CN112887259B - 基于应用的网络安全 - Google Patents

基于应用的网络安全 Download PDF

Info

Publication number
CN112887259B
CN112887259B CN202010060131.4A CN202010060131A CN112887259B CN 112887259 B CN112887259 B CN 112887259B CN 202010060131 A CN202010060131 A CN 202010060131A CN 112887259 B CN112887259 B CN 112887259B
Authority
CN
China
Prior art keywords
application
network
security protocol
packet
network packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010060131.4A
Other languages
English (en)
Other versions
CN112887259A (zh
Inventor
V·S·R·帕鲁楚里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN112887259A publication Critical patent/CN112887259A/zh
Application granted granted Critical
Publication of CN112887259B publication Critical patent/CN112887259B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开的实施例涉及基于应用的网络安全。一种网络设备,其可以从用户设备上的应用接收与分组流相关联的第一网络分组。网络设备可以标识第一网络分组的应用标识符,其中应用标识符标识用户设备上的应用。网络设备可以基于应用标识符选择安全协议,其中安全协议与认证报头(AH)或加密算法中的至少一个相关联。网络设备可以选择性地将AH或加密算法中的、与安全协议相关联的至少一个应用于与分组流相关联的第二网络分组,以生成受保护的网络分组。网络设备可以传输受保护的网络分组。

