網(wǎng)絡安全方法和設備的制造方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及網(wǎng)絡通信領(lǐng)域，尤其涉及一種網(wǎng)絡安全方法和設備。
【背景技術(shù)】
[0002]信任網(wǎng)絡安全架構(gòu)通過建立可信(英文trusted)網(wǎng)絡設備的域來建造安全網(wǎng)絡，該域稱為可信域。該可信域中的各個設備被其同輩(英文:peer)認證。該可信域中設備間鏈路上的通信由加密，消息完整性檢查和數(shù)據(jù)路徑應答保護機制的組合保證。信任網(wǎng)絡安全架構(gòu)用認證中獲取的設備和用戶憑據(jù)將進入網(wǎng)絡的報文分類為安全組(英文securitygroup，縮寫:SG)。入口給報文打標簽來給報文分類，以使報文能被隨路識別，并被應用與標簽相對應的網(wǎng)絡安全策略。該標簽，被稱作安全組標簽(英文:security group tag,縮寫:SGT)，允許網(wǎng)絡基于該SGT來執(zhí)行網(wǎng)絡安全策略。
[0003]通常的信任網(wǎng)絡安全架構(gòu)要在可信域內(nèi)和可信域間傳播(英文:propagate)SGT信息，然而傳播SGT信息需要消耗網(wǎng)絡資源并增加網(wǎng)絡復雜度。

【發(fā)明內(nèi)容】

[0004]本發(fā)明實施例提供一種網(wǎng)絡安全方法和設備，以解決信任網(wǎng)絡安全架構(gòu)中網(wǎng)絡資源消耗大的問題。
[0005]第一方面提供一種網(wǎng)絡安全方法，包括:
[0006]網(wǎng)絡設備接收包括第一安全組標簽的第一數(shù)據(jù)報文，所述第一安全組標簽用于標識所述第一數(shù)據(jù)報文所屬的安全組，所述網(wǎng)絡設備位于可信域中；
[0007]所述網(wǎng)絡設備記錄第一對應關(guān)系，所述第一對應關(guān)系為所述第一安全組標簽和所述第一數(shù)據(jù)報文的源網(wǎng)際協(xié)議(英文=Internet Protocol，縮寫:IP)地址字段中的IP地址的對應關(guān)系；
[0008]所述網(wǎng)絡設備接收第二數(shù)據(jù)報文，所述第二數(shù)據(jù)報文的目的IP地址字段中的IP地址為所述第一數(shù)據(jù)報文的源IP地址字段中的IP地址；
[0009]所述網(wǎng)絡設備根據(jù)所述第二數(shù)據(jù)報文的目的IP地址字段中的IP地址和所述第一對應關(guān)系獲取所述第一安全組標簽；
[0010]所述網(wǎng)絡設備根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系。
[0011]結(jié)合第一方面，在第一方面的第一種實現(xiàn)方式中，所述第二數(shù)據(jù)報文包括第二安全組標簽，所述第二安全組標簽用于標識所述第二數(shù)據(jù)報文所屬的安全組；
[0012]所述網(wǎng)絡設備根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系，具體包括:
[0013]所述網(wǎng)絡設備根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽、所述第二安全組標簽與所述網(wǎng)絡安全策略之間的對應關(guān)系。
[0014]結(jié)合第一方面，在第一方面的第二種實現(xiàn)方式中，所述網(wǎng)絡設備接收所述第二數(shù)據(jù)報文后，所述的方法還包括所述網(wǎng)絡設備為所述第二數(shù)據(jù)報文分配第二安全組標簽，所述第二安全組標簽用于標識所述第二數(shù)據(jù)報文所屬的安全組；
[0015]所述網(wǎng)絡設備根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系，具體包括:
[0016]所述網(wǎng)絡設備根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽、所述第二安全組標簽與所述網(wǎng)絡安全策略之間的對應關(guān)系。
[0017]結(jié)合第一方面，第一方面的第一種實現(xiàn)方式和第一方面的第二種實現(xiàn)方式中的任意一個，在第一方面的第三種實現(xiàn)方式中，所述方法還包括，所述網(wǎng)絡設備經(jīng)過不支持所述第一安全組標簽的網(wǎng)絡向一個或多個其他網(wǎng)絡設備發(fā)送同步消息，所述同步消息的凈荷中包括所述第一對應關(guān)系，所述一個或多個其他網(wǎng)絡設備位于與所述網(wǎng)絡設備所在的可信域不同的可信域中，所述一個或多個其他網(wǎng)絡設備所在的可信域與所述網(wǎng)絡設備所在的可信域之間存在所述不支持所述第一安全組標簽的網(wǎng)絡。
[0018]第二方面提供一種網(wǎng)絡安全方法，包括:
