�。在該網絡設備收到過和該數(shù)據報文的接收方相關的同步消息的情況下,該數(shù)據報文的接收方的IP地址為該同步消息中的對應關系中的IP地址。也就是說����,該網絡設備記錄的第一對應關系集合中的一個對應關系,即上述第一對應關系中的IP地址與該數(shù)據報文的目的IP地址字段中的IP地址相同�。
[0108]如果網絡設備接收的數(shù)據報文缺少SGT,并且該數(shù)據報文的源IP地址字段中的IP地址為該第一對應關系中的IP地址��,則該網絡設備根據其源IP地址和該第一對應關系為該數(shù)據報文添加第一對應關系中的第一 SGT�。
[0109]206、該網絡設備根據該數(shù)據報文的目的IP地址字段中的IP地址和該第一對應關系獲取該第一安全組標簽��。
[0110]該網絡設備接收到數(shù)據報文后�,確定該數(shù)據報文的目的IP地址字段中的IP地址是否在該網絡設備記錄的第一對應關系集合中的某個對應關系中,并進一步根據該對應關系確定和該數(shù)據報文的目的IP地址對應的SGT��。網絡安全策略不僅可以和數(shù)據報文的發(fā)送方的安全組有關����,還可以和數(shù)據報文的接收方的安全組有關,根據網絡設備記錄的第一對應關系集合確定數(shù)據報文的目的IP地址相關的SGT可以實現(xiàn)基于數(shù)據報文的接收方來執(zhí)行網絡安全策略��。具體到目的IP地址字段中的IP地址為第一對應關系中的IP地址的數(shù)據報文��,該網絡設備接收該數(shù)據報文后�,根據該數(shù)據報文的目的IP地址找到第一對應關系,第一對應關系中的第一 SGT即為第二數(shù)據報文的接收方對應的SGT。
[0111]208���、該網絡設備根據獲取到的該第一安全組標簽以及預設的第二對應關系獲取網絡安全策略����,并對該數(shù)據報文執(zhí)行該網絡安全策略��,該第二對應關系為該第一安全組標簽與該網絡安全策略的對應關系���。
[0112]該網絡設備上有預設的第二對應關系集合。第二對應關系集合中包括多個對應關系�,其中至少一個對應關系包括基于數(shù)據報文的接收方的SGT來執(zhí)行的網絡安全策略。該網絡設備根據該數(shù)據報文的接收方對應的SGT�,也就是第一 SGT,得到第二對應關系集合中的一個對應關系�,該對應關系被稱作第二對應關系。該第二對應關系包括基于數(shù)據報文的接收方的SGT�����,即第一 SGT來執(zhí)行的網絡安全策略�����。該網絡設備獲取和該第一 SGT對應的網絡安全策略。之后該網絡設備就可以根據和第一 SGT對應的網絡安全策略對該數(shù)據報文執(zhí)行該網絡安全策略�。
[0113]網絡安全策略可以和數(shù)據報文的發(fā)送方的安全組有關,可以和數(shù)據報文的接收方的安全組有關�����,還可以和數(shù)據報文的發(fā)送方的安全組與接收方的安全組的組合有關����。在后一種情況下,第二對應關系集合中至少一個對應關系包括基于數(shù)據報文的接收方的SGT和數(shù)據報文的發(fā)送方的SGT的組合來執(zhí)行的網絡安全策略���,即該至少一個對應關系中的網絡安全策略和兩個SGT的組合對應�����。
[0114]如果該網絡設備接收到的是可信域中的數(shù)據報文�,即該數(shù)據報文中有該數(shù)據報文的SGT�����,即第二 SGT�,則該網絡設備根據獲取到的該第一 SGT和該第二 SGT以及第二對應關系集合中包括第一 SGT和第二 SGT的對應關系,即第二對應關系�,獲取第二對應關系中的與第一 SGT和第二 SGT的組合對應的網絡安全策略�����,并對該數(shù)據報文執(zhí)行該網絡安全策略��。該第二 SGT用于標識該數(shù)據報文所屬的安全組�����。
