CN113542116B - 基于aspa改进的路径验证方法 - Google Patents
基于aspa改进的路径验证方法 Download PDFInfo
- Publication number
- CN113542116B CN113542116B CN202110216570.4A CN202110216570A CN113542116B CN 113542116 B CN113542116 B CN 113542116B CN 202110216570 A CN202110216570 A CN 202110216570A CN 113542116 B CN113542116 B CN 113542116B
- Authority
- CN
- China
- Prior art keywords
- path
- signature
- route
- aspa
- verification method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于ASPA改进的路径验证方法,该方法通过利用ASPA二元组,在路由通告中,对路径属性中的偶数次序的AS路由引入签名增强了对路径属性AS_PATH的保护力度,同时,在签名传递时使用2个单位的签名缓存队列,每跳路由器收到数据包时,也只需取队首签名进行一次签名验证,在安全保证的基础上,减少了BGP通告数据包的负载大小和签名验签次数,也减轻了CPU的负担。
Description
技术领域
本发明涉及互联网域名技术领域,特别涉及一种基于ASPA改进的路径验证方法。
背景技术
由于BGP设计存在缺陷,导致攻击者能伪造数据包造成劫持,目前,RPKI(互联网号码资源公钥证书体系)基于PKI体系,ip前缀资源持有者将ip授权关系以签名对象的格式进行批量签发,依赖方RP服务器对签名文件仓库进行拉取、解析、校验,最后将校验通过的AS号和ip二元组推送给路由器,路由器在收到路由通告时将会利用该数据源进行身份鉴别。
基于RPKI体系,IETF提出草案ASPA,对BGP路由通告中AS_PATH属性进行验证。其中每一个AS资源持有者将上游provider的AS号集合进行批量签发。代表该AS作为customer,会给provider集合中所有AS发送路由通告。路由器获取全球的ASPA数据之后,可对BGP通告中AS_PATH进行滑动窗口为2的路径合法验证。
如图1所示,为ASPA签名对象的示意图。域间关系主要分为三个角色,customer、provider和peer,转发关系则主要分为C2P、P2C、P2P。ASPA基于“无谷网络”,认为:
1、路由通告传播方向总是先上后下或者无下,即从C2P开始,P2C或者C2P结束。
2、在BGP路由通告传播过程中,需要重点保护上游方向的传播,以避免造成provider大规模的流量劫持。每一个路由器接收到数据包时,需要对AS_PATH信息中的传递关系进行合法性校验。
3、当BGP数据包开始转向下游传播时,需要验证是否存在第二次C2P传递。一旦发现检测到AS_PATH属性中存在二次往上传播,则将通告丢弃。
ASPA利用邻间传递数据包的授权关系对AS_PATH属性进行检测,并没有对整个AS_PATH属性进行防篡改保护。攻击者仍然可以利用ASPA数据,直接伪造能通过“验证”的AS_PATH属性,造成流量劫持。
BGP中AS_PATH属性是路径选择中的关键属性,AS_PATH长度是路由选优考虑的一个因素,AS_PATH也用来检测环路。但是缺乏密码学签名保护,路径属性就容易被伪造或者篡改。ASPA采取对AS_PATH进行转发关系的验证,以此来对路径属性进行校验,限制路径篡改的可能性。其整体上基于AS粒度来对BGP通告进行验证,但是在实时的通告传播和转发过程中,一个数据包从一个AS抵达另外一个AS,可能存在多条路径,并且都能通过ASPA数据的验证,经过复杂的路由策略的决策,多条路径最终只会选择一条优选路径进行传递,攻击者仍然可以通过伪造路径来影响通告的路径决策,达到流量劫持的目的,ASPA无法对AS_PATH进行ip粒度级别的保护。
因此,在基于ASPA现有数据的基础上,如何对ASPA存在的上述缺陷进行改进,同时性能能够优于RPKI体系下其余路径验证方案,便成为了目前亟待解决的技术问题。
发明内容
本发明的目的是,提供一种基于ASPA改进的路径验证方法,以解决原有的RPKI体系中路径验证缺失而导致的安全性能不高的问题。
为此,本发明提供了一种基于ASPA改进的路径验证方法,该方法包括:
在BGP路由器对路由通告进行传递过程中,每间隔一个AS路由对AS_PATH所在的AS路径进行签名。
