WO2011079717A1

WO2011079717A1 - 报文转发方法、设备及系统

Info

Publication number: WO2011079717A1
Application number: PCT/CN2010/079833
Authority: WO
Inventors: 邹军; 郑奎利
Original assignee: 华为技术有限公司
Priority date: 2009-12-28
Filing date: 2010-12-15
Publication date: 2011-07-07
Also published as: CN101741552A

Description

报文转发方法、设备及系统

本申请要求于 2009年 12月 28日提交中国专利局、申请号为 200910261128. 2、发明名称为 "报文转发方法、设备及系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明实施例涉及通信技术领域，尤其涉及一种报文转发方法、设备及系统。背景技术虚拟专用网（Virtual Private Network ; VPN ) 是依靠国际互连网服务提供商 (Internet Service Provider; ISP) 禾口网络月艮务提供商 (Network Service Provider; NSP), 在公共网络中建立专用数据通信网络的技术，可为二层 VPN (L2VPN)和三层 VPN (L3VPN) 等。

L2VPN提供基于分组交换网络（Packet Switched Network; PSN)，一般是多协议标签交换 (Multi-Protocol Label Switching; MPLS) 网络的二层 VPN服务，使运营商可以在统一的 PSN网络上提供不同介质的二层 VPN。

以 MPLS网络为例， MPLS L2VPN为每个用户边缘设备（Customer Edge; CE) 配置一条虚电路（Virtual Circuit; VC), CE之间通过 MPLS网络相连。 MPLS L2VPN模型由 CE、供应商边缘设备（Provider Edge; PE) 和服务提供商网络中的骨干路由器（Provider; P) 组成。

两个 PE之间通过伪线（Pseudo— Wire; PW)虚拟连接，在两个 PE之间传输帧。用户报文从 CE发送至 PE，再进入 PW，进行 MPLS封装之后进入 MPLS网络进行转发。

现有技术中，原始用户报文通过 CE转发到 PE的接入链路上，再经过 PW的封装处理后进入到 PW隧道中，通过 PW隧道转发传输到对端 PE的接入链路。对端报文进行解封装处理后，将原始的报文发给对端 CE。由于原始用户报文直接封装后进入 PW隧道中进行转发，若报文被非法获取，则会造成网络中的信息泄露。发明内容本发明实施例提供一种报文转发方法、设备及系统，用以解决现有技术中若报文被非法获取，则会造成网络中信息泄露的缺陷，实现对原始用户报文的安全保护，以防止网络信息泄露。

本发明实施例提供一种报文转发方法，包括：

根据与对端供应商边缘设备 PE协商的安全加密信息对来自发送端用户边缘设备 CE 的报文进行加密；

根据伪线 PW标签对经过加密的报文进行封装处理，并发送至所述对端 PE，所述 PW标签与所述安全加密信息对应。

本发明实施例提供另一种报文转发方法，包括：

根据伪线 PW标签对源端供应商边缘设备 PE发送的报文进行解封装，并根据与所述源端 PE协商的安全解密信息对所述报文进行解密，所述安全解密信息与所述 PW标签对应；将解密后的报文发送至目的用户边缘设备 CE。

本发明实施例提供一种供应商边缘设备，包括：

第一接收模块，用于接收来自发送端用户边缘设备 CE的报文；

加密模块，用于根据与对端供应商边缘设备 PE协商的安全加密信息对所述第一接收模块接收的报文进行加密；

封装模块，用于根据伪线 PW标签对经过所述加密模块加密的报文进行封装处理，所述 PW标签与所述安全加密信息对应；

发送模块，用于将经过所述封装模块封装的报文发送至所述对端 PE。

本发明实施例提供另一种供应商边缘设备，包括：

第二接收模块，用于接收源端供应商边缘设备 PE发送的报文；

解封装模块，用于根据伪线 PW标签对所述第二接收模块接收的报文进行解封装；解密模块，用于根据与所述源端 PE协商的安全解密信息对所述所述解封装模块解封装后的所述报文进行解密，所述安全解密信息与所述 PW标签对应；

转发模块，用于将所述解密模块解密后的报文发送至目的用户边缘设备 CE。

本发明实施例还提供一种报文转发系统，包括发送端用户边缘设备、目的用户边缘设备、源端供应商边缘设备和对端供应商边缘设备；

所述源端供应商边缘设备，用于根据与所述对端供应商边缘设备协商的安全加密信息对来自所述发送端用户边缘设备的报文进行加密，根据伪线 PW标签对经过加密的报文进行封装处理后发送至所述对端供应商边缘设备，所述 PW标签与所述安全加密信息对应；

