用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法技术方案

公开了关于用于监测并报告数据中心的网络通信量中的威胁的系统和方法。例如，一个实施例公开了一种方法：由第一安全微服务接收封装了第一封装上下文和第一经封装数据的第一信道数据封装分组；使用第一封装上下文对第一经封装数据执行安全服务；由第一安全微服务将第二信道数据封装分组传送到第二安全微服务，其中，第二信道封装分组包括对安全服务的请求；由第一安全微服务接收来自第二安全微服务的响应，该响应包括第二安全微服务上下文、第二安全微服务时间戳和第二安全微服务负载。第一安全微服务进一步生成包括在对第一信道数据封装分组的响应中的时间戳和负载。

Channel data encapsulation system and system for use with client-server data channel

Systems and methods for monitoring and reporting threats in network traffic in data centers are disclosed. For example, an embodiment discloses a method for receiving a first encapsulated context and a first channel data encapsulation packet encapsulated with the first encapsulated data by the first secure microsoft; performing security services on the first encapsulated data using the first encapsulated context; and transmitting the second channel data encapsulation packet to the second secure Microsoft by the first secure microsoft, where the second message The channel encapsulation packet includes a request for a secure service; the response from the second secure micro service is received by the first secure micro service, which includes the second secure micro service context, the second secure micro service timestamp and the second secure micro service load. The first secure microservice further generates a timestamp and load included in the response to the first channel data encapsulation packet.

