CN114244619A - 一种基于网络安全网格的通信方法、装置及系统 - Google Patents

Abstract

本申请实施例提供一种基于网络安全网格的通信方法、装置及系统，涉及通信技术领域，该基于网络安全网格的通信方法包括：第一网络实体端在与用户端建立连接后，接收用户端发送的用户授权信息和用户身份信息；然后根据用户授权信息和用户身份信息确定待连接的第二网络实体端；再将用户身份信息封装到与第二网络实体端建立的网络安全网格通道；接着接收用户端发送的业务数据，并通过网络安全网格通道将业务数据发送至第二网络实体端，以使第二网络实体端将业务数据发送至业务服务端进行处理，能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

Description

一种基于网络安全网格的通信方法、装置及系统

技术领域

本申请涉及通信技术领域，具体而言，涉及一种基于网络安全网格的通信方法、装置及系统。

背景技术

大型企业网络都是由企业网、企业数据中心、物联网和混合云环境构成的各种异构网络组合体。异构网络的网络安全建设方案和安全等级方案也不尽相同。此类情况加剧整体网络安全状态，攻击者会从最薄弱区域发起渗透攻击，进而达到攻陷整个企业网络目的。网络整体安全已达到不容忽视的程度。现有的安全通信方法，通常建立在现有IP网络基础上叠加虚拟化技术实现承载网络与业务网络分离以保证网络安全。然而，在实践中发现，现有方法基于现有IP网络基础进行实现，配置复杂、灵活性差。

发明内容

本申请实施例的目的在于提供一种基于网络安全网格的通信方法、装置及系统，能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

本申请实施例第一方面提供了一种基于网络安全网格的通信方法，应用于第一网络实体端，包括：

在与用户端建立连接后，接收所述用户端发送的用户授权信息和用户身份信息；

根据所述用户授权信息和所述用户身份信息确定待连接的第二网络实体端；

与所述第二网络实体端建立网络安全网格通道，所述网络安全网格通道封装有所述用户身份信息；

接收所述用户端发送的业务数据，并通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端，以使所述第二网络实体端将所述业务数据发送至业务服务端进行处理。

在上述实现过程中，在与用户端建立连接后，接收用户端发送的用户授权信息和用户身份信息；然后根据用户授权信息和用户身份信息确定待连接的第二网络实体端；与第二网络实体端建立网络安全网格通道；接着接收用户端发送的业务数据，并通过网络安全网格通道将业务数据发送至第二网络实体端，以使第二网络实体端将业务数据发送至业务服务端进行处理，能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

进一步地，与所述第二网络实体端建立网络安全网格通道，包括：

根据所述用户身份信息与所述第二网络实体端建立基于QUIC协议的通信连接；

根据所述用户身份信息在所述基于QUIC协议的通信连接上建立Geneve通信隧道，以建立与所述第二网络实体端之间基于网络安全网格的网络通信链路。

进一步地，通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端，包括：

对所述业务数据进行基于Geneve协议的封装处理，得到第一封装数据，所述第一封装数据的Geneve属性字段包括所述用户身份信息；

对所述第一封装数据进行基于QUIC协议的封装处理，得到第二封装数据；

将所述第二封装数据发送至所述第二网络实体端。

进一步地，将所述第二封装数据发送至所述第二网络实体端，包括：

获取所述第一网络实体端的实时状态信息，并向状态信息库通告所述实时状态信息；

根据从所述状态信息库订阅到的网络链路负载和系统负载状态信息，确定所述第一网络实体端至所述第二网络实体端之间的最优传输链路；

通过所述最优传输链路将所述第二封装数据发送至所述第二网络实体端。

进一步地，通过所述最优传输链路将所述第二封装数据发送至所述第二网络实体端，包括：

当需要对所述第二封装数据进行安全检查时，根据所述网络链路负载和系统负载状态信息确定安全检查节点；

当所述安全检查节点为所述最优传输链路中的中间节点时，将所述第二封装数据发送至所述安全检查节点进行基于所述用户身份信息的安全检查，得到安全检查结果；

通过所述安全检查节点将所述安全检查结果和所述第二封装数据传输至所述第二网络实体端，以使所述第二网络实体端根据所述安全检查结果对所述第二封装数据进行相应处理。

本申请实施例第二方面提供了一种基于网络安全网格的通信装置，应用于第一网络实体端，所述基于网络安全网格的通信装置包括：

接收单元，用于在与用户端建立连接后，接收所述用户端发送的用户授权信息和用户身份信息；

确定单元，用于根据所述用户授权信息和所述用户身份信息确定待连接的第二网络实体端；

建立单元，用于与所述第二网络实体端建立网络安全网格通道，所述网络安全网格通道封装有所述用户身份信息；

所述接收单元，还用于接收所述用户端发送的业务数据；

发送单元，用于通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端，以使所述第二网络实体端将所述业务数据发送至业务服务端进行处理。

