JP2005503699A - コンピュータネットワークでホストベースのセキュリティを行うシステムおよび方法 - Google Patents
コンピュータネットワークでホストベースのセキュリティを行うシステムおよび方法 Download PDFInfo
- Publication number
- JP2005503699A JP2005503699A JP2003525465A JP2003525465A JP2005503699A JP 2005503699 A JP2005503699 A JP 2005503699A JP 2003525465 A JP2003525465 A JP 2003525465A JP 2003525465 A JP2003525465 A JP 2003525465A JP 2005503699 A JP2005503699 A JP 2005503699A
- Authority
- JP
- Japan
- Prior art keywords
- security
- networked device
- ipsec
- integrated circuit
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/19—Flow control; Congestion control at layers above the network layer
- H04L47/193—Flow control; Congestion control at layers above the network layer at the transport layer, e.g. TCP related
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/289—Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
- H04L67/5651—Reducing the amount or size of exchanged application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/10—Streamlined, light-weight or high-speed protocols, e.g. express transfer protocol [XTP] or byte stream
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/166—IP fragmentation; TCP segmentation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
Abstract
機密のデータがホストコンピュータまたはネットワーク化された装置を出るときにはいつでも、データのセキュリティが適用されるようにホストベースのセキュリティを実行するアーキテクチャである。改良された方法およびアーキテクチャは速度、パワー消費、空間利用の理由で単一の集積回路302中に構成される。集積回路302内で、ハードウェア構成304、ネットワークプロセッサ実行306、ソフトウェア実行機能の組み合わせが与えられる。革新的なホストベースのセキュリティアーキテクチャはラインレートのIPSec加速、TCP加速、またはその両者を提供する。
【選択図】図3
【選択図】図3
Description
【技術分野】
【0001】
本発明はデータ通信でセキュリティを実行するための装置および方法に関し、特にデータ通信応用でホストベースのセキュリティを実行するための装置および方法に関する。
【背景技術】
【0002】
特に汎用およびインターネットにおけるデータネットワーク化の増加により、ビジネスおよび組織はそれらの通信の要求に対してコンピュータネットワークに依存することが増加している。今日では、多量のデータ、多くは重要なまたは秘密のデータが私設および公共のネットワークを横切ってコンピュータからコンピュータへ送信されることは共通のことになっている。
【0003】
ユーザがデータ通信およびデータ記憶要求でコンピュータネットワークへの依存度が増加するほど、ネットワーク管理者はデータのセキュリティについてさらに関心が高まる。データパケットが1つのコンピュータから別のコンピュータへ送信されるとき、そのデータパケットは私設ネットワークと(インターネットなどの)公共ネットワークとの両者を横切る。ネットワークのホップ毎にデータパケットはデータパケットをその目的地の方向に対して適切な次のホップへ送るためにネットワークノード(ルータ、スイッチ、ブリッジ、ゲートアレイ等)により処理される。公共ネットワークノードとその公共ネットワークノードを相互接続する(光学的、有線または無線等の)公共ネットワーク通信媒体とは典型的に任意の1つのエンティティの制御下にはないので、データが公共ネットワークを横切るときはいつでも、固有のセキュリティの危険性が存在することが長期間にわたって認識されている。したがって、公共ネットワークにおけるデータセキュリティは長年にわたる研究および開発の焦点である。
【0004】
説明を進めるため、図1はデータが公共ネットワークを横断するときのデータセキュリティを確実にするためのデータ通信構造を示している。図1に示されているセキュリティ構造はセキュリティが私設ネットワークの周辺またはエッジでデータに適用され、それによってデータが私設ネットワークを出て公共ネットワークに入るときにデータが許可されていないアクセスおよび/または不正行為に対して保護されることを確実にするので、永久セキュリティまたはネットワークエッジセキュリティとして知られている。
【0005】
図1を参照すると、例示的な組織のイントラネットを表している私設ネットワーク102が示されている。私設ネットワーク102は例えば構内ネットワークまたは仮想私設ネットワーク中のコンピュータおよびワークステーションを表している複数のコンピュータ104、106、108を含んでいる。私設ネットワーク102はまた例えばメールサーバまたはデータ記憶設備を表すサーバ110も含んでいる。コンピュータ104、106、108が他のネットワークの設備をアクセスし、遠隔コンピュータが私設ネットワーク102の設備をアクセスすることを可能にするために、私設ネットワーク102に結合された仮想私設ネットワーク(VPN)ゲートウェイ112が示されている。
【0006】
周辺のセキュリティを実行するために、セキュリティ能力はVPNゲートウェイで提供される。例えば私設ネットワーク102からのデータ通信は公共ネットワーク114に送出される前にVPNゲートウェイ112で認証および/または暗号化される。類似のVPNゲートウェイ132は他の私設ネットワーク134に関連するコンピュータ136のようなコンピュータ1つから送信されるデータを暗号化するために別の私設ネットワーク134と公共ネットワーク114との間で結合されて示されている。私設ネットワーク134のコンピュータ136が私設ネットワーク102のコンピュータ104と通信することを求めているならば、例えばコンピュータ136と104との間のデータ流はVPN112と132により認証される。認証が成功したならば、コンピュータ136からのデータパケットは私設ネットワーク134に関連するVPNゲートウェイ132により暗号化され、コンピュータ104に送信される前に、私設ネットワーク102に関連するVPNゲートウェイ112により解読されるまでこれらが公共ネットワーク114を横切るとき暗号化されたままの状態である。暗号化/解読はまたコンピュータ104からコンピュータ136へ送信されるデータパケットに対しても類似して行われる。したがって、公共ネットワーク114を横切るゲートウェイ132とゲートウェイ134間のデータ通信は秘密を保護される。
【0007】
図1はまた例えば旅行会社の社員のラップトップコンピュータを表す遠隔コンピュータ140を示している。遠隔コンピュータ140は典型的に認証および/または暗号化/解読能力を含んでいるそれ自身のVPNゲートウェイ機能が与えられている。典型的な場合には、私設ネットワーク140内で行われるための遠隔コンピュータ140からの遠隔アクセスは約56Kbpsのダイヤルアップ接続、約1Mビット/秒以下のDSL(デジタル加入者線)接続、または類似の速度のケーブルモデム接続のような比較的低速度の接続により実現される。高速度のデータ通信は問題ではないので、VPNゲートウェイ機能はハードウェア、ソフトウェア、またはその両者の組み合わせを使用して種々の通常の方法により遠隔コンピュータ140内で構成されることができる。
【0008】
幾つかの構成では、私設ネットワーク内のある戦略的なサーバには同様にセキュリティ能力が与えられている。例えば私設ネットワーク102内のメールサーバ110には、メールサーバ110とのデータ通信が適切に暗号化され認証されることを確実にするための認証および/または暗号化/解読能力が与えられてもよい。
【発明の開示】
【発明が解決しようとする課題】
【0009】
時間の経過で、周辺ベースのセキュリティ構造はセキュリティの脅威の1つの深刻な原因を解決できないことが学習されている。例えば、時間の経過で、所定の会社のネットワークで検出されたセキュリティ違反の大半は企業の私設ネットワーク自体内のユーザに追跡可能であることが学習されている。換言すると、データ通信は私設ネットワークを出ても、データが私設ネットワーク内の1つのコンピュータから同一の私設ネットワーク内の別のコンピュータへ送信されるとき、またはデータが私設ネットワークに接続されたコンピュータまたはサーバの1つに記憶されるときにデータセキュリティは妥協される大きな危険性が依然として存在する。このセキュリティの危険性の形態、即ち私設ネットワークの内部ユーザからのセキュリティリスクは周辺ベースのセキュリティ構造がネットワーク周囲を越えて送信されるデータのセキュリティだけを解決するので、周辺ベースのセキュリティ構造によっては解決されない。例えば私設ネットワーク102内等のネットワーク周辺内で、コンピュータ102とコンピュータ104との間のデータ通信は周辺ベースのセキュリティ方式では基本的に保護されない。
【0010】
私設ネットワーク内のデータセキュリティの構造はさらに高いデータ速度に関連する技術的な問題によって複雑にされる。企業ネットワークおよび私設ネットワーク内のユーザは高速度のデータ通信を期待するように調整されている。例えば、ブロック記憶として知られている応用のクラスでは、データ記憶はネットワークのサーバを中心とし、個々のユーザのコンピュータは彼らがネットワークに接続されているときはいつでもネットワークに記憶されたデータをアクセスするためにiSCSI(基本的にTCPにおけるSCSI)のようなブロック記憶プロトコルを使用する。中央化されたデータ記憶はしばしば多数の利点を組織に与え、その中にはデータにおける中央化制御および管理、守るための記憶位置がほとんどないため改良されたデータセキュリティ、信頼性のある保管/消去機能をアーカイブし実行する能力などが存在する。明白に、この応用のクラスは、秘密保護接続に加えて、ユーザのコンピュータとネットワークデータ記憶設備間に非常に低い待ち時間と高い帯域幅接続を必要とする。これはデータの記憶がユーザの固有のコンピュータのハードドライブにローカルであるときに常に言えるように、データアクセスがほぼ遅延なしに行われることを期待するためにユーザが調節されているからである。ユーザのコンピュータとネットワークデータ記憶設備との間の接続が遅いならば、ユーザは単にデータ、さらに臨界的で感応するデータを彼ら固有のハードドライブに記憶する労力の少ない方法に戻るので、中央化されたデータ記憶は成功しない。
【0011】
他方で、セキュリティ構造はセキュリティ規則の集約的数学特性および大きさのために、データ通信遅延を悪化する恐れがある。この理由で、特にブロック記憶などの帯域幅および待ち時間に敏感な応用で、内部セキュリティリスクを解決し、私設ネットワーク内で高いデータ速度の要求を満足するデータセキュリティに対する技術的に満足され、経済的な解決策は存在しない。
【課題を解決するための手段】
【0012】
本発明は1実施形態では、機密のデータがホストコンピュータまたはネットワーク化された装置を出るときには常に、データのセキュリティが適用されるようにホストベースのセキュリティを実行するアーキテクチャに関する。さらに、本発明の1実施形態によれば、例えばiSCSIプロトコルを使用するブロック記憶に関連するTCP加速タスクをオフロードし、および/またはホストベースのセキュリティ関連タスクをオフロードするための方法およびアーキテクチャが提供される。
【0013】
1実施形態では、改良された方法およびアーキテクチャは速度、パワー消費、空間利用の理由で単一の集積回路で実行される。速度とフレキシブル性との両者を与えるために、ハードウェア構成、ネットワークプロセッサ構成、ソフトウェア実行機能の組み合わせが与えられる。1実施形態では、セキュリティ関連構成に関係するあるパラメータは、(1Gビット/秒のような)高いデータ通信速度で経済的なワイヤ速度セキュリティの実行を可能にするようにインテリジェントに限定されている。
【0014】
1実施形態では、革新的なホストベースのセキュリティアーキテクチャはラインレートのPSec加速、TCP加速、またはその両者を提供できる単一の集積回路を含んでいる。セキュリティ処理が実行されるターゲット環境は1よりも多数の形態を有することが認識されているので、IKE機能はモジュールにされ、ホストシステム、IPSec/TCPオフロードIC自体および/またはIPSec/TCPオフロードICの埋設されたプロセッサ部分で構成されることができる。
【0015】
本発明のこれらおよび他の特徴を添付図面を伴って、以下の本発明の詳細な説明でさらに詳細に説明する。
【発明を実施するための最良の形態】
【0016】
本発明を限定ではなく例示の目的で説明するが、添付図面の図では同一の参照符号は類似の素子を示している。
本発明を添付図面で示されているような、幾つかのその好ましい実施形態を参照して詳細に説明する。以下の説明では、多数の特別な詳細は本発明の理解を通して与えられるように説明されている。しかしながら、本発明はこれらの幾つかまたは全ての特別な詳細なしに実施できることが当業者には明白であろう。他の例では、よく知られた処理ステップおよび/または構造は本発明を不必要に不明瞭にしないために、詳細には説明しない。
【0017】
私設ネットワークの内外での機密データの通信のためのデータセキュリティを充分に確実にするためここで本発明を考慮すると、データセキュリティは機密データがホストコンピュータまたはネットワーク化装置を出るときにはいつでも適用されなければならない。違った言い方をすると、機密データは周囲セキュリティ方式の場合のように私設ネットワークの周辺を出るときだけではなく、私設ネットワーク内でも秘密保護されなければならない。ホストベースのデータセキュリティとして知られているこのようなデータセキュリティ構成は、機密データを送信または受信するネットワーク中の各ホストでセキュリティ能力の提供を要求する。
【0018】
図2は、ホストベースのセキュリティ構造の1構成を示す図である。図2を参照すると、各コンピュータ202、204、記憶装置206、遠隔コンピュータ208にはIPセキュリティカプセル化(ESP)、および/またはこれらの各ネットワークノードから送信されまたはそこで受信される機密データの暗号化/解読を確認し実行するセキュリティ能力が設けられている。さらに、これらの各ネットワークノードでのセキュリティ構造は転送層セキュリティ(TLS)をしのぐ。IP層で主に動作するIPSecと対照的に、転送層で動作するTLSは高速度で低い待ち時間のネットワークでは適切ではないと考えられている。したがって、機密データがネットワークノードを出てネットワーク媒体(私設または公共にかかわりなく)に接触するときにはいつでも、その機密データは秘密保護にされる。私設ネットワークの周辺におけるセキュリティ実行装置としてのVPNゲートウェイの役割はもはや必要ではない。
【0019】