所述对端供应商边缘设备，用于根据所述 PW标签对源端供应商边缘设备发送的报文进行解封装，并根据与所述源端供应商边缘设备协商的安全解密信息对所述报文进行解密，将解密后的报文发送至目的用户边缘设备，所述安全解密信息与所述 PW标签对应。

本发明实施例的报文转发方法、设备及系统，在 CE发送的原始报文进入 PW隧道之前，根据源端 PE和对端 PE协商的安全信息对报文进行加密后再进行封装处理，改变了现有技术中若报文被非法获取，则会造成网络中信息泄露的缺陷，实现了对原始报文的安全保护，适用于各种类型的报文及组网。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明一个实施例提供的报文转发方法流程图；

图 2为本发明实施例提供的 PW网络结构示意图；

图 3为本发明又一个实施例提供的报文转发方法流程图；

图 4a为本发明另一个实施例提供的报文转发方法流程图一；

图 4b为本发明另一个实施例提供的报文转发方法流程图二；

图 5为本发明一个实施例提供的供应商边缘设备结构示意图；

图 6为本发明又一个实施例提供的供应商边缘设备结构示意图；

图 7为本发明另一个实施例提供的供应商边缘设备结构示意图；

图 8为本发明再一个实施例提供的供应商边缘设备结构示意图；

图 9为本发明一个实施例提供的报文转发系统结构示意图。具体实肺式为使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。

图 1为本发明一个实施例提供的报文转发方法流程图，如图 1所示，该方法包括： S 10 K根据与对端供应商边缘设备 PE协商的安全加密信息对来自发送端用户边缘设备 CE的报文进行加密。

S 102、根据伪线 PW标签对经过加密的报文进行封装处理，并发送至对端供应商边缘设备 PE，该 PW标签与安全加密信息对应。

图 2中给出 PW网络的结构示意图，其中， CE1为发送端用户边缘设备， CE2为目的用户边缘设备， PE 1为源端供应商边缘设备， PE2为对端供应商边缘设备，设备 P为骨干网中的骨干路由器。需要说明的是，在 PW网络报文转发过程中，可以将 CE1端发送的报文通过 PE1直接发送至 PE2，而无需经过骨干网中的设备 P，图 2中给出了报文在 PW网络转发过程中骨干网中的一个设备 P参与的情况，在报文转发过程中，也可能有一个以上设备 P 的参与。

在一个报文从 CE1发送到 CE2的过程中， PE1通过接入链路接收到 CE1发送的原始报文后，根据与对端 PE2预先协商的安全加密信息对该原始报文进行加密，其中， PE1与 PE2 进行安全协商的过程可以在 PW标签协商过程中实现，可以通过 PW标签协商过程中的标签分发协议（Label Di stribut ion Protocol ; LDP ) 交互，将用于封装报文或解封装报文的 PW标签告知 PE2，并将对应于上述 PW标签的安全解密信息告知 PE2，在 PW标签协商过程结束后，在 PE1和 PE2之间建立起 PW隧道。需要说明的是，每一次 PW标签协商过程过后，在 PE1和 PE2之间对应建立起唯一的 PW隧道，与 PW标签对应的安全加密信息也相应用于对该 PW隧道中转发的报文进行加密。

对该原始报文进行加密后， PE1根据与 PE2协商的 PW标签对加密后的报文进行封装。当还需要外层标签封装时， PE1根据与 PE2协商的外层标签对经过 PW标签封装的报文进行封装。其中，外层标签可以从 PE 1与 PE2之间的其他交互流程中获得。进行封装后， PE1 将封装后的报文直接发送至 PE2，或者经由骨干网中的 P设备转发至 PE2。

PE2接收到封装后的报文，首先根据 PW标签协商过程中获知的 PW标签对报文进行解封装，并根据上述 PW标签获得对应的安全解密信息，再根据该安全解密消息对该报文进行解密，并将解密后的报文发送给 CE2。需要说明的是，如果 PE1对报文进行了外层标签封装，则相应的， PE2依次根据外层标签和 PW标签对报文进行解封装。

本实施例提供的报文转发方法，在 CE发送的原始报文进入 PW隧道之前，根据源端 PE 和对端 PE协商的安全信息对报文进行加密后再进行封装处理，能够防止报文被非法获取造成的网络中信息泄露，实现了对原始报文的安全保护，适用于各种类型的报文及组网。