在上述实现过程中，接收单元在与用户端建立连接后，接收用户端发送的用户授权信息和用户身份信息；确定单元根据用户授权信息和用户身份信息确定待连接的第二网络实体端；建立单元与第二网络实体端建立网络安全网格通道；接收单元，还用于接收用户端发送的业务数据；发送单元通过网络安全网格通道将业务数据发送至第二网络实体端，以使第二网络实体端将业务数据发送至业务服务端进行处理能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

本申请实施例第三方面公开一种基于网络安全网格的通信系统，所述基于网络安全网格的通信系统包括用户端、认证授权中心、第一网络实体端、第二网络实体端以及业务服务端；其中，

所述用户端，用于在通过所述认证授权中心的认证之后，在所述认证授权中心完成用户注册；

所述认证授权中心，用于在所述用户端完成用户注册后，下发用户授权信息至所述用户端；

所述用户端，还用于根据所述用户授权信息确定可接入节点；所述可接入节点包括所述第一网络实体端以及所述第一网络实体端对应的目的节点，所述目的节点为所述第二网络实体端；并接入所述第一网络实体端；

所述第一网络实体端，用于在所述用户端接入所述第一网络实体端后，接收用户端发送的包括用户授权信息和用户身份信息的接入请求；以及根据所述用户授权信息和所述用户身份信息确定待连接的第二网络实体端；以及与所述第二网络实体端建立网络安全网格通道，所述网络安全网格通道封装有所述用户身份信息；以及接收所述用户端发送的业务数据，并通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端；

所述第二网络实体端，用于将所述业务数据发送至所述业务服务端进行处理。

在上述实现过程中，用户端在通过认证授权中心的认证之后，在认证授权中心完成用户注册；认证授权中心在用户端完成用户注册后，下发用户授权信息至用户端；用户端根据用户授权信息确定可接入节点；可接入节点包括第一网络实体端以及第一网络实体端对应的目的节点，目的节点为第二网络实体端；并接入第一网络实体端；第一网络实体端在用户端接入第一网络实体端后，接收用户端发送的包括用户授权信息和用户身份信息的接入请求；以及根据用户授权信息和用户身份信息确定待连接的第二网络实体端；以及与第二网络实体端建立网络安全网格通道；以及接收用户端发送的业务数据，并通过网络安全网格通道将业务数据发送至第二网络实体端；第二网络实体端将业务数据发送至业务服务端进行处理。能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

进一步地，所述业务服务端，还用于接收所述业务数据，并对所述业务数据进行处理，得到返回数据；将所述返回数据发送至所述第二网络实体端；

所述第二网络实体端，还用于接收所述返回数据，并通过所述网络安全网格通道将所述返回数据发送至所述第一网络实体端；

所述第一网络实体端，还用于接收所述返回数据，并将所述返回数据发送至所述用户端。

本申请实施例第四方面提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的基于网络安全网格的通信方法。

本申请实施例第五方面提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请实施例第一方面中任一项所述的基于网络安全网格的通信方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种基于网络安全网格的通信方法的流程示意图；

图2为本申请实施例提供的一种基于网络安全网格的通信装置的结构示意图；

图3为本申请实施例提供的一种基于网络安全网格的通信系统的系统架构示意图；

图4是本申请实施例提供的一种网络安全网格整体架构示意图；

图5是本申请实施例提供的一种Geneve over QUIC网络虚拟化协议栈示意图；

图6是本申请实施例提供的一种QUIC报文结构示意图；

图7为本申请实施例提供的一种QUIC数据确认机制保证传输可靠性机制示意图；

图8为本申请实施例提供的一种QUIC与TLS相互关系示意图；

图9为本申请实施例提供的一种QUIC与TLS交互示意图；

图10是本申请实施例提供的一种QUIC加固Geneve示意图；

图11是本申请实施例提供的一种Geneve over QUIC报文封装格式示意图；

图12是本申请实施例提供的一种Geneve over QUIC封装报文流程图；

图13是本申请实施例提供的一种NVE订阅/发布信息示意图；

图14是本申请实施例提供的一种网络安全网格动态安全管控示意图；

图15是本申请实施例提供的一种NVE间多链路传输，增加网络弹性示意图；

图16是本申请实施例提供的一种Geneve协议格式定义及其属性用途示意图；

图17是本申请实施例提供的一种网络流量隔离和安全管控构成安全边界的示意图；

图18是本申请实施例提供的一种网络安全网格的网络报文传输方法的示意图。

图标：310-用户端；320-认证授权中心；330-第一网络实体端；340-第二网络实体端；350-业务服务端。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

请参看图1，图1为本申请实施例提供了一种基于网络安全网格的通信方法的流程示意图。其中，该基于网络安全网格的通信方法，应用于第一网络实体端，包括：

S101、在与用户端建立连接后，接收用户端发送的用户授权信息和用户身份信息。

本申请实施例中，该方法采用NVO3(Network Virtualization over Layer3)技术围绕每一个接入点构建逻辑独立、更小的网络安全网格，不再是传统意义上的围绕网络构建单一的网络安全边界。

本申请实施例中，第一网络实体端具体为NVE设备，可以表示为NVE-A。运行NVO3的设备叫做NVE(Network Virtualization Edge)，它位于网络的边界。

