本公开涉及网络设备、用于计算机网络的方法和客户端设备。示例网络设备包括一个或多个处理器和耦接到该一个或多个处理器的存储器。存储器存储指令,这些指令在执行时使一个或多个处理器:从源客户端设备接收数据包,该数据包包括用于将数据包路由到在报头内指定的目的地客户端设备的报头和不同于报头的元数据,元数据,其指定公钥基础设施(PKI)信息和识别参与源客户端设备和目的地客户端设备之间的会话的用户或设备的身份上下文信息;基于元数据中的PKI信息验证元数据;响应于验证元数据,基于身份上下文信息,为与数据包相关联的会话应用一个或多个策略规则。应用一个或多个策略规则。应用一个或多个策略规则。
【技术实现步骤摘要】
网络设备、用于计算机网络的方法和客户端设备
[0001]相关申请的交叉引用
[0002]本申请要求于2022年2月1日提交的美国专利申请第17/649,629号的权益,其全部内容通过引用并入本文。
[0003]本公开整体涉及计算机网络,并且更具体地,涉及在计算机网络内路由数据包。
技术介绍
[0004]计算机网络是可以交换数据和共享资源的互连计算设备的集合。示例计算设备包括路由器、交换机以及在开放系统互连(OSI)参考模型的第2层(即数据链路层)内运行的其他第2层(L2)网络设备、在OSI参考模型第3层(即网络层内)运行的第3层(L3)网络设备,以及在OSI参考模型第4层(即传输层)内运行的第4层(L4)网络设备。计算机网络内的网络设备通常包括为网络设备提供控制平面功能的控制单元和用于路由或交换数据单元的转发组件。
[0005]计算设备可以建立“网络会话”(本文也称为“会话”)以实现计算机网络上的设备之间的通信。会话可以是双向的,因为会话包括在第一设备和第二设备之间双向传播的数据包。例如,会话包括源自第一设备并以第二设备为目的地的前向数据包流和源自第二设备并以第一设备为目的地的反向数据包流。会话的前向和反向数据包流相互关联,因为前向数据包流的源地址和源端口与反向数据包流的目的地址和目的端口相同,前向数据包流的目的地址和目的端口与反向数据包流的源地址和源端口相同。
[0006]或者,会话可以是单向的,因为会话包括仅在一个方向上从第一设备传播到第二设备的数据包。例如,会话包括源自第一设备并以第二设备为目的地的转发数据包流。不同的会话可以包括源自第二设备并以第一设备为目的地的反向数据包流。
[0007]为了建立会话,计算设备可以使用一种或多种通信会话协议,包括传输控制协议(TCP)、传输层安全协议(TLS)、用户数据报协议(UDP)、互联网控制消息协议(ICMP)、封装安全有效载荷(ESP)等。
技术实现思路
[0008]通常,描述了用于提供基于公钥基础设施(PKI)的会话认证的技术。例如,源设备(例如,客户端设备)可以与目的地设备(例如,托管应用程序或服务的服务器)建立会话。为了确保源设备和目的地设备之间数据的安全传输,设备可以使用PKI来加密和签名数据。例如,终端用户或设备被颁发数字证书(在此简称为“证书”)以用于识别和授权。证书用于分发公钥并确保公钥由经过身份验证的用户或与证书关联的设备拥有。源设备可以使用私钥对数据进行“签名”(例如,加密)(称为“数字签名”或简称为“签名”),并将带有公钥的数据发送到目的地设备。目的地设备可以使用公钥和签名来加密地验证数据实际上是由源设备生成的。
[0009]根据本专利技术中描述的技术,源客户端设备向被配置为执行基于会话的路由的路由器发送包括关于用户的信息和/或机器特定信息(本文称为“身份上下文信息”)以及PKI信息的数据包作为数据包的元数据。身份上下文信息可以包括源应用程序、用户、安全标识符、域或识别会话的用户和/或设备的其他信息。PKI信息可以包括公钥。在一些示例中,源客户端设备可以使用私钥(也称为“签名”)对元数据进行签名。响应于接收到包括指定身份上下文信息和PKI信息的元数据的数据包,路由器检查数据包的元数据并基于元数据中的PKI信息加密地验证元数据。如果通过验证,路由器将根据元数据指定的身份上下文信息,为与数据包关联的会话应用一个或多个策略规则(例如,允许或拒绝访问服务)。