本发明实施例适用于使用 PW实现组网的任何应用场合，可以对进入 PW隧道的各种数据报文进行安全保护。

图 3为本发明又一个实施例提供的报文转发方法流程图，如图 3所示，该方法包括：

S30 K 根据伪线 PW标签对源端供应商边缘设备 PE发送的报文进行解封装，并根据与源端 PE协商的安全解密信息对报文进行解密，该安全解密信息与 PW标签对应。

S302、将解密后的报文发送至目的用户边缘设备 CE。

参见图 2， PE1通过接入链路接收到 CE1发送的原始报文后，根据与对端 PE2预先协商的安全加密信息对该原始报文进行加密，其中， PE1与 PE2进行安全协商的过程可以在 PW 标签协商过程中实现，通过 PW标签协商过程中的 LDP协议交互，将用于封装报文或解封装报文的 PW标签告知 PE2，并将对应于 PW标签的安全解密信息告知 PE2，同样的，当 PE2 需要向 PE 1发送报文时，也可以在与 PE 1进行 PW标签协商的过程中告知 PE 1用于解封装报文的 PW标签，以及与该 PW标签对应的安全解密信息。在 PW标签协商过程结束后，在 PE1 和 PE2之间建立起 PW隧道。

对该原始报文进行加密后， PE 1根据 PW标签协商过程中确定的 PW标签对加密后的报文进行封装，当还需要外层标签封装时， PE1根据与 PE2在其他交互过程中获得的外层标签对加密后的报文进行封装处理，并直接发送至 PE2，或经由骨干网中的 P设备发送至 PE2。

PE2接收到 PE1发送的报文或经由骨干网中的 P设备转发的报文后，若在 PE1端对报文进行了外层标签封装，则 PE2首先根据与 PE1协商的外层标签对报文进行解封装，然后再根据 PW标签协商过程中确定的内层标签对报文进行解封装，并根据上述 PW标签获得对应的安全解密信息，再根据该安全解密消息对该报文进行解密，并将解密后的报文发送给 CE2。

本实施例提供的报文转发方法，在 CE发送的原始报文进入 PW隧道之前，源端 PE根据两端 PE协商的安全信息对报文进行加密后再进行封装处理，并在对端 PE根据协商的安全信息对报文进行解密处理，改变了现有技术中若报文被非法获取，则会造成网络中信息泄露的缺陷，实现了对原始报文的安全保护，适用于各种类型的报文及组网。

图 4a为本发明另一个实施例提供的报文转发方法流程图一，如图 4a所示，本实施例对应报文加密端，即源端 PE的处理过程，该方法包括：

S401a、与对端 PE进行 PW标签协商，在发送至对端 PE的标签协商报文中携带与 PW标签对应的安全解密信息。

具体的，该与 PW标签对应的安全解密信息可以填写在 LDP报文的选项字段。举例来说，在源端 PE与对端 PE协商安全信息之前，根据预先配置的安全解密信息填写 PW标签协商过程中交互的 LDP报文的选项字段，例如类型长度值（Type-length-value, TLV) ，其中，预先配置的安全解密信息具体包括：安全解密方法及安全解密密钥。根据这些预先配置的安全解密信息来填写 LDP的 TLV，可以包括但不限于下述两种设置方式：

1、对 PW标识转发等价类（Forwarding Equivalence Class; FEC) TLV的设置，如表一所示：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

PWid(0x80) |C| PW Type PW info Length

Group ID

PW ID

Interface Parameter Sub— TLV

PW security type | Length security Value 表一：安全 FEC TLV格式

其中，对 TLV的扩展为： PW安全类型（PW security type) 、整个安全信息的长度（Length) 和安全信息（security Value) ，该安全信息表示安全属性，如解密算法和解密密钥等。

2、对 PW通用标识 FEC TLV进行扩展，参见表二：

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

0 I 0 PW security type | PW info Length

Security Value 表二：安全 TLV格式

其中， PW安全类型（PW security type ) 、整个安全信息的长度（Length ) 和安全信息（security Value ) ，该安全信息表示安全属性，如解密算法和解密密钥等。

需要说明的是，通常情况下，在 PW标签协商过程中，由于协商过程极为短暂，因此， LDP报文被截获的可能性很小。但在本实施例的基础上，可以通过对 TLV本身进行加密以实现对 LDP报文的进一步安全保护，具体可以通过在源端 PE和对端 PE手工配置加密密钥来实现对 LDP报文本身的安全保护，也可以通过网管分别向源端 PE和对端 PE下发加密密钥来实现对 LDP报文本身的安全保护，这里的加密密钥可以采用对称密码学或公钥密码学机制。

