技術領域

本發明涉及數據通信領域，尤其涉及一種接入設備和邊界網關對不同安全等級的數據報文的處理方法。

背景技術

現有互聯網是基于IP技術構建的，IP網絡的開放性促成了互聯網的繁榮，也帶來了大量的安全問題，互聯網中的節點受多個國家的多個機構管理，有些節點是可信任的，也可能是不可信任的。網絡中的用戶可能收到信任節點的數據報文，也可能收到不可信任節點的數據報文。

同時，IP網絡是多業務共享的網絡，既可能傳輸高安全級別業務的報文，也需要傳輸一些低安全級別業務的報文。出于業務應用的需要，在很多情況下，網絡的中間節點即使發現一些數據報文不夠安全，也不能簡單地將這些報文丟棄，否則會造成業務中斷，影響用戶的業務體驗。

當前的IP網絡對上述不同安全等級的報文沒有提供相應的處理方法，只是將不同安全等級的報文簡單的混合在一起傳輸，這就導致最終的目的節點無法區分數據報文是來源于安全的網絡，還是不安全的網絡，從而無法針對安全等級進行區分服務，互聯網的安全無法得到根本改善。

發明內容

本發明所要解決的技術問題是，提供一種數據報文的處理方法及系統，以便網絡設備利用安全級別信息對數據報文進行分類處理。

現有IP報文中沒有標識報文安全級別的字段，因而終端用戶或者業務服務器在收到報文時，無法分辨出哪些數據報文是安全可信的，哪些數據報文是不夠可信的，從而無法進行區分處理，這就為不可信節點冒充可信節點攻擊用戶或者業務服務器留下了攻擊空間，使網絡的安全性無法得到根本提升。為此本發明在IPV6報文中攜帶安全級別，以解決上述安全隱患，從根本上提高IP網的安全性。

為了解決上述技術問題，本發明公開了一種數據報文的處理方法，包括：

數據報文發送端發送數據報文，所述數據報文的報文頭中包括用于指示數據報文的安全等級的字段，其中，所述字段的值由所述數據報文發送端設置，或者由傳輸所述數據報文的網絡側設備設置；

數據報文接收端接收所述數據報文，讀取所述字段的值，并根據所讀取的值所指示的數據報文的安全等級對所述數據報文進行處理。

進一步地，上述方法中，當所述字段的值由數據報文發送端設置時，傳輸所述數據報文的網絡側設備還判斷所述字段的值所指示的數據報文的安全等級是否屬于允許的安全級別范圍，如果是，則將所述數據報文傳輸給所述數據報文接收端。

其中，傳輸所述數據報文的網絡側設備若判斷所述字段的值所指示的數據報文的安全等級不屬于允許的安全級別范圍，則更新所述字段的值，將更新操作后的數據報文傳輸給所述數據報文接收端，其中，所述網絡側設備更新后的字段的值所指示的數據報文的安全等級屬于允許的安全級別范圍。

進一步地，上述方法中，所述字段的值由傳輸所述數據報文的網絡側設備設置指：在數據報文的傳輸過程中，所述網絡側設備接收數據報文，若判斷所接收到的數據報文的報文頭中用于指示數據報文的安全等級的字段無效時，則根據接收到的數據報文的安全等級設置所述字段的值。

其中，所述數據報文接收端根據所讀取的值所指示的數據報文的安全等級信息對所述數據報文進行處理指：

若所述數據報文接收端判斷讀取所述字段的值所指示的數據報文的安全等級屬于允許的安全級別范圍，則正常處理所述數據報文，若所述數據報文接收端判斷讀取所述字段的值所指示的數據報文的安全等級不屬于允許的安全級別范圍，則丟棄該數據報文。

所述網絡側設備至少包括網絡接入服務器。

所述數據報文發送端與所述數據報文接收端位于不同網絡時，所述網絡側設備至少包括所述數據報文發送端所在第一網絡的第一網絡接入服務器、所述第一網絡的第一邊界網關、所述數據報文接收端所在第二網絡的第二邊界網關以及所述第二網絡的接入服務器；

其中，所述第二邊界網關接收到所述第一邊界網關傳輸的數據報文時，根據所述第一網絡和第二網絡的網間協議，轉換所述數據報文的安全等級，并根據轉換后的數據報文的安全等級設置所述字段的值。

本發明還公開了一種數據報文的處理系統，包括數據報文發送端、網絡側設備以及數據報文接收端，其中：

所述數據報文發送端，用于發送數據報文，所述數據報文的報文頭中包括用于指示數據報文的安全等級的字段；

所述網絡側設備，用于將所述數據報文發送端發送的數據報文傳輸到所述數據報文接收端；