知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-09
(45)【発行日】2024-02-20
(54)【発明の名称】ルート処理方法およびネットワークデバイス
(51)【国際特許分類】
H04L 45/021 20220101AFI20240213BHJP
【FI】
H04L45/021
【請求項の数】
27
【外国語出願】
(21)【出願番号】P 2022190316
(22)【出願日】2022-11-29
(62)【分割の表示】P 2021523608の分割
【原出願日】2019-11-02
(65)【公開番号】P2023024483
(43)【公開日】2023-02-16
【審査請求日】2022-12-22
(31)【優先権主張番号】201811302078.3
(32)【優先日】2018-11-02
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】503433420
【氏名又は名称】華為技術有限公司
【氏名又は名称原語表記】HUAWEI TECHNOLOGIES CO.,LTD.
【住所又は居所原語表記】Huawei Administration Building, Bantian, Longgang District, Shenzhen, Guangdong 518129, P.R. China
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133569
【弁理士】
【氏名又は名称】野村 進
(72)【発明者】
【氏名】王 ▲海▼波
(72)【発明者】
【氏名】庄 ▲順▼万
【審査官】和平 悠希
(56)【参考文献】
【文献】特開2011-087302(JP,A)
【文献】特開2007-053430(JP,A)
【文献】特開2000-209264(JP,A)
【文献】特開2009-164917(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
H04L 41/00-101/695
(57)【特許請求の範囲】
【請求項1】
ネットワークデバイスに適用される、ルート処理方法であって、ルートプレフィックスと、検証されるべき自律システム情報とを取得するステップであって、前記検証されるべき自律システム情報は、前記ネットワークデバイスにおいて構成されたアウトバウンドルートポリシーの実行後に取得される、ステップと、
前記ルートプレフィックスと、前記検証されるべき自律システム情報とに従って、ルート起点を検証するステップと、
検証結果に基づいて、前記ルートプレフィックスを搬送するルートを処理するステップと
を含む方法。
【請求項2】
前記検証されるべき自律システム情報は、ソース自律システム情報であり、または前記検証されるべき自律システム情報は、自律システムパス情報である、請求項1に記載の方法。
【請求項3】
前記ネットワークデバイスにおける前記ルート起点の情報ベースは、リソース公開鍵インフラストラクチャサーバから取得される、請求項1に記載の方法。
【請求項4】
前記ルート起点の情報ベース内のルート起点検証データは、ルート起点許可データまたは自律システム経路許可データを含む、請求項3に記載の方法。
【請求項5】
前記自律システム情報は、前記ネットワークデバイスにおいて構成されたアウトバウンドルートポリシーに従う修正後の自律システム情報である、請求項1に記載の方法。
【請求項6】
ルートプレフィックスを取得することは、第2の自律システムから前記ルートプレフィックスを受信することを含み、
前記ネットワークデバイスは、第1の自律システムにおける境界ノードである、請求項1に記載の方法。
【請求項7】
ルートプレフィックスを取得することは、前記ネットワークデバイスが位置する自律システム内の別のネットワークデバイスによって生成された前記ルートプレフィックスを受信することを含む、請求項1に記載の方法。
【請求項8】
ルートプレフィックスを取得することは、前記ルートプレフィックスを生成することを含む、請求項1に記載の方法。
【請求項9】
検証結果に基づいて、前記ルートプレフィックスを搬送するルートを処理する前記ステップは、前記ルート起点の情報ベース内に前記ルートプレフィックスと一致する第1のルートプレフィックスがあり、かつ前記ルート起点の情報ベース内の前記第1のルートプレフィックスに対応する第1の自律システム情報が前記検証されるべき自律システム情報と異なるとき、前記ルートプレフィックスを搬送する前記ルートを送信しないステップを含む、請求項1に記載の方法。
【請求項10】
前記方法は、アラーム情報を出力するステップをさらに含む、請求項9に記載の方法。
【請求項11】
検証結果に基づいて、前記ルートプレフィックスを搬送するルートを処理する前記ステップは、前記ルート起点の情報ベース内に前記ルートプレフィックスと一致する第1のルートプレフィックスがあり、かつ前記ルート起点の情報ベース内の前記第1のルートプレフィックスに対応する第1の自律システム情報が前記検証されるべき自律システム情報と同じであるとき、前記ルートプレフィックスを搬送する前記ルートを送信するステップを含む、請求項1に記載の方法。
【請求項12】
検証結果に基づいて、前記ルートプレフィックスを搬送するルートを処理する前記ステップは、前記ルート起点の情報ベース内に前記ルートプレフィックスと一致する第1のルートプレフィックスがないとき、あらかじめ構成されたポリシーに従って、前記ルートプレフィックスを搬送する前記ルートを送信するかどうかを決定するステップを含む、請求項1に記載の方法。
【請求項13】
ネットワークデバイスであって、取得モジュールであって、前記取得モジュールは、ルートプレフィックス取得サブモジュールおよび自律システム情報取得サブモジュールを含み、前記ルートプレフィックス取得サブモジュールは、ルートプレフィックスを取得するように構成され、前記自律システム情報取得サブモジュールは、検証されるべき自律システム情報を取得するように構成され、前記検証されるべき自律システム情報は、前記ネットワークデバイスにおいて構成されたアウトバウンドルートポリシーの実行後に取得される、取得モジュールと、
前記ルートプレフィックスと、前記検証されるべき自律システム情報とに従って、ルート起点を検証するように構成された検証モジュールと、
検証結果に基づいて、前記ルートプレフィックスを搬送するルートを処理するように構成された処理モジュールと
を含むネットワークデバイス。
【請求項14】
前記検証されるべき自律システム情報は、ソース自律システム情報であり、または前記検証されるべき自律システム情報は、自律システムパス情報である、請求項13に記載のネットワークデバイス。
【請求項15】
リソース公開鍵インフラストラクチャサーバから前記ネットワークデバイスにおける前記ルート起点の情報ベースを取得するように構成されたルート起点情報ベース取得モジュールをさらに含む、請求項13に記載のネットワークデバイス。
【請求項16】
前記ルート起点の情報ベース内のルート起点検証データは、ルート起点許可データまたは自律システム経路許可データを含む、請求項15に記載のネットワークデバイス。
【請求項17】
前記自律システム情報取得サブモジュールによって取得された前記自律システム情報は、前記ネットワークデバイスにおいて構成されたアウトバウンドルートポリシーに従う修正後の自律システム情報である、請求項13に記載のネットワークデバイス。
【請求項18】
前記ルートプレフィックス取得サブモジュールは、第2の自律システムから前記ルートプレフィックスを受信するように構成され、前記ネットワークデバイスは、第1の自律システム内の境界ノードである、請求項13に記載のネットワークデバイス。
【請求項19】
前記ルートプレフィックス取得サブモジュールは、前記ネットワークデバイスが位置する自律システム内の別のネットワークデバイスによって生成された前記ルートプレフィックスを受信するように構成される、請求項13に記載のネットワークデバイス。
【請求項20】
前記ルートプレフィックス取得サブモジュールは、前記ルートプレフィックスを生成するように構成される、請求項13に記載のネットワークデバイス。
【請求項21】
