[发明专利]加密业务的安全业务可见性和分析法

说明书

本文提出了一种示例性的系统和方法，该系统和方法提供对受保护的封装分组(例如，安全VXLAN‑GPE分组、安全元数据‑GPE分组或其他GPE标准)的可见性，以用于业务分析法。该示例性的系统和方法促进以细粒度方式对业务进行加密，这还促进在整个网络中以端到端方式监测结构网络中的所述安全业务。这种监测可被有利地用于分析法、性能分析和网络调试/故障排除。

相关申请

本国际申请要求于2018年7月24日提交的标题为“加密业务的安全业务可见性和分析法(SECURE TRAFFIC VISIBILITY AND ANALYTICS FOR ENCRYPTED TRAFFIC)”的美国专利申请No.16/043,779的优先权及其权益，该美国专利申请通过引用整体地并入本文中。

技术领域

本公开涉及操作加密业务，具体地，涉及执行隧道封装业务的可见性和分析法(analytics)。

背景技术

IP隧道是两个网络或同一网络中的节点之间的网际协议(IP)网络通信信道，其使用封装技术以进行传输。IP隧道常常被实现用于连接两个不相交的IP网络，这两个不相交的IP网络没有到彼此的本地路由路径并且在中间传输网络上使用底层可路由协议。此类协议的示例包括虚拟可扩展局域网(VxLAN)协议、IPv4-to-IPv6协议和网际协议安全性(IPSec)协议。

虚拟可扩展局域网(VxLAN)是用于在现有的基础设施(例如，第3层基础设施)上运行覆盖网络的封装协议。VXLAN定义了将以太网帧封装在外部UDP/IP传输中的封装格式。可通过通用协议扩展(GPE)来扩展VXLAN，以提供协议分型和OAM能力。通用协议扩展(GPE)或虚拟可扩展局域网(VxLAN)协议都不天然地或常规地提供安全性机制。网际协议安全性(IPSec)常规地用于传输单播分组而不是多播和广播分组。

附图说明

通过结合附图参考以下描述，可以更好地理解本文的实施例，在附图中相似的附图标记指示同样或功能上类似的元件，其中：

图1是图示了根据实施例的包括被配置为在网络中建立隧道接口的一个或多个网络设备的示例网络的图。

图2是根据实施例的促进在结构中的隧道端点节点处在加密封装分组的报头中注入安全性、流和/或路由元数据信息以在结构的中间节点处提供可见性的系统的图。

图3是根据说明性实施例的用于收集与加密封装分组相关联的安全性、流和/或路由信息的方法的流程图。

图4是示出了根据说明性实施例的示例加密封装分组的图，该示例加密封装分组具有元数据报头(例如，VXLAN-GPE报头、元数据GPE报头或其他基于分组元数据的封装报头)并且是针对安全性和可见性两者而生成的。

图5A是根据说明性实施例的被配置有用于受保护的VXLAN分组的元数据信息的VXLAN-GPE报头的图。

图5B是根据说明性实施例的被配置有用于受保护的封装分组的元数据信息的元数据GPE报头的图。

图5C是根据另一说明性实施例的被配置有用于受保护的封装分组的元数据信息的元数据GPE报头的图。

图6示出了根据说明性实施例的生成图4中的被配置用于安全性和可见性的示例加密封装分组的过程。

图7示出了根据说明性实施例的对图4中的被配置用于安全性和可见性的示例加密封装分组进行解封装的过程。

具体实施例

概述

在独立权利要求中阐述本发明的各方面，并且在从属权利要求中阐述优选的特征。可以将一个方面的特征单独地或与其他方面相结合地应用于每个方面。