本申请涉及一种路由起源授权的自动签发方法和装置,所述方法包括:将IP前缀划分到多个不同的前缀集合中;根据预设的使用策略对多个所述前缀集合进行检验;检验通过后,根据不同的前缀集合为每个前缀集合中的IP前缀签发相应的路由起源授权或资源证书。本申请的方案基于INR使用策略,检查IP前缀是否满足INR使用策略,是否存在INR分配和授权冲突;当检查通过后,自动根据INR持有者的意愿签发相应的资源证书和路由起源授权,从而防止由于人工操作导致的INR重复分配和INR重复授权,而这种异常是无法被RPKI依赖方所检测到的。
【技术实现步骤摘要】
路由起源授权的自动签发方法和装置
本申请涉及路由安全
,具体涉及一种路由起源授权的自动签发方法和装置。
技术介绍
互联网被划分为许多较小的自治系统(AutonomousSystem,AS),目前,自治系统之间的路由选择协议是边界网关协议(BorderGatewayProtocol,BGP)。BGP将为数众多、拓扑各异、大小不一的AS连接在一起并相互交换路由信息。作为路径矢量协议,BGP在传播路由时使用Update消息携带路径信息。路径信息用于指示到达该路由的网络拓扑,也用于路由选择。BGP传播的路径信息主要包含网络层可达信息(NetworkLayerReachabilityInformation,简称NLRI)和路径属性(PathAttribute)。NLRI包含IP地址前缀和长度,用于标识目的网络的CIDR地址。路径属性描述到达该CIDR地址的路由的属性。其中AS_PATH属性列出了到达目的网络所经过的一串AS路径。如图1所示,自治系统AS1是IP地址前缀16.1.0.0/16的合法持有者,它通过BGP的Update消息向外通告NLRI为16.1.0.0/16,AS_PATH为1的路由,该路由通告被AS2接收到;AS2一方面将目的地址包含在16.1.0.0/16地址块中的IP数据包经该路由发送给AS1,另一方面把自己的AS号加到AS_PATH的最前端,并继续向外通告该路由,即向外通告NLRI为16.1.0.0/16,AS_PATH为21的路由。然而,BGP协议在安全方面的设计存在较大的不足。针对BGP的安全问题,互联网码号资源公钥基础设施(ResourcePublicKeyInfrastructure,RPKI)被设计出来。它的基本思想是构建一个PKI(公钥基础设施)来完成对互联网码号资源(InternetNumberResource,INR)的所有权(分配关系)和使用权(路由起源授权,RouteOriginationAuthorizations,简称ROA)的认证,用这些“认证信息”来指导BGP路由器,帮助其检验BGP消息的真实性,从而避免域间路由劫持。其中,INR包含IP资源(IP地址前缀)和AS资源(AS号)。如图2所示,RPKI主要包括CA(CertificationAuthority,数字证书认证机构)和RP(RelyingParty,依赖方)两个机构。CA机构负责资源分配,即进行证书及相关签名对象的颁发工作,图中的IANA、APNIC、CNNC等均为CA机构。RP机构用来同步CA机构颁发的证书及签名对象,BGP路由模块通过向RP获取路由授权信息进行路由的起源认证。在RPKI范畴内,任何INR持有者均是一个CA,每一个INR持有者都可以将其持有的INR的一部分拿出来,进一步分配给其他机构,每一次INR分配行为都对应一张资源证书(ResourceCertification,RC)的签发,且该资源证书由签发者进行签名。如果该体系中的某个资源证书持有者拥有供自己使用(而不是向下分配)的IP地址前缀,需要授权一个AS对该IP前缀发起路由通告时,需要使用自己的CA证书签发一张EE(EndEntity,末端实体)资源证书,然后用该EE证书签发一条路由起源授权(RouteOriginAuthorizations,ROA),其中包含若干个三元组<prefix,maxLength,ASα>,其含义为:授权AS号为α的自治域发起对前缀prefix,以及它所有直到长度为maxLength的子前缀的路由起源通告。为了方便起见,ROA通常使用以下的书写形式:<10.1.0.0/16-18,ASα>,其中prefix为10.1.0.0/16,maxLength为18,被授权的自治系统为ASα。在RPKI部署环境中,当BGP边界路由器收到一个BGP消息时,它可根据从RP获取的INR使用权信息集合执行路由起源验证,并根据验证结果和本地策略决定是否接受该BGP消息。例如,针对上例BGP消息的验证过程如下所示:a)遍历INR使用权信息集合,找出IP前缀包含或者等于10.1.0.0/16的所有INR使用权信息,得到一个集合,记做“候选INR使用权信息集”;b)如果“INR使用权信息集合”为空,则该BGP消息的验证结果为“未知”;c)如果“INR使用权信息集合”不为空,且存在任何一个INR使用权信息的源AS等于AS1,则该BGP消息的验证结果为“有效”;d)否则,该BGP消息的验证结果为“无效”。