【技术实现步骤摘要】
【国外来华专利技术】用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法
本文中描述的实施例总体上涉及网络安全。具体而言，本文中描述的实施例总体上涉及用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法。
技术介绍
云计算服务的扩展已导致服务器集合提供计算容量来运行各种客户机应用。一些客户机-服务器连接使用专用网络。其他客户机-服务器连接使用虚拟专用网络以便就像这些客户机-服务器连接已由专用网络直接连接那样通过公共网络来交换数据。云计算服务的扩展已导致数据中心向主机服务器的扩展。一些被托管的服务器被容纳在多租户数据中心中，并且与其他潜在不相关的服务器共享资源。数据安全和监测网络通信量是此类数据中心中的要求。在服务器与客户机应用之间行进的数据为了安全需要被监测。在此类数据中心中、包括在多租户场景中监测数据流时要解决的一个问题是如何将数据路由至多租户安全系统中正确的服务器。冲突会在发生在具有相同IP地址和MAC地址的多个服务器之间。在此类数据中心中要解决的另一问题是如何通过安全微服务的层级结构中的正确的安全微服务来路由分组(packet)。附图说明通过阅读以下说明书和所附权利要求书，并且通过参考附图，本文中公开的实施例的各优点对于本领域技术人员将是显而易见的，在附图中：图1是图示计算机硬件的框图，该计算机硬件用于从存储器加载网络安全系统微服务，并由处理器执行这些网络安全系统微服务；图2图示根据实施例的满足使用安全微服务实现了三倍横向扩展(scaleout)要求的可缩放安全架构的实施例。图3图示根据实施例的通过横向扩展微服务来满足任意横向扩展要求；图4是图示根据实施例的安全服务的框图，该安全服务用于通过路由网络监测应用与一个或多个服务器之间的通信量；图5图示数据分组封装；图6是利用客户机-服务器数据信道来使用信道数据封装方法的过程的实施例；并且图7是图示根据实施例的应用数据在经过安全微服务的层级结构之后遍历到服务器的流程框图。具体实施方式在以下描述中，阐述了众多具体细节。然而，应当理解，可在没有这些具体细节的情况下实践本公开的实施例。在其他实例中，没有详细示出公知的电路、结构和技术，以避免使对本说明书的理解含糊。说明书中对“一个实施例”、“实施例”“示例实施例”等等的引用表示所描述的实施例可包括特定特征、结构或特性，但是，每一个实施例可不必一定包括该特定特征、结构或特性。此外，此类短语不一定是指同一实施例。进一步地，当结合实施例来描述特定特征、结构或特性时，应当认为，无论是否明确地描述，结合其他实施例来实现此类特征、结构或特性在本领域的技术人员的知识范围内。云计算和托管多个服务器的数据中心的扩展呈现了由本文中公开的实施例解决的多个挑战。例如，当应用和服务器通过公共网络通信时，它们的网际协议(IP)地址会与具有相同IP地址的其他设备冲突。同样，封装具有传输控制协议/IP(TCP/IP)头部的每个分组不如本文中所公开的封装数据信道而不是分组的实施例高效。此外，在经由TCP/IP分组传送数据的情况下，头部信息被数据中心中的第一接收方丢失，并且不存在控制数据将穿过各种安全微服务的路径的附加的上下文信息或路由信息。作为示例，当数据流跨过网络地址转换(NAT)边界时，包含标识物理接口的介质访问控制(MAC)地址的头部信息可能丢失。此外，云架构日益依赖于分布式处理，在分布式处理器中，在不同物理服务器上的进程在程序之间传送信息。当传送经处理的数据时，在该经处理的数据被发送至另一进程时，在一个进程的源数据中可用的路由信息可能丢失。作为示例，在TCP/IP重组服务监测网络通信量之后，内容扫描服务进行操作。TCP/IP重组服务的输出不再包含分组(相反，它包含由分组传输的数据流)，因此可能无法向后续的处理元件提供一些路由信息，也无法项后续处理元件提供从该路由信息导出的信息。根据本文中所公开的实施例的是利用信道数据封装以在安全服务的分布式微服务之间提供统一的通信手段的系统、方法和装置的实施例。信道数据封装允许以非限制方式进行的许多有利的用途。网络路由负载的减少、微服务的动态缩放、以及去除关于作为安全服务的组件的微服务的部署的约束。根据本文中公开的实施例，网络分组被分配给数据信道，并且被封装在信道数据封装分组中，该信道数据封装分组至少包括一个或多个网络分组、封装上下文和封装头部。信道数据封装分组可承载多于一个网络分组。信道数据封装分组包括用于标识数据信道和这些数据信道的属性并用于解决冲突的服务器地址的信息。信道数据封装分组包括路由信息和安全上下文，该路由信息和安全上下文确定应当将信道数据封装分组的数据路由至哪个(些)安全微服务。在一些实施例中，诸如加载信息和时间戳之类的附加信息被包括在信道数据封装分组中。信道数据封装分组包括用于允许(多个)数据中心安全微服务将数据路由至安全微服务的层级结构中的下一合适的安全微服务的信息。作为示例，TCP/IP微服务将至少部分地基于封装上下文来将信道数据封装分组路由至加密/解密微服务或DPI微服务。经封装的信道数据由通过处理分组而导出的分组或信息组成。在一些实施例中，相同的封装用于将分组传输至分组分析服务，且随后将经重组的数据流传输至进一步的安全服务。通过用封装上下文来封装经重组的数据，可由对经后处理的数据进行操作的服务在无需使用可用于那些服务的源分组的情况下利用从原始的源分组导出的信息。封装信道数据通过使用封装头部来实现，该封装头部由传输经封装的数据所需的路由头部信息组成。该头部可由足以标识经封装的信道数据的接收方的以太网、IP或其他头部组成。在数据中心内，将(基于IP的)主机网络与(同样基于IP的)管理程序网络封装在一起是常见的。作为示例，软件定义的联网可使用IP对IP(IP-over-IP)封装来提供虚拟机之间的连接性。将可跨使用相同信道数据封装方案处理所接收的数据并传送经处理的数据的微服务维持的封装上下文包括在内允许在无需在每个层级结构级别处维持策略状态的情况下跨安全服务的层级结构来维持与该上下文相关联的策略。封装上下文也可用于定义安全动作。微服务可定义将基于封装上下文而执行的安全操作。作为示例，即便DPI微服务不知晓原始分组，该DPI微服务也可基于封装上下文来确定需要什么程度的扫描。经封装的信道数据可标记有包括时间戳和负载度量的属性。时间戳可以涉及微服务处理的持续时间、微服务处理开始的时间或者与处理经封装的信道数据相关联的另一时域属性。负载度量可涉及处理经封装的信道数据的微服务的相对或绝对加载。通过对经封装的信道而不是包含于其中的内容进行标记，实现了路由和处理两方面的效率，同时维持了微服务之间的负载平衡所需的实施信息。图1是图示使用微服务的可缩放微服务架构的组件的实施例的框图。网络安全系统微服务被存储在存储器(例如，诸如随机存取存储器(RAM)之类的易失性存储器和/或诸如盘之类的非易失性存储器)中，并且由一个或多个硬件处理器或处理器核执行。由用于执行特定安全服务的计算机可执行指令组成的网络安全系统微服务基于跨可用的物理服务器的配置而被部署。典型地，每个微服务经由虚拟底盘106的背板接收配置和任务，并且将状态、统计和其他信息返回到该背板。微服务的共同属性是存储器与其他微服务分离以及本文档来自技高网...