しかしながら、ホストベースのセキュリティ方法について挑戦が行われている。ネットワークセキュリティに精通する人によく知られているように、データ通信の認証、パケットのカプセル化、パケットの暗号化/解読に関係するタスクはかなりの計算処理を必要とする。ホストへ出力されるならば、このようなセキュリティ関連のタスクは特に1Gビット/秒のワイヤ速度以上のデータ通信ではホストのコンピュータ計算リソースを迅速に支配する。さらに、ネットワークが実行するネットワークベースのデータ記憶、特にブロック記憶では、iSCSI関連のタスク、即ちTCPパケットで転送するためのSCSIコマンドおよびデータをカプセル化し、カプセル化を解除することに関係するタスクはまたホストの多量の計算処理リソースを必要とすることが発見されている。1Gビット/秒以上のワイヤ速度では、典型的なホスト装置がホストの自分のCPUを使用して、タイムリーな方法でTCP関連のタスクおよびセキュリティ関連のタスクの両者を処理することは実際的に不可能になる。したがって、本発明者はここで、経済的で高速度の装置がホスト装置の代わりにあるTCP関連のタスクとあるセキュリティ関連のタスクを処理するために生成されることができないならば、秘密保護ネットワークベースのデータ記憶のような応用が広く採択されることは困難であると考えている。
【0020】
本発明の1つの特徴にしたがって、例えばiSCSIプロトコルを使用してブロック記憶に関連するTCP加速タスクをオフロードし、ホストベースのセキュリティ関連のタスクをオフロードするための方法およびアーキテクチャが与えられている。この点では、ネットワークセキュリティの幾つかの基本的な概念を再検討することが有効である。
【0021】
本発明の1つの応用では、インターネットプロトコルセキュリティまたはIPSecに準じたセキュリティ処理が行われる。IPSecはこの実施形態ではインターネットエンジニアリングタスクフォース(IETF)により規定されている文書およびプロトコルのファミリを指している。規定の基本的な集合は例えばRequest For Comments(RFC)文書2401乃至2412[RFC2401-RFC2412]に見られ、これらはここで参考文献とされている。例えばRFC2401にしたがって、IPセキュリティアーキテクチャの基本コンポーネントはセキュリティプロトコル、セキュリティ関連、キー管理、認証および/または暗号化のアルゴリズムを含んでいる。
【0022】
セキュリティプロトコルは認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)に関する。セキュリティ関連問題は、これらが何であり、どのように動作し、どのように管理されるかのような関連する処理を含んでいる。インターネットキー管理(IKE)はマニュアルと自動のいずれかに特定されてもよい。本発明の説明の文脈では、IPSecはセキュリティプロトコル、セキュリティ関係、キー管理を含んでいる。
【0023】
認証および/または暗号化のための特別なアルゴリズムは特定のシステムで特定されてもよい。これらのアルゴリズムは典型的に連邦情報処理標準出版(FIPS PUBS)で文書にされている米商務省標準技術局(NIST)により作成され規定されている。
【0024】
RFC2401で説明されているように、セキュリティ処理には2つの公称上のデータベース、即ちセキュリティポリシーデータベースとセキュリティ関係データベースが関係されている。前者はホスト、セキュリティゲートウェイまたはBITSまたはBITW IPSecから入来するかそこへ出力される全てのIPトラフィックの処置を決定するポリシーを特定する。後者のデータベースは各(アクチブ)セキュリティ関係に関連されるパラメータを含んでいる。
【0025】
前述したように、TCP/IPイーサネットネットワークでのラインレート処理を実現するために主な障害が存在する。セキュリティ処理のIKEとIPSecはTCP/IPで必要とされるよりも大きな処理を付加する可能性がある。ラインレートが可能な秘密保護IPSecネットワークの生成はソフトウェアではほぼ不可能である。特定されたハードウェアでさえも、伝統的なセキュリティポリシーは問題があり、高価である。
【0026】
RFC2401にしたがって、SPDは非IPSecを含む全てのトラフィック(インバウンドおよびアウトバウンド)の処理中に検討されなければならない。(インバウンドまたはアウトバウンドトラフィックで)パケットに一致するSPDにポリシーが発見されないならば、パケットは廃棄されなければならない。
【0027】
SPDの例示的なエントリは以下のようである。
目的地IPアドレス *
目的地TCPポート番号 3260
ソースIPアドレス 10.29.2.5
ソースTCPポート番号 *
プロトコル ESP
暗号化アルゴリズム 3DES−CBC
認証アルゴリズム HMAC−SHA1
VPNゲートウェイでは、数千のこのようなエントリが存在する。さらに値はワイルドカード化され、範囲により特定され、特定されたIPアドレス等を含んでいる。各個々のパケットに適用するポリシーを決定するプロセスは挑戦的な問題である。“一致”を決定するために必要とされるコンピュータ処理は多数のSPDエントリ比較を含んでいる。ほとんどのVPNゲートウェイはこの問題に対処するための特定されたハードウェアを使用する。しかしながら、問題はほとんどの秘密保護ネットワークとして完全に解決されず、今日、IPセキュリティが適用されるときそれらの潜在的なラインレートの一部で動作する。簡潔に言うと、セキュリティポリシーに関する問題は、高速度ネットワークが必要とするセキュリティでは、現在の解決策は高速でもなく、廉価でもない。これらは低速度で高価である。
【0028】
改良された方法およびアーキテクチャは好ましくは速度、パワー消費、空間使用の理由で単一の集積回路中で実行される。これはIPSecに対する従来の方法と対照的であり、これは多数のアダプタにおける多数の集積回路、単一のアダプタ(ルックアサイド)における多数の集積回路、または単一のアダプタ(インライン)における多数の集積回路の使用を含んでいる。単一の集積回路方法は従来の方法の固有の設計の複雑さ、高い費用、設計の複雑さ、発熱を防止する。本発明のアーキテクチャとの組み合わせでは、単一の集積回路方法はIPSec加速に対する従来技術の方法を使用して実現できない方法でラインレート処理を促進する。
【0029】
速度とフレキシブル性との両者を提供するために、ハードウェア構成、ネットワークプロセッサ構成、ソフトウェア実行機能の組み合わせが与えられる。さらに方法およびアーキテクチャをさらに高いラインレート(例えば10Gビット/秒以上)へスケール可能にするため、セキュリティカプセル化、暗号化/解読に関係するアルゴリズム等のある機能ブロックはモジュール的に規定されモジュール的に集積回路に構成され、それによってラインレートの増加と共に他の適切な機能ブロックによる迅速な置換を促す。
【0030】
さらに、アーキテクチャは単一の集積回路がラインレートIPSec加速、TCP加速またはその両者を提供することを可能にする。集積回路は好ましくはIPSecとTCPのオフロードを独立して処理する。1実施形態では、オフロードの順序は重要であることが認識される。例えば秘密保護接続および流れでは、IPSec関係は好ましくは最初にオフロードされ、それに続いてTCP接続のオフロードが行われる。TCP接続のその後のオフロードは既存のIPSecセキュリティ関係を使用する。同様に“アンロード”接続のとき、動作は好ましくは反対の順序で行われる。即ちTCP接続はアップロードされ、その後IPSec関係がアップロードされる。
【0031】
本発明の別の実施形態によれば、セキュリティ処理が実行されるターゲット環境は1よりも多数の形態を有することが認識される。例示的な形態は例えばホストシステムおよび、スイッチ、ルータ、および/またはゲートウェイ等の他のネットワーク装置を含んでいる。ホストシステムでは、IKE処理をホストに委ね、IPSecエンジンが集積回路中に存在することを可能にすることは有効である。他方で、ネットワーク装置では装置がIKEのサポートのために必要なプロセッサを提供することは可能ではない。このためIKEコンポーネントはIPSec/TCPオフローディングIC自体に存在し、さらに好ましくはIPSec/TCPオフローディングICの埋設されたプロセッサ部分に存在する。IPSec/TCPオフローディングICの埋設されたプロセッサおよび他のブロックをここで以下説明する。
【0032】
種々のオペレーティングシステム、OSスタック組織、および潜在的な構造をサポートするための最大のフレキシブル性を与えるために、本発明のアーキテクチャは多機能装置のサポートを含んでいる。一般的に、オペレーティングシステム(ウィンドウズ、Linux、Solaris、HP/UX等)は典型的にPCI装置等のハードウェアアダプタを通る2つの主要なパス、即ち記憶スタックとネットワークスタックを有する。これらのスタックは独立して動作する傾向がある。提案された多機能装置は同時に装置にアクセスするために両者のオペレーティングシステムスタックに適合する。さらにまたは代わりに、多機能装置はIKEとIPSecコンポーネントのフレキシブルな構造を可能にし、IKE機能がターゲット環境がホストベースのとき、アウトボードで、またはホスト自体で実行されることを可能にする。
【0033】
さらにデータ通信速度が増加すると、本発明者はここで伝統的なセキュリティポリシー構造がボトルネックからワイヤ速度のセキュリティ構造を表していると考慮する。経済的でワイヤ速度のセキュリティ構造をこれらの(1Gビット/秒以上として規定されている)高いデータ通信速度で実現するため、インテリジェントな方法でセキュリティ関係構造に関連するあるパラメータを限定することが重要である。そうでなければデータ通信は遅くされるか、異種であり、高価な高速度コンピュータ処理装置は伝統的で限定されていない状態のセキュリティポリシー構造を処理することに必要とされる。
【0034】
セキュリティ関係問題をインテリジェントに限定することによって、あるとしたらごく少量の機能が妥協される。交換では、減少されたコンピュータ処理の要求は改良された方法およびアーキテクチャがさらに経済的で高いラインレートに対してスケール可能に実行されることを可能にする。これは結果的な集積回路をホストベースのセキュリティおよびネットワークベースの記憶が実行されるネットワークで使用するのに、実際的で経済的にする。
【0035】
本発明は図面および以下の説明を参照して良好に理解されるであろう。図3は本発明の1実施形態にしたがって、高速度のTCP加速とデータセキュリティをホストベースのセキュリティ環境に設けるのに適した革新的なTCP加速およびセキュリティ(TAAS)集積回路を示している。本発明のTAASは特に長寿命の接続用のセキュリティを与えるのに適切している。ここで使用される用語、長寿命の接続はデータ転送が行われなくても2つのホスト間で開いた状態のままの接続である。長寿命接続の1例はユーザコンピュータがネットワークベースのデータ記憶設備と接続しようと望むときに開かれる接続である。ユーザは常にデータを転送してはいないが、コンピュータは開いた状態である。対照的に、一時的な接続はデータ転送のバーストが完了するとすぐに、またはその直後に閉じる接続である。ブラウザは例えばサーバからユーザコンピュータへページの形態でデータを送信するために一時的な接続を使用する。
【0036】
TAAS302はハードウェア回路部分(HW)304、1組のネットワークプロトコルプロセッサ(NPP)306、1組の埋設されたプロセッサ(EP)308を含んでいる。ハードウェア部分304はある高速度のTCP加速とセキュリティ関連アスクを処理するように構成されている。他方で、NPP306は僅かに遅い速度にもかかわらず、より大きい構造のフレキシブル性を与え、TCP加速とセキュリティ関連タスクの異なるセットを処理するように構成されている。EP308はさらに遅い速度にもかかわらず、構造およびプログラミングでもっとも大きいフレキシブル性を与える。EP308はフレキシブル性が速度よりも重要であるTCP加速およびセキュリティ関連アスクを処理するために使用される。TAAS302の3つの主要な機能ブロック(即ちHW304、NPP306、EP308)間でTCP加速とセキュリティ関連タスクを分割することにより、データ送信速度と構造のフレキシブル性の両者を最適にすることが可能であり、これはTAASが異なる速度および異なるホストで動作するように容易に向上および/または構成されることができる。
【0037】
ハードウェア部分304は一時的なデータ記憶と命令の実行に必要なメモリ(通常RAMまたはDRAM)に加えて、ギガビットMACエンジン(メディアアクセス制御装置)回路を含んでいる。一般的に、ハードウェア部分は多数のコンポーネント、即ち1以上の暗号化ハードウェア装置、1以上の認証ハードウェア装置、および随意選択的にRSA/DH加速装置を含んでいる。RSA/DH加速装置は埋設されたプロセッサまたはホストでIKE処理をオフロードするために使用される。1実施形態では、ハードウェア部分はデータ流の暗号化を実行する3DES−CBCおよび認証を実行するHMAC−SHA1を含んでいるパケットのセキュリティ機能を与えるように構成されている。単一のチップ設計では、空間、複雑性、パワー要求の問題によりハードウェアアルゴリズム数を限定することが望ましい。3DES−CBCは3−DES Cipher Block Chainingを表し、データ流暗号化の広く知られた技術である。HMAC−SHA1は広く知られたハッシュ認証技術を実行する。これらのセキュリティ機能の詳細は当業者によく知られており、ここでは簡潔性のために詳細に説明しない。
【0038】
NPP306はiSCSI関連およびTCP加速機能を含んでいる。これらのiSCSI関連機能はTCPにわたって転送するためのSCSIコマンドおよびデータのパッケージングを処理する。NPP306で行われるTCP加速は例えばTCPカプセル化、セグメント化、混雑の制御、保証された順序付けられたパケット転送等を含んでいる。セキュリティ関連の機能に関しては、NPP306はIPSec加速、セキュリティヘッダカプセル化、セキュリティ加速/セキュリティポリシーデータベース(SA/SPD)ルックアップを含んでいる。
【0039】
セキュリティ関係(SA)はIPSec制御ブロックをアクセスし適切なポインタを受信することを含んでいる。セキュリティポリシーデータベース(SPD)ルックアップはアウトバウンドパケットとインバウンドパケットで異なっている。アウトバウンドパケットに対してはSPDルックアップは典型的に適切なIPSecプロトコル制御ブロック(IPSec PCB)をアクセスするために(IPソースアドレス、IP目的地アドレス、TCPソースアドレス、TCP目的地アドレス等の)SPDセレクタを検索することを含んでいる。IPSec PCBの情報に基づいて、パケットは廃棄され、通過を可能にされ、またはパケットに与えられる幾つかのセキュリティタイプを有する。IPSec PCBの情報がセキュリティが保証されることを示すならば、正しいセキュリティ関連が出力されるパケットに対して得られるように、セキュリティ関連(SA)データベースに対するポインタが存在する。
【0040】
インバウンドパケットは暗号化されてもよく、暗号化されなくてもよい。暗号化されたインバウンドパケットでは、SPI(セキュリティプロトコルインデックス)はIPSec PCBを検索するために使用される。1実施形態では、SPIは応用可能なIPSec PCBに対するインデックスである。応用可能なIPSec PCBで特定されたセキュリティポリシーはその後解析され、インバウンドパケットを廃棄するためにインバウンドパケットの通過を可能にするか、またはポリシーの支配により必要とされるように任意の他のアクションを取るかを確認するためインバウンドパケットに対して比較される。暗号化されないインバウンドパケットに対しては、IP PCBルックアップは応用可能なIPSec PCBを検索するために行われる。暗号化されたインバウンドパケットの場合のように、応用可能なIPSec PCBが一度検索されると、ここで特定されているセキュリティポリシーはその後解析され、インバウンドパケットを廃棄するためインバウンドパケットの通過を可能にするか、またはポリシーの支配により必要とされるように任意の他のアクションを取るかを確認するためインバウンドパケットに対して比較される。
【0041】
NPP306は基本的にネットワークプロトコル処理に良好に適した“マイクロエンジン”である。これらの多数のネットワークプロセッサのそれぞれは限定されたコードメモリと、スクラッチパッドデータメモリとを含んでいる。NPPはさらに大きい速度でパイプライン化される。1実施形態では、2K命令が各ネットワークプロセッサに与えられる。NPPにより与えられる利点は、最適にされた命令セットの使用、他のハードウェアコンポーネント(????)へのフルアクセス、サイクルの効率を含んでいる。NPP306は単一のネットワークプロトコルプロセッサと考えてもよく、または複数のネットワークプロトコルプロセッサであってもよい(与えられるNPP数は予測される特定の計算負荷、コードサイズ、所望される速度に基づいている)。当業者により認識されることができるように、これらの機能は時間にわたって認識を必要とする傾向があり、依然として汎用目的のプロセッサにより提供されることができるよりも非常に大きい速度を必要とする。NPP306で実行されるようにマイクロコードでこれらの機能を実行することにより、比較的高い速度の利点が高い度合いのフレキシブル性で実現されることができる。