Description

基于应用的网络安全
技术领域
本公开的实施例涉及网络安全领域,具体地涉及基于应用的网络安全的设备和方法。
背景技术
网络设备,诸如,路由器、交换机等,可以处理网络分组(例如,数据分组)形式的数据。在一些情况下,网络设备可以使用网络来传输网络分组。在一些情况下,网络设备可以对网络分组执行其他动作,诸如,加密、解密、负载均衡、安全扫描等。
发明内容
根据一些实现,一种方法可以包括:由网络设备从用户设备上的应用接收与分组流相关联的第一网络分组;由网络设备标识第一网络分组的应用标识符,其中应用标识符标识用户设备上的应用;由网络设备基于应用标识符选择安全协议,其中安全协议与认证报头(AH)或加密算法中的至少一个相关联;由网络设备选择性地将AH或加密算法中的、与安全协议相关联的至少一个应用于与分组流相关联的第二网络分组,以生成受保护的网络分组;以及由网络设备传输受保护的网络分组。
根据一些实现,一种设备可以包括:一个或多个存储器以及一个或多个处理器,该一个或多个处理器用以:从用户设备上的应用接收第一网络分组;将第一安全协议应用于第一网络分组,以生成第一受保护的网络分组,其中第一安全协议与应用第一认证报头(AH)和/或第一加密算法相关联;标识与第一网络分组相关联的应用标识符,其中应用标识符标识用户设备上的应用;基于应用标识符选择第二安全协议,其中第二安全协议与应用第二AH和/或第二加密算法相关联;传输第一受保护的网络分组;从用户设备上的应用接收第二网络分组;将第二安全协议应用于第二网络分组,以生成第二受保护的网络分组;以及传输第二受保护的网络分组。
根据一些实现,一种非瞬态计算机可读介质可以存储一个或多个指令。一个或多个指令在由一个或多个处理器执行时可以使一个或多个处理器:从用户设备上的应用接收与分组流相关联的第一网络分组,其中第一网络分组具有第一互联网协议(IP)报头;标识第一网络分组的应用标识符,其中应用标识符标识用户设备上的应用;基于应用标识符选择安全协议;将安全协议应用于与分组流相关联的第二网络分组,以生成具有第二IP报头的受保护的网络分组,其中第二IP报头与第一IP报头不同;以及传输受保护的网络分组。
附图说明
图1A至图1C是本文所描述的一种或多种示例实现的示意图。
图2是可以实现本文所描述的系统和/或方法的示例环境的示意图。
图3A和图3B是图2的一个或多个设备的示例组件的示意图。
图4至图6是用于选择安全协议并且将其应用于网络分组的示例过程的流程图。
具体实施方式
示例实现的下列详细描述参考了附图。相同的参考数字在不同的附图中可以标识相同或相似的元件。
出于各种原因,网络分组可以由网络设备处理,诸如,以执行路由、加密、解密、负载均衡、安全处理等。例如,网络设备(例如,实现互联网协议安全(IPsec)、虚拟专用网络(VPN)等)可以将安全协议应用于网络分组,以对网络分组进行加密或保护,从而以设计为防止网络分组被恶意行动者拦截和/或使那些拦截网络分组的行动者无法理解网络分组的方式进行传输。网络设备可以基于针对网络分组的层3(L3)信息(例如,IP报头)、层4(L4)信息(例如,TCP报头、用户数据报协议(UDP)报头等)和/或区分的服务代码点(DSCP)信息来选择要应用的安全协议。例如,网络设备可以基于针对网络分组的L3信息、L4信息和/或DSCP信息选择认证报头(AH)和/或加密算法,并且可以将AH应用于网络分组和/或对网络分组进行加密。
当设备上的应用将加密的网络分组发送到网络设备并且网络设备再次基于L3信息、L4信息和/或DSCP信息对加密的网络分组进行加密时,网络设备通过将额外的加密层添加到已经加密的网络分组来消耗计算资源。另外,当网络设备对加密的网络分组上的额外的加密层进行解密时,接收加密的网络分组的网络设备消耗计算资源。此外,取决于发送网络分组的应用,可能不需要加密。
本文所描述的一些实现可以包括网络设备,该网络设备基于针对网络分组的应用标识符为网络分组选择安全协议(例如,AH、加密算法等)。例如,网络设备可以使用深度分组检查来标识针对发送了网络分组的应用的应用标识符。
在一些实现中,网络设备可以基于应用标识符选择安全协议。例如,应用标识符可以标识高优先级应用(例如,业务关键和/或高度重要的应用),并且网络设备可以基于应用标识符选择包括强认证和加密的安全协议。在另一示例中,应用标识符可以用固有的加密来标识应用,并且网络设备可以基于应用标识符选择包括认证但不包括加密的安全协议。
在一些实现中,网络设备可以基于应用标识符选择IPsec隧道,并且将新的IP报头添加到网络分组,以通过IPsec隧道路由传送网络分组。例如,应用和/或应用组可以具有专用IPsec隧道,通过该专用IPsec隧道,网络设备可以路由传送网络分组。通过基于发送网络分组的应用选择安全协议,网络设备可以节省通过基于L3、L4和/或DSCP信息选择安全协议所消耗的计算资源。
图1A至图1C是本文所描述的一种或多种示例实现的示意图。例如,如图1A至图1C所示,(多种)示例实现100可以包括源设备(例如,家用计算机、移动电话、服务器计算机等),该源设备可以经由网络将网络分组(例如,互联网协议(IP)分组)形式的数据提供给目的地设备(例如,家用计算机、移动电话、服务器计算机等)。示例实现100可以进一步包括网络设备(例如,网络设备A和网络设备B,如图所示),这些网络设备可能负责转发网络分组并且执行一个或多个操作,诸如,加密等。例如,网络设备A可以将来自源设备的网络分组转发到网络,并且网络设备B可以将来自网络的网络分组转发到目的地设备。
如图1A所示并且如参考数字105所示,源设备可以将可能与任何种类的网络流量相关联的多个网络分组提供给网络设备A(例如,客户住宅设备、互联网服务提供方(ISP)设备、边缘设备、核心设备等)。在一些实现中,源设备上的应用可以将包括多个网络分组的分组流提供给网络设备A。例如,多个网络分组中的网络分组可以包括IP报头、传输控制协议(TCP)报头和数据。在一些实现中,网络设备A可以标识:分组流包括基于分组流的多个网络分组的特性(诸如,源设备的共同IP地址、目的地设备当中的目的地设备(应用正向其发送分组流)的共同IP地址、用于多个网络分组的协议、由多个网络分组标识的端口等)与分组流相关联的多个网络分组。
在一些实现中,网络设备A可以标识多个网络分组中的网络分组的应用标识符。在一些实现中,网络设备A可以使用深度分组检查来标识针对发送了网络分组的应用的应用标识符。例如,网络设备A可以复制网络分组,并且可以使用深度分组检查来检查一个或多个报头字段(例如,IP报头、TCP报头等的一个或多个字段)和/或网络分组的有效负载字段(例如,网络分组的数据),以标识应用标识符。附加地或备选地,如果网络设备A已经具有针对网络分组的应用标识符(例如,因为另一网络设备先前使用了深度分组检查来标识针对分组流的应用标识符、因为网络设备先前对分组流的另一网络分组执行了深度分组检查等),则网络设备A可以通过访问本地数据结构(例如,应用高速缓存、域名系统(DNS)高速缓存、数据库、查找表等)来标识应用标识符。
在一些实现中,在网络设备A已经标识网络分组的应用标识符(如本文所描述)之前,网络设备A可以将特定的AH(例如,默认的AH)和/或特定的加密算法(例如,默认的加密算法)应用于分组流的第一组网络分组,以生成第一受保护的网络分组,并且可以传输第一受保护的网络分组。
在一些实现中,特定的AH可以保护分组流的第一组网络分组。例如,网络设备A在应用特定的AH的时候可以使用哈希函数和/或认证算法。在一些实现中,网络设备A可以使用哈希函数和/或认证算法为分组流的第一组网络分组生成特定的AH。例如,网络设备A可以将特定的AH插入到分组流的第一组网络分组中,以生成第一受保护的网络分组。
在一些实现中,网络设备A可以使用特定的加密算法来对分组流的第一组网络分组进行加密。在一些实现中,网络设备A可以使用特定的加密算法来对分组流的一个或多个网络分组进行加密,并且为分组流的第一组网络分组生成封装安全有效负载(ESP)报头、ESP标尾和/或ESP认证块。例如,网络设备A可以使用特定的加密算法来对分组流的第一组网络分组进行加密,并且将ESP报头、ESP标尾和/或ESP认证块插入到分组流的第一组网络分组中,以生成第一受保护的网络分组。在一些实现中,ESP报头可以包括信息,该信息标识被用于加密IP报头、TCP报头、数据和/或ESP标尾的加密算法。在一些实现中,ESP标尾可以包括标识被用于加密IP报头、TCP报头、数据和/或ESP标尾的加密算法的附加的信息、关于数据类型的信息等。在一些实现中,ESP认证块可以包括通过ESP报头、TCP报头、数据、ESP标尾等计算的完整性校验值。
以这种方式,网络设备A在试图标识网络分组的应用标识符的同时可以维持分组流的网络流量,并且通过将特定的AH和/或特定的加密算法应用于第一组网络分组,网络设备A可以保护第一组网络分组免遭恶意活动,诸如,重播攻击、对第一组网络分组的内容(例如,IP报头、TCP报头、数据等)的意外访问和/或篡改、电子欺骗等,这节省了将以其他方式被用于减轻网络中的恶意活动所造成的损害的网络资源和/或将以其他方式被用于减轻设备(诸如,源设备或目的地设备)上的恶意活动所造成的损害的设备资源。
在一些实现中,在网络设备A已经标识网络分组的应用标识符(例如,使用深度分组检查)之后,网络设备A可以基于应用标识符选择要被应用于分组流的多个网络分组的一个或多个网络分组的安全协议,如图1A所示并且如参考数字110所示。在一些实现中,安全协议可以包括AH和/或加密算法。在一些实现中,网络设备A可以基于应用标识符以及一个或多个规则和/或策略(例如,广域网中的软件定义网络(SD-WAN)策略、安全策略等)来选择安全协议,其中,一个或多个规则和/或策略标识要被应用于包括应用标识符在内的多个应用标识符的AH和/或加密算法。例如,一个或多个规则和/或策略可以标识要被应用于应用标识符组的AH和/或加密算法,并且组可以是基于由多个应用标识符标识的应用的特性。在一些实现中,对于应用,特性可以包括应用在本质上是否使用加密、应用的优先级度量、应用类型等。
在一些实现中,网络设备A在选择安全协议时可以基于应用标识符和应用的一个或多个特性来选择AH或加密算法中的至少一个。例如,网络设备A在选择安全协议时可以基于应用标识符和应用的一个或多个特性(例如,指示应用加密网络分组(例如,在传输网络分组等之前)的一个或多个特性),来选择包括AH但不包括加密算法的安全协议。作为另一示例,网络设备A在选择安全协议时可以基于应用标识符和应用的一个或多个特性(例如,指示应用是高优先级应用的一个或多个特性),来选择包括AH和加密算法的安全协议。作为另一示例,网络设备A在选择安全协议时可以基于应用标识符和应用的一个或多个特性(例如,指示应用是低优先级应用或认证对其而言是不必要的应用的类型的一个或多个特性),来选择不包括AH但包括加密算法的安全协议。作为另一示例,网络设备A在选择安全协议时可以基于应用标识符和应用的一个或多个特性(例如,指示应用是低优先级应用或安全对其而言是不必要的应用的类型的一个或多个特性),来选择既不包括AH也不包括加密算法的安全协议。通过使用除了应用标识符之外的信息来选择安全协议,网络设备A可以增加应用特定安全协议的粒度,这可以改进网络操作。
在一些实现中,网络设备A可以基于应用标识符以及网络分组的DSCP、网络分组的L3信息(例如,IP报头)或网络分组的L4信息(例如,TCP报头)中的至少一个选择安全协议。例如,网络设备A可以基于应用标识符和网络分组的DSCP选择安全协议。作为另一示例,网络设备A可以基于应用标识符、网络分组的DSCP和网络分组的L3信息选择安全协议。作为另一示例,网络设备A可以基于应用标识符、网络分组的DSCP和网络分组的L4信息选择安全协议。作为另一示例,网络设备A可以基于应用标识符、网络分组的DSCP以及网络分组的L3和L4信息选择安全协议。作为另一示例,网络设备A可以基于应用标识符和网络分组的L3和/或L4信息选择安全协议。通过使用除了应用标识符之外的信息来选择安全协议,网络设备A可以增加应用特定安全协议的粒度,这可以改进网络操作。
在一些实现中,安全协议可以包括:使用认证报头(AH)来保护分组流的多个网络分组中的一个或多个网络分组。例如,网络设备A在应用AH时可以使用哈希函数和/或认证算法。在一些实现中,哈希函数和/或认证算法的密码强度是基于应用标识符的。例如,网络设备A可以选择包括AH的安全协议,该AH使用与第一应用标识符相关联的网络分组的哈希函数,该哈希函数在密码方面比与第二应用标识符相关联的网络分组的哈希函数更强。在一些实现中,网络分组的哈希函数和/或认证算法的密码强度基于应用标识符、与应用标识符相关联的应用的一个或多个特性、网络分组的DSCP、网络分组的L3信息和/或网络分组的L4信息。在一些实现中,网络设备A可以使用哈希函数和/或认证算法为分组流的一个或多个网络分组生成AH。在一些实现中,AH可以防止恶意活动,诸如,重播攻击、对分组流的一个或多个网络分组的内容(例如,IP报头、TCP报头、数据等)的意外访问和/或篡改、电子欺骗等,这节省了以其他方式被用于减轻网络中的恶意活动所造成的损害的网络资源和/或以其他方式被用于减轻设备(诸如,源设备或目的地设备)上的恶意活动所造成的损害的设备资源。
在一些实现中,安全协议可以包括:使用加密算法来对分组流的一个或多个网络分组进行加密。在一些实现中,加密算法的密码强度基于应用标识符。例如,网络设备A可以选择安全协议,该安全协议使用与第一应用标识符相关联的网络分组的加密算法,该加密算法在密码方面比与第二应用标识符相关联的网络分组的加密算法更强。在一些实现中,网络分组的加密算法的密码强度基于应用标识符、与应用标识符相关联的应用的一个或多个特性、网络分组的DSCP、网络分组的L3信息和/或网络分组的L4信息。在一些实现中,网络设备A可以使用加密算法来对分组流的一个或多个网络分组进行加密,并且为分组流的一个或多个网络分组生成封装安全有效负载(ESP)报头、ESP标尾和/或ESP认证块。在一些实现中,加密算法可以防止恶意活动,诸如,对分组流的一个或多个网络分组的内容(例如,IP报头、TCP报头、数据等)的意外访问和/或篡改、重播攻击、电子欺骗等,这节省了以其他方式被用于减轻网络中的恶意活动所造成的损害的网络资源和/或以其他方式被用于减轻设备(诸如,源设备或目的地设备)上的恶意活动所造成的损害的设备资源。
在一些实现中,网络设备A在应用安全协议时可以将UDP报头添加到分组流的一个或多个网络分组,其中,UDP报头标识被应用于分组流的一个或多个网络分组的安全协议。在一些实现中,接收分组流的网络设备可以基于UDP报头确定被应用于分组流的一个或多个网络分组的安全协议,并且可以基于安全协议确定例如被应用于分组流的一个或多个网络分组的加密算法。
如图1A所示并且如参考数字115所示,网络设备A可以将安全协议应用于分组流的一个或多个网络分组,以生成受保护的网络分组。在一些实现中,网络设备A可以通过应用AH将安全协议应用于分组流的一个或多个网络分组,以生成受保护的网络分组。例如,网络设备A可以将AH插入到分组流的一个或多个网络分组中,以生成受保护的网络分组。
在一些实现中,网络设备A可以通过对分组流的一个或多个网络分组进行加密将安全协议应用于分组流的一个或多个网络分组,以生成受保护的网络分组。例如,网络设备A可以使用加密算法来对分组流的一个或多个网络分组进行加密,并且将ESP报头、ESP标尾和/或ESP认证块插入到分组流的一个或多个网络分组中,以生成受保护的网络分组。
在一些实现中,网络设备A在生成受保护的网络分组时,可以将安全协议应用于分组流的一个或多个网络分组并且将UDP报头添加到分组流的一个或多个网络分组。例如,网络设备A在生成受保护的网络分组时可以在分组流的一个或多个网络分组前加上UDP报头。
在一些实现中,网络设备A可以通过对分组流的一个或多个网络分组进行加密将安全协议应用于分组流的一个或多个网络分组,以生成一个或多个加密网络分组,然后将AH应用于一个或多个加密网络分组,以生成受保护的网络分组。例如,网络设备A可以对分组流的一个或多个网络分组进行加密,并且将ESP报头、ESP标尾和/或ESP认证块插入到分组流的一个或多个网络分组中,以生成一个或多个加密的网络分组,然后将AH插入到一个或多个加密的网络分组中,以生成受保护的网络分组。
附加地或备选地,网络设备A可以通过对分组流的一个或多个网络分组进行加密将安全协议应用于分组流的一个或多个网络分组,以生成一个或多个加密的网络分组,然后将UDP报头应用于一个或多个加密网络分组,以生成受保护的网络分组。例如,网络设备A可以对分组流的一个或多个网络分组进行加密,并且插入ESP报头、ESP标尾和/或ESP认证块,以生成一个或多个加密的网络分组,然后在一个或多个加密的网络分组前加上UDP报头,以生成受保护的网络分组。
如图1A所示并且如参考数字120所示,网络设备A可以经由网络传输受保护的网络分组。在一些实现中,网络设备A可以经由网络中的IPsec隧道传输受保护的网络分组。例如,网络设备A可以通过将与网络分组的原始IP报头不同的新IP报头应用于受保护的网络分组,通过IPsec隧道传输受保护的网络分组,使得新IP报头通过IPsec隧道将来自网络设备A的受保护的网络分组传输到另一网络设备,该网络设备然后基于原始IP报头发送网络分组。
附加地或备选地,网络设备A可以基于多个应用的应用标识符选择安全协议,以通过不同的IPsec隧道传输来自多个应用中的每个应用的网络分组。例如,第一应用标识符的第一安全协议可以包括:将第一IP报头应用于来自第一应用的第一网络分组,以通过第一IPsec隧道传输第一网络分组(例如,从网络设备A到第一网络设备等),并且第二应用标识符的第二安全协议可以包括:将第二IP报头应用于来自第二应用的第二网络分组,以通过第二IPsec隧道路由传送第二网络分组(例如,从网络设备A到第二网络设备等)。以这种方式,网络设备A所选的安全协议可以为每个应用指定用于应用的网络分组的传输的IPsec隧道。
在一些实现中,网络设备A可以通过网络经由IPsec运输模式传输受保护的网络分组。例如,网络设备A可以通过将网络分组的原始IP报头应用于受保护的网络分组,经由Ipsec运输模式传输受保护的网络分组。在一些实现中,网络设备A可以将网络分组的原始IP报头应用于受保护的网络分组,并且包括关于被应用于受保护的网络分组的安全协议的信息(例如,是否已经应用AH、是否已经加密网络分组等)。
在一些实现中,网络设备A可以经由群组加密运输VPN(群组VPN)传输受保护的网络分组。例如,网络设备A可以是包括多个群组成员的群组VPN的群组成员,其中,群组成员共享共同的安全关联,该安全关联可以包括安全协议,诸如,AH、加密算法等。在一些实现中,网络设备A可以将网络分组的原始IP报头应用于受保护的网络分组,并且经由群组VPN传输应用了原始IP报头的受保护的网络分组。以这种方式,接收应用了原始IP报头的受保护的网络分组的群组成员可以使用共同的安全关联来例如解密受保护的网络分组。
以这种方式,网络设备A可以接收分组流的多个网络分组,基于与多个网络分组相关联的应用标识符选择安全协议,将安全协议应用于分组流的一个或多个网络分组,以生成受保护的网络分组,并且经由网络传输受保护的网络分组。通过选择适合于应用发送多个网络分组的安全协议,网络设备A可以将适当的安全级别应用于分组流的一个或多个网络分组,这可以通过节省通过将不适当的安全级别应用于分组流的一个或多个网络分组而以其他方式消耗的计算资源,来改进网络操作。
在如图1A所示和上面描述的(多种)示例实现100中,网络设备A可以基于与分组流的多个网络分组相关联的应用标识符选择安全协议,该安全协议包括:将AH应用于分组流的一个或多个网络分组,使用加密算法来对分组流的一个或多个网络分组进行加密,将UDP报头应用于分组流的一个或多个网络分组等,以生成受保护的网络分组。如图1B所示和下面描述的(多种)示例实现100可以包括:网络设备A选择安全协议,该安全协议包括:加密一个或多个网络分组以及应用UDP报头来生成UDP分组。
如图1B所示并且如参考数字125所示,源设备上的应用可以向网络设备A提供包括多个网络分组的分组流,如关于图1A所描述的。例如,多个网络分组中的网络分组可以包括IP报头、传输控制协议(TCP)报头和数据。在一些实现中,网络设备A可以标识多个网络分组中的网络分组的应用标识符,如关于图1A所描述的。
在一些实现中,在网络设备A已经标识网络分组的应用标识符(如本文所描述)之前,网络设备A可以将特定的AH(例如,默认的AH)和/或特定的加密算法(例如,默认的加密算法)应用于分组流的第一组网络分组,以生成第一受保护的网络分组,并且可以传输第一受保护的网络分组,如本文关于图1A所描述的。
在一些实现中,在网络设备A已经标识网络分组的应用标识符(例如,使用深度分组检查)之后,网络设备A可以基于应用标识符选择要被应用于分组流的多个网络分组中的一个或多个网络分组的安全协议,如图1B所示并且如参考数字130所示。例如,网络设备A可以基于应用标识符选择安全协议,该安全协议包括:将ESP报头、ESP标尾和/或ESP认证块插入到分组流的一个或多个网络分组中,对分组流的一个或多个网络分组进行加密,以及将UDP报头应用于分组流的一个或多个网络分组。在一些实现中,UDP报头可以标识要被应用于分组流的一个或多个网络分组的安全协议,如本文关于图1A所描述的。
如图1B所示并且如参考数字135所示,网络设备A可以生成ESP报头、ESP标尾和/或ESP认证块并且将其插入到分组流的一个或多个网络分组中,以生成ESP分组,如本文关于图1A所描述的。
如图1B所示并且如参考数字140所示,网络设备A可以加密ESP分组,以生成加密的ESP分组。例如,网络设备A可以加密IP报头、TCP报头、数据和/或ESP标尾,以生成加密的ESP分组,如本文关于图1A所描述的。
如图1B所示并且如参考数字145所示,网络设备A可以将UDP报头应用于加密的ESP分组,以生成UDP分组。例如,网络设备A可以在加密的ESP分组的ESP报头之前插入UDP分组,以生成UDP分组。
如图1B所示并且如参考数字150所示,网络设备A可以经由网络、经由IPsec隧道、经由IPsec运输模式、经由群组VPN等将UDP分组传输到网络设备B,如本文关于图1A中网络设备A传输受保护的网络分组所描述的。
