管理和查询映射信息的方法、设备及通信系统的制作方法

专利名称：管理和查询映射信息的方法、设备及通信系统的制作方法
技术领域：
本发明涉及通信网络数据传输技术，尤其涉及一种管理和查询映射信息的方法、设备及通信系统。
背景技术：
目前，随着多归属网络(multi-homing)和流量工程(traffic engineering)的广泛部署，Intemet路由数量增长迅速。 一方面由于需要更大容量的路由表存储芯片导致路由器设备成本上升，另 一方面导致路由收敛变的更加緩慢。
为了緩解上述路由数量激增导致路由表过大的问题，如图1所示，将因特网(Internet)分为两部分， 一部分为传输(transit)网络，处于网络的中心位置；另 一部分为边界(edge)网络，通过边界路由器(border router， BR)连接到transit网络。BR知道其所连接的edge网络和transit网络中的路由信息，但是不会相互渗透。
边界网络内部的路由前缀信息不扩散到传输网络，而是由edge网络的BR负责将edge网络中的前缀信息(prefix )注册到transit网络中的注册代理(registrationagent,以下简称为RA)上，所述prefix和注册该prefix的BR的映射关系信息称为映射信息，每个RA维护一个保存映射信息的数据库，称为映射信息数据库。Transit网络中的多个RA通过通信协议(比如BGP协议扩展)来同步各自映射信息数据库中的信息，使得各个数据库保持同步，维持一样的映射信息记录。同步完成之后，Transit网络中的任何一个RA都知道到达其中一个prefix需要通过哪个BR进行中转。例如在图l中，Edge网络A到达edge网络B的流量，将首先到达连接edge网络A的BR-A， BR-A然后到RA查询与目的IP地址最长匹配的prefix的映射信息，得到注册该映射信息的BR的信息，即BR-B，然后BR-A通过到达BR-B的隧道(如MPLS隧道，IP in IP,GRE等各种隧道均可)将数据包转发到BR-B。 BR-B知道它所连接的edge网络内部的路由信息，因此在Edge网络内部根据路由表进行转发，最终数据包到达目的地。这种转发方案称为转发和查找分离方案，即RA只完成映射信息查询的响应功能，edge之间的流量不需要经过RA中转，
发明人在实现本发明的过程中发现，在上述分离方案中存在一些潜在的安
全问题
映射信息注册安全攻击者可能会仿冒他人身份向RA注册错误的映射信息，比如注册不属于自己的prefix。
映射信息查询安全攻击者可能会假冒RA向查询者4是供错误的映射信息，RA也可能会出于某种目的篡改某些映射信息对中的信息，如前缀长度或入口地址，比如在图1示例的场景中，将Edge B网络的入口从BR-B改成BR-B，。
映射信息数据库同步安全在各个RA同步映射信息数据库时，某些RA可能会发布不真实的映射信息，比如修改已有映射信息记录的前缀长度然后再发布，
或者干脆伪造不存在的映射信息对。

发明内容
本发明实施例的目的在于提供一种管理网结^各由中映射信息的方法、 一种查询映射信息的方法、 一种边界网络设备、 一种注册代理设备以及一种通信系统，实现网络路由中映射信息的注册、查询及同步安全。
为此，本发明实施例提出了一种管理网络路由中映射信息的方法，包括
利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；
向传输网络中的注册代理提交所述签名映射对；
所述注册代理通过数据同步与其它注册代理共享所述签名映射对。
本发明实施例提出了一种查询映射信息的方法，包括
第一边界网络所有者根据第二边界网络所有者的前缀查询注册代理，并获取注册代理反馈的第二边界网络所有者的签名映射对；
第 一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名映射对是否有效；
当通过所述检查确定所述签名映射对有效后，第一边界网络所有者提取所述签名映射对中的映射信息。
相应地，本发明实施例提出了一种边界网络设备，包括签名映射对生成单元，用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；