[0115]如果該網絡設備接收到的該數(shù)據報文中沒有該數(shù)據報文的SGT,該網絡設備為該數(shù)據報文分配第二 SGT�。該第二 SGT用于標識該數(shù)據報文所屬的安全組。一般地�,在該網絡設備是可信域邊緣的網絡設備的情況下,該數(shù)據報文剛進入該可信域��,還沒有可信域中的其他網絡設備為該數(shù)據報文分配過SGT����,該網絡設備作為該可信域的入口根據認證中獲取的設備和用戶憑據為該數(shù)據報文分配第二 SGT。該網絡設備將為該數(shù)據報文分配的第二SGT添加到該數(shù)據報文中����。該網絡設備根據獲取到的該第一 SGT和為該數(shù)據報文分配的第二 SGT以及第二對應關系集合中包括第一 SGT和第二 SGT的對應關系,即第二對應關系��,獲取第二對應關系中的與第一 SGT和第二 SGT的組合對應的網絡安全策略,并對該數(shù)據報文執(zhí)行該網絡安全策略系���。
[0116]本實施例中的網絡設備記錄IP地址和SGT間的對應關系����,根據其記錄的IP地址和SGT間的對應關系���,針對數(shù)據報文的接收方執(zhí)行網絡安全策略���,不需要專門向其傳播接收方的SGT信息,減小了網絡資源消耗并降低了網絡復雜度���。
[0117]以下結合圖3說明本發(fā)明又一個實施例:
[0118]圖3為本發(fā)明又一個實施例中網絡安全裝置框圖���。該網絡安全裝置由信任網絡安全架構中的一個網絡設備實現(xiàn)。該網絡安全裝置包括第一接收單元302�����,記錄單元304�,第二接收單元306,獲取單元308和執(zhí)行單元310 ;其中���,
[0119]第一接收單元302�����,用于接收包括第一安全組標簽的第一數(shù)據報文�;
[0120]實現(xiàn)該網絡安全裝置的網絡設備是信任網絡安全架構中的一個網絡設備。該網絡設備處于一個可信域中�����。以下將該可信域中的任意兩個網絡設備之間發(fā)送和接收的數(shù)據報文成為該可信域中的數(shù)據報文�。該可信域中的數(shù)據報文都包括SGT?�?尚庞蛑械臄?shù)據報文中的SGT可以在數(shù)據報文的數(shù)據鏈路層頭或者網絡層頭中�。例如��,SGT可以位于數(shù)據報文的以太網幀的頭�����,即以太網頭中����;SGT也可以位于數(shù)據報文的IP報文的頭���,S卩IP頭中。第一數(shù)據報文中的第一 SGT用于標識該第一數(shù)據報文所屬的安全組���,該安全組可稱為第一安全組��。
[0121]記錄單元304�����,用于記錄第一對應關系�,該第一對應關系為該第一數(shù)據報文的源IP地址字段中的IP地址和該第一安全組標簽的對應關系�����。
[0122]第一接收單元302接收到可信域中的數(shù)據報文后����,記錄單元304記錄該數(shù)據報文的IP頭中的源IP地址字段中的IP地址和數(shù)據報文的SGT間的對應關系。在第一接收單元302接收到多個數(shù)據報文后�����,記錄單元304根據多個數(shù)據報文記錄的多條對應關系構成第一對應關系集合�,該第一對應關系集合中包括IP地址和SGT間的多個對應關系���。具體到第一數(shù)據報文,記錄單元304記錄第一對應關系��,該第一對應關系為第一 SGT和第一數(shù)據報文的源IP地址字段中的IP地址的對應關系��。
[0123]第二接收單元306�����,用于接收第二數(shù)據報文��,該第二數(shù)據報文的目的IP地址字段中的IP地址為該第一數(shù)據報文的源IP地址字段中的IP地址�。
[0124]第二接收單元306接收可信域中的數(shù)據報文,或者在該網絡設備是可信域邊緣的網絡設備的情況下�����,第二接收單元306接收剛進入該可信域的數(shù)據報文��。具體到應當由第一數(shù)據報文的發(fā)送方來接收的第二數(shù)據報文���,由于第二數(shù)據報文的目的IP地址字段中的IP地址是該第二數(shù)據報文的接收方,也就是第一數(shù)據報文的發(fā)送方的IP地址����,該第二數(shù)據報文的目的IP地址和第一數(shù)據報文的源IP地址相同���。
[0125]獲取單元308,用于根據該第二數(shù)據報文的目的IP地址字段中的IP地址和該第一對應關系獲取該第一安全組標簽�;