【0042】
1実施形態では、IPセキュリティ処理タスクは好ましくはNPPにより処理される。例えば、ESPカプセル化、ESPデカプセル化、セキュリティ関連(SA)ルックアップ、およびセキュリティハードウェアとの統合等のタスクは好ましくはNPPにより処理される。
【0043】
埋設されたプロセッサ308は典型的なデスクトップまたはラップトップコンピュータ、或いは特に計算処理が拡張できない汎用目的の処理に適したプロセッサで見られるプロセッサに類似している。本発明の文脈では、埋設されたプロセッサ308は高速度を必要としないが、TCP加速、IPSec、iSCSIオフロード等のサポートに必要とされる任意の他の動作を処理する。このような処理の例はサービス位置プロトコル(SLP)または記憶名サービス(iSNS)などのような発見プロトコルの配備を含んでいる。EP308はまたTCP接続の設定をサポートし、分解する。さらにEP308は証書処理、CRL(証書取消しリスト)のチェック用の軽量登録簿アクセスプロトコル、キー交換等のようなインターネットキー交換(IKE)機能をサポートする。IKE機能は通信ラインの他方の端部の装置が本当にその装置自体であることを表していることを確認するためIKEピア(peer)の認証を含んでいる。認証は例えばRSAおよび/またはデジタル署名標準を使用する。IKE機能はまた一度認証が実現されると、IPSec層のセキュリティ関連およびキー材料を与えることを含んでいる。これらの機能は高い程度のフレキシブル性と再プログラム能力を必要とするが、速度はもっとも重要な問題ではない。埋設されたプロセッサ(例えばARMプロセッサ)で実行されるためにファームウェアの形態でこれらの機能を実行することにより、高い程度のフレキシブル性が実現される。
【0044】
勿論、ホストプロセッサ自体内のソフトウェアもまたあるタスクを処理するために使用されることができる。ハードウェア、マイクロコード、ファームウェア、ソフトウェアの範囲では、ホストプロセッサでのソフトウェアの実行は、ホストの貴重な処理リソースの使用を犠牲にして、再プログラミングと再構成を非常に容易にする。
【0045】
図3はまたキー交換(IKE)ブロック312を示している。IKEはTAAS上でまたはホストにより実行されることができる。1実施形態では、RSA/DHなどのようなTAAS処理機能によりホストはほとんどのIKE機能を処理することができる。TAASは多機能装置として機能するように構成されることができる。その多機能の役目を実現するために、データパス320と322はTAAS302に設けられている。iSCSIパス320はSCSIコマンドおよびデータを伝播するためのパスを表している。TOE/NICパス322はTAAS302がNIC(ネットワークインターフェースカード)処理を行い、ネイティブネットワーク処理を加速するためのタスクに関連するTOE(TCPオフロードエンジン)を実行することを可能にする。異なるデータパスを設けることにより、ホストが異なる独立した駆動装置を使用し、同時にTAASに異なるタスクを行わせることが可能である。さらにほとんどのオペレーティングシステムは別々のネットワークスタックと別々の記憶スタックとを有する。TAASを別々の機能のための別々のデータパスを有する装置としてホストへ表すことによって、記憶スタックおよびネットワークスタックはより自然にTAASにマップする。
【0046】
1実施形態では、IKEブロック312はTAAS302の代わりにホストに構成される。この場合、NICパス322はホストのIKEブロック312が通信パスの他の端部のIKEピアを認証することを可能にするために使用される。認証が実現されると、IKEブロック312はキーイング材料とセキュリティ関連を与えることができる。全ての後続のデータパケットは秘密保護方法でiSCSIパス320によりその後送信されることができる。
【0047】
TAAS302の1つの重要な特徴はデータパケットの送信パスのインライン特性である。埋設されたプロセッサは、キーイング材料とIPSec関連を含んでいるデータ流のIKEの設定に使用される。その後、TAASへのデータパケット入力はネットワークプロセッサのセットおよびTAASのハードウェア部分に構成されているTCP、IP、IPSec、MACブロックにより実質上線形でインラインで処理される。
【0048】
1実施形態では、NPP306と埋設されたプロセッサ308との間のAPIは埋設されたプロセッサ308またはホスト自体においてIKE機能を実行することを可能にする用に規定される。これはIKEの機能の1つがIPSecセキュリティ関連およびキーイング材料を与えることであるためであり、これはIPSec加速機能を実現するためにNPP306によって使用される。API規定は通知機構を含んでおり、それによってNPP306で実行されるIPSec加速ブロックは(埋設されたプロセッサ308またはホスト自体で構成される)IKEに特定の通信セッションでIPSecキーイング材料のリフレッシュが必要であることを通知できる。IKEがホスト中に構成されるならば、NICパス322は通知のために使用され、またはiSCSIパス320は規定されたメッセージを使用して使用される。
【0049】
APIを適切に規定することにより、埋設されたプロセッサ308またはホストソフトウェアがIKE機能をどのように処理するかに関するフレキシブル性が実現される。ホストでIKE機能を処理することがより望ましいときには時間があるので、(例えばセキュリティ関連数が埋設されたプロセッサ308により管理されることができるよりも多数であるとき)、これは有効である。他方で、埋設されたプロセッサ308でIKE機能を処理することがさらに望ましいときがある。例えばTAASが実行される装置がホスト機能を与えることができないとき、例えばあるルータの場合のように、IKEはTAASチップ内の埋設されたプロセッサにより容易に行われることができる。
【0050】
図4は本発明の1特徴にしたがって、2つのホスト402と404間で送信されるパケットにセキュリティを適用するためにIPSecセキュリティ関係を生成するためのプロセスを示している。ホスト402と404間に長寿命の接続を設けるためにTCP加速およびセキュリティ関連タスクをオフロードするためにホスト402と404にそれぞれ結合された2つのTAAS406と408が示されている。ホストまたはTAASチップ自体から発信される接続リクエストを受信するとき、セキュリティ関連プロセスが開始する。図4を参照すると、ホスト404内のオペレーティングシステムが(LUN論理装置番号として知られている)ネットワーク中の論理エンティティの1つとのTCP接続を設定しようとしていると仮定する。ホスト404内のオペレーティングシステムはオペレーティングシステムがそれに利用可能な全ての論理エンティティに対して問合せするとき、例えばスタートアップ期間中に利用可能な全ての論理エンティティの存在を知ることができる。オペレーティングシステムがTCP接続の設定を望んでいるLUNがネットワークドライブであるならば、接続はSCSIコマンドおよびデータをカプセル化するTCP接続によりiSCSIプロトコルを使用して行われる。接続リクエストはまたTAASチップ自体から発生されてもよい。例えば、TAASはそれ自体、実行されるとき接続リクエストを発生するアプリケーションソフトウェアを実行してもよい。
【0051】
接続リクエストはTCP論理装置410へ送信され、これはTCP接続を設定するように応答する。接続リクエストを含むパケットはIPSec論理装置412へ送信され、これはこの新しいTCP接続リクエストについてセキュリティ関連がさらに存在しないことを決定する。結果的に、IPSec論理装置412はパケットを拒否して、セキュリティ関連が設定されながらTCPを再試行させるか、またはIPSec論理装置412がセキュリティ関連が設定されながらパケットを待ち行列することができる。
【0052】
2つのホスト間のセキュリティ関連は2つのホスト間の少なくとも1つのISAKMP(インターネットセキュリティ関連およびキー管理プロトコル)関連を含んでいる。IKEピアとのISAKMPセキュリティ関連がIKE層中で生じる。さらに2つのホスト間の各接続は1対のIPSec関連を含んでおり、これはIPSec層の関係に関する。IPSecセキュリティ関連の対はインバウンドトラフィックの1つのIPSecセキュリティ関連と、アウトバウンドトラフィックの1つのIPSecセキュリティ関連とを含んでいる。さらに後述されるように、IPSec関連はISAKMP関連から得られるキーイング材料から得られ、セキュリティの妥協のリスクを最小にするために時間にわたってリフレッシュされる。
【0053】
IPSec論理装置412がセキュリティ関連が存在しないことを決定したとき、それは接続リクエストに関する情報をIKE論理414へ送信し、これはネットワーク接続418によりTAAS406内のIKEピア416とのISAKMPセキュリティ関連を設定するための接続リクエストに関する情報を使用する。ISAKMPセキュリティ関連はとりわけターゲットホストがターゲットのホストであると想定されることを確証する。
【0054】
一度ISAKMPセキュリティ関連がIKEピア414と416との間で設定されると、各IKE論理装置は(例えば1Gビット/秒構成の3DES−CBCを使用して)IPSec関連を得るためにISAKMP関連からのキー材料を使用する。IPSecセキュリティ関連の導出は、リクエストされた接続に適用されるための適切なセキュリティポリシーを決定するために(所定のTCP接続に対して衝突および/またはオーバーラップするポリシーを含んでいる)セキュリティポリシーデータベースの操作を必要とする。この導出は計算処理が集約的であり、(結果的なキーイング材料は接続から接続で変化するが)それ自体のアルゴリズムが接続から接続で変化しないので、本発明がハードウェアで(3DES−CBC等の)IPSec関連導出アルゴリズムを実行することは異なる速度の利点を与える。(例えば10Gビット/秒の接続で)さらに高い帯域幅が必要とされるならば、3DES−CBC暗号化アルゴリズムはアドバンス暗号化標準(AES)カウンターモード等の高速度の、直列化ではない暗号化アルゴリズムにより置換され、HMAC−SHA1認証アルゴリズムは例えばAES XCBC−MAC(アドバンスト暗号化標準XテンションCBC−MAC)により置換されてもよい。AES XCBC−MACに関する情報はIETF(インターネットエンジニアリングタスクフォース)、IPSecワーキンググループ(www.ietf.org)にコンタクトすることにより発見されることができる。AES XCBC−MAC情報も米商務省標準技術局(NIST)で発見され、連邦情報処理標準出版(FIPS PUBS)で文書にされている。
【0055】
一度IPSecセキュリティ関連の対がリクエストされたTCP接続に対して生成されると、IPSecセキュリティキー材料はその後IPSec論理414によりインバウンドおよびアウトバウンドパケットに与えられる。勿論、セキュリティポリシーがTCP接続がゼロのセキュリティであることを示すならば、TCP接続に関するパケットへセキュリティをその後与える必要はない。もっと典型的には、幾つかのセキュリティポリシーがTCP接続に適用される。以後、ホスト402と404との間のそのTCP接続のデータ通信はホストベースの構造下で秘密保護される。幾つかのアルゴリズムはオーバータイムには脆弱であるので(例えば3DES−CBCはいわゆる誕生日のアタックまたはビット漏洩に対して脆弱である)、IPSecセキュリティキー材料はセキュリティの妥協を防止するために時間にわたってリフレッシュされてもよい。リフレッシュの頻度は部分的にアルゴリズムの強度、現在のIPSecセキュリティ関連を使用するデータの量等に基づいている。リフレッシュはISAKMPキー材料を使用して、IKE論理による新しいIPSecセキュリティ関連の導出を含んでいる。
【0056】
前述したように、伝統的なセキュリティ関連技術は出力するデータパケットへ適切にセキュリティを与えるために多量の計算リソースを必要とする。本発明の1特徴によれば、セキュリティポリシー関連問題はセキュリティポリシー関連のタスクをより効率的に実行するように限定されている。本発明のこの特徴の説明を容易にするために、セキュリティポリシー関連の簡単な概要が役立つであろう。パケットが送出される必要があるとき、セキュリティが出力パケットへ与えられる必要があるか否かと、必要がある場合には、どの種類のセキュリティポリシーが適用するかを決定することが重要である。さらに、パケットに対するIPSecセキュリティ関連が存在するか否かと、存在するならば、出力パケットに対するIPSecセキュリティ関連を得ることを確実にすることが重要である。
【0057】
セキュリティ関連問題が限定を解除される場合には、ある性能のボトルネックが存在する。第1に、適切なセキュリティポリシーを決定し、IPSecセキュリティ関連が存在するか否かを確認し、正しいIPSecセキュリティ関連を獲得するプロセス全体は計算処理が高価である。これはセキュリティ関連の試験があらゆる出力パケットに対して行われなければならない(応用可能であるならば適用される)ためである。
【0058】
セキュリティポリシーは典型的にセキュリティポリシーデータベースに記憶され、ソースアドレス、目的地アドレス、ソースポート番号、および/または目的地ポート番号によりインデックスされるので、出力パケットの適切なセキュリティポリシーの決定は挑戦的である。幾つかのポリシーはソースアドレスの範囲、目的地アドレスの範囲、ソースポート番号の範囲、目的地ポート番号の範囲または任意の他の基準から来るパケットへ適用される。セキュリティポリシーデータベースはまた、値のワイルドカードパラメータ、サブネット、範囲等をサポートする。正確に数百のセキュリティポリシーがワイルドカード、オーバーラップポリシー等により出力パケットに適用されることを単に発見するだけにセキュリティポリシーデータベースで特定の出力パケットのセキュリティポリシーを見出すことは異例ではない。さらに、セキュリティポリシーが適用すべき幾つかの予め規定された基準またはアルゴリズムに基づいて、全ての応用可能なポリシーを獲得し確認することが重要である。全てのこれらのタスクは勿論、多量の計算処理リソースを必要とする。
【0059】
一度、正しいセキュリティポリシーが確認されると、別の検索がIPSecセキュリティ関連が存在するか否かを決定するために実行される必要がある。IPSecセキュリティ関連が存在することが発見されるならば、IPSecセキュリティ関連データベースの別の検索が出力パケットのIPSecセキュリティ関連を得るために必要である。
【0060】
本発明の1特徴では、ある応用、例えば終端間セキュリティおよび/またはブロック記憶に対しては、暗号化、カプセル化、および/または認証に使用可能なアルゴリズムの数を限定できることが認識される。従来技術のセキュリティポリシーデータベースでは、暗号化/解読、カプセル化、および/または認証のための多数の異なるアルゴリズムが提供されることを想起する。これはセキュリティがVPNゲートウェイ等のゲートウェイで実行されるとき、出力パケットに遭遇する毎に全ての可能性が説明されなければならない。
【0061】
ここでは、ただ1つの暗号化/解読アルゴリズムが適用されるようにセキュリティポリシー構造が限定されることができるならば、ただ1つの認証アルゴリズムが適用され、および/またはただ1つのカプセル化アルゴリズムが適用されることが提案される。これは許容できないほどに限定的であるが、実際には、多数の応用は暗号化および/またはカプセル化および/または認証の1種類だけを必要とする。例えば終端間セキュリティの文脈では、ソースおよび/または目的地対は良好に規定される。したがって、IPアドレスが範囲、サブネット等ではなくエンドポイントを特定しなければならないことを必要とすることは甚だしく限定的なことではない。TCPポートはワイルドカード化される可能性があるが、大きな効率がIPアドレスでより多くの特異性を必要とすることにより実現されることができる。
【0062】