提交单元，用于将所述签名映射对提交给传输网络中的注册代理。
本发明实施例提出了 一种注册代理设备，包括接收单元，用于接收边界网络所有者提交的签名映射对；签名映射对数据库单元，用于保存所述接收单元接收的签名映射对；同步单元，用于将所述签名映射对数据库单元保存的签名映射对同步到其它注册代理。
相应地，本发明实施例还提出了一种通信系统，包括
边界网络设备，用于根据映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对，并将该签名映射对-提交给注册代理设备；
所述注册代理设备，用于接收所述边界网络设备提交的签名映射对，通过数据同步与其它注册代理共享所述签名映射对。
通过实施本发明实施例提出的一种管理映射信息的方法、查询映射信息的方法、设备及通信系统，通过利用证书私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统的可靠性。


图l是现有的因特网架构示意图2是本发明实施例提供的一种管理映射信息的方法主流程图3是本发明实施例提供的前缀以及证书分配示意图4是本发明实施例提供的一种应用场景示意图5是本发明的一种管理映射信息的方法中实施例一；
图6是本发明的一种管理映射信息的方法实施例二；
图7是本发明的一种查询映射信息的方法的流程图8是本发明的一种管理映射信息的方法实施例三；
图9是本发明实施例中Organization A的证书的示意图IO是本发明实施例中传输网络所有者的证书的示意图11是本发明实施例提出的一种通信系统的结构框图12是本发明的一种边界网络设备的实施例一；
8图13是本发明的一种边界网络设备的实施例二；图14是本发明的一种边界网络设备的实施例三；图15是本发明的一种边界网络设备的实施例四；图16是本发明的一种注册代理设备的实施例一；图17是本发明的一种注册代理设备的实施例二；图18是本发明的一种注册代理设备的实施例三；图19是本发明的一种注册代理设备的实施例四。
具体实施例方式
为了清楚、完整地展现本发明实施例的技术方案，下面将结合附图详细阐述本发明实施例提出的一种管理网络路由中映射信息的方法、 一种查询映射信息的方法、 一种边界网络设备、 一种注册代理设备以及一种通信系统。
在对技术方案进行阐述之前，需要说明的是，在本发明实施例的描迷中，边界网络所有者(Organization)与边界网络"i殳备指同一对象；注册代理(RA)与注册代理设备指同 一对象；第 一边界网络所有者和Organization A指同 一对象，第二边界网络所有者和Organization B指同 一对象。
参考图2,图示了本发明实施例的一种管理网绍J各由中映射信息的方法的注流程图，所述方法包括
SlOl，利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；
其中，所述映射信息对至少包括以下信息前缀、传输网络的IP地址、映射控制信息。
所述签名映射对至少包括以下信息前缀、传输网络的IP地址、映射控制信息、签名控制信息、签名；所述签名控制信息包括用于签名的证书信息、本签名映射对撤回点、有效日期、签名算法信息。
5102, 向传输网络中的注册代理提交所述签名映射对；
5103, 所述注册代理通过数据同步与其它注册代理共享所述签名映射对，具体地，注册代理(RA)可以设置单独的签名映射对数据库来保存签名对。
各个RA以签名映射对为基本的记录单位来同步各自的签名映射对数据库，并响应查询对外提供签名映射对。每个签名映射对都内嵌了生命有效期信息，超出生命期的签名映射对应该被丢弃，RA不应该接受和分发超出生命期范围的签名映射对。当查询者接收到签名映射对后，根据其中的证书信息和签名算法信息对这个映射对进行签名检查，通过后才会进行后续的处理。需要说明的是，步骤S101 S102可以由下述方式实现
a、 利用所述前缀对应的证书的私钥对该前缀和传输网络的自治系统编号进行签名，生成第一签名映射对，并提交给所述传输网络所有者；
b、 所述传输网络所有者利用包含有所述自治系统编号的证书对所述第一签名映射对进行签名，生成第二签名映射对，并提交给网络中的注册代理。
