一種數據報文的處理方法、裝置及系統的製作方法
2023-06-16 05:30:51
專利名稱:一種數據報文的處理方法、裝置及系統的製作方法
技術領域:
本發明涉及通信領域,尤其涉及一種數據報文的處理方法、裝置及系統。
背景技術:
隨著網際網路業務的不斷發展,網絡安全問題日益成為困擾運營商的難題之一。如何保護客戶設備的安全成為網絡建設中必須慎重考慮的問題。現網運行的設備經常遭受的攻擊有傳輸控制協議/網際網路互聯協議(TCP/IP,Transmission Control Protocol/ Internet Protocol)攻擊,生存時間(TTL,Time To Live)超時攻擊,網際網路控制報文協議(ICMP, Internet Control Message Protocol)攻擊,地址解析協議(ARP, Address Resolution Protocol)攻擊等,其中,TCP/IP協議攻擊比較嚴重,如何防止TCP/IP協議攻擊成為網絡安全重點問題。網際網路互聯協議(IPJnternet Protocol)是無連接的,只要獲得某臺用戶邊緣設備(CE,Customer Edge)上的一個接口地址,就可向其發起攻擊,對用戶邊緣設備的運營安全造成危害。現有技術中,在運營商邊緣設備(PE,Provider Edge)上,配置訪問控制列表 (ACL,Access Control List)規則,對IP報文做一些限制,控制虛擬專用網絡(VPN,Virtual Private Network)流量,從而達到保護用戶設備的目的。但在上述現有技術中,需要針對不同目的地址的流程手動配置ACL規則,無法實時響應網絡設備規劃的變化而變更ACL規則。
發明內容
本發明實施例提供了一種數據報文的處理方法、裝置及系統,用以提高VPN數據報文的安全性,避免非法數據報文的攻擊。本發明實施例提供的數據報文的處理方法,包括運營商邊緣設備PE識別接收到的數據報文中的內層標籤;比較所述內層標籤與所述PE的轉發表項中保存的標籤是否相同,所述轉發表項是所述數據報文目的地址對應的轉發表項;若相同,則轉發所述數據報文。本發明實施例提供的數據報文的處理裝置,包括識別單元,用於識別接收到的數據報文中的內層標籤;比較單元,用於比較識別單元識別的所述內層標籤,與所述PE的轉發表項中保存的標籤是否相同,所述轉發表項是所述數據報文目的地址對應的轉發表項; 轉發單元,用於比較單元的比較結果若相同,則轉發所述數據報文。本發明實施例提供的數據報文的處理系統,包括運營商邊緣設備PE,用於識別接收到的數據報文中的內層標籤;比較識別的所述內層標籤與所述PE的轉發表項中保存的標籤是否相同,所述轉發表項是所述數據報文目的地址對應的轉發表項;若相同,則轉發所述數據報文;客戶側設備CE,用於接收所述PE發送的數據報文。從以上技術方案可以看出,本發明實施例具有以下優點PE識別接收到的數據報文中的內層標籤,並與PE的轉發表項中保存的標籤進行比較,若比較結果相同,表示數據報文中的內層標籤是之前由PE發送的,那麼接收的數據報文是安全數據報文,轉發該數據報文給目的CE,可提高VPN數據報文的安全性,避免非法報文的攻擊。
圖1為VPN網絡中各設備連接示意圖;圖2為本發明實施例中的數據報文的處理方法的一個實施例示意圖;圖3為本發明實施例中的數據報文的處理方法的另一個實施例示意圖;圖4為本發明實施例中的數據報文的處理裝置的一個實施例示意圖;圖5為本發明實施例中的數據報文的處理裝置的另一個實施例示意圖;圖6為本發明實施例中的數據報文的處理系統的一個實施例示意圖。
