[发明专利]加密业务的安全业务可见性和分析法

权利要求书

1.一种收集与加密封装分组相关联的安全性、流和/或路由信息的方法，所述方法包括：

在网络中，在入口网络节点处接收分组，以根据在所述入口网络节点处实施的一个或多个策略来选择性地应用加密封装以生成加密封装分组；

在所述入口网络节点处通过以下操作来生成所述加密封装分组：(i)对已包括分组报头和分组净荷的所述分组进行加密以形成所述加密封装分组的加密净荷，以及(ii)将封装报头插入到所述加密封装分组中，其中，所述封装报头包括从所接收到的分组的报头或净荷中得出或检索到的一个或多个元数据信息，其中，所述一个或多个元数据信息被作为字符串插入到所述封装报头中的一个或多个预定义字段中；以及

在所述入口网络节点处通过隧道向位于所述网络中的出口网络节点发送所述加密封装分组，

其中，所述一个或多个元数据信息随后被位于所述入口网络节点与所述出口网络节点之间或者能够观察所述入口网络节点与所述出口网络节点之间的业务的中间节点收集，以随后被单独地或与其他所收集的元数据信息相结合地分析，其中，所述中间节点通过在所述封装报头的所述一个或多个预定义字段中询问所述字符串来收集所述一个或多个元数据信息。

2.根据权利要求1所述的方法，所述方法还包括：

在所述中间节点处将所述一个或多个元数据信息转发到收集器以进行后续分析。

3.根据权利要求2所述的方法，其中，所述收集器被配置为存储所述一个或多个元数据信息以及从其他加密封装分组收集的其他元数据信息。

4.根据权利要求3所述的方法，其中，所述收集器还被配置为存储从所述网络收集的IP业务数据。

5.根据权利要求1至4中任一项所述的方法，所述方法还包括：

在所述出口网络节点处接收所述加密封装分组；以及

在所述出口网络节点处生成所述分组，其中，已包括所述分组报头和所述分组净荷的所述分组是通过对所述加密净荷进行解密来生成的。

6.根据权利要求1至5中任一项所述的方法，

其中，所述封装报头包括VXLAN-GPE报头，并且

其中，所述VXLAN-GPE报头包括用于包括所述一个或多个元数据信息的多个可分配比特，所述多个可分配比特从由以下项组成的组中选择：至少16个比特、至少32个比特和至少48个比特。

7.根据权利要求1至6中任一项所述的方法，

其中，所述封装报头包括元数据GPE报头，并且

其中，所述元数据GPE报头包括用于包括所述一个或多个元数据信息的多个可分配比特，所述多个可分配比特从由以下项组成的组中选择：至少24个比特和至少56个比特(例如，位于所述报头的比特位置0与比特位置23之间和/或位于所述报头的比特位置32与比特位置63之间的一个或多个比特)。

8.根据权利要求1至7中任一项所述的方法，其中，所述一个或多个元数据信息在所述一个或多个策略中指定，其中，所述一个或多个策略能够由i)位于所述网络中的控制器来编辑，和/或能够由ii)网络管理员通过能够访问所述网络的计算终端来编辑。

9.根据权利要求1至8中任一项所述的方法，其中，所述一个或多个元数据信息包括标识符，所述标识符从由以下项组成的组中选择：

与所述分组相关联的源IP地址；

与所述分组相关联的目的IP地址；

与所述分组相关联的安全性组标签(SGT)；

与所述分组相关联的VXLAN网络标识符(VNI)；

与所述分组相关联的用户标识符；

与所述分组相关联的用户组标识符；

与所述分组相关联的子网地址；

与所述分组相关联的子网组地址；

与在所述分组起源的计算设备上执行的应用相关联的应用标识符；

所述网络中所述分组起源的计算设备的虚拟化实例标识符；以及

前述项的组合。