专利名称:一种数据报文的处理方法及系统的制作方法
技术领域:
本发明涉及数据通信领域,尤其涉及一种接入设备和边界网关对不同安全等级的数据报文的处理方法。
背景技术:
现有互联网是基于IP技术构建的,IP网络的开放性促成了互联网的繁荣,也带来了大量的安全问题,互联网中的节点受多个国家的多个机构管理,有些节点是可信任的,也可能是不可信任的。网络中的用户可能收到信任节点的数据报文,也可能收到不可信任节点的数据报文。同时,IP网络是多业务共享的网络,既可能传输高安全级别业务的报文,也需要传输一些低安全级别业务的报文。出于业务应用的需要,在很多情况下,网络的中间节点即使发现一些数据报文不够安全,也不能简单地将这些报文丢弃,否则会造成业务中断,影响用户的业务体验。当前的IP网络对上述不同安全等级的报文没有提供相应的处理方法,只是将不同安全等级的报文简单的混合在一起传输,这就导致最终的目的节点无法区分数据报文是来源于安全的网络,还是不安全的网络,从而无法针对安全等级进行区分服务,互联网的安全无法得到根本改善。
发明内容
本发明所要解决的技术问题是,提供一种数据报文的处理方法及系统,以便网络设备利用安全级别信息对数据报文进行分类处理。现有IP报文中没有标识报文安全级别的字段,因而终端用户或者业务服务器在收到报文时,无法分辨出哪些数据报文是安全可信的,哪些数据报文是不够可信的,从而无法进行区分处理,这就为不可信节点冒充可信节点攻击用户或者业务服务器留下了攻击空间,使网络的安全性无法得到根本提升。为此本发明在IPV6报文中携带安全级别,以解决上述安全隐患,从根本上提高IP网的安全性。为了解决上述技术问题,本发明公开了一种数据报文的处理方法,包括数据报文发送端发送数据报文,所述数据报文的报文头中包括用于指示数据报文的安全等级的字段,其中,所述字段的值由所述数据报文发送端设置,或者由传输所述数据报文的网络侧设备设置;数据报文接收端接收所述数据报文,读取所述字段的值,并根据所读取的值所指示的数据报文的安全等级对所述数据报文进行处理。进一步地,上述方法中,当所述字段的值由数据报文发送端设置时,传输所述数据报文的网络侧设备还判断所述字段的值所指示的数据报文的安全等级是否属于允许的安全级别范围,如果是,则将所述数据报文传输给所述数据报文接收端。其中,传输所述数据报文的网络侧设备若判断所述字段的值所指示的数据报文的安全等级不属于允许的安全级别范围,则更新所述字段的值,将更新操作后的数据报文传输给所述数据报文接收端,其中,所述网络侧设备更新后的字段的值所指示的数据报文的安全等级属于允许的安全级别范围。进一步地,上述方法中,所述字段的值由传输所述数据报文的网络侧设备设置指 在数据报文的传输过程中,所述网络侧设备接收数据报文,若判断所接收到的数据报文的报文头中用于指示数据报文的安全等级的字段无效时,则根据接收到的数据报文的安全等级设置所述字段的值。其中,所述数据报文接收端根据所读取的值所指示的数据报文的安全等级信息对所述数据报文进行处理指若所述数据报文接收端判断读取所述字段的值所指示的数据报文的安全等级属于允许的安全级别范围,则正常处理所述数据报文,若所述数据报文接收端判断读取所述字段的值所指示的数据报文的安全等级不属于允许的安全级别范围,则丢弃该数据报文。所述网络侧设备至少包括网络接入服务器。所述数据报文发送端与所述数据报文接收端位于不同网络时,所述网络侧设备至少包括所述数据报文发送端所在第一网络的第一网络接入服务器、所述第一网络的第一边界网关、所述数据报文接收端所在第二网络的第二边界网关以及所述第二网络的接入服务器;其中,所述第二边界网关接收到所述第一边界网关传输的数据报文时,根据所述第一网络和第二网络的网间协议,转换所述数据报文的安全等级,并根据转换后的数据报文的安全等级设置所述字段的值。