具體實施例方式本發明實施例提供了一種數據報文的處理方法、裝置及系統,用於快速檢測虛擬專用網絡中的數據報文,保證VPN數據報文的安全性。為便於理解,下面簡要介紹VPN網絡中產生非法攻擊的過程,請參閱圖1,CEl 為PEl的客戶側設備,CE2為PE2的客戶側設備,PEl和PE2通過骨幹網絡核心設備 P(Provider)連接。當CEl準備訪問遠端PE2的客戶側設備時,如,CEl訪問CE2時,PEl需向PE2發送 CEl的VPN路由信息,該VPN路由信息是由服務提供商統一分配的,在該VPN路由信息中攜帶路由標籤,PE2收到該VPN路由信息後,根據VPN路由信息中攜帶的路由標籤,添加數據報文的內層標籤,而後將該數據報文發送給PE1,由PEl轉發給CE1。如果CEl只訪問與PEl直接連接的其他客戶側設備,則PEl不需要向PE2發送CEl 的VPN路由信息,但此時,若PE2非法向PEl發送需轉發給CEl的數據報文,PEl收到該數據報文後,按照其中的VPN路由信息轉發給CE1,但該VPN路由信息並不是PEl發送給PE2 的,從而這種非法的數據報文會對PE1,CEl都造成攻擊。下面介紹本發明實施例提供的數據報文的處理方法,本發明實施例中,PE可以為路由器,也可以為交換機,二者原理相似,為便於描述,本實施例以PE為路由器為例進行說明,可以理解的,PE的種類不構成對本發明的限制。請參閱圖2,本發明實施例中的數據報文的處理方法的一個實施例包括201, PE識別接收到的數據報文中的內層標籤;PE接收到數據報文後,識別該數據報文中的內層標籤。具體例子,可參見圖1,假設PEl接收到PE2發送的數據報文,識別數據報文中的內
層標籤。202、比較識別的內層標籤與該PE的轉發表項中保存的標籤是否相同;PE比較識別的內層標籤,與該PE的轉發表項中保存的標籤是否相同,其中,轉發表項是數據報文目的地址對應的轉發表項。網絡中,服務提供商為每一個虛擬專用網絡(VPN,Virtual Private Network)分配一個內層標籤,用於區別不同路由,PE包括控制平面和轉發平面,在PE內部,由控制平面將該內層標籤發送給轉發平面,在轉發平面的轉發表中攜帶該內層標籤。
若識別的內層標籤,與PE的轉發表項中保存的標籤相同,則執行步驟203。203、若相同,則轉發數據報文。若識別的內層標籤,與PE的轉發表項中保存的標籤相同,PE則轉發數據報文。參見圖1,如果PEl接收到PE2發送的數據報文,識別數據報文中的內層標籤,與 PEl的轉發表項中保存的標籤相比較,比較結果是相同的,則表示數據報文中的內層標籤是之前由PEl發送給PE2的,那麼接收的數據報文是安全數據報文,轉發該數據報文給目的用戶邊緣設備CE1。本實施例中,PE識別接收到的數據報文中的內層標籤,並與PE的轉發表項中保存的標籤進行比較,若比較結果相同,則表示數據報文中的內層標籤是之前由PE發送的,那麼接收的數據報文是安全數據報文,轉發該數據報文給目的CE,可保證VPN數據報文的安全性,避免非法報文的攻擊。為便於理解,下面以另一實施例詳細的描述本發明實施例中的數據報文的處理方法,請參見圖3,本發明實施中的數據報文的處理方法的另一個實施例包括301, PE識別接收到的數據報文中的內層標籤;PE接收到數據報文後,識別其中的內層標籤。具體例子,繼續參見圖1,假設PEl接收到PE2發送的數據報文,識別數據報文中的內層標籤。302、比較識別的內層標籤與PE的轉發表項中保存的標籤是否相同;PE比較識別的內層標籤,與PE的轉發表項中保存的標籤是否相同,若相同,則轉發該數據報文給目的CE,若不相同,則執行步驟303。303、若不同,則將數據報文進行計數、採樣,並上報採樣後的信息;如果PE將識別的內層標籤,與PE的轉發表項中保存的標籤比較後,若內層標籤與 PE的轉發表項中保存的標籤不同,則將數據報文確定為非法數據報文,將該數據報文進行計數,記錄下接收到非法數據報文的次數。並將記錄下的非法數據報文進行採樣,上報給上層管理設備,以進行告警。請繼續參見圖1,PE1接收到PE2發送的數據報文,識別數據報文中的內層標籤,與 PEl的轉發表項中保存的標籤相比較,比較結果是不同的,則表示數據報文中的內層標籤不是PEl發送給PE2的,那麼接收的數據報文為非法數據報文,則不需繼續轉發,此時,對該數據報文進行計數,記錄下接收到非法數據報文的次數,並將數據報文採樣,上報給上層管理設備,以進行告警。