1実施形態では、ポリシーはインバウンドまたはアウトバウンドパケット転送に必要とされるポリシーチェック方法では非常に少ないように、狭く特別に規定される。例えばESP、3DES−CBC、およびHMAC−SHA1 IPだけがSPDエントリ中でそれぞれカプセル化、暗号化、認証のために使用されることが特定されてもよい。TAASチップ中で動作するIPSecマイクロエンジンでは、ポリシーは盲目的である。即ち、適切な連結構造とセキュリティ関連の存在はフローのためのポリシーが存在するか否かを決定するのに十分であり、通知された限定のためにただ1つのこのようなポリシーが存在する。したがって、出力パケットがセキュリティを必要とことが発見されるならば、セキュリティを必要とする全てのパケットが同一アルゴリズムのセットを使用して、暗号化され、認証され、および/またはカプセル化されるように問題が限定されるので、適切なセキュリティポリシーを調べる必要はない。
【0063】
1実施形態では、セキュリティを所定のアウトバウンドパケットへ適用するか否かの決定でさえも不必要にされる。この場合、全ての出力パケットはセキュリティを必要とするように見られ、全てのパケットは同一方法を使用して、認証および/または解読、および/またはカプセル化されるので、対応するセキュリティポリシーを検索する必要はない。別の実施形態では、出力パケットは特定の出力パケットがセキュリティを必要とするか否かを確証するため個々に検査されデータベースに対して比較される。
【0064】
本発明の1特徴にしたがって、出力パケットに関連するソースアドレス、目的地アドレス、ソースポート、および/または目的地ポートはIPSecセキュリティ関連データベース中へのインデックスとして直接使用される。1実施形態では、TCP接続とIPSecセキュリティ関連の対との間にIPSecセキュリティ関連は1対1の対応が存在するように限定される。したがって、出力パケットに関係するソースアドレス、目的地アドレス、ソースポート、および/または目的地ポートの使用は必要とされるIPSecセキュリティ関連に直接的に導かれることができる。別の実施形態では、TCP接続当り少数のIPSec関連が可能にされる。したがってIPSec関連データベースの検索はセキュリティ関連問題が限定されなかったときに発見される数千のIPSec関連の代わりに所定の出力パケットの多数のIPSecセキュリティ関連になる。一度多数のIPSec関連が得られると、任意の知られた技術が出力パケットで使用されるのに丁度適したIPSecセキュリティ関連を正確に指摘するために使用される。
【0065】
セキュリティポリシー関連問題をインテリジェントに限定することによって、応用可能なセキュリティポリシーの検索タスクは消去される。付加的にまたは代わりに、出力パケットがセキュリティを必要とするか否かの決定タスクは除去される。付加的にまたは代わりに、TCP接続当りの可能なIPSecセキュリティ関連数の限定は必要とされるIPSecセキュリティ関連を得るために必要とされる計算を少なくする。応用可能なセキュリティポリシーとIPSec関連とを得るタスクを簡単にすることによって、本発明は(例えば1Gビット/秒以上の)高いデータ速度でさえもワイヤ速度でセキュリティを実行することを可能にする。ワイヤ速度でセキュリティを実行する能力は特に、頻繁なIKE処理、例えばIKEピアの認証とキーイング材料の生成を必要としない長寿命の接続に関して特に応用可能である。
【0066】
図5は、本発明の1実施形態にしたがって、マスターIPSecエンジンと複数のオフロードIPSecエンジンとを使用してIPセキュリティ処理をオフロードするシステムの機能ブロックを表している。マスターIPSecエンジンはIPSecセキュリティ関連のオフロードを分配し、IPSecオフロード能力を呼び出す。好ましくはマスターIPSecエンジンは最初の接続設定を処理し、IKE処理と同一のプロセッサに位置されている。
【0067】
1実施形態では、プロトコル制御プロックがインバウンドおよびアウトバウンドトラフィックに関するセキュリティ関連情報を維持するためにNPPにより使用される。図6は、1実施形態において、主要な機能コンポーネントとそれが維持されるのに必要とされる状態を示す図である。これは“記録レベル”情報であり、図はインバウンドおよびアウトバウンドトラフィックに対するTCP、IP、IPSec、SA制御ブロックの関係を示している。前述したように、PCBの組織および使用はNPPにより維持される。
【0068】
接続設定に関しては、TCPオフロードと共に動作するとき、IPSecおよびTCP処理のオフロード順序は重要である。接続を設定するため、以下の事象の流れが適用される。第1に、アウトバウンドTCP接続リクエストはマスターIPSecエンジンにより受け取られる。セキュリティが必要とされるならば、TCPパケットは待ち行列され、マスターIPSecエンジンはセキュリティ設定のためにIKEまでリクエストを手渡す。適切なセキュリティ関連がマスターIPSecエンジンに手渡され、セキュリティ関連がマスターIPSecエンジンにより特定のIPSecオフロードエンジンへオフロードされる。その後、待ち行列されたTCPパケットが再度スタートされる。他方で、セキュリティが必要とされないならば、パケットは通過を可能にされる。TCPオフロードが所望されるならば、TCPオフロードはその後生じる。
【0069】
IPSecセキュリティ関連とTCP接続のオフロードは順番に実行されることが好ましい。IPSecオフロードが最初に行われることが好ましく、その後TCP接続がオフロードされる。同様に、“アンロード”接続のとき、動作は好ましくは逆の順序で行われる。TCP接続はアップロードされ、その後、IPSec関連がアップロードされる。
【0070】
既に存在するセキュリティ関連へTCP接続を付加することが可能である。図6に関して、多対1の関係がTCP PCBとIPSecPCBとの間に存在するので、1対1関係のみが存在する“逆ポインタ”を維持することが有効である。インバウンドパスでは、この条件が満たされないならば、TCB PCBルックアップが実行される。
【0071】
1実施形態では、3つのAPI、即ちポリシーマネジャーAPI,マスターエンジンAPI、IPSec用のマスター/NPPオフロードAPIが使用される。好ましくは、ポリシーマネージャAPIとマスターIPSecエンジンAPIは(例えば埋設されたプロセッサ中で)対で動作し、IPSec用のオフロードAPIを使用してNPPと通信する。
【0072】
以上、本発明を幾つかの好ましい実施形態に関して説明したが、本発明の技術的範囲内に入る多くの変更、交換、均等物が存在する。ここで説明した多数の実施形態は別のものを使用するか、所定のシステムで共に使用されてもよいことに注意しなければならない。本発明の方法および装置を構成する多数の別の方法が存在することにも注意すべきである。それ故、特許請求の範囲は本発明の技術的範囲内に入る変更、交換、均等物を含むものとして解釈することを意図している。
【図面の簡単な説明】
【0073】
【図1】データが公共ネットワークを横切るときのデータセキュリティを確実にするデータ通信構造の概略図。
【図2】ホストベースのセキュリティ構造の1構成の概略図。
【図3】本発明の1実施形態にしたがって、高速度のTCP加速とデータセキュリティをホストベースのセキュリティ環境に設けるのに適した革新的なTCP加速およびセキュリティ(TAAS)集積回路の概略図。
【図4】本発明の1特徴にしたがって、2つのホスト間で送信されるパケットに対してセキュリティを適用するためにIPSecセキュリティ関係を生成するためのプロセスを示す図。
【図5】本発明の1特徴にしたがって、マスターIPSecエンジンと複数のオフロードIPSecエンジンを使用してIPセキュリティ処理をオフロードするシステムの機能ブロック図。
【図6】1実施形態において、主要な機能コンポーネントとそれが維持されるのに必要とされる状態を示す図。
【0001】
本発明はデータ通信でセキュリティを実行するための装置および方法に関し、特にデータ通信応用でホストベースのセキュリティを実行するための装置および方法に関する。
【背景技術】
【0002】
特に汎用およびインターネットにおけるデータネットワーク化の増加により、ビジネスおよび組織はそれらの通信の要求に対してコンピュータネットワークに依存することが増加している。今日では、多量のデータ、多くは重要なまたは秘密のデータが私設および公共のネットワークを横切ってコンピュータからコンピュータへ送信されることは共通のことになっている。
【0003】
ユーザがデータ通信およびデータ記憶要求でコンピュータネットワークへの依存度が増加するほど、ネットワーク管理者はデータのセキュリティについてさらに関心が高まる。データパケットが1つのコンピュータから別のコンピュータへ送信されるとき、そのデータパケットは私設ネットワークと(インターネットなどの)公共ネットワークとの両者を横切る。ネットワークのホップ毎にデータパケットはデータパケットをその目的地の方向に対して適切な次のホップへ送るためにネットワークノード(ルータ、スイッチ、ブリッジ、ゲートアレイ等)により処理される。公共ネットワークノードとその公共ネットワークノードを相互接続する(光学的、有線または無線等の)公共ネットワーク通信媒体とは典型的に任意の1つのエンティティの制御下にはないので、データが公共ネットワークを横切るときはいつでも、固有のセキュリティの危険性が存在することが長期間にわたって認識されている。したがって、公共ネットワークにおけるデータセキュリティは長年にわたる研究および開発の焦点である。
【0004】
説明を進めるため、図1はデータが公共ネットワークを横断するときのデータセキュリティを確実にするためのデータ通信構造を示している。図1に示されているセキュリティ構造はセキュリティが私設ネットワークの周辺またはエッジでデータに適用され、それによってデータが私設ネットワークを出て公共ネットワークに入るときにデータが許可されていないアクセスおよび/または不正行為に対して保護されることを確実にするので、永久セキュリティまたはネットワークエッジセキュリティとして知られている。
【0005】
図1を参照すると、例示的な組織のイントラネットを表している私設ネットワーク102が示されている。私設ネットワーク102は例えば構内ネットワークまたは仮想私設ネットワーク中のコンピュータおよびワークステーションを表している複数のコンピュータ104、106、108を含んでいる。私設ネットワーク102はまた例えばメールサーバまたはデータ記憶設備を表すサーバ110も含んでいる。コンピュータ104、106、108が他のネットワークの設備をアクセスし、遠隔コンピュータが私設ネットワーク102の設備をアクセスすることを可能にするために、私設ネットワーク102に結合された仮想私設ネットワーク(VPN)ゲートウェイ112が示されている。
【0006】
周辺のセキュリティを実行するために、セキュリティ能力はVPNゲートウェイで提供される。例えば私設ネットワーク102からのデータ通信は公共ネットワーク114に送出される前にVPNゲートウェイ112で認証および/または暗号化される。類似のVPNゲートウェイ132は他の私設ネットワーク134に関連するコンピュータ136のようなコンピュータ1つから送信されるデータを暗号化するために別の私設ネットワーク134と公共ネットワーク114との間で結合されて示されている。私設ネットワーク134のコンピュータ136が私設ネットワーク102のコンピュータ104と通信することを求めているならば、例えばコンピュータ136と104との間のデータ流はVPN112と132により認証される。認証が成功したならば、コンピュータ136からのデータパケットは私設ネットワーク134に関連するVPNゲートウェイ132により暗号化され、コンピュータ104に送信される前に、私設ネットワーク102に関連するVPNゲートウェイ112により解読されるまでこれらが公共ネットワーク114を横切るとき暗号化されたままの状態である。暗号化/解読はまたコンピュータ104からコンピュータ136へ送信されるデータパケットに対しても類似して行われる。したがって、公共ネットワーク114を横切るゲートウェイ132とゲートウェイ134間のデータ通信は秘密を保護される。
【0007】
図1はまた例えば旅行会社の社員のラップトップコンピュータを表す遠隔コンピュータ140を示している。遠隔コンピュータ140は典型的に認証および/または暗号化/解読能力を含んでいるそれ自身のVPNゲートウェイ機能が与えられている。典型的な場合には、私設ネットワーク140内で行われるための遠隔コンピュータ140からの遠隔アクセスは約56Kbpsのダイヤルアップ接続、約1Mビット/秒以下のDSL(デジタル加入者線)接続、または類似の速度のケーブルモデム接続のような比較的低速度の接続により実現される。高速度のデータ通信は問題ではないので、VPNゲートウェイ機能はハードウェア、ソフトウェア、またはその両者の組み合わせを使用して種々の通常の方法により遠隔コンピュータ140内で構成されることができる。
【0008】
幾つかの構成では、私設ネットワーク内のある戦略的なサーバには同様にセキュリティ能力が与えられている。例えば私設ネットワーク102内のメールサーバ110には、メールサーバ110とのデータ通信が適切に暗号化され認証されることを確実にするための認証および/または暗号化/解読能力が与えられてもよい。
【発明の開示】
【発明が解決しようとする課題】
【0009】
時間の経過で、周辺ベースのセキュリティ構造はセキュリティの脅威の1つの深刻な原因を解決できないことが学習されている。例えば、時間の経過で、所定の会社のネットワークで検出されたセキュリティ違反の大半は企業の私設ネットワーク自体内のユーザに追跡可能であることが学習されている。換言すると、データ通信は私設ネットワークを出ても、データが私設ネットワーク内の1つのコンピュータから同一の私設ネットワーク内の別のコンピュータへ送信されるとき、またはデータが私設ネットワークに接続されたコンピュータまたはサーバの1つに記憶されるときにデータセキュリティは妥協される大きな危険性が依然として存在する。このセキュリティの危険性の形態、即ち私設ネットワークの内部ユーザからのセキュリティリスクは周辺ベースのセキュリティ構造がネットワーク周囲を越えて送信されるデータのセキュリティだけを解決するので、周辺ベースのセキュリティ構造によっては解決されない。例えば私設ネットワーク102内等のネットワーク周辺内で、コンピュータ102とコンピュータ104との間のデータ通信は周辺ベースのセキュリティ方式では基本的に保護されない。
【0010】
私設ネットワーク内のデータセキュリティの構造はさらに高いデータ速度に関連する技術的な問題によって複雑にされる。企業ネットワークおよび私設ネットワーク内のユーザは高速度のデータ通信を期待するように調整されている。例えば、ブロック記憶として知られている応用のクラスでは、データ記憶はネットワークのサーバを中心とし、個々のユーザのコンピュータは彼らがネットワークに接続されているときはいつでもネットワークに記憶されたデータをアクセスするためにiSCSI(基本的にTCPにおけるSCSI)のようなブロック記憶プロトコルを使用する。中央化されたデータ記憶はしばしば多数の利点を組織に与え、その中にはデータにおける中央化制御および管理、守るための記憶位置がほとんどないため改良されたデータセキュリティ、信頼性のある保管/消去機能をアーカイブし実行する能力などが存在する。明白に、この応用のクラスは、秘密保護接続に加えて、ユーザのコンピュータとネットワークデータ記憶設備間に非常に低い待ち時間と高い帯域幅接続を必要とする。これはデータの記憶がユーザの固有のコンピュータのハードドライブにローカルであるときに常に言えるように、データアクセスがほぼ遅延なしに行われることを期待するためにユーザが調節されているからである。ユーザのコンピュータとネットワークデータ記憶設備との間の接続が遅いならば、ユーザは単にデータ、さらに臨界的で感応するデータを彼ら固有のハードドライブに記憶する労力の少ない方法に戻るので、中央化されたデータ記憶は成功しない。
【0011】
他方で、セキュリティ構造はセキュリティ規則の集約的数学特性および大きさのために、データ通信遅延を悪化する恐れがある。この理由で、特にブロック記憶などの帯域幅および待ち時間に敏感な応用で、内部セキュリティリスクを解決し、私設ネットワーク内で高いデータ速度の要求を満足するデータセキュリティに対する技術的に満足され、経済的な解決策は存在しない。
【課題を解決するための手段】
【0012】