本发明还公开了一种数据报文的处理系统,包括数据报文发送端、网络侧设备以及数据报文接收端,其中所述数据报文发送端,用于发送数据报文,所述数据报文的报文头中包括用于指示数据报文的安全等级的字段;所述网络侧设备,用于将所述数据报文发送端发送的数据报文传输到所述数据报文接收端;所述数据报文接收端,用于接收所述数据报文,读取所述数据报文的报文头中用于指示数据报文的安全等级的字段,并根据所读取的字段所指示的数据报文的安全等级对所述数据报文进行处理。进一步地,上述系统中,所述数据报文发送端,还用于设置所述数据报文的报文头中用于指示数据报文的安全等级的字段的值;所述网络侧设备,在传输所述数据报文时,还用于判断所述数据报文的报文头中用于指示数据报文的安全等级的字段的值所指示的数据报文的安全等级是否属于允许的安全级别范围,如果是,则将所述数据报文传输给所述数据报文接收端,否则更新所述字段的值,将更新操作后的数据报文传输给所述数据报文接收端,其中,所述网络侧设备更新后的字段的值所指示的数据报文的安全等级属于允许的安全级别范围。进一步地,所述网络侧设备,在数据报文的传输过程中,还用于判断所接收到的数据报文的报文头中用于指示数据报文的安全等级的字段是否无效,当所述字段的值无效时,根据接收到的数据报文的安全等级设置所述字段的值,并将设置操作后的数据报文发送给所述数据报文接收端。进一步地,当所述数据报文发送端与所述数据报文接收端位于不同网络时,所述网络侧设备至少包括所述数据报文发送端所在第一网络的第一网络接入服务器、所述第一网络的第一边界网关、所述数据报文接收端所在第二网络的第二边界网关以及所述第二网络的接入服务器;其中,所述第二边界网关接收到所述第一边界网关传输的数据报文时,所述第二边界网关还用于根据所述第一网络和第二网络的网间协议,转换所述数据报文的安全等级,并根据转换后的数据报文的安全等级设置所述字段的值。所述数据报文接收端,在判断读取所述字段的值所指示的数据报文的安全等级属于允许的安全级别范围时,正常处理所述数据报文,当判断读取所述字段的值所指示的数据报文的安全等级不属于允许的安全级别范围时,则丢弃该数据报文。本发明技术方案在数据报文的报文头中增加了安全信息,这样数据报文接收端就可以根据数据报文的安全信息进行相应的处理,方便网络节点、服务器或者终端用户根据安全信息对报文进行筛选和过滤,提高了整个网络区分和处理不同安全等级报文的能力。
图1为现有RFC1883 (IPV6第一版)的报文头示意图;图2为现有RFC2460 (IPV6第二版)的报文头示意图;图3为本发明所提供的IP数据报文的报文头示意图;图4为本实施例中传输IP数据报文的网络构架图;图5为本实施例中传输IP数据报文的流程图。
具体实施例方式下面结合附图及具体实施例对本发明技术方案做进一步详细说明。目前,IPV6报文头的两个版本为RFC1883(IPV6第一版)和RFC2460 (IPV6第二版)。这两个版本IPV6报文头,主要是前32位的QOS流量管理部分发生了变化,在RFC1883 中,QOS管理由4位的优先级字段(priority)和M位的流标签(flow label)字段组成, 如图1所示;在RFC2460中,priority和flow label这两部分被修改为8位的业务流类别 (traffic class)和20位的流标签(flow label)字段,如图2所示。本发明通过在IPV6报文头中,增加一个用于指示数据报文的安全级别的字段,具体来说,可以将IPV6报文中的流量类型和流标签(traffic class和Flow label)空间压缩4个bit空间,用来提供给安全级别的信息,例如,安全级别可以有0 15,共16个安全级别。余下的M位,仍由流量类型和流标签使用,IP报文头的其他部分格式和意义都不变, 这两个标签的意义不变,只是编号范围有所压缩,如图3所示也就是说,可以将原来IPV6 报文头中的流量类型和流标签减少4位,然后增加4位安全等级(security level)字段 (下文简称为SL字段),以指示此数据报文的安全等级的信息,这样修改后,报文头中仍保持32bit的数据边界,不影响路由器采用硬件处理的速度。