[0010]在一些示例中,源客户端设备可以接收由路由器生成的对称加密密钥并且可以使用对称加密密钥来进一步加密数据包的元数据(或包括元数据的有效载荷)。例如,源客户端设备可以利用路由器初始化传输层安全(TLS)会话,并且响应于证书的验证,路由器生成对称加密密钥并将对称加密密钥发送到源客户端设备。源客户端设备使用对称加密密钥加密元数据或包括元数据的数据包的有效载荷并将数据包发送到路由器,路由器使用对称加密密钥解密元数据或包括数据包的元数据的有效载荷以恢复元数据,验证元数据,如果验证通过,则根据身份上下文信息,为与数据包关联的会话应用策略。在一些示例中,路由器使用对称加密密钥来加密向源客户端设备发送的数据包(例如,响应数据包)的有效载荷。
[0011]本专利技术的技术可以对具有实际应用的计算机网络的计算机相关领域提供具体改进。例如,在数据包的元数据内添加PKI信息可以为数据包的元数据中包含的身份上下文信息提供额外级别的加密验证。也就是说,由于路由器能够验证客户端设备能够使用私钥(难以伪造)对元数据进行签名,因此网络设备可以确保元数据中包含的身份上下文信息属于发该送信息的用户或设备。此外,在数据包的元数据中包含身份上下文信息和PKI信息提供了一种带内解决方案,使得网络内的路由器无需查询网络外的设备(例如,通过应用程序编程接口(API))做出有关安全访问的决定或获取允许设备做出访问决定所需的数据,这些数据在某些网络中可能不可用,例如不允许外部访问或在连接性较差的环境中运行的政府网络(例如,中断、断开连接、间歇性和低带宽(DDIL)环境)。
[0012]在一个示例中,本专利技术描述了一种网络设备,包括一个或多个处理器和耦接到该一个或多个处理器的存储器,该存储器存储指令,这些指令在执行时使一个或多个处理器:从源客户端设备接收数据包,该数据包包括用于将数据包路由到由报头指定的目的地客户端设备的报头和与报头不同的元数据,元数据指定公钥基础设施(PKI)信息和识别参与所述源客户端设备和所述目的地客户端设备之间的会话的用户或设备的身份上下文信息;基于元数据指定的PKI信息,对元数据进行验证;响应于验证元数据,基于身份上下文信息,为与数据包相关联的会话应用一个或多个策略规则。
[0013]在另一个示例中,本专利技术描述了一种方法,包括:由网络设备从源客户端设备接收数据包,该数据包包括用于将该数据包路由到由报头指定的目的地客户端设备的报头和与报头不同的元数据,元数据指定公钥基础设施(PKI)信息和识别参与源客户端设备和目的地客户端设备之间的会话的用户或设备的身份上下文信息;网络设备根据元数据指定的PKI信息验证元数据;响应于验证元数据,由网络设备基于身份上下文信息应用一个或多个用于与数据包关联的会话的策略规则。
[0014]在另一示例中,本专利技术描述了一种客户端设备,包括一个或多个处理器和耦接到
该一个或多个处理器的存储器,该存储器存储指令,这些指令在执行时使一个或多个处理器:获得识别参与源客户端设备和目的地客户端设备之间的会话的用户或设备的身份上下文信息;从客户端数字证书中获取公钥基础设施(PKI)信息;向网络设备发送用于该会话的数据包,该数据包包括用于将数据包路由到在报头内指定的目的地客户端设备的报头和与报头不同的元数据,该元数据指定身份上下文信息和PKI信息。
[0015]本专利技术的技术的一个或多个示例的细节在附图和下面的描述中阐述。这些技术的其他特征、目的和优点将从描述和附图以及权利要求变得中显而易见。
附图说明
