[发明专利]一种传输数据报文的方法、设备和系统

说明书

技术领域

本发明涉及虚拟私有网(VPN)技术，特别是涉及一种传输数据报文的方法、设备和系统。

背景技术

多协议标签交换-虚拟私有网(MPLS VPN)技术是一种IP VPN技术，通常应用于运营商或者行业网网络中。图1是MPLS VPN的组网结构示意图。参见图1，在MPLS VPN中，不同的VPN通过运营商网络连接在一起，具体地，每一个VPN通过内部的用户边界设备(CE)连接运营商网络中的运营商边界设备(PE)，在运营商网络中，不同的PE设备之间可能存在运营商(P)设备。

图2是现有技术在MPLS VPN中传输数据报文的流程图。参见图1和图2，以VPN1中的用户终端1向VPN2中的用户终端2发送数据报文为例，该流程具体包括以下步骤：

步骤201：用户终端1将数据报文发送给CE1，CE1将接收到数据报文发送给入口PE即PE1。

步骤202：PE1根据数据报文的入端口及VLAN信息，确定数据报文所属的VPN。

步骤203：PE1获取与所确定的VPN对应的转发信息(FIB)表。

步骤204：PE1从所获取的FIB表中查找到出端口、地址解析协议(ARP)以及封装所需的MPLS标签等信息。

步骤205：PE1利用获取的MPLS标签等信息对数据报文进行VPN头封装和隧道头封装后，从出端口发出。

步骤206：封装后的数据报文发送到出口PE即PE2。

步骤207：PE2对接收到的数据报文进行隧道头解封装和VPN头解封装后，确定报文所属的VPN。

步骤208：PE2获取与所确定的VPN对应的FIB表。

步骤209：PE2从所获取的FIB表中查找到出端口和ARP。

步骤210：PE2对数据报文进行对应的VPN封装后，从出端口发出。

步骤211：CE2接收到数据报文后，将数据报文发送给用户终端2。

在MPLS VPN中，现有的安全保障只能保证在MPLS VPN网络正常的情况下，用户业务可以得到安全的传输处理，比如，提供了独立的地址空间及路由、转发表；作为公网的MPLS核心网络对VPN用户保持透明、未知；防止标签欺骗等。

但是，从图2所示流程可以看出，目前在传输数据报文的过程中，还没有保证数据报文本身安全性的方法，这样，一旦MPLS VPN网络中的运营商网络即MPLS核心网出现传输介质或者设备故障，原始的用户数据则很可能出现泄露，从而大大降低了用户数据的安全性，降低了MPLS VPN的业务服务质量。

发明内容

本发明的一个目的在于提供一种传输报文的方法，本发明的另一个目的在于提供一种入口PE，本发明的再一个目的在于提供一种出口PE，本发明的又一个目的在于提供一种传输报文的系统，以便于提高MPLS VPN中传输用户数据的安全性。

为了达到上述目的，本发明的技术方案是这样实现的：

一种传输数据报文的方法，该方法包括：

入口PE获取每个VPN对应的加密算法和加密密钥，出口PE获取每个VPN对应的解密算法和解密密钥；

入口PE接收到数据报文后，利用与该数据报文所属的VPN对应的加密算法和加密密钥对该数据报文加密，然后发送；

出口PE接收到数据报文后，利用与该数据报文所属的VPN对应的解密算法和解密密钥对该数据报文解密。

一种入口PE，包括：

加密信息获取单元，用于获取每个VPN对应的加密算法和加密密钥；

数据报文处理单元，用于接收用户边界设备CE发来的数据报文，利用加密信息获取单元查找到与该数据报文所属的VPN对应的加密算法和加密密钥，利用查找到的加密算法和加密密钥对该数据报文加密，然后发送。

一种出口PE，包括：

解密信息获取单元，用于获取每个VPN对应的解密算法和解密密钥；

数据报文处理单元，用于接收入口PE发来的数据报文，利用解密信息获取单元查找到与该数据报文所属的VPN对应的解密算法和解密密钥，利用查找到的解密算法和解密密钥对该数据报文解密。

一种传输数据报文的系统，包括本发明提供的入口PE和出口PE。

由此可见，本发明具有以下优点：