实施例本实施例提供一种数据报文的处理系统,至少包括数据报文发送端、网络侧设备以及数据报文接收端。据报文发送端,用于发送数据报文,所发送的数据报文的报文头中包括用于指示数据报文的安全等级的字段;网络侧设备,用于将数据报文发送端发送的数据报文传输到数据报文接收端;数据报文接收端,用于接收数据报文,读取数据报文的报文头中用于指示数据报文的安全等级的字段,并根据所读取的字段所指示的数据报文的安全等级对数据报文进行处理;其中,数据报文接收端,当判断读取字段的值所指示的数据报文的安全等级属于允许的安全级别范围时,正常处理所述数据报文,当判断读取字段的值所指示的数据报文的安全等级不属于允许的安全级别范围时,则丢弃该数据报文。具体地,数据报文的报文头中用于指示数据报文的安全等级的字段的值可由数据报文发送端设置;此时,网络侧设备,在传输所述数据报文时,还用于判断所要传输的数据报文的报文头中用于指示数据报文的安全等级的字段的值所指示的数据报文的安全等级是否属于允许的安全级别范围,如果是,则将所接收到的数据报文传输给数据报文接收端,否则更新该字段的值,将更新操作后的数据报文传输给数据报文接收端,其中,网络侧设备更新后的字段的值所指示的数据报文的安全等级属于允许的安全级别范围。数据报文的报文头中用于指示数据报文的安全等级的字段的值也可以由网络侧设备设置,即网络侧设备,在数据报文的传输过程中,判断所接收到的数据报文的报文头中用于指示数据报文的安全等级的字段是否无效,当该字段的值无效(例如数据报文发送端未设置该字段的值)时,根据接收到的数据报文的安全等级设置该字段的值,并将设置操作后的数据报文发送给数据报文接收端,当该字段的值有效时,直接传输数据报文给数据报文接收端即可。还有一些场景中,数据报文发送端与数据报文接收端位于不同网络时,网络侧设备至少包括数据报文发送端所在第一网络的第一网络接入服务器、第一网络的第一边界网关、数据报文接收端所在第二网络的第二边界网关以及第二网络的接入服务器。其中,第二边界网关接收到第一边界网关传输的数据报文时,第二边界网关还用于根据第一网络和第二网络的网间协议,转换数据报文的安全等级,并根据转换后的数据报文的安全等级设置上述字段的值,再通过第二网络的接入服务器将设置操作后的数据报文传输给数据报文接收端。下面以图4所示的网络架构所例,说明上述系统传输携带有安全等级的信息的数据报文的过程。其中,数据报文发送端(即信息发送者A)与数据报文接收端(信息接收者 B)位于不同网络,且这两个不同的网络(下文分别称为网络一和网络二,其中,将用户A所在的网络称为网络一,将用户B所在的网路称为网络二)分属不同的安全域假设分别为安全域1和安全域2。其中,用户A和用户B分别通过网络接入服务器Cl和C2接入各自的网络,两个网络之间通过互通网关Dl和D2来互通。该过程如图5所示,包括以下步骤步骤501 信息发送者A向信息接收者B发送数据报文,本实施例中,所发送的数据报文的报文头中包括用于指示该数据报文的安全等级的字段,在本实施例中,该字段的值由信息发送者A设置;
该步骤中,信息发送者A在数据报文的报文头中所设置的用于指示该数据报文的安全等级的字段的值即对应该数据报文的安全等级。还有一些场景中,该字段的值所指示的数据报文的安全等级是系统配置的,具体地,数据报文的安全等级除了与用户的安全等级相关外,也可能与用户类型、数据报文类型等参数有关,即系统综合考虑用户的安全等级、数据报文的发送方的用户类型、数据报文类型等参数配置各数据报文的安全等级。