[发明专利]一种基于标识即公钥的自表示安全路由授权方法

说明书

本发明公开了一种标识即公钥的自表示安全路由授权方法，包括如下步骤：S1.公布公共安全参数，启动信任根；S2.构建自信任的地址体系；S3.构建自信任的路由标识体系；S4.地址拥有者向NASA签发地址授权书，NASA指派其部署的路由宣告者宣告该地址可达信息；S5.路由宣告者签发路径认证书，向对等路由器宣告携带路径认证书以及地址授权书的路由更新；S6.对等路由宣告者接收路由更新，验证地址授权书及路由路径上各宣告者签发的路径认证书，确认路由更新的合法性。本发明原理简单，易于部署，能够实现域间路由的源认证及路径认证，可有效解决传统域间路由机制无法避免的前缀劫持问题。

技术领域

本发明涉及可信安全网络基础设施领域，特指一种使用地址即公钥的自信任网络地址和标识即公钥的自信任路由资源标识构建的自表示安全路由机制，在保持现有域间路由机制情况下构建安全的路由策略，解决域间路由的源认证以及路径认证问题。

背景技术

随着信息技术的深入发展与广泛应用，互联网(Internet)已经渗入到人们生活中的各个角落。根据中国互联网信息中心截至2014年6月30日的统计，目前我国网民的数量已经达到6.32亿，可访问网站达到273万，国际出口带宽将近四百万兆比特每秒。信息化办公，商务交易，在线购物，网络社交，可以说，互联网已经成为整个社会生产和生活不可或缺的一部分。

互联网的互联互通依赖于底层的域间路由协议。产生于20世纪80年代的边界网关路由协议(Border Gateway Protocol，BGP)，其版本BGPv4是目前互联网中实际运行的域间路由协议。随着技术发展，互联网从其前身阿帕网进入发展时期，为解决因网络规模急剧扩大而导致的路由可扩展性问题，美国的BBN公司提出一种解决方案，将阿帕网从一个单一协同管理的网络转化成由多个自治系统(Autonomous System，AS)分散互联的网络。自治系统又称为自治域，由独立实体管理。根据CIDR Report 2015年1月26日的报告，全球一共有49442个AS参与整个互联网的运作。BGPv4协议是将这些分散的自治域联通，构建互联网的事实协议。历史上，BGP对于互联网的商业化和全球化立下了汗马功劳。然而，BGP协议的设计在安全方面留有巨大的缺陷，具体体现于BGP路由器默认接受并无条件信任邻居路由器通告的任何路由，这直接导致了BGP路由协议容易受到前缀地址劫持和路由篡改攻击，可能引起网络瘫痪，使得有网不能通，用户无法正常链接网络。

为弥补BGP路由协议与的固有缺陷，学术界与工业界提出过多个路由协议安全机制，包括美国学者提出的S-BGP，思科公司提出的soBGP，以及近年由美国国防部先进研究项目局提出的RPKI等机制。但是，这些机制分别遭遇了不同程度的部署难题。S-BGP的部署需要引入一套独立的用于证书发布和路由验证的公钥基础设施，需要各层级互联网注册机构以及路由器厂商的共同参与，其部署难度非常大。因此自2000年提出至今，S-BGP一直未能实现部署；soBGP针对部署难的问题，提出不依赖层次结构信任模型的简洁的安全机制。但是由于缺乏信任锚，soBGP的安全性相对S-BGP等其他机制显著降低；RPKI也依赖于独立的公钥基础设施，为了降低部署难度，该机制只针对前缀劫持攻击中篡改路由更新中源地址的问 题，使用路由源证明和实体证书，实现BGP的源路由认证。但是RPKI无法进行路由更新的路径认证，使得部署了RPKI的BGP路由机制依然存在前缀劫持的威胁。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种易于部署的域间路由安全机制，实现域间路由的源认证以及路径认证，解决传统域间路由机制无法避免的前缀劫持问题。

为解决上述技术问题，本发明提出的技术方案为一种基于标识即公钥的自表示安全路由授权方法，其步骤为：

S1.网络地址数字授权机构NANA部署根密钥管理机构root-PKG，发布信任体系的公共安全参数，完成地址即公钥信任体系的初始化，启动信任根，所述公共安全参数包括构建基于身份密码机制实例时使用的具体参数和基于身份密码机制使用的具体算法；