一种路由起源授权压缩的编码和解码方法及系统与流程

1.本发明涉及信息处理技术领域，具体涉及一种路由起源授权压缩的编码和解码方法及系统。


背景技术：

2.边界网关协议(border gateway protocol，bgp)在安全方面的设计存在较大的不足，容易遭受异常路由攻击。针对bgp的安全问题，互联网码号资源公钥基础设施(resource publ ic key infrastructure，rpki)被设计出来。它的基本思想是构建一个公钥基础设施(public key infrastructure，pki)，并且基于互联网码号资源(internet number resource，inr)的层级式分配结构，完成对ip资源(ip地址前缀)和as资源(as号)分配关系的认证。
3.如图1所示，rpki主要包括认证权威(certification authority，ca)、依赖方(relying party，rp)和bgp路由器三类组件。ca机构负责资源分配，与此同时，为下级ca机构签发相应的资源证书以认证此次资源分配关系。当合法持有资源后，ca机构可继续签发路由起源授权(route origin authorization，roa)，将ip资源合法授权给一个或者多个自治系统用于域间路由系统的广播。rp系统通过rsync/rpki资料库增量同步协议(rpki repository delta protocol，rrdp)从rpki资料库下载各种资源证书和签名对象，保存为本地副本，并且需要定期更新该副本。rp会对这些本地rpki数据对象进行验证，从而得到ip前缀(ip
‑
prefix)与as号(as number,asn)的有效授权关系(即<ip
‑
prefix,maxlength，asn>映射)，并存放在本地缓存中。bgp路由器可以选择一个或多个自己信任的rp，委托其处理rpki认证信息。bgp边界路由器通过rpki
‑
路由器(rpki
‑
to
‑
router，rtr)协议从rp下载<ip
‑
prefix,maxlength，asn>映射数据,用以验证bgp路由消息中起源as的合法性，以识别和抵御路由劫持攻击。
4.在roa数据对象中，maxlength字段的设置为ca在授权ip前缀方面带来了极大的灵活性，可以为将来需要使用的ip前缀“提前”背书。这样，在需要使用子前缀时(比如，部署流量工程)不需要临时申请授权。然而，提前授权ip前缀的方式为攻击者提供了实施子前缀劫持攻击的机会，带来了严重的安全隐患。如图2所示，ip前缀168.122.2.0/24和168.122.3.0/24均已经由roa授权认证，但并未在域间路由系统中实际使用(表示为白点)，于是，攻击者可利用这一漏洞发起源伪造的子前缀劫持攻击。针对这一问题，业界已达成普遍共识，在签发roa时应尽可能遵循“minimal roa”原则——使用多少签发多少，以杜绝潜在风险。然而，这样会导致roa数据对象的签发量和尺寸的增长，进而带来高昂的传输、验证和使用开销。特别地，bgp路由器从rp获取路由起源授权信息时需要处理更多的rtr协议数据单元(protocol data unit，pdu)，并且，这些开销会随着rpki的部署推进持续高速增长，进而降低rpki系统的可扩展性。
5.rpki和roa对于bgp路由安全的保障效果需要大规模部署后才能体现出来。因此，设计兼具高安全性和高可扩展性的roa编码方案是加快推进rpki部署保障bgp路由安全亟
待解决的关键技术瓶颈。


技术实现要素：

6.本发明的目的在于，设计一种基于比特位图(bitmap)的路由起源授权信息压缩编码方案，并扩展了roa数据对象和rtr payload pdu的格式以支持在现有rpki系统和协议中集成该编码方案。该发明不仅能实现如minimal roa一般的高安全性，同时又能突破扩展性瓶颈，实现安全、可扩展的路由起源授权信息的压缩编码。下文将分为三个部分介绍本发明的内容：1)基于bitmap的路由起源授权信息的压缩编码；2)基于bitmap的路由起源授权信息的解码；3)基于子树映射的路由起源授权信息的维护。
7.一、基于bitmap的路由起源授权信息的压缩编码方法
8.给定一个as的授权ip前缀集(假定为同一类型的ip前缀，例如：ipv4前缀或者ipv6前缀)，可以用一棵ip前缀树(本质为二叉树)来维护这些ip前缀。在这棵树上，每一条ip前缀唯一对应树中的一个节点，且ip前缀由一条从树根节点到该节点的路径确定。本发明旨在将这棵树拆解为多个互不相交的独立子树块，每一个子树块可由其根节点在原前缀树中的位置唯一确定。每个子树块由元组(identifier，bitmap)组成，identifier和bitmap分别表示子树树根和整棵子树的编码。因此，可将原始前缀树根节点到一个子树块根节点的路径编码为一个整数，用作这个子树块的唯一标识(identifier)。此外，可将整个子树块包含的所有节点编码为一个比特位图(bitmap)。这样，可将给定as的路由起源授权信息(即授权从这个as起源的一组ip前缀)编码为多个(identifier,bitmap)元组。
