CN101645895B - 一种实现隧道安全的方法和设备 - Google Patents
一种实现隧道安全的方法和设备 Download PDFInfo
- Publication number
- CN101645895B CN101645895B CN2009100921123A CN200910092112A CN101645895B CN 101645895 B CN101645895 B CN 101645895B CN 2009100921123 A CN2009100921123 A CN 2009100921123A CN 200910092112 A CN200910092112 A CN 200910092112A CN 101645895 B CN101645895 B CN 101645895B
- Authority
- CN
- China
- Prior art keywords
- tunnel
- message
- data flow
- characteristic information
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种实现隧道安全的方法和设备,包括:隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备;隧道终点设备根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中;隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头后,将数据流报文送入隧道;隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。本发明的技术方案能够识别伪造的隧道报文。
Description
技术领域
本发明涉及网络通信技术领域,尤指一种实现隧道安全的方法、一种隧道起始点设备和一种隧道终点设备。
背景技术
隧道(Tunnel)技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
在隧道技术中,原始报文在隧道起始点进行加封装并转发的过程称为入隧道,隧道报文在抵达隧道终结点进行解封装并转发的过程,称为出隧道。其中,原始报文协议类型为A,用另一中协议类型为B的协议头添加到原始报文外层从而形成新的报文的过程,称为加封装;将加在原始报文外层的协议类型为B的协议头去除,还原为加封装之前的协议类型为A的原始报文的过程,称为解封装。
下面以通用路由封装(GRE,Generic Routing Encapsulation)隧道和IPv4/IPv6over IPv6隧道(简称IPv6隧道)为例,对隧道技术进行简要说明。
GRE协议是对某些网络层协议(如IPv4、IPv6或IPX等)报文进行封装,使这些被封装的报文能够在另一个网络层协议(如IPv4或IPv6)中传输。GRE隧道是一个虚拟的点对点的连接,为封装的数据报文提供了一通传输通路,GRE隧道两端的设备分别对数据报为进行加封装及解封装。
图1是现有技术中的GRE隧道的组网示意图。如图1所示,路由器A连接X协议网络1的接口收到X协议报文后,检查报文中的目的地址来确定如何路由该报文;若报文的目的地址要经过GRE隧道才能到达,则对报文进行GRE封装,再封装IP头后,转发出去。路由器B从GRE隧道接口收到IP报文,检查其目的地址;如果发现目的地址是本地路由器,则剥掉此报文的IP头,再剥掉GRE报文头后,根据X协议对报文进行转发处理。
图2是现有技术中的GRE隧道报文的格式示意图。如图2所示,需要封装和传输的数据报文,称之为净荷(Payload),净荷的协议类型为乘客协议(passenger Protocol)。系统收到一个净荷后,首先使用GRE协议对净荷进行GRE封装,即把乘客协议报文进行了“包装”,加上了一个GRE头部成为GRE报文;然后把封装好的原始报文和GRE头部封装在IP报文中,这样就可以完全由IP层负责此报文的前向转发。通常把这个负责前向转发的协议称为传输协议(Delivery Protocol或Transport Protocol)。根据传输协议的不同,可以分为GRE over IPv4和GRE over IPv6两种隧道模式。
图3是现有技术中的IPv6隧道的组网示意图。IPv6隧道协议是对IPv4或IPv6的数据报文进行封装,是这些被封装的数据报文能够在另一个IPv6网络中传输,封装后的报文即为IPv6隧道报文。如图3所示,路由器A连接私有网络A的接口收到原始数据报文后,首先确定如何路由此数据报文;若确定此数据报文要路由到与路由器B连接的主机B的地址,则为此报文添加IPv6报文头,通过IPv6隧道转发;路由器B从IPv6网络接口收到报文后,进行解封装处理,即去掉IPv6报文头;解封装后的数据报文被送往向用的乘客协议(Ipv4或IPv6)模块进行二次路由处理。