本申请实施例中，在用户端接入第一网络实体端之前，用户端需要与认证授权中心进行用户认证，当用户端通过用户认证之后，接收认证授权中心下发的用户授权信息，该用户授权信息包括该用户端能够访问的业务资源、该用户端可接入的第一网络实体端以及第二网络实体端。

本申请实施例中，该用户端可以为计算机、服务器等计算装置，还可以为智能手机、平板电脑等智能设备，对此本实施例中不作任何限定。

S102、根据用户授权信息和用户身份信息确定待连接的第二网络实体端。

本申请实施例中，第二网络实体端具体为NVE设备，表示为NVE-B。

S103、根据用户身份信息与第二网络实体端建立基于QUIC协议的通信连接。

S104、根据用户身份信息在基于QUIC协议的通信连接上建立Geneve通信隧道，以建立与第二网络实体端之间基于网络安全网格的网络通信链路。

本申请实施例中，实施上述步骤S103～步骤S104，能够与第二网络实体端建立网络安全网格通道，该网络安全网格通道封装有用户身份信息。

本申请实施例中，该网络安全网格采用网络虚拟化技术进行逻辑安全组网；基于网络集中策略管理和分发提供网络最大化可视化能力；基于零信任理念进行网络访问最小授权，围绕人或事物身份定义网络边界。该网络安全网格可用于构建弹性、自适应性、自恢复和自维护网络安全环境。

本申请实施例中，该方法使用加固的Geneve技术及其扩展的属性在不同NVE(Network Virtualization Edge)之间构建网络安全网格的数据平面，采用集中管理构成网络安全网格控制平面。采用零信任理念构建可动态调整基于身份管控机制。

请一并参阅图4，图4是本申请实施例提供的一种网络安全网格整体架构示意图。如图4所示，采用QUIC(Quick UDP Internet Connections)协议替换UDP(User DatagramProtocol，用户数据包协议)协议加固Geneve协议提供可靠性、完整性、机密性保证。QUIC的握手过程中的身份核验可核验对方真实性，并以身份标识构建相互业务流量隔离的网络安全边界。Geneve over QUIC网络虚拟化技术有助于构建弹性、自适应、自恢复和自维护安全的网络环境。

本申请实施例中，QUIC协议是基于UDP协议实现两个端点之间建立连接，具备可靠性、多路复用、拥塞控制、分级调度和安全加密的用户态的传输协议。该方法采用QUIC协议取代UDP协议加固Geneve协议。

本申请实施例中，采用Geneve属性携带身份与业务信息使网络报文具备实名化的能力。网络安全网格提供可基于人或事物提供分布式的网络安全隔离、安全管控应用方法。

本申请实施例中，网络虚拟化Geneve(Generic Network VirtualizationEncapsulation)协议属于NVO3技术。该方法采用Geneve将与用户身份相关联的网络资源按照业务需求在逻辑上划分成若干网格状隔离区域。在安全管控方面，每个隔离区域采用各自独立细粒度的安全管控。

S105、对业务数据进行基于Geneve协议的封装处理，得到第一封装数据，第一封装数据的Geneve属性字段包括用户身份信息。

S106、对第一封装数据进行基于QUIC协议的封装处理，得到第二封装数据。

本申请实施例中，该方法采用以身份为核心将业务资源、网络资源关联在一起；以及采用键值对方式存储；采用集中管理方式；以及采用动态评估业务行为上下文的可信度，动态调整资源访问策略。

本申请实施例中，网络安全网格通道可以通过封装的用户身份信息，对第二封装数据进行数据传输及安全检测等处理，还能够根据用户身份信息确定所传输数据的客户端。

本申请实施例中，能够实现Geneve协议加固，采用QUIC协议替换UDP协议作为Geneve的承载协议。QUIC能够为Geneve协议提供数据机密性、完整性、可靠性等基础性保障。

请一并参阅图5，图5是本申请实施例提供的一种Geneve over QUIC网络虚拟化协议栈示意图。如图5所示，QUIC协议由帧(Frame)、连接(Connection)、流(Stream)构成。QUIC帧是在网络间通信的单元。QUIC数据包是由一个或者多个帧构成，QUIC使用加密帧对所有的数据包进行验证和加密处理。QUIC连接是服务端与客户端共享的有效状态。QUIC连接主要用于应用协议支持结构化的数据交换。

请一并参阅图6，图6是本申请实施例提供的一种QUIC报文结构示意图。如图6所示，QUIC连接具有唯一的连接ID。该方法适用于网络间不断切换或网络质量不佳场景下，保证数据传输不中断。同时，已确认收到的数据不会进行反复重传，因此QUIC协议在一定程度上优化了数据传输效率。QUIC流是轻量级、有序字节流的抽象。QUIC流是建立在QUIC连接之上的应用信息交换单元。QUIC使用流ID区分不同流。收发两端通过流ID和偏移量(Offset)来保证数据的有序性，发送端可多次发送相同的数据但是不能更改偏移量的值。QUIC可靠性依赖于收发端QUIC流的状态确认。