[0126]第二接收單元306接收到數(shù)據報文后,獲取單元308確定該數(shù)據報文的目的IP地址字段中的IP地址是否在記錄單元304記錄的第一對應關系集合中的某個對應關系中�����,并進一步根據該對應關系確定和該數(shù)據報文的目的IP地址對應的SGT���。網絡安全策略不僅可以和數(shù)據報文的發(fā)送方的安全組有關�,還可以和數(shù)據報文的接收方的安全組有關�,根據網絡設備記錄的第一對應關系集合確定數(shù)據報文的目的IP地址相關的SGT可以實現(xiàn)基于數(shù)據報文的接收方來執(zhí)行網絡安全策略。根據記錄單元304記錄的第一對應關系集合確定數(shù)據報文的接收方的SGT�����,可以避免使用專用協(xié)議傳播SGT���。具體到第二數(shù)據報文��,第二接收單元306接收第二數(shù)據報文后����,獲取單元308根據該第二數(shù)據報文的目的IP地址找到第一對應關系,第一對應關系中的第一 SGT即為第二數(shù)據報文的接收方����,也就是第一數(shù)據報文的發(fā)送方,對應的SGT�����。
[0127]執(zhí)行單元310����,用于根據獲取到的該第一安全組標簽以及預設的第二對應關系獲取網絡安全策略,并對該第二數(shù)據報文執(zhí)行該網絡安全策略�����,該第二對應關系為該第一安全組標簽與該網絡安全策略的對應關系����。
[0128]該網絡設備上有預設的第二對應關系集合�。第二對應關系集合中包括多個對應關系,其中至少一個對應關系包括基于數(shù)據報文的接收方的SGT來執(zhí)行的網絡安全策略。執(zhí)行單元310根據第二數(shù)據報文的接收方對應的SGT��,也就是第一 SGT�����,得到第二對應關系集合中的一個對應關系���,該對應關系被稱作第二對應關系���。該第二對應關系包括基于數(shù)據報文的接收方的SGT,即第一 SGT來執(zhí)行的網絡安全策略�����。執(zhí)行單元310獲取和該第一 SGT對應的網絡安全策略�����。之后執(zhí)行單元310就可以根據和第一 SGT對應的網絡安全策略對該第二數(shù)據報文執(zhí)行該網絡安全策略����。
[0129]網絡安全策略可以和數(shù)據報文的發(fā)送方的安全組有關,可以和數(shù)據報文的接收方的安全組有關�,還可以和數(shù)據報文的發(fā)送方的安全組與接收方的安全組的組合有關。在后一種情況下,第二對應關系集合中至少一個對應關系包括基于數(shù)據報文的接收方的SGT和數(shù)據報文的發(fā)送方的SGT的組合來執(zhí)行的網絡安全策略�����,即該至少一個對應關系中的網絡安全策略和兩個SGT的組合對應�。
[0130]如果第二接收單元306接收到的是可信域中的數(shù)據報文,即第二數(shù)據報文中有該第二數(shù)據報文的SGT�,即第二 SGT,則執(zhí)行單元310根據獲取單元308獲取到的該第一 SGT和該第二 SGT以及第二對應關系集合中包括第一 SGT和第二 SGT的對應關系�,即第二對應關系,獲取第二對應關系中的與第一 SGT和第二 SGT的組合對應的網絡安全策略���,并執(zhí)行該網絡安全策略����。
[0131]如果第二接收單元306接收到的第二數(shù)據報文中沒有該第二數(shù)據報文的SGT�,網絡安全裝置還包括分配單元,用于為該第二數(shù)據報文分配第二 SGT��。一般地��,在該網絡設備是可信域邊緣的網絡設備的情況下�����,第二數(shù)據報文剛進入該可信域,還沒有可信域中的其他網絡設備為該第二數(shù)據報文分配過SGT���,實現(xiàn)該網絡安全裝置的網絡設備作為該可信域的入口,由該網絡安全裝置的分配單元根據認證中獲取的設備和用戶憑據為該第二數(shù)據報文分配第二 SGT�����。該分配單元將為該第二數(shù)據報文分配的第二 SGT添加到該第二數(shù)據報文中�����。該行單元310根據獲取單元308獲取到的該第一 SGT和為該第二數(shù)據報文分配的第二SGT以及第二對應關系集合中包括第一 SGT和第二 SGT的對應關系����,即第二對應關系,獲取第二對應關系中的與第一 SGT和第二 SGT的組合對應的網絡安全策略�����,并對第二數(shù)據報文執(zhí)行該網絡安全策略系��。該第二 SGT用于標識該第二數(shù)據報文所屬的安全組��。