图4是现有技术中的IPv6隧道报文的格式示意图。如图4所示,净荷为需要封装和传输的IPv4或IPv6报文,即乘客协议为IPv4或IPv6协议。系统收到一个净荷后,进行IPv6隧道封装,即给净荷报文加上一个IPv6头。
可以看出,隧道就像管道一样,在两个网络节点之间建立一条通路,隧道传输路径对于经由该隧道转发的报文来说完全是透明的、不可见的。例如,GRE over IPv4/IPv6技术可以实现两个IPv4/IPv6网络跨IPv6网络互联,IPv4/IPv6报文入隧道后被封装为IPv6报文在IPv6网络中传输。被GRE隧道封装的IPv4/IPv6报文在隧道传输路径上不会参与任何路由行为,隧道两端的设备分别负责加封装和解封装,不会对入隧道的IPv4/IPv6报文进行任何修改处理,而是完全作为乘客数据进行传输。IPv6隧道也与GRE隧道一样,不会对入隧道的报文进行任何修改。
可见,现有的隧道技术在解封装时,并没有对报文的真实性进行检查。如果攻击主机了解了隧道起始点和终点的IP地址,并了解乘客协议报文的源IP地址和目的IP地址,就可以伪装成报文发送者,直接将伪造报文发送给隧道的终点。
发明内容
本发明提供了一种实现隧道安全的方法,该方法能够识别伪造的隧道报文。
本发明还提供了一种隧道起始点设备和一种隧道终点设备,这些设备能够识别伪造的隧道报文。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明公开了一种实现隧道安全的方法,该方法包括:
隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备;其中,所述特征信息至少包括:乘客协议源地址;
隧道终点设备根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中;
隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头后,将数据流报文送入隧道;
隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
本发明公开了一种隧道起始点设备,其特征在于,该隧道起始点设备包括:标签获取模块和隧道报文发送模块,其中,
标签获取模块,用于将需要通过隧道发送的数据流的特征信息发送给隧道终点设备,其中,所述特征信息至少包括:乘客协议源地址;用于接收隧道终点设备返回的标签,并将标签发送给隧道报文发送模块;其中,所述返回的标签是隧道终点设备是根据所接收的特征信息分配的,且隧道终点设备将接收的特征信息和所分配的标签对应保存到标签列表中;
隧道报文发送模块,用于将所接收的标签添加到隧道封装后的数据流报文的外层报文头后,将数据流报文送入隧道,从而使得隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
本发明还公开了一种隧道终点设备,该隧道终点设备包括:标签分配模块、存储模块和隧道报文接收模块,其中,
标签分配模块,用于接收隧道起始点设备发送的数据流的特征信息,根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中;其中,所述特征信息至少包括:乘客协议源地址;
存储模块,用于保存标签列表;
隧道报文接收模块,用于从隧道接收隧道起始点设备发送的数据流报文,从所接收的数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
由上述技术方案可见,本发明这种隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备,隧道终点设备根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中,隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头后,将数据报文送入隧道,隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法的技术方案,使得隧道终点设备能够根据标签列表来识别隧道报文是否来自隧道起始点设备,如果隧道报文不是来自隧道起始点设备,则是伪造的报文。
附图说明
图1是现有技术中的GRE隧道的组网示意图;
图2是现有技术中的GRE隧道报文的格式示意图;
图3是现有技术中的IPv6隧道的组网示意图;
图4是现有技术中的IPv6隧道报文的格式示意图;
图5是本发明实施例一种实现隧道安全的方法的流程图;
图6是现有技术中的ICMP ERROR报文的部分字段的格式示意图;
图7是现有技术中的IPv6头的格式示意图;