本申请实施例中，该方法的可靠性依赖于QUIC可靠的流确定机制来保证的数据传输可靠性。同样，QUIC还提供基于连接及流两层拥塞控制，其中，QUIC流确认机制如图7所示。

本申请实施例中，该方法的数据传输机密性和完整性的保护由QUIC负责。QUIC加密密钥是通过TLS握手派生而来。QUIC和TLS不是严格分层的，而是合作关系。TLS握手和告警信息通过QUIC携带，QUIC直接取代TLS记录层功能。TLS依赖QUIC提供可靠性、有序交付和记录层。QUIC使用TLS完成握手协商过程，其中，QUIC与TLS相互关系如图8所示。

本申请实施例中，QUIC安全机制依赖于TLS提供算法与密钥的协商和身份验证。QUIC采用TLS1.3协议进行密钥协商和身份验证，1-RTT(Round-Trip Time，RTT)交互过程加快建立安全连接的效率。该方法涉及到身份校验就是TLS协商双方的证书相互校验机制。确认通信双方都是真实可信的，防止冒充。其中，QUIC与TLS协议交互关系如图9所示。

请一并参阅图10、图11和图12，图10是本申请实施例提供的一种QUIC加固Geneve示意图，图11是本申请实施例提供的一种Geneve over QUIC报文封装格式示意图，图12是本申请实施例提供的一种Geneve over QUIC封装报文流程图。其中，Geneve over QUIC是先对原始数据进行Geneve协议封装得到第一封装数据，再进行QUIC协议封装后得到第二封装数据。

S107、获取第一网络实体端的实时状态信息，并向状态信息库通告实时状态信息。

S108、根据从状态信息库订阅到的网络链路负载和系统负载状态信息，确定第一网络实体端至第二网络实体端之间的最优传输链路。

本申请实施例中，该方法能够实现可调度网络服务质量，网络服务质量保证价值在于可根据网络状态随时调整报文传输路径。NVE根据订阅到网络链路负载和系统负载状态信息，根据改进的加权最短路径算法选择最优的传输链路。而后选择最优QUIC链路发送数据。报文传输的过程中，链路状态上报随时到状态信息库中，NVE根据实时状态进行调度。

请一并参阅图13，图13是本申请实施例提供的一种NVE订阅/发布信息示意图。如图13所示，其中，①NVE的注册过程是向状态信息库中提交本地的相关信息；同时，②NVE订阅和自己本身相关的NVE的信息；③无论是NVE-A还是NVE-B，都会定期发布自身的实时状态信息，其中包括所有链路的状态、实时传输网络延时、传输速率等相关的信息。在不影响用户业务的情况下，进行数据包采样，流量路径以及传输质量统计，并精准探测网络传输的时延与抖动。

本申请实施例中，在确定第一网络实体端至第二网络实体端之间的最优传输链路时，NVO3选路采用经典的最短路径算法。同时，结合多次NVE间网络传输速率及报文延时，计算出最佳链路。NVE间按照最优链路发送报文。网络服务质量也涉及网络安全服务不存在性能瓶颈和管控盲区。消除管控盲区就是将信任边界缩小到能够承受最小状态，网络资源服务默认都是禁止，只有身份验证通过后才提供服务。

请一并参阅图14，图14是本申请实施例提供的一种网络安全网格动态安全管控示意图。如图14所示，NVE1与NVE2建立两条链路同时进行报文传输过程中，①表示正常通信，当出现②的情况，即NVE1与NVE2之间出现通信异常时，能够动态进行上下文安全服务度量评估，发现异常行为，动态暂停服务，直到再次通过安全评估后，继续提供服务。另一方面，在出现②的情况时，且无法准确动态评估前提下，如图14中③所示，网络安全服务启用动态转移至资源空闲区域进行网络安全辅助检测服务，进行专业安全检测服务。

本申请实施例中，该方法能够利用Geneve over QUIC具备多路径传输能力实现多链路传输功能，只要连接ID保持不变，即连接的NVE-A和NVE-B不变，则NVE-A和NVE-B间网络流量可实时进行链路间流量调度或者选择最优传输链路进行流量中转服务，如图15所示。流量调度能力为网络安全弹性提供有力的保证。

S109、当需要对第二封装数据进行安全检查时，根据网络链路负载和系统负载状态信息确定安全检查节点。

S110、当安全检查节点为最优传输链路中的中间节点时，将第二封装数据发送至安全检查节点进行基于用户身份信息的安全检查，得到安全检查结果。

本申请实施例中，该安全检查节点还可以为NVE-A或者NVE-B，具体根据实际安全检测情况而确定，对此本申请实施例不作限定。

S111、通过安全检查节点将安全检查结果和第二封装数据传输至第二网络实体端，以使第二网络实体端根据安全检查结果对第二封装数据进行相应处理。

本申请实施例中，NVE-A和NVE-B间包括多个链路节点，每个链路节点均为NVE设备。

本申请实施例中，该方法能够实现身份化安全边界，在云计算和数据中心场景下，通过Geneve协议提供隔离租户间的网络流量、允许租户业务在不同物理点之间相互移动、提供多交付点之间的网络通信联通的功能。