以上从整体上对本发明实施例的 一种管理网络路由中映射信息的方法进行了阐述，本领域的技术人员应该理解，本发明实施例通过利用证书私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患。
下面以采用公钥基础设施(Public Key Infrastructure , PKI)证书为例，具体阐述本发明实施例的技术方案。如图3所示，国际上顶级前缀和AS管理机构是国际因特网地址分配委员会(Internet Assigned Numbers Authority, IANA )，下设五个 一 级地区代理，对应亚太地区的代理是亚太互联网信息中心
(Asia-Pacific Network Information Center, APNIC )。这样，亚太地区的运营商，如中国移动、中国电信、中国网通等，以及各个需要网络前缀和自治系统编号(AS # )的组织，如中国教育网，就可以向APNIC提出IP地址前缀和AS#申请。运营商也可以承担其网络所覆盖范围的代理功能，比如中国网通可以受理北京地区范围内的各个组织的前缀申请。图3以10.0.0.0/8网段为例，示范了从IANA到终端组织的前缀分配过程，以及相应的资源证书验证路径。
图3中担任认证中心(Certificate Authority , CA)的分别是IANA、 APNIC、中国网通和中国电信，获得资源证书的是中国教育网、第一边界网络所有者
(Organization A)和第二边界网络所有者(Organization B )。中国网通和中国电信因为有自己实际运行的transit网络，需要分配实际的IP前缀和AS # ，所以他们会根据需要给自身的transit网络也分配相应的资源证书。各个资源证书的前缀和AS并是互相排斥的，即如图3中，中国网通已经将前缀10.2.1.0/24分配给Organization A，那么就不能再分配给Organization B，也不能分配中国网通自己的transit网络。用户网络也可以直接从IANA申请运营商独立的IP地址段，当用户更换4妄入运营商，不需要对内部网络地址重新编址(renumbering)-
下面在图4所述的一种网络架构下，下面结合图5、图6、图7、图8所示 的方法步骤，具体详细阐述本发明实施例的技术方案。
在本例中假设采用PKI中的X.509 v3证书格式，如图9所示，Organization A按照图3所述证书分发方式获得的证书。假设Organization A和B按照图4的 方式分别连接到中国网通和中国电信的transit网络，那么Organization A和B的 前缀将不会分发到transit网络中，Organization A的前缀10.2.1.0/24将映射到 transit网络中的192.168.1.2地址，Organization B的前缀10.3.1.0/24将映射到 transit网络中的192.168.2.2地址。如图5所示，Organization A和Organization B 注册和同步映射信息的步骤包括
5200, 才艮据前缀以及前缀对应的出口 ID生成映射信息对。
其中，Organization A对应的映射信息对为{prefix =10.2.1.0/24， transit IP = 192.168.1.2,映射控制信息}; Organization B对应的映射信息对为{ prefix = 10.3.1.0/24， transit iP= 192.168.2.2，映射控制信息}
5201, OrganizationA用其资源证书对应的私钥为其映射信息对签名并生成 签名映射对{ prefix = 10.2.1.0/24， transit IP = 192.168.1.2,映射控制信息，签名 控制信息，SignatureA};
相应地，Organization B也用同样的方法生成签名映射对{ prefix = 10.3.1.0/24, transit IP = 192.168.2.2，映射控制信息，签名控制信息，SignatureB};
5202, 向传输网络中的注册代理提交所述签名映射对；
优选地，提交到就近的RA，如Organization A的签名映射对就近提交到 RA1 ， Organization B的签名映射对就近提交到RA2 。
S203 ，所述注册代理通过数据同步与其它注册代理共享所述签名映射对， 具体地，RAl和RA2进行数据库同步，最终RAl的签名映射数据库将拥有 Organization B的签名映射对，RA2的数据库也拥有Organization A的签名映射 对。
需要iJt明的是，在具体实施时，步骤S201 S203具体可以采用下述方式实 现，下面以Organization A为例，Organization B与此相同，如图6所示，包括
S301， Organization A利用映射信息对中的前缀(10.2.1.0/24 )对应证书的私 钥对(10.2丄0/24， 100},生成签名映射对l: { prefix-10.2.1.0/24, AS#=100，签名控制信息l， signaturel},提交给transit网络所有者(图4的中国网通传输网络)； S302，中国网通传输网络利用包含自己AS# (100 )的资源证书(证书格式 如图10所示)对Organization A提交的签名映射对1进行签名，生成签名映射 对2: {{prefix=10.2.1.0/24， AS#=100，签名控制信息l， signaturel}, transit IP =192.168.1.2,映射控制信息，签名控制信息2， signature2}，提交给RAl。 S303, RAl通过数据同步与其它注册代理(RA2)共享签名映射对2。 根据图6所述的技术方案，降低了管理的耦合性，提高了重分配边界路由 器在transit网络中可路由地址方面的灵活性Organizations只需要知道自己所授 权的transit网络的AS弁即可，这个AS弁一般不会频繁改变；而具体的边界路由 器的在transit network中可路由的地址完全由transit网络自己决定，而且可以多 次动态重分配，只要AStf不变，就不需要前缀拥有者重新签名。
相应地，本发明实施例提出了一种查询映射信息的方法，下面结合图7详 细阐述。
当Organization A要向Organization B网络发送数据时，首先检测边界路由 器A (BR-A)是否有Organization B的前缀所对应的映射信息，若有，则直接根 据所述映射信息向Organization B发送数据，否则，执行图7所述的步骤
5401, Organization A根据Organization B的前缀(10.3.1.0/24)查询RAl, 并获取RAl反馈的Organization B的签名映射对{ prefix = 10.3.1.0/24, transit IP =192.168.2.2,映射控制信息，签名控制信息，SignatureB};实际上，此处 Organization A冲艮据Organization B的前缀(10.3.1.0/24 )查询RAl或RA2均可 获取Organization B的签名映射对。
5402, Organization A根据所述签名映射对中的签名控制信息检查所述签名 映射对是否有效，具体地，包括
检查证书的格式是否合格；
检查该签名映射对的有效期是否过期；
检查Organization B的证书是否可信和是否过期；
利用Organization B的证书中的公钥验证该签名映射对的签名字段是否有
效；
只有上述都通过检查，BR-A才认为所述签名映射对有效。
5403, 当通过所述纟全查确定所述签名映射对有效后，Organization A 一艮据所述签名映射对中的映射信息向所述Organization B发送数据。
由上述可知，本发明实施例提出的一种查询映射信息的方法，通过利用 X.509v3证书的私钥对映射信息对进行签名，在查询映射信息时，通过对签名映 射对进行签名3"￡，只有通过验证的签名映射对才有效，避免攻击者假冒RA向 查询者提供错误信息，同时也解决了 RA篡改映射信息的问题，提高了映射信息 查询的可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统 的可靠性。
在本发明实施例提出的一种管理网络^"由的方法中，边界网络所有者可以 对其注册到RA上的签名映射对撤回处理，具体地，以Organization A为例，如 图8所示，包括
S501,边界网络所有者(Organization A)生成签名映射对撤回记录，基本 形式如下{{ prefix = 10.2.1.0/24, transit IP = 192.168.1.2，映射控制信息},撤回签 名控制信息,RevocationSignatureA};
S502， Organization A将生成的签名映射对撤回记录就近发送到RA1的签名 映射对撤回数据库；实际上，此处Organization A将生成的签名映射对撤回记录 发送到RA1或RA2的签名映射对撤回数据库均可。
S503， RA1将该签名映射对记录对应的签名映射对从签名映射对数据库中 删除，并将撤回记录同步到其它RA (如RA2)签名映射对撤回数据库，RA(如 RA2 )将记录对应的签名映射对从其签名映射对数据库中删除。
若Organization B要撤回自己的签名映射对，将执行与上述类似的步骤，这 里不再赘述。
通过实施本发明实施例提出的一种管理映射信息的方法，通过利用X,509v3 证书的私钥对映射信息对进行签名，保证了映射信息在注册、查询及同步中的 可靠性，消除了现有技术的安全隐患，相应地，提高了通信网络或系统的可靠 性。
基于上述实施例的一种管理和查询映射信息的方法，本发明实施例提出了 一种通信系统，如图11所示，包括
边界网络设备，用于根据映射信息对中的前缀对应的证书的私钥对所述映
13射信息对进行签名，生成签名映射对，并将该签名映射对^提交给注册代理设备； 所述注册代理设备，用于接收所述边界网络设备提交的签名映射对，通过
数据同步与其它注册代理共享所述签名映射对。
其中，如图12所示，图示了本发明的一种边界网络设备的实施例一，其包
括
签名映射对生成单元1100,用于根据映射信息对中的前缀对应的证书的私 钥对所述映射信息对进行签名，生成签名映射对；
提交单元1200,用于将所述签名映射对提交给传输网络中的注册代理。
在具体实施时，如图13所示，图示了本发明的一种边界网络设备的实施例 二，其除了具有签名映射对生成单元1100和提交单元1200外，还包括
查询单元1300,用于根据第二边界网络所有者的前缀信息查询注册代理， 并获取该注册代理反馈的第二边界网络所有者的签名映射对；
检查单元1400,与所述查询单元1300耦接，用于检查所述第二边界网络所 有者的签名映射对是否有效；
数据发送单元1500,用于当所述检查单元1400确定所述签名映射对有效后， 根据所述签名映射对中的映射信息向所述第二边界网络所有者发送数据。
在具体实施时，如图14所示，图示了本发明的一种边界网络设备的实施例
三。 在边界网络设备实施例三中，所述边界网络设备除了具有与边界网络设备 实施例二相同的结构外，还包括
撤回记录生成单元1600，用于生成签名映射对撤回记录； 撤回记录提交单元1700，用于将所述签名映射对撤回记录提交给注册代理 以撤回该签名映射对撤回记录对应的签名映射对。
在具体实施时，如图15所示，图示了本发明的一种边界网络设备的实施例
四。 在边界网络设备实施例四中，所述边界网络设备除了具有与边界网络设备 实施一相同的结构外，还可以包括撤回记录生成单元1600和撤回记录提交单元 1700。
其中，如图16所示，图示了本发明的一种注册代理设备的实施例一，所述 注册代理设备包括
接收单元2100,用于接收边界网络所有者提交的签名映射对；
签名映射对数据库单元2200,用于保存所述接收单元2100接收的签名映射对；
同步单元2300，用于将所述签名映射对数据库单元2200保存的签名映射对 同步到其它注册^^理。
在具体实施时，如图n所示，图示了本发明的一种注册代理设备的实施例
二，除了包括接收单元2100、签名映射对数据库单元2200和同步单元2300外， 还包括
查询响应单元2400,用于根据边界网络所有者提供的前缀查询与所述前缀 信息相对应的签名映射对，并反馈给所述边界网络所有者。
在具体实施时，如图18所示，图示了本发明的一种注册代理i殳备的实施例 三，在注册代理设备实施例三中，所述注册代理设备除了与注册代理设备实施 例二具有相同结构外，还包括
撤回响应单元2500,用于根据边界网络所有者提供的签名映射对撤回记录 从所述签名映射对数据库单元中删除所述签名映射对撤回记录对应的签名映射 对，并将所述签名映射对撤回记录同步到其它注册代理；
撤回记录数据库单元2600，用于保存被撤回响应单元2500删除的签名映射对。
如图19所示，图示了本发明的一种注册代理"i殳备的实施例四，在实施例四 中，所述注册代理设备除了与注册代理设备实施例一具有相同结构外，还包括 撤回响应单元2500和撤回记录数据库单元2600。
综上所述，本发明实施例提出的一种管理映射信息的方法、查询映射信息 的方法、设备及通信系统，通过利用证书私钥对映射信息对进行签名，保证了 映射信息在注册、查询及同步中的可靠性，消除了现有技术的安全隐患，相应 地，提高了通信网络或系统的可靠性。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明 可借助软件加必需的^/f牛平台的方式来实现，当然也可以全部通过硬件来实施。 基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以 以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如 ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个 人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某 些部分所述的方法。以上所揭露的仅为本发明 一种较佳实施例而已，当然不能以此来限定本发 明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的 范围。
权利要求
1、一种管理网络路由中映射信息的方法，其特征在于，包括利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；向传输网络中的注册代理提交所述签名映射对；所述注册代理通过数据同步与其它注册代理共享所述签名映射对。
2、 如权利要求l所述的方法，其特征在于，所述映射信息对至少包括以下 信息前缀、传输网络的IP地址、映射控制信息。
3、 如权利要求l所述的方法，其特征在于，所述签名映射对至少包括以下 信息前缀、传输网络的IP地址、映射控制信息、签名控制信息、签名。
4、 如权利要求3所述的方法，其特征在于，所述签名控制信息包括用于 签名的证书信息、所述签名映射对撤回点、有效日期、签名算法信息。
5、 如权利要求l所述的方法，其特征在于，所述利用映射信息对中的前缀 对应的证书的私钥对所述映射信息对进行签名，生成签名映射对，具体包括利用所述前缀对应的证书的私钥对该前缀和传输网络的自治系统编号进行 签名，生成第一签名映射对，并提交给传输网络所有者；所述传输网络所有者利用包含有所述自治系统编号的证书对所述第一签名 映射对和所述传输网络的IP地址进行签名，生成第二签名映射对，后转到向所 述传输网络中的注册代理提交所述签名映射对的步骤。
6、 如权利要求5所述的方法，其特征在于，所述第一签名映射对至少包括 以下信息前缀、自治系统编号、第一签名控制信息、第一签名。
7、 如权利要求6所述的方法，其特征在于，第一签名控制信息包括所述 边界网络所有者的证书信息、第一签名映射对撤回点、有效日期、签名算法信息。
8、 如权利要求5所述的方法，其特征在于，所述第二签名映射对至少包括以下信息第一签名映射对、所述传输网络的IP地址、映射控制信息、第二签 名控制信息、第二签名。
9、 如权利要求8所述的方法，其特征在于，所述第二签名控制信息包括 所述传输网络所有者的证书信息、所述第二签名映射对的撤回点、有效日期、 签名算法信息。
10、 如权利要求1或5所述的方法，其特征在于，进一步包括 边界网络所有者生成签名映射对撤回记录；将生成的所述签名映射对招t回记录提交给传输网S备中的注册代理； 所述注册代理将所述签名映射对撤回记录对应的签名映射对删除，并将所 述签名映射对撤回记录同步到其它注册代理。
11、 如权利要求IO所述的方法，其特征在于，所述签名映射对撤回记录包 括前缀、可用的传输网络IP地址、映射控制信息、撤回签名控制信息、撤回 签名。
12、 一种查询映射信息的方法，其特征在于，包括第一边界网络所有者根据第二边界网络所有者的前缀查询注册代理，并获 取注册代理反馈的第二边界网络所有者的签名映射对；第一边界网络所有者根据所述签名映射对中的签名控制信息检查所述签名 映射对是否有效；当通过所述检查确定所述签名映射对有效后，第一边界网络所有者提取所 述签名映射对中的映射信息。
13、 如权利要求12所述的方法，其特征在于，所述第一边界网络所有者根 据所述签名映射对中的签名控制信息;险查所述签名映射对的有效性包括检查证书的格式是否合格； 检查该签名映射对的有效期是否过期； 检查第二边界网络所有者的证书是否可信和是否过期； 利用第二边界网络所有者的证书中的公钥验证该签名映射对的签名字段是 否有效。
14、 一种边界网络设备，其特征在于，包括签名映射对生成单元，用于根据映射信息对中的前缀对应的证书的私钥对 所述映射信息对进行签名，生成签名映射对；提交单元，用于将所述签名映射对提交给传输网络中的注册代理。
15、 如权利要求14所述的边界网络设备，其特征在于，还包括 查询单元，用于根据第二边界网络所有者的前缀信息查询注册代理，并获取该注册代理反馈的第二边界网络所有者的签名映射对；检查单元，与所述查询单元耦接，用于检查所述第二边界网络所有者的签 名映射对是否有效；数据发送单元，用于当所述检查单元确定所述签名映射对有效后，根据所 述签名映射对中的映射信息向所述第二边界网络所有者发送数据。
16、 如权利要求14或15所述的边界网络设备，其特征在于，还包括 ^t回记录生成单元，用于生成签名映射对^:回记录；撤回记录提交单元，用于将所述签名映射对撤回记录提交给注册代理以撤 回该签名映射对撤回记录对应的签名映射对。
17、 一种注册代理设备，其特征在于，包括 接收单元，用于接收边界网络所有者提交的签名映射对；签名映射对数据库单元，用于保存所述接收单元接收的签名映射对； 同步单元，用于将所述签名映射对数据库单元保存的签名映射对同步到其 它注册代理。
18、 如权利要求17所述的注册代理设备，其特征在于，还包括 查询响应单元，用于根据边界网络所有者提供的前缀查询与所述前缀信息相对应的签名映射对，并反馈给所述边界网络所有者。
19、 如权利要求17或18所述的注册代理设备，其特征在于，还包括 撤回响应单元，用于根据边界网络所有者提供的签名映射对撤回记录从所述签名映射对数据库单元中删除所述签名映射对撤回记录对应的签名映射对， 并将所述签名映射对撤回记录同步到其它注册代理；撤回记录数据库单元，用于保存被撤回响应单元删除的签名映射对。
20、 一种通信系统，其特征在于，包括边界网络设备，用于根据映射信息对中的前缀对应的证书的私钥对所述映 射信息对进行签名，生成签名映射对，并将该签名映射对^提交给注册代理设备；所述注册代理设备，用于接收所述边界网络设备提交的签名映射对，通过 数据同步与其它注册代理共享所述签名映射对。
21、 如权利要求20所述的通信系统，其特征在于，所述边界网络设备包括 签名映射对生成单元，用于映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；提交单元，用于将所述签名映射对提交给所述注册代理设备。
22、 如权利要求20所述的通信系统，其特征在于，所述注册代理设备包括 接收单元，用于接收边界网络所有者提交的签名映射对；签名映射对数据库单元，用于保存所述接收单元接收的签名映射对； 同步单元，用于将所述签名映射对同步到其它注册代理。
全文摘要
本发明公开了一种管理和查询映射信息的方法、设备及通信系统，其中，所述管理映射信息的方法包括利用映射信息对中的前缀对应的证书的私钥对所述映射信息对进行签名，生成签名映射对；向传输网络中的注册代理提交所述签名映射对；所述注册代理通过数据同步与其它注册代理共享所述签名映射对。通过实施本发明的一种管理映射信息的方法、数据发送方法、设备及通信系统，实现了网络路由中映射信息的注册、查询及同步安全。
文档编号H04L29/06GK101594339SQ20081002853
公开日2009年12月2日 申请日期2008年5月29日 优先权日2008年5月29日
发明者亚 刘, 徐小虎 申请人:华为技术有限公司