如图1C所示并且如参考数字155所示,网络设备B可以经由网络接收来自网络设备A的UDP分组。例如,网络设备B可以经由建立在网络设备A与网络设备B之间的IPsec隧道接收UDP分组。作为另一示例,网络设备B可以经由IPsec运输模式接收UDP分组。作为另一示例,网络设备B可以经由群组VPN接收UDP分组。
如图1C所示并且如参考数字160所示,网络设备B可以基于UDP报头标识被应用于分组流的一个或多个网络分组的安全协议,并且可以基于安全协议确定被应用于分组流的一个或多个网络分组的认证算法和/或加密算法。在一些实现中,网络设备B可以标识,源设备上的应用在UDP分组内提供了一个或多个网络分组。例如,网络设备B可以标识与UDP报头相对应的安全协议、与安全协议相对应的应用标识符以及与应用标识符相对应的应用。如图1C进一步所示并且如参考数字165进一步所示,网络设备B可以移除UDP报头或以其他方式从UDP分组获得加密的ESP分组。
如图1C所示并且如参考数字170所示,网络设备B可以对加密的ESP分组进行解密,以获得ESP分组。例如,网络设备B可以基于与UDP报头相对应的安全协议对加密的ESP分组进行解密,以获得ESP分组。在一些实现中,网络设备B可以使用与由安全协议指定的加密算法相对应的解密算法对加密的ESP分组进行解密,以获得ESP分组。
如图1C所示并且如参考数字175所示,网络设备B可以移除ESP报头、ESP标尾和/或ESP认证块,以获得分组流的一个或多个网络分组。例如,网络设备B可以从ESP分组的末尾移除ESP认证块,从ESP分组的开头移除ESP报头,并且从ESP分组的剩余部分的末尾移除ESP标尾,以获得分组流的一个或多个网络分组。
如图1C所示并且如参考数字180所示,网络设备B可以向目的地设备传输分组流的多个网络分组。例如,网络设备B可以基于IP报头标识目的地设备当中的目的地设备,并且可以将分组流的多个网络分组传输到目的地设备。
通过选择适合于应用发送多个网络分组的安全协议,网络设备A可以将适当的安全级别应用于分组流的一个或多个网络分组,这可以通过节省以其他方式将不适当的安全级别应用于分组流的一个或多个网络分组所消耗的计算资源,来改进网络操作。
如上所述,仅仅提供了图1A至图1C作为一个或多个示例。其他示例可能与关于图1A至图1C描述的示例不同。例如,尽管图1A至图1C描述了一些示例实现,在这些示例实现中,网络设备A选择安全协议,该安全协议包括:将UDP报头应用于网络分组,其他示例实现也可以包括网络设备A选择安全协议,该安全协议包括:将多协议标签交换(MPLS)标签、DNS名称、非基于IP的选择器、非基于端口的选择器等应用于网络分组。在一些实现中,当网络设备B接收网络分组时,网络设备B可以基于网络设备A所应用的UDP报头、MPLS标签、DNS名称等标识安全协议。
图2是可以实现本文所描述的系统和/或方法的示例环境200的示意图。如图2所示,环境200可以包括一个或多个用户设备210、一个或多个网络设备220和网络230。环境200的设备可以经由有线连接、无线连接或有线连接和无线连接的组合互连。
用户设备210包括一个或多个设备,该设备能够接收、生成、存储、处理和/或提供与网络分组相关联的信息。例如,用户设备210可以包括通信和/或计算设备,诸如,移动电话(例如,智能电话、无线电话等)、膝上型计算机、平板计算机、手持式计算机、游戏设备、可穿戴通信设备(例如,智能手表、一副智能眼镜等)、个人计算机、服务器计算机或类似类型的设备。用户设备210可以包括用于生成要经由网络(诸如,网络230)传输到其他用户设备210和/或从其他用户设备210接收的网络分组的各种应用,诸如,web浏览应用、娱乐应用、通信应用、游戏应用、增强现实应用等。
网络设备220包括一个或多个设备,该设备能够接收、生成、存储、处理和/或提供与网络分组相关的信息。例如,网络设备220可以包括防火墙、路由器、网关、交换机、集线器、桥接器、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载均衡器和/或类似的设备。在一些实现中,网络设备220可以对网络分组执行各种动作和/或过程,包括加密、解密、负载均衡、安全扫描等。在一些实现中,网络设备220可以是实现在外壳(诸如,机架)内的物理设备。在一些实现中,网络设备220可以是由云计算环境的一个或多个计算机设备和/或数据中心实现的虚拟设备。虽然图2示出了单个网络设备220,但是实际上,可以有数以百计、数以千计、数百万等的网络设备220。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括蜂窝网络(例如,长期演进(LTE)网络、码分多址(CDMA)网络、3G网络、4G网络、5G网络、另一种类型的下一代网络等)、公用陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公用交换电话网(PSTN))、专用网络、自组网络、内联网、互联网、基于光纤的网络、云计算网络等和/或这些或其他类型的网络的组合。
图2所示的设备和网络的数目和布置作为一个或多个示例被提供。实际上,与图2所示的那些相比较,可能还会有附加的设备和/或网络、较少的设备和/或网络、不同的设备和/或网络、或者不同地布置的设备和/或网络。此外,图2所示的两个或更多个的设备可以实现在单个设备内,或者图2所示的单个设备可以实现为多个分布式设备。附加地或备选地,环境200的一组设备(例如,一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。
图3A和图3B是图2的一个或多个设备的示例组件的示意图。图3A是设备300的示例组件的示意图。设备300可以与用户设备210和/或网络设备220相对应。在一些实现中,用户设备210和/或网络设备220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3A所示,设备300可以包括总线305、处理器310、存储器315、存储组件320、输入组件325、输出组件330和通信接口335。
总线305包括允许设备300的组件之间进行通信的组件。处理器310实现在硬件、固件或硬件和软件的组合中。处理器310采用中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或另一类型的处理组件的形式。在一些实现中,处理器310包括能够被编程以执行功能的一个或多个处理器。存储器315包括随机存取存储器(RAM)、只读存储器(ROM)和/或存储供处理器310使用的信息和/或指令的另一种类型的动态或静态存储设备(例如,闪存、磁存储器和/或光学存储器)。
存储组件320存储与设备300的操作和使用相关的信息和/或软件。例如,存储组件320可以包括硬盘(例如,磁盘、光盘、磁光盘和/或固态盘)、压缩盘(CD)、数字多用盘(DVD)、软盘、盒式盘、磁带和/或另一类型的非瞬态计算机可读介质以及对应的驱动器。
输入组件325包括组件,该组件允许设备300接收信息,诸如,经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。附加地或备选地,输入组件325可以包括用于感测信息的传感器(例如,全球定位系统(GPS)组件、加速计、陀螺仪和/或致动器)。输出组件330包括从设备300提供输出信息的组件(例如,显示器、扬声器和/或一个或多个发光二极管(LED))。
通信接口335包括类似收发器的组件(例如,收发器和/或分离的接收器和发送器),该类似收发器的组件使设备300能够与其他设备进行通信,诸如,经由有线连接、无线连接或有线连接和无线连接的组合。通信接口335可以允许设备300接收来自另一设备的信息和/或将信息提供给另一设备。例如,通信接口335可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
设备300可以执行本文所描述的一个或多个过程。设备300可以基于处理器310执行由非瞬态计算机可读介质(诸如,存储器315和/或存储组件320)存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或扩散到多个物理存储设备的存储器空间。
软件指令可以经由通信接口335从另一计算机可读介质或从另一设备读入存储器315和/或存储组件320中。当被执行时,存储在存储器315和/或存储组件320中的软件指令可以使处理器310执行本文所描述的一个或多个过程。附加地或备选地,硬连线电路装置可以代替软件指令或与软件指令结合用于执行本文所描述的一个或多个过程。因此,本文所描述的实现并不限于硬件电路装置和软件的任何特定组合。
图3A所示的组件的数目和布置作为示例被提供。实际上,与图3A所示的那些相比较,设备300可以包括附加的组件、更少的组件、不同的组件或不同地布置的组件。附加地或备选地,环境300的一组设备(例如,一个或多个组件)可以执行被描述为由环境300的另一组设备执行的一个或多个功能。
图3B是设备350的示例组件的示意图。设备350可以与网络设备220等相对应。在一些实现中,网络设备220可以包括一个或多个设备350和/或设备350的一个或多个组件。如图3B所示,设备350可以包括一个或多个输入组件355-1至355-B(B≥1)(下文统称为输入组件355,并且单独称为输入组件355)、切换组件360、一个或多个输出组件365-1至365-C(C≥1)(下文统称为输出组件365,并且单独称为输出组件365)和控制器370。
输入组件355可以是物理链路的附接点并且可以是传入流量(诸如,分组)的进入点。输入组件355可以处理传入流量,诸如,通过执行数据链路层封装或解封装。在一些实现中,输入组件355可以发送和/或接收分组。在一些实现中,输入组件355可以包括输入线卡,该输入线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如,一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备350可以包括一个或多个输入组件355。
切换组件360可以使输入组件355与输出组件365互连。在一些实现中,切换组件360可以经由一个或多个交叉开关、经由总线和/或利用共享存储器来实现。在分组最终被调度传递到输出组件365之前,共享存储器可以充当临时缓冲区来存储来自输入组件355的分组。在一些实现中,切换组件360可以使输入组件355、输出组件365和/或控制器370能够通信。
输出组件365可以存储分组,并且可以调度分组以用于在输出物理链路上传输。输出组件365可以支持数据链路层封装或解封装和/或各种更高级别的协议。在一些实现中,输出组件365可以发送和/或接收分组。在一些实现中,输出组件365可以包括输出线卡,该输出线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如,一个或多个IFC、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,设备350可以包括一个或多个输出组件365。在一些实现中,输入组件355和输出组件365可以由相同组的组件实现(例如,以及输入/输出组件可以是输入组件355和输出组件365的组合)。
控制器370包括例如CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或另一种类型的处理器的形式的处理器。处理器实现在硬件、固件或硬件和软件的组合中。在一些实现中,处理器370可以包括能够被编程以执行功能的一个或多个处理器。
在一些实现中,存储器370可以包括RAM、ROM和/或存储供控制器370使用的信息和/或指令的另一种类型的动态或静态存储设备(例如,闪存、磁存储器和/或光学存储器等)。
在一些实现中,控制器370可以与连接至设备300的其他设备、网络和/或系统进行通信,以交换关于网络拓扑的信息。控制器370可以基于网络拓扑信息创建路由表,基于路由表创建转发表,并且将转发表转发到输入组件355和/或输出组件365。输入组件355和/或输出组件365可以使用转发表对传入和/或传出分组执行路由查找。
控制器370可以执行本文所描述的一个或多个过程。控制器370可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或扩散到多个物理存储设备的存储器空间。
软件指令可以经由通信接口从另一计算机可读介质或从另一设备读入与控制器370相关联的存储器和/或存储组件中。当被执行时,存储在与控制器370相关联的存储器和/或存储组件中的软件指令可以使控制器370执行本文所描述的一个或多个过程。附加地或备选地,硬连线电路装置可以代替软件指令或与软件指令结合以执行本文所描述的一个或多个过程。因此,本文所描述的实现并不限于硬件电路装置和软件的任何特定组合。
图3B所示的组件的数量和布置作为示例被提供。实际上,与图3B所示的那些相比较,设备350可以包括附加的组件、更少的组件、不同的组件或不同地布置的组件。附加地或备选地,环境350的一组设备(例如,一个或多个组件)可以执行被描述为由环境350的另一组设备执行的一个或多个功能。
图4是用于选择安全协议并且将其应用于网络分组的示例过程400的流程图。在一些实现中,图4的一个或多个过程框可以由网络设备(例如,网络设备220)执行。在一些实现中,图4的一个或多个过程框可以由另一设备或与网络设备分离或包括网络设备的一组设备(诸如,用户设备(例如,用户设备210)等)执行。
如图4所示,过程400可以包括:从用户设备上的应用接收与分组流相关联的第一网络分组(框410)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以从用户设备上的应用接收与分组流相关联的第一网络分组,如上所述。
如图4进一步所示,过程400可以包括:标识第一网络分组的应用标识符,其中,应用标识符标识用户设备上的应用(框420)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以标识第一网络分组的应用标识符,如上所述。在一些实现中,应用标识符标识用户设备上的应用。
如图4进一步所示,过程400可以包括:基于应用标识符选择安全协议,其中,安全协议与认证报头(AH)或加密算法中的至少一个相关联(框430)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以基于应用标识符选择安全协议,如上所述。在一些实现中,安全协议与认证报头(AH)或加密算法中的至少一个相关联。
如图4进一步所示,过程400可以包括:选择性地将AH或加密算法中的、与安全协议相关联的至少一个应用于与分组流相关联的第二网络分组,以生成受保护的网络分组(框440)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以将AH或加密算法中的、与安全协议相关联的至少一个应用于与分组流相关联的第二网络分组,以生成受保护的网络分组,如上所述。
如图4进一步所示,过程400可以包括:传输受保护的网络分组(框450)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以传输受保护的网络分组,如上所述。
过程400可以包括附加的实现,诸如,任何单种实现或下面描述和/或结合本文其他部分所描述的一个或多个其他过程描述的实现的任何组合。
在第一实现中,选择安全协议包括:基于应用标识符和一个或多个规则选择安全协议,其中,一个或多个规则标识要被应用于包括应用标识符在内的多个应用标识符的AH和/或加密算法。
在第二实现中,单独地或与第一实现结合,一个或多个规则标识要被应用于应用标识符组的AH和/或加密算法,并且应用标识符组基于由多个应用标识符标识的应用的特性。
在第三实现中,单独地或与第一实现和第二实现中的一种或多种结合,应用安全协议以生成受保护的网络分组包括:将封装安全有效负载报头、AH或用户数据报协议报头中的至少一个插入到第二网络分组中。
在第四实现中,单独地或与第一至第三实现中的一种或多种结合,选择安全协议包括:基于应用标识符以及第一网络分组的区分的服务代码点、第一网络分组的层3信息或第一网络分组的层4信息中的至少一个选择安全协议。
在第五实现中,单独地或与第一至第四实现中的一种或多种结合,选择安全协议包括:基于应用标识符和应用的一个或多个特性选择AH或加密算法中的至少一个。
在第六实现中,单独地或与第一至第五实现中的一种或多种结合,应用被设计为对分组流的网络分组进行加密,并且安全协议包括AH,但不包括加密算法。
虽然图4示出了过程400的示例框,但是在一些实现中,与图4所示的那些相比较,过程400可以包括附加的框、更少的框、不同的框或不同地布置的框。附加地或备选地,过程400的框中的两个或更多个的框可以并行执行。
图5是用于选择安全协议并且将其应用于网络分组的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以由网络设备(例如,网络设备220)执行。在一些实现中,图5的一个或多个过程框可以由另一设备或与网络设备分离或包括网络设备的一组设备(诸如,用户设备(例如,用户设备210)等)执行。
如图5所示,过程500可以包括:从用户设备上的应用接收第一网络分组(框510)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以从用户设备上的应用接收第一网络分组,如上所述。
如图5进一步所示,过程500可以包括:将第一安全协议应用于第一网络分组,以生成第一受保护的网络分组,其中,第一安全协议与应用第一认证报头(AH)和/或第一加密算法相关联(框520)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以将第一安全协议应用于第一网络分组,以生成第一受保护的网络分组,如上所述。在一些实现中,第一安全协议与应用第一认证报头(AH)和/或第一加密算法相关联。
如图5进一步所示,过程500可以包括:标识与第一网络分组相关联的应用标识符,其中,应用标识符标识用户设备上的应用(框530)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以标识与第一网络分组相关联的应用标识符,如上所述。在一些实现中,应用标识符标识用户设备上的应用。
如图5进一步所示,过程500可以包括:基于应用标识符选择第二安全协议,其中,第二安全协议与应用第二AH和/或第二加密算法相关联(框540)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以基于应用标识符选择第二安全协议,如上所述。在一些实现中,第二安全协议与应用第二AH和/或第二加密算法相关联。
如图5进一步所示,过程500可以包括:传输第一受保护的网络分组(框550)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以传输第一受保护的网络分组,如上所述。
如图5进一步所示,过程500可以包括:从用户设备上的应用接收第二网络分组(框560)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以从用户设备上的应用接收第二网络分组,如上所述。
如图5进一步所示,过程500可以包括:将第二安全协议应用于第二网络分组,以生成第二受保护的网络分组(框570)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以将第二安全协议应用于第二网络分组,以生成第二受保护的网络分组,如上所述。
如图5进一步所示,过程500可以包括:传输第二受保护的网络分组(框580)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以传输第二受保护的网络分组,如上所述。
过程500可以包括附加的实现,诸如,任何单种实现或下面描述和/或结合本文其他部分所描述的一个或多个其他过程描述的实现的任何组合。
在第一实现中,过程500包括:当选择第二安全协议时,基于应用标识符和一个或多个规则选择第二安全协议,其中,一个或多个规则标识要被应用于包括应用标识符在内的多个应用标识符的AH和/或加密算法。
在第二实现中,单独地或与第一实现结合,一个或多个规则标识要被应用于应用标识符组的AH和/或加密算法,并且应用标识符组基于由多个应用标识符标识的应用的特性。
在第三实现中,单独地或与第一至第二实现中的一种或多种结合,过程500包括:当选择第二安全协议时,基于应用标识符以及第一网络分组的区分的服务代码点、第一网络分组的层3信息或第一网络分组的层4信息中的至少一个选择第二安全协议。
在第四实现中,单独地或与第一至第三实现中的一种或多种结合,过程500包括:基于应用标识符和应用的一个或多个特性选择第二AH或第二加密算法中的至少一个。
在第五实现中,单独地或与第一至第四实现中的一种或多种结合,应用被设计为加密第一网络分组和第二网络分组,并且第二安全协议包括第二AH,但不包括第二加密算法。
虽然图5示出了过程500的示例框,但是在一些实现中,与图5所示的那些相比较,过程500可以包括附加的框、更少的框、不同的框或不同地布置的框。附加地或备选地,过程500的框中的两个或更多个的框可以并行执行。
图6是用于选择安全协议并且将其应用于网络分组的示例过程600的流程图。在一些实现中,图6的一个或多个过程框可以由网络设备(例如,网络设备220)执行。在一些实现中,图6的一个或多个过程框可以由另一设备或与网络设备分离或包括网络设备的一组设备(诸如,用户设备(例如,用户设备210)等)执行。
如图6所示,过程600可以包括:从用户设备上的应用接收与分组流相关联的第一网络分组,其中,第一网络分组具有第一互联网协议(IP)报头(框610)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以从用户设备上的应用接收与分组流相关联的第一网络分组,如上所述。在一些实现中,第一网络分组具有第一互联网协议(IP)报头。