由于RPKI的证书发布体系是INR分配体系的一种镜像,因此,RPKI的资源分配和资源使用必须遵循一定的INR分配原则,也就是说,子证书/ROA中的资源一定要包含在其父证书中,称之为“纵向INR资源包含关系”,RP的资源包含关系验证算法正是出于这一目的以检测INR持有者资源分配过程中存在的不规范。为了防止资源转移过程中,基于“makebeforebreak”原则签发的资源证书导致的域间路由系统的不稳定,五大RIR(RegionalInternetRegistry,区域性互联网注册机构)信任锚点持有的自签名资源证书中的INR扩展项由自持有地址池变更为“0/0”,也就是包含所有IPv4地址、IPv6地址和ASN。因此,INR重复分配以及INR重复使用等不正常行为发生的可能性急剧增加,并可能对域间路由系统产生不利影响。另外,自治系统在域间路由系统中广播的IP前缀与实际持有的IP前缀并没有严格的一一对应关系,比如,流量工程和负载均衡均需要更细粒度的流量控制,INR持有者需要广播比其持有IP前缀更具体的子前缀,于是,RPKI使得INR持有者可通过设置ROA的maxLength字段来达到以上目的。另外,由于多宿主和BGPAnycast的存在,RPKI允许将同一个IP前缀授权给不同的自治系统,也就是说,包含相同IP前缀但是不同ASN的ROA允许存在,并且,随着RPKI对AS0ROA的支持,INR持有者可通过该机制对其持有的IP前缀表达出现在域间路由系统中的否定意愿。但是,INR持有者可能错误配置maxLength字段或者错误签发ROA,从而导致INR重复分配和重复使用这一异常情况的发生,例如,INR持有者将同一个IP前缀既分配给其客户又留给自己使用,表现为客户的资源证书中包含该IP前缀,同时其签发的ROA包含该IP前缀,或者,INR持有者既将同一个IP前缀保留给将来使用,也授权给自治系统,表现为针对同一个IP前缀,AS0ROA和ASα(α≠0)ROA均存在。相关技术中,RPKI资料库中存在许多ROA,有些ROA虽然能够通过RP的验证流程被视为有效,但是由于RP的验证流程并不进行“横向的INR包含关系”检查,即INR持有者是否重复分配以及重复授权了其持有的INR,因此,这些ROA被BGP边界路由器使用后,仍然会对域间路由系统产生威胁。为最大力度地保证RPKI提供的安全认证服务,需要从源头上切断这种有效但是违反INR使用规则的ROA,减少由于人工操作导本文档来自技高网...
【技术保护点】
1.一种路由起源授权的自动签发方法,其特征在于,包括:/n将IP前缀划分到多个不同的前缀集合中;/n根据预设的使用策略对多个所述前缀集合进行检验;/n检验通过后,根据不同的前缀集合为每个前缀集合中的IP前缀签发相应的路由起源授权或资源证书。/n
【技术特征摘要】
1.一种路由起源授权的自动签发方法,其特征在于,包括:
将IP前缀划分到多个不同的前缀集合中;
根据预设的使用策略对多个所述前缀集合进行检验;
检验通过后,根据不同的前缀集合为每个前缀集合中的IP前缀签发相应的路由起源授权或资源证书。
2.根据权利要求1所述的方法,其特征在于,所述将IP前缀划分到多个不同的前缀集合中,包括:
将持有的IP前缀拆分为若干IP子空间;
根据预设的使用策略将所述IP子空间划分到多个不同的前缀集合中。
3.根据权利要求2所述的方法,其特征在于,所述根据预设的使用策略将所述IP子空间划分到多个不同的前缀集合中,包括:
根据预设的使用策略确定自己使用的IP子空间、保留为将来使用的IP子空间、分配给客户使用的IP子空间;
将自己使用的IP子空间划分到授权前缀集中;
将保留为将来使用的IP子空间划分到保留前缀集中;
将分配给客户使用的IP子空间划分到分配前缀集中;
其中,所述授权前缀集、保留前缀集和分配前缀集均为预先准备好的前缀集合。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据预设的使用策略对多个所述前缀集合进行检验,包括:
检验多个所述前缀集合之间是否存在冲突;
如果多个所述前缀集合中包括分配前缀集,则检验分配前缀集的内部是否存在冲突。
5.根据权利要求4所述的方法,其特征在于,所述检验多个所述前缀集合之间是否存在冲突,包括:
对全部的前缀集合求并集;
对任意两个前缀集合求交集;
如果前缀集合的并集等于全部IP前缀的集合,且任意两个前缀集合之间的交集为空集,则多...
【专利技术属性】
技术研发人员:马迪,邹慧,邵晴,毛伟,邢志杰,
申请(专利权)人:互联网域名系统北京市工程研究中心有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。