在源端 PE与对端 PE标签协商过程之后，在源端 PE和对端 PE之间确定了用于封装和解封装报文的 PW标签，并且确定了用于加密和解密报文的安全加密信息和安全解密信息，在加密端，协议层会将 PW会话表索引下发到数据层的转发表项中，该 PW会话表索引中包括 PW标签以及与该 PW标签对应的安全加密信息。

S402 a、接收到来自发送端 CE的报文。

S403 a、根据接收到报文的入接口获得对应的 VPN信息。

其中，入接口即源端 PE与发送端 CE连接的接口，源端 PE通过该入接口接收到发送端 CE发送的报文，源端 PE可以根据该入接口从接口表项中获取到对应的 VPN信息，即获知原始报文属于哪个 VPN。

S404 a、根据得到的 VPN信息查找该报文对应的转发表项。

S405 a、根据转发表项获取 PW会话表索引。

5406 a、从 PW会话表索引中获取用于封装报文的 PW标签和安全加密信息。

在源端 PE与对端 PE的 PW标签协商过程之后，在加密端，协议层将 PW会话表索引下发至数据层的转发表项中，因此，源端 PE需要根据转发表项获取 PW会话表索引，并从 PW 会话表索引中找到对报文进行封装的 PW标签以及与该 PW标签对应的用于报文加密的安全加密信息。当需要封装外层标签时，对报文进行封装的外层标签在源端 PE与对端 PE交互的其他流程中获取。

5407 a、根据安全加密信息对报文进行加密。

5408 a、根据 PW标签对加密后的报文进行封装处理。

当还需要外层标签封装时，源端 PE根据与对端 PE协商的外层标签对经过 PW标签封装的报文进行封装。 S409 a、将经过加密和封装后的报文发送至对端 PE，或经由骨干网中的 P设备转发给对端 PE。

图 4b为本发明另一个实施例提供的报文转发方法流程图二，如图 4b所示，本实施例对应报文解密端，即对端 PE的处理过程，该方法包括：

S401b、与源端 PE进行 PW标签协商，从源端 PE发送的标签协商报文中获取与 PW标签对应的安全解密信息。

其中，与 PW标签对应的安全解密信息可能填写在 LDP报文的选项字段，例如： LDP报文的 TLV等，具体填写方式参见前一实施例。

在 PW标签协商过程结束后，解密端获知用于对报文进行解封装的 PW标签，并且，协议层向数据层下发的 PW会话表索引中包括对应于 PW标签的安全解密信息。

S402b、接收到源端 PE发送的报文。

S403b、根据 PW标签对报文进行解封装。

当还需要解封装外层标签时，首先根据与源端 PE协商的外层标签对报文进行解封装。

其中， PW标签在与源端 PE进行 PW标签协商过程中获取，而外层标签可以通过与源端

PE交互的其他流程中获取。

S404b、根据 PW标签查找到 PW会话表索引，该 PW会话表索引中包括与 PW标签对应的安全解密信息。

S405b、根据 PW会话表索引中的安全解密信息对报文进行解密。

S406b、根据 PW标签获得对应的 VPN。

S407b、根据 VPN查找到转发表项，得到目的 CE。

在源端 PE和对端 PE的 PW标签协商过程之后，源端 PE和对端 PE之间建立起 PW隧道，一个 PW标签与一个 VPN进行绑定，因此，对端 PE接收到报文时，可以根据 PW标签获得对应的 VPN，从而通过 VPN查找到转发表项，即得到发送报文的出接口。

S408b、将解密后的报文转发到目的 CE。

本实施例提供的报文转发方法，在 CE发送的原始报文进入 PW隧道之前，根据源端 PE 和对端 PE协商的安全信息对报文进行加密后再进行封装处理，其中协商的安全信息可以通过对 LDP的 TLV扩展字段中携带，防止了报文被非法获取造成的网络中信息泄露，实现了对原始报文的安全保护，适用于各种类型的报文及组网，用户终端设备无需进行任何安全配置及额外开销，实现了低成本的转发报文安全保护。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： R0M、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