本発明は1実施形態では、機密のデータがホストコンピュータまたはネットワーク化された装置を出るときには常に、データのセキュリティが適用されるようにホストベースのセキュリティを実行するアーキテクチャに関する。さらに、本発明の1実施形態によれば、例えばiSCSIプロトコルを使用するブロック記憶に関連するTCP加速タスクをオフロードし、および/またはホストベースのセキュリティ関連タスクをオフロードするための方法およびアーキテクチャが提供される。
【0013】
1実施形態では、改良された方法およびアーキテクチャは速度、パワー消費、空間利用の理由で単一の集積回路で実行される。速度とフレキシブル性との両者を与えるために、ハードウェア構成、ネットワークプロセッサ構成、ソフトウェア実行機能の組み合わせが与えられる。1実施形態では、セキュリティ関連構成に関係するあるパラメータは、(1Gビット/秒のような)高いデータ通信速度で経済的なワイヤ速度セキュリティの実行を可能にするようにインテリジェントに限定されている。
【0014】
1実施形態では、革新的なホストベースのセキュリティアーキテクチャはラインレートのPSec加速、TCP加速、またはその両者を提供できる単一の集積回路を含んでいる。セキュリティ処理が実行されるターゲット環境は1よりも多数の形態を有することが認識されているので、IKE機能はモジュールにされ、ホストシステム、IPSec/TCPオフロードIC自体および/またはIPSec/TCPオフロードICの埋設されたプロセッサ部分で構成されることができる。
【0015】
本発明のこれらおよび他の特徴を添付図面を伴って、以下の本発明の詳細な説明でさらに詳細に説明する。
【発明を実施するための最良の形態】
【0016】
本発明を限定ではなく例示の目的で説明するが、添付図面の図では同一の参照符号は類似の素子を示している。
本発明を添付図面で示されているような、幾つかのその好ましい実施形態を参照して詳細に説明する。以下の説明では、多数の特別な詳細は本発明の理解を通して与えられるように説明されている。しかしながら、本発明はこれらの幾つかまたは全ての特別な詳細なしに実施できることが当業者には明白であろう。他の例では、よく知られた処理ステップおよび/または構造は本発明を不必要に不明瞭にしないために、詳細には説明しない。
【0017】
私設ネットワークの内外での機密データの通信のためのデータセキュリティを充分に確実にするためここで本発明を考慮すると、データセキュリティは機密データがホストコンピュータまたはネットワーク化装置を出るときにはいつでも適用されなければならない。違った言い方をすると、機密データは周囲セキュリティ方式の場合のように私設ネットワークの周辺を出るときだけではなく、私設ネットワーク内でも秘密保護されなければならない。ホストベースのデータセキュリティとして知られているこのようなデータセキュリティ構成は、機密データを送信または受信するネットワーク中の各ホストでセキュリティ能力の提供を要求する。
【0018】
図2は、ホストベースのセキュリティ構造の1構成を示す図である。図2を参照すると、各コンピュータ202、204、記憶装置206、遠隔コンピュータ208にはIPセキュリティカプセル化(ESP)、および/またはこれらの各ネットワークノードから送信されまたはそこで受信される機密データの暗号化/解読を確認し実行するセキュリティ能力が設けられている。さらに、これらの各ネットワークノードでのセキュリティ構造は転送層セキュリティ(TLS)をしのぐ。IP層で主に動作するIPSecと対照的に、転送層で動作するTLSは高速度で低い待ち時間のネットワークでは適切ではないと考えられている。したがって、機密データがネットワークノードを出てネットワーク媒体(私設または公共にかかわりなく)に接触するときにはいつでも、その機密データは秘密保護にされる。私設ネットワークの周辺におけるセキュリティ実行装置としてのVPNゲートウェイの役割はもはや必要ではない。
【0019】
しかしながら、ホストベースのセキュリティ方法について挑戦が行われている。ネットワークセキュリティに精通する人によく知られているように、データ通信の認証、パケットのカプセル化、パケットの暗号化/解読に関係するタスクはかなりの計算処理を必要とする。ホストへ出力されるならば、このようなセキュリティ関連のタスクは特に1Gビット/秒のワイヤ速度以上のデータ通信ではホストのコンピュータ計算リソースを迅速に支配する。さらに、ネットワークが実行するネットワークベースのデータ記憶、特にブロック記憶では、iSCSI関連のタスク、即ちTCPパケットで転送するためのSCSIコマンドおよびデータをカプセル化し、カプセル化を解除することに関係するタスクはまたホストの多量の計算処理リソースを必要とすることが発見されている。1Gビット/秒以上のワイヤ速度では、典型的なホスト装置がホストの自分のCPUを使用して、タイムリーな方法でTCP関連のタスクおよびセキュリティ関連のタスクの両者を処理することは実際的に不可能になる。したがって、本発明者はここで、経済的で高速度の装置がホスト装置の代わりにあるTCP関連のタスクとあるセキュリティ関連のタスクを処理するために生成されることができないならば、秘密保護ネットワークベースのデータ記憶のような応用が広く採択されることは困難であると考えている。
【0020】
本発明の1つの特徴にしたがって、例えばiSCSIプロトコルを使用してブロック記憶に関連するTCP加速タスクをオフロードし、ホストベースのセキュリティ関連のタスクをオフロードするための方法およびアーキテクチャが与えられている。この点では、ネットワークセキュリティの幾つかの基本的な概念を再検討することが有効である。
【0021】
本発明の1つの応用では、インターネットプロトコルセキュリティまたはIPSecに準じたセキュリティ処理が行われる。IPSecはこの実施形態ではインターネットエンジニアリングタスクフォース(IETF)により規定されている文書およびプロトコルのファミリを指している。規定の基本的な集合は例えばRequest For Comments(RFC)文書2401乃至2412[RFC2401-RFC2412]に見られ、これらはここで参考文献とされている。例えばRFC2401にしたがって、IPセキュリティアーキテクチャの基本コンポーネントはセキュリティプロトコル、セキュリティ関連、キー管理、認証および/または暗号化のアルゴリズムを含んでいる。
【0022】
セキュリティプロトコルは認証ヘッダ(AH)とカプセル化セキュリティペイロード(ESP)に関する。セキュリティ関連問題は、これらが何であり、どのように動作し、どのように管理されるかのような関連する処理を含んでいる。インターネットキー管理(IKE)はマニュアルと自動のいずれかに特定されてもよい。本発明の説明の文脈では、IPSecはセキュリティプロトコル、セキュリティ関係、キー管理を含んでいる。
【0023】
認証および/または暗号化のための特別なアルゴリズムは特定のシステムで特定されてもよい。これらのアルゴリズムは典型的に連邦情報処理標準出版(FIPS PUBS)で文書にされている米商務省標準技術局(NIST)により作成され規定されている。
【0024】
RFC2401で説明されているように、セキュリティ処理には2つの公称上のデータベース、即ちセキュリティポリシーデータベースとセキュリティ関係データベースが関係されている。前者はホスト、セキュリティゲートウェイまたはBITSまたはBITW IPSecから入来するかそこへ出力される全てのIPトラフィックの処置を決定するポリシーを特定する。後者のデータベースは各(アクチブ)セキュリティ関係に関連されるパラメータを含んでいる。
【0025】
前述したように、TCP/IPイーサネットネットワークでのラインレート処理を実現するために主な障害が存在する。セキュリティ処理のIKEとIPSecはTCP/IPで必要とされるよりも大きな処理を付加する可能性がある。ラインレートが可能な秘密保護IPSecネットワークの生成はソフトウェアではほぼ不可能である。特定されたハードウェアでさえも、伝統的なセキュリティポリシーは問題があり、高価である。
【0026】
RFC2401にしたがって、SPDは非IPSecを含む全てのトラフィック(インバウンドおよびアウトバウンド)の処理中に検討されなければならない。(インバウンドまたはアウトバウンドトラフィックで)パケットに一致するSPDにポリシーが発見されないならば、パケットは廃棄されなければならない。
【0027】
SPDの例示的なエントリは以下のようである。
目的地IPアドレス *
目的地TCPポート番号 3260
ソースIPアドレス 10.29.2.5
ソースTCPポート番号 *
プロトコル ESP
暗号化アルゴリズム 3DES−CBC
認証アルゴリズム HMAC−SHA1
VPNゲートウェイでは、数千のこのようなエントリが存在する。さらに値はワイルドカード化され、範囲により特定され、特定されたIPアドレス等を含んでいる。各個々のパケットに適用するポリシーを決定するプロセスは挑戦的な問題である。“一致”を決定するために必要とされるコンピュータ処理は多数のSPDエントリ比較を含んでいる。ほとんどのVPNゲートウェイはこの問題に対処するための特定されたハードウェアを使用する。しかしながら、問題はほとんどの秘密保護ネットワークとして完全に解決されず、今日、IPセキュリティが適用されるときそれらの潜在的なラインレートの一部で動作する。簡潔に言うと、セキュリティポリシーに関する問題は、高速度ネットワークが必要とするセキュリティでは、現在の解決策は高速でもなく、廉価でもない。これらは低速度で高価である。
【0028】
改良された方法およびアーキテクチャは好ましくは速度、パワー消費、空間使用の理由で単一の集積回路中で実行される。これはIPSecに対する従来の方法と対照的であり、これは多数のアダプタにおける多数の集積回路、単一のアダプタ(ルックアサイド)における多数の集積回路、または単一のアダプタ(インライン)における多数の集積回路の使用を含んでいる。単一の集積回路方法は従来の方法の固有の設計の複雑さ、高い費用、設計の複雑さ、発熱を防止する。本発明のアーキテクチャとの組み合わせでは、単一の集積回路方法はIPSec加速に対する従来技術の方法を使用して実現できない方法でラインレート処理を促進する。
【0029】
速度とフレキシブル性との両者を提供するために、ハードウェア構成、ネットワークプロセッサ構成、ソフトウェア実行機能の組み合わせが与えられる。さらに方法およびアーキテクチャをさらに高いラインレート(例えば10Gビット/秒以上)へスケール可能にするため、セキュリティカプセル化、暗号化/解読に関係するアルゴリズム等のある機能ブロックはモジュール的に規定されモジュール的に集積回路に構成され、それによってラインレートの増加と共に他の適切な機能ブロックによる迅速な置換を促す。
【0030】
さらに、アーキテクチャは単一の集積回路がラインレートIPSec加速、TCP加速またはその両者を提供することを可能にする。集積回路は好ましくはIPSecとTCPのオフロードを独立して処理する。1実施形態では、オフロードの順序は重要であることが認識される。例えば秘密保護接続および流れでは、IPSec関係は好ましくは最初にオフロードされ、それに続いてTCP接続のオフロードが行われる。TCP接続のその後のオフロードは既存のIPSecセキュリティ関係を使用する。同様に“アンロード”接続のとき、動作は好ましくは反対の順序で行われる。即ちTCP接続はアップロードされ、その後IPSec関係がアップロードされる。
【0031】
本発明の別の実施形態によれば、セキュリティ処理が実行されるターゲット環境は1よりも多数の形態を有することが認識される。例示的な形態は例えばホストシステムおよび、スイッチ、ルータ、および/またはゲートウェイ等の他のネットワーク装置を含んでいる。ホストシステムでは、IKE処理をホストに委ね、IPSecエンジンが集積回路中に存在することを可能にすることは有効である。他方で、ネットワーク装置では装置がIKEのサポートのために必要なプロセッサを提供することは可能ではない。このためIKEコンポーネントはIPSec/TCPオフローディングIC自体に存在し、さらに好ましくはIPSec/TCPオフローディングICの埋設されたプロセッサ部分に存在する。IPSec/TCPオフローディングICの埋設されたプロセッサおよび他のブロックをここで以下説明する。
【0032】
種々のオペレーティングシステム、OSスタック組織、および潜在的な構造をサポートするための最大のフレキシブル性を与えるために、本発明のアーキテクチャは多機能装置のサポートを含んでいる。一般的に、オペレーティングシステム(ウィンドウズ、Linux、Solaris、HP/UX等)は典型的にPCI装置等のハードウェアアダプタを通る2つの主要なパス、即ち記憶スタックとネットワークスタックを有する。これらのスタックは独立して動作する傾向がある。提案された多機能装置は同時に装置にアクセスするために両者のオペレーティングシステムスタックに適合する。さらにまたは代わりに、多機能装置はIKEとIPSecコンポーネントのフレキシブルな構造を可能にし、IKE機能がターゲット環境がホストベースのとき、アウトボードで、またはホスト自体で実行されることを可能にする。
【0033】
さらにデータ通信速度が増加すると、本発明者はここで伝統的なセキュリティポリシー構造がボトルネックからワイヤ速度のセキュリティ構造を表していると考慮する。経済的でワイヤ速度のセキュリティ構造をこれらの(1Gビット/秒以上として規定されている)高いデータ通信速度で実現するため、インテリジェントな方法でセキュリティ関係構造に関連するあるパラメータを限定することが重要である。そうでなければデータ通信は遅くされるか、異種であり、高価な高速度コンピュータ処理装置は伝統的で限定されていない状態のセキュリティポリシー構造を処理することに必要とされる。
【0034】
セキュリティ関係問題をインテリジェントに限定することによって、あるとしたらごく少量の機能が妥協される。交換では、減少されたコンピュータ処理の要求は改良された方法およびアーキテクチャがさらに経済的で高いラインレートに対してスケール可能に実行されることを可能にする。これは結果的な集積回路をホストベースのセキュリティおよびネットワークベースの記憶が実行されるネットワークで使用するのに、実際的で経済的にする。
【0035】
本発明は図面および以下の説明を参照して良好に理解されるであろう。図3は本発明の1実施形態にしたがって、高速度のTCP加速とデータセキュリティをホストベースのセキュリティ環境に設けるのに適した革新的なTCP加速およびセキュリティ(TAAS)集積回路を示している。本発明のTAASは特に長寿命の接続用のセキュリティを与えるのに適切している。ここで使用される用語、長寿命の接続はデータ転送が行われなくても2つのホスト間で開いた状態のままの接続である。長寿命接続の1例はユーザコンピュータがネットワークベースのデータ記憶設備と接続しようと望むときに開かれる接続である。ユーザは常にデータを転送してはいないが、コンピュータは開いた状態である。対照的に、一時的な接続はデータ転送のバーストが完了するとすぐに、またはその直後に閉じる接続である。ブラウザは例えばサーバからユーザコンピュータへページの形態でデータを送信するために一時的な接続を使用する。
【0036】
TAAS302はハードウェア回路部分(HW)304、1組のネットワークプロトコルプロセッサ(NPP)306、1組の埋設されたプロセッサ(EP)308を含んでいる。ハードウェア部分304はある高速度のTCP加速とセキュリティ関連アスクを処理するように構成されている。他方で、NPP306は僅かに遅い速度にもかかわらず、より大きい構造のフレキシブル性を与え、TCP加速とセキュリティ関連タスクの異なるセットを処理するように構成されている。EP308はさらに遅い速度にもかかわらず、構造およびプログラミングでもっとも大きいフレキシブル性を与える。EP308はフレキシブル性が速度よりも重要であるTCP加速およびセキュリティ関連アスクを処理するために使用される。TAAS302の3つの主要な機能ブロック(即ちHW304、NPP306、EP308)間でTCP加速とセキュリティ関連タスクを分割することにより、データ送信速度と構造のフレキシブル性の両者を最適にすることが可能であり、これはTAASが異なる速度および異なるホストで動作するように容易に向上および/または構成されることができる。
【0037】