304、丟棄該數據報文。將數據報文確定為非法數據報文,將該數據報文進行計數,記錄下接收到非法數據報文的次數並將記錄下的非法數據報文進行採樣,上報給上層管理設備,以進行告警,丟棄該數據報文。需要說明的是,本實施例中,將數據報文進行計數、採樣,並上報採樣後的信息給上層管理設備可以在丟棄非法數據報文之前,也可以在丟棄非法數據報文之後,此兩步驟執行的先後順序不影響本發明技術方案的實施。本發明實施例中,若PE所識別的接收到數據報文的內層標籤,與PE的轉發表項中保存的標籤不同,則表示該數據報文為非法數據報文,不需轉發,可丟棄該數據報文,在丟棄該數據報文之前對該數據報文進行計數,記錄下接收到非法數據報文的次數,並將數據報文採樣,上報給上層管理設備,以進行告警,從而攔截非法數據報文的攻擊,保證VPN中數據報文的安全。以上介紹的是本發明實施例提供的數據報文的處理方法,下面介紹本發明實施例中的數據報文的處理裝置,請參閱圖4,本發明實施例中的數據報文的處理裝置的一個實施例包括識別單元401,比較單元402,轉發單元403 ;其中,識別單元401用於識別接收到的數據報文中的內層標籤;比較單元402,用於比較識別單元識別的內層標籤,與PE的轉發表項中保存的標籤是否相同;轉發單元403,用於比較單元的比較結果若相同,則轉發數據報文。本實施例中,PE接收到數據報文後,識別單元401識別數據報文中的內層標籤,比較單元402比較識別單元識別的內層標籤,與PE的轉發表項中保存的標籤是否相同,若比較結果相同,表示接收到的數據報文中的內層標籤是之前由PE發送的,那麼接收的數據報文是安全數據報文,轉發單元則轉發該數據報文給目的CE,可保證VPN數據報文的安全性, 避免非法報文的攻擊。為便於理解,下面以另一實施例詳細的描述本發明實施例中的數據報文的處理裝置,請參與圖5,本發明實施中的數據報文的處理裝置的另一個實施例包括識別單元401,比較單元402,處理單元503,計數單元504,上報單元505 ;其中,識別單元401,用於識別接收到的數據報文中的內層標籤;比較單元402,用於比較識別單元識別的內層標籤,與PE的轉發表項中保存的標籤是否相同;處理單元503,用於若識別單元401識別的內層標籤,與該PE的轉發表項中保存的標籤不同,則丟棄該數據報文。需要說明的是,本實施例中,處理單元503還可以進一步包括計數單元5031,用於將該數據報文進行計數;上報單元5032,用於將該數據報文進行採樣,並上報採樣後的信息;丟棄單元5033,用於丟棄該數據報文。需要說明的是,本實施例中,計數單元5031將數據報文進行計數,上報單元5032 將數據報文進行採樣,並上報採樣後的信息上報給上層管理設備可以在丟棄單元5033丟棄非法數據報文之前,也可以在丟棄單元5033丟棄非法數據報文之後。本實施例中,識別單元401識別PE接收到的數據報文中的內層標籤,比較單元 402,用於比較識別單元識別的內層標籤與PE的轉發表項中保存的標籤是否相同,若不相同,則表示數據報文中的內層標籤不是PE之前發送的,那麼接收的數據報文為非法數據報文,則不需繼續轉發,而由處理單元503將丟棄該數據報文,在丟棄該數據報文之前,計數單元504對該數據報文進行計數,記錄下接收到非法數據報文的次數,上報單元505將準備丟棄的數據報文進行採樣,並上報給上層管理設備,以進行告警,從而攔截非法數據報文的攻擊,保證VPN中數據報文的安全。以上各實施例中所有裝置實現功能的具體過程,請參閱圖2及圖3所示實施例的具體描述內容,此處不再贅述。下面介紹本發明實施例中的數據報文的處理系統,請參閱圖6,本發明實施例中的數據報文的處理系統的一個實施例包括運營商邊緣設備PE601,客戶側設備CE602 ;其中,PE601用於識別接收到的數據報文中的內層標籤;比較識別的內層標籤與 PE601的轉發表項中保存的標籤是否相同,轉發表項是數據報文目的地址對應的轉發表項; 若相同,則轉發數據報文;需要說明的是,PE601還用於,若內層標籤與PE601的轉發表項中保存的標籤不同,則丟棄該數據報文。具體的,PE601用於若內層標籤與PE601的轉發表項中保存的標籤不同,則將該數據報文進行計數;將該數據報文進行採樣,並上報採樣後的信息;丟棄該數據報文;CE602用於接收PE601發送的數據報文。本領域技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬體完成,所述的程序可以存儲於一種計算機可讀存儲介質中,上述提到的存儲介質可以是只讀存儲器,磁碟或光碟等。以上對本發明所提供的一種數據報文的處理方法、裝置及系統進行了詳細介紹, 對於本領域的技術人員,依據本發明實施例的思想,在具體實施方式
及應用範圍上均會有改變之處,綜上所述,本說明書內容不應理解為對本發明的限制。
權利要求
1.一種數據報文的處理方法,其特徵在於,包括運營商邊緣設備PE識別接收到的數據報文中的內層標籤;比較所述內層標籤與所述PE的轉發表項中保存的標籤是否相同,所述轉發表項是所述數據報文目的地址對應的轉發表項; 若相同,則轉發所述數據報文。
2.根據權利要求1所述的方法,其特徵在於,所述方法還包括若所述內層標籤與所述PE的轉發表項中保存的標籤不同,則丟棄所述數據報文。
3.根據權利要求2所述的方法,其特徵在於,所述若所述內層標籤與所述PE的轉發表項中保存的標籤不同,則丟棄所述數據報文包括若所述內層標籤與所述PE的轉發表項中保存的標籤不同,則將所述數據報文進行計數;將所述數據報文進行採樣,並上報採樣後的信息; 丟棄所述數據報文。
4.一種數據報文的處理裝置,其特徵在於,包括 識別單元,用於識別接收到的數據報文中的內層標籤;比較單元,用於比較識別單元識別的所述內層標籤,與所述PE的轉發表項中保存的標籤是否相同,所述轉發表項是所述數據報文目的地址對應的轉發表項; 轉發單元,用於比較單元的比較結果若相同,則轉發所述數據報文。
5.根據權利要求4所述的裝置,其特徵在於,所述裝置還包括處理單元,用於若所述內層標籤與所述PE的轉發表項中保存的標籤不同,則丟棄所述數據報文。
6.根據權利要求5所述的裝置,其特徵在於,所述處理單元包括 計數單元,用於將所述數據報文進行計數;上報單元,用於將所述數據報文進行採樣,並上報採樣後的信息; 丟棄單元,用於丟棄所述數據報文。
7.一種數據報文的處理系統,其特徵在於,包括運營商邊緣設備PE,用於識別接收到的數據報文中的內層標籤;比較識別的所述內層標籤與所述PE的轉發表項中保存的標籤是否相同,所述轉發表項是所述數據報文目的地址對應的轉發表項;若相同,則轉發所述數據報文; 客戶側設備CE,用於接收所述PE發送的數據報文。
8.根據權利要求7所述的系統,其特徵在於,所述PE還用於,若所述內層標籤與所述PE的轉發表項中保存的標籤不同,則丟棄所述數據報文。
9.根據權利要求7或8所述的系統,其特徵在於,所述PE還用於,若所述內層標籤與所述PE的轉發表項中保存的標籤不同,則將所述數據報文進行計數;將所述數據報文進行採樣,並上報採樣後的信息;丟棄所述數據報文。
全文摘要
本發明實施例公開了一種數據報文的處理方法、裝置及系統,用於提高VPN數據報文的安全性。本發明實施例方法包括運營商邊緣設備PE識別接收到的數據報文中的內層標籤,判斷該內層標籤與PE的轉發表項中保存的標籤是否相同,若相同,則轉發該數據報文。
文檔編號H04L29/06GK102546387SQ20111033749
公開日2012年7月4日 申請日期2011年10月31日 優先權日2011年10月31日
發明者宋玉金, 熊怡, 許健彬, 陳凱 申請人:華為技術有限公司