图 5为本发明一个实施例提供的供应商边缘设备结构示意图，如图 5所示，该供应商边缘设备包括：第一接收模块 51、加密模块 52、封装模块 53和发送模块 54。

其中，第一接收模块 51，用于接收来自发送端用户边缘设备 CE的报文。

加密模块 52，用于根据与对端供应商边缘设备 PE协商的安全加密信息对第一接收模块 51接收的报文进行加密。

封装模块 53，用于根据伪线 PW标签对经过加密模块 52加密的报文进行封装处理，该

PW标签与安全加密信息对应。

发送模块 54，用于将经过封装模块 53封装的报文发送至对端 PE。

在一个报文从发送端 CE发送到目的 CE的过程中，源端 PE的第一接收模块 51接收到发送端 CE发送的原始报文后，源端 PE中的加密模块 52根据与对端 PE预先协商的安全加密信息对该原始报文进行加密，其中，源端 PE与对端 PE进行安全协商的过程可以在 PW标签协商过程中实现，通过 PW标签协商过程中的 LDP协议交互，将用于封装报文或解封装报文的 PW标签告知对端 PE，并将对应于上述 PW标签的安全解密信息告知对端 PE，在 PW标签协商过程结束后，在源端 PE和对端 PE之间建立起 PW隧道，每一次 PW标签协商过程过后，在源端 PE和对端 PE之间对应建立起唯一的 PW隧道，与 PW标签对应的安全加密信息也相应用于对该 PW隧道中转发的报文进行加密。

加密模块 52对该原始报文进行加密后，源端 PE的封装模块 53根据与 PE2协商的 PW标签对加密后的报文进行封装，其中，当还需要外层标签封装时，则封装模块 53根据与对端 PE协商的外层标签对经过 PW标签封装的报文进行封装，外层标签在源端 PE与对端 PE之间的其他交互流程中获取。源端 PE的发送模块 54将封装后的报文发送给对端 PE，或经由骨干网中的 P设备发送给对端 PE。

对端 PE接收到源端 PE封装模块 53封装后的报文，首先根据 PW标签协商过程中获知的 PW标签对报文进行解封装，并根据上述 PW标签获得对应的安全解密信息，再根据该安全解密消息对该报文进行解密，并将解密后的报文发送给目的 CE。如果源端 PE对报文进行了外层标签封装，则相应的，对端 PE依次根据外层标签和 PW标签对报文进行解封装。

本实施例提供的供应商边缘设备，在 CE发送的原始报文进入 PW隧道之前，源端供应商边缘设备根据源端 PE和对端 PE协商的安全信息对报文进行加密后再进行封装处理，能够防止报文被非法获取造成的网络中信息泄露，实现了对原始报文的安全保护，适用于各种类型的报文及组网。

图 6为本发明又一个实施例提供的供应商边缘设备结构示意图，如图 6所示，该供应商边缘设备包括：第一接收模块 51、加密模块 52、封装模块 53和发送模块 54。

封装模块 53，用于根据伪线 PW标签对经过加密模块 52加密的报文进行封装处理，该 PW标签与安全加密信息对应。

发送模块 54，用于将经过封装模块 53封装的报文发送至对端供应商边缘设备 PE。进一步的，该供应商边缘设备还包括：第一标签协商模块 55。

第一标签协商模块 55，用于与对端 PE进行 PW标签协商，在发送至对端 PE的标签协商报文中携带与 PW标签对应的安全解密信息。

加密模块 52可以进一步包括：获取单元 521、第一查找单元 522和加密单元 523。获取单元 521，用于根据接收到报文的入接口获得对应的虚拟专用网 VPN。

第一查找单元 522，用于根据获取单元 521获取的 VPN查找对应的 PW会话表索引，该 PW会话表索引中包括与 VPN对应的 PW标签协商后协议层下发的安全加密信息。

加密单元 523，用于根据第一查找单元 522获取的安全加密信息对来自发送端 CE的报文进行加密。

具体的，与 PW标签对应的安全解密信息可以填写在 LDP报文的选项字段，例如：在第一标签协商模块 55与对端 PE协商安全信息之前，可以根据预先配置的安全解密信息填写 PW标签协商过程中交互的 LDP报文的选项字段，如 LDP的 TLV等，预先配置的安全解密信息具体包括安全解密方法及安全解密密钥。根据这些预先配置的安全解密信息填写 LDP的 TLV可以采用 PW标识 FEC TLV格式，或者通过标识 FEC TLV格式，具体的填写 TLV过程参见方法实施例，不再赘述。