ハードウェア部分304は一時的なデータ記憶と命令の実行に必要なメモリ(通常RAMまたはDRAM)に加えて、ギガビットMACエンジン(メディアアクセス制御装置)回路を含んでいる。一般的に、ハードウェア部分は多数のコンポーネント、即ち1以上の暗号化ハードウェア装置、1以上の認証ハードウェア装置、および随意選択的にRSA/DH加速装置を含んでいる。RSA/DH加速装置は埋設されたプロセッサまたはホストでIKE処理をオフロードするために使用される。1実施形態では、ハードウェア部分はデータ流の暗号化を実行する3DES−CBCおよび認証を実行するHMAC−SHA1を含んでいるパケットのセキュリティ機能を与えるように構成されている。単一のチップ設計では、空間、複雑性、パワー要求の問題によりハードウェアアルゴリズム数を限定することが望ましい。3DES−CBCは3−DES Cipher Block Chainingを表し、データ流暗号化の広く知られた技術である。HMAC−SHA1は広く知られたハッシュ認証技術を実行する。これらのセキュリティ機能の詳細は当業者によく知られており、ここでは簡潔性のために詳細に説明しない。
【0038】
NPP306はiSCSI関連およびTCP加速機能を含んでいる。これらのiSCSI関連機能はTCPにわたって転送するためのSCSIコマンドおよびデータのパッケージングを処理する。NPP306で行われるTCP加速は例えばTCPカプセル化、セグメント化、混雑の制御、保証された順序付けられたパケット転送等を含んでいる。セキュリティ関連の機能に関しては、NPP306はIPSec加速、セキュリティヘッダカプセル化、セキュリティ加速/セキュリティポリシーデータベース(SA/SPD)ルックアップを含んでいる。
【0039】
セキュリティ関係(SA)はIPSec制御ブロックをアクセスし適切なポインタを受信することを含んでいる。セキュリティポリシーデータベース(SPD)ルックアップはアウトバウンドパケットとインバウンドパケットで異なっている。アウトバウンドパケットに対してはSPDルックアップは典型的に適切なIPSecプロトコル制御ブロック(IPSec PCB)をアクセスするために(IPソースアドレス、IP目的地アドレス、TCPソースアドレス、TCP目的地アドレス等の)SPDセレクタを検索することを含んでいる。IPSec PCBの情報に基づいて、パケットは廃棄され、通過を可能にされ、またはパケットに与えられる幾つかのセキュリティタイプを有する。IPSec PCBの情報がセキュリティが保証されることを示すならば、正しいセキュリティ関連が出力されるパケットに対して得られるように、セキュリティ関連(SA)データベースに対するポインタが存在する。
【0040】
インバウンドパケットは暗号化されてもよく、暗号化されなくてもよい。暗号化されたインバウンドパケットでは、SPI(セキュリティプロトコルインデックス)はIPSec PCBを検索するために使用される。1実施形態では、SPIは応用可能なIPSec PCBに対するインデックスである。応用可能なIPSec PCBで特定されたセキュリティポリシーはその後解析され、インバウンドパケットを廃棄するためにインバウンドパケットの通過を可能にするか、またはポリシーの支配により必要とされるように任意の他のアクションを取るかを確認するためインバウンドパケットに対して比較される。暗号化されないインバウンドパケットに対しては、IP PCBルックアップは応用可能なIPSec PCBを検索するために行われる。暗号化されたインバウンドパケットの場合のように、応用可能なIPSec PCBが一度検索されると、ここで特定されているセキュリティポリシーはその後解析され、インバウンドパケットを廃棄するためインバウンドパケットの通過を可能にするか、またはポリシーの支配により必要とされるように任意の他のアクションを取るかを確認するためインバウンドパケットに対して比較される。
【0041】
NPP306は基本的にネットワークプロトコル処理に良好に適した“マイクロエンジン”である。これらの多数のネットワークプロセッサのそれぞれは限定されたコードメモリと、スクラッチパッドデータメモリとを含んでいる。NPPはさらに大きい速度でパイプライン化される。1実施形態では、2K命令が各ネットワークプロセッサに与えられる。NPPにより与えられる利点は、最適にされた命令セットの使用、他のハードウェアコンポーネント(????)へのフルアクセス、サイクルの効率を含んでいる。NPP306は単一のネットワークプロトコルプロセッサと考えてもよく、または複数のネットワークプロトコルプロセッサであってもよい(与えられるNPP数は予測される特定の計算負荷、コードサイズ、所望される速度に基づいている)。当業者により認識されることができるように、これらの機能は時間にわたって認識を必要とする傾向があり、依然として汎用目的のプロセッサにより提供されることができるよりも非常に大きい速度を必要とする。NPP306で実行されるようにマイクロコードでこれらの機能を実行することにより、比較的高い速度の利点が高い度合いのフレキシブル性で実現されることができる。
【0042】
1実施形態では、IPセキュリティ処理タスクは好ましくはNPPにより処理される。例えば、ESPカプセル化、ESPデカプセル化、セキュリティ関連(SA)ルックアップ、およびセキュリティハードウェアとの統合等のタスクは好ましくはNPPにより処理される。
【0043】
埋設されたプロセッサ308は典型的なデスクトップまたはラップトップコンピュータ、或いは特に計算処理が拡張できない汎用目的の処理に適したプロセッサで見られるプロセッサに類似している。本発明の文脈では、埋設されたプロセッサ308は高速度を必要としないが、TCP加速、IPSec、iSCSIオフロード等のサポートに必要とされる任意の他の動作を処理する。このような処理の例はサービス位置プロトコル(SLP)または記憶名サービス(iSNS)などのような発見プロトコルの配備を含んでいる。EP308はまたTCP接続の設定をサポートし、分解する。さらにEP308は証書処理、CRL(証書取消しリスト)のチェック用の軽量登録簿アクセスプロトコル、キー交換等のようなインターネットキー交換(IKE)機能をサポートする。IKE機能は通信ラインの他方の端部の装置が本当にその装置自体であることを表していることを確認するためIKEピア(peer)の認証を含んでいる。認証は例えばRSAおよび/またはデジタル署名標準を使用する。IKE機能はまた一度認証が実現されると、IPSec層のセキュリティ関連およびキー材料を与えることを含んでいる。これらの機能は高い程度のフレキシブル性と再プログラム能力を必要とするが、速度はもっとも重要な問題ではない。埋設されたプロセッサ(例えばARMプロセッサ)で実行されるためにファームウェアの形態でこれらの機能を実行することにより、高い程度のフレキシブル性が実現される。
【0044】
勿論、ホストプロセッサ自体内のソフトウェアもまたあるタスクを処理するために使用されることができる。ハードウェア、マイクロコード、ファームウェア、ソフトウェアの範囲では、ホストプロセッサでのソフトウェアの実行は、ホストの貴重な処理リソースの使用を犠牲にして、再プログラミングと再構成を非常に容易にする。
【0045】
図3はまたキー交換(IKE)ブロック312を示している。IKEはTAAS上でまたはホストにより実行されることができる。1実施形態では、RSA/DHなどのようなTAAS処理機能によりホストはほとんどのIKE機能を処理することができる。TAASは多機能装置として機能するように構成されることができる。その多機能の役目を実現するために、データパス320と322はTAAS302に設けられている。iSCSIパス320はSCSIコマンドおよびデータを伝播するためのパスを表している。TOE/NICパス322はTAAS302がNIC(ネットワークインターフェースカード)処理を行い、ネイティブネットワーク処理を加速するためのタスクに関連するTOE(TCPオフロードエンジン)を実行することを可能にする。異なるデータパスを設けることにより、ホストが異なる独立した駆動装置を使用し、同時にTAASに異なるタスクを行わせることが可能である。さらにほとんどのオペレーティングシステムは別々のネットワークスタックと別々の記憶スタックとを有する。TAASを別々の機能のための別々のデータパスを有する装置としてホストへ表すことによって、記憶スタックおよびネットワークスタックはより自然にTAASにマップする。
【0046】
1実施形態では、IKEブロック312はTAAS302の代わりにホストに構成される。この場合、NICパス322はホストのIKEブロック312が通信パスの他の端部のIKEピアを認証することを可能にするために使用される。認証が実現されると、IKEブロック312はキーイング材料とセキュリティ関連を与えることができる。全ての後続のデータパケットは秘密保護方法でiSCSIパス320によりその後送信されることができる。
【0047】
TAAS302の1つの重要な特徴はデータパケットの送信パスのインライン特性である。埋設されたプロセッサは、キーイング材料とIPSec関連を含んでいるデータ流のIKEの設定に使用される。その後、TAASへのデータパケット入力はネットワークプロセッサのセットおよびTAASのハードウェア部分に構成されているTCP、IP、IPSec、MACブロックにより実質上線形でインラインで処理される。
【0048】
1実施形態では、NPP306と埋設されたプロセッサ308との間のAPIは埋設されたプロセッサ308またはホスト自体においてIKE機能を実行することを可能にする用に規定される。これはIKEの機能の1つがIPSecセキュリティ関連およびキーイング材料を与えることであるためであり、これはIPSec加速機能を実現するためにNPP306によって使用される。API規定は通知機構を含んでおり、それによってNPP306で実行されるIPSec加速ブロックは(埋設されたプロセッサ308またはホスト自体で構成される)IKEに特定の通信セッションでIPSecキーイング材料のリフレッシュが必要であることを通知できる。IKEがホスト中に構成されるならば、NICパス322は通知のために使用され、またはiSCSIパス320は規定されたメッセージを使用して使用される。
【0049】
APIを適切に規定することにより、埋設されたプロセッサ308またはホストソフトウェアがIKE機能をどのように処理するかに関するフレキシブル性が実現される。ホストでIKE機能を処理することがより望ましいときには時間があるので、(例えばセキュリティ関連数が埋設されたプロセッサ308により管理されることができるよりも多数であるとき)、これは有効である。他方で、埋設されたプロセッサ308でIKE機能を処理することがさらに望ましいときがある。例えばTAASが実行される装置がホスト機能を与えることができないとき、例えばあるルータの場合のように、IKEはTAASチップ内の埋設されたプロセッサにより容易に行われることができる。
【0050】
図4は本発明の1特徴にしたがって、2つのホスト402と404間で送信されるパケットにセキュリティを適用するためにIPSecセキュリティ関係を生成するためのプロセスを示している。ホスト402と404間に長寿命の接続を設けるためにTCP加速およびセキュリティ関連タスクをオフロードするためにホスト402と404にそれぞれ結合された2つのTAAS406と408が示されている。ホストまたはTAASチップ自体から発信される接続リクエストを受信するとき、セキュリティ関連プロセスが開始する。図4を参照すると、ホスト404内のオペレーティングシステムが(LUN論理装置番号として知られている)ネットワーク中の論理エンティティの1つとのTCP接続を設定しようとしていると仮定する。ホスト404内のオペレーティングシステムはオペレーティングシステムがそれに利用可能な全ての論理エンティティに対して問合せするとき、例えばスタートアップ期間中に利用可能な全ての論理エンティティの存在を知ることができる。オペレーティングシステムがTCP接続の設定を望んでいるLUNがネットワークドライブであるならば、接続はSCSIコマンドおよびデータをカプセル化するTCP接続によりiSCSIプロトコルを使用して行われる。接続リクエストはまたTAASチップ自体から発生されてもよい。例えば、TAASはそれ自体、実行されるとき接続リクエストを発生するアプリケーションソフトウェアを実行してもよい。
【0051】
接続リクエストはTCP論理装置410へ送信され、これはTCP接続を設定するように応答する。接続リクエストを含むパケットはIPSec論理装置412へ送信され、これはこの新しいTCP接続リクエストについてセキュリティ関連がさらに存在しないことを決定する。結果的に、IPSec論理装置412はパケットを拒否して、セキュリティ関連が設定されながらTCPを再試行させるか、またはIPSec論理装置412がセキュリティ関連が設定されながらパケットを待ち行列することができる。
【0052】
2つのホスト間のセキュリティ関連は2つのホスト間の少なくとも1つのISAKMP(インターネットセキュリティ関連およびキー管理プロトコル)関連を含んでいる。IKEピアとのISAKMPセキュリティ関連がIKE層中で生じる。さらに2つのホスト間の各接続は1対のIPSec関連を含んでおり、これはIPSec層の関係に関する。IPSecセキュリティ関連の対はインバウンドトラフィックの1つのIPSecセキュリティ関連と、アウトバウンドトラフィックの1つのIPSecセキュリティ関連とを含んでいる。さらに後述されるように、IPSec関連はISAKMP関連から得られるキーイング材料から得られ、セキュリティの妥協のリスクを最小にするために時間にわたってリフレッシュされる。
【0053】
IPSec論理装置412がセキュリティ関連が存在しないことを決定したとき、それは接続リクエストに関する情報をIKE論理414へ送信し、これはネットワーク接続418によりTAAS406内のIKEピア416とのISAKMPセキュリティ関連を設定するための接続リクエストに関する情報を使用する。ISAKMPセキュリティ関連はとりわけターゲットホストがターゲットのホストであると想定されることを確証する。
【0054】
一度ISAKMPセキュリティ関連がIKEピア414と416との間で設定されると、各IKE論理装置は(例えば1Gビット/秒構成の3DES−CBCを使用して)IPSec関連を得るためにISAKMP関連からのキー材料を使用する。IPSecセキュリティ関連の導出は、リクエストされた接続に適用されるための適切なセキュリティポリシーを決定するために(所定のTCP接続に対して衝突および/またはオーバーラップするポリシーを含んでいる)セキュリティポリシーデータベースの操作を必要とする。この導出は計算処理が集約的であり、(結果的なキーイング材料は接続から接続で変化するが)それ自体のアルゴリズムが接続から接続で変化しないので、本発明がハードウェアで(3DES−CBC等の)IPSec関連導出アルゴリズムを実行することは異なる速度の利点を与える。(例えば10Gビット/秒の接続で)さらに高い帯域幅が必要とされるならば、3DES−CBC暗号化アルゴリズムはアドバンス暗号化標準(AES)カウンターモード等の高速度の、直列化ではない暗号化アルゴリズムにより置換され、HMAC−SHA1認証アルゴリズムは例えばAES XCBC−MAC(アドバンスト暗号化標準XテンションCBC−MAC)により置換されてもよい。AES XCBC−MACに関する情報はIETF(インターネットエンジニアリングタスクフォース)、IPSecワーキンググループ(www.ietf.org)にコンタクトすることにより発見されることができる。AES XCBC−MAC情報も米商務省標準技術局(NIST)で発見され、連邦情報処理標準出版(FIPS PUBS)で文書にされている。
【0055】
一度IPSecセキュリティ関連の対がリクエストされたTCP接続に対して生成されると、IPSecセキュリティキー材料はその後IPSec論理414によりインバウンドおよびアウトバウンドパケットに与えられる。勿論、セキュリティポリシーがTCP接続がゼロのセキュリティであることを示すならば、TCP接続に関するパケットへセキュリティをその後与える必要はない。もっと典型的には、幾つかのセキュリティポリシーがTCP接続に適用される。以後、ホスト402と404との間のそのTCP接続のデータ通信はホストベースの構造下で秘密保護される。幾つかのアルゴリズムはオーバータイムには脆弱であるので(例えば3DES−CBCはいわゆる誕生日のアタックまたはビット漏洩に対して脆弱である)、IPSecセキュリティキー材料はセキュリティの妥協を防止するために時間にわたってリフレッシュされてもよい。リフレッシュの頻度は部分的にアルゴリズムの強度、現在のIPSecセキュリティ関連を使用するデータの量等に基づいている。リフレッシュはISAKMPキー材料を使用して、IKE論理による新しいIPSecセキュリティ関連の導出を含んでいる。
【0056】