9.需要说明的是，本发明方案的编码功能可实现在ca侧软件或者rp软件中。在ca侧，与传统方案将多个地址块(ipaddrblock)封装于一个roa数据对象中类似，本发明方案将多个子树块封装于一个roa数据对象。在rp侧，一个rtr payload pdu只承载一个地址块，与之对应，本发明方案也只在一个rtr payload pdu中封装一个子树块。下面分别介绍子树块划分、编码和维护。
10.1、子树块划分
11.给定一棵ip前缀树(ipv4前缀树的高度为33，ipv6前缀树的高度为129，且高度均从0开始编号)，本发明定义“挂载层”作为子树块划分的依据。每一个子树块的根节点位于某一个挂载层上，而叶子节点则延伸到下一个挂载层的上一层，当挂载层为第30层时，叶子节点为ip前缀树的最后一层。这样，只要给定挂载层的划分方案就能唯一确定子树块的划分。本发明方案设置挂载层为5的倍数，即第0层，第5层，以此类推。这样，每一个子树块包含的节点数为25
‑
1＝31个(除了以第30层挂载层中节点为根节点的子树块)。在上述子树块中，每一个节点唯一定义了一条ip前缀，如果一个节点对应的ip前缀为已授权前缀，则称该节点为“授权”节点。按此方法可将一个给定as授权起源的ip前缀集划分为多个包含授权节点且互不相交的子树块。
12.2、子树块编码
13.给定一个子树块x，假定其根节点对应的ip前缀为x/y(x表示ip地址，y表示前缀长度)，本方案使用y 1个比特来编码子树块的identifier，且采用低位编码方案，即这y 1个比特为identifier二进制表示中的低y 1位。其中，这y 1位中的最高位为标志位并置为1，后续y个比特即为ip地址x的前y个比特。可以证明，这样的编码具有唯一性，即任意两个不
同的子树块，按上述方案计算的identifier必不相同。证明过程略。同时，本发明根据子树块x中授权节点的位置将x编码为一个32比特的bitmap。编码方法如下。首先，根据x最深叶子节点所在的层数，将x补齐为一棵完全二叉树，并保持所有授权节点的位置不变；将所有节点按照从上到下、从左到右的层序遍历顺序从1开始进行编号，则每一个节点都可以根据节点编号唯一确定bitmap中的一个比特；bitmap的最低位没有对应任何节点，用作标志位，以标识这个子树块是用作宣告(announcement)还是撤销(withdrawal)。在上述bitmap中，将子树块中所有授权节点对应的比特置为1，其他比特都置为0。如果该子树块用于撤销，则还需将标志位置为1。
14.3、子树块维护
15.本发明定义“子树映射(sub
‑
tree map，stm)”为从子树块identifier到子树块bitmap的一一映射，可采用哈希表等方式来实现。考虑到rpki中roa宣告和roa撤销是两个独立操作，需要为每一个as维护两个独立的stm，用于维护一个as被授权起源的ip前缀集编码得到的所有子树块，一个用作宣告，一个用作撤销。因此，本发明为每一个stm都记录一个撤销标志，以区分其作用类型(1表示撤销，0表示宣告)。在stm中插入子树块(id,bm)的步骤如下。首先，在stm中查询id，返回对应的bitmap b(如果没有命中则返回全0的bitmap)。然后根据stm的撤销标志位和bm的撤销标志位来决定如何对b进行更新。如果stm的撤销标志位与bm的撤销标志位相同，则对b和bm执行按位或操作来更新b；若二者的撤销标志不同，则将bm按位取反后再与b进行按位与操作来更新b。最后，在stm中将id对应的bitmap设置为更新后的b。
16.按上述编码方案，一个as的授权ip前缀集经本方案可编码为n个(identifier，bitmap)元组，其中，1≤n。当编码方案的部署实体为ca时，ca根据stma生成一个roa数据对象，其内容包含一个asn和一个子树块列表；当编码方案的部署实体为rp时，rp根据stma生成n个rtr payload pdu，每一个rtr payload pdu中包含一个asn和一个子树块。需要说明的是，如果一个as的授权ip前缀集中同时包含ipv4前缀和ipv6前缀，需要根据ip前缀的类型分别在ipv4前缀树和ipv6前缀树上进行编码。为将本发明集成到现有rpki系统中，本发明对roa数据对象和rtr pdu的格式进行了修改，图3、图4和图5分别为roa的asn.1格式示意图，rtr ipv4 prefix pdu(type为11)格式示意图和rtr ipv6 prefix pdu(type为12)格式示意图。
