GENEVE技術(shù)的起源
GENEVE 是2016-17年開源界出現(xiàn)的一種新型開源數(shù)據(jù)虛擬化封裝(隧道)協(xié)議,它設(shè)計(jì)的初衷是替代傳統(tǒng)VxLan協(xié)議,解決遲鈍的業(yè)務(wù)數(shù)據(jù)安全傳輸?shù)膯栴}。而其可變長(zhǎng)的字頭空間賦予該技術(shù)更多的用途。2020年11月,IETF(全球互聯(lián)網(wǎng)技術(shù)任務(wù)組)正式出版了詳細(xì)的白皮書(RFC:8926),標(biāo)志著該技術(shù)已經(jīng)足夠成熟。IETF的白皮書定義了GENEVE的開源架構(gòu),但是沒有給出開源代碼,是因?yàn)樵摷軜?gòu)用途非常廣泛,各廠家完全可以根據(jù)自己的需求研發(fā)自己的代碼,從而形成自有技術(shù)。眾所周知,全球絕大部分與網(wǎng)絡(luò)、互聯(lián)網(wǎng)相關(guān)的技術(shù)標(biāo)準(zhǔn),都是出自于IETF,我國(guó)工信部在確定國(guó)家網(wǎng)絡(luò)標(biāo)準(zhǔn)時(shí),也參與制定并遵循IETF標(biāo)準(zhǔn)。遵循這個(gè)標(biāo)準(zhǔn),每個(gè)廠商都可以根據(jù)自己的需求編寫一套私有協(xié)議。目前,Cisco,Ericsson,IBM, AWS,Google,VMware等公司已經(jīng)開始在實(shí)際項(xiàng)目中使用各自GENEVE技術(shù)的自有產(chǎn)品服務(wù)最終客戶。
GENEVE的技術(shù)優(yōu)勢(shì)
GENEVE 的最大特點(diǎn)是擁有靈活的可變長(zhǎng)區(qū)域,可以存放更多的元數(shù)據(jù)。那么元數(shù)據(jù)有什么作用,為什么要存放更多的元數(shù)據(jù)呢?元數(shù)據(jù)幫助IT系統(tǒng)在數(shù)字世界里識(shí)別數(shù)據(jù),理解數(shù)據(jù),利用數(shù)據(jù)。從這個(gè)角度而言,我們就不能僅僅從網(wǎng)絡(luò)角度去理解GENEVE技術(shù),而應(yīng)該從更曠闊的數(shù)據(jù)角度去認(rèn)知。這也是為什么盡管該技術(shù)是歸屬為網(wǎng)絡(luò)領(lǐng)域,而本文仍然把該技術(shù)定義為數(shù)據(jù)封裝技術(shù)。對(duì)于技術(shù)保守派而言,這可能是個(gè)糟糕的混淆,而我們希望讀者由此可以意識(shí)到,隨著數(shù)字化深入發(fā)展,IT、CT乃至OT(工業(yè)領(lǐng)域)的邊界將變得越來越模糊,越來越融合(比如工業(yè)互聯(lián)網(wǎng)是非常典型的ICOT融合型產(chǎn)物)。
討論GENEVE的技術(shù)優(yōu)勢(shì)之前,我們先花點(diǎn)時(shí)間說說什么是元數(shù)據(jù)?無論在現(xiàn)實(shí)世界,還是數(shù)字世界,屬性都是我們認(rèn)識(shí)萬物,利用萬物的基礎(chǔ),包括名稱、大小、顏色,等。而數(shù)字世界中,將核心屬性數(shù)字化,就形成了元數(shù)據(jù)。元數(shù)據(jù)作為數(shù)字化的核心屬性的集合,從各個(gè)不同的維度來描述數(shù)據(jù),比如屬性代碼與屬性信息數(shù)據(jù)(如指紋、聲紋、人臉識(shí)別等),從而使得系統(tǒng)應(yīng)用理解數(shù)據(jù)是什么,數(shù)據(jù)是否安全,以及如何利用這些數(shù)據(jù)。近年比較流行的數(shù)據(jù)湖、數(shù)據(jù)標(biāo)記同樣是利用元數(shù)據(jù)、利用數(shù)據(jù)屬性,來實(shí)現(xiàn)大數(shù)據(jù)的檢索、分析,學(xué)習(xí)和利用。