如图6进一步所示,过程600可以包括:标识第一网络分组的应用标识符,其中,应用标识符标识用户设备上的应用(框620)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以标识第一网络分组的应用标识符,如上所述。在一些实现中,应用标识符标识用户设备上的应用。
如图6进一步所示,过程600可以包括:基于应用标识符选择安全协议(框630)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以基于应用标识符选择安全协议,如上所述。
如图6进一步所示,过程600可以包括:将安全协议应用于与分组流相关联的第二网络分组,以生成具有第二IP报头的受保护的网络分组,其中,第二IP报头与第一IP报头不同(框640)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以将安全协议应用于与分组流相关联的第二网络分组,以生成具有第二IP报头的受保护的网络分组,如上所述。在一些实现中,第二IP报头与第一IP报头不同。
如图6进一步所示,过程600可以包括:传输受保护的网络分组(框650)。例如,网络设备(例如,使用处理器310、输入组件325、通信接口335、输入组件355、切换组件360、控制器370等)可以传输受保护的网络分组,如上所述。
过程600可以包括附加的实现,诸如,任何单种实现或下面描述和/或结合本文其他部分所描述的一个或者多个其他过程描述的实现的任何组合。
在第一实现中,过程600包括:基于应用标识符和一个或多个规则选择安全协议,其中,一个或多个规则标识要被应用于多个应用标识符的认证报头和/或加密算法。
在第二实现中,单独地或与第一实现结合,一个或多个规则标识要被应用于应用标识符组的认证报头和/或加密算法,并且应用标识符组基于由多个应用标识符标识的应用的特性。
在第三实现中,单独地或与第一实现和第二实现中的一种或多种结合,过程600包括:当应用安全协议以生成受保护的网络分组时,将封装安全有效负载报头、认证报头或用户数据报协议报头中的至少一个插入到第一IP报头与第二IP报头之间。
在第四实现中,单独地或与第一至第三实现中的一种或多种结合,过程600包括:当选择安全协议时,基于应用标识符以及第一网络分组的区分的服务代码点、第一网络分组的层3信息或第一网络分组的层4信息中的至少一个选择安全协议。
在第五实现中,单独地或与第一至第四实现中的一种或多种结合,过程600包括:当选择安全协议时,基于应用标识符和应用的一个或多个特性选择认证报头或加密算法中的至少一个。
在第六实现中,单独地或与第一至第五实现中的一种或多种结合,应用被设计为对分组流进行加密,并且安全协议包括认证报头,但不包括加密算法。
虽然图6示出了过程600的示例框,但是在一些实现中,与图6所示的那些相比较,过程600可以包括附加的框、更少的框、不同的框或不同地布置的框。附加地或备选地,过程600的框中的两个或更多个的框可以并行执行。
根据一些实施例,示例1:一种网络安全方法,包括:由网络设备从用户设备上的应用接收与分组流相关联的第一网络分组;由网络设备标识第一网络分组的应用标识符,其中应用标识符标识用户设备上的应用;由网络设备基于应用标识符选择安全协议,其中安全协议与认证报头(AH)或加密算法中的至少一个相关联;由网络设备选择性地将AH或加密算法中的、与安全协议相关联的至少一个应用于与分组流相关联的第二网络分组,以生成受保护的网络分组;以及由网络设备传输受保护的网络分组。
根据一些实施例,示例2:根据示例1的方法,其中选择安全协议包括:基于应用标识符和一个或多个规则选择安全协议,其中一个或多个规则标识要被应用于包括应用标识符的多个应用标识符的AH和/或加密算法。
根据一些实施例,示例3:根据示例2的方法,其中一个或多个规则标识要被应用于应用标识符组的AH和/或加密算法,并且其中应用标识符组基于由多个应用标识符标识的应用的特性。
根据一些实施例,示例4:根据示例1的方法,其中应用安全协议以生成受保护的网络分组包括:将封装安全有效负载报头、AH或用户数据报协议报头中的至少一个插入到第二网络分组中。
根据一些实施例,示例5:根据示例1的方法,其中选择安全协议包括:基于应用标识符以及第一网络分组的区分的服务代码点、第一网络分组的层3信息或第一网络分组的层4信息中的至少一个选择安全协议。
根据一些实施例,示例6:根据示例1的方法,其中选择安全协议包括:基于应用标识符和应用的一个或多个特性选择AH或加密算法中的至少一个。
根据一些实施例,示例7:根据示例1的方法,其中应用被设计为对分组流的网络分组进行加密,并且其中安全协议包括AH,但不包括加密算法。
根据一些实施例,示例8:一种网络安全设备,包括:一个或多个存储器;以及一个或多个处理器,用以:从用户设备上的应用接收第一网络分组;将第一安全协议应用于第一网络分组,以生成第一受保护的网络分组,其中第一安全协议与应用第一认证报头(AH)和/或第一加密算法相关联;标识与第一网络分组相关联的应用标识符,其中应用标识符标识用户设备上的应用;基于应用标识符选择第二安全协议,其中第二安全协议与应用第二AH和/或第二加密算法相关联;传输第一受保护的网络分组;从用户设备上的应用接收第二网络分组;将第二安全协议应用于第二网络分组,以生成第二受保护的网络分组;以及传输第二受保护的网络分组。
根据一些实施例,示例9:根据示例8的设备,其中一个或多个处理器在选择第二安全协议时用以:基于应用标识符和一个或多个规则选择第二安全协议,其中一个或多个规则标识要被应用于包括应用标识符的多个应用标识符的AH和/或加密算法。
根据一些实施例,示例10:根据示例9的设备,其中一个或多个规则标识要被应用于应用标识符组的AH和/或加密算法,并且其中应用标识符组基于由多个应用标识符标识的应用的特性。
根据一些实施例,示例11:根据示例8的设备,其中一个或多个处理器在选择第二安全协议时用以:基于应用标识符以及第一网络分组的区分的服务代码点、第一网络分组的层3信息或第一网络分组的层4信息中的至少一个选择第二安全协议。
根据一些实施例,示例12:根据示例8的设备,其中一个或多个处理器在选择第二安全协议时用以:基于应用标识符和应用的一个或多个特性选择第二AH或第二加密算法中的至少一个。
根据一些实施例,示例13:根据示例8的设备,其中应用被设计为对第一网络分组和第二网络分组进行加密,并且其中第二安全协议包括第二AH,但不包括第二加密算法。
根据一些实施例,示例14:一种存储指令的非瞬态计算机可读介质,指令包括:一个或多个指令,一个或多个指令在由一个或多个处理器执行时使一个或多个处理器:从用户设备上的应用接收与分组流相关联的第一网络分组,其中第一网络分组具有第一互联网协议(IP)报头;标识第一网络分组的应用标识符,其中应用标识符标识用户设备上的应用;基于应用标识符选择安全协议;将安全协议应用于与分组流相关联的第二网络分组,以生成具有第二IP报头的受保护的网络分组,其中第二IP报头与第一IP报头不同;以及传输受保护的网络分组。
根据一些实施例,示例15:根据示例14的非瞬态计算机可读介质,其中使一个或多个处理器选择安全协议的一个或多个指令使一个或多个处理器:基于应用标识符和一个或多个规则选择安全协议,其中一个或多个规则标识要被应用于多个应用标识符的认证报头和/或加密算法。
根据一些实施例,示例16:根据示例15的非瞬态计算机可读介质,其中一个或多个规则标识要被应用于应用标识符组的认证报头和/或加密算法,并且其中应用标识符组基于由多个应用标识符标识的应用的特性。
根据一些实施例,示例17:根据示例14的非瞬态计算机可读介质,其中使一个或多个处理器应用安全协议以生成受保护的网络分组的一个或多个指令使一个或多个处理器:在第一IP报头与第二IP报头之间插入以下中的至少一项:封装安全有效负载报头、认证报头或用户数据报协议报头。
根据一些实施例,示例18:根据示例14的非瞬态计算机可读介质,其中使一个或多个处理器选择安全协议的一个或多个指令使一个或多个处理器:基于应用标识符以及第一网络分组的区分的服务代码点、第一网络分组的层3信息或第一网络分组的层4信息中的至少一个选择安全协议。
根据一些实施例,示例19:根据示例14的非瞬态计算机可读介质,其中使一个或多个处理器选择安全协议的一个或多个指令使一个或多个处理器:基于应用标识符和应用的一个或多个特性选择认证报头或加密算法中的至少一个。
根据一些实施例,示例20:根据示例14的非瞬态计算机可读介质,其中应用被设计为对分组流进行加密,并且其中安全协议包括认证报头,但不包括加密算法。
前面的公开内容提供了图示和描述,但是并不旨在穷举或使实现限于所公开的精确形式。修改和变型可以鉴于上面的公开内容进行,或可以从实现的实践中获得。
如本文所使用的,术语“组件”旨在被广泛地解释为硬件、固件和/或硬件和软件的组合。
如本文所使用的,术语“流量”或“内容”可以包括分组的集合。分组可以指用于传递信息的通信结构,诸如,协议数据单元(PDU)、网络分组、数据报、段、消息、块、单元、帧、子帧、间隙、符号、上述任何一个部分、和/或能够经由网络传输的格式化或非格式化的数据单元。
很明显,本文所描述的系统和/或方法可以实现在不同形式的硬件、固件或硬件和软件的组合中。用于实现这些系统和/或方法的实际专用控制硬件或软件代码并不限于这些实现。因此,本文在没有参考具体软件代码的情况下描述了系统和/或方法的操作和行为——应当理解,软件和硬件可以被设计为基于本文的描述实现系统和/或方法。
尽管在权利要求中叙述和/或在说明书中公开了特征的特定组合,但是这些组合并不旨在限制各种实现的公开内容。实际上,这些特征中的许多特征可以按照在权利要求中没有具体叙述和/或在说明书中没有具体公开的方式进行组合。虽然下面列出的每个从属权利要求仅可以直接取决于一项权利要求,但是各种实现的公开内容包括与权利要求集合中的每个其他权利要求组合的每个从属权利要求。
不应当将本文所使用的元素、动作或指令解释为关键的或是必需的,除非明确地这样描述。同样,如本文所使用的,冠词“一”和“一个”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所使用的,冠词“该”旨在包括结合冠词“该”引用的一个或多个项目,并且可以与“一个或多个”互换使用。此外,如本文所使用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、无关项目、相关项目和无关项目的组合等),并且可以与“一个或多个”互换使用。在仅一个项目被预期的情况下,使用短语“仅一个”或类似的语言。同样,如本文所使用的,术语“具有(has)”、“具有(have)”、“具有(having)”等旨在成为开放式术语。此外,短语“基于”旨在意谓“至少部分地基于”,除非另有明确说明。同样,如本文所使用的,术语“或”在被串行使用时旨在是包含性的,并且可以与“和/或”互换使用,除非另有明确说明(例如,如果与“任何一个”或“仅一个”组合使用)。

