[发明专利]基于ASPA改进的路径验证方法

说明书

本发明公开了一种基于ASPA改进的路径验证方法，该方法通过利用ASPA二元组，在路由通告中，对路径属性中的偶数次序的AS路由引入签名增强了对路径属性AS_PATH的保护力度，同时，在签名传递时使用2个单位的签名缓存队列，每跳路由器收到数据包时，也只需取队首签名进行一次签名验证，在安全保证的基础上，减少了BGP通告数据包的负载大小和签名验签次数，也减轻了CPU的负担。

技术领域

本发明涉及互联网域名技术领域，特别涉及一种基于ASPA改进的路径验证方法。

背景技术

由于BGP设计存在缺陷，导致攻击者能伪造数据包造成劫持，目前，RPKI(互联网号码资源公钥证书体系)基于PKI体系，ip前缀资源持有者将ip授权关系以签名对象的格式进行批量签发，依赖方RP服务器对签名文件仓库进行拉取、解析、校验，最后将校验通过的AS号和ip二元组推送给路由器，路由器在收到路由通告时将会利用该数据源进行身份鉴别。

基于RPKI体系，IETF提出草案ASPA，对BGP路由通告中AS_PATH属性进行验证。其中每一个AS资源持有者将上游provider的AS号集合进行批量签发。代表该AS作为customer，会给provider集合中所有AS发送路由通告。路由器获取全球的ASPA数据之后，可对BGP通告中AS_PATH进行滑动窗口为2的路径合法验证。

如图1所示，为ASPA签名对象的示意图。域间关系主要分为三个角色，customer、provider和peer，转发关系则主要分为C2P、P2C、P2P。ASPA基于“无谷网络”，认为:

1、路由通告传播方向总是先上后下或者无下，即从C2P开始，P2C或者C2P结束。

2、在BGP路由通告传播过程中，需要重点保护上游方向的传播，以避免造成provider大规模的流量劫持。每一个路由器接收到数据包时，需要对AS_PATH信息中的传递关系进行合法性校验。

3、当BGP数据包开始转向下游传播时，需要验证是否存在第二次C2P传递。一旦发现检测到AS_PATH属性中存在二次往上传播，则将通告丢弃。

ASPA利用邻间传递数据包的授权关系对AS_PATH属性进行检测，并没有对整个AS_PATH属性进行防篡改保护。攻击者仍然可以利用ASPA数据，直接伪造能通过“验证”的AS_PATH属性，造成流量劫持。

BGP中AS_PATH属性是路径选择中的关键属性，AS_PATH长度是路由选优考虑的一个因素，AS_PATH也用来检测环路。但是缺乏密码学签名保护，路径属性就容易被伪造或者篡改。ASPA采取对AS_PATH进行转发关系的验证，以此来对路径属性进行校验，限制路径篡改的可能性。其整体上基于AS粒度来对BGP通告进行验证，但是在实时的通告传播和转发过程中，一个数据包从一个AS抵达另外一个AS，可能存在多条路径，并且都能通过ASPA数据的验证，经过复杂的路由策略的决策，多条路径最终只会选择一条优选路径进行传递，攻击者仍然可以通过伪造路径来影响通告的路径决策，达到流量劫持的目的，ASPA无法对AS_PATH进行ip粒度级别的保护。

因此，在基于ASPA现有数据的基础上，如何对ASPA存在的上述缺陷进行改进，同时性能能够优于RPKI体系下其余路径验证方案，便成为了目前亟待解决的技术问题。

发明内容

本发明的目的是，提供一种基于ASPA改进的路径验证方法，以解决原有的RPKI体系中路径验证缺失而导致的安全性能不高的问题。

为此，本发明提供了一种基于ASPA改进的路径验证方法，该方法包括：

在BGP路由器对路由通告进行传递过程中，每间隔一个AS路由对AS_PATH所在的AS路径进行签名。

进一步地，所述签名的内容为包含即将转发邻居AS编号的AS_PATH信息。