一种报文入标签的安全验证方法和设备的制造方法
【技术领域】
[0001]本申请涉及通信技术领域,特别涉及一种报文入标签的安全验证方法和设备。
【背景技术】
[0002]MPLS (Mult1-protocol Label Switching,多协议标签交换)是目前应用比较广泛的一种骨干网技术。MPLS在无连接的IP(Internet Protocol,网络互联协议)网络上引入面向连接的标签交换概念,将第三层路由技术和第二层交换技术相结合,充分发挥了 IP路由的灵活性和二层交换的简洁性。在MPLS网络中,设备根据短而定长的标签转发报文,省去了查找IP路由表的繁琐过程,为数据在骨干网络中的传送提供了一种高速高效的方式。
[0003]如图1所示,为现有技术中的MPLS网络的结构示意图,MPLS网络的基本构成单元是LSR(Label Switching Router,标签交换路由器)。MPLS网络包括以下几个组成部分:
[0004]I) Ingress节点(入节点):报文的入口 LSR,负责为进入MPLS网络的报文添加标签(Label)ο
[0005]2) Transit节点(中间节点):MPLS网络内部的LSR,根据标签沿着由一系列LSR构成的LSP (Label Switched Path,标签交换路径)将报文传送给出口 LSR。
[0006]3) Egress节点(出节点):报文的出口 LSR,负责剥离报文中的标签,并转发给目的网络。
[0007]标签分配的过程为Egress节点给Transit节点分配标签,Transit节点给Ingress节点分配标签。
[0008]在实现本申请的过程中,发明人发现现有技术至少存在以下问题:
[0009]在MPLS组网应用中,当某台设备需要做标签交换或者终结操作时,如图2所示,为现有技术中的MPLS转发过程示意图,其中,Router (路由器)C将入标签40交换成标签50,此时的入标签值虽然是本台设备(Route C)分发出去的,但当收到的报文为恶意攻击行为所产生的带有标签40时,Route C无法区分是否是正常的业务流量,如果此报文数量特别多,则设备会忙于处理此种恶意报文而导致性能严重下降,使设备无法正常处理业务流量。
[0010]因此,需要在MPLS组网中引入一种防攻击的技术,阻止恶意的攻击报文对设备造成冲击,而现有技术中并没有这样的技术方案。
【发明内容】
[0011]本申请实施例提供一种报文入标签的安全验证方法和设备,解决现有方案中LSR无法识别标签合法性,无法阻止恶意的攻击报文对设备造成冲击的问题。
[0012]为达到上述目的,本申请实施例一方面提供了一种报文入标签的安全验证方法,应用于MPLS网络中,所述方法包括:
[0013]当LSR接收到携带入标签的报文时,所述LSR根据预先保存的入标签与入端口的对应关系,确定所述报文所携带的入标签所对应的入端口信息;
[0014]所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致;
[0015]如果判断结果为一致,所述LSR确定所述入标签通过验证,正常处理所述报文,如果判断结果为不一致,所述LSR确定所述入标签未通过验证,丢弃所述报文;
[0016]其中,所述入标签与入端口的对应关系,具体通过以下方式进行保存:
[0017]在所述MPLS网络创建标签交换路径LSP的过程中,当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系。
[0018]另一方面,本申请实施例还提供了一种LSR,应用于MPLS网络中,包括:
[0019]接收模块,用于接收携带入标签的报文;
[0020]保存模块,用于保存入标签与入端口的对应关系,其中,所述入标签与入端口的对应关系,具体的保存方式为:在所述MPLS网络创建标签交换路径LSP的过程中,当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系;
[0021]确定模块,用于根据所述保存模块所保存的入标签与入端口的对应关系,确定所述接收模块所接收到的报文所携带的入标签所对应的入端口信息;
[0022]判断模块,用于判断所述确定模块所确定的入端口信息与所述接收模块所接收到报文的端口的信息是否一致;
[0023]处理模块,用于在所述判断模块的判断结果为一致时,确定所述入标签通过验证,正常处理所述报文,在所述判断模块的判断结果为不一致时,确定所述入标签未通过验证,丢弃所述报文。
[0024]与现有技术相比,本申请实施例所提出的技术方案具有以下优点:
[0025]通过应用本申请实施例所提出的技术方案,在不影响现有的MPLS网络应用及其协议的基础上,对于携带有入标签的报文,LSR根据预先保存的入标签与入端口的对应关系,比较实际接收报文的端口的信息与该入标签所对应的入端口的信息,做入标签的来源合法性检查,以阻止针对MPLS业务的网络设备攻击,这样的处理方案配置简单,实现简单,可阻止针对MPLS网络的潜在的网络攻击行为,使设备更加安全的运行。
【附图说明】
[0026]图1为现有技术中的MPLS网络的结构示意图;
[0027]图2为现有技术中的MPLS转发过程示意图;
[0028]图3为本申请实施例所提出的一种报文入标签的安全验证方法的流程示意图;
[0029]图4为本申请实施例所提出的MPLS网络中利用LDP协议建立LSP隧道的流程示意图;
[0030]图5为本申请实施例所提出的一种LSR的结构示意图。
【具体实施方式】
[0031]为了解决现有技术方案中LSR无法识别标签合法性,无法阻止恶意的攻击报文对设备造成冲击的问题,本申请提出了一种报文入标签的安全验证方法。
[0032]如图3所示,为本申请实施例所提出的一种报文入标签的安全验证方法的流程示意图,该方法应用于MPLS网络中,具体包括以下步骤:
[0033]步骤S301、LSR接收到携带入标签的报文。
[0034]当本步骤发生时,根据LSR是否使能入标签的来源合法性检查功能,会存在以下两种情况:
[0035]情况一、LSR当前已经使能了入标签的来源合法性检查功能,则执行后续的步骤S302o
[0036]需要说明的是,具体的功能使能方式,可以通过指令或者相应的配置来实现,具体的处理方式可以根据实际需要来确定,这样的变化并不会影响本申请的保护范围。
[0037]在此,需要进一步说明的是,根据具体指令或配置的内容差异,LSR所使能的功能类型也存在以下两种差异:
[0038](I)对所有入标签的来源合法性检查。
[0039]在具体的应用场景中,LSR可以通过接收全局标签验证使能指令或者相应配置,来使能对所有入标签的来源合法性检查。
[0040]在使能了本功能的情况下,LSR对自身接收到的所有入标签都会进行来源合法性检查,这样处理的好处可以全面的过滤所有携带非法入标签的报文,实现全面的保护。
[0041 ] 当然,在此场景下,LSR还可以进一步通过接收全局标签验证去使能指令或者相应配置,来停止对所有入标签的来源合法性检查,即对该功能进行去使能操作。
[0042]通过以上操作,实现了对所有入标签的来源合法性检查功能的开启或关闭,具体的指令构成和传输方式,以及具体配置方式可以根据实际需要进行调整,这样的变化并不会影响本申请的保护范围。
[0043](2)对指定入标签的来源合法性检查。
[0044]在具体的应用场景中,LSR可以通过接收指定标签验证使能指令或者相应配置,来使能对指定入标签的来源合法性检查。
[0045]在使能了本功能的情况下,LSR只会对自身接收到的指定的入标签进行来源合法性检查,这样处理的好处可以针对性的对具有安全隐患的某个或某几个标签进行合法性检查,避免全面检查所带来的资源占用和频繁的流程操作,提高资源利用效率和处理效率。
[0046]当然,在此场景下,LSR还可以进一步通过接收指定标签验证去使能指令或者相应配置,来停止对指定的入标签的来源合法性检查,即对该功能进行去使能操作。
[0047]通过以上操作,实现了对指定的入标签的来源合法性检查功能的开启或关闭,具体的指令构成和传输方式,以及具体配置方式可以根据实际需要进行调整,这样的变化并不会影响本申请的保护范围。
[0048]步骤S302、所述LSR根据预先保存的入标签与入端口的对应关系,确定所述报文所携带的入标签所对应的入端口信息。
[0049]在具体的应用场景中,所述入标签与入端口的对应关系具体通过以下方式进行保存:
[0050]在MPLS 网络利用 LDP (Label Distribut1n Protocol,标签分配协议)创建 LSP的过程中,下游LSR会根据目的地址划分FEC (Forwarding Equivalence Class,转发等价类),为特定FEC分配标签,并将FEC与标签的对应关系(绑定关系)通告给上游LSR,从而完成向上游LSR的入标签分配,使上游LSR根据该对应关系建立标签转发表