[发明专利]一种基于SDN的可信路由源管理方法

说明书

本发明提供一种基于SDN的可信路由源管理方法，该将RPKI资源库存放在SDN系统，RPKI资源库可以发布一种称为ROA的签名对象，将源IP地址前缀授权给特定的AS进行路由通告。使得源IP地址的合法持有者可验证的授权某个AS作为该地址的路由源。由SDN系统来完成RPKI资料库的管理。SDN总控负责将RPKI资料对ASR进行广播，使得所有的ASR能获取到正确的RPKI资源库信息，最大限度的保障路由的来源可靠性。本发明支持以命令行形式维护RPKI资料库，操作简单高效。

技术邻域

本发明涉及网络技术领域，尤其涉及一种基于SDN的可信路由源管理方法。

背景技术

作为支撑互联互通的互联网基础设施，域间路由系统对互联网的安全有着至关重要的影响。作为互联网自治域之间路由信息交换的载体，BGP(Border Gateway Protocol，边界网关协议)协议缺乏对路由通告内容真实性的验证，这在域间路由系统埋下了安全隐患。

黑客的蓄意攻击以及错误的网络参数配置都可能导致路由劫持现象的发生。为了增强互联网基础设施的安全和可信，互联网社区计划部署RPKI(Resource Public KeyInfrastructure，基础资源公钥证书体系)，预期构建一个支撑域间路由安全的互联网基础资源管理系统。

RPKI(Resource Public Key Infrastructure，基础资源公钥证书体系)的构建旨在借助一个面向互联网基础资源的公钥证书体系，来完成IP地址所有权(分配关系)和使用权(路由起源通告)的认证。

为验证路由通告签名者所持有的公钥，该签名者的IP地址分配上游为其签发证书：一方面验证其公钥；另一方面验证该实体对某个IP地址前缀的所有权。基于IP地址资源分配关系而形成的公钥证书体系，RPKI的基本框架就此形成。

RPKI体系由三大部分组成：资源公钥基础设施(RPKI)、数字签名对象和储存PKI对象和签名路由对象的分布式数据仓库(RFC 6480)。这三大模块确保一个实体能够验证谁是某个IP地址或者AS号码的合法持有者。作为最初的应用模式，RPKI可以使IP地址的合法持有者可验证的授权某个AS作为该地址的路由源。这种可验证的授权用以构建更加安全的路由表过滤项。

ROA(Route Origin Attestation)是IP地址所有者授权AS(Autonomous System，自治系统)为其进行路由通告的认证信息，包含一个AS号码以及一个或多个IP地址前缀之间的“绑定关系”。ROA可以被RP用来验证为某一特定地址前缀发起路由的AS是否被地址所有者所授权。例如，一个ISP可以使用经过验证的ROA中的信息作为其BGP路由过滤项的输入。发布ROA的首选方法是通过RPKI的资料库系统。

自RPKI概念问世以来，其部署工作已紧锣密鼓地在全球五大RIR中开展，网络设备制造商和运营商也积极参与其中的技术标准研制。2012年2月，IETF的SIDR工作组发布了14个与RPKI相关的RFC文档(RFC6480～RFC6493)，涵盖RPKI体系结构、操作模型、密钥算法、证书策略、运行管理等支撑RPKI运行的各关键环节，标志着RPKI在技术层面已基本成熟。在支撑RPKI运行的技术体系中，有关路由器获取IP地址授权信息的RTR协议和RPKI本地信任锚点管理机制的标准化工作尚在IETF中进行，如图1给出了运行机制的一个示例。

作为最初的应用，RPKI可以使IP地址的合法持有者授权某个AS作为该地址的路由起源，用以辅助BGP边界路由器构建更加安全的路由表条目。