日前，在国际前沿技术GENEVE(标准IETF RFC8926）上，凌锐蓝信取得了新的进展与突破，已在IANA与思科、IBM/Oracle、爱立信等国际知名大牌企业同列，获授权私有地址段(0x0136)（https://www.iana.org/assignments/nvo3/nvo3.xhtml#geneve-option-class）。目前在全球范围内，涉及到这个地址段有且仅有凌锐蓝信标准。凌锐蓝信也是该前沿技术在国内知名一家取得实际落地进展的公司。

　　GENEVE技术的起源

　　GENEVE 是2016-17年开源界出现的一种新型开源数据虚拟化封装（隧道）协议，它设计的初衷是替代传统VxLan协议，解决迟钝的业务数据安全传输的问题。而其可变长的字头空间赋予该技术更多的用途。2020年11月，IETF（全球互联网技术任务组）正式出版了详细的白皮书（RFC：8926），标志着该技术已经足够成熟。IETF的白皮书定义了GENEVE的开源架构，但是没有给出开源代码，是因为该架构用途非常广泛，各厂家完全可以根据自己的需求研发自己的代码，从而形成自有技术。众所周知，全球绝大部分与网络、互联网相关的技术标准，都是出自于IETF，我国工信部在确定国家网络标准时，也参与制定并遵循IETF标准。遵循这个标准，每个厂商都可以根据自己的需求编写一套私有协议。目前，Cisco，Ericsson，IBM， AWS，Google，VMware等公司已经开始在实际项目中使用各自GENEVE技术的自有产品服务最终客户。

　　GENEVE的技术优势

　　GENEVE 的最大特点是拥有灵活的可变长区域，可以存放更多的元数据。那么元数据有什么作用，为什么要存放更多的元数据呢？元数据帮助IT系统在数字世界里识别数据，理解数据，利用数据。从这个角度而言，我们就不能仅仅从网络角度去理解GENEVE技术，而应该从更旷阔的数据角度去认知。这也是为什么尽管该技术是归属为网络领域，而本文仍然把该技术定义为数据封装技术。对于技术保守派而言，这可能是个糟糕的混淆，而我们希望读者由此可以意识到，随着数字化深入发展，IT、CT乃至OT（工业领域）的边界将变得越来越模糊，越来越融合（比如工业互联网是非常典型的ICOT融合型产物）。

　　讨论GENEVE的技术优势之前，我们先花点时间说说什么是元数据？无论在现实世界，还是数字世界，属性都是我们认识万物，利用万物的基础，包括名称、大小、颜色，等。而数字世界中，将核心属性数字化，就形成了元数据。元数据作为数字化的核心属性的集合，从各个不同的维度来描述数据，比如属性代码与属性信息数据（如指纹、声纹、人脸识别等），从而使得系统应用理解数据是什么，数据是否安全，以及如何利用这些数据。近年比较流行的数据湖、数据标记同样是利用元数据、利用数据属性，来实现大数据的检索、分析，学习和利用。

　　通过 GENEVE 可变长字头空间，封装一些特殊的元数据，能够让该技术应用在以下场景中：

　　数据安全：通过封装安全值等元数据，以更好的防止数据篡改，保障数据安全。用户也可以基于此构建私有链，从而进一步提升对数据的保护

　　身份认证：通过封装单一密钥或身份认证协议，可以让系统完成一对一认证，确保登录安全

　　传输性能提升：该技术完全兼容现有的网络传输协议，并且支持超大带宽，确保传输性能

　　高效数据处理：通过封装属性元数据，系统不需要完整解开数据包就可以对应到某个应用软件，从而快速完成数据处理。

　　业务敏捷与灵活：由于字头空间很大，可同时封装多种属性的元数据以适配不同需求，如可封装安全与属性元数据，既能保障安全，同时确保快速数据处理

　　使用场景及海外用例

　　这些技术优势可解决更多的新业务需求。如在工业互联网安全、车联网安全、物联网安全、混合云安全传输、生物信息采集与分析、影像信息处理，隐私处理、SASE架构、组网安全与传输、SaaS传输等等，也很适应未来元宇宙场景。

　　Cisco、VMware、IBM、Oracle、AWS、Ericsson、Google等好品牌公司已经将该技术运用在自有业务场景中。比如Cisco、Ericsson已经开发出相关的数据中心设备，以支持数据中心上百上千G的大带宽高效传输；而IBM、Oracle等公司则用来解决高效数据处理业务；AWS、VMware、Google则用来完成高速云数据传输场景。

　　凌锐蓝信 GENEVE 技术工作原理介绍

　　发送端

　　1、数据首先被 DTLS/ESP加密，再封装 GENEVE 包头

　　2、在 GENEVE 包头中，可以在可变长区域存储元数据。（我们正在研究如何封装哈希值，可大幅提升安全能力）

　　3、而后，数据会加载UDP/IP等包头，再经由任何网络链路进行传输

　　接收端

　　1、接收端一层层解包后，到GENEVE架构，从其可变长区域中读取出存储的元数据等

　　2、元数据，则有很多可能的用途，例如

　　a）备份而无需解密过程

　　数据备份或者归档的时候，数据可以经过加密，且密钥不需要给到接收端，即备份数据的环境。将数据的属性信息（元数据）存放到 GENEVE 的可变长区域，做到接收端知道如何备份、归档该数据即可。接收端不需要解密数据包，也就不会知道数据内容。基于元数据，即知道数据包要如何备份、保存。接收端无需密钥，无需解密数据，按照元数据备份保存即可。例如数据库备份的数据包发送过来，基于元数据，即可以知道数据库名、备份时间等数据库备份的元数据。而后，直接把加密的一个个数据库备份数据包存储到对象存储中。待需要恢复数据库的时候，从对象存储中读取出相关数据库备份的加密数据包，发回到需要恢复数据库的目标，由恢复端再解密，并完成恢复即可

　　b）多部门、多单位协同

　　基于元数据，而不需要解密数据，即可知道此包中的实际数据来自哪里（哪个部门、哪个单位），也知道数据要发送给哪个目标处理（目标部门、目标单位、目标应用）；在协同中心，不需要解密所有的数据。

　　凌锐蓝信的技术与独特优势

　　凌锐蓝信在2019年关注到这项新技术后，即投入研发力量跟随并遵循IETF标准，最终完成自有知识产权，集高性能高安全能力的全新私有数据协议SecHX（SecHX全称，Secured High Experience，即“安全高体验”），拥有以下优势：

　　高安全性，对于UDP/TCP数据有特别的安全加密能力，而且是封装加密

　　高性能传输，且可定制化

　　无缝适配现有任何一种网络协议，直接部署不影响原有网络配置

　　全面支持IPv4、IPv6

　　支持超大带宽（千G）

　　云原生架构，适配所有主流云架构（OpenStack、KVM、VMware、Hyper-V、CloudStack...Docker容器等）

　　适配x86、ARM架构的硬件

　　适配超小型设备

　　适配所有传统线路与信号：二层专线、MPLS、Internet、3G、4G、5G

　　凌锐蓝信科技（北京）有限公司是一家专注于以SD-WAN/SASE技术为基础的数字网络解决方案服务商，自2014年成立以来一直深耕技术，持有专利，通过先进的数字网络技术和优异的产品性能及服务为客户数字化转型保驾护航，实现降本增效。伴随着凌锐蓝信在最新一代虚拟网络封装架构上取得的技术突破与实际落地成果，也标志着未来我们将在更多领域，如工业互联网、云网融合、SASE架构等场景中拥有更多的施展空间！