【技术保护点】
1.一种方法，包括：由第一安全微服务接收第一信道数据封装分组，所述第一信道数据封装分组封装第一封装上下文和第一经封装数据；使用所述第一封装上下文对所述第一经封装数据执行安全服务；由所述第一安全微服务将第二信道数据封装分组传送到第二安全微服务，其中，所述第二信道封装分组包括对安全服务的请求；由所述第一安全微服务接收来自所述第二安全微服务的响应，所述响应包括第二安全微服务上下文、第二安全微服务时间戳和第二安全微服务负载；由所述第一安全微服务生成时间戳和负载；以及由所述第一安全微服务传送对所述第一信道数据封装分组的响应；其中，所述响应包括由所述第一安全微服务生成的所述时间戳和负载。

【技术特征摘要】
【国外来华专利技术】2016.07.29 US 15/224,3391.一种方法，包括：由第一安全微服务接收第一信道数据封装分组，所述第一信道数据封装分组封装第一封装上下文和第一经封装数据；使用所述第一封装上下文对所述第一经封装数据执行安全服务；由所述第一安全微服务将第二信道数据封装分组传送到第二安全微服务，其中，所述第二信道封装分组包括对安全服务的请求；由所述第一安全微服务接收来自所述第二安全微服务的响应，所述响应包括第二安全微服务上下文、第二安全微服务时间戳和第二安全微服务负载；由所述第一安全微服务生成时间戳和负载；以及由所述第一安全微服务传送对所述第一信道数据封装分组的响应；其中，所述响应包括由所述第一安全微服务生成的所述时间戳和负载。2.如权利要求1所述的方法，其中，所述第一信道数据封装分组用于包含封装标识符，以区分出网络环境内与所述第一数据信道封装分组相关联的数据信道。3.如权利要求2所述的方法，其中，所述第一信道数据封装分组用于包含封装头部。4.如权利要求3所述的方法，其中，所述封装头部用于定义所述第一封装上下文和第一封装服务负载在所述第一信道数据封装分组内的位置。5.如权利要求4所述的方法，其中，所述封装头部进一步用于定义时间戳，并且其中，所述第一安全微服务用于记录所述第二安全微服务时间戳和所述第二安全微服务负载。6.如权利要求3所述的方法，其中，所述第一信道数据封装分组进一步用于包括封装校验和。7.如权利要求6所述的方法，其中，所述第一安全微服务用于当计算所述封装校验和时使用所述封装标识符和所述封装头部。8.一种系统，包括：存储器；以及处理器，用于执行指令以实现第一安全微服务，所述第一安全微服务用于：接收第一信道数据封装分组，所述第一信道数据封装分组封装第一封装上下文和第一经封装数据；使用所述第一封装上下文对所述第一经封装数据执行安全服务；将第二信道数据封装分组传送到第二安全微服务，其中，所述第二信道数据封装分组包括对安全服务的请求；接收来自所述第二安全微服务的响应，所述响应包括第二安全微服务上下文、第二安全微服务时间戳和第二安全微服务负载；生成时间戳和负载；以及传送对所述第一信道数据封装分组的响应；其中，所述响应用于包括由所述第一安全微服务生成的所述时...

【专利技术属性】
技术研发人员：R·P·S·阿乎贾，M·耐德勃，
申请(专利权)人：希尔戴克斯网络股份有限公司，
类型：发明
国别省市：美国,US