【技术实现步骤摘要】
本专利技术涉及数据通信领域,尤其涉及一种接入设备和边界网关对不同安全等级的数据报文的处理方法。
技术介绍
现有互联网是基于IP技术构建的,IP网络的开放性促成了互联网的繁荣,也带来了大量的安全问题,互联网中的节点受多个国家的多个机构管理,有些节点是可信任的,也可能是不可信任的。网络中的用户可能收到信任节点的数据报文,也可能收到不可信任节点的数据报文。同时,IP网络是多业务共享的网络,既可能传输高安全级别业务的报文,也需要传输一些低安全级别业务的报文。出于业务应用的需要,在很多情况下,网络的中间节点即使发现一些数据报文不够安全,也不能简单地将这些报文丢弃,否则会造成业务中断,影响用户的业务体验。当前的IP网络对上述不同安全等级的报文没有提供相应的处理方法,只是将不同安全等级的报文简单的混合在一起传输,这就导致最终的目的节点无法区分数据报文是来源于安全的网络,还是不安全的网络,从而无法针对安全等级进行区分服务,互联网的安全无法得到根本改善。
技术实现思路
本专利技术所要解决的技术问题是,提供一种数据报文的处理方法及系统,以便网络设备利用安全级别信息对数据报文进行分类处理。现有IP报文中没有标识报文安全级别的字段,因而终端用户或者业务服务器在收到报文时,无法分辨出哪些数据报文是安全可信的,哪些数据报文是不够可信的,从而无法进行区分处理,这就为不可信节点冒充可信节点攻击用户或者业务服务...
【技术保护点】
1.一种数据报文的处理方法,其特征在于,该方法包括:数据报文发送端发送数据报文,所述数据报文的报文头中包括用于指示数据报文的安全等级的字段,其中,所述字段的值由所述数据报文发送端设置,或者由传输所述数据报文的网络侧设备设置;数据报文接收端接收所述数据报文,读取所述字段的值,并根据所读取的值所指示的数据报文的安全等级对所述数据报文进行处理。
【技术特征摘要】
1.一种数据报文的处理方法,其特征在于,该方法包括:
数据报文发送端发送数据报文,所述数据报文的报文头中包括用于指示
数据报文的安全等级的字段,其中,所述字段的值由所述数据报文发送端设
置,或者由传输所述数据报文的网络侧设备设置;
数据报文接收端接收所述数据报文,读取所述字段的值,并根据所读取
的值所指示的数据报文的安全等级对所述数据报文进行处理。
2.如权利要求1所述的方法,其特征在于,当所述字段的值由数据报文
发送端设置时,传输所述数据报文的网络侧设备还判断所述字段的值所指示
的数据报文的安全等级是否属于允许的安全级别范围,如果是,则将所述数
据报文传输给所述数据报文接收端。
3.如权利要求2所述的方法,其特征在于,传输所述数据报文的网络侧
设备若判断所述字段的值所指示的数据报文的安全等级不属于允许的安全级
别范围,则更新所述字段的值,将更新操作后的数据报文传输给所述数据报
文接收端,其中,所述网络侧设备更新后的字段的值所指示的数据报文的安
全等级属于允许的安全级别范围。
4.如权利要求1所述的方法,其特征在于,所述字段的值由传输所述数
据报文的网络侧设备设置指:
在数据报文的传输过程中,所述网络侧设备接收数据报文,若判断所接
收到的数据报文的报文头中用于指示数据报文的安全等级的字段无效时,则
根据接收到的数据报文的安全等级设置所述字段的值。
5.如权利要求1至4任一项所述的方法,其特征在于,
所述数据报文接收端根据所读取的值所指示的数据报文的安全等级信息
对所述数据报文进行处理指:
若所述数据报文接收端判断读取所述字段的值所指示的数据报文的安全
等级属于允许的安全级别范围,则正常处理所述数据报文,若所述数据报文
接收端判断读取所述字段的值所指示的数据报文的安全等级不属于允许的安
全级别范围,则丢弃该数据报文。
6.如权利要求5所述的方法,其特征在于,
所述网络侧设备至少包括网络接入服务器。
7.如权利要求5所述的方法,其特征在于,
所述数据报文发送端与所述数据报文接收端位于不同网络时,所述网络
侧设备至少包括所述数据报文发送端所在第一网络的第一网络接入服务器、
所述第一网络的第一边界网关、所述数据报文接收端所在第二网络的第二边
界网关以及所述第二网络的接入服务器;
其中,所述第二边界网关接收到所述第一边界网关传输的数据报文时,
根据所述第一网络和第二网络的网间协议,转换所述数据报文的安全等级,
并根据转换后的数据报文的安全等...
【专利技术属性】
技术研发人员:张世伟,符涛,王晓明,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。