图8是本发明实施例一种隧道起始点设备的组成结构框图;
图9是本发明实施例一种隧道终点设备的组成结构框图。
具体实施方式
本发明的核心思想是:在通过隧道发送数据流报文之前,隧道起始点设备和隧道终点设备协商专属于该数据流的标签;隧道起始点设备在通过隧道发送数据流报文时,先给数据流报文打上标签;隧道终点设备从隧道接收到数据流报文时,根据标签确定该报文的合法性。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
图5是本发明实施例一种实现隧道安全的方法的流程图。如图5所示,该方法包括:
步骤501,隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备;其中,所述特征信息至少包括:乘客协议源地址。
本步骤中,由于具有相同特征的多个报文,定义为同一条流,例如,多个具有相同源、目的地址的报文属于同一条流。现有技术中,一般将具有相同五元组(源地址、源端口、协议类型、目的地址和目的端口)的报文定义为同一条数据流。因此数据流的特征信息可以是五元组中的一项或多项,但至少要包括源地址这一项。这里源地址即为入隧道之前的乘客协议报文中的源地址,称为乘客协议源地址。
步骤502,隧道终点设备根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中。
本步骤中,隧道终点设备可以采用随机分配或任何算法分配标签,只要分配完标签后记录特征信息和标签之间的对应关系到标签列表即可。本发明实施例中的一个标签列表如表1所示:
| 特征信息 | 标签 |
| 特征信息1 | 标签1 |
| ...... | ...... |
| 特征信息N | 标签N |
表1
步骤503,隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头后,将数据流报文送入隧道。
步骤504,隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
本步骤中,隧道终点设备可以先从数据流报文获取特征信息,然后从标签列表中找到对应的标签,再从数据流报文获取标签,判断获取的标签是否与从标签列表中找到的标签匹配,是则确定数据流报文合法,否则不合法。
此外,隧道终点设备也可以获取特征信息和标签后,同时根据特性信息和标签查找标签列表,判断标签列表中是否存在与所获取的特征信息和标签匹配的条目,是则确定数据流报文合法,否则不合法。这种匹配方式下,可以将特征信息和标签合成一个接入访问控制列表ACL规则,即将标签列表转换为ACL,这样从数据流报文获取到特征信息和标签后直接进行ACL规则匹配即可。
现有的解封装流程是,先解除隧道的外层封装头,然后根据内层地址转发。而有了隧道安全标签后,在步骤504中,隧道终点设备在解封装前先根据外层头的标签查找标签列表,确定隧道报文的真伪。如果是真的隧道报文则正常进行后续的处理,如果是伪造的隧道报文则可以丢弃。
如图5所示的方法中,由隧道终点设备为隧道起始点设备分配对应数据流的标签,从而使得隧道终点设备能够根据标签别分所接收隧道报文是否为伪造报文。
在本发明实施例中提供两种标签生成方式:
(1)如果隧道起始点设备就是需要通过隧道发送的数据流的源头设备时(比如主机和接入设备之间建立的隧道,主机即是数据流的源,又是隧道起始点设备),则在上述步骤501中,隧道起始点设备可以向隧道终点设备发送一个内容为空的隧道报文,并将数据流的特征信息携带在所述隧道报文的头部。
例如,隧道起始点设备发送一个内容为空的隧道封装报文,该报文的外层(即外层的传输协议报文头)目的地址是隧道终点设备地址,外层源地址为隧道起始点设备所在子网内公开的地址,内层(即内层的乘客协议报文头)报文头的源地址使用子网内不公开的地址,目的地址任意配置。隧道终点报文接收到该隧道封装报文后,采用一定的算法,比如随机算法或预配置等方式,产生一个唯一的20位的标识,与内层源地址关联起来。所述20位的标识即为隧道安全标签。
(2)如果隧道起始点设备是需要通过隧道发送的数据流的中转设备时(比如接入设备与汇聚层设备之间建立的隧道,接入层设备是隧道起始点设备,接收来自主机的数据流并中转到隧道中),隧道起始点将每条数据流的第一个报文进行隧道封装后发送给隧道终点设备;隧道终点设备从所接收的报文中获取特征信息,并分别分配标签。
在这种方式下,当一个数据流的第一个报文如隧道时,隧道起始点设备正常封装该报文,并送入隧道,而丢弃该数据流的其他报文,直到接收到对端反馈的标签后再停止丢弃该数据流的报文,按照本发明的方案打上标签后送入隧道。
在图5所示方法的步骤502中,隧道终点设备将所分配的标签发送给隧道起始点设备具体可以为:隧道终点设备向隧道起始点设备发送因特网控制信息协议出错ICMP ERROR报文;其中ICMP ERROR报文的消息体字段中携带有所分配的标签,且ICMP ERROR报文的类型字段中的值为200。
