络中的注册代理提交所述签名映射对；

优选地，提交到就近的 RA, 如： Organization A的签名映射对就近提交到 RA1, Organization B的签名映射对就近提交到 RA2。

5203 , 所述注册代理通过数据同步与其它注册代理共享所述签名映射对 , 具体地， RA1 和 RA2 进行数据库同步，最终 RA1 的签名映射数据库将拥有 Organization B的签名映射对， RA2的数据库也拥有 Organization A的签名映射对。

需要说明的是，在具体实施时，步骤 S201〜S203具体可以采用下述方式实现，下面以 Organization A为例 , Organization B与 jHl相同，图 6所示，包括：

5301 , Organization A利用映射信息对中的前缀（ 10.2.1.0/24 )对应证书的私钥对 { 10.2.1.0/24， 100}，生成签名映射对 1 : { prefix= 10.2.1.0/24, AS# =100，签名控制信息 1 , signaturel } ,提交给 transit网络所有者（图 4的中国网通传输网络）；

5302, 中国网通传输网络利用包含自己 AS# ( 100 )的资源证书（证书格式如图 10所示 )对 Organization A提交的签名映射对 1进行签名，生成签名映射对 2: {{ prefix=10.2.1.0/24, AS# =100，签名控制信息 1， signaturel } , transit IP =192.168.1.2, 映射控制信息，签名控制信息 2， signature2} , 提交给 RA1。

5303 , RA1通过数据同步与其它注册代理（RA2 )共享签名映射对 2。

根据图 6所述的技术方案，降低了管理的耦合性，提高了重分配边界路由器在 transit网络中可路由地址方面的灵活性： Organizations只需要知道自己所授权的 transit网络的 AS#即可，这个 AS#—般不会频繁改变；而具体的边界路由器的在 transit network中可路由的地址完全由 transit网络自己决定，而且可以多次动态重分配，只要 AS#不变，就不需要前缀拥有者重新签名。

相应地，本发明实施例提出了一种查询映射信息的方法，下面结合图 7详细阐述。

当 Organization A要向 Organization B网络发送数据时，首先检测边界路由器 A ( BR-A)是否有 Organization B的前缀所对应的映射信息，若有，则直接根据所述映射信息向 Organization B发送数据，否则，执行图 7所述的步骤：

5401 , Organization A才艮据 Organization B的前缀（ 10.3.1.0/24 ) 查询 RA1 , 并获取 RA1反馈的 Organization B的签名映射对： { prefix = 10.3.1.0/24, transit IP = 192.168.2.2 , 映射控制信息，签名控制信息， Signature B} ; 实际上，此处 Organization A才据 Organization B的前缀（ 10.3.1.0/24 )查询 RA1或 RA2均可获取 Organization B的签名映射对。

5402 , Organization A根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效，具体地，包括：

检查证书的格式是否合格；

检查该签名映射对的有效期是否过期；

检查 Organization B的证书是否可信和是否过期；

利用 Organization B 的证书中的公钥验证该签名映射对的签名字段是否有效；

只有上述都通过检查， BR-A才认为所述签名映射对有效。

S403 , 当通过所述检查确定所述签名映射对有效后， Organization A根据所述签名映射对中的映射信息向所述 Organization B发送数据。

由上述可知，本发明实施例提出的一种查询映射信息的方法，通过利用 X.509v3证书的私钥对映射信息对进行签名，在查询映射信息时，通过对签名映射对进行签名验证，只有通过验证的签名映射对才有效，避免攻击者假冒 RA向查询者提供错误信息，同时也解决了 RA篡改映射信息的问题，提高了映射信息查询的可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统的可靠性。在本发明实施例提出的一种管理网络路由的方法中，边界网络所有者可以对其注册到 RA上的签名映射对撤回处理，具体地，以 Organization A为例，如图 8所示，包括：

5501 , 边界网络所有者（ Organization A )生成签名映射对撤回记录，基本形式如下： {{ prefix = 10.2.1.0/24， transit IP = 192.168.1.2, 映射控制信息 }，撤回签名控制信息 , Revocation Signature A}；

5502, Organization A将生成的签名映射对撤回记录就近发送到 RA1的签名映射对撤回数据库；实际上，此处 Organization A将生成的签名映射对撤回记录发送到 RA1或 RA2的签名映射对撤回数据库均可。

5503 , RA1将该签名映射对记录对应的签名映射对从签名映射对数据库中删除，并将撤回记录同步到其它 RA (如 RA2 )签名映射对撤回数据库， RA (如 RA2 )将记录对应的签名映射对从其签名映射对数据库中删除。

若 Organization B要撤回自己的签名映射对，将执行与上述类似的步骤，这里不再赞述。

通过实施本发明实施例提出的一种管理映射信息的方法，通过利用 X.509v3 证书的私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统的可靠性。基于上述实施例的一种管理和查询映射信息的方法，本发明实施例提出了一种通信系统，如图 11所示，包括：

其中，如图 12所示，图示了本发明的一种边界网络设备的实施例一，其包括：

签名映射对生成单元 1100，用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名 , 生成签名映射对；

提交单元 1200, 用于将所述签名映射对提交给传输网络中的注册代理。在具体实施时，如图 13所示，图示了本发明的一种边界网络设备的实施例二，其除了具有签名映射对生成单元 1100和提交单元 1200外，还包括：

查询单元 1300，用于根据第二边界网络所有者的前缀信息查询注册代理，并获取该注册代理反馈的第二边界网络所有者的签名映射对；

检查单元 1400, 与所述查询单元 1300耦接，用于检查所述第二边界网络所有者的签名映射对是否有效；

数据发送单元 1500，用于当所述检查单元 1400确定所述签名映射对有效后，根据所述签名映射对中的映射信息向所述第二边界网络所有者发送数据。

在具体实施时，如图 14所示，图示了本发明的一种边界网络设备的实施例三。在边界网络设备实施例三中，所述边界网络设备除了具有与边界网络设备实施例二相同的结构外，还包括：

撤回记录生成单元 1600, 用于生成签名映射对撤回记录；

撤回记录提交单元 1700，用于将所述签名映射对撤回记录提交给注册代理以撤回该签名映射对撤回记录对应的签名映射对。

在具体实施时，如图 15所示，图示了本发明的一种边界网络设备的实施例四。在边界网络设备实施例四中，所述边界网络设备除了具有与边界网络设备实施一相同的结构外，还可以包括撤回记录生成单元 1600和撤回记录提交单元 1700。

其中，如图 16所示，图示了本发明的一种注册代理设备的实施例一，所述注册代理设备包括：

接收单元 2100 , 用于接收边界网络所有者提交的签名映射对；

签名映射对数据库单元 2200，用于保存所述接收单元 2100接收的签名映射对；同步到其它注册代理。

在具体实施时，如图 17所示，图示了本发明的一种注册代理设备的实施例二，除了包括接收单元 2100、签名映射对数据库单元 2200和同步单元 2300外，还包括：

查询响应单元 2400，用于据边界网络所有者提供的前缀查询与所述前缀信息相对应的签名映射对，并反馈给所述边界网络所有者。

在具体实施时，如图 18所示，图示了本发明的一种注册代理设备的实施例三 , 在注册代理设备实施例三中 , 所述注册代理设备除了与注册代理设备实施例二具有相同结构外，还包括：

撤回响应单元 2500，用于根据边界网络所有者提供的签名映射对撤回记录从所述签名映射对数据库单元中删除所述签名映射对撤回记录对应的签名映射对，并将所述签名映射对撤回记录同步到其它注册代理；

撤回记录数据库单元 2600，用于保存被撤回响应单元 2500删除的签名映射对。

如图 19所示，图示了本发明的一种注册代理设备的实施例四，在实施例四中，所述注册代理设备除了与注册代理设备实施例一具有相同结构外，还包括撤回响应单元 2500和撤回记录数据库单元 2600。

综上所述，本发明实施例提出的一种管理映射信息的方法、查询映射信息的方法、设备及通信系统，通过利用证书私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统的可靠性。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来实施。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如 ROM/RAM,磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

权利要求

1、一种管理网络路由中映射信息的方法，其特征在于，包括：

利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名 , 生成签名映射对；

向传输网络中的注册代理提交所述签名映射对；

2、如权利要求 1所述的方法，其特征在于，所述映射信息对至少包括以下信息：前缀、传输网络的 IP地址、映射控制信息；

所述签名映射对至少包括以下信息：前缀、传输网络的 IP地址、映射控制信息、签名控制信息、签名；

其中，所述签名控制信息包括：用于签名的证书信息、所述签名映射对撤回点、有效日期、签名算法信息。

3、如权利要求 1所述的方法，其特征在于，所述利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对，具体包括：利用所述前缀对应的证书的私钥对该前缀和传输网络的自治系统编号进行签名，生成第一签名映射对，并将所述第一签名映射对提交给传输网络所有者；所述传输网络所有者利用包含有所述自治系统编号的证书对所述第一签名映射对和所述传输网络的 IP地址进行签名 , 生成第二签名映射对。

4、如权利要求 3所述的方法，其特征在于，所述第一签名映射对至少包括以下信息：前缀、自治系统编号、第一签名控制信息、第一签名；

其中，第一签名控制信息包括：所述边界网络所有者的证书信息、第一签名映射对撤回点、有效日期、签名算法信息。

5、如权利要求 3所述的方法，其特征在于，所述第二签名映射对至少包括以下信息：第一签名映射对、所述传输网络的 IP地址、映射控制信息、第二签名控制信息、第二签名；其中，所述第二签名控制信息包括：所述传输网络所有者的证书信息、所述第二签名映射对的撤回点、有效日期、签名算法信息。

6、如权利要求 1或 3所述的方法，其特征在于，进一步包括：

边界网络所有者生成签名映射对撤回记录，其中，所述签名映射对撤回记录包括：前缀、可用的传输网络 IP地址、映射控制信息、撤回签名控制信息、撤回签名；

将生成的所述签名映射对撤回记录提交给传输网络中的注册代理；所述注册代理将所述签名映射对撤回记录对应的签名映射对删除，并将所述签名映射对撤回记录同步到其它注册代理。

7、一种查询映射信息的方法，其特征在于，包括：

8、如权利要求 7所述的方法，其特征在于，所述第一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效包括：

检查证书的格式是否合格；

检查该签名映射对的有效期是否过期；

检查第二边界网络所有者的证书是否可信和是否过期；

利用第二边界网络所有者的证书中的公钥验证该签名映射对的签名字段是否有效。

9、一种边界网络设备，其特征在于，包括：

签名映射对生成单元 , 用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；提交单元，用于将所述签名映射对提交给传输网络中的注册代理。

10、如权利要求 9所述的边界网络设备，其特征在于，还包括：

查询单元，用于才据第二边界网络所有者的前缀信息查询注册代理，并获取该注册代理反馈的第二边界网络所有者的签名映射对；

检查单元，与所述查询单元耦接，用于检查所述第二边界网络所有者的签名映射对是否有效；

数据发送单元，用于当所述检查单元确定所述签名映射对有效后，根据所述签名映射对中的映射信息向所述第二边界网络所有者发送数据。

11、如权利要求 9或 10所述的边界网络设备，其特征在于，还包括：：回记录生成单元，用于生成签名映射对 <撤回记录；

撤回记录提交单元，用于将所述签名映射对撤回记录提交给注册代理以撤回该签名映射对 <撤回记录对应的签名映射对。

12、一种注册代理设备，其特征在于，包括：

接收单元，用于接收边界网络所有者提交的签名映射对；

13、如权利要求 12所述的注册代理设备，其特征在于，还包括：查询响应单元，用于根据边界网络所有者提供的前缀查询与所述前缀信息相对应的签名映射对，并反馈给所述边界网络所有者。

14、如权利要求 12或 13所述的注册代理设备，其特征在于，还包括：撤回响应单元，用于根据边界网络所有者提供的签名映射对撤回记录从所述签名映射对数据库单元中删除所述签名映射对撤回记录对应的签名映射对 , 并将所述签名映射对撤回记录同步到其它注册代理；

撤回记录数据库单元，用于保存被撤回响应单元删除的签名映射对。

15、一种通信系统，其特征在于，包括：

16、如权利要求 15所述的通信系统，其特征在于，所述边界网络设备包括：签名映射对生成单元，用于映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；

提交单元，用于将所述签名映射对提交给所述注册代理设备。

17、如权利要求 16所述的通信系统，其特征在于，所述注册代理设备包括：接收单元，用于接收边界网络所有者提交的签名映射对；

签名映射对数据库单元，用于保存所述接收单元接收的签名映射对；同步单元，用于将所述签名映射对同步到其它注册代理。