步骤502 用户A所在的网络一的网络接入服务器Cl收到A发出的数据报文时, 检查用户A对该数据报文的报文头中用于指示数据报文的安全等级的设置是否合理,如果是,则直接转发给边界网关D1,否则修改数据报文的安全等级为合理的安全等级,然后将修改后的数据报文转发给边界网关Dl ;该步骤中,检查数据报文的报文头中用于指示数据报文的安全等级是否合理指 各网络事先为每个用户发送的数据报文配置数据报文的安全等级范围,因此,各用户所发送的数据报文的报文头中用于指示数据报文的安全等级的字段的值所指示的数据报文的安全等级必须在允许的安全等级范围内,即数据报文的报文头中用于指示数据报文的安全等级的字段的值所指示的数据报文的安全等级在该安全等级范围内则认为是合理的,反之认为是不合理的;网络接入服务器Cl修改数据报文的安全等级为合理的安全等级指,根据该数据报文的信息(如系统事先配置的该数据报文的安全等级,该安全等级可能与用户的安全等级、用户类型、数据报文类型等信息有关)更新数据报文的报文头中用于指示数据报文的安全等级的字段的值,并保证更新后该字段的值所指示的数据报文的安全等级属于允许的安全等级范围。还有一些实施例中,当网络接入服务器Cl检查此数据报文中的安全等级不合理, 也可以不进行修改,而直接丢弃该数据报文。步骤503 用户A所在的网络一的边界网关Dl接收上述数据报文,并发送给用户B 所在的网络二的边界网关D2 ;步骤504 边界网关D2收到上述数据报文后,根据网间协议转换该数据报文的安全等级,并将转换后的数据报文发送给用户B的网络接入服务器C2 ;该步骤中,由于用户A所在的网络和用户B所在的网络不是同一个网络,因此两个网络的安全等级定义不完全一致,此时需要对数据报文的安全等级重新映射。例如,在网络 A中非常安全可信的数据报文,在网络B中并不一定很安全可信,因此需要做一些安全等级调整。在本实施例中,边界网关D2根据网间协议进行安全等级信息转换指,将数据报文的安全等级映射到网络二对应的安全等级,根据映射后的数据报文的安全等级设置数据报文的报文头中用于指示数据报文的安全等级的字段的值,即此时该字段的设置值指示的是在网络二中该数据报文的安全等级;例如,网络二的边界网关D2从网络一的边界网关Dl收到的数据报文的报文头中数据报文的安全等级为15(假设15级为网络一的数据报文的安全等级中的最高级),则边界网关D2根据网间协议进行安全等级的信息转换时,可将数据报文的安全等级15转换3 级(此时,3级为网络二的数据报文的安全等级中的最高级)。
步骤505 用户B的网络接入服务器C2,接收边界网关D2发送的数据报文,判断此数据报文的报文头中用于指示数据报文的安全等级的字段的值是否允许发送给用户B,如果允许,则发送给用户B,否则直接丢弃该数据报文;步骤506 用户B接收此数据报文,读取该数据报文的报文头中用于指示数据报文的安全等级的字段的值,如果所读取字段的值所指示的数据报文的安全等级为用户B允许的安全级别,则将该数据报文发送给用户B的相应上层应用程序;步骤507 用户B的上层应用程序查看此数据报文是否为请求用户B上的内容的数据报文,如果是,则用户B的应用程序根据此数据报文的安全等级,进行相应的处理,否则丢弃该数据报文;该步骤中,用户B根据数据报文的安全等级,决定向用户A返回含有机密的所有信息,或者向用户A返回受限的或者经过过滤的信息,或者拒绝提供对应信息;步骤508 用户B的网络接入服务器C2接收到用户B返回的相应数据报文时,网络接入服务器C2检查此数据报文的报文头中用于指示数据报文的安全等级的字段的值所指示的数据报文的安全等级是否在用户B允许的安全等级范围,如果是,则直接将该数据报文发送给D2,否则修改数据报文的报文头中用于指示数据报文的安全等级的字段的值后再发送给D2,其中,修改后该字段的值指示数据报文的安全等级为用户B允许的安全等级;步骤509:网络二的边界网关D2收到网络接入服务器C2返回的数据报文后,将返回的数据报文发送给网络一的边界网关Dl ;步骤510 网络一的边界网关Dl收到上述数据报文后,根据网间协议对数据报文的安全等级进行转换,并将转换后的数据报文发送给用户A所在的网络一的网络接入服务器Cl ;该步骤中,对数据报文的安全等级进行转换指,边界网关Dl修改数据报文的报文头中用于指示数据报文的安全等级的字段的值,使修改后的字段的值指示在网络一中该数据报文的安全等级。步骤511 当网络接入服务器Cl收到上述数据报文时,判断此数据报文的安全等级是否被允许发送给用户A,如果允许发送给用户A,则发送给A,否则直接丢弃该数据报文;步骤512 用户A收到此数据报文后,检查数据报文的安全等级是否为用户A允许的安全等级,如果是,则将该数据报文发送给用户A的相应应用程序,用户A的上层应用程序根据安全等级进行相应的处理,否则丢弃该数据报文;该步骤中,检测数据报文的安全等级,即指读取数据报文的报文头中用于指示数据报文的安全等级的字段的值,判断读取的字段的值所指示的数据报文的安全等级是否为用户A允许的安全等级;其中,当数据报文的安全等级为用户A允许的安全等级时,用户A根据该数据报文的安全等级,决定向用户B返回含有机密的所有信息,或者向用户B返回受限的或者经过过滤的信息,或者拒绝提供对应信息。在上述流程中,如果网络中经过了不安全网络,所传输的数据报文的安全等级也要相应的变化,例如,如果网络一和网络二之间不是直接连接,而是需要经过不安全的网络三中转,那么经过网络三中转的数据报文的安全等级都要按网络三的安全等级重新映射。具体地,该数据报文的安全等级的更新主要由互通节点(如边界网关D)来处理。另外,对于每个用户可以发出不止一种安全等级的数据报文,例如,可以允许用户 A发出安全等级分别为0,1,4的数据报文。也就是说,对于每个用户发送的数据报文对应有一个允许的安全级别集合。此时,网络接入服务器在检查用户发送的数据报文时,判断用户发出的数据报文中携带的安全等级否在此用户允许的安全级别集合内即可。还有一些实施例中,网络一和网络二之间传输数据报文的过程中,若采用加密方式(如VPN穿越)经过了网络三的传输,由于网络三采用的是加密方式,则可以考虑数据报文经过的网络三是安全的,网络三中的网元无需对所收到的数据报文的安全等级进行修改检查,即网络三收到网络一发送的数据报文时,完全透传给网络二,而网络二收到网络三转发的数据报文时,直接按本网络(即网络二)和网络一的网间协议对数据报文的安全等级进行转换即可。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种数据报文的处理方法,其特征在于,该方法包括数据报文发送端发送数据报文,所述数据报文的报文头中包括用于指示数据报文的安全等级的字段,其中,所述字段的值由所述数据报文发送端设置,或者由传输所述数据报文的网络侧设备设置;数据报文接收端接收所述数据报文,读取所述字段的值,并根据所读取的值所指示的数据报文的安全等级对所述数据报文进行处理。
2.如权利要求1所述的方法,其特征在于,当所述字段的值由数据报文发送端设置时, 传输所述数据报文的网络侧设备还判断所述字段的值所指示的数据报文的安全等级是否属于允许的安全级别范围,如果是,则将所述数据报文传输给所述数据报文接收端。
3.如权利要求2所述的方法,其特征在于,传输所述数据报文的网络侧设备若判断所述字段的值所指示的数据报文的安全等级不属于允许的安全级别范围,则更新所述字段的值,将更新操作后的数据报文传输给所述数据报文接收端,其中,所述网络侧设备更新后的字段的值所指示的数据报文的安全等级属于允许的安全级别范围。
4.如权利要求1所述的方法,其特征在于,所述字段的值由传输所述数据报文的网络侧设备设置指在数据报文的传输过程中,所述网络侧设备接收数据报文,若判断所接收到的数据报文的报文头中用于指示数据报文的安全等级的字段无效时,则根据接收到的数据报文的安全等级设置所述字段的值。
5.如权利要求1至4任一项所述的方法,其特征在于,所述数据报文接收端根据所读取的值所指示的数据报文的安全等级信息对所述数据报文进行处理指若所述数据报文接收端判断读取所述字段的值所指示的数据报文的安全等级属于允许的安全级别范围,则正常处理所述数据报文,若所述数据报文接收端判断读取所述字段的值所指示的数据报文的安全等级不属于允许的安全级别范围,则丢弃该数据报文。