即在本发明实施例中通过扩展现有的因特网控制信息协议出错ICMPERROR报文,将标签返回给隧道起始点设备。图6是现有技术中的ICMPERROR报文的部分字段的格式示意图。参见图6,在ICMPv6协议中,类型(Type)200是可以作为实验用的类型,因此,在本发明实施例中对其进行定义,并在消息体(Message Body)中定义20位,用于返回所分配的隧道安全标签。
在图5所示的步骤503中,隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头中具体为:隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的IPv6报文头的流标签Flow Label字段中。
前面的背景技术已经提到,对于GRE封装,GRE隧道报文的格式如图2所示,其外层报文头为IP头,如果是IPv6网络,即为IPv6头。对于IPv6隧道封装,IPv6隧道报文的格式如图4所示,其外层报文头为IPv6头。图7是现有技术中的IPv6头的格式示意图。参见图7,IPv6头中的流标签(FlowLabel)字段可以用来填写本发明中的隧道安全标签。
本发明实施例中上述的技术方案能够识别伪造的隧道报文。如果在汇聚层设备和主机之间的隧道上采用本方案,还可以在不更换现有的接入层设备(二层交换机)的情况下,保证IPv6地址的真实性。具体原因如下:
在IPv6网络部署中,出于安全性的考虑,需要考查报文的源地址是否为伪造。在接入层设备上,由于目前的网络部署都是每个端口对应一个用户,因此可以使用“端口+源地址”的方式进行过滤,这样每个用户就只能发送限定源IP地址的报文。
对于汇聚层设备,也可以考虑使用“端口+源地址”的方式进行过滤。但是,在汇聚层设备上的同一端口下的接入设备接入很多用户。在接入设备是传统的二层交换机,不支持IPv6的识别的情况下,虽然各用户在正常情况下使用不同的IP地址,但如果用户伪造其他用户,使用其他用户的IP地址作为源地址发送报文,则汇聚层设备无法识别。在同一子网内,任何主机可以通过侦听其他主机发送的ND DAD报文,了解到它的地址,从而模拟其身份发送伪造的报文。
在这种情况下,如果在主机和汇聚层设备时间建立一条单播隧道,并采用本发明上述实施例中所述的隧道安全标签方式发送隧道报文,则可以使得汇聚层设备能够识别伪造的隧道报文。这种方式下,不需要改进现有的接入层设备,就可以保证汇聚层设备的安全。
图8是本发明实施例一种隧道起始点设备的组成结构框图。如图8所示,该隧道起始点设备包括:标签获取模块801和隧道报文发送模块802,其中:
标签获取模块801,用于将需要通过隧道发送的数据流的特征信息发送给隧道终点设备,其中,所述特征信息至少包括:乘客协议源地址;用于接收隧道终点设备返回的标签,并将标签发送给隧道报文发送模块802;其中,所述返回的标签是隧道终点设备是根据所接收的特征信息分配的,且隧道终点设备将接收的特征信息和所分配的标签对应保存到标签列表中;
隧道报文发送模块802,用于将所接收的标签添加到隧道封装后的数据流报文的外层报文头后,将数据流报文送入隧道,从而使得隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
在图8中,所述标签获取模块801,当所述隧道起始点设备是需要通过隧道发送的数据流的源头设备时,用于向隧道终点设备发送一个内容为空的隧道报文,并将数据流的特征信息携带在所述隧道报文的头部;或者,当所述隧道起始点设备是需要通过隧道发送的数据流的中转设备时,用于将每条数据流的第一个报文进行隧道封装后发送给隧道终点设备;隧道终点设备从所接收的报文中获取特征信息。
在图8中,所述隧道报文发送模块802,用于将所接收的标签添加到隧道封装后的数据流报文的IPv6报文头的流标签Flow Label字段中。
图9是本发明实施例一种隧道终点设备的组成结构框图。如图9所示,该隧道终点设备包括:标签分配模块901、存储模块902和隧道报文接收模块903,其中:
标签分配模块901,用于接收隧道起始点设备发送的数据流的特征信息,根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中;其中,所述特征信息至少包括:乘客协议源地址;
存储模块902,用于保存标签列表;
隧道报文接收模块903,用于从隧道接收隧道起始点设备发送的数据流报文,从所接收的数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
在图9中,所述标签分配模块901,用于向隧道起始点设备发送因特网控制信息协议出错ICMP ERROR报文;其中ICMP ERROR报文的消息体字段中携带有所分配的标签,且ICMP ERROR报文的类型字段中的值为200。