[0016]图1是示出本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络设备,包括:一个或多个处理器;以及存储器,耦接到所述一个或多个处理器,所述存储器存储指令,所述指令在执行时使所述一个或多个处理器:从源客户端设备接收数据包,所述数据包包括报头和与所述报头不同的元数据,所述报头用于将所述数据包路由到由所述报头指定的目的地客户端设备,所述元数据指定公钥基础设施PKI信息以及识别参与所述源客户端设备和所述目的地客户端设备之间的会话的用户或设备的身份上下文信息;以及基于所述元数据指定的所述PKI信息,验证所述元数据;以及作为对验证所述元数据的响应,基于所述身份上下文信息,为与所述数据包关联的所述会话应用一个或多个策略规则。2.根据权利要求1所述的网络设备,其中所述PKI信息包括公钥,并且其中,为了验证所述元数据,所述指令进一步使所述一个或多个处理器使用所述公钥验证所述元数据的签名,其中,所述元数据的所述签名由所述源客户端设备使用私钥签名。3.根据权利要求1所述的网络设备,其中,所述PKI信息由所述源客户端设备从用户或所述源客户端设备的数字证书中获取。4.根据权利要求1所述的网络设备,其中,所述身份上下文信息包括源应用程序、用户、安全标识符、域和包括静态系统信息或可变系统信息的系统信息中的一项或多项。5.根据权利要求1
‑
3中任一项所述的网络设备,其中,所述指令进一步使所述一个或多个处理器:生成用于进一步加密和解密所述元数据的对称加密密钥;将所述对称加密密钥发送到所述源客户端设备;以及响应于接收包括所述元数据的所述数据包,使用所述对称加密密钥对接收到的所述数据包中包括的所述元数据进行解密,其中,所述源客户端设备使用所述对称加密密钥对接收到的所述数据包中包括的所述元数据进行加密。6.根据权利要求5所述的网络设备,其中,所述指令进一步使所述一个或多个处理器:生成与所述对称加密密钥关联的对称加密密钥标识符;将所述对称加密密钥标识符发送给所述源客户端设备;以及响应于接收所述数据包,根据所述数据包中包含的所述对称加密密钥标识符,确定用于解密所述元数据的所述对称加密密钥。7.根据权利要求6所述的网络设备,其中,所述指令进一步使所述一个或多个处理器:生成存储将所述对称加密密钥标识符映射到所述对称加密密钥的条目的表,其中,所述表包括数字证书中识别的用户或设备的通用名称、颁发所述数字证书的证书颁发机构以及所述数字证书中识别的所述用户或设备的一个或多个策略规则。8.根据权利要求5所述的网络设备,其中,所述指令进一步使所述一个或多个处理器:向所述源客户端设备发送间隔以生成新的对称加密密钥。9.根据权利要求1
‑
3中任一项所述的网络设备,其中,所述指令进一步使所述一个或多个处理器:
生成用于加密和解密所述数据包的有效载荷的对称加密密钥,所述有效载荷包括所述元数据;将所述对称加密密钥发送到所述源客户端设备;以及响应于接收所述数据包,使用所述对称加密密钥解密接收到的所述数据包的所述有效载荷,其中,接收到的所述数据包的所述有效载荷由所述源客户端设备使用所述对称加密密钥加密。10.一种用于计算机网络的方法,所述方法包括:由网络设备从源客户端设备接收数据包,所述数据包括报头和不同于所述报头的元数据,所述报头包括用于将所述数据包路由到由所述报头指定的目的地客户端设备,所述元数据指定公钥基础设施PKI信息以及识别参与所述源客户端设备和所述目的地客户端设备之间的会话的用户或设备的身份上下文信息;所述网络设备根据所述元数据指定的所述PKI信息验证所述元数据;并且响应于验证所述元数据,由所述网络设备基于所述身份上下文信息为与所述数据包关联的所述会话应用...
【专利技术属性】
技术研发人员:罗伯特,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。