[0019]網(wǎng)絡設備接收另一網(wǎng)絡設備發(fā)送的同步消息，所述同步消息的凈荷中包括第一對應關(guān)系，所述第一對應關(guān)系為IP地址和第一安全組標簽的對應關(guān)系，所述網(wǎng)絡設備位于可信域中，所述另一網(wǎng)絡設備位于另一可信域中，所述可信域與所述另一可信域之間存在不支持所述第一安全組標簽的網(wǎng)絡；
[0020]所述網(wǎng)絡設備接收數(shù)據(jù)報文，所述數(shù)據(jù)報文的目的IP地址字段中的IP地址為所述第一對應關(guān)系中的IP地址；
[0021 ] 所述網(wǎng)絡設備根據(jù)所述數(shù)據(jù)報文的目的IP地址字段中的IP地址和所述第一對應關(guān)系獲取所述第一安全組標簽；
[0022]所述網(wǎng)絡設備根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系。
[0023]結(jié)合第二方面，在第二方面的第一種實現(xiàn)方式中，所述數(shù)據(jù)報文包括第二安全組標簽，所述第二安全組標簽用于標識所述數(shù)據(jù)報文所屬的安全組；
[0024]所述網(wǎng)絡設備根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系，具體包括:
[0025]所述網(wǎng)絡設備根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽、所述第二安全組標簽與所述網(wǎng)絡安全策略之間的對應關(guān)系。
[0026]結(jié)合第二方面，在第二方面的第二種實現(xiàn)方式中，所述網(wǎng)絡設備接收所述數(shù)據(jù)報文后，所述的方法還包括所述網(wǎng)絡設備為所述數(shù)據(jù)報文分配第二安全組標簽，所述第二安全組標簽用于標識所述數(shù)據(jù)報文所屬的安全組；
[0027]所述網(wǎng)絡設備根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系，具體包括:
[0028]所述網(wǎng)絡設備根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽、所述第二安全組標簽與所述網(wǎng)絡安全策略之間的對應關(guān)系。
[0029]第三方面提供一種網(wǎng)絡安全裝置，所述網(wǎng)絡安全裝置由網(wǎng)絡設備實現(xiàn)，所述網(wǎng)絡設備位于可信域中，所述網(wǎng)絡安全裝置包括第一接收單元，記錄單元，第二接收單元，獲取單元和執(zhí)行單元；其中，
[0030]所述第一接收單元，用于接收包括第一安全組標簽的第一數(shù)據(jù)報文，所述第一安全組標簽用于標識所述第一數(shù)據(jù)報文所屬的安全組；
[0031]所述記錄單元，用于記錄第一對應關(guān)系，所述第一對應關(guān)系為所述第一安全組標簽和所述第一數(shù)據(jù)報文的源IP地址字段中的IP地址的對應關(guān)系；
[0032]所述第二接收單元，用于接收第二數(shù)據(jù)報文，所述第二數(shù)據(jù)報文的目的IP地址字段中的IP地址為所述第一數(shù)據(jù)報文的源IP地址字段中的IP地址；
[0033]所述獲取單元，用于根據(jù)所述第二數(shù)據(jù)報文的目的IP地址字段中的IP地址和所述第一對應關(guān)系獲取所述第一安全組標簽；
[0034]所述執(zhí)行單元，用于根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系。
[0035]結(jié)合第三方面，在第三方面的第一種實現(xiàn)方式中，所述第二數(shù)據(jù)報文包括第二安全組標簽，所述第二安全組標簽用于標識所述第二數(shù)據(jù)報文所屬的安全組；
[0036]所述執(zhí)行單元，具體用于根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽和所述第二安全組標簽的組合與所述網(wǎng)絡安全策略的對應關(guān)系。
[0037]結(jié)合第三方面，在第三方面的第二種實現(xiàn)方式中，所述的裝置還包括分配單元，用于在所述第二接收單元接收所述第二數(shù)據(jù)報文后，為所述第二數(shù)據(jù)報文分配第二安全組標簽，所述第二安全組標簽用于標識所述第二數(shù)據(jù)報文所屬的安全組；
[0038]所述執(zhí)行單元，具體用于根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽、所述第二安全組標簽與所述網(wǎng)絡安全策略之間的對應關(guān)系。