请一并参阅图16，图16是本申请实施例提供的一种Geneve协议格式定义及其属性用途示意图。如图16所示，Geneve属性选项是TLV(Type-Length-Value)类型，其可携带多个元数据属性字段。NVE采用TLV属性将身份与业务等属性信息封装在Geneve报文中。

本申请实施例中，网络安全网格是围绕用户身份构建安全边界，就采用Geneve协议中VNI实现的用户业务流量与其他网络流量彼此间隔离，加固Geneve特性保证数据机密性和完整性。VNI是依据用户和业务身份计算而成。这样通过身份将网络流量进行主动的分类隔离，降低阻断横向攻击的可能性，从而提高网络安全等级。安全隔离依据是按照业务需要，通过业务和用户身份信息进行动态安全区域划分和业务流量隔离。这完全符合零信任的安全理念，也顺应网络安全物理边界逐渐模糊化。这并不意味着网络边界消失了，而是更加强了以用户为中心构建网格化的逻辑安全边界，这将充分整合资源、提升资源利用率、降低开支的目的。

本申请实施例中，通过网络安全网格，能够提供全面的资源联通和共享服务，通过采用Geneve的隧道提供跨网络逻辑安全组网的能力，消除资源孤岛和信息孤岛。用户可在任何位置和设备都可以安全访问网络资产。

本申请实施例中，上述IP报文实名化就是Geneve的TLV属性携带了用户与业务信息。身份和业务用于区分网络流量。同样，网络安全策略以用户身份为载体，与网络拓扑解耦。

本申请实施上述步骤S109～步骤S111，能够通过最优传输链路将第二封装数据发送至第二网络实体端。

本申请实施上述步骤S105～步骤S111，能够将第二封装数据发送至第二网络实体端。

本申请实施上述步骤S103～步骤S111，能够接收用户端发送的业务数据，并通过网络安全网格通道将业务数据发送至第二网络实体端，以使第二网络实体端将业务数据发送至业务服务端进行处理。

请一并参阅图17，图17是本申请实施例提供的一种网络流量隔离和安全管控构成安全边界的示意图。如图17所示，该方法能够实现分布式安全控制，网络安全网格的安全控制引擎是分布式、点对点的，网络安全管控能力遍布到网络的任意位置且可控。基于分布式安全控制对业务流量安全封装与解封装时插入的安全控制点。这样网络安全架构设计既保证了高效的安全治理效率，同时满足多样性终端和业务碎片化的实际环境。

本申请实施例中，网络安全网格能够提供更小的、独立的安全边界，通过每一个NVE端提供安全管控能力和网络流量安全隔离。

本申请实施例中，实施该方法通过采用QUIC协议取代UDP协议(Geneve OverQUIC)，解决Geneve在可靠性、机密性、完整性方面不足之处。第二，采用Geneve over QUIC实现网络安全网格的数据平面。第三，可以采用可编程集中管理方式实现网络安全网格的控制平面。第四，该方法采用Geneve属性携带身份信息实现IP业务报文实名制并基于身份信息的安全管控。第五，该方法采用Geneve over QUIC通过网络安全网格将所有资源的全面联通与共享。第六，该方法采用Geneve Over QUIC构建动态可迁移、弹性、端到端网络安全网格解决方案。

本申请实施例中，该方法能够通过网络安全网格，摆脱物理网络限制，将复杂、多样的异构网络统一化、标准化，提供扁平化、点对点网络直连关系。网络安全网格的分布式安全控制解决了安全控制与网络拓扑(物理位置)绑定的弊病。同样，分布式安全设计不存在性能瓶颈点或控制盲区。

本申请实施例中，实施该方法能够通过网络安全网格解决企业超大规模化的增长问题。同时能够解决建设成本问题，通过网络虚拟化技术充分利用现有网络资源，提供逻辑隔离上改造，充分利用现有物理资源，最大限度保证对既有投资有效充分保护。

可见，实施本实施例所描述的基于网络安全网格的通信方法，能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