在图9中,所述隧道报文接收模块903,用于从所接收的数据流报文的IPv6报文头的流标签Flow Label字段中获取标签。
在图9中,所述隧道报文接收模块903,用于同时根据特征信息和标签查找标签列表,如果标签列表中存在与特征信息和标签匹配的条目,则确定该数据流报文合法,否则,确定该数据流报文不合法。
综上所述,本发明这种隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备,隧道终点设备根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中,隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头后,将数据报文送入隧道,隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法的技术方案,使得隧道终点设备能够根据标签列表来识别隧道报文是否来自隧道起始点设备,如果隧道报文不是来自隧道起始点设备,则是伪造的报文。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种实现隧道安全的方法,其特征在于,该方法包括:
隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备;其中,所述特征信息至少包括:乘客协议源地址;
隧道终点设备根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中;
隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的外层报文头后,将数据流报文送入隧道;
隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
2.如权利要求1所述的方法,其特征在于,所述隧道起始点设备将需要通过隧道发送的数据流的特征信息发送给隧道终点设备包括:
当隧道起始点设备就是需要通过隧道发送的数据流的源头设备时,隧道起始点设备向隧道终点设备发送一个内容为空的隧道报文,并将数据流的特征信息携带在所述隧道报文的头部;
或者,当隧道起始点设备是需要通过隧道发送的数据流的中转设备时,隧道起始点将每条数据流的第一个报文进行隧道封装后发送给隧道终点设备;隧道终点设备从所接收的报文中获取特征信息。
3.如权利要求1所述的方法,其特征在于,隧道终点设备将所分配的标签发送给隧道起始点设备包括:
隧道终点设备向隧道起始点设备发送因特网控制信息协议出错ICMPERROR报文;其中ICMP ERROR报文的消息体字段中携带有所分配的标签,且ICMP ERROR报文的类型字段中的值为200。
4.如权利要求1所述的方法,其特征在于,当隧道为通用路由封装GRE隧道或IPv6隧道时,
所述隧道起始点设备将所分配的标签添加在隧道封装后的数据流报文 的外层报文头的指定字段包括:隧道起始点设备将所分配的标签添加到隧道封装后的数据流报文的IPv6报文头的流标签Flow Label字段中;
隧道终点设备从隧道接收到数据流报文时,从数据流报文获取标签包括:隧道终点设备从隧道接收到数据流报文时,从数据流报文的IPv6头的Flow Lable字段中获取标签。
5.如权利要求1所述的方法,其特征在于,所述从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法包括:
同时根据特征信息和标签查找标签列表,如果标签列表中存在与特征信息和标签匹配的条目,则确定该数据流报文合法,否则,确定该数据流报文不合法。
6.一种隧道起始点设备,其特征在于,该隧道起始点设备包括:标签获取模块和隧道报文发送模块,其中,
标签获取模块,用于将需要通过隧道发送的数据流的特征信息发送给隧道终点设备,其中,所述特征信息至少包括:乘客协议源地址;用于接收隧道终点设备返回的标签,并将标签发送给隧道报文发送模块;其中,所述返回的标签是隧道终点设备是根据所接收的特征信息分配的,且隧道终点设备将接收的特征信息和所分配的标签对应保存到标签列表中;
隧道报文发送模块,用于将所接收的标签添加到隧道封装后的数据流报文的外层报文头后,将数据流报文送入隧道,从而使得隧道终点设备从隧道接收到数据流报文时,从数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
7.如权利要求6所述的隧道起始点设备,其特征在于,
所述标签获取模块,当所述隧道起始点设备是需要通过隧道发送的数据流的源头设备时,用于向隧道终点设备发送一个内容为空的隧道报文,并将数据流的特征信息携带在所述隧道报文的头部;或者,当所述隧道起始点设备是需要通过隧道发送的数据流的中转设备时,用于将每条数据流的第一个报文进行隧道封装后发送给隧道终点设备;隧道终点设备从所接收的报文中获取特征信息。
8.如权利要求6所述的隧道起始点设备,其特征在于,
所述隧道报文发送模块,用于将所接收的标签添加到隧道封装后的数据流报文的IPv6报文头的流标签Flow Label字段中。
9.一种隧道终点设备,其特征在于,该隧道终点设备包括:标签分配模块、存储模块和隧道报文接收模块,其中,
标签分配模块,用于接收隧道起始点设备发送的数据流的特征信息,根据特征信息分配标签,将所分配的标签发送给隧道起始点设备,并将特征信息和所分配的标签对应保存到标签列表中;其中,所述特征信息至少包括:乘客协议源地址;
存储模块,用于保存标签列表;
隧道报文接收模块,用于从隧道接收隧道起始点设备发送的数据流报文,从所接收的数据流报文获取特征信息以及标签,并通过查找标签列表确定该数据流报文是否合法。
10.如权利要求9所述的隧道终点设备,其特征在于,
所述标签分配模块,用于向隧道起始点设备发送因特网控制信息协议出错ICMP ERROR报文;其中ICMP ERROR报文的消息体字段中携带有所分配的标签,且ICMP ERROR报文的类型字段中的值为200。
11.如权利要求9所述的隧道终点设备,其特征在于,
所述隧道报文接收模块,用于从所接收的数据流报文的IPv6报文头的流标签Flow Label字段中获取标签。
12.如权利要求9所述的隧道终点设备,其特征在于,
所述隧道报文接收模块,用于同时根据特征信息和标签查找标签列表,如果标签列表中存在与特征信息和标签匹配的条目,则确定该数据流报文合法,否则,确定该数据流报文不合法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100921123A CN101645895B (zh) | 2009-08-31 | 2009-08-31 | 一种实现隧道安全的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100921123A CN101645895B (zh) | 2009-08-31 | 2009-08-31 | 一种实现隧道安全的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101645895A CN101645895A (zh) | 2010-02-10 |
| CN101645895B true CN101645895B (zh) | 2012-04-18 |
Family
ID=41657615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100921123A Expired - Fee Related CN101645895B (zh) | 2009-08-31 | 2009-08-31 | 一种实现隧道安全的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101645895B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827138B (zh) * | 2010-05-21 | 2013-06-05 | 杭州华三通信技术有限公司 | 一种优化的ipv6过滤规则处理方法和设备 |
| CN102510341B (zh) * | 2011-10-26 | 2015-06-17 | 国家广播电影电视总局广播科学研究院 | 数据流处理方法和系统及管控节点单元 |
| CN105324961B (zh) | 2013-07-10 | 2019-03-19 | 华为技术有限公司 | Gre隧道实现方法、接入点和网关 |
| EP3021528B1 (en) * | 2013-07-12 | 2019-09-25 | Huawei Technologies Co., Ltd. | Gre tunnel implementation method, access device and convergence gateway |
| CN109450796B (zh) * | 2018-11-13 | 2019-07-09 | 北京华三通信技术有限公司 | 一种报文转发方法、装置及转发设备 |
| CN110601893B (zh) * | 2019-09-18 | 2022-12-20 | 成都西加云杉科技有限公司 | 一种数据传输系统、方法和装置 |
| CN111988309B (zh) * | 2020-08-18 | 2022-07-05 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744541A (zh) * | 2004-08-31 | 2006-03-08 | 华为技术有限公司 | 一种在多层标签交换网络中实现虚拟专网业务的方法 |
| CN1926822A (zh) * | 2004-03-31 | 2007-03-07 | 松下电器产业株式会社 | 在采用多协议标签交换的无线网络中提供移动性 |
-
2009
- 2009-08-31 CN CN2009100921123A patent/CN101645895B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926822A (zh) * | 2004-03-31 | 2007-03-07 | 松下电器产业株式会社 | 在采用多协议标签交换的无线网络中提供移动性 |
| CN1744541A (zh) * | 2004-08-31 | 2006-03-08 | 华为技术有限公司 | 一种在多层标签交换网络中实现虚拟专网业务的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101645895A (zh) | 2010-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101645895B (zh) | 一种实现隧道安全的方法和设备 | |
| JP3531367B2 (ja) | トランスレータ | |
| US20130215810A1 (en) | Method and device for transmitting an ipv6 over low power wireless personal area network data packet | |
| CN101160850B (zh) | 一种转发报文的方法及装置 | |
| CN105791214B (zh) | 一种RapidIO报文和以太网报文之间的转换方法和设备 | |
| CN106559302A (zh) | 单播隧道建立方法、装置和系统 | |
| US20020012328A1 (en) | Adressing scheme to be used in an IP-Based Radio Access Network, corresponding base station and radio network controller | |
| KR101694223B1 (ko) | 패킷을 전송하는 방법, 라우팅 브리지, 및 시스템 | |
| CN112532756B (zh) | 接口扩展方法、装置和系统 | |
| CN107005430B (zh) | 一种基于数据链路层的通信方法、设备和系统 | |
| US8179795B2 (en) | Communication terminal apparatus, distribution apparatus, error notification method, and error notification program | |
| CN108390812B (zh) | 报文转发方法及装置 | |
| CN102546407A (zh) | 报文发送方法及装置 | |
| CN103067278A (zh) | 一种数据帧的传输处理方法、设备及系统 | |
| CN102420772B (zh) | 隧道报文收发方法和装置 | |
| CN113328937B (zh) | 分布式聚合的实现方法及装置 | |
| CN105721625A (zh) | 一种私网设备间通信的实现方法、私网设备及中心端设备 | |
| CN101621472B (zh) | 一种报文传输方法和路由器 | |
| CN113472913A (zh) | 通信方法及装置 | |
| CN1937568B (zh) | 一种实现报文优先级映射的方法及装置 | |
| CN112532563B (zh) | 报文的发送方法和装置 | |
| CN106487677B (zh) | 运营商边缘设备及数据转发方法 | |
| CN102868642A (zh) | 在asic中实现nvgre报文转发的方法和装置 | |
| CN103986637A (zh) | 一种差错报文处理方法及隧道设备 | |
| CN102238084A (zh) | 一种跨域报文的转发方法、装置、路由设备和客户端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120418 Termination date: 20200831 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |