[发明专利]路由起源授权的自动签发方法和装置

说明书

本申请涉及一种路由起源授权的自动签发方法和装置，所述方法包括：将IP前缀划分到多个不同的前缀集合中；根据预设的使用策略对多个所述前缀集合进行检验；检验通过后，根据不同的前缀集合为每个前缀集合中的IP前缀签发相应的路由起源授权或资源证书。本申请的方案基于INR使用策略，检查IP前缀是否满足INR使用策略，是否存在INR分配和授权冲突；当检查通过后，自动根据INR持有者的意愿签发相应的资源证书和路由起源授权，从而防止由于人工操作导致的INR重复分配和INR重复授权，而这种异常是无法被RPKI依赖方所检测到的。

技术领域

本申请涉及路由安全技术领域，具体涉及一种路由起源授权的自动签发方法和装置。

背景技术

互联网被划分为许多较小的自治系统(Autonomous System，AS)，目前，自治系统之间的路由选择协议是边界网关协议(Border Gateway Protocol，BGP)。BGP将为数众多、拓扑各异、大小不一的AS连接在一起并相互交换路由信息。

作为路径矢量协议，BGP在传播路由时使用Update消息携带路径信息。路径信息用于指示到达该路由的网络拓扑，也用于路由选择。BGP传播的路径信息主要包含网络层可达信息(Network Layer Reachability Information，简称NLRI)和路径属性(PathAttribute)。NLRI包含IP地址前缀和长度，用于标识目的网络的CIDR地址。路径属性描述到达该CIDR地址的路由的属性。其中AS_PATH属性列出了到达目的网络所经过的一串AS路径。

如图1所示，自治系统AS1是IP地址前缀16.1.0.0/16的合法持有者，它通过BGP的Update消息向外通告NLRI为16.1.0.0/16，AS_PATH为1的路由，该路由通告被AS2接收到；AS2一方面将目的地址包含在16.1.0.0/16地址块中的IP数据包经该路由发送给AS1，另一方面把自己的AS号加到AS_PATH的最前端，并继续向外通告该路由，即向外通告NLRI为16.1.0.0/16，AS_PATH为2 1的路由。

然而，BGP协议在安全方面的设计存在较大的不足。针对BGP的安全问题，互联网码号资源公钥基础设施(Resource Public Key Infrastructure，RPKI)被设计出来。它的基本思想是构建一个PKI(公钥基础设施)来完成对互联网码号资源(Internet NumberResource，INR)的所有权(分配关系)和使用权(路由起源授权，Route OriginationAuthorizations，简称ROA)的认证，用这些“认证信息”来指导BGP路由器，帮助其检验BGP消息的真实性，从而避免域间路由劫持。其中，INR包含IP资源(IP地址前缀)和AS资源(AS号)。

如图2所示，RPKI主要包括CA(Certification Authority，数字证书认证机构)和RP(Relying Party，依赖方)两个机构。CA机构负责资源分配，即进行证书及相关签名对象的颁发工作，图中的IANA、APNIC、CNNC等均为CA机构。RP机构用来同步CA机构颁发的证书及签名对象，BGP路由模块通过向RP获取路由授权信息进行路由的起源认证。

在RPKI范畴内，任何INR持有者均是一个CA，每一个INR持有者都可以将其持有的INR的一部分拿出来，进一步分配给其他机构，每一次INR分配行为都对应一张资源证书(Resource Certification，RC)的签发，且该资源证书由签发者进行签名。