实施例2

请参看图2，图2为本申请实施例提供的一种基于网络安全网格的通信装置的结构示意图。如图2所示，该基于网络安全网格的通信装置，应用于第一网络实体端包括：

接收单元210，用于在与用户端建立连接后，接收用户端发送的用户授权信息和用户身份信息；

确定单元220，用于根据用户授权信息和用户身份信息确定待连接的第二网络实体端；

建立单元230，用于与第二网络实体端建立网络安全网格通道，网络安全网格通道封装有用户身份信息；

接收单元210，还用于接收用户端发送的业务数据；

发送单元240，用于通过网络安全网格通道将业务数据发送至第二网络实体端，以使第二网络实体端将业务数据发送至业务服务端进行处理。

作为一种可选的实施方式，建立单元230包括：

第一建立子单元231，用于根据用户身份信息与第二网络实体端建立基于QUIC协议的通信连接；

第二建立子单元232，用于根据用户身份信息在基于QUIC协议的通信连接上建立Geneve通信隧道，以建立与第二网络实体端之间基于网络安全网格的网络通信链路。

作为一种可选的实施方式，发送单元240包括：

第一封装子单元241，用于对业务数据进行基于Geneve协议的封装处理，得到第一封装数据，第一封装数据的Geneve属性字段包括用户身份信息；

第二封装子单元242，用于对第一封装数据进行基于QUIC协议的封装处理，得到第二封装数据；

发送子单元243，用于将第二封装数据发送至第二网络实体端。

作为一种可选的实施方式，发送子单元243包括：

获取模块，用于获取第一网络实体端的实时状态信息，并向状态信息库通告实时状态信息；

确定模块，用于根据从状态信息库订阅到的网络链路负载和系统负载状态信息，确定第一网络实体端至第二网络实体端之间的最优传输链路；

发送模块，用于通过最优传输链路将第二封装数据发送至第二网络实体端。

作为一种可选的实施方式，发送模块，具体用于当需要对第二封装数据进行安全检查时，根据网络链路负载和系统负载状态信息确定安全检查节点；以及当安全检查节点为最优传输链路中的中间节点时，将第二封装数据发送至安全检查节点进行基于用户身份信息的安全检查，得到安全检查结果；并通过安全检查节点将安全检查结果和第二封装数据传输至第二网络实体端，以使第二网络实体端根据安全检查结果对第二封装数据进行相应处理。

本申请实施例中，对于基于网络安全网格的通信装置的解释说明可以参照实施例1中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的基于网络安全网格的通信装置，能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

实施例3

请参看图3，图3为本申请实施例提供的一种基于网络安全网格的通信系统的系统架构示意图。如图3所示，该基于网络安全网格的通信系统包括用户端310、认证授权中心320、第一网络实体端330、第二网络实体端340以及业务服务端350；其中，

用户端310，用于在通过认证授权中心320的认证之后，在认证授权中心320完成用户注册；

认证授权中心320，用于在用户端310完成用户注册后，下发用户授权信息至用户端310；

本申请实施例中，通过认证授权中心能够实现全局集中管控，认证授权中心，即网络安全网格控制平面，能够实现全局集中管控。其中，认证授权中心包括IAM(Identity andAccess Management)认证授权中心，以用户为中心建立的业务网络访问资源控制中心和存储实时状态信息的状态信息资源中心三部分，其作用是提供认证授权、为业务最佳服务提供实时信息管理及支撑服务。在架构方面支持分布式、多级管理架构。

本申请实施例中，IAM采用集中式管理模式有助于实现简化的、统一的认证授权管理。IAM认证过程中为了防止中间人攻击情况发生，需双向相互校验身份过程。如果发现身份行为异常，自动禁止该身份已获得授权及其活动。其中，IAM集中管理以用户身份为中心，重点解决网络安全策略与网络设备紧耦合的弊病，通过身份将业务、网络信息和网络安全策略关联在一起。用户无论身处何处都能够获得一致性安全体验。

本申请实施例中，用户授权访问资源都是身份化业务资源。在业务访问过程中，业务访问行为进行可量化实时的可信度度量，发现异常行为及时降低用户授权可信度。业务动态授权就是根据量化的业务行为的可信度进行动态调整。

本申请实施例中，状态信息资源中心保存着网络安全网格节点的状态信息。存储业务信息的网络信息按照用户身份信息存储来自NVE收集并上报来自端点、用户和应用程序的遥测数据。机器推理算法有助于主动准确识别网络中潜在问题，快速定位网络问题并减少干扰和误报信息及其最优路径选择问题。

用户端310，还用于根据用户授权信息确定可接入节点；可接入节点包括第一网络实体端330以及第一网络实体端330对应的目的节点，目的节点为第二网络实体端340；并接入第一网络实体端330；

第一网络实体端330，用于在用户端310接入第一网络实体端330后，接收用户端310发送的包括用户授权信息和用户身份信息的接入请求；以及根据用户授权信息和用户身份信息确定待连接的第二网络实体端340；以及根据用户身份信息与第二网络实体端340建立网络安全网格通道；以及接收用户端310发送的业务数据，并通过网络安全网格通道将业务数据发送至第二网络实体端340；

第二网络实体端340，用于将业务数据发送至业务服务端350进行处理。

请一并参阅图18，图18是本申请实施例提供的一种网络安全网格的网络报文传输方法的示意图。如图18所示，用户端310首先向IAM认证，并完成用户注册过程；然后IAM下发用户授权信息，包括用户可访问资源及其用户可接入点NVE(包括告NVE-A及其对端NVE-B)。进一步地，用户端310接入NVE-A，用户资源和业务服务资源通告NVE-A及其对端NVE-B；然后，NVE-A和NVE-B之间建立网络安全网格通道，用户端发送的业务流量进行安全封装；业务流量通过网络安全网格进行安全传输过程中，进行业务上下文行为分析和行为安全管控；在此过程中，NVE向实时状态信息库通告实时状态信息，供业务流量路由选路。