通過 GENEVE 可變長(zhǎng)字頭空間,封裝一些特殊的元數(shù)據(jù),能夠讓該技術(shù)應(yīng)用在以下場(chǎng)景中:
數(shù)據(jù)安全:通過封裝安全值等元數(shù)據(jù),以更好的防止數(shù)據(jù)篡改,保障數(shù)據(jù)安全。用戶也可以基于此構(gòu)建私有鏈,從而進(jìn)一步提升對(duì)數(shù)據(jù)的保護(hù)
身份認(rèn)證:通過封裝單一密鑰或身份認(rèn)證協(xié)議,可以讓系統(tǒng)完成一對(duì)一認(rèn)證,確保登錄安全
傳輸性能提升:該技術(shù)完全兼容現(xiàn)有的網(wǎng)絡(luò)傳輸協(xié)議,并且支持超大帶寬,確保傳輸性能
高效數(shù)據(jù)處理:通過封裝屬性元數(shù)據(jù),系統(tǒng)不需要完整解開數(shù)據(jù)包就可以對(duì)應(yīng)到某個(gè)應(yīng)用軟件,從而快速完成數(shù)據(jù)處理。
業(yè)務(wù)敏捷與靈活:由于字頭空間很大,可同時(shí)封裝多種屬性的元數(shù)據(jù)以適配不同需求,如可封裝安全與屬性元數(shù)據(jù),既能保障安全,同時(shí)確保快速數(shù)據(jù)處理
使用場(chǎng)景及海外用例
這些技術(shù)優(yōu)勢(shì)可解決更多的新業(yè)務(wù)需求。如在工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、混合云安全傳輸、生物信息采集與分析、影像信息處理,隱私處理、SASE架構(gòu)、組網(wǎng)安全與傳輸、SaaS傳輸?shù)鹊龋埠苓m應(yīng)未來元宇宙場(chǎng)景。
Cisco、VMware、IBM、Oracle、AWS、Ericsson、Google等國(guó)際大牌公司已經(jīng)將該技術(shù)運(yùn)用在自有業(yè)務(wù)場(chǎng)景中。比如Cisco、Ericsson已經(jīng)開發(fā)出相關(guān)的數(shù)據(jù)中心設(shè)備,以支持?jǐn)?shù)據(jù)中心上百上千G的大帶寬高效傳輸;而IBM、Oracle等公司則用來解決高效數(shù)據(jù)處理業(yè)務(wù);AWS、VMware、Google則用來完成高速云數(shù)據(jù)傳輸場(chǎng)景。
凌銳藍(lán)信 GENEVE 技術(shù)工作原理介紹
發(fā)送端
1、數(shù)據(jù)首先被 DTLS/ESP加密,再封裝 GENEVE 包頭
2、在 GENEVE 包頭中,可以在可變長(zhǎng)區(qū)域存儲(chǔ)元數(shù)據(jù)。(我們正在研究如何封裝哈希值,可大幅提升安全能力)
3、而后,數(shù)據(jù)會(huì)加載UDP/IP等包頭,再經(jīng)由任何網(wǎng)絡(luò)鏈路進(jìn)行傳輸
接收端
1、接收端一層層解包后,到GENEVE架構(gòu),從其可變長(zhǎng)區(qū)域中讀取出存儲(chǔ)的元數(shù)據(jù)等
2、元數(shù)據(jù),則有很多可能的用途,例如
a)備份而無需解密過程
