[发明专利]网络安全方法和设备

说明书

本发明实施例提供一种网络安全方法和设备。该方法包括：网络设备接收包括第一安全组标签（SGT）的第一数据报文，第一SGT用于标识第一数据报文所属的安全组；记录第一对应关系，第一对应关系为第一SGT和第一数据报文的源IP地址的对应关系；接收第二数据报文，第二数据报文的目的IP地址为第一数据报文的源IP地址；根据第二数据报文的目的IP地址和第一对应关系获取第一SGT；根据获取到的第一SGT以及预设的第二对应关系获取并对第二数据报文执行网络安全策略，第二对应关系为第一SGT与网络安全策略的对应关系。

技术领域

本发明涉及网络通信领域，尤其涉及一种网络安全方法和设备。

背景技术

信任网络安全架构通过建立可信（英文：trusted）网络设备的域来建造安全网络，该域称为可信域。该可信域中的各个设备被其同辈（英文：peer）认证。该可信域中设备间链路上的通信由加密，消息完整性检查和数据路径应答保护机制的组合保证。信任网络安全架构用认证中获取的设备和用户凭据将进入网络的报文分类为安全组（英文：securitygroup，缩写：SG）。入口给报文打标签来给报文分类，以使报文能被随路识别，并被应用与标签相对应的网络安全策略。该标签，被称作安全组标签（英文：security group tag，缩写：SGT），允许网络基于该SGT来执行网络安全策略。

通常的信任网络安全架构要在可信域内和可信域间传播（英文：propagate）SGT信息，然而传播SGT信息需要消耗网络资源并增加网络复杂度。

发明内容

本发明实施例提供一种网络安全方法和设备，以解决信任网络安全架构中网络资源消耗大的问题。

第一方面提供一种网络安全方法，包括：

网络设备接收包括第一安全组标签的第一数据报文，所述第一安全组标签用于标识所述第一数据报文所属的安全组，所述网络设备位于可信域中；

所述网络设备记录第一对应关系，所述第一对应关系为所述第一安全组标签和所述第一数据报文的源网际协议（英文：Internet Protocol，缩写：IP）地址字段中的IP地址的对应关系；

所述网络设备接收第二数据报文，所述第二数据报文的目的IP地址字段中的IP地址为所述第一数据报文的源IP地址字段中的IP地址；

所述网络设备根据所述第二数据报文的目的IP地址字段中的IP地址和所述第一对应关系获取所述第一安全组标签；

所述网络设备根据获取到的所述第一安全组标签以及预设的第二对应关系获取网络安全策略，并对所述第二数据报文执行所述网络安全策略，所述第二对应关系为所述第一安全组标签与所述网络安全策略的对应关系。

结合第一方面，在第一方面的第一种实现方式中，所述第二数据报文包括第二安全组标签，所述第二安全组标签用于标识所述第二数据报文所属的安全组；

所述网络设备根据获取到的所述第一安全组标签以及预设的第二对应关系获取网络安全策略，并对所述第二数据报文执行所述网络安全策略，所述第二对应关系为所述第一安全组标签与所述网络安全策略的对应关系，具体包括：

所述网络设备根据所述第二安全组标签和获取到的所述第一安全组标签以及预设的第二对应关系获取网络安全策略，并对所述第二数据报文执行所述网络安全策略，所述第二对应关系包括所述第一安全组标签、所述第二安全组标签与所述网络安全策略之间的对应关系。

结合第一方面，在第一方面的第二种实现方式中，所述网络设备接收所述第二数据报文后，所述的方法还包括所述网络设备为所述第二数据报文分配第二安全组标签，所述第二安全组标签用于标识所述第二数据报文所属的安全组；