前記処理モジュールは、前記ルート起点の情報ベース内に前記ルートプレフィックスと一致する第1のルートプレフィックスがあり、かつ前記ルート起点の情報ベース内の前記第1のルートプレフィックスに対応する第1の自律システム情報が前記検証されるべき自律システム情報と異なるとき、前記ルートプレフィックスを搬送する前記ルートを送信しないように構成される、請求項13に記載のネットワークデバイス。
【請求項22】
アラーム情報を出力するように構成されたアラームモジュールをさらに含む、請求項21に記載のネットワークデバイス。
【請求項23】
前記ネットワークデバイスは、送信モジュールをさらに含み、前記送信モジュールは、前記ルート起点の情報ベース内に前記ルートプレフィックスと一致する第1のルートプレフィックスがあり、かつ前記ルート起点の情報ベース内の前記第1のルートプレフィックスに対応する第1の自律システム情報が前記検証されるべき自律システム情報と同じであるとき、前記ルートプレフィックスを搬送する前記ルートを送信するように構成される、請求項13に記載のネットワークデバイス。
【請求項24】
前記処理モジュールは、前記ルート起点の情報ベース内に前記ルートプレフィックスと一致する第1のルートプレフィックスがないとき、あらかじめ構成されたポリシーに従って、前記ルートプレフィックスを搬送する前記ルートを送信するかどうかを決定するように構成される、請求項13に記載のネットワークデバイス。
【請求項25】
ネットワークデバイスであって、前記ネットワークデバイスは、第1の自律システム内のネットワークデバイスであり、プロセッサ、メモリ、および通信インターフェースを含み、前記プロセッサ、前記メモリ、および前記通信インターフェースは、互いに接続され、前記メモリは、コンピュータプログラムを記憶するように構成され、前記コンピュータプログラムは、プログラム命令を含み、前記プロセッサは、前記プログラム命令を呼び出して、請求項1から12のいずれか一項に記載の方法を実行するように構成された、ネットワークデバイス。
【請求項26】
コンピュータ可読記憶媒体であって、前記コンピュータ可読記憶媒体は、プログラムを記憶し、前記プログラムがコンピュータにおいて実行されるとき、前記コンピュータは、請求項1から12のいずれか一項に記載の方法を実行することが可能にされる、コンピュータ可読記憶媒体。
【請求項27】
ルート処理装置であって、プログラム命令に関連するハードウェアを含み、前記ハードウェアは、請求項1から12のいずれか一項に記載の方法を実行するように構成された、ルート処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
この出願は、2018年11月2日に中国国家知識産権局に出願された、発明の名称を「ルート処理方法およびネットワークデバイス」とする中国特許出願第201811302078.3号の優先権を主張し、その全体が参照によりここに組み込まれる。
【0002】
本発明は、通信分野、特に、ルート処理方法およびネットワークデバイスに関する。
【背景技術】
【0003】
境界ゲートウェイプロトコル(Border Gateway Protocol, BGP)ルート起点情報が正しいかどうかを検証するために、リソース公開鍵インフラストラクチャ(resource public key infrastructure, RPKI)ソリューションが使用される。分散RPKIサーバは、各自律システム(autonomous system, AS)によって開始されたBGPルートに対応するソースAS番号、およびBGPルートのルートプレフィックスなどの情報を収集し、ルートプレフィックスはマスクを含む。ルータは、RPKIサーバとの接続を確立し、ルート起点許可(route origin authorization, ROA)データをローカルに記憶する。データは、ルートプレフィックスと、ルートプレフィックスを生成するソース自律システムとの間の関係を含む。ルータは、隣接ノードから、ルートプレフィックスを含むルート情報を受信した後、ローカルに記憶されたROAデータに基づいて、隣接ノードから受信されたルートプレフィックスに対応するソースASが正しいかどうかを検証する。RPKIに関する詳細については、標準組織、インターネット・エンジニアリング・タスクフォース(internet engineering task force, IETF)のリクエスト・フォー・コメント、RFC6810およびRFC6811を参照されたい。
【0004】
しかしながら、ネットワーク内のすべてのルータが、ROAデータに基づいて、受信されたルートプレフィックスに関連付けられたソースAS情報を検証するわけではない。この場合、受信されたルートプレフィックスに関連付けられたソースAS情報が誤って修正されたならば、受信機ルータによるルート計算が影響される。結果として、自律システム間のデータトラフィックは、計画されたパスに沿って伝送されない。ASのためのネットワーク管理者は、通常、ルータのアウトバウンドルートポリシーを構成する。アウトバウンドルートポリシーが、送信されるべきルートプレフィックスに関連付けられたASパス情報を修正することを含むならば、ルータは、ルートプレフィックスを送信する前に、アウトバウンドルートポリシーに従ってルートプレフィックスに関連付けられたASパス情報を修正する。したがって、誤った手動構成により、上記の問題が生じ得る。
【発明の概要】
【課題を解決するための手段】
【0005】
この出願は、ルートプレフィックスが送信される前に、送信されるべきルートプレフィックスに関連付けられた自律システム情報を検証し、ネットワークデバイスが誤った自律システム情報を含むルート情報を送信する可能性を低減し、異常なネットワークフロー方向を引き起こす可能性を低減するために、ルート処理方法およびネットワークデバイスを提供する。
【0006】
第1の態様によれば、本発明の一実施形態は、ルート処理方法を提供する。この方法は、第1の自律システム内のネットワークデバイスに適用され、ルートプレフィックスと、取得されたルートプレフィックスに関連付けられた自律システム情報とを取得するステップであって、関連付けられた自律システム情報は、検証されるべき自律システム情報を含む、ステップと、ネットワークデバイスによって、ルート起点情報ベース内に一致項目があるかどうかを検証するステップであって、一致項目は、取得されたルートプレフィックスと、検証されるべき自律システム情報とを含む、ステップと、検証結果に基づいて、取得されたルートプレフィックスを送信するかどうかを決定するステップとを含む。
【0007】
この方法では、ルートプレフィックスを送信する前に、ネットワークデバイスは、まず、ルートプレフィックスに関連付けられた検証されるべき自律システム情報を検証し、検証結果に基づいて、ルートプレフィックスを送信するかどうかを決定する。これは、ネットワークデバイスが、誤った自律システム情報を搬送するルート情報を送信する可能性を低減し、異常なネットワークフロー方向を引き起こす可能性を低減する。
【0008】
第1の態様の可能な設計では、ルート起点情報ベースのエントリは、ルートプレフィックスとソース自律システムとの間の対応を記録し、検証されるべき自律システム情報は、関連付けられた自律システム情報内のソース自律システム情報であり、ルート起点情報ベースのエントリは、ルートプレフィックスと自律システムペアとの間の対応を記録し、検証されるべき自律システム情報は、関連付けられた自律システム情報内の自律システムパス情報であり、または検証されるべき自律システム情報は、関連付けられた自律システム情報内のソース自律システム情報と、関連付けられた自律システム情報内の自律システムパス情報とを含む。この設計では、ソース自律システム情報が検証されてもよく、自律システムパス情報が検証されてもよく、または両方が検証されてもよい。各検証は、送信されたルートプレフィックスに関連付けられた自律システム情報が正しいことを保証することができない。したがって、検証における精度を改善するために複数の検証方式が同時に使用されてもよい。
【0009】
第1の態様の可能な設計では、ルート起点情報ベースは、リソース公開鍵インフラストラクチャサーバから取得される。たとえば、ルート起点情報ベースは、リソース公開鍵インフラストラクチャサーバからネットワークデバイスによってダウンロードされ、またはリソース公開鍵インフラストラクチャサーバによってネットワークデバイスに能動的に送信され(たとえば、定期的に送信され、または必要に応じて送信され)てもよい。別の可能な設計では、ネットワークデバイスは、ルート起点情報ベースをローカルに記憶しないが、ネットワークデバイスが検証を実行する必要があるとき、検証されるべきコンテンツをリソース公開鍵インフラストラクチャサーバに送信する。この設計では、現在の技術におけるリソース公開鍵インフラストラクチャサーバを使用されてもよく、追加のプロトコルまたはアーキテクチャを開発する必要がない。
【0010】
第1の態様の可能な設計では、関連付けられた自律システム情報は、ネットワークデバイスにおいて構成されたアウトバウンドルートポリシーに従う修正後の自律システム情報である。この設計では、アウトバウンドルートポリシーに従う修正後の自律システム情報が正しいかどうかが検証されることが可能であり、アウトバウンドルートポリシーは、通常、手動で構成される。したがって、この設計は、手動構成によって引き起こされるエラーを低減することができる。
【0011】
第1の態様の可能な設計では、ルートプレフィックスを取得するステップは、第2の自律システムからルートプレフィックスを受信するステップ、ルートプレフィックスを生成するステップ、または第1の自律システム内の別のネットワークデバイスによって生成されたルートプレフィックスを受信するステップを含む。この設計では、検証されるべきルートプレフィックスは、別の自律システムからネットワークデバイスによって受信され、ネットワークデバイスによって生成され、またはネットワークデバイスが属する自律システム内の別のネットワークデバイスによって生成され得る。これは、柔軟な検証を提供する。
【0012】
第1の態様の可能な設計では、ネットワークデバイスは、第1の自律システム内の境界ノードである。さらに、境界ノードは、ルート送信方向における第1の自律システム内のアウトバウンド境界ノードであってもよい。通常、自律システム情報内の自律システムパスは、自律システム内の内部ノードが互いにルート情報を送信するときに修正されない。したがって、検証機能がアウトバウンド境界ノードにおいて配備されてもよく、第1の自律システム内の内部ノードは、検証を実行することは要求されない。
【0013】
第1の態様の可能な設計では、ルート起点情報ベース内に取得されたルートプレフィックスと一致するエントリがあり、かつエントリ内の自律システム情報が検証されるべき自律システム情報と異なるとき、ネットワークデバイスは、ルート起点情報ベース内に一致項目がないと決定し、取得されたルートプレフィックスを送信しないことを決定する。一致項目がないと決定したとき、ネットワークデバイスは、ルートプレフィックスを送信しない。これは、誤った自律システム情報に関連付けられたルートプレフィックスを送信する可能性を低減する。
【0014】
第1の態様の可能な設計では、ネットワークデバイスは、ルート起点情報ベース内に一致項目がないと決定した後に、アラーム情報を出力する。アラーム情報は、タイムリーな方式で出力され、ネットワークデバイス内の自律システム情報において不一致が発生したことをネットワーク管理者に通知する。
【0015】
第1の態様の可能な設計では、ルート起点情報ベース内に取得されたルートプレフィックスと一致するエントリがあり、かつエントリ内の自律システム情報が検証されるべき自律システム情報と同じであるとき、ネットワークデバイスは、ルート起点情報ベース内に一致項目があると決定し、取得されたルートプレフィックスを送信することを決定し、取得されたルートプレフィックスを搬送するルート情報を送信する。一致項目があると決定したとき、ネットワークデバイスは、ルートプレフィックスを送信する。これは、送信されたルートプレフィックスに関連付けられた自律システム情報の精度を改善する。
【0016】
第1の態様の可能な設計では、ルート起点情報ベース内に取得されたルートプレフィックスと一致するエントリがないとき、ネットワークデバイスは、ルート起点情報ベース内に一致項目がないと決定する。この場合における検証結果は、「不明」と考えられる。この場合が発生するとき、取得されたルートプレフィックスを送信するかどうかは、あらかじめ構成されたポリシーに従って決定される。あらかじめ構成されたポリシーは、取得されたルートプレフィックスを送信すること、または取得されたルートプレフィックスを送信しないことであり得る。このように、検証結果が「不明」であるとき、関連する対策があり得る。
【0017】
第2の態様によれば、本発明の一実施形態は、ネットワークデバイスを提供する。ネットワークデバイスは、第1の自律システム内のネットワークデバイスである。ネットワークデバイスは、第1の態様または第1の態様の可能な実装のうちのいずれか1つにおける方法を実行するように構成され得る。具体的には、ネットワークデバイスは、第1の態様または第1の態様の可能な実装のうちのいずれか1つにおける方法を実行するように構成されたモジュールを含む。
【0018】
第3の態様によれば、本発明の一実施形態は、ネットワークデバイスを提供する。ネットワークデバイスは、第1の自律システム内のネットワークデバイスであり、取得モジュールと、検証モジュールと、決定モジュールとを含む。取得モジュールは、ルートプレフィックス取得サブモジュールおよび自律システム情報取得サブモジュールを含み、ルートプレフィックス取得サブモジュールは、ルートプレフィックスを取得するように構成され、自律システム情報取得サブモジュールは、取得されたルートプレフィックスに関連付けられた自律システム情報を取得するように構成され、関連付けられた自律システム情報は、検証されるべき自律システム情報を含む。検証モジュールは、ルート起点情報ベース内に一致項目があるかどうかを検証するように構成され、一致項目は、取得されたルートプレフィックスと、検証されるべき自律システム情報とを含む。決定モジュールは、検証結果に基づいて、取得されたルートプレフィックスを送信するかどうかを決定するように構成される。
【0019】
第3の態様の可能な設計では、ルート起点情報ベースのエントリは、ルートプレフィックスとソース自律システムとの間の対応を記録し、検証されるべき自律システム情報は、関連付けられた自律システム情報内のソース自律システム情報であり、ルート起点情報ベースのエントリは、ルートプレフィックスと自律システムペアとの間の対応を記録し、検証されるべき自律システム情報は、関連付けられた自律システム情報内の自律システムパス情報であり、または検証されるべき自律システム情報は、関連付けられた自律システム情報内のソース自律システム情報と、関連付けられた自律システム情報内の自律システムパス情報とを含む。
【0020】
第3の態様の可能な設計では、ネットワークデバイスは、リソース公開鍵インフラストラクチャサーバからルート起点情報ベースを取得するように構成されたルート起点情報ベース取得モジュールをさらに含む。たとえば、ルート起点情報ベースは、リソース公開鍵インフラストラクチャサーバからネットワークデバイスによってダウンロードされ、またはリソース公開鍵インフラストラクチャサーバによってネットワークデバイスに能動的に送信されてもよい。
【0021】
第3の態様の可能な設計では、自律システム情報取得サブモジュールによって取得された関連付けられた自律システム情報は、ネットワークデバイスにおいて構成されたアウトバウンドルートポリシーに従う修正後の自律システム情報である。
【0022】
第3の態様の可能な設計では、ルートプレフィックス取得サブモジュールは、第2の自律システムから取得されたルートプレフィックスを受信するか、または取得されたルートプレフィックスを生成するように構成される。
【0023】
第3の態様の可能な設計では、ネットワークデバイスは、第1の自律システム内の境界ノードである。
【0024】
第3の態様の可能な設計では、検証モジュールは、ルート起点情報ベース内に取得されたルートプレフィックスと一致するエントリがあり、かつエントリ内の自律システム情報が検証されるべき自律システム情報と異なるとき、ルート起点情報ベース内に一致項目がないと決定するように構成され、それに対応して、決定モジュールは、取得されたルートプレフィックスを送信しないことを決定する。
【0025】
第3の態様の可能な設計では、アラームモジュールがさらに含まれ、検証モジュールが、ルート起点情報ベース内に一致項目がないと決定した後に、アラーム情報を出力するように構成される。
【0026】
第3の態様の可能な設計では、ネットワークデバイスは、送信モジュールをさらに含み、検証モジュールは、ルート起点情報ベース内に取得されたルートプレフィックスと一致するエントリがあり、かつエントリ内の自律システム情報が検証されるべき自律システム情報と同じであるとき、ルート起点情報ベース内に一致項目があると決定するように構成され、それに対応して、決定モジュールは、取得されたルートプレフィックスを送信することを決定し、送信モジュールは、取得されたルートプレフィックスを搬送するルート情報を送信する。
【0027】
第4の態様によれば、本発明の一実施形態は、ネットワークデバイスを提供する。ネットワークデバイスは、第1の自律システム内のネットワークデバイスである。ネットワークデバイスは、プロセッサ、メモリ、および通信インターフェースを含む。プロセッサ、メモリ、および通信インターフェースは、互いに接続される。メモリは、コンピュータプログラムを記憶するように構成される。コンピュータプログラムは、プログラム命令を含む。プロセッサは、プログラム命令を呼び出して、第1の態様または第1の態様の可能な実装のうちのいずれか1つにおける方法を実行するように構成される。
【0028】
第5の態様によれば、本発明の一実施形態は、ネットワークデバイスを提供する。ネットワークデバイスは、第1の自律システム内のネットワークデバイスである。ネットワークデバイスは、プロセッサ、メモリ、および通信インターフェースを含む。プロセッサ、メモリ、および通信インターフェースは、互いに接続される。メモリは、コンピュータプログラムを記憶するように構成される。コンピュータプログラムは、プログラム命令を含む。プロセッサは、プログラム命令を呼び出して、第3の態様または第3の態様の可能な設計における、自律システム情報取得サブモジュール、検証モジュール、および決定モジュールの機能と、第3の態様の可能な設計における、ルートプレフィックス取得サブモジュールによって取得されたルートプレフィックスを生成する機能とを実現するように構成される。通信インターフェースは、第3の態様の可能な設計における、ルート起点情報ベース取得モジュール、アラームモジュール、および送信モジュールの機能を実現するように構成される。
【0029】
第6の態様によれば、本発明の一実施形態は、ネットワークデバイスを提供する。ネットワークデバイスは、第1の自律システム内のネットワークデバイスである。ネットワークデバイスは、プロセッサ、メモリ、および通信インターフェースを含む。プロセッサ、メモリ、および通信インターフェースは、互いに接続される。メモリは、コンピュータプログラムを記憶するように構成される。コンピュータプログラムは、プログラム命令を含む。プロセッサは、プログラム命令を呼び出して、第3の態様または第3の態様の可能な設計における検証モジュールおよび決定モジュールの機能を実現するように構成される。通信インターフェースは、第3の態様の可能な設計における、ルートプレフィックス取得サブモジュールによって第2の自律システムから取得されたルートプレフィックスを受信する機能と、ルート起点情報ベース取得モジュール、アラームモジュール、および送信モジュールの機能とを実現するように構成される。通信インターフェースおよびプロセッサは、協働して、第3の態様または第3の態様の可能な設計における、自律システム情報取得サブモジュールの機能を実現する。その代わりに、通信インターフェースは、第3の態様における自律システム情報取得サブモジュールの機能を独立に実現する。
【0030】
上記の態様において提供されたネットワークデバイスの有益な効果については、第1の態様および第1の態様の可能な設計における有益な効果の記載を参照されたい。詳細は、ここで再度記載されない。
【0031】
第7の態様によれば、本発明の一実施形態は、コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体は、プログラムを記憶する。プログラムがコンピュータにおいて実行されるとき、コンピュータは、第1の態様または第1の態様の可能な設計のいずれか1つにおける方法を実行することが可能にされる。
【0032】
第8の態様によれば、本発明の一実施形態は、プログラム命令に関連するハードウェアを含むルート処理装置を提供する。ハードウェアは、第1の態様または第1の態様の可能な設計のいずれか1つにおける方法を実行するように構成される。
【0033】
本発明の技術的解決策をより明確に記載するために、以下は、実施形態において使用される添付の図面を簡単に記載する。明らかに、以下の記載における添付の図面は、本発明の単にいくつかの実施形態を表し、この技術分野の当業者は、創作的な努力なしにこれらの添付の図面から他の技術的解決策および添付の図面を依然として導き出し得る。
【図面の簡単な説明】
【0034】
【図1】本発明の一実施形態による適用シナリオの概略図である。
【図2】本発明の一実施形態による方法の概略フローチャートである。
【図3】本発明の一実施形態による方法の概略フローチャートである。
【図4】本発明の一実施形態による方法の概略フローチャートである。
【図5】本発明の一実施形態によるネットワークデバイスの構造の概略図である。
【図6】本発明の一実施形態によるネットワークデバイスの構造の概略図である。
【発明を実施するための形態】
【0035】
図1は、本発明の一実施形態による適用シナリオの概略図である。図1は、自律システムAS1、AS2、AS3、AS4、およびAS5を含む。AS1は、AS1内に境界ノードR11およびR12を含む。AS2は、AS2内に境界ノードR21およびR22を含む。AS3は、AS3内に境界ノードR31およびR33を含み、AS3内に内部ノードR32も含む。AS4は、AS4内に境界ノードR41およびR42を含む。AS5は、AS5内に境界ノードR51およびR52を含む。各境界ノードは、ルート機能を有するネットワークデバイスであってもよい。たとえば、境界ノードは、ルータ、またはルート機能を有するスイッチである。
【0036】
以下は、現在の技術における異常なネットワークフロー方向の場合を記載する。AS1がルートプレフィックス10.1.0.0/16を生成し、AS2およびAS3を通じてAS4に10.1.0.0/16を送信する。加えて、AS1はまた、10.1.0.0/16を、別のASパス、すなわちAS5を通じてAS4に送信する。R41は、R33およびR52からルートプレフィックス10.1.0.0/16を含むルート情報を別々に受信する。R33から受信されたルート情報は、10.1.0.0/16と、10.1.0.0/16に対応するASパス(AS3, AS2, AS1)とを含む。マーキングモード「(AS3, AS2, AS1)」は、10.1.0.0/16に対応するソースASがAS1であり、10.1.0.0/16がAS1、AS2、およびAS3を順に通過することを示す。R52から受信されたルート情報は、10.1.0.0/16と、10.1.0.0/16に対応するASパス(AS5, AS1)とを含む。マーキングモード「(AS5, AS1)」は、10.1.0.0/16に対応するソースASがAS1であり、10.1.0.0/16がAS1およびAS5を順に通過することを示す。10.1.0.0/16までのルートを計算するとき、R41は、より短いASパスを選択するルールに従って、R52をネクストホップとして選択する。言い換えれば、R41は、10.1.0.0/16への宛先を有するデータパケットを、R33の代わりにR52に送信する。上記の記載は、ネットワーク計画における通常のフロー方向に基づくことが仮定される。しかしながら、AS3のための管理者は、R33におけるアウトバウンドルートポリシーを構成し得る。アウトバウンドルートポリシーは、R33によって外部に送信されるルート情報内のASパス情報に影響する。たとえば、R33におけるアウトバウンドルートポリシーが誤って構成されたならば、10.1.0.0/16をR33によって外部に送信するための通常のASパス(AS3, AS2, AS1)が(AS3)に変更される。結果として、R41は、10.1.0.0/16への宛先を有するデータパケットをR33に送信し、異常なネットワークフロー方向が引き起こされる。
【0037】
本発明の実施形態は、ルート処理方法および対応するネットワークデバイスを提供する。この方法およびこのネットワークデバイスは、同じ発明概念に基づき、この方法およびこのネットワークデバイスは、問題を解決するための類似の原理を有する。したがって、ネットワークデバイスの実施形態と方法の実施形態との間で相互参照が行われることが可能であり、繰り返される記載は提供されない。
【0038】
本発明の実施形態では、図1に表された適用シナリオにおいて、ルート起点情報ベースサーバ、たとえば、RPKIサーバが配置される。R33は、RPKIサーバからルート起点検証データを取得して、ルート起点情報ベースを形成し得る。ルート起点検証データは、ROAデータ、または自律システムパス許可(autonomous system path authorization, ASPA)データであり得る。ROAデータは、ルートプレフィックスとソース自律システムとの間の対応を記載し、ルートプレフィックスに対応するソースASが正しいかどうかを検証するために使用される。ASPAデータは、ルートプレフィックスと自律システムペアとの間の対応を記載し、ルートプレフィックスに対応するASパス情報が正しいかどうかを検証するために使用される。確かに、ROAデータベースおよびASPAデータベースは、ソースAS検証情報およびASパス検証情報を提供するために、1つのデータベースとして実現され得る。このようにして、R33が、10.1.0.0/16を搬送するルート情報をAS4内のR41に送信する前に、R33は、まず、ルート起点を検証し、たとえば、ソースASが正しいかどうかを検証し、ASパスが正しいかどうかを検証し、またはソースASおよびASパスが正しいかどうかを検証し得る。検証が成功したならば、R33は、10.1.0.0/16を搬送するルート情報を送信する。これは、異常なネットワークフロー方向を引き起こす可能性を低減する。
【0039】
上記は、R33がAS1から発信された10.1.0.0/16をAS2から受信する場合を記載する。別の場合には、10.1.0.0/16がAS3によって生成される、たとえば、R31、R32、またはR33によって生成されるならば、AS3内のルートデバイスが10.1.0.0/16を送信するとき、ルート情報の受信機が受信されたルート情報に対応するルート起点のみを検証することをIETF RFC 6810およびIETF RFC 6811が指定するので、10.1.0.0/16に対応するルート起点が正しいかどうかを検証するための現在の技術における解決策はない。本発明の実施形態では、R33は、AS3によって生成されたルートプレフィックスを検証し、次いでルートプレフィックスを送信し得る。これは、R33によって外部に送信されるルートプレフィックスに対応するAS起点情報の精度を改善し、異常なネットワークフロー方向を引き起こす可能性が低減する。
【0040】
本発明の実施形態において記載されたネットワークデバイスは、ルート機能を有するデバイスであってもよい。たとえば、ネットワークデバイスは、ルータ、またはルート機能を有するスイッチである。
【0041】
【0042】
S201:R33は、ROAデータをRPKIサーバからダウンロードし、それによってR33は、ROAデータをローカルに記憶し、ROAデータは、ROAベースとも呼ばれる。ROAベース内のエントリは、ルートプレフィックスとソースASとの間の対応を記録し、ルートプレフィックスに対応するソースASが正しいかどうかを検証するために使用される。
【0043】
たとえば、ネットワーク計画段階において、AS1のための管理者が、RPKIサーバに対応する国際機関に、10.1.0.0/16に対応するソースASとしてAS1を登録するならば、R33によってダウンロードされるROAデータは、10.1.0.0/16とソースAS1との間の対応を含み、言い換えれば、R33によってダウンロードされるROAデータは、10.1.0.0/16を含み、10.1.0.0/16に対応するソースASは、AS1である。
【0044】
図2における実施形態において表される方法が実行される毎にROAデータがダウンロードされる必要はないことが理解され得る。
【0045】
S202:R33は、AS1から発信されたルート情報をAS2から受信し、ルート情報は、ルートプレフィックス10.1.0.0/16を搬送し、対応するASパス情報は(AS2, AS1)であり、10.1.0.0/16がAS1から発信され、AS2を通過することを示す。たとえば、R33は、R32からルート情報を受信する。
【0046】
S203:R33が10.1.0.0/16をAS4に転送する前に、R33は、10.1.0.0/16に対応するASパス情報内に、R33が配置されるASに関する情報を挿入する。R33は、AS3に関する情報をASパス情報内に挿入して、新しいASパス(AS3, AS2, AS1)を形成し、10.1.0.0/16がAS1から発信され、AS2およびAS3を順に通過することを示す。
【0047】
S204:R33が10.1.0.0/16をAS4に転送する前に、R33は、R33において構成されたアウトバウンドルートポリシーに従ってAS情報を修正する。修正後のAS情報は、検証されるべきソースAS情報を含む。
【0048】
図2における実施形態では、検証が実行される前に使用されるAS情報は、ルートプレフィックスに関連付けられた自律システム情報と呼ばれ、ルートプレフィックスに関連付けられた自律システム情報は、検証されるべきソースAS情報を含む。たとえば、ステップS204における修正後のASパスが(AS3)であると仮定すると、ASパス(AS3)は、10.1.0.0/16に関連付けられたAS情報と呼ばれる。ステップS203およびS204は、オプションのステップである。ステップS203は実行されるが、ステップS204は実行されないとき、ステップS203におけるASパス(AS3, AS2, AS1)は、10.1.0.0/16に関連付けられたAS情報と呼ばれる。ステップS203もステップS204も実行されないとき、ステップS202におけるASパス(AS2, AS1)は、10.1.0.0/16に関連付けられたAS情報と呼ばれる。
【0049】
S205:R33は、ROAデータ内に一致項目があるかどうかを検証し、一致項目は、ステップS204における修正後のAS情報内に10.1.0.0/16および検証されるべきソースAS情報を含む。
【0050】
以下は、3つのケースを記載する。
【0051】
ケース1
ROAベース内に10.1.0.0/16に一致するエントリがあり、かつエントリ内のソースASがAS1であることが仮定される。ステップS204が実行されない、またはステップS204における修正後のASパスが(AS9, AS2, AS1)に変更されたならば、検証されるべきソースAS情報は、AS1である。10.1.0.0/16について、検証されるべきソースASは、ROAベース内のソースASと同じであり、両方ともAS1である。R33は、ROAデータが一致項目を含むと決定し、ステップS207を実行する。
ROAベース内に10.1.0.0/16に一致するエントリがあり、かつエントリ内のソースASがAS1であることが仮定される。ステップS204が実行されない、またはステップS204における修正後のASパスが(AS9, AS2, AS1)に変更されたならば、検証されるべきソースAS情報は、AS1である。10.1.0.0/16について、検証されるべきソースASは、ROAベース内のソースASと同じであり、両方ともAS1である。R33は、ROAデータが一致項目を含むと決定し、ステップS207を実行する。
【0052】
ケース2
ROAベースは、10.1.0.0/16に一致するエントリを含み、エントリ内のソースASはAS1であり、かつステップS204における修正後のASパスは(AS3, AS2, AS9)であることが仮定される。この場合、検証されるべきソースAS情報は、AS9である。AS1は、AS9とは異なる。したがって、R33は、ROAデータ内に一致項目がないと決定し、ステップS206を実行する。
ROAベースは、10.1.0.0/16に一致するエントリを含み、エントリ内のソースASはAS1であり、かつステップS204における修正後のASパスは(AS3, AS2, AS9)であることが仮定される。この場合、検証されるべきソースAS情報は、AS9である。AS1は、AS9とは異なる。したがって、R33は、ROAデータ内に一致項目がないと決定し、ステップS206を実行する。
【0053】
ケース3
ROAベース内に10.1.0.0/16に一致するエントリがないならば、R33は、ROAデータ内に一致項目がないと決定し、ステップS208を実行する。ケース3は、R33が、10.1.0.0/16に対応する検証されるべきソースASが正しいかどうかわからないとも理解され得る。言い換えれば、検証結果は「不明」である。
ROAベース内に10.1.0.0/16に一致するエントリがないならば、R33は、ROAデータ内に一致項目がないと決定し、ステップS208を実行する。ケース3は、R33が、10.1.0.0/16に対応する検証されるべきソースASが正しいかどうかわからないとも理解され得る。言い換えれば、検証結果は「不明」である。
【0054】
3つのケースは、単に、ROAデータ内に一致項目があるかどうかを示すための例として使用されることが理解されるべきである。しかしながら、3つのケースのみがあると考えられるべきでない。
【0055】
S206:10.1.0.0/16を送信しないことを決定する。ステップS206の後に、ステップS209がさらに実行されてもよい。
【0056】
S207:AS4内のR41に10.1.0.0/16を送信することを決定する。次いで、ステップS210が実行される。
【0057】
S208:あらかじめ構成されたポリシーに従って、10.1.0.0/16を送信するかどうかを決定する。あらかじめ構成されたポリシーは、10.1.0.0/16を送信すること、または10.1.0.0/16を送信しないことであってもよい。
【0058】
S209:アラーム情報を送信する。たとえば、アラーム情報は、ネットワーク管理ワークステーションに送信されてもよい。アラーム情報は、検証結果が不一致であるルートプレフィックスを搬送し、ルートプレフィックスに関する情報、たとえば、ASパス情報を搬送し得る。
【0059】
S210:10.1.0.0/16および修正後のASパスを搬送するルート情報をAS4内のR41に送信する。たとえば、ステップS204においてASパスが(AS9, AS2, AS1)に修正されたならば、送信されたルート情報内のルートプレフィックスは10.1.0.0/16であり、送信されたルート情報内のASパスは、(AS9, AS2, AS1)である。ケース1において、ステップS204が実行されないならば、ステップS210において送信された10.1.0.0/16に対応するASパスは(AS3, AS2, AS1)であることが理解されるべきである。
【0060】
図2における実施形態では、ステップS201、S203、204、およびS209はオプションである。加えて、ステップの順序は単に一例であり、ステップは、また、別の適切な順序で実行されてもよい。たとえば、ステップS201は、ステップS205の前に実行されてもよい。
【0061】
図2に表された実施形態では、ルートプレフィックスを送信する前に、R33は、まず、ルートプレフィックスに対応するソースAS情報を検証し、検証結果に基づいて、ルートプレフィックスを送信するかどうかを決定する。これは、送信されたルート情報内のソースAS情報の精度を改善し、異常なネットワークフロー方向を引き起こす可能性が低減する。さらに、R33は、アウトバウンドルートポリシーに従って修正後のソースAS情報を検証する。これは、誤った手動構成によって引き起こされるソースAS情報エラーを低減する。加えて、ROAベース内に一致するルートプレフィックスがないならば、あらかじめ構成されたポリシーに従って処理が柔軟に実行される。加えて、ROAデータにおいて一致結果が不一致であるならば、R33内のソースAS情報において不一致が発生したことをネットワーク管理者に通知するためにアラームが送信される。
【0062】
図3は、本発明の一実施形態による方法の概略フローチャートである。図1を参照すると、実行主体として図1におけるR33が使用され、一例としてルートプレフィックス10.1.0.0/16が使用される。図3における実施形態は、ルートプレフィックスに対応するASパスに関する情報を検証するために使用される。
【0063】
S301:R33は、ASPAデータをRPKIサーバからダウンロードし、それによってR33は、ASPAデータをローカルに記憶し、ASPAデータは、ASPAベースとも呼ばれる。ASPAベース内のエントリは、ルートプレフィックスと自律システムペアとの間の対応を記録し、ルートプレフィックスに対応するASパスが正しいかどうかを検証するために使用される。
【0064】
たとえば、ネットワーク計画段階では、AS1のための管理者は、RPKIサーバに対応する国際機関に、AS1がAS2に10.1.0.0/16を送信することを計画していることを登録する。AS2のための管理者は、RPKIサーバに対応する国際機関に、AS2がAS3に10.1.0.0/16を送信することを計画していることを登録する。AS3のための管理者は、RPKIサーバに対応する国際機関に、AS3がAS4に10.1.0.0/16を送信することを計画していることを登録する。したがって、R33によってダウンロードされるASPAデータは、10.1.0.0/16を含み、10.1.0.0/16に対応するASペアは、[AS1, AS2]、[AS2, AS3]、および[AS3, AS4]である。マーク「[AS1, AS2]」は、AS1が10.1.0.0/16をAS2に送信することを示す。
【0065】
図3における実施形態において表された方法が実行されるとき毎にASPAデータがダウンロードされる必要はないことが理解され得る。
【0066】
ステップS302およびS303については、それぞれステップS202およびS203を参照されたい。
【0067】
S304:R33は、R33において構成されたアウトバウンドルートポリシーに従ってAS情報を修正する。修正後のAS情報は、検証されるべきASパス情報を含む。
【0068】
図3における実施形態では、検証前のAS情報は、ルートプレフィックスに関連付けられた自律システム情報と呼ばれ、関連付けられたAS情報は、検証されるべきASパス情報を含む。たとえば、ステップS304における修正後のASパスが(AS3, AS5, AS1)であると仮定すると、ASパス(AS3, AS5, AS1)は、10.1.0.0/16に関連付けられたASに関する情報と呼ばれ、検証されるべきASパス情報は(AS3, AS5, AS1)である。
【0069】
S305:R33は、ASPAベース内に一致項目がないことを検証する。
【0070】
R33は、ASPAベース内に10.1.0.0/16に一致するASペアを有するエントリを見つけるが、エントリ内のASペアおよび検証されるべきASパス情報(AS3, AS5, AS1)は一致しない(すなわち、両方が同じではない)。これは、検証されるべきASパス情報が、10.1.0.0/16に関連付けられたソースASがAS1であることを示すためである。AS1は、10.1.0.0/16をAS5に送信し、AS5は、10.1.0.0/16をAS3に送信する。したがって、R33は、ASPAベース内に一致項目がないことを検証する。次いで、ステップS306が実行される。
【0071】
S306:R33は、10.1.0.0/16を送信しないことを決定する。次いで、ステップS307が実行される。
【0072】
S307:R33がアラーム情報を送信する。ステップS307は、オプションのステップである。
【0073】
以下は、図3における実施形態に基づく例を使用することによって、いくつかの他の可能な実装を記載する。実装は、これらの可能な実装に限定されないことが理解されるべきである。
【0074】
可能な場合、ASPAベースは10.1.0.0/16を含み、10.1.0.0/16に対応するASペアは、[AS1, AS2]、[AS2, AS3]、および[AS3, AS4]である。ステップS304は実行されない。検証されるべきASパスは(AS3, AS2, AS1)である。R33は、ASPAベース内に一致項目があると決定し、10.1.0.0/16を送信することを決定し、10.1.0.0およびASパス(AS3, AS2, AS1)を搬送するルート情報を送信する。
【0075】
可能な場合には、ASPAベース内に10.1.0.0/16に一致するエントリがないならば、R33は、ASPAベース内に一致項目がないと決定し、あらかじめ構成されたポリシーに従って、10.1.0.0/16を送信するかどうかを決定する。あらかじめ構成されたポリシーは、10.1.0.0/16を送信すること、または10.1.0.0/16を送信しないことであってもよい。この場合は、また、R33が、10.1.0.0/16に対応する検証されるべきASパス情報が正しいかどうかわからないとも理解され得る。言い換えれば、検証結果は「不明」である。
【0076】
可能な場合、ASPAベースは10.1.0.0/16を含み、10.1.0.0/16に対応するASペアは、[AS1, AS2]、[AS2, AS3]、および[AS3, AS4]である。ステップS303もステップS304も実行されない。検証されるべきASパスは(AS2, AS1)である。検証されるべきASパスがASペア[AS1, AS2]と一致するので、R33は、ASPAベース内に一致項目があると決定し、10.1.0.0/16を送信することを決定し、10.1.0.0およびASパス(AS2, AS1)を搬送するルート情報を送信する。
【0077】
可能な場合、ASPAベースは10.1.0.0/16を含み、10.1.0.0/16に対応するASペアは、[AS1, AS2]、[AS2, AS3]、および[AS3, AS4]である。ステップS303が実行された後に、ASパスは(AS3, AS2, AS1)である。ステップS304における修正後のASパスは(AS2, AS1)である。R33は、ASPAベース内に一致項目があると決定し、10.1.0.0/16を送信することを決定し、10.1.0.0およびASパス(AS2, AS1)を搬送するルート情報を送信する。
【0078】
図3に表された実施形態では、送信されたルート情報のASパス情報の精度を改善し、異常なネットワークフロー方向を引き起こす可能性が低減するために、ルートプレフィックスを送信する前に、R33は、まず、ルートプレフィックスに関連付けられたASパス情報を検証し、検証結果に基づいて、ルートプレフィックスを送信するかどうかを決定する。さらに、誤った手動構成によって引き起こされるASパス情報エラーを低減するために、R33は、アウトバウンドルートポリシーに従う修正後のASパス情報を検証する。加えて、ASPAベース内に一致するルートプレフィックスがないならば、あらかじめ構成されたポリシーに従って処理が柔軟に実行される。加えて、ASPAデータにおいて一致結果が不一致であるならば、R33内のASパス情報において不一致が発生したことをネットワーク管理者に通知するためにアラームが送信される。
【0079】
図4は、本発明の一実施形態による方法の概略フローチャートである。図1を参照すると、実行主体として図1におけるR33が使用され、一例としてルートプレフィックス10.1.0.0/16が使用される。図4において、10.1.0.0/16は、AS3によって、たとえば、R33によって生成される。
【0080】
S401:R33は、ROAデータをRPKIサーバからダウンロードし、それによってR33は、ROAベースとも呼ばれるROAデータをローカルに記憶する。ROAベース内のエントリは、ルートプレフィックスとソースASとの間の対応を記録し、ルートプレフィックスに関連付けられたソースASが正しいかどうかを検証するために使用される。
【0081】
たとえば、ネットワーク計画段階では、AS3のための管理者が、RPKIサーバに対応する国際機関に、10.1.0.0/16に関連付けられたソースASをAS3として登録する場合。R33によってダウンロードされたROAデータは、10.1.0.0/16とソースAS3との間の対応を含む。言い換えれば、R33によってダウンロードされたROAデータは、10.1.0.0/16を含み、10.1.0.0/16に対応するソースASは、AS3である。
【0082】
図4における実施形態において表された方法が実行されるとき毎にROAデータがダウンロードされる必要はなくてもよいことが理解され得る。
【0083】
S402:R33は、ルートプレフィックス10.1.0.0/16を生成する。
【0084】
S403:R33は、10.1.0.0/16をソースAS3に関連付ける。R33が10.1.0.0/16を搬送するルート情報をAS4に送信するとき、R33は、10.1.0.0/16に対応するASパスに、R33が配置されるAS(すなわち、AS3)に関する情報を挿入する。この場合、AS3は、10.1.0.0/16に関連付けられたソースASである。
【0085】
S404:R33が10.1.0.0/16をAS4に送信する前に、R33は、R33において構成されたアウトバウンドルートポリシーに従ってAS情報を修正する。図4における実施形態では、検証前のAS情報は、ルートプレフィックスに関連付けられたAS情報と呼ばれ、関連付けられたAS情報は、検証されるべきAS情報を含む。修正後のASパスが(AS1)であり、10.1.0.0/16に関連付けられたAS情報が(AS1)であり、検証されるべきAS情報がソースAS情報、すなわちAS1であることが仮定される。
【0086】
S405:R33は、ROAデータ内に一致項目がないことを検証する。検証されるべきソースAS情報はAS1であるが、ROAベース内の10.1.0.0/16に対応するソースASはAS3である。AS1は、AS3とは異なる。したがって、R33は、ROAデータ内に一致項目がないと決定する。ステップS406が実行される。
【0087】
S406:R33は、10.1.0.0/16を送信しないことを決定する。次いで、ステップS407が実行され得る。
【0088】
以下は、図4における実施形態に基づく例を使用することによって、いくつかの他の可能な実装を記載する。実装は、これらの可能な実装に限定されないことが理解されるべきである。
【0089】
可能な場合には、ステップS404が実行されない、またはステップS404は実行されるが、ステップS404における修正後のASパスに対応するソースASが依然としてAS3である(たとえば、ステップS404における修正後のASパスは(AS2, AS3)である)図2における実施形態におけるケース1を参照すると、R33は、ROAデータ内に一致項目があると決定する。図2における実施形態におけるケース1を参照されたい。
【0090】
可能な場合、ROAデータベース内に10.1.0.0/16に一致するエントリがないならば、R33は、ROAデータ内に一致項目がないと決定する。図2における実施形態におけるケース3を参照されたい。
【0091】
図4における実施形態では、ステップS401、S404、およびS407はオプションである。加えて、ステップの順序は単に一例であり、ステップは、また、別の適切な順序で実行されてもよい。たとえば、ステップS401は、ステップS405の前に実行されてもよい。
【0092】
上記の例では、R33は、10.1.0.0/16を生成する。したがって、10.1.0.0/16に関連付けられたソースASはAS3である。10.1.0.0/16はまた、R31またはR32によって生成され、R33に送信されてもよいことが理解されるべきである。この場合、10.1.0.0/16に関連付けられたソースASは、依然としてAS3である。実行方法については、図4における実施形態を参照されたい。詳細は再度記載されない。
【0093】
図4に表された実施形態では、送信されたルート情報内のソースAS情報の精度を改善し、異常なネットワークフロー方向を引き起こす可能性を低減するために、ソースASがAS3であるルートプレフィックスを送信する前に、AS3内のネットワークデバイスは、まず、ルートプレフィックスに関連付けられたソースAS情報を検証し、検証結果に基づいて、ルートプレフィックスを送信するかどうかを決定する。他の有益な効果については、図2における実施形態における有益な効果の記載を参照されたい。
【0094】
図2から図4における実施形態は、R33が実行主体である場合を記載する。別の実装では、AS3内のR31またはR32は、また、RPKIサーバとの接続を確立してもよく、ROAデータまたはASPAデータをダウンロードし、10.1.0.0/16を送信する前に10.1.0.0/16に対応するAS情報を検証する。具体的な方法については、図2から図4における実施形態におけるR33によって実行されるステップを参照されたい。詳細は、ここで再度記載されない。
【0095】
図2から図4における実施形態では、R33は、ROAデータまたはASPAデータをRPKIサーバからダウンロードする。別の可能な設計では、RPKIサーバは、ROAデータまたはASPAデータをR33に能動的にプッシュする。
【0096】
図5は、方法の実施形態におけるネットワークデバイスの可能な構造の概略図である。ネットワークデバイス500は、図1におけるR31、R32、またはR33であり得る。ネットワークデバイス500が図1におけるR33であるならば、ネットワークデバイス500は、図2、図3、または図4に表された実施形態におけるR33の機能を実現する。図5を参照すると、ネットワークデバイス500は、取得モジュール501、検証モジュール502、および決定モジュール503を含む。これらのモジュールは、方法の実施形態におけるネットワークデバイスの対応する機能を実行し得る。取得モジュールは、図2におけるステップS202からS205、図3におけるステップS302からS305、または図4におけるステップS402からS404を実行する際にネットワークデバイス500をサポートするように構成されたルートプレフィックス取得サブモジュールおよび自律システム情報取得サブモジュールを含み得る。検証モジュール502は、図2におけるステップS205、図3におけるステップS305、または図4におけるステップS405を実行する際にネットワークデバイス500をサポートするように構成される。決定モジュール503は、図2におけるステップS206からS208、図3におけるステップS306、または図4におけるステップS406を実行する際にネットワークデバイス500をサポートするように構成される。ネットワークデバイス500は、ルート起点情報ベース取得モジュール504および送信モジュール506をさらに含む。ルート起点情報ベース取得モジュール504は、図2におけるステップS201、図3におけるステップS301、または図4におけるステップS401を実行する際にネットワークデバイス500をサポートするように構成される。送信モジュール506は、図2におけるステップS210を実行する際にネットワークデバイス500をサポートするように構成される。任意選択で、ネットワークデバイス500は、図2におけるステップS209、図3におけるステップS307、または図4におけるステップS407を実行する際にネットワークデバイス500をサポートするように構成されたアラームモジュール505をさらに含む。
【0097】
【0098】
統合モジュールが使用されるとき、図5における実施形態におけるモジュールが統合されてもよい。たとえば、図5における実施形態における検証モジュール502および決定モジュール503は、1つのモジュールに組み合わされてもよい。
【0099】
図6は、方法の実施形態におけるネットワークデバイスの可能な構造の概略図である。ネットワークデバイス600は、図1におけるR31、R32、またはR33であり得る。ネットワークデバイス600が図1におけるR33であるならば、ネットワークデバイス600は、図2、図3、または図4に表された実施形態におけるR33の機能を実現する。ネットワークデバイス600は、プロセッサ601、メモリ602、通信インターフェース603、およびバス604を含む。プロセッサ601、通信インターフェース603、およびメモリ602は、バス604を通じて互いに接続される。バス604は、周辺構成要素相互接続(peripheral component interconnect、略してPCI)バス、拡張業界標準アーキテクチャ(extended industry standard architecture、略してEISA)バス、または同様のものであり得る。バスは、アドレスバス、データバス、制御バス、および同様のものに分類されてもよい。表現の容易さのために、図6においてバスを表現するために1つの太線のみが使用されるが、これは、1つのバスのみまたは1種類のバスのみがあることを意味しない。プロセッサ601は、コンピュータプログラムを記憶するように構成される。コンピュータプログラムは、プログラム命令を含む。プロセッサ601は、プログラム命令を呼び出して、図2、図3、または図4におけるステップを実行するように構成される。
【0100】
可能な設計では、通信インターフェース603は、図2におけるステップS201、S202、S209、およびS210、図3におけるステップS301、S302、およびS307、または図4におけるステップS401およびS407を実行する。プロセッサ601は、プログラム命令を呼び出して、図2におけるステップS203からS208、図3におけるステップS303からS306、または図4におけるステップS402からS406を実行するように構成される。
【0101】
本発明の一実施形態は、コンピュータ記憶媒体をさらに提供する。コンピュータ可読記憶媒体は、プログラムを記憶する。プログラムが実行されるとき、コンピュータは、方法の実施形態における方法を実現することが可能にされる。
【0102】
本発明の一実施形態は、プログラム命令に関連するハードウェアを含むルート処理装置をさらに提供する。ハードウェアは、方法の実施形態における方法において使用される。
【0103】
本発明の実施形態において言及される「第1の」は、単に名称識別子として使用され、順序における1番目を表現しない。この規則は、「第2の」にも適用可能である。
【0104】
本発明の実施形態において開示された内容において記載された方法のステップは、ハードウェア、またはソフトウェア命令を実行することによってプロセッサによって実現され得る。ソフトウェア命令は、対応するソフトウェアモジュールによって形成されてもよく、ソフトウェアモジュールは、ランダムアクセスメモリ(random access memory, RAM)、フラッシュメモリ、リードオンリメモリ(read only memory, ROM)、消去可能プログラム可能リードオンリメモリ(erasable programmable ROM, EPROM)、電気的消去可能プログラム可能リードオンリメモリ(electrically EPROM, EEPROM)、ハードディスク、リムーバブルハードディスク、光ディスク、またはこの技術分野においてよく知られた任意の他の形式の記憶媒体に記憶されてもよい。たとえば、記憶媒体は、プロセッサに結合され、それによってプロセッサが記憶媒体から情報を読み取り、記憶媒体に情報を書き込むことができる。確かに、記憶媒体は、その代わりに、プロセッサの構成要素であってもよい。プロセッサおよび記憶媒体は、ASIC内に配置されてもよい。
【0105】
上記の1つまたは複数の例において、本発明において記載された機能は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせによって実現され得ることをこの技術分野の当業者は認識すべきである。本発明がソフトウェアによって実現されるとき、上記の機能は、コンピュータ可読媒体に記憶され、またはコンピュータ可読媒体内の1つまたは複数の命令またはコードとして伝送されてもよい。コンピュータ可読媒体は、コンピュータ記憶媒体および通信媒体を含む。通信媒体は、コンピュータプログラムが1つの場所から別の場所に伝送されることを可能にする任意の媒体を含む。記憶媒体は、汎用または専用のコンピュータにアクセス可能な任意の利用可能な媒体であってもよい。
【0106】
本発明の目的、技術的解決策、および有益な効果は、上記の具体的な実施形態においてさらに詳細に記載されている。上記の記載は、単に本発明の具体的な実装であるが、本発明の保護範囲を限定するために意図されないことが理解されるべきである。本発明の技術的解決策に基づいて、行われる任意の修正、等価な置換、および改善は、本発明の保護範囲内にあるものである。
【符号の説明】
【0107】
500 ネットワークデバイス
501 取得モジュール
502 検証モジュール
503 決定モジュール
504 ルート起点情報ベース取得モジュール
505 アラームモジュール
506 送信モジュール
600 ネットワークデバイス
601 プロセッサ
602 メモリ
603 通信インターフェース
604 バス
501 取得モジュール
502 検証モジュール
503 決定モジュール
504 ルート起点情報ベース取得モジュール
505 アラームモジュール
506 送信モジュール
600 ネットワークデバイス
601 プロセッサ
602 メモリ
603 通信インターフェース
604 バス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