[0039]結(jié)合第三方面，第三方面的第一種實現(xiàn)方式和第三方面的第二種實現(xiàn)方式中的任意一個，在第三方面的第三種實現(xiàn)方式中，所述的裝置還包括發(fā)送單元，用于經(jīng)過不支持所述第一安全組標簽的網(wǎng)絡向一個或多個其他網(wǎng)絡安全裝置發(fā)送同步消息，所述同步消息的凈荷中包括所述第一對應關(guān)系，所述一個或多個其他網(wǎng)絡設備位于與所述網(wǎng)絡設備所在的可信域不同的可信域中，所述一個或多個其他網(wǎng)絡設備所在的可信域與所述所述網(wǎng)絡設備所在的可信域之間存在所述不支持所述第一安全組標簽的網(wǎng)絡。
[0040]第四方面提供一種網(wǎng)絡安全裝置，所述網(wǎng)絡安全裝置由網(wǎng)絡設備實現(xiàn)，所述網(wǎng)絡設備位于可信域中，所述網(wǎng)絡安全裝置包括第一接收單元，第二接收單元，獲取單元和執(zhí)行單元；其中，
[0041]第一接收單元，用于接收另一網(wǎng)絡設備發(fā)送的同步消息，所述同步消息的凈荷中包括第一對應關(guān)系，所述第一對應關(guān)系為IP地址和第一安全組標簽的對應關(guān)系，所述另一網(wǎng)絡設備位于另一可信域中，所述可信域與所述另一可信域之間存在不支持所述第一安全組標簽的網(wǎng)絡；
[0042]第二接收單元，用于接收數(shù)據(jù)報文，所述數(shù)據(jù)報文的目的IP地址字段中的IP地址為所述第一對應關(guān)系中的IP地址；
[0043]獲取單元，用于根據(jù)所述數(shù)據(jù)報文的目的IP地址字段中的IP地址和所述第一對應關(guān)系獲取所述第一安全組標簽；
[0044]執(zhí)行單元，用于根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系。
[0045]結(jié)合第四方面，在第四方面的第一種實現(xiàn)方式中，所述數(shù)據(jù)報文包括第二安全組標簽，所述第二安全組標簽用于標識所述數(shù)據(jù)報文所屬的安全組；
[0046]所述執(zhí)行單元，具體用于根據(jù)獲取到的所述所述第二安全組標簽和第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽、所述第二安全組標簽與所述網(wǎng)絡安全策略之間的對應關(guān)系。
[0047]結(jié)合第四方面，在第四方面的第二種實現(xiàn)方式中，所述的裝置還包括分配單元，用于在所述第二接收單元接收所述數(shù)據(jù)報文后，為所述數(shù)據(jù)報文分配第二安全組標簽；
[0048]所述執(zhí)行單元，具體用于根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽、所述第二安全組標簽與所述網(wǎng)絡安全策略之間的對應關(guān)系。
[0049]第五方面提供一種網(wǎng)絡設備，所述網(wǎng)絡設備位于可信域中，所述網(wǎng)絡設備包括處理器和接口，所述處理器通過總線和所述接口連接；其中，
[0050]所述處理器，用于執(zhí)行:
[0051]所述處理器通過所述接口接收包括第一安全組標簽的第一數(shù)據(jù)報文，所述第一安全組標簽用于標識所述第一數(shù)據(jù)報文所屬的安全組；
[0052]所述處理器記錄第一對應關(guān)系，所述第一對應關(guān)系為所述第一安全組標簽和所述第一數(shù)據(jù)報文的源IP地址字段中的IP地址的對應關(guān)系；
[0053]所述處理器通過所述接口接收第二數(shù)據(jù)報文，所述第二數(shù)據(jù)報文的目的IP地址字段中的IP地址為所述第一數(shù)據(jù)報文的源IP地址字段中的IP地址；
[0054]所述處理器根據(jù)所述第二數(shù)據(jù)報文的目的IP地址字段中的IP地址和所述第一對應關(guān)系獲取所述第一安全組標簽；
[0055]所述處理器根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系。
[0056]結(jié)合第五方面，在第五方面的第一種實現(xiàn)方式中，所述第二數(shù)據(jù)報文包括第二安全組標簽，所述第二安全組標簽用于標識所述第二數(shù)據(jù)報文所屬的安全組；
[0057]所述處理器根據(jù)獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系為所述第一安全組標簽與所述網(wǎng)絡安全策略的對應關(guān)系，具體包括:
[0058]所述處理器根據(jù)所述第二安全組標簽和獲取到的所述第一安全組標簽以及預設的第二對應關(guān)系獲取網(wǎng)絡安全策略，并對所述第二數(shù)據(jù)報文執(zhí)行所述網(wǎng)絡安全策略，所述第二對應關(guān)系包括所述第一安全組標簽和所述第二安全組標簽的組合與所述網(wǎng)絡安全策略的對應關(guān)系。
[0059]結(jié)合第五方面，在第五方面的第二種實現(xiàn)方式中，所述處理器通過所述接口接收所述第二數(shù)據(jù)報文后，還為所述第二數(shù)據(jù)報文分配第二安全組標簽，所述第二安全組標簽用于標識所述第二數(shù)據(jù)報文所屬的安全組；
[0060]所述處理器根據(jù)獲取到的所述第一安全組標