作为一种可选的实施方式，业务服务端350，还用于接收业务数据，并对业务数据进行处理，得到返回数据；将返回数据发送至第二网络实体端340；

第二网络实体端340，还用于接收返回数据，并通过网络安全网格通道将返回数据发送至第一网络实体端330；

第一网络实体端330，还用于接收返回数据，并将返回数据发送至用户端310。

作为一种可选的实施方式，第一网络实体端330，具体用于根据用户身份信息与第二网络实体端340建立基于QUIC协议的通信连接；以及根据用户身份信息在基于QUIC协议的通信连接上建立Geneve通信隧道，以建立与第二网络实体端340之间基于网络安全网格的网络通信链路。

作为一种可选的实施方式，第一网络实体端330，具体用于对业务数据进行基于Geneve协议的封装处理，得到第一封装数据，第一封装数据的Geneve属性字段包括用户身份信息；以及对第一封装数据进行基于QUIC协议的封装处理，得到第二封装数据；以及将第二封装数据发送至第二网络实体端340。

作为一种可选的实施方式，第一网络实体端330，具体用于获取第一网络实体端330的实时状态信息，并向状态信息库通告实时状态信息；以及根据从状态信息库订阅到的网络链路负载和系统负载状态信息，确定第一网络实体端330至第二网络实体端340之间的最优传输链路；以及通过最优传输链路将第二封装数据发送至第二网络实体端340。

作为一种可选的实施方式，第一网络实体端330，具体用于当需要对第二封装数据进行安全检查时，根据网络链路负载和系统负载状态信息确定安全检查节点；当安全检查节点为最优传输链路中的中间节点时，将第二封装数据发送至安全检查节点进行基于用户身份信息的安全检查，得到安全检查结果；通过安全检查节点将安全检查结果和第二封装数据传输至第二网络实体端340，以使第二网络实体端340根据安全检查结果对第二封装数据进行相应处理。

本申请实施例中，实施该系统能够实现异构网络安全互联，该系统中，网络安全网格可应用于异构网络之间统一的安全建设设计替代异构网络安全功能不统一理念设计。大型企业网络都是由企业网、企业数据中心、物联网和混合云环境构成的复杂的异构网络。异构网络之间安全方案之间存在无法相互统一、相互替代的特性。网络安全网格可在异构网络之间建立以身份为中心建立逻辑上网络通信安全管理。在保护现有投资基础上，按照网络安全建设等级需求，网络安全网格技术可简化异构网络的网络安全策略管理的复杂度，统一的控制平面进行网络流量管理。

本申请实施例中，在实现异构网络安全互联时，先以身份或者设备为抓手梳理出业务系统网络访问关系，以身份为中心建立网络访问图谱。然后以身份信息作为划分网络通信的安全区域依据。身份信息用作虚拟网络的VNI。再按照业务需要，NVE之间建立安全隔离的网络通信链路。根据拥塞情况，业务流量传输选择最优传输链路进行传输。业务传输流量在源NVE端点进行安全管控。业务传输流量到达目的NVE端点进行安全管控，后转发业务流量。同时，还可以根据身份和其他属性作为网络微隔离的安全管控。

本申请实施例中，实施该系统能够实现分布式网络安全管控，拥塞的网络安全边界设备是造成网络传输的瓶颈点。网络流量过大，网络安全设备性能决定业务流量流畅度。计算资源有限的边缘环境下，网络安全同样存在受限资源导致网络传输瓶颈点。移动网络(车联网、手机、卫星网络)应用场景存在移动设备不断接入处于不断的变化网络资源，传统固定网络协议无法满足现有需要。

本申请实施例中，该系统可用于构建分布式网络安全设备。可将原有网络转发和安全检测功能分离。在车联网快速移动的网络场景下，网络安全网格按照业务需求进行细粒度网络通信划分。通信双方可利用该方法中动态选择一个最佳的计算资源丰富、可信的NVE节点进行安全检测。检测完成后，发送给接收方的NVE，尤其决定是否将业务流量转发给业务端。

本申请实施例中，实现分布式网络安全管控的具体流程如下：通信双方先选择网络通信最佳的安全检测中间节点NVE。业务流量通过选定的中间节点NVE进行安全检测。安全检测完成后，完成检测流量发送接收端NVE。接收端NVE决定是否将业务流量进行转发。

本申请实施例中，采用NVO3网络虚拟化技术实现网络安全网格。网络安全网格提供身份化IP报文，按照身份进行业务安全管控。一种实现零信任微隔离方法。

本申请实施例中，该系统侧重于最大限度保护现有投资的基础上，一种完全实用化网络安全解决思路，应用网络虚拟化技术为网络安全在各种异构网络提供端到端安全保护方案。

本申请实施例中，该系统使用QUIC协议替代UDP协议作为Geneve的承载协议。提供安全网络虚拟化技术提供可靠性、机密性与完整性。同时利用Geneve属性字段携带网络身份信息和业务信息，提供网络报文身份化。能够提供基于身份和业务网络安全控制。利用NVO3安全网络虚拟化Geneve技术实现网络安全网格。通过该系统能够实现基于零信任的微隔离。

本申请实施例中，对于基于网络安全网格的通信系统的解释说明可以参照实施例1中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的基于网络安全网格的通信系统，能够通过网络安全网格实现基于身份信息的端到端安全通信保护，配置简单，灵活性好。