进一步地,所述签名的内容为包含即将转发邻居AS编号的AS_PATH信息。
进一步地,所述的签名针对偶数次序的AS路由进行,奇数次序的路由器只对AS_PATH签名信息进行转发,而不进行路径信息的签名。
进一步地,对所述AS路径进行签名的有效半径为两个AS单元。
进一步地,所述的BGP路由通告在广播过程中,不断地进行逻辑上的出队入队操作,始终保持两个AS单元的缓存队列。
进一步地,奇数次序的AS作为邻间者,接收到路由通告时,需对距离前偶数次序AS路由一个有效半径范围的签名进行合法性验证。
进一步地,后一个偶数次序的AS接收到路由通告时,对路由通告明文AS_PATH信息的合法性验证通过前一个偶数次序AS的路径签名信息鉴定。
进一步地,当某路由器接收到路由通告时,控制其之前的两个有效半径范围的签名信息出列,控制其之后的一个有效半径范围的签名信息入列。
进一步地,设置对序号为1和2的前两个AS路由无需进行签名的验证。
与现有技术相比,本发明所公开的一种基于ASPA改进的路径验证方法达到了如下技术效果:
1、在RPKI体系中,利用ASPA二元组可对路由通告中传递关系进行验证,在此基础上,本发明还对路径属性引入签名增强了对路径属性AS_PATH的保护力度。
2、本发明采用的签名数量也进行了削减,无需每跳路由器都进行路径信息的签名,间隔即可。
3、在签名传递时使用2个单位的签名缓存队列,每跳路由器收到数据包时,也只需取队首签名进行一次签名验证,相比较RPKI体系下BGPSec此类逐跳签名的路径保护方案,大大减少了BGP通告数据包的负载大小和签名验签次数,在安全保证的基础上,减轻了CPU的负担。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是ASPA签名对象的示意图。
图2是本发明实施例中的隔跳签名的示意图。
图3是本发明实施例中的签名缓存队列的示意图。
具体实施方式
下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述,但不作为对本发明的限定。
现有技术中,一个数据包从一个AS抵达另外一个AS,可能存在多条路径,并且都能通过ASPA数据的验证,经过复杂的路由策略的决策,多条路径最终只会选择一条优选路径进行传递,攻击者仍然可以通过伪造路径来影响通告的路径决策,达到流量劫持的目的,ASPA无法对AS_PATH进行ip粒度级别的保护。
本发明的目的是在ASPA现有数据的基础上,通告采用隔跳签名(相当于每间隔一个AS)的方式对路径属性进行保护并减少签名次数,以及采用签名缓存队列的方式减少BGP通告数据包的负载大小。
本发明实施例所公开的一种基于ASPA改进的路径验证方法,主要包括隔跳签名及签名缓存队列两种方式。
下面分别来对上述两种方式进行详述。
一、隔跳签名
在BGP路由通告按照队列顺序进行广播的过程中,每间隔一个AS路由对AS_PATH所在的AS路径进行签名。
在互联网中,一个自治***(AS,autonomous system。)是一个有权自主地决定在本***中应采用何种路由协议的小型网络单位,为了表述方便,下称AS自治域,这个网络单位可以是一个简单的网络也可以是一个由一个或多个普通的网络管理员来控制的网络群体,它是一个单独的可管理的网络单元(例如一所大学,一个企业或者一个公司个体)。一个自治***有时也被称为是一个路由选择域(routing domain)。一个自治***将会分配一个全局的唯一的16位号码,我们把这个号码叫做自治***号,也可称之为AS号或ASN。
为保证路径属性不被篡改,需对路径属性进行数字签名,并在路由通告中进行传递,签名格式既包括前面的路径信息还包括下一个AS号的AS_PATH信息,由于ASPA提供了AS之间合法的传递关系,故路径签名的有效半径为2个AS单元。由于最前的AS路由产生广播,故通常是从第二个路由器开始进行签名,如此再间隔一个AS路由后,则到第四个AS路由,以此类推。在路由传递过程中,每一个传递者根据自己的位置序列号判断自己是否是偶数次序,以此按照要求进行路径信息签名,并将签名信息放入数据包,依次传递给下一个路由器。
在路由转发过程中,偶数次序的AS将对包含下一个AS的路径进行签名,签名内容便能覆盖到从之前到下一个AS之间经过的所有途径的AS,AS_PATH中每一个AS号都能受到签名的保护。但是,奇数次序的AS无需进行签名,奇数次序的AS只需将与其相邻的上一个偶数次序的签名转发给与其相邻的下一个偶数次序的AS号即可,由下一个偶数次序的AS对签名进行验证。
参照图2所示,假设一个路由通告从发起到全局收敛,途径6个AS自治域,在路径AS1->AS2->AS3->AS4->AS5->AS6中,AS1产生通告,AS2收到AS 1发来的通告,经过对通告的校验之后,决定将此通告转发给邻居AS3,则AS2产生签名(1->2->3)Sig2,随后将此签名信息装填到路由通告中,将路由通告转发给AS3。由于ASPA可证明AS3到AS4有效,则AS2的签名有效范围能抵达AS3和AS4,即AS2产生的签名,能对后续传播者AS3和AS4两个AS提供路径信息验证,验证这二者没有对路由通告中的路径信息进行篡改,而AS3无需进行签名,直接将AS2的签名转发给AS4即可,由AS4来进行验证,同样地,AS5收到AS4发来的路由通告进行验证后,不进行签名,直接转发给AS6。
按照此规律,在上述实例路径中,AS1产生ip前缀通告,直到AS6收到该通告,则中途签名者仅包括偶数位的AS2和AS4,AS3和AS5仅仅转发通告,不必再次进行签名。此种每间隔一个AS路由进行签名的方案结合了ASPA的数据特性,与RPKI体系中另外一个路径保护解决方案BGPSec签名比较而言,减少了一半的签名次数,在保证数据传输安全的前提下,也提高了通信效率。
二、使用签名缓存队列
当每一个AS路由(不包括前两个AS路由)收到路由通告时,需要对AS_PATH的签名进行验证,以校验该通告的AS_PATH确实没有被篡改。本发明采用隔跳签名缓存的方案,奇数次序的AS路由的信息被上一个AS路由签发,偶数次序的AS路由作为签发者,签发内容也需要“鉴伪”,也就是说偶数次序的AS路由需要对签名进行合法性验证,因此在BGP通告广播过程中,需要设置两个单位的缓存队列。
签发者路径合法性验证需要离该AS路由的一个保护半径以内的签发者的签名鉴定。两个偶数次序的签发者中间的AS路由作为邻间者,邻间者从前面的作为签发者的AS路由接收路由通告广播时,对距离该AS路由之前的一个有效半径范围的具有签名的AS号进行合法性验证,也就是处于奇数次序的邻间者对该次序之前的距离其三个AS单元(相当于三跳的距离)的签发者签发的路径信息进行验证。而邻间者给后一个偶数次序AS路由发送路由通告广播之后,期间尚未进行路径属性的签名,则后一个偶数次序AS对路由通告明文AS_PATH信息的合法性验证通过检索ASPA的邻间关系二元组鉴定。
举例来说,偶数1->邻间者->偶数2,这是一个传递顺序,即上述邻间者只会收到1的包,而不会反过来收到2的包,邻间者的路由声明由偶数1的路径签名信息鉴定。
偶数2的路由声明行为,由偶数1的签名和邻间者到偶数2的ASPA数据进行鉴定。同样地,偶数1的路由声明信息由上一个偶数序列AS路径签名信息鉴定。
举例来说,在通告传播路径AS1->AS2->AS3->AS4->AS5->AS6,偶数次序的AS4作为签发者,将该路由通告广播给邻间者AS5,AS5接收到AS4发送的通告,需要对AS2的签名(1->2->3)Sig2进行验证,而AS3->AS4这部分的合法性通过检索ASPA邻间二元组可证。由于ASPA邻间二元组对AS_PATH伪造做出了基础的限制,AS4确实能接收到AS3发送的通告,一跳间距离的AS_PATH信息无法进行造假。AS_PATH可能被AS4篡改的部分只有AS1和AS2,一跳范围的AS3无法进行修改。
路由通告在传播过程中,不断地进行逻辑上的出队入队操作,始终保持两个单位的缓存单位。当某AS路由接收到前面转发的路由通告时,控制其之前的两个有效半径范围(相当于四跳)的签名者出列,控制其之后的一个有效半径范围的签名者入列,也就是当前签名的路由器的前后两跳序列位于当前缓存队列中,如此来保持两个单位的缓存单元。
参照图3所示,例如在一个路由通告中,存在8个AS自治域,在路径AS1->AS2->AS3->AS4->AS5->AS6->AS7->AS8中,路由1发起路由通告,AS2、AS3、AS4、AS5、AS6、AS7依次继续对外广播,最后由AS8收到路由通告。整个过程中,偶数次序列的AS2、AS4、AS6产生签名,同时对缓存队列进行进队出队操作。
由于AS1在部署原生ASPA时,就会把邻居AS以列表的形式签发公布出去,表示AS1会把自己的通告广播给列表里的邻居,AS2在收到包时,此时就一跳的距离,明显AS1没必要造假,所以AS2检索已经拉取到缓存的ASPA数据,发现确实存在(AS1,AS2),即可证明它们确实是邻居,这里的验证就是ASPA最原始的验证过程。所以从ip源AS1发出包,一个单位距离无需使用签名。同样地,AS3从AS2获取到从AS1发出的通告时,同样检索到(AS1,AS2),证明AS2确实是AS1的邻居,AS1也确实愿意把通告直接发给AS2。则同样利用ASPA原生数据就能验证,此时也无需签名验证。在AS3的视角看来,只要是能通过原生ASPA验证的,都是正确的。即AS2确实能按照出示的路径收到包,AS2没有必要说谎。对于前两个AS的发言,只需要ASPA数据验证就行,没有必要进行签名验证。但是随着离源头AS1的距离越来越长,从AS3的发言开始,就都需要进行队首签名的验证。
AS1发出通告,传递到AS2,AS2产生签名(1->2->3)Sig2对AS3和AS4的路径信息进行鉴别,之后通告传到AS4;为了方便说明,以数字箭头代表AS路由的传播路径。Sig表示自治域AS用私钥产生的签名,数字角标表示自治域的序号,一一对应,如Sig2是AS2产生的签名,Sig6是AS6产生的签名。
AS4又产生新的路径签名(1->2->3->4->5)Sig4,路由器把签名信息放入缓存队列队尾并随BGP通告传播给AS5;
AS5用(1->2->3)Sig2和ASPA(3:4)二元组验证路由器AS4发来的1->2->3->4信息没被篡改;
AS5验证通过后,将(1->2->3->4->5)Sig4签名传递给AS6,证明AS5自己也没说谎;
AS6接收到从AS5传来的通告时,先是利用ASPA信息进行原生的ASPA校验,对签名队列进行出列入列操作,需要进队时,需要判断队列是否已满,满了就需要先出一个丢弃,再入队尾。此时,缓存队列的Sig2出队,Sig6入队,产生新的签名(1->2->3->4->5->6->7)Sig6,此时,队列总共有Sig4和Sig6两个签名,队列首就是AS4的签名(1->2->3->4->5)Sig4,队末就是(1->2->3->4->5->6->7)Sig6,保持两个单位的缓存队列,签名保护的验证流程也如上类推。
其中,AS6验证时,使用证书符SKI4找出AS4的证书提取公钥,对AS4的Sig4签名验证(签名的明文信息直接是AS_PATH),验证成功就代表1->2->3->4->5路径属性没有更改,表示确实该包确实是AS4发送给AS5,并且AS5没有对AS_PATH信息进行篡改。
需要说明的是,由于一个签名的保护半径是两个AS单位,所以在偶数次序签名的情况下,其实每一个AS路由的发言都有签名信息作为副本对照。除了前两个AS路由外,之后每一AS路由的传播都需要经过验证,但签名仅在偶数次序列进行。
例如在路径1-2-3-4-5-6,2、4产生签名,3,4,5,6收到数据包时,都需要根据这两个签名要验证上一个AS路由没有对AS_PATH信息进行篡改,就是4去验3,5验4,此次类推。所以从AS3之后,每一个需要进行一次签名验证,并且都取队列首位的签名进行验证,主要验证上一个AS有无对AS_PATH信息进行篡改。
在RPKI体系中,本发明实施例利用ASPA二元组可对路由通告中传递关系进行验证,在此基础上,对路径属性引入签名增强了对路径属性AS_PATH的保护力度。并且签名数量也进行削减,无需每个AS路由都进行路径信息的签名。在签名传递时使用2个AS单位的签名缓存队列,每个AS路由器收到数据包时,也只需取当前缓存队列的队首签名进行一次签名验证,相比较RPKI体系下BGPSec此类的逐跳签名的路径保护方案,大大减少了BGP通告数据包的负载大小和签名验签次数,在安全保证的基础上,减轻了CPU的负担。
虽然以上结合优选实施例对本发明进行了描述,但本领域的技术人员应该理解,本发明所述的方法和***并不限于具体实施方式中所述的实施例,在不背离由所附权利要求书限定的本发明精神和范围的情况下,可对本发明作出各种修改、增加、以及替换。
Claims (6)
1.一种基于ASPA改进的路径验证方法,其特征在于,所述方法包括:
在BGP路由器对路由通告进行传递过程中,每间隔一个AS路由对AS_PATH所在的AS路径进行签名;
所述的签名针对偶数次序的AS路由进行,奇数次序的路由器只对AS_PATH签名信息进行转发,而不进行路径信息的签名;
奇数次序的AS作为邻间者,接收到路由通告时,需对距离前偶数次序AS路由一个有效半径范围的签名进行合法性验证;后一个偶数次序的AS接收到路由通告时,对路由通告明文AS_PATH信息的合法性验证通过前一个偶数次序AS的路径签名信息鉴定。
2.根据权利要求1所述的路径验证方法,其特征在于,所述签名的内容为包含即将转发邻居AS编号的AS_PATH信息。
3.根据权利要求2所述的路径验证方法,其特征在于,对所述AS路径进行签名的有效半径为两个AS单元。
4.根据权利要求3所述的路径验证方法,其特征在于,BGP路由通告在广播过程中,不断地进行逻辑上的出队入队操作,始终保持两个AS单元的缓存队列。
5.根据权利要求4所述的路径验证方法,其特征在于,当某路由器接收到路由通告时,控制其之前的两个有效半径范围的签名信息出列,控制其之后的一个有效半径范围的签名信息入列。
6.根据权利要求5所述的路径验证方法,其特征在于,设置对序号为1和2的前两个AS路由无需进行签名的验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110216570.4A CN113542116B (zh) | 2021-02-26 | 2021-02-26 | 基于aspa改进的路径验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110216570.4A CN113542116B (zh) | 2021-02-26 | 2021-02-26 | 基于aspa改进的路径验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113542116A CN113542116A (zh) | 2021-10-22 |
| CN113542116B true CN113542116B (zh) | 2023-02-21 |
Family
ID=78094405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110216570.4A Active CN113542116B (zh) | 2021-02-26 | 2021-02-26 | 基于aspa改进的路径验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113542116B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001245A (zh) * | 2006-01-10 | 2007-07-18 | 华为技术有限公司 | 一种边界网关协议中更新信息的验证方法 |
| CN102035831A (zh) * | 2010-11-26 | 2011-04-27 | 北京邮电大学 | 一种基于两跳回复的bgp协议改造方法 |
| CN102148832A (zh) * | 2011-04-07 | 2011-08-10 | 清华大学 | 高效的边界网关路由协议路径鉴定方法 |
| CN104468349A (zh) * | 2014-11-27 | 2015-03-25 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
| CN107251509A (zh) * | 2014-12-18 | 2017-10-13 | 诺基亚通信公司 | 通信网络***之间的可信路由 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9722919B2 (en) * | 2014-01-22 | 2017-08-01 | Cisco Technology, Inc. | Tying data plane paths to a secure control plane |
-
2021
- 2021-02-26 CN CN202110216570.4A patent/CN113542116B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001245A (zh) * | 2006-01-10 | 2007-07-18 | 华为技术有限公司 | 一种边界网关协议中更新信息的验证方法 |
| CN102035831A (zh) * | 2010-11-26 | 2011-04-27 | 北京邮电大学 | 一种基于两跳回复的bgp协议改造方法 |
| CN102148832A (zh) * | 2011-04-07 | 2011-08-10 | 清华大学 | 高效的边界网关路由协议路径鉴定方法 |
| CN104468349A (zh) * | 2014-11-27 | 2015-03-25 | 中国科学院计算机网络信息中心 | 一种基于逐跳监督的bgp路由验证方法 |
| CN107251509A (zh) * | 2014-12-18 | 2017-10-13 | 诺基亚通信公司 | 通信网络***之间的可信路由 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《Trigger Based Authentication: A Naive Approach For Attendance Monitoring》;Priya Matta 等;《IEEE》;20210220;全文 * |