6.如权利要求5所述的方法,其特征在于,所述网络侧设备至少包括网络接入服务器。
7.如权利要求5所述的方法,其特征在于,所述数据报文发送端与所述数据报文接收端位于不同网络时,所述网络侧设备至少包括所述数据报文发送端所在第一网络的第一网络接入服务器、所述第一网络的第一边界网关、所述数据报文接收端所在第二网络的第二边界网关以及所述第二网络的接入服务器;其中,所述第二边界网关接收到所述第一边界网关传输的数据报文时,根据所述第一网络和第二网络的网间协议,转换所述数据报文的安全等级,并根据转换后的数据报文的安全等级设置所述字段的值。
8.一种数据报文的处理系统,其特征在于,该系统包括数据报文发送端、网络侧设备以及数据报文接收端,其中所述数据报文发送端,用于发送数据报文,所述数据报文的报文头中包括用于指示数据报文的安全等级的字段;所述网络侧设备,用于将所述数据报文发送端发送的数据报文传输到所述数据报文接收端;所述数据报文接收端,用于接收所述数据报文,读取所述数据报文的报文头中用于指示数据报文的安全等级的字段,并根据所读取的字段所指示的数据报文的安全等级对所述数据报文进行处理。
9.如权利要求8所述的系统,其特征在于,所述数据报文发送端,还用于设置所述数据报文的报文头中用于指示数据报文的安全等级的字段的值;所述网络侧设备,在传输所述数据报文时,还用于判断所述数据报文的报文头中用于指示数据报文的安全等级的字段的值所指示的数据报文的安全等级是否属于允许的安全级别范围,如果是,则将所述数据报文传输给所述数据报文接收端,否则更新所述字段的值,将更新操作后的数据报文传输给所述数据报文接收端,其中,所述网络侧设备更新后的字段的值所指示的数据报文的安全等级属于允许的安全级别范围。
10.如权利要求8所述的系统,其特征在于,所述网络侧设备,在数据报文的传输过程中,还用于判断所接收到的数据报文的报文头中用于指示数据报文的安全等级的字段是否无效,当所述字段的值无效时,根据接收到的数据报文的安全等级设置所述字段的值,并将设置操作后的数据报文发送给所述数据报文接收端。
11.如权利要求8所述的系统,其特征在于,当所述数据报文发送端与所述数据报文接收端位于不同网络时,所述网络侧设备至少包括所述数据报文发送端所在第一网络的第一网络接入服务器、所述第一网络的第一边界网关、所述数据报文接收端所在第二网络的第二边界网关以及所述第二网络的接入服务器;其中,所述第二边界网关接收到所述第一边界网关传输的数据报文时,所述第二边界网关还用于根据所述第一网络和第二网络的网间协议,转换所述数据报文的安全等级,并根据转换后的数据报文的安全等级设置所述字段的值。
12.如权利要求8至11任一项所述的系统,其特征在于,所述数据报文接收端,在判断读取所述字段的值所指示的数据报文的安全等级属于允许的安全级别范围时,正常处理所述数据报文,当判断读取所述字段的值所指示的数据报文的安全等级不属于允许的安全级别范围时,则丢弃该数据报文。
全文摘要
本发明公开了一种数据报文的处理方法及系统,涉及数据通信领域。本发明方法包括数据报文发送端发送数据报文,所述数据报文的报文头中包括用于指示数据报文的安全等级的字段,其中,所述字段的值由所述数据报文发送端设置,或者由传输所述数据报文的网络侧设备设置;数据报文接收端接收所述数据报文,读取所述字段的值,并根据所读取的值所指示的数据报文的安全等级对所述数据报文进行处理。本发明技术方案提高了整个网络区分和处理不同安全等级报文的能力。
文档编号H04L29/06GK102347932SQ201010240679
公开日2012年2月8日 申请日期2010年7月27日 优先权日2010年7月27日
发明者张世伟, 王晓明, 符涛 申请人:中兴通讯股份有限公司