本發明公開了一種標識即公鑰的自表示安全路由授權方法，包括如下步驟：S1.公布公共安全參數，啟動信任根；S2.構建自信任的地址體系；S3.構建自信任的路由標識體系；S4.地址擁有者向NASA簽發地址授權書，NASA指派其部署的路由宣告者宣告該地址可達信息；S5.路由宣告者簽發路徑認證書，向對等路由器宣告攜帶路徑認證書以及地址授權書的路由更新；S6.對等路由宣告者接收路由更新，驗證地址授權書及路由路徑上各宣告者簽發的路徑認證書，確認路由更新的合法性。本發明原理簡單，易于部署，能夠實現域間路由的源認證及路徑認證，可有效解決傳統域間路由機制無法避免的前綴劫持問題。

技術領域

本發明涉及可信安全網絡基礎設施領域，特指一種使用地址即公鑰的自信任網絡地址和標識即公鑰的自信任路由資源標識構建的自表示安全路由機制，在保持現有域間路由機制情況下構建安全的路由策略，解決域間路由的源認證以及路徑認證問題。

背景技術

隨著信息技術的深入發展與廣泛應用，互聯網(Internet)已經滲入到人們生活中的各個角落。根據中國互聯網信息中心截至2014年6月30日的統計，目前我國網民的數量已經達到6.32億，可訪問網站達到273萬，國際出口帶寬將近四百萬兆比特每秒。信息化辦公，商務交易，在線購物，網絡社交，可以說，互聯網已經成為整個社會生產和生活不可或缺的一部分。

互聯網的互聯互通依賴于底層的域間路由協議。產生于20世紀80年代的邊界網關路由協議(Border Gateway Protocol，BGP)，其版本BGPv4是目前互聯網中實際運行的域間路由協議。隨著技術發展，互聯網從其前身阿帕網進入發展時期，為解決因網絡規模急劇擴大而導致的路由可擴展性問題，美國的BBN公司提出一種解決方案，將阿帕網從一個單一協同管理的網絡轉化成由多個自治系統(Autonomous System，AS)分散互聯的網絡。自治系統又稱為自治域，由獨立實體管理。根據CIDR Report 2015年1月26日的報告，全球一共有49442個AS參與整個互聯網的運作。BGPv4協議是將這些分散的自治域聯通，構建互聯網的事實協議。歷史上，BGP對于互聯網的商業化和全球化立下了汗馬功勞。然而，BGP協議的設計在安全方面留有巨大的缺陷，具體體現于BGP路由器默認接受并無條件信任鄰居路由器通告的任何路由，這直接導致了BGP路由協議容易受到前綴地址劫持和路由篡改攻擊，可能引起網絡癱瘓，使得有網不能通，用戶無法正常鏈接網絡。

為彌補BGP路由協議與的固有缺陷，學術界與工業界提出過多個路由協議安全機制，包括美國學者提出的S-BGP，思科公司提出的soBGP，以及近年由美國國防部先進研究項目局提出的RPKI等機制。但是，這些機制分別遭遇了不同程度的部署難題。S-BGP的部署需要引入一套獨立的用于證書發布和路由驗證的公鑰基礎設施，需要各層級互聯網注冊機構以及路由器廠商的共同參與，其部署難度非常大。因此自2000年提出至今，S-BGP一直未能實現部署；soBGP針對部署難的問題，提出不依賴層次結構信任模型的簡潔的安全機制。但是由于缺乏信任錨，soBGP的安全性相對S-BGP等其他機制顯著降低；RPKI也依賴于獨立的公鑰基礎設施，為了降低部署難度，該機制只針對前綴劫持攻擊中篡改路由更新中源地址的問 題，使用路由源證明和實體證書，實現BGP的源路由認證。但是RPKI無法進行路由更新的路徑認證，使得部署了RPKI的BGP路由機制依然存在前綴劫持的威脅。

發明內容

本發明要解決的技術問題就在于：針對現有技術存在的技術問題，本發明提供一種易于部署的域間路由安全機制，實現域間路由的源認證以及路徑認證，解決傳統域間路由機制無法避免的前綴劫持問題。

為解決上述技術問題，本發明提出的技術方案為一種基于標識即公鑰的自表示安全路由授權方法，其步驟為：

S1.網絡地址數字授權機構NANA部署根密鑰管理機構root-PKG，發布信任體系的公共安全參數，完成地址即公鑰信任體系的初始化，啟動信任根，所述公共安全參數包括構建基于身份密碼機制實例時使用的具體參數和基于身份密碼機制使用的具體算法；