第一标签协商模块 55与对端供应商边缘设备 PE进行 PW标签协商，在发送至对端 PE的标签协商报文中携带与 PW标签对应的安全解密信息。在第一标签协商模块 55与对端 PE标签协商过程之后，在源端 PE和对端 PE之间确定了用于封装和解封装报文的 PW标签，并且确定了用于加密和解密报文的安全加密信息和安全解密信息，在源端 PE，协议层会将 PW 会话表索引下发到数据层的转发表项中，该 PW会话表索引中包括了 PW标签以及与该 PW标签对应的安全加密信息。当第一接收模块 51接收到来自源端 CE的报文，获取单元 521根据接收到报文的入接口得到对应的 VPN信息，即获知原始报文属于哪个 VPN，第一查找单元 522根据得到的 VPN信息查找该报文对应的转发表项，再根据转发表项获取 PW会话表索弓 I，并从 PE会话表索引中获取用于封装报文的 PW标签和安全加密信息。源端 PE的加密单元 523对原始报文进行加密时，需要从 PW会话表索引中找到安全加密信息，对报文进行加密。封装模块 53根据 PW标签对加密后的报文进行封装处理。当需要对报文封装外层标签时，可以从源端 PE与对端 PE交互的其他流程中获取外层标签，再由封装模块 53对报文进行外层封装。发送模块 54将经过加密和封装后的报文发送至对端 PE，或经由骨干网中的 P设备发送至对端 PE。

本实施例提供的供应商边缘设备，在 CE发送的原始报文进入 PW隧道之前，根据源端 PE和对端 PE协商的安全信息对报文进行加密后再进行封装处理，其中协商的安全信息可以通过对 LDP的 TLV扩展字段中携带，防止了报文被非法获取造成的网络中信息泄露，实现了对原始报文的安全保护，适用于各种类型的报文及组网，用户终端设备无需进行任何安全配置及额外开销，实现了低成本的转发报文安全保护。

图 7为本发明另一个实施例提供的供应商边缘设备结构示意图，如图 7所示，该供应商边缘设备包括：第二接收模块 71、解封装模块 72、解密模块 73和转发模块 74。

其中，第二接收模块 71，用于接收源端供应商边缘设备 PE发送的报文。

解封装模块 72，用于根据伪线 PW标签对第二接收模块 71接收的报文进行解封装。解密模块 73，用于根据与源端 PE协商的安全解密信息对解封装模块 72解封装后的报文进行解密，该安全解密信息与 PW标签对应。

转发模块 74，用于将解密模块 73解密后的报文发送至目的用户边缘设备 CE。

源端 PE接收到发送端 CE发送的原始报文后，根据与对端 PE预先协商的安全加密信息对该原始报文进行加密，其中，源端 PE与对端 PE进行安全协商的过程可以在 PW标签协商过程中实现，通过 PW标签协商过程中的 LDP协议交互，用于封装报文或解封装报文的 PW 标签告知对端 PE，并将对应于 PW标签的安全解密信息告知对端 PE，同样的，当对端 PE需要向源端 PE发送报文时，也可以在与源端 PE进行 PW标签协商的过程中告知源端 PE用于解封装报文的 PW标签，以及与该 PW标签对应的安全解密信息。在 PW标签协商过程结束后，在源端 PE和对端 PE之间建立起 PW隧道。

对该原始报文进行加密后，源端 PE根据 PW标签协商过程中获取的 PW标签对加密后的报文进行封装，当还需要外层标签封装时，源端 PE根据与对端 PE在其他交互过程中获取的外层标签对加密后的报文进行封装处理，并发送给对端 PE，或经由骨干网中的 P设备发送给对端 PE。

对端 PE的第二接收模块 71接收到封装后的报文，若源端 PE对报文进行了外层标签封装，则对端 PE首先通过解封装模块 72根据与源端 PE协商的外层标签对报文进行解封装，然后再根据 PW标签协商过程中获取的内层标签对报文进行解封装处理，解密模块 73根据上述 PW标签获得对应的安全解密信息对该报文进行解密，并由转发模块 74将解密后的报文发送给目的 CE。

本实施例提供的供应商边缘设备，在 CE发送的原始报文进入 PW隧道之前，源端 PE根据两端 PE协商的安全信息对报文进行加密后再进行封装处理，并在对端 PE根据协商的安全信息对报文进行解密处理，改变了现有技术中若报文被非法获取，则会造成网络中信息泄露的缺陷，实现了对原始报文的安全保护，适用于各种类型的报文及组网。

图 8为本发明再一个实施例提供的供应商边缘设备结构示意图，如图 8所示，该供应商边缘设备包括：第二接收模块 71、解封装模块 72、解密模块 73和转发模块 74。

进一步的，该供应商边缘设备还可以包括：第二标签协商模块 75，用于与源端 PE进行 PW标签协商，从源端 PE发送的标签协商报文中获取与 PW标签对应的安全解密信息。

解密模块 73可以包括：第二查找单元 731和解密单元 732。

第二查找单元 731，用于根据第二标签协商模块 75在 PW标签协商过程获取的 PW标签查找对应的 PW会话表索引， PW会话表索引中包括标签协商后协议层下发的与 PW标签对应的安全解密信息。

解密单元 732，用于根据第二查找单元 731获取的安全解密信息对报文进行解密。在对端 PE的第二接收模块 71接收到源端 PE或经由骨干网中 P设备转发的报文之前，对端 PE的第二标签协商模块 75与源端 PE进行 PW标签协商，从接收的源端 PE发送的标签协商报文中获取与 PW标签对应的安全解密信息，该安全解密信息可能填写再 LDP报文的选项字段，例如： LDP的 TLV等。在 PW标签协商过程结束后，对端 PE获知用于对报文进行解封装的 PW标签，并且，协议层向数据层下发的 PW会话表索引中包括对应于 PW标签的安全解密信息。

解封装模块 72根据标签协商过程中获取的 PW标签解封装处理，当还需要解封装外层标签时，则解封装模块 72首先根据与源端 PE协商的外层标签对报文进行解封装。第二查找单元 731根据 PW标签查找到 PW会话表索引该 PW会话表索引中包括与 PW标签对应的安全解密信息。解密单元 732根据该安全解密信息对报文进行解密。根据 PW标签获得对应的 VPN,并根据 VPN查找转发表项，得到目的 CE，转发模块 74将解密后的报文转发到目的 CE。

本实施例提供的供应商边缘设备，在 CE发送的原始报文进入 PW隧道之前，根据源端 PE和对端 PE协商的安全信息对报文进行加密后再进行封装处理，并在对端 PE根据协商的安全信息对报文进行解密处理，其中协商的安全信息可以通过对 LDP的 TLV扩展字段中携带，改变了现有技术中若报文被非法获取，则会造成网络中信息泄露的缺陷，实现了对原始报文的安全保护，适用于各种类型的报文及组网，用户终端设备无需进行任何安全配置及额外开销，实现了低成本的转发报文安全保护。

图 9为本发明一个实施例提供的报文转发系统结构示意图，如图 9所示，该系统包括：发送端用户边缘设备 1、目的用户边缘设备 2、源端供应商边缘设备 3、对端供应商边缘设备 4。

源端供应商边缘设备 3，用于根据与对端供应商边缘设备 4协商的安全加密信息对来自所述发送端用户边缘设备 1的报文进行加密，根据伪线 PW标签对经过加密的报文进行封装处理后发送至对端供应商边缘设备 4，该 PW标签与安全加密信息对应。

对端供应商边缘设备 4，用于根据 PW标签对源端供应商边缘设备 3发送的报文进行解封装，并根据与源端供应商边缘设备 3协商的安全解密信息对报文进行解密，将解密后的报文发送至目的用户边缘设备 2，该安全解密信息与 PW标签对应。

在一个报文从发送端 CE1发送到目的 CE2的过程中，源端 PE3接收到发送端 CE1发送的原始报文后，根据与对端 PE4预先协商的安全加密信息对该原始报文进行加密，其中，源端 PE3与对端 PE4进行安全协商的过程可以在 PW标签协商过程中实现，通过标签协商过程中的 LDP协议交互，将用于封装报文或解封装报文的 PW标签告知对端 PE4，并将对应于上述 PW标签的安全解密信息告知对端 PE4，在标签协商过程结束后，在源端 PE3和对端 PE4 之间建立起 PW隧道，每一次 PW标签协商过程过后，在源端 PE3和对端 PE4之间对应建立起唯一的 PW隧道，与 PW标签对应的安全加密信息也相应用于对该 PW隧道中转发的报文进行加密。对该原始报文进行加密后，源端 PE3根据与 PE4协商的 PW标签对加密后的报文进行封装处理，当还需要外层标签封装时，源端 PE3根据与对端 PE4协商的外层标签对经过 PW标签封装的报文进行封装。其中，外层标签可以从源端 PE3与对端 PE4之间的其他交互流程中获取。进行封装后，源端 PE3将封装后的报文发送给 PE4，当然也可以通过骨干网中的 P设备将报文转发给 PE4。

PE4接收到封装后的报文，首先根据 PW标签协商过程中获知的 PW标签对报文进行解封装，并根据上述 PW标签获得对应的安全解密信息，再根据该安全解密消息对该报文进行解密，并将解密后的报文发送给目的 CE2。如果源端 PE3对报文进行了外层标签封装，则相应的，对端 PE4依次根据外层标签和 PW标签对报文进行解封装。

本实施例提供的报文转发系统，在 CE发送的原始报文进入 PW隧道之前，根据源端 PE 和对端 PE协商的安全信息对报文进行加密后再进行封装处理，并在对端 PE根据协商的安全信息对报文进行解密处理，防止报文被非法获取造成的网络中信息泄露，实现了对原始报文的安全保护，适用于各种类型的报文及组网。

本领域普通技术人员可以理解实现上述实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于计算机可读存储介质中，所述存储介质可以是 ROM/RAM, 磁盘或光盘等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求

1、一种报文转发方法，其特征在于，包括：

2、根据权利要求 1所述的方法，其特征在于，所述根据与对端供应商边缘设备 PE协商的安全加密信息对来自发送端用户边缘设备 CE的报文进行加密之前，还包括：

与所述对端 PE进行 PW标签协商，在发送至所述对端 PE的标签协商报文中携带与所述 PW标签对应的安全解密信息。

3、根据权利要求 2所述的方法，其特征在于，所述根据与对端供应商边缘设备 PE协商的安全加密信息对来自发送端用户边缘设备 CE的报文进行加密包括：

根据接收到报文的入接口获得对应的虚拟专用网 VPN;

根据所述 VPN查找对应的 PW会话表索引，所述 PW会话表索引中包括与所述 VPN对应的所述安全加密信息，所述安全加密信息为所述 PW标签协商后协议层下发的；

根据所述安全加密信息对所述来自所述发送端 CE的报文进行加密。

4、一种报文转发方法，其特征在于，包括：

5、根据权利要求 4所述的方法，其特征在于，所述根据伪线 PW标签对源端供应商边缘设备 PE发送的报文进行解封装，并根据与所述源端 PE协商的安全解密信息对所述报文进行解密之前，还包括：

与所述源端 PE进行 PW标签协商，从所述源端 PE发送的标签协商报文中获取与所述 PW 标签对应的所述安全解密信息。

6、根据权利要求 5所述的方法，其特征在于，所述根据与所述源端 PE协商的安全解密信息对所述报文进行解密包括：

根据 PW标签查找对应的 PW会话表索引，所述 PW会话表索引中包括与所述 PW标签对应的所述安全解密信息，所述安全解密信息为所述 PW标签协商后协议层下发的；

根据所述安全解密信息对解封装后的报文进行解密。

7、一种供应商边缘设备，其特征在于，包括：

8、根据权利要求 7所述的供应商边缘设备，其特征在于，还包括：

第一标签协商模块，用于与所述对端 PE进行 PW标签协商，在发送至所述对端 PE的标签协商报文中携带与所述 PW标签对应的安全解密信息。

9、根据权利要求 8所述的供应商边缘设备，其特征在于，所述加密模块包括：获取单元，用于根据接收到报文的入接口获得对应的虚拟专用网 VPN;

第一查找单元，用于根据所述获取单元获取的所述 VPN查找对应的 PW会话表索引，所述 PW会话表索引中包括与所述 VPN对应的所述 PW标签协商后协议层下发的所述安全加 ΐ¾"ίη息；

加密单元，用于根据所述查找单元获取的所述安全加密信息对所述来自所述发送端

CE的报文进行加密。

10、一种供应商边缘设备，其特征在于，包括：

第二接收模块，用于接收源端供应商边缘设备 ΡΕ发送的报文；

解封装模块，用于根据伪线 PW标签对所述第二接收模块接收的报文进行解封装；解密模块，用于根据与所述源端 ΡΕ协商的安全解密信息对所述解封装模块解封装后的所述报文进行解密，所述安全解密信息与所述 PW标签对应；

11、根据权利要求 10所述的供应商边缘设备，其特征在于，还包括：

第二标签协商模块，用于与所述源端 PE进行 PW标签协商，从所述源端 PE发送的标签协商报文中获取与所述 PW标签对应的所述安全解密信息。

12、根据权利要求 11所述的供应商边缘设备，其特征在于，所述解密模块包括：第二查找单元，用于根据所述所述 PW标签查找对应的 PW会话表索引，所述 PW会话表索引中包括所述标签协商后协议层下发的与所述 PW标签对应的所述安全解密信息；解密单元，用于根据所述第二查找单元获取的所述安全解密信息对解封装后的报文进行解密。

13、一种报文转发系统，其特征在于，包括发送端用户边缘设备、目的用户边缘设备、源端供应商边缘设备和对端供应商边缘设备；

14、一种报文转发系统，其特征在于，包括发送端用户边缘设备、目的用户边缘设备、权利要求 7至 9任一所述的源端供应商边缘设备和权利要求 10至 12任一所述的对端供应商边缘设备。