| 《标准模型下可证明安全的BGP路由属性保护机制》;李道丰 等;《计算机学报》;20150430;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113542116A (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hu et al. | SPV: Secure path vector routing for securing BGP | |
| Murphy et al. | Digital signature protection of the OSPF routing protocol | |
| CN105376098B (zh) | 一种路由源和路径双重验证方法 | |
| Studer et al. | Flexible, extensible, and efficient VANET authentication | |
| KR20100126783A (ko) | Ip 어드레스 위임 | |
| Biswas et al. | Proxy signature-based RSU message broadcasting in VANETs | |
| WO2021174237A9 (en) | Extending border gateway protocol (bgp) flowspec origination authorization using path attributes | |
| Xiang et al. | Sign what you really care about–Secure BGP AS-paths efficiently | |
| CN113542116B (zh) | 基于aspa改进的路径验证方法 | |
| Sriram | BGPSEC design choices and summary of supporting discussions | |
| Jasinska et al. | Internet exchange bgp route server | |
| Li et al. | Secure routing in wired networks and wireless ad hoc networks | |
| Biswas et al. | Deploying proxy signature in VANETs | |
| Raghavan et al. | Analysis of the SPV secure routing protocol: Weaknesses and lessons | |
| Parno et al. | SNAPP: Stateless network-authenticated path pinning | |
| Bush | BGPSEC operational considerations | |
| Shibasaki et al. | An AODV-based communication-efficient secure routing protocol for large scale ad-hoc networks | |
| Jasinska et al. | RFC 7947: Internet Exchange BGP Route Server | |
| Xie et al. | TRIP: A tussle-resistant internet pricing mechanism | |
| Palmieri et al. | Enhanced Security Strategies for MPLS Signaling. | |
| CN115883088B (zh) | 基于bgp路由的自治域安全参数更新方法 | |
| Palmieri et al. | Securing the MPLS control plane | |
| Tsudik | Access Control and Policy Enforcement in Internetworks | |
| Lim et al. | An efficient scheme for authenticated and secure message delivery in vehicular ad hoc networks | |
| Lee et al. | ARMS: An authenticated routing message in sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |