[发明专利]一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法

摘要

本发明涉及一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法。该方法将当前路由器定期同步RP数据库中的ROA信息机制改为将ROA证书置于update报文中的传递机制，接收端路由器从RP申请证书公钥，验证ROA证书身份合法性并对AS是否有权宣告此IP前缀的合法性进行验证；同时将改进的RPKI与soBGP相结合，利用其网状信任模型和ASPolicyCert证书拓扑验证机制，实现路由源验证和路径验证功能；并且对ASPolicyCert证书格式进行扩展，便于路由器对当前路由是否存在路由泄露进行验证。本发明有效解决了RPKI数据同步存在的问题，而且弥补了BGPSEC存在的问题。

主权项

1.一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法，其特征在于，包括以下步骤，其中AS表示自治系统，RP表示依赖方：1)AS1从RP申请ROA证书，ROA证书由AS1自己签署并放到RPKI体系中的资料库中，供RP下载，ROA证书的公钥由RP进行验证以证明其正确性，ROA证书表明当前AS具有通告某IP地址的权利；同时AS1自签署ASPolicyCert证书，表明与当前AS相连的所有AS号码及相应的商业关系和传递策略；然后AS1将ROA证书与ASPolicyCert证书附加到update报文中传递到下一跳；2)AS2接收到update报文后，首先从RP获取ROA证书和ASPolicyCert证书公钥，并使用公钥对ROA证书和ASPolicyCert证书进行解密，对当前的路由信息进行路由源认证，同时对AS1是否说明与自己相连，以及AS1是否授权自己继续下一跳及相应的传递策略，进行确认；如果验证成功，AS2继续用自己的私钥签署ASPolicyCert证书，并通过update报文将ROA证书、AS1的ASPolicyCert证书，AS2的ASPolicyCert证书发送到下一跳；否则，丢弃报文；3)AS3接收到update报文后，获知当前路由的AS_PAHT信息为2,1，并获取AS1和AS2的公钥，对传递过来的ASPolicyCert证书进行解密；然后验证AS1的ASPolicyCert证书，检验AS1是否与AS2相连，并且获知AS1与AS2的商业关系及AS1对AS2的路由限制策略，判断是否存在路由泄露的可能；同时验证AS2的ASPolicyCert证书，检验AS2是否与AS1相连；如果验证成功，则继续将ROA证书、AS1的ASPolicyCert证书、AS2的ASPolicyCert证书和AS3的ASPolicyCert证书发送到下一跳；否则，丢弃报文；4)ASi即其余AS依照步骤(3)的验证过程进行路径验证。