數(shù)據(jù)備份或者歸檔的時(shí)候,數(shù)據(jù)可以經(jīng)過加密,且密鑰不需要給到接收端,即備份數(shù)據(jù)的環(huán)境。將數(shù)據(jù)的屬性信息(元數(shù)據(jù))存放到 GENEVE 的可變長(zhǎng)區(qū)域,做到接收端知道如何備份、歸檔該數(shù)據(jù)即可。接收端不需要解密數(shù)據(jù)包,也就不會(huì)知道數(shù)據(jù)內(nèi)容。基于元數(shù)據(jù),即知道數(shù)據(jù)包要如何備份、保存。接收端無需密鑰,無需解密數(shù)據(jù),按照元數(shù)據(jù)備份保存即可。例如數(shù)據(jù)庫備份的數(shù)據(jù)包發(fā)送過來,基于元數(shù)據(jù),即可以知道數(shù)據(jù)庫名、備份時(shí)間等數(shù)據(jù)庫備份的元數(shù)據(jù)。而后,直接把加密的一個(gè)個(gè)數(shù)據(jù)庫備份數(shù)據(jù)包存儲(chǔ)到對(duì)象存儲(chǔ)中。待需要恢復(fù)數(shù)據(jù)庫的時(shí)候,從對(duì)象存儲(chǔ)中讀取出相關(guān)數(shù)據(jù)庫備份的加密數(shù)據(jù)包,發(fā)回到需要恢復(fù)數(shù)據(jù)庫的目標(biāo),由恢復(fù)端再解密,并完成恢復(fù)即可
b)多部門、多單位協(xié)同
基于元數(shù)據(jù),而不需要解密數(shù)據(jù),即可知道此包中的實(shí)際數(shù)據(jù)來自哪里(哪個(gè)部門、哪個(gè)單位),也知道數(shù)據(jù)要發(fā)送給哪個(gè)目標(biāo)處理(目標(biāo)部門、目標(biāo)單位、目標(biāo)應(yīng)用);在協(xié)同中心,不需要解密所有的數(shù)據(jù)。
凌銳藍(lán)信的技術(shù)與獨(dú)特優(yōu)勢(shì)
凌銳藍(lán)信在2019年關(guān)注到這項(xiàng)新技術(shù)后,即投入研發(fā)力量跟隨并遵循IETF標(biāo)準(zhǔn),最終完成自有知識(shí)產(chǎn)權(quán),集高性能高安全能力的全新私有數(shù)據(jù)協(xié)議SecHX(SecHX全稱,Secured High Experience,即“安全高體驗(yàn)”),擁有以下優(yōu)勢(shì):
高安全性,對(duì)于UDP/TCP數(shù)據(jù)有特別的安全加密能力,而且是封裝加密
高性能傳輸,且可定制化
無縫適配現(xiàn)有任何一種網(wǎng)絡(luò)協(xié)議,直接部署不影響原有網(wǎng)絡(luò)配置
全面支持IPv4、IPv6
支持超大帶寬(千G)
云原生架構(gòu),適配所有主流云架構(gòu)(OpenStack、KVM、VMware、Hyper-V、CloudStack...Docker容器等)
適配x86、ARM架構(gòu)的硬件
適配超小型設(shè)備
適配所有傳統(tǒng)線路與信號(hào):二層專線、MPLS、Internet、3G、4G、5G
凌銳藍(lán)信科技(北京)有限公司是一家專注于以SD-WAN/SASE技術(shù)為基礎(chǔ)的數(shù)字網(wǎng)絡(luò)解決方案服務(wù)商,自2014年成立以來一直深耕技術(shù),持有專利,通過先進(jìn)的數(shù)字網(wǎng)絡(luò)技術(shù)和優(yōu)異的產(chǎn)品性能及服務(wù)為客戶數(shù)字化轉(zhuǎn)型保駕護(hù)航,實(shí)現(xiàn)降本增效。伴隨著凌銳藍(lán)信在最新一代虛擬網(wǎng)絡(luò)封裝架構(gòu)上取得的技術(shù)突破與實(shí)際落地成果,也標(biāo)志著未來我們將在更多領(lǐng)域,如工業(yè)互聯(lián)網(wǎng)、云網(wǎng)融合、SASE架構(gòu)等場(chǎng)景中擁有更多的施展空間!
京公網(wǎng)安備 11010502049343號(hào)