前述したように、伝統的なセキュリティ関連技術は出力するデータパケットへ適切にセキュリティを与えるために多量の計算リソースを必要とする。本発明の1特徴によれば、セキュリティポリシー関連問題はセキュリティポリシー関連のタスクをより効率的に実行するように限定されている。本発明のこの特徴の説明を容易にするために、セキュリティポリシー関連の簡単な概要が役立つであろう。パケットが送出される必要があるとき、セキュリティが出力パケットへ与えられる必要があるか否かと、必要がある場合には、どの種類のセキュリティポリシーが適用するかを決定することが重要である。さらに、パケットに対するIPSecセキュリティ関連が存在するか否かと、存在するならば、出力パケットに対するIPSecセキュリティ関連を得ることを確実にすることが重要である。
【0057】
セキュリティ関連問題が限定を解除される場合には、ある性能のボトルネックが存在する。第1に、適切なセキュリティポリシーを決定し、IPSecセキュリティ関連が存在するか否かを確認し、正しいIPSecセキュリティ関連を獲得するプロセス全体は計算処理が高価である。これはセキュリティ関連の試験があらゆる出力パケットに対して行われなければならない(応用可能であるならば適用される)ためである。
【0058】
セキュリティポリシーは典型的にセキュリティポリシーデータベースに記憶され、ソースアドレス、目的地アドレス、ソースポート番号、および/または目的地ポート番号によりインデックスされるので、出力パケットの適切なセキュリティポリシーの決定は挑戦的である。幾つかのポリシーはソースアドレスの範囲、目的地アドレスの範囲、ソースポート番号の範囲、目的地ポート番号の範囲または任意の他の基準から来るパケットへ適用される。セキュリティポリシーデータベースはまた、値のワイルドカードパラメータ、サブネット、範囲等をサポートする。正確に数百のセキュリティポリシーがワイルドカード、オーバーラップポリシー等により出力パケットに適用されることを単に発見するだけにセキュリティポリシーデータベースで特定の出力パケットのセキュリティポリシーを見出すことは異例ではない。さらに、セキュリティポリシーが適用すべき幾つかの予め規定された基準またはアルゴリズムに基づいて、全ての応用可能なポリシーを獲得し確認することが重要である。全てのこれらのタスクは勿論、多量の計算処理リソースを必要とする。
【0059】
一度、正しいセキュリティポリシーが確認されると、別の検索がIPSecセキュリティ関連が存在するか否かを決定するために実行される必要がある。IPSecセキュリティ関連が存在することが発見されるならば、IPSecセキュリティ関連データベースの別の検索が出力パケットのIPSecセキュリティ関連を得るために必要である。
【0060】
本発明の1特徴では、ある応用、例えば終端間セキュリティおよび/またはブロック記憶に対しては、暗号化、カプセル化、および/または認証に使用可能なアルゴリズムの数を限定できることが認識される。従来技術のセキュリティポリシーデータベースでは、暗号化/解読、カプセル化、および/または認証のための多数の異なるアルゴリズムが提供されることを想起する。これはセキュリティがVPNゲートウェイ等のゲートウェイで実行されるとき、出力パケットに遭遇する毎に全ての可能性が説明されなければならない。
【0061】
ここでは、ただ1つの暗号化/解読アルゴリズムが適用されるようにセキュリティポリシー構造が限定されることができるならば、ただ1つの認証アルゴリズムが適用され、および/またはただ1つのカプセル化アルゴリズムが適用されることが提案される。これは許容できないほどに限定的であるが、実際には、多数の応用は暗号化および/またはカプセル化および/または認証の1種類だけを必要とする。例えば終端間セキュリティの文脈では、ソースおよび/または目的地対は良好に規定される。したがって、IPアドレスが範囲、サブネット等ではなくエンドポイントを特定しなければならないことを必要とすることは甚だしく限定的なことではない。TCPポートはワイルドカード化される可能性があるが、大きな効率がIPアドレスでより多くの特異性を必要とすることにより実現されることができる。
【0062】
1実施形態では、ポリシーはインバウンドまたはアウトバウンドパケット転送に必要とされるポリシーチェック方法では非常に少ないように、狭く特別に規定される。例えばESP、3DES−CBC、およびHMAC−SHA1 IPだけがSPDエントリ中でそれぞれカプセル化、暗号化、認証のために使用されることが特定されてもよい。TAASチップ中で動作するIPSecマイクロエンジンでは、ポリシーは盲目的である。即ち、適切な連結構造とセキュリティ関連の存在はフローのためのポリシーが存在するか否かを決定するのに十分であり、通知された限定のためにただ1つのこのようなポリシーが存在する。したがって、出力パケットがセキュリティを必要とことが発見されるならば、セキュリティを必要とする全てのパケットが同一アルゴリズムのセットを使用して、暗号化され、認証され、および/またはカプセル化されるように問題が限定されるので、適切なセキュリティポリシーを調べる必要はない。
【0063】
1実施形態では、セキュリティを所定のアウトバウンドパケットへ適用するか否かの決定でさえも不必要にされる。この場合、全ての出力パケットはセキュリティを必要とするように見られ、全てのパケットは同一方法を使用して、認証および/または解読、および/またはカプセル化されるので、対応するセキュリティポリシーを検索する必要はない。別の実施形態では、出力パケットは特定の出力パケットがセキュリティを必要とするか否かを確証するため個々に検査されデータベースに対して比較される。
【0064】
本発明の1特徴にしたがって、出力パケットに関連するソースアドレス、目的地アドレス、ソースポート、および/または目的地ポートはIPSecセキュリティ関連データベース中へのインデックスとして直接使用される。1実施形態では、TCP接続とIPSecセキュリティ関連の対との間にIPSecセキュリティ関連は1対1の対応が存在するように限定される。したがって、出力パケットに関係するソースアドレス、目的地アドレス、ソースポート、および/または目的地ポートの使用は必要とされるIPSecセキュリティ関連に直接的に導かれることができる。別の実施形態では、TCP接続当り少数のIPSec関連が可能にされる。したがってIPSec関連データベースの検索はセキュリティ関連問題が限定されなかったときに発見される数千のIPSec関連の代わりに所定の出力パケットの多数のIPSecセキュリティ関連になる。一度多数のIPSec関連が得られると、任意の知られた技術が出力パケットで使用されるのに丁度適したIPSecセキュリティ関連を正確に指摘するために使用される。
【0065】
セキュリティポリシー関連問題をインテリジェントに限定することによって、応用可能なセキュリティポリシーの検索タスクは消去される。付加的にまたは代わりに、出力パケットがセキュリティを必要とするか否かの決定タスクは除去される。付加的にまたは代わりに、TCP接続当りの可能なIPSecセキュリティ関連数の限定は必要とされるIPSecセキュリティ関連を得るために必要とされる計算を少なくする。応用可能なセキュリティポリシーとIPSec関連とを得るタスクを簡単にすることによって、本発明は(例えば1Gビット/秒以上の)高いデータ速度でさえもワイヤ速度でセキュリティを実行することを可能にする。ワイヤ速度でセキュリティを実行する能力は特に、頻繁なIKE処理、例えばIKEピアの認証とキーイング材料の生成を必要としない長寿命の接続に関して特に応用可能である。
【0066】
図5は、本発明の1実施形態にしたがって、マスターIPSecエンジンと複数のオフロードIPSecエンジンとを使用してIPセキュリティ処理をオフロードするシステムの機能ブロックを表している。マスターIPSecエンジンはIPSecセキュリティ関連のオフロードを分配し、IPSecオフロード能力を呼び出す。好ましくはマスターIPSecエンジンは最初の接続設定を処理し、IKE処理と同一のプロセッサに位置されている。
【0067】
1実施形態では、プロトコル制御プロックがインバウンドおよびアウトバウンドトラフィックに関するセキュリティ関連情報を維持するためにNPPにより使用される。図6は、1実施形態において、主要な機能コンポーネントとそれが維持されるのに必要とされる状態を示す図である。これは“記録レベル”情報であり、図はインバウンドおよびアウトバウンドトラフィックに対するTCP、IP、IPSec、SA制御ブロックの関係を示している。前述したように、PCBの組織および使用はNPPにより維持される。
【0068】
接続設定に関しては、TCPオフロードと共に動作するとき、IPSecおよびTCP処理のオフロード順序は重要である。接続を設定するため、以下の事象の流れが適用される。第1に、アウトバウンドTCP接続リクエストはマスターIPSecエンジンにより受け取られる。セキュリティが必要とされるならば、TCPパケットは待ち行列され、マスターIPSecエンジンはセキュリティ設定のためにIKEまでリクエストを手渡す。適切なセキュリティ関連がマスターIPSecエンジンに手渡され、セキュリティ関連がマスターIPSecエンジンにより特定のIPSecオフロードエンジンへオフロードされる。その後、待ち行列されたTCPパケットが再度スタートされる。他方で、セキュリティが必要とされないならば、パケットは通過を可能にされる。TCPオフロードが所望されるならば、TCPオフロードはその後生じる。
【0069】
IPSecセキュリティ関連とTCP接続のオフロードは順番に実行されることが好ましい。IPSecオフロードが最初に行われることが好ましく、その後TCP接続がオフロードされる。同様に、“アンロード”接続のとき、動作は好ましくは逆の順序で行われる。TCP接続はアップロードされ、その後、IPSec関連がアップロードされる。
【0070】
既に存在するセキュリティ関連へTCP接続を付加することが可能である。図6に関して、多対1の関係がTCP PCBとIPSecPCBとの間に存在するので、1対1関係のみが存在する“逆ポインタ”を維持することが有効である。インバウンドパスでは、この条件が満たされないならば、TCB PCBルックアップが実行される。
【0071】
1実施形態では、3つのAPI、即ちポリシーマネジャーAPI,マスターエンジンAPI、IPSec用のマスター/NPPオフロードAPIが使用される。好ましくは、ポリシーマネージャAPIとマスターIPSecエンジンAPIは(例えば埋設されたプロセッサ中で)対で動作し、IPSec用のオフロードAPIを使用してNPPと通信する。
【0072】
以上、本発明を幾つかの好ましい実施形態に関して説明したが、本発明の技術的範囲内に入る多くの変更、交換、均等物が存在する。ここで説明した多数の実施形態は別のものを使用するか、所定のシステムで共に使用されてもよいことに注意しなければならない。本発明の方法および装置を構成する多数の別の方法が存在することにも注意すべきである。それ故、特許請求の範囲は本発明の技術的範囲内に入る変更、交換、均等物を含むものとして解釈することを意図している。
【図面の簡単な説明】
【0073】
【図1】データが公共ネットワークを横切るときのデータセキュリティを確実にするデータ通信構造の概略図。
【図2】ホストベースのセキュリティ構造の1構成の概略図。
【図3】本発明の1実施形態にしたがって、高速度のTCP加速とデータセキュリティをホストベースのセキュリティ環境に設けるのに適した革新的なTCP加速およびセキュリティ(TAAS)集積回路の概略図。
【図4】本発明の1特徴にしたがって、2つのホスト間で送信されるパケットに対してセキュリティを適用するためにIPSecセキュリティ関係を生成するためのプロセスを示す図。
【図5】本発明の1特徴にしたがって、マスターIPSecエンジンと複数のオフロードIPSecエンジンを使用してIPセキュリティ処理をオフロードするシステムの機能ブロック図。
【図6】1実施形態において、主要な機能コンポーネントとそれが維持されるのに必要とされる状態を示す図。
Claims (18)
- 第1のネットワーク化された装置と第2のネットワーク化された装置との間の通信のための終端間セキュリティを与える方法において、
第1の集積回路を前記第1のネットワーク化された装置に設け、前記第1の集積回路はTCPオフロードとIPSecオフロードの少なくとも1つを前記第1のネットワーク化された装置の代わりに行い、
第2の集積回路を前記第2のネットワーク化された装置に設け、前記第2の集積回路はTCPオフロードとIPSecオフロードの少なくとも1つを前記第2のネットワーク化された装置の代わりに行い、
前記第1の集積回路と前記第2の集積回路を通って前記第1のネットワーク化された装置と前記第2のネットワーク化された装置との間で前記通信をルート設定するステップを含んでおり、それによってTCP処理部分と、IPSec処理部分の少なくとも1つが前記第1のネットワーク化された装置と前記第2のネットワーク化された装置の代わりにそれぞれ前記第1の集積回路と前記第2の集積回路により行われることを可能にされている方法。 - 前記通信は前記第1のネットワーク化された装置と前記第2のネットワーク化された装置間の長寿命の接続に関係している請求項1記載の方法。
- 前記IPSecオフロードはIPSecセキュリティ関連を含み、前記第1の集積回路は前記第1のネットワーク化された装置の代わりに前記IPSecセキュリティ関連を実行する請求項2記載の方法。
- 前記IPSecセキュリティ関連はただ1つの暗号化/解読アルゴリズムが前記第1のネットワーク化された装置と前記第2のネットワーク化された装置との間の前記通信に関連するパケットで必要とされるように限定されている請求項3記載の方法。
- 前記通信はブロック記憶に関係している請求項4記載の方法。
- 前記IPSecセキュリティ関連はただ1つの認証アルゴリズムが前記第1のネットワーク化された装置と前記第2のネットワーク化された装置との間の前記通信に関連するパケットで必要とされるように限定されている請求項3記載の方法。
- 前記IPSecセキュリティ関連はただ1つのカプセル化アルゴリズムが前記第1のネットワーク化された装置と前記第2のネットワーク化された装置との間の前記通信に関連するパケットで必要とされるように限定されている請求項3記載の方法。
- 前記集積回路は少なくとも1つの埋設されたプロセッサと、少なくとも1つのネットワークプロトコルプロセッサと、ハードウェア論理回路を具備している請求項2記載の方法。
- 前記ネットワークプロトコルプロセッサは前記第1のネットワーク化された装置の代わりに、ESPカプセル化と、ESPカプセル化解除と、セキュリティ関連ルックアップとの少なくとも1つを実行するように構成されている請求項8記載の方法。
- 前記第1の集積回路はiSCSIコマンドパッケージを実行する請求項1記載の方法。
- 前記第1の集積回路は前記第1のネットワーク化された装置の代わりにTCPカプセル化を実行する請求項1記載の方法。
- 前記第1の集積回路と前記2の集積回路を通る前記通信はインラインである請求項1記載の方法。
- 前記第1の集積回路から前記2の集積回路への通信のための終端間セキュリティを行い、前記第1のネットワーク化された装置の代わりにTCPオフロードとIPSecオフロードを行う集積回路において、
第1のTCP加速タスクと第1のセキュリティタスクのうちの1つを行うハードウェア論理部分と、
前記ハードウェア論理部分と前記ネットワークプロトコルプロセッサを通るインラインパスに沿って前記通信が横断することを可能にするために前記ハードウェア論理部分へ結合され動作し、第2のTCP加速タスクと第2のセキュリティタスクとを行うネットワークプロトコルプロセッサと、
前記ハードウェア論理部分と、前記ネットワークプロトコルプロセッサと、埋設されたプロセッサとを通るインラインパスに沿って前記通信が横断することを可能にするために前記プロトコルプロセッサへ結合されて動作し、インターネットキー交換(IKE)機能を行うように構成されている埋設されたプロセッサとを具備している集積回路。 - 終端間セキュリティパラダイムを使用して、コンピュータネットワークで他のネットワーク化装置と通信するように構成されているネットワーク化された装置において、
中央プロセッサと、
前記プロセッサを結合されているバスと、
前記バスに結合され、前記ネットワーク化された装置の代わりに、TCPオフロードとIPSecオフロードを行う集積回路を含んでいるネットワークインターフェースカードとを具備し、前記集積回路は、
第1のTCP加速タスクと第1のセキュリティタスクのうちの1つを行うハードウェア論理部分と、