申请实施例提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的基于网络安全网格的通信方法。

本申请实施例提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请实施例1中的基于网络安全网格的通信方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种基于网络安全网格的通信方法，其特征在于，应用于第一网络实体端，包括：

在与用户端建立连接后，接收所述用户端发送的用户授权信息和用户身份信息；

根据所述用户授权信息和所述用户身份信息确定待连接的第二网络实体端；

与所述第二网络实体端建立网络安全网格通道，所述网络安全网格通道封装有所述用户身份信息；

接收所述用户端发送的业务数据，并通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端，以使所述第二网络实体端将所述业务数据发送至业务服务端进行处理。

2.根据权利要求1所述的基于网络安全网格的通信方法，其特征在于，与所述第二网络实体端建立网络安全网格通道，包括：

根据所述用户身份信息与所述第二网络实体端建立基于QUIC协议的通信连接；

根据所述用户身份信息在所述基于QUIC协议的通信连接上建立Geneve通信隧道，以建立与所述第二网络实体端之间基于网络安全网格的网络通信链路。

3.根据权利要求2所述的基于网络安全网格的通信方法，其特征在于，通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端，包括：

对所述业务数据进行基于Geneve协议的封装处理，得到第一封装数据，所述第一封装数据的Geneve属性字段包括所述用户身份信息；

对所述第一封装数据进行基于QUIC协议的封装处理，得到第二封装数据；

将所述第二封装数据发送至所述第二网络实体端。

4.根据权利要求3所述的基于网络安全网格的通信方法，其特征在于，将所述第二封装数据发送至所述第二网络实体端，包括：

获取所述第一网络实体端的实时状态信息，并向状态信息库通告所述实时状态信息；

根据从所述状态信息库订阅到的网络链路负载和系统负载状态信息，确定所述第一网络实体端至所述第二网络实体端之间的最优传输链路；

通过所述最优传输链路将所述第二封装数据发送至所述第二网络实体端。

5.根据权利要求4所述的基于网络安全网格的通信方法，其特征在于，通过所述最优传输链路将所述第二封装数据发送至所述第二网络实体端，包括：

当需要对所述第二封装数据进行安全检查时，根据所述网络链路负载和系统负载状态信息确定安全检查节点；

当所述安全检查节点为所述最优传输链路中的中间节点时，将所述第二封装数据发送至所述安全检查节点进行基于所述用户身份信息的安全检查，得到安全检查结果；

通过所述安全检查节点将所述安全检查结果和所述第二封装数据传输至所述第二网络实体端，以使所述第二网络实体端根据所述安全检查结果对所述第二封装数据进行相应处理。

6.一种基于网络安全网格的通信装置，其特征在于，应用于第一网络实体端，所述基于网络安全网格的通信装置包括：

接收单元，用于在与用户端建立连接后，接收所述用户端发送的用户授权信息和用户身份信息；

确定单元，用于根据所述用户授权信息和所述用户身份信息确定待连接的第二网络实体端；

建立单元，用于与所述第二网络实体端建立网络安全网格通道，所述网络安全网格通道封装有所述用户身份信息；

所述接收单元，还用于接收所述用户端发送的业务数据；

发送单元，用于通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端，以使所述第二网络实体端将所述业务数据发送至业务服务端进行处理。

7.一种基于网络安全网格的通信系统，其特征在于，所述基于网络安全网格的通信系统包括用户端、认证授权中心、第一网络实体端、第二网络实体端以及业务服务端；其中，

所述用户端，用于在通过所述认证授权中心的认证之后，在所述认证授权中心完成用户注册；

所述认证授权中心，用于在所述用户端完成用户注册后，下发用户授权信息至所述用户端；

所述用户端，还用于根据所述用户授权信息确定可接入节点；所述可接入节点包括所述第一网络实体端以及所述第一网络实体端对应的目的节点，所述目的节点为所述第二网络实体端；并接入所述第一网络实体端；

所述第一网络实体端，用于在所述用户端接入所述第一网络实体端后，接收用户端发送的包括用户授权信息和用户身份信息的接入请求；以及根据所述用户授权信息和所述用户身份信息确定待连接的第二网络实体端；以及与所述第二网络实体端建立网络安全网格通道，所述网络安全网格通道封装有所述用户身份信息；以及接收所述用户端发送的业务数据，并通过所述网络安全网格通道将所述业务数据发送至所述第二网络实体端；

所述第二网络实体端，用于将所述业务数据发送至所述业务服务端进行处理。

8.根据权利要求7所述的基于网络安全网格的通信系统，其特征在于，所述业务服务端，还用于接收所述业务数据，并对所述业务数据进行处理，得到返回数据；将所述返回数据发送至所述第二网络实体端；

所述第二网络实体端，还用于接收所述返回数据，并通过所述网络安全网格通道将所述返回数据发送至所述第一网络实体端；

所述第一网络实体端，还用于接收所述返回数据，并将所述返回数据发送至所述用户端。

9.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述的基于网络安全网格的通信方法。

10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至5任一项所述的基于网络安全网格的通信方法。

Images