[发明专利]一种报文入标签的安全验证方法和设备

说明书

技术领域

本申请涉及通信技术领域，特别涉及一种报文入标签的安全验证方法和设备。

背景技术

MPLS(Multi-protocol Label Switching，多协议标签交换)是目前应用比较广泛的一种骨干网技术。MPLS在无连接的IP(Internet Protocol，网络互联协议)网络上引入面向连接的标签交换概念，将第三层路由技术和第二层交换技术相结合，充分发挥了IP路由的灵活性和二层交换的简洁性。在MPLS网络中，设备根据短而定长的标签转发报文，省去了查找IP路由表的繁琐过程，为数据在骨干网络中的传送提供了一种高速高效的方式。

如图1所示，为现有技术中的MPLS网络的结构示意图，MPLS网络的基本构成单元是LSR(Label Switching Router，标签交换路由器)。MPLS网络包括以下几个组成部分：

1)Ingress节点(入节点)：报文的入口LSR，负责为进入MPLS网络的报文添加标签(Label)。

2)Transit节点(中间节点)：MPLS网络内部的LSR，根据标签沿着由一系列LSR构成的LSP(Label Switched Path，标签交换路径)将报文传送给出口LSR。

3)Egress节点(出节点)：报文的出口LSR，负责剥离报文中的标签，并转发给目的网络。

标签分配的过程为Egress节点给Transit节点分配标签，Transit节点给Ingress节点分配标签。

在实现本申请的过程中，发明人发现现有技术至少存在以下问题：

在MPLS组网应用中，当某台设备需要做标签交换或者终结操作时，如图2所示，为现有技术中的MPLS转发过程示意图，其中，Router(路由器)C将入标签40交换成标签50，此时的入标签值虽然是本台设备(Route C)分发出去的，但当收到的报文为恶意攻击行为所产生的带有标签40时，Route C无法区分是否是正常的业务流量，如果此报文数量特别多，则设备会忙于处理此种恶意报文而导致性能严重下降，使设备无法正常处理业务流量。

因此，需要在MPLS组网中引入一种防攻击的技术，阻止恶意的攻击报文对设备造成冲击，而现有技术中并没有这样的技术方案。

发明内容

本申请实施例提供一种报文入标签的安全验证方法和设备，解决现有方案中LSR无法识别标签合法性，无法阻止恶意的攻击报文对设备造成冲击的问题。

为达到上述目的，本申请实施例一方面提供了一种报文入标签的安全验证方法，应用于MPLS网络中，所述方法包括：

当LSR接收到携带入标签的报文时，所述LSR根据预先保存的入标签与入端口的对应关系，确定所述报文所携带的入标签所对应的入端口信息；

所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致；

如果判断结果为一致，所述LSR确定所述入标签通过验证，正常处理所述报文，如果判断结果为不一致，所述LSR确定所述入标签未通过验证，丢弃所述报文；

其中，所述入标签与入端口的对应关系，具体通过以下方式进行保存：

在所述MPLS网络创建标签交换路径LSP的过程中，当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时，所述LSR保存所述入标签所对应的入端口的信息，并记录所述入端口和所述入标签的对应关系。

另一方面，本申请实施例还提供了一种LSR，应用于MPLS网络中，包括：

接收模块，用于接收携带入标签的报文；

保存模块，用于保存入标签与入端口的对应关系，其中，所述入标签与入端口的对应关系，具体的保存方式为：在所述MPLS网络创建标签交换路径LSP的过程中，当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时，所述LSR保存所述入标签所对应的入端口的信息，并记录所述入端口和所述入标签的对应关系；

确定模块，用于根据所述保存模块所保存的入标签与入端口的对应关系，确定所述接收模块所接收到的报文所携带的入标签所对应的入端口信息；

判断模块，用于判断所述确定模块所确定的入端口信息与所述接收模块所接收到报文的端口的信息是否一致；

处理模块，用于在所述判断模块的判断结果为一致时，确定所述入标签通过验证，正常处理所述报文，在所述判断模块的判断结果为不一致时，确定所述入标签未通过验证，丢弃所述报文。

与现有技术相比，本申请实施例所提出的技术方案具有以下优点：