[发明专利]基于区块链系统的IP地址前缀认证方法和设备

说明书

本申请涉及通信领域，公开了一种基于区块链系统的IP地址前缀认证方法和设备。本申请的认证方法可以包括对IP地址前缀的预认证和认证，对IP地址前缀的预认证可以向区块链系统中的各客户节点通知将有认证请求者对某一IP地址前缀的所有权进行认证。对IP地址前缀的认证则可以用于认证认证请求者拥有IP地址前缀的所有权，或者在该认证请求者欲对IP地址前缀所有权进行劫持时，由IP地址前缀的合法所有者通过路由系统拦截该认证请求者对IP地址前缀的所有权的认证。

技术领域

本申请涉及通信领域，特别涉及一种基于区块链系统的IP地址前缀认证方法和设备。

背景技术

边界网关协议(Border Gateway Protocol，BGP)是一种自治路由系统的路由协议，用于处理不相关路由域间的多路连接。BGP自身没有提供任何安全机制保障互联网域间自治路由系统的安全，因此，使用BGP的路由系统中的路由设备(即使这些路由设备属于不同的网络运营商)相信系统中传递的网络层可达消息。从协议安全的角度来看，BGP基于一个隐含的假设：BGP系统中的所有路由设备都是可信任的，以至于可进一步推断，互联网中的所有网络运营商都是可信任的。

由于使用BGP的路由系统中的路由设备不能对接收的路由通告中的IP地址前缀源信息进行验证，攻击者可利用BGP的这个安全缺陷实施前缀劫持攻击，例如，在使用BGP的路由系统中，若自治路由系统A中的某个BGP路由设备通过路由通告向外宣告了自治路由系统B合法拥有的网络前缀p且该路由通告在互联网上传播，则表示自治路由系统A对自治路由系统B的网络前缀p发动了前缀劫持攻击，或者说自治路由系统B的网络前缀p被自治路由系统A劫持。

发明内容

本申请实施例提供了一种基于区块链系统的IP地址前缀认证方法和设备，可为区块链系统中的认证请求者提供对IP地址前缀的所有权进行认证的功能，并在认证请求者的认证属于非法认证时，为IP地址前缀的合法拥有者提供拦截认证的功能。

第一方面，本申请实施例提供了一种基于区块链系统的IP地址前缀认证方法，该方法包括：生成认证请求消息，其中，认证请求消息包括IP地址前缀和认证请求者的公钥信息，所述认证请求消息用于请求认证认证请求者对IP地址前缀拥有所有权和请求将表示认证请求通过的认证结果写入区块链系统的区块中；向区块链系统中的认证节点发送认证请求消息。认证请求者通过向区块链系统中的认证节点发送认证请求消息，来请求认证认证请求者对IP地址前缀拥有所有权。可以理解，客户节点主要用于发送认证请求消息或者接收认证响应，而客户节点可以是认证请求者，也可以不是认证请求者，在此不做限制。

在上述第一方面的一种可能的实现中，上述方法还包括：向路由设备发送路由通告，其中路由通告包括IP地址前缀和认证请求者的私钥信息对IP地址前缀进行签名后的签名信息。在对IP地址前缀的所有权进行认证时，认证节点需要将客户节点直接或者间接发送给路由设备的路由通告中的IP地址前缀，与认证请求中的IP地址前缀进行比较，如果在一预定时间段内收到的路由通告中的IP地址前缀均与认证请求中的IP地址前缀相同，则表明客户节点向路由设备直接或者间接传送的路由通告是被路由设备持续传送的，并未出现其他人对认证请求者的认证请求进行拦截，此时，可确定认证请求者具有IP地址前缀的所有权，否则，表明有人对认证请求者请求的认证通过路由系统进行了拦截，使得路由设备并未将客户节点直接或者间接发送的路由通告全部传送出去，此时，便可以确定认证请求者对IP地址前缀所有权的认证可能是非法的，可认为该认证请求者不拥有该IP地址前缀的所有权。

在上述第一方面的一种可能的实现中，上述方法还包括：从认证节点接收认证响应，其中，认证响应包括表示认证请求通过的认证结果。可以理解，认证节点可以是仅在认证请求通过后向客户节点发送认证响应，也可以是无论认证请求是否通过，认证节点都向客户节点发送一个认证响应，即认证请求通过时，向客户节点发送包括表示认证请求通过的认证结果的认证响应，而认证请求不通过时，向客户节点发送包括表示认证请求未通过的认证结果的认证响应。