[发明专利]一种实现隧道安全的方法和设备

权利要求书

1.一种实现隧道安全的方法，其特征在于，该方法包括：

隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备；其中，所述特征信息至少包括：乘客协议源地址；

隧道终点设备根据特征信息分配标签，将所分配的标签发送给隧道起始点设备，并将特征信息和所分配的标签对应保存到标签列表中；

隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头后，将数据流报文送入隧道；

隧道终点设备从隧道接收到数据流报文时，从数据流报文获取特征信息以及标签，并通过查找标签列表确定该数据流报文是否合法。

2.如权利要求1所述的方法，其特征在于，所述隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备包括：

当隧道起始点设备就是需要通过隧道发送的数据流的源头设备时，隧道起始点设备向隧道终点设备发送一个内容为空的隧道报文，并将数据流的特征信息携带在所述隧道报文的头部；

或者，当隧道起始点设备是需要通过隧道发送的数据流的中转设备时，隧道起始点将每条数据流的第一个报文进行隧道封装后发送给隧道终点设备；隧道终点设备从所接收的报文中获取特征信息。

3.如权利要求1所述的方法，其特征在于，隧道终点设备将所分配的标签发送给隧道起始点设备包括：

隧道终点设备向隧道起始点设备发送因特网控制信息协议出错ICMPERROR报文；其中ICMP ERROR报文的消息体字段中携带有所分配的标签，且ICMP ERROR报文的类型字段中的值为200。

4.如权利要求1所述的方法，其特征在于，当隧道为通用路由封装GRE隧道或IPv6隧道时，

所述隧道起始点设备将所分配的标签添加在隧道封装后的数据流报文 的外层报文头的指定字段包括：隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的IPv6报文头的流标签Flow Label字段中；

隧道终点设备从隧道接收到数据流报文时，从数据流报文获取标签包括：隧道终点设备从隧道接收到数据流报文时，从数据流报文的IPv6头的Flow Lable字段中获取标签。

5.如权利要求1所述的方法，其特征在于，所述从数据流报文获取特征信息以及标签，并通过查找标签列表确定该数据流报文是否合法包括：

同时根据特征信息和标签查找标签列表，如果标签列表中存在与特征信息和标签匹配的条目，则确定该数据流报文合法，否则，确定该数据流报文不合法。

6.一种隧道起始点设备，其特征在于，该隧道起始点设备包括：标签获取模块和隧道报文发送模块，其中，

标签获取模块，用于将需要通过隧道发送的数据流的特征信息发送给隧道终点设备，其中，所述特征信息至少包括：乘客协议源地址；用于接收隧道终点设备返回的标签，并将标签发送给隧道报文发送模块；其中，所述返回的标签是隧道终点设备是根据所接收的特征信息分配的，且隧道终点设备将接收的特征信息和所分配的标签对应保存到标签列表中；

隧道报文发送模块，用于将所接收的标签添加到隧道封装后的数据流报文的外层报文头后，将数据流报文送入隧道，从而使得隧道终点设备从隧道接收到数据流报文时，从数据流报文获取特征信息以及标签，并通过查找标签列表确定该数据流报文是否合法。

7.如权利要求6所述的隧道起始点设备，其特征在于，

所述标签获取模块，当所述隧道起始点设备是需要通过隧道发送的数据流的源头设备时，用于向隧道终点设备发送一个内容为空的隧道报文，并将数据流的特征信息携带在所述隧道报文的头部；或者，当所述隧道起始点设备是需要通过隧道发送的数据流的中转设备时，用于将每条数据流的第一个报文进行隧道封装后发送给隧道终点设备；隧道终点设备从所接收的报文中获取特征信息。

8.如权利要求6所述的隧道起始点设备，其特征在于，

所述隧道报文发送模块，用于将所接收的标签添加到隧道封装后的数据流报文的IPv6报文头的流标签Flow Label字段中。