[发明专利]一种基于两跳回复的BGP协议改造方法

说明书

技术领域

本发明涉及路由技术领域，具体涉及一种域间的基于两跳回复的BGP协议改造方法。

背景技术

边界网关协议Border Gateway Protocol(BGP)是目前域间路由协议的标准，BGP是一种路径矢量路由协议，具有丰富的属性和路由控制机制，每个运行BGP协议的路由器称为BGP Speaker。BGP Speaker通过TCP连接互相建立邻居关系，通过BGP UPDATE消息的转发来通告路由信息。UPDATE消息主要包含了路由前缀、AS_PATH和其他路由属性。虽然实践中BGP效率还不错，可是BGP不包含任何的安全措施，容易受到各种攻击，造成网络大规模的瘫痪。针对BGP的缺陷，学术界和工业界提出了许多保护BGP的安全方案，比如BBN公司的S-BGP，CISCO提出的soBGP等，大多数方案都是基于PKI的，而且都是为保护路由前缀和AS_PATH而设计的，但是对于路由器由于各种原因不转发路由信息这种不作为行为无能为力，而且其他的域也会发现存在这种不作为行为，这种不作为的行为导致的路由信息的丢失对网络用户以及ISP都造成了极大的损害，本发明正是为解决如何发现不转发路由信息的行为而设计的，通过本发明可以成功的检测出路由器的这种不作为行为，并且可以当做选路的原则之一在以后的选路过程尽量避免选择不作为的路由器。

发明内容

本发明主要解决的技术问题是如何检测出基于BGP协议，一个域不向后续的邻居通告路由信息的行为，造成这种不作为行为的因素很多，但是这种行为会导致路由信息的缺失，用户流量的丢失，从而对整个网络造成了严重的损害。

针对这种不作为行为，路由信息通告方或者转发方通过等待2跳邻居的回应信息，来判定直连邻居是否将自己通告的路由信息转发给了后续其他的路由器。

本发明也可以保护BGP协议UPDATE消息中路由前缀和AS_PATH不受攻击，但是由于已经存在很多方案来保护路由前缀以及AS_PATH，我们也采用类似S-BGP的方法来保护这两方面，我们主要想解决的如何发现不转发行为，所以我们对这两方面的保护不多做陈述。

附图说明  下面结合附图和具体实施方式，对本发明做进一步的详细说明。

图1是本发明中所指的两跳邻居

图2是本发明中所指的拓扑证书

图3是本发明所指的请求消息

图4是本发明所指的回复消息

图5是本发明提出的两跳回应的业务流程。

具体实施方式

下面结合附图说明和具体实施方式，对本发明做进一步的详细说明。

针对域间路由信息不转发的行为，我们提出一种基于两跳机制的BGP协议改造方案。图1解释了什么是两跳概念。图2是我们新定义的拓扑证书，包含所有邻居的AS号。图3是我们设计的新的消息格式-请求消息格式。图4是我们设计的新的消息格式-回复消息格式。图5是我们提出的两跳回复机制的工作流程。

1、实现过程需要的一些定义和假设

[定义1]：两跳邻居

两跳邻居指的是距离为2跳的邻居，是自己直连邻居的邻居，如图1所示，AS65000有3个两跳邻居AS65002、AS65003、AS65004，AS65001只有1个两跳邻居AS65005

[定义1]：拓扑证书

每个AS都有一张拓扑证书，拓扑证书包含的是本域所有的直连邻居的AS号，通过互相交换拓扑证书，各个AS域就能知道自己的两跳邻居是谁。

[假设1]：不存在合谋的AS域利BGP路由器。

[假设2]：在一个域里的BGP路由器部署相同的策略。

2、本发明新创造的消息

[消息1]：请求消息

请求消息是用来提供凭证来证明路由更新消息是否被收到，消息的格式如图2所示。

[消息2]：回复消息

回复消息是用来通告两跳邻居已经收到了哪些路由信息，消息的格式如图3所示

3、我们用一个实例来具体描述一种基于两跳回复机制的BGP路由协议改造方法的工作流程，了简化描述，假设每个域只有一台BGP路由器，如图5所示。

步骤1AS6500有一条新的路由信息需要通告，首先AS65000用自己的私钥对路由信息进行签名，然后产生一个随机数作为加密密钥，用对称加密方法加密签了名的路由信息，将加密的信息通告给AS65001。通过AS65001的拓扑证书了解2跳邻居信息，等待AS65002的回复。

步骤2AS65001收到了加密的路由信息，构造带自己签名的Request消息，发送给AS65000。