[发明专利]网络安全方法和装置

权利要求书

1.一种用于保护通过网络传输的MPLS帧的安全的方法，MPLS帧包括MPLS报头和MPLS载荷，该方法包括以下步骤：

从源接收MPLS帧；

确定MPLS帧是否满足安全标准；

如果MPLS帧满足安全标准，则对MPLS载荷进行安全保护并创建包括MPLS报头和安全MPLS载荷的安全MPLS帧；以及

转发安全MPLS帧。

2.根据权利要求1所述的方法，其中安全标准包括与MPLS报头中标签的标签值有关的标准。

3.根据权利要求1或2所述的方法，其中安全标准包括MPLS报头的顶端标签中的标签值大于15。

4.根据前述任意一项权利要求所述的方法，其中MPLS载荷通过使用单密钥加密方法进行安全保护。

5.根据前述任意一项权利要求所述的方法，其中使用单密钥加密方法对从源接收的通过网络传输的满足安全标准的更多的帧进行安全保护，使用与它们的源或目的地无关的相同密钥对更多的帧进行安全保护。

6.根据前述任意一项权利要求所述的方法，其中将安全MPLS帧的大小与网络的MTU大小进行核对，以及如果安全MPLS帧超过了网络的MTU大小，则丢弃安全MPLS帧并且标记错误条件。

7.根据前述任意一项权利要求所述的方法，进一步包括修改MPLS报头的ToS字段以创建用于和安全MPLS帧一起进行转发的经修改的MPLS报头。

8.一种用于保护MPLS网络上业务安全的安全设备，安全设备配置为从第一网络设备接收帧并将帧转发给第二网络设备，安全设备包括：

输入/输出接口，用于接收和转发帧；

存储器；

安全引擎，用于根据安全标准分析所接收的帧，并且对满足安全标准的帧进行安全保护，安全标准包括帧为MPLS帧，其中

如果所接收的帧满足安全标准：

解析来自MPLS帧的MPLS报头和MPLS载荷；

由安全引擎保护MPLS载荷的安全以创建安全MPLS载荷；

组合MPLS报头和安全MPLS载荷以创建安全MPLS帧；以及

将安全MPLS帧传递给输入/输出接口以转发给第二网络设备。

9.根据权利要求8所述的安全设备，其中输入/输出接口包括：用于接收帧的至少一个输入端口和用于转发帧的至少一个输出端口。

10.根据权利要求8或9所述的安全设备，其中输入/输出接口包括专用控制端口。

11.根据权利要求8-10中任意一项所述的安全设备，其中安全标准进一步包括与MPLS报头中标签的标签值有关的标准。

12.根据权利要求8-11中任意一项所述的安全设备，其中安全标准进一步包括MPLS报头中顶端标签的标签值大于15。

13.根据权利要求9-12中任意一项所述的安全设备，其中安全引擎使用单密钥加密方法保护MPLS载荷的安全。

14.根据权利要求9-13中任意一项所述的安全设备，其中在将安全MPLS帧转发到第二网络设备之前，将安全MPLS帧封装到包括以太网报头和以太网CRC的以太网帧中。

15.根据权利要求14所述的安全设备，其中将以太网帧的大小与网络的MTU大小进行比较，以及如果以太网帧的大小超过MTU大小，则丢弃以太网帧并标记错误条件。

16.根据权利要求9-15中任意一项所述的安全设备，其中如果帧满足安全标准，则修改MPLS报头中的ToS字段以创建和安全MPLS帧一起转发的经修改的MPLS报头。

17.根据权利要求9-16中任意一项所述的安全设备，其中如果所接收的帧不满足是MPLS帧的安全标准，则安全引擎不处理该帧。

18.根据权利要求9-16中任意一项所述的安全设备，其中如果所接收的帧满足是MPLS帧的安全标准，并且MPLS报头中顶端标签的标签值小于或等于15，将所接收的帧作为控制面帧进行处理。