17.相应地，基于bitmap的路由起源授权压缩的编码系统，包括：
18.第一处理单元，用于给定一个as的授权ip前缀集，用一棵ip前缀树来维护ip前缀；
19.第二处理单元，用于将所述ip前缀树拆解为多个互不相交的独立子树块，每一个子树块由其根节点在原前缀树中的位置唯一确定；
20.第三处理单元，用于将原始前缀树根节点到一个子树块根节点的路径编码为一个整数，用作这个子树块的唯一标识identifier；将整个子树块包含的所有节点编码为一个比特位图bitmap；将给定as的路由起源授权信息编码为多个identifier和bitmap元组。
21.二、基于bitmap的路由起源授权信息的解码
22.给定一个子树块(identifier，bitmap)，解码功能旨在将其解码为一组授权ip前缀，具体步骤如下所示。bgp路由器为解码功能的部署实体，从rtr ipv4prefix pdu或rtr ipv6 prefix pdu解析出(identifier,bitmap)的元组后进行解码。
23.首先，从identifier解码该子树块树根对应的ip前缀x/y。对identifier的二进制表示从低往高进行编号(最低位编号为0)，则其最高设置位的编号即为y，而其低y位即为ip地址x的前y位(x中的其余比特位均置为0)。
24.然后，从bitmap中可以解析出撤销标志位(即bitmap的最低位)并解码出一组授权ip前缀。除标志位外，bitmap中每一个设置位都对应一个授权ip前缀。对bitmap中的每一位从低位开始编号(从0开始，且0为标志位)。对于某个设置位p(不为0),将p的二进制表示去除最高设置位后直接拼接到子树块根对应的前缀x/y(即ip地址x的前y个比特)后，即可得到一个授权ip前缀。
25.相应地，基于bitmap的路由起源授权压缩的解码系统，包括：
26.第一处理单元，对路由起源授权数据对象包含的子树块进行逐一解码；
27.第二处理单元，对于每一个子树块，用于从identifier解码该子树块树根对应的ip前缀x/y，对identifier的二进制表示从低往高进行编号，则其最高设置位的编号即为y，而其低y位即为ip地址x的前y位；
28.第三处理单元，对于每一个子树块，用于从bitmap中解析出撤销标志位并解码出一组授权ip前缀，除标志位外，bitmap中每一个设置位都对应一个授权ip前缀；对bitmap中的每一位从低位开始编号，对于某个设置位p,将p的二进制表示去除最高设置位后直接拼接到子树块根对应的前缀x/y后，即可得到一个授权ip前缀；
29.第四处理单元，将上述过程解码出来的授权ip前缀组合成一个授权前缀集。三、基于子树映射的路由起源授权信息的维护
30.本发明为每一个as维护两个子树映射，stma和stmw，来管理路由起源授权信息的宣告和撤销。当ca需要为一个as宣告路由起源授权信息时，先基于stma将相应的路由起源授权信息编码为多个子树块并维护；当ca需要为一个as撤销所有或者部分路由起源授权信息时，先基于stmw将待撤销的路由起源授权编码为多个子树块并维护.需要说明的是，ca可同时为一个as宣告或者撤销路由起源授权信息，当这一情况发生时，ca基于stma和stmw分别完成对宣告和撤销路由起源授权信息的编码和维护操作。
31.当rp收到针对一个as的宣告路由起源授权信息时，提取子树块并逐个插入该as对应的stma即可；当rp收到针对一个as的撤销路由起源授权信息时，提取子树块并分别插入该as对应的stma和stmw中。
32.本发明不仅能实现如minimal roa一般的高安全性，同时又能突破扩展性瓶颈，实现安全、可扩展的路由起源授权信息的压缩编码。
附图说明
33.图1是rpki体系结构的示意图；
34.图2是loose roa的示意图；
35.图3是本发明实施例中roa的asn.1格式示意图；
36.图4是本发明实施例中rtr ipv4 prefix pdu的格式示意图；
37.图5是本发明实施例中rtr ipv6 prefix pdu的格式示意图；
38.图6是本发明实施例的最大化部署场景示意图；
39.图7是本发明实施例的最小化部署场景示意图；
40.图8是本发明实施例一的待编码子树块(宣告状态)的示意图；
41.图9是本发明实施例二的待编码子树块(宣告状态)的示意图；
42.图10是本发明实施例三的待编码子树块(撤销状态)的示意图。
具体实施方式
43.下面结合附图与具体实施方式对本发明作进一步详细描述。
44.本发明实施例路由起源授权压缩编码和解码方法，主要包括基于bitmap的路由起源授权信息压缩编码操作、基于bitmap的路由起源授权信息解码操作和基于子树映射的路由起源授权信息维护操作三个内容。
45.需要说明的是，本发明实施例的编码方案具有两个部署场景，分别为最大化部署场景和最小化部署场景。最大化部署指ca负责路由起源授权信息的压缩编码，rp负责路由起源授权信息的维护，bgp路由器负责路由起源授权信息的解码，如图6所示。最小化部署指rp负责路由起源授权信息的压缩编码，bgp路由器负责路由起源授权信息的解码，如图7所示。下面将以本方案的最大化部署场景为例，并通过三个具体实施例对上述三个操作类型分别进行详细说明。
46.一、基于bitmap的路由起源授权信息压缩编码操作
47.实施例一：
48.假设ca计划将图8中的3个ipv4前缀授权给as 111时，于是，该as获得了一个处于宣告状态的授权ip前缀集p＝{34.0.0.0/7,32.0.0.0/8,38.128.0.0/9}。针对as 111，ca首先为其初始化一个stma(假设数据结构为哈希表)，用于存储一个或者多个子树块(identifier，bitmap)，其中，键为identifier，值为bitmap。ca的编码过程实际上是以ip前缀为单位逐个进行操作的。
49.在ipv4前缀树中，第5层和第10层均为挂载层，根据挂载ip前缀的具体操作内容可知，上述3个ipv4前缀的前缀长度分别为7，8和9，ca将确定第5层为它们的挂载层。以授权ipv4前缀34.0.0.0/7为例，由于34.0.0.0是一个32位的ipv4前缀的点十分表示法，它的二进制形式为：00100010 0000000000000000 00000000，根据前缀长度7可以确定前7个比特为：0010001，因此，其所挂载的子树树根的identifier为：100100(树根节点的编号为1，00100为0010001的前5个比特)。于是，第6个到第7个比特共同确定的比特串为：01，通过在其前面添加1(添加1的操作表示将1向左移动i位，1代表的是这个节点所在层的偏移量，需要在前面加上每一层(i表示层数)的起点值2**i，树根节点所在层为第0层。)得出该ip前缀在子树中的节点编号为5(5的二进制比特编码为：101)。通过同样的方法可以计算得出，32.0.0.0/8和38.128.0.0/9与34.0.0.0/7挂载在同一棵子树且在该子树中的节点编号分别为：8和29。于是，该子树块可编码为bitmap：00100000000000000000000100100000，其中，索引值为5、8和29的比特置为“1”，其他比特置为“0”，且撤销标志位置为“0”，表示上述3个ipv4前缀处于宣告状态，ca向stma插入(id＝100100，bm＝00100000000000000000000100100000)条目，并且，该stma中包含的子树块条目数量为1。最后，ca将stma中的内容以元组(identifier，bitmap)为单位封装于roa数据对象的subtreeblock字段中，且将asid字段设置为整数111，并通过rysnc协议/rrdp协议发送给rp。
50.实施例二：
51.假设ca计划将图9中的1个ipv4前缀授权给as 222时，于是，该as获得了一个授权ip前缀集p＝{10.1.0.0/16}，针对as 222，ca首先为其初始化一个stma。在ipv4前缀树中，第15层和第20层均为挂载层，根据挂载ip前缀的具体操作内容可知，上述ipv4前缀的前缀长度分别为16，ca将确定第15层为它的挂载层。
52.针对ipv4前缀10.1.0.0/16，ca根据其ip地址和前缀长度共同确定的前16个比特为：0000101000000000，因此，其所挂载的子树树根的identifier为：1000010100000000(000010100000000为0000101000000000的前15个比特)。于是，第16个比特确定的比特串为：1，通过在其前面添加1得出该ip前缀在子树中的节点编号为3(3的二进制比特编码为：11)。于是，该子树块可编码为bitmap：00000000000000000000000000001000，其中，索引值为3的比特置为“1”，其他比特置为“0”，且撤销标志位置为“0”，表示上述1个ipv4前缀处于宣告状态，ca向stma插入(id＝1000010100000000，bm＝00000000000000000000000000001000)条目，该stma中包含的子树块条目数量为1。最后，ca将stma中的内容以元组(identifier，bitmap)为单位封装于roa数据对象的subtreeblock字段中，且将asid字段设置为整数222，并通过rysnc协议/rrdp协议发送给rp。
53.实施例三：
54.假设ca计划将图10中的2个ipv4前缀撤销授权给as 111时，针对as 111，ca首先为其初始化一个stmw。针对上述两个ipv4前缀确定的子树块的编码操作与实施例一中的编码操作基本一致，除了将bitmap的撤销标志位置为“1”，表明上述两个授权ipv4前缀处于撤销状态。因此，ca可得到一个包含一个条目的stmw，该条目为(id＝100100，bm＝00000000000000000000000100100001)。最后，ca将stmw中的内容以元组(identifier，bitmap)为单位封装于roa数据对象的subtreeblock字段中，且将asid字段设置为整数111，并通过rysnc协议/rrdp协议发送给rp。
55.二、基于子树映射的路由起源授权信息的维护操作
56.实施例一：
57.假设rp收到从ca发送的roa数据对象(按照图8进行压缩编码)，首先，rp读取roa数据对象的asid字段为111，当发现并未为as 111维护stm时，rp初始化两个stm，分别为stma和stmw，且两者的内容均为空。然后，rp读取roa数据对象中的subtreeblock字段，发现仅有一个条目且为(100100，00100000000000000000000100100000)，根据bitmap的撤销标志位(0)可知该子树块中的授权ip前缀集处于宣告状态，于是，将这一条目插入stma中。
58.具体插入过程如下所示：首先，rp在stma中查询id＝100100，返回对应的bitmap b(假设没有命中，返回全0的bitmap)。然后，根据stma的撤销标志位(0)和bm的撤销标志位(0)可知，两者的撤销标志位相同，于是将b＝00000000000000000000000000000000和bm＝00100000000000000000000100100000执行按位或操作更新b＝00100000000000000000000100100000。接着，在stma中将id＝100100对应的bitmap设置为更新后的b＝00100000000000000000000100100000。最后，rp生成一个rtr ipv4 prefix pdu，并将pdu类型设置为11，identifier字段设置为00000000000000000000000000100100，bitmap字段设置为00100000000000000000000100100000，asn字段设置为111，并通过rtr协议发送给bgp路由器。
59.实施例二：
60.假设rp收到从ca发送的roa数据对象(按照图9进行压缩编码)，首先，rp读取roa数
据对象的asid字段为222，当发现并未为as 222维护stm时，rp初始化两个stm，分别为stma和stmw，且两者的内容均为空。然后，rp读取roa数据对象中的subtreeblock字段，发现仅有一个条目且为(1000010100000000，00000000000000000000000000001000)，根据bitmap的撤销标志位(0)可知该子树块中的授权ip前缀集处于宣告状态，于是，将这一条目插入stma中。
61.具体插入过程如下所示：首先，rp在stma中查询id＝1000010100000000，返回对应的bitmap b(假设没有命中，返回全0的bitmap)。然后，rp根据stma的撤销标志位(0)和bm的撤销标志位(0)可知，两者的撤销标志位相同，于是将b＝00000000000000000000000000000000和bm＝00000000000000000000000000001000执行按位或操作更新b＝00000000000000000000000000001000。接着，在stma中将id＝1000010100000000对应的bitmap设置为更新后的b＝00000000000000000000000000001000。最后，rp生成一个rtr ipv4 prefix pdu，并将pdu类型设置为11，identifier字段设置为00000000000000000000000000100100，bitmap字段设置为00100000000000000000000100100000，asn字段设置为222，并通过rtr协议发送给bgp路由器。
62.实施例三：
63.假设rp收到从ca发送的roa数据对象(按照图10进行压缩编码)，首先，rp读取roa数据对象的asid字段为111，并且，本地已经为as 111维护了两个stm：stma和stmw。然后，rp读取roa数据对象中的subtreeblock字段，发现仅有一个子树块条目且为(id＝100100，bm＝00000000000000000000000100100001)，根据bitmap的撤销标志位(1)可知该子树块中的授权ip前缀集处于撤销状态，于是，将这一条目分别插入stma和stmw中。
64.该子树块插入stma的具体过程如下所示：首先，rp在stma中查询id＝100100，返回对应的bitmap b(命中，由实施例一中插入的bitmap返回b＝00100000000000000000000100100000)。然后，rp根据stma的撤销标志位(0)和bm的撤销标志位(1)可知，两者的撤销标志位不同，于是将bm＝00000000000000000000000100100001按位取反得到11111111111111111111111011011110与b＝00100000000000000000000100100000执行按位与操作更新b＝00100000000000000000000000000000。接着，在stma中将id＝100100对应的bitmap设置为更新后的b＝00100000000000000000000000000000，表示该bitmap中索引值为29对应的授权ip前缀集仍然处于宣告状态。
65.该子树块条目插入stmw的具体过程如下所示：首先，rp在stmw中查询id＝100100，返回对应的bitmap b(假设没有命中，返回全0的bitmap)。然后，rp根据stmw的撤销标志位(1)和bm的撤销标志位(1)可知，两者的撤销标志位相同，于是将b＝00000000000000000000000000000000和bm＝00000000000000000000000100100001执行按位或操作更新b＝00000000000000000000000100100001。接着，在stmw中将id＝100100对应的bitmap设置为更新后的b＝00000000000000000000000100100001。
66.最后，rp生成一个rtr ipv4 prefix pdu，并将pdu类型设置为11，identifier字段设置为00000000000000000000000000100100，bitmap字段设置为00100000000000000000000000000000，asn字段设置为111，并通过rtr协议发送给bgp路由器。
67.三、基于bitmap的路由起源授权信息解码操作
68.实施例一：
69.当bgp路由器收到实施例一中rp发送的rtr ipv4 prefix pdu后，从中解析出(identifier，bitmap)元组后进行解码，该元组为(00000000000000000000000000100100，00100000000000000000000100100000)。
70.首先，bgp路由器从identifier＝00000000000000000000000000100100解码该子树块树根对应的ip前缀x/y。对identifier的二进制表示从低往高进行编号(最低位编号为0)，则其最高设置位的编号即为5，而其低5位(00100)即为ip地址x的前5位(x中的其余比特位均置为0)，x表示为00100000000000000000000000000000。
71.然后，bgp路由器从bitmap＝00100000000000000000000100100000中可以解析出撤销标志位为“0”，并解码出一组授权ip前缀。除标志位外，bitmap中每一个设置位都对应一个授权ip前缀。对bitmap中的每一位从低位开始编号(从0开始，且0为标志位)。对于某个设置位p(不为0),将p的二进制表示去除最高设置位后直接拼接到子树块根对应的前缀x/y(即ip地址x的前y个比特)后，即可得到一个授权ip前缀。以设置位5为例进行说明，5的二进制表示为101，除去最高设置位后为01，将其拼接在ip地址的前5位——00100之后，即可得到0010001，该授权ip前缀的ip地址的二进制表示为00100010000000000000000000000000，且前缀长度为7(34.0.0.0/7)。按照同样的解码方法，bitmap中设置位为8和29可解码出授权ip前缀32.0.0.0/8和38.128.0.0/9。
72.需要说明的是，当本编码方案采用最小化部署场景时，即rp负责路由起源授权信息的压缩编码，bgp路由器负责路由起源授权信息的解码，这一过程不涉及基于子树映射的路由起源授权信息维护操作。当bgp路由器收到的rtr payload pdu中封装了处于撤销状态的子树块，则通过解码操作得到1个asn和n个授权ip前缀，仅仅从本地维护的ip前缀和asn映射关系的数据结构中删除n个元组(asn,ip前缀)即可。
73.本发明实施例不仅能实现如minimal roa一般的高安全性，同时又能突破扩展性瓶颈，实现安全、可扩展的路由起源授权信息的压缩编码。
74.显而易见，在不偏离本发明的真实精神和范围的前提下，在此描述的本发明可以有许多变化。因此，所有对于本领域技术人员来说显而易见的改变，都应包括在本权利要求书所涵盖的范围之内。本发明所要求保护的范围仅由所述的权利要求书进行限定。