Claims (20)

1.一种方法,包括:
由网络设备从用户设备上的应用接收与分组流相关联的第一网络分组;
由所述网络设备标识所述第一网络分组的应用标识符,其中所述应用标识符标识所述用户设备上的所述应用;
由所述网络设备标识所述应用的一个或多个特性,
其中,所述应用的所述一个或多个特性指示以下的一项或多项:
所述应用在本质上是否使用加密,
所述应用的优先级度量,或
所述应用的类型,
由所述网络设备基于所述应用标识符和所述应用的一个或多个特性选择安全协议,
其中所述安全协议与认证报头(AH)或加密算法中的至少一个相关联;
由所述网络设备选择性地将所述AH或所述加密算法中的、与所述安全协议相关联的至少一个应用于与所述分组流相关联的第二网络分组,以生成受保护的网络分组;以及
由所述网络设备传输所述受保护的网络分组。
2.根据权利要求1所述的方法,其中选择所述安全协议包括:
基于所述应用标识符和一个或多个规则选择所述安全协议,其中所述一个或多个规则标识要被应用于包括所述应用标识符的多个应用标识符的AH和/或加密算法。
3.根据权利要求2所述的方法,其中所述一个或多个规则标识要被应用于应用标识符组的AH和/或加密算法,并且其中所述应用标识符组基于由所述多个应用标识符标识的应用的特性。
4.根据权利要求1所述的方法,其中应用所述安全协议以生成所述受保护的网络分组包括:
将封装安全有效负载报头、AH或用户数据报协议报头中的至少一个插入到所述第二网络分组中。
5.根据权利要求1所述的方法,其中选择所述安全协议包括:
基于所述应用标识符以及所述第一网络分组的区分的服务代码点、所述第一网络分组的层3信息或所述第一网络分组的层4信息中的至少一个选择所述安全协议。
6.根据权利要求1所述的方法,其中选择所述安全协议包括:
基于所述应用标识符和所述应用的一个或多个特性选择所述AH或所述加密算法中的至少一个。
7.根据权利要求1所述的方法,其中所述应用被设计为对所述分组流的网络分组进行加密,并且其中所述安全协议包括所述AH,但不包括所述加密算法。
8.一种设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
从用户设备上的应用接收第一网络分组;
将第一安全协议应用于所述第一网络分组,以生成第一受保护的网络分组,其中所述第一安全协议与应用第一认证报头(AH)和/或第一加密算法相关联;
标识与所述第一网络分组相关联的应用标识符,其中所述应用标识符标识所述用户设备上的所述应用;
为所述应用标识一个或多个特性,
所述一个或多个特性指示以下的一项或多项:
所述应用在本质上是否使用加密,
所述应用的优先级度量,或
所述应用的类型,
基于所述应用标识符和所述应用的一个或多个特性选择第二安全协议,其中所述第二安全协议与应用第二AH和/或第二加密算法相关联;
传输所述第一受保护的网络分组;
从所述用户设备上的所述应用接收第二网络分组;
将所述第二安全协议应用于所述第二网络分组,以生成第二受保护的网络分组;以及
传输所述第二受保护的网络分组。
9.根据权利要求8所述的设备,其中所述一个或多个处理器在选择所述第二安全协议时用以:
基于所述应用标识符和一个或多个规则选择所述第二安全协议,其中所述一个或多个规则标识要被应用于包括所述应用标识符的多个应用标识符的AH和/或加密算法。
10.根据权利要求9所述的设备,其中所述一个或多个规则标识要被应用于应用标识符组的AH和/或加密算法,并且其中所述应用标识符组基于由所述多个应用标识符标识的应用的特性。
11.根据权利要求8所述的设备,其中所述一个或多个处理器在选择所述第二安全协议时用以:
基于所述应用标识符以及所述第一网络分组的区分的服务代码点、所述第一网络分组的层3信息或所述第一网络分组的层4信息中的至少一个选择所述第二安全协议。
12.根据权利要求8所述的设备,其中所述一个或多个处理器在选择所述第二安全协议时用以:
基于所述应用标识符和所述应用的一个或多个特性选择所述第二AH或所述第二加密算法中的至少一个。
13.根据权利要求8所述的设备,其中所述应用被设计为对所述第一网络分组和所述第二网络分组进行加密,并且其中所述第二安全协议包括所述第二AH,但不包括所述第二加密算法。
14.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在由一个或多个处理器执行时使所述一个或多个处理器:
从用户设备上的应用接收与分组流相关联的第一网络分组,其中所述第一网络分组具有第一互联网协议(IP)报头;
标识所述第一网络分组的应用标识符,其中所述应用标识符标识所述用户设备上的所述应用;
为所述应用标识一个或多个特性,
所述一个或多个特性指示以下的一项或多项:
所述应用在本质上是否使用加密,
所述应用的优先级度量,或
所述应用的类型,
基于所述应用标识符和所述应用的一个或多个特性选择安全协议;
将所述安全协议应用于与所述分组流相关联的第二网络分组,以生成具有第二IP报头的受保护的网络分组,其中所述第二IP报头与所述第一IP报头不同;以及
传输所述受保护的网络分组。
15.根据权利要求14所述的非瞬态计算机可读介质,其中使所述一个或多个处理器选择所述安全协议的所述一个或多个指令使所述一个或多个处理器:
基于所述应用标识符和一个或多个规则选择所述安全协议,其中所述一个或多个规则标识要被应用于多个应用标识符的认证报头和/或加密算法。
16.根据权利要求15所述的非瞬态计算机可读介质,其中所述一个或多个规则标识要被应用于应用标识符组的认证报头和/或加密算法,并且其中所述应用标识符组基于由所述多个应用标识符标识的应用的特性。
17.根据权利要求14所述的非瞬态计算机可读介质,其中使所述一个或多个处理器应用所述安全协议以生成所述受保护的网络分组的所述一个或多个指令使所述一个或多个处理器:
在所述第一IP报头与所述第二IP报头之间插入以下中的至少一项:封装安全有效负载报头、认证报头或用户数据报协议报头。
18.根据权利要求14所述的非瞬态计算机可读介质,其中使所述一个或多个处理器选择所述安全协议的所述一个或多个指令使所述一个或多个处理器:
基于所述应用标识符以及所述第一网络分组的区分的服务代码点、所述第一网络分组的层3信息或所述第一网络分组的层4信息中的至少一个选择所述安全协议。
19.根据权利要求14所述的非瞬态计算机可读介质,其中使所述一个或多个处理器选择所述安全协议的所述一个或多个指令使所述一个或多个处理器:
基于所述应用标识符和所述应用的一个或多个特性选择认证报头或加密算法中的至少一个。
20.根据权利要求14所述的非瞬态计算机可读介质,其中所述应用被设计为对所述分组流进行加密,并且其中所述安全协议包括认证报头,但不包括加密算法。
CN202010060131.4A 2019-11-29 2020-01-19 基于应用的网络安全 Active CN112887259B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/699,294 US11245697B2 (en) 2019-11-29 2019-11-29 Application-based network security
US16/699,294 2019-11-29

