[发明专利]一种报文入标签的安全验证方法和设备

权利要求书

1.一种报文入标签的安全验证方法，应用于多协议标签交换MPLS网络中，其特征在于，所述方法包括：

当标签交换路由器LSR接收到携带入标签的报文时，所述LSR根据预先保存的入标签与入端口的对应关系，确定所述报文所携带的入标签所对应的入端口信息；

所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致；

如果判断结果为一致，所述LSR确定所述入标签通过验证，正常处理所述报文，如果判断结果为不一致，所述LSR确定所述入标签未通过验证，丢弃所述报文；

其中，所述入标签与入端口的对应关系，具体通过以下方式进行保存：

在所述MPLS网络创建标签交换路径LSP的过程中，当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时，所述LSR保存所述入标签所对应的入端口的信息，并记录所述入端口和所述入标签的对应关系。

2.如权利要求1所述的方法，其特征在于，所述LSR接收到携带入标签的报文之前，还包括：

所述LSR接收全局标签验证使能指令，使能对所有入标签的来源合法性检查，其中，所述LSR接收全局标签验证使能指令之后，还包括所述LSR接收全局标签验证去使能指令，停止对所有入标签的来源合法性检查；或，

所述LSR接收指定标签验证使能指令，使能对指定入标签的来源合法性检查，其中，所述LSR接收指定标签验证使能指令之后，还包括所述LSR接收指定标签验证去使能指令，停止对指定入标签的来源合法性检查。

3.如权利要求1所述的方法，其特征在于，当所述LSR与所述上游LSR之间存在多条等价路径时，所述入标签所对应的入端口的信息，具体为：

所述上游LSR到所述LSR的各条等价路径的各个入端口的信息。

4.如权利要求1所述的方法，其特征在于，当所述LSR与所述上游LSR之间是聚合组时，所述入标签所对应的入端口的信息，具体为：

所述聚合组内各成员端口的端口列表信息。

5.如权利要求3或4所述的方法，其特征在于，所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致，具体包括：

当所述LSR与所述上游LSR之间存在多条等价路径时，所述LSR判断所确定的入端口信息是否为所述上游LSR到所述LSR的一条等价路径的入端口的信息；

当所述LSR与所述上游LSR之间是聚合组时，所述LSR判断所确定的入端口信息是否属于所述聚合组内各成员端口的端口列表信息。

6.一种标签交换路由器LSR，应用于多协议标签交换MPLS网络中，其特征在于，包括：

接收模块，用于接收携带入标签的报文；

保存模块，用于保存入标签与入端口的对应关系，其中，所述入标签与入端口的对应关系，具体的保存方式为：在所述MPLS网络创建标签交换路径LSP的过程中，当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时，所述LSR保存所述入标签所对应的入端口的信息，并记录所述入端口和所述入标签的对应关系；

确定模块，用于根据所述保存模块所保存的入标签与入端口的对应关系，确定所述接收模块所接收到的报文所携带的入标签所对应的入端口信息；

判断模块，用于判断所述确定模块所确定的入端口信息与所述接收模块所接收到报文的端口的信息是否一致；

处理模块，用于在所述判断模块的判断结果为一致时，确定所述入标签通过验证，正常处理所述报文，在所述判断模块的判断结果为不一致时，确定所述入标签未通过验证，丢弃所述报文。

7.如权利要求6所述的LSR，其特征在于，所述接收模块，还用于：

接收全局标签验证使能指令，使能对所有入标签的来源合法性检查，其中，接收全局标签验证使能指令之后，还用于接收全局标签验证去使能指令，停止对所有入标签的来源合法性检查；或，

接收指定标签验证使能指令，使能对指定入标签的来源合法性检查，其中，接收指定标签验证使能指令之后，还用于接收指定标签验证去使能指令，停止对指定入标签的来源合法性检查。

8.如权利要求6所述的LSR，其特征在于，当所述LSR与所述上游LSR之间存在多条等价路径时，所述入标签所对应的入端口的信息，具体为：

所述上游LSR到所述LSR的各条等价路径的各个入端口的信息。