[0132]兩個或更多可信域之間可能存在不支持信任網絡安全架構的網絡����,即不支持SGT的網絡���。該第二 SGT用于標識該第二數(shù)據報文所屬的安全組。在實現(xiàn)上述網絡安全裝置的網絡設備是其中一個可信域的邊緣的情況下�����,如果該網絡設備是一個數(shù)據報文的出口�,則該網絡設備可以將其記錄的IP地址和SGT間的對應關系傳播到與其所在可信域之間存在不支持信任網絡安全架構的網絡的其他可信域。例如�����,該網絡安全裝置包括發(fā)送單元���,該發(fā)送單元用于經過不支持該第一 SGT的網絡向一個或多個其他網絡設備發(fā)送同步消息��,該同步消息的凈荷中包括該第一對應關系���。一般的,如果該同步消息是數(shù)據鏈路層幀����,即該同步消息不包括網絡層頭�,同步消息的凈荷是數(shù)據鏈路層凈荷��,如果該同步消息是網絡層報文�����,同步消息的凈荷是網絡層凈荷��。接收該同步消息的網絡安全裝置的對該同步消息的處理請參見圖4所示的實施例����。
[0133]可信域內的多個網絡設備間也可以在執(zhí)行本發(fā)明實施例的步驟前����,啟動能力協(xié)商流程,以確定可信域內的各個網絡設備是否支持本發(fā)明實施例的通過數(shù)據報文獲取第一對應關系集合的功能��。在該可信域內存在不支持本發(fā)明實施例的通過數(shù)據報文獲取第一對應關系集合的功能的情況下���,支持本發(fā)明實施例的網絡設備實現(xiàn)的網絡安全裝置的發(fā)送單元向不支持本發(fā)明實施例的網絡設備發(fā)送同步消息����,以傳播其記錄的IP地址和SGT間的對應關系���。
[0134]本實施例中的網絡安全裝置記錄接收的數(shù)據報文中的IP地址和SGT間的對應關系�����,不需要其他網絡設備使用專用協(xié)議向其傳播SGT信息����,減小了網絡資源消耗并降低了網絡復雜度。此外�����,該網絡安全裝置根據其記錄的IP地址和SGT間的對應關系��,針對數(shù)據報文的接收方執(zhí)行網絡安全策略����,不需要專門向其傳播接收方的SGT信息,減小了網絡資源消耗并降低了網絡復雜度���。
[0135]以下結合圖4說明本發(fā)明另一個實施例:
[0136]圖4為本發(fā)明另一個實施例中網絡安全裝置框圖�。該網絡安全裝置由信任網絡安全架構中的一個網絡設備實現(xiàn)���。該網絡安全裝置包括第一接收單元402����,第二接收單元404,獲取單元406和執(zhí)行單元408 ;其中����,
[0137]第一接收單元402,用于接收同步消息�����,該同步消息的凈荷中包括第一對應關系���,該第一對應關系為IP地址和第一安全組標簽的對應關系。
[0138]實現(xiàn)該網絡安全裝置的網絡設備是信任網絡安全架構中的一個網絡設備�。該網絡設備處于一個可信域中。以下將該可信域中的任意兩個網絡設備之間發(fā)送和接收的數(shù)據報文成為該可信域中的數(shù)據報文��。該可信域中的數(shù)據報文都包括SGT����。可信域中的數(shù)據報文中的SGT可以在數(shù)據報文的數(shù)據鏈路層頭或者網絡層頭中��。例如����,SGT可以位于數(shù)據報文的以太網幀的頭��,即以太網頭中���;SGT也可以位于數(shù)據報文的網際協(xié)議報文的頭,即IP頭中��。該可信域中的數(shù)據報文中的SGT用于標識該數(shù)據報文所屬的安全組��。
[0139]兩個或更多可信域之間可能存在不支持信任網絡安全架構的網絡��,即不支持SGT的網絡����。其中一個可信域的邊緣的網絡設備是一個數(shù)據報文的出口,則該可信域的邊緣的網絡設備經過不支持SGT的網絡向另一個可信域中的網絡設備����,即實現(xiàn)該網絡安全裝置的網絡設備,發(fā)送同步消息��,該同步消息的凈荷中包括第一對應關系�。發(fā)送該同步消息的網絡設備所實現(xiàn)的網絡安全裝置生成該同步消息的處理請參見圖3所示的實施例。
[0140]第一接收單元402接收到該同步消息后,記錄該同步消息中的IP地址和SGT