Publications (2)

Publication Number Publication Date
CN112887259A CN112887259A (zh) 2021-06-01
CN112887259B true CN112887259B (zh) 2023-05-26

Family

ID=69411256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010060131.4A Active CN112887259B (zh) 2019-11-29 2020-01-19 基于应用的网络安全

Country Status (3)

Country Link
US (2) US11245697B2 (zh)
EP (1) EP3829131A1 (zh)
CN (1) CN112887259B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11245697B2 (en) 2019-11-29 2022-02-08 Juniper Networks, Inc. Application-based network security
CN113132264B (zh) * 2019-12-31 2024-02-02 中兴通讯股份有限公司 一种安全计算控制方法、数据包处理方法、装置及其系统
US11489821B2 (en) 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11310036B2 (en) 2020-02-26 2022-04-19 International Business Machines Corporation Generation of a secure key exchange authentication request in a computing environment
US11184160B2 (en) 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
US11546137B2 (en) 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
US11405215B2 (en) * 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11652616B2 (en) 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11968183B2 (en) * 2021-12-17 2024-04-23 Juniper Networks, Inc. Systems and methods for selecting an internet protocol security tunnel during an internet key exchange based on a metric

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101156420A (zh) * 2005-04-11 2008-04-02 国际商业机器公司 防止来自网络地址端口转换器所服务的客户机的重复源
US8316226B1 (en) * 2005-09-14 2012-11-20 Juniper Networks, Inc. Adaptive transition between layer three and layer four network tunnels
US9912699B1 (en) * 2015-12-30 2018-03-06 Juniper Networks, Inc. Selectively applying internet protocol security (IPSEC) encryption based on application layer information

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3591996B2 (ja) * 1996-08-29 2004-11-24 Kddi株式会社 帯域確保型vpn構築方法
US6141686A (en) * 1998-03-13 2000-10-31 Deterministic Networks, Inc. Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control
JP2006060579A (ja) * 2004-08-20 2006-03-02 Fujitsu Ltd アプリケーション特性に応じて複数の経路を同時に利用する通信装置
US8509071B1 (en) * 2010-10-06 2013-08-13 Juniper Networks, Inc. Multi-dimensional traffic management
US10091675B2 (en) * 2012-12-13 2018-10-02 Huawei Technologies Co., Ltd. System and method for estimating an effective bandwidth
US9444736B2 (en) * 2014-05-29 2016-09-13 Apple Inc. Selecting an interface for packet routing based on application-layer data
CN106470900B (zh) * 2014-06-26 2019-05-03 庞巴迪公司 用于辅助维护飞机和其它移动平台的方法和设备
US9626304B2 (en) * 2014-10-21 2017-04-18 Sandisk Technologies Llc Storage module, host, and method for securing data with application information
US9712504B2 (en) 2015-04-22 2017-07-18 Aruba Networks, Inc. Method and apparatus for avoiding double-encryption in site-to-site IPsec VPN connections
US11245697B2 (en) 2019-11-29 2022-02-08 Juniper Networks, Inc. Application-based network security

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101156420A (zh) * 2005-04-11 2008-04-02 国际商业机器公司 防止来自网络地址端口转换器所服务的客户机的重复源
US8316226B1 (en) * 2005-09-14 2012-11-20 Juniper Networks, Inc. Adaptive transition between layer three and layer four network tunnels
US9912699B1 (en) * 2015-12-30 2018-03-06 Juniper Networks, Inc. Selectively applying internet protocol security (IPSEC) encryption based on application layer information

Also Published As

Publication number Publication date
US11245697B2 (en) 2022-02-08
CN112887259A (zh) 2021-06-01
EP3829131A1 (en) 2021-06-02
US11706216B2 (en) 2023-07-18
US20220150246A1 (en) 2022-05-12
US20210168138A1 (en) 2021-06-03

Similar Documents

Publication Publication Date Title
CN112887259B (zh) 基于应用的网络安全
US11115391B2 (en) Securing end-to-end virtual machine traffic
CN108418782B (zh) 用于经代理的安全会话的粒度卸载的方法、设备和介质
US11405422B2 (en) Transmitting multiple copies of an encrypted packet via multiple tunnels between a transmitting network device and a receiving network device
US12088431B2 (en) Establishing a network micro-tunnel within a network tunnel
US10567284B1 (en) Transport batching technique for network communications
US11539668B2 (en) Selective transport layer security encryption
CN117375862A (zh) 报文转发方法、系统、网络设备、存储介质及程序产品
US11032203B2 (en) Providing predictable quality of service traffic steering
US11882029B2 (en) Securing multiprotocol label switching (MPLS) payloads
CN113765878B (zh) 选择性的传送层安全加密
US20230362137A1 (en) Utilizing a removable quantum random number generator for a network device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant