[发明专利]一种基于区块链的可验证域间路由验证方法

说明书

本发明公开了一种基于区块链的可验证域间路由验证方法。技术方案是构建由可验证域间路由、路由行为验证子系统组成的基于区块链的可验证域间路由系统；路由行为验证子系统由路由行为验证终端和路由验证区块链系统组成。发送方路由器R1、R1所属自治域的路由行为验证终端、路由验证区块链系统构造路由证据、路由证据验证提案，对提案进行验证、背书、判断是否满足背书策略、生成路由证据交易、对交易进行共识排序、更新路由验证区块链；接收方路由器T、T所属自治域的路由行为验证终端、路由验证区块链系统构造验证路由请求报文、检索是否存在路由请求对应的路由证据。本发明能验证路由单点攻击和路由多点合谋攻击引起的违反路由策略的问题。

技术领域

本发明涉及网络安全技术，尤其涉及用于发现和解决现有域间路由协议BGP存在的由路由单点攻击或路由多点合谋攻击引起的违反路由策略的问题的方法。

背景技术

互联网域间路由的安全问题已经研究了很多年。大多数与安全相关的工作都集中在路由伪造上，如S-BGP(Secure BGP，安全域间路由协议)、SoBGP(Secure Origin BGP，安全源域间路由协议)、IRV(Inter-domain Routing Validation，域间路由验证)等。S-BGP通过基于PKI(Public Key Infrastructure，公钥基础设施)中的证书验证路由路径属性，来确保信息的安全性。SoBGP只能提供起源身份验证，不能提供路径身份验证。IRV是一种集中式解决方案，其操作与路由协议无关。它要求每个AS向IRV服务器报告，它与其他AS的连接关系。相关研究将安全多方计算技术引到域间路由中，将私有信息分离到不同的计算实体(指计算机这类能进行运算的机器)中，并且结果由多个计算实体计算。还有相关研究在不揭示拓扑结构的情况下改变路由通告的原理，并且可以通过回溯的方式来计算最短路径。

路由单点攻击可通过多节点协同路由验证的手段检查出来，即路由节点通过与其他路由节点进行协同合作，共同验证路由策略是否被违反。但这种方法有个前提条件是路由系统中只有一个恶意节点，通过多个诚实节点协同检查路由是否违反路由策略，从而发现违反路由策略的问题。如果有多个恶意节点，则无法通过多个节点系统检查路由是否违反路由策略，因为一个路由节点不清楚它收到来自其他路由节点的路由协同验证信息是否是真实的。路由多点合谋攻击引起的违反路由策略问题即是指有多个恶意路由节点参与路由过程时，造成路由策略被违反的问题，并且这种攻击无法被检查出来，目前还没有公开技术文献涉及抵御该类攻击的方法。

发明内容

本发明要解决的技术问题是：针对现有域间路由协议BGP存在由路由单点攻击或路由多点合谋攻击引起的违反路由策略的问题，提供一种基于区块链的可验证域间路由验证方法，实现对发布的路由信息进行验证，验证该路由信息是否符合路由策略，本发明既能验证路由单点攻击引起的违反路由策略的问题，又能验证路由多点合谋攻击引起的违反路由策略的问题。

本发明所采用的技术方案是：

第一步，构建基于区块链的可验证域间路由系统，基于区块链的可验证域间路由系统由可验证域间路由子系统和路由行为验证子系统组成，它们之间通过网络相连。