[发明专利]一种数据报文的处理方法、装置及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种数据报文的处理方法、装置及系统。

背景技术

随着互联网业务的不断发展，网络安全问题日益成为困扰运营商的难题之一。如何保护客户设备的安全成为网络建设中必须慎重考虑的问题。现网运行的设备经常遭受的攻击有传输控制协议/因特网互联协议(TCP/IP，Transmission Control Protocol/Internet Protocol)攻击，生存时间(TTL，Time To Live)超时攻击，互联网控制报文协议(ICMP，Internet Control Message Protocol)攻击，地址解析协议(ARP，Address Resolution Protocol)攻击等，其中，TCP/IP协议攻击比较严重，如何防止TCP/IP协议攻击成为网络安全重点问题。因特网互联协议(IP，Internet Protocol)是无连接的，只要获得某台用户边缘设备(CE，Customer Edge)上的一个接口地址，就可向其发起攻击，对用户边缘设备的运营安全造成危害。

现有技术中，在运营商边缘设备(PE，Provider Edge)上，配置访问控制列表(ACL，Access Control List)规则，对IP报文做一些限制，控制虚拟专用网络(VPN，Virtual Private Network)流量，从而达到保护用户设备的目的。

但在上述现有技术中，需要针对不同目的地址的流程手动配置ACL规则，无法实时响应网络设备规划的变化而变更ACL规则。

发明内容

本发明实施例提供了一种数据报文的处理方法、装置及系统，用以提高VPN数据报文的安全性，避免非法数据报文的攻击。

本发明实施例提供的数据报文的处理方法，包括：运营商边缘设备PE识别接收到的数据报文中的内层标签；比较所述内层标签与所述PE的转发表项中保存的标签是否相同，所述转发表项是所述数据报文目的地址对应的转发表项；若相同，则转发所述数据报文。

本发明实施例提供的数据报文的处理装置，包括：识别单元，用于识别接收到的数据报文中的内层标签；比较单元，用于比较识别单元识别的所述内层标签，与所述PE的转发表项中保存的标签是否相同，所述转发表项是所述数据报文目的地址对应的转发表项；转发单元，用于比较单元的比较结果若相同，则转发所述数据报文。

本发明实施例提供的数据报文的处理系统，包括：运营商边缘设备PE，用于识别接收到的数据报文中的内层标签；比较识别的所述内层标签与所述PE的转发表项中保存的标签是否相同，所述转发表项是所述数据报文目的地址对应的转发表项；若相同，则转发所述数据报文；客户侧设备CE，用于接收所述PE发送的数据报文。

从以上技术方案可以看出，本发明实施例具有以下优点：PE识别接收到的数据报文中的内层标签，并与PE的转发表项中保存的标签进行比较，若比较结果相同，表示数据报文中的内层标签是之前由PE发送的，那么接收的数据报文是安全数据报文，转发该数据报文给目的CE，可提高VPN数据报文的安全性，避免非法报文的攻击。

附图说明

图1为VPN网络中各设备连接示意图；

图2为本发明实施例中的数据报文的处理方法的一个实施例示意图；

图3为本发明实施例中的数据报文的处理方法的另一个实施例示意图；

图4为本发明实施例中的数据报文的处理装置的一个实施例示意图；

图5为本发明实施例中的数据报文的处理装置的另一个实施例示意图；

图6为本发明实施例中的数据报文的处理系统的一个实施例示意图。

具体实施方式

本发明实施例提供了一种数据报文的处理方法、装置及系统，用于快速检测虚拟专用网络中的数据报文，保证VPN数据报文的安全性。

为便于理解，下面简要介绍VPN网络中产生非法攻击的过程，请参阅图1，CE1为PE1的客户侧设备，CE2为PE2的客户侧设备，PE1和PE2通过骨干网络核心设备P(Provider)连接。

当CE1准备访问远端PE2的客户侧设备时，如，CE1访问CE2时，PE1需向PE2发送CE1的VPN路由信息，该VPN路由信息是由服务提供商统一分配的，在该VPN路由信息中携带路由标签，PE2收到该VPN路由信息后，根据VPN路由信息中携带的路由标签，添加数据报文的内层标签，而后将该数据报文发送给PE1，由PE1转发给CE1。