前記ハードウェア論理部分と前記ネットワークプロトコルプロセッサを通るインラインパスに沿って前記ネットワーク化された装置と前記他のネットワーク化された装置との間で横断する通信を可能にするために前記ハードウェア論理部分へ結合されて動作し、第2のTCP加速タスクと第2のセキュリティタスクを行うネットワークプロトコルプロセッサと、
前記ハードウェア論理部分と、前記ネットワークプロトコルプロセッサと、埋設されたプロセッサとを通るインラインパスに沿って前記通信が横断することを可能にするために前記プロトコルプロセッサへ結合されて動作し、インターネットキー交換(IKE)機能を行うように構成されている埋設されたプロセッサとを含んでいるネットワーク化された装置。 - 第1のネットワーク化された装置と、コンピュータネットワークにより第1のネットワーク化された装置に結合された他のネットワーク化された装置との間の通信のためにTCPオフロードとIPSecオフロードとを行う回路において、
前記TCPオフロードと前記IPSecオフロードは前記ネットワーク化された装置の中央プロセッサの代わりに前記回路により実行されることを特徴とする回路。 - さらに、前記第1のネットワーク化された装置のバスと結合するためのインターフェースを具備している請求項15記載の回路。
- さらに、前記第1のネットワーク化された装置のバスと結合されるように構成されたネットワークインターフェースカードのバスと結合するためのインターフェースを具備している請求項15記載の回路。
- 2つのネットワークノード間のデータ通信を行い、前記2つのネットワークノードの第1のネットワークノードに関連されるように構成され、データ通信中に前記2つのネットワークノード間のデータ通信パスに配置されている集積回路において、
前記第1のネットワークノードから前記2つのネットワークノードの1つである第2のネットワークノードへ送信されるパケットに対して第1の複数のTCP加速機能を実行し、前記パケットの第1の複数のセキュリティ機能を実行する埋設されたプロセッサと、
前記パケットに対して2の複数の前記TCP加速機能を実行し、前記パケットに対して前記第2の複数の前記セキュリティ機能を実行し、前記第2の複数の前記TCP加速機能は前記第1の複数の前記TCP加速機能と異なっており、前記第2の複数の前記セキュリティ機能は前記第1の複数の前記セキュリティ機能と異なっている少なくとも1つのネットワークプロセッサと、
前記パケットに対して第3の複数の前記TCP加速機能を実行し、前記パケットに対して前記第3の複数の前記セキュリティ機能を実行し、前記第3の複数の前記TCP加速機能は前記第2の複数の前記TCP加速機能および前記第1の複数の前記TCP加速機能と異なっており、前記第3の複数の前記セキュリティ機能は前記第2の複数の前記セキュリティ機能および前記第1の複数の前記セキュリティ機能と異なっているハードウェア回路とを具備しており、
前記パケットは前記第1のネットワークノードから前記第2のネットワークノードへの前記データ通信期間中に、前記埋設されたプロセッサを横切り、その後前記少なくとも1つのネットワークプロセッサを通り、次に前記ハードウェア回路を実質上インラインで通過する集積回路。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US31665101P | 2001-08-31 | 2001-08-31 | |
PCT/US2002/027706 WO2003021443A1 (en) | 2001-08-31 | 2002-08-30 | Systems and methods for implementing host-based security in a computer network |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005503699A true JP2005503699A (ja) | 2005-02-03 |
Family
ID=23230013
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003525465A Pending JP2005503699A (ja) | 2001-08-31 | 2002-08-30 | コンピュータネットワークでホストベースのセキュリティを行うシステムおよび方法 |
JP2003525474A Expired - Fee Related JP4511174B2 (ja) | 2001-08-31 | 2002-08-30 | Tcp/ipを使用した高速度データ送信システムおよび方法 |
JP2009176272A Withdrawn JP2010016838A (ja) | 2001-08-31 | 2009-07-29 | Tcp/ipを使用した高速度データ送信システムおよび方法 |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003525474A Expired - Fee Related JP4511174B2 (ja) | 2001-08-31 | 2002-08-30 | Tcp/ipを使用した高速度データ送信システムおよび方法 |
JP2009176272A Withdrawn JP2010016838A (ja) | 2001-08-31 | 2009-07-29 | Tcp/ipを使用した高速度データ送信システムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (4) | US6760769B2 (ja) |
EP (2) | EP1421494A1 (ja) |
JP (3) | JP2005503699A (ja) |
WO (3) | WO2003021452A1 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005085284A (ja) * | 2003-09-10 | 2005-03-31 | Microsoft Corp | フェイルオーバーイベントをサポートするネットワーク状態オブジェクトの多重オフロード |
JP2009505493A (ja) * | 2005-08-10 | 2009-02-05 | リバーベッド テクノロジー インコーポレイティッド | セキュア接続プロトコルのための分割された終了方法 |
US8234389B2 (en) | 2007-02-14 | 2012-07-31 | Fujitsu Limited | Communication control method and communication control unit controlling network connection status among communication units |
US8719902B2 (en) | 2008-08-29 | 2014-05-06 | Panasonic Corporation | Secure communication device, secure communication method, and program |
Families Citing this family (142)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5978379A (en) | 1997-01-23 | 1999-11-02 | Gadzoox Networks, Inc. | Fiber channel learning bridge, learning half bridge, and protocol |
US7430171B2 (en) | 1998-11-19 | 2008-09-30 | Broadcom Corporation | Fibre channel arbitrated loop bufferless switch circuitry to increase bandwidth without significant increase in cost |
AU7060300A (en) | 1999-08-16 | 2001-03-13 | Iready Corporation | Internet jack |
US7039717B2 (en) * | 2000-11-10 | 2006-05-02 | Nvidia Corporation | Internet modem streaming socket method |
US7379475B2 (en) * | 2002-01-25 | 2008-05-27 | Nvidia Corporation | Communications processor |
US7239636B2 (en) | 2001-07-23 | 2007-07-03 | Broadcom Corporation | Multiple virtual channels for use in network devices |
US6760769B2 (en) * | 2001-08-31 | 2004-07-06 | Adaptec, Inc. | Apparatus and methods for transmitting data at high speed using TCP/IP |
US6981014B2 (en) * | 2001-08-31 | 2005-12-27 | Adaptec Corporation | Systems and methods for high speed data transmission using TCP/IP |
US7020716B2 (en) * | 2001-08-31 | 2006-03-28 | Adaptec, Inc. | Method and system for verifying the hardware implementation of TCP/IP |
EP1349329B1 (en) * | 2002-01-03 | 2010-04-28 | Innovative Sonic Limited | Window based stall avoidance mechanism for high speed wireless communication system |
US6781990B1 (en) * | 2002-02-11 | 2004-08-24 | Extreme Networks | Method and system for managing traffic in a packet network environment |
US7535913B2 (en) * | 2002-03-06 | 2009-05-19 | Nvidia Corporation | Gigabit ethernet adapter supporting the iSCSI and IPSEC protocols |
US7295555B2 (en) | 2002-03-08 | 2007-11-13 | Broadcom Corporation | System and method for identifying upper layer protocol message boundaries |
US7283468B1 (en) * | 2002-03-15 | 2007-10-16 | Packeteer, Inc. | Method and system for controlling network traffic within the same connection with different packet tags by varying the policies applied to a connection |
US7203957B2 (en) * | 2002-04-04 | 2007-04-10 | At&T Corp. | Multipoint server for providing secure, scaleable connections between a plurality of network devices |
US7188365B2 (en) * | 2002-04-04 | 2007-03-06 | At&T Corp. | Method and system for securely scanning network traffic |
US8015303B2 (en) | 2002-08-02 | 2011-09-06 | Astute Networks Inc. | High data rate stateful protocol processing |
US7346701B2 (en) * | 2002-08-30 | 2008-03-18 | Broadcom Corporation | System and method for TCP offload |
US7934021B2 (en) | 2002-08-29 | 2011-04-26 | Broadcom Corporation | System and method for network interfacing |
US7313623B2 (en) | 2002-08-30 | 2007-12-25 | Broadcom Corporation | System and method for TCP/IP offload independent of bandwidth delay product |
EP1554842A4 (en) | 2002-08-30 | 2010-01-27 | Corporation Broadcom | SYSTEM AND METHOD FOR TREATING FRAMES OUTSIDE THE ORDER |
US8180928B2 (en) | 2002-08-30 | 2012-05-15 | Broadcom Corporation | Method and system for supporting read operations with CRC for iSCSI and iSCSI chimney |
US7397800B2 (en) * | 2002-08-30 | 2008-07-08 | Broadcom Corporation | Method and system for data placement of out-of-order (OOO) TCP segments |
US7783035B2 (en) * | 2002-08-30 | 2010-08-24 | Adaptec, Inc. | Systems and methods for implementing host-based security in a computer network |
US8151278B1 (en) | 2002-10-17 | 2012-04-03 | Astute Networks, Inc. | System and method for timer management in a stateful protocol processing system |
US7814218B1 (en) | 2002-10-17 | 2010-10-12 | Astute Networks, Inc. | Multi-protocol and multi-format stateful processing |
US7616638B2 (en) | 2003-07-29 | 2009-11-10 | Orbital Data Corporation | Wavefront detection and disambiguation of acknowledgments |
US7630305B2 (en) * | 2003-07-29 | 2009-12-08 | Orbital Data Corporation | TCP selective acknowledgements for communicating delivered and missed data packets |
US8270423B2 (en) | 2003-07-29 | 2012-09-18 | Citrix Systems, Inc. | Systems and methods of using packet boundaries for reduction in timeout prevention |
JP3821086B2 (ja) * | 2002-11-01 | 2006-09-13 | ソニー株式会社 | ストリーミングシステム及びストリーミング方法、クライアント端末及びデータ復号方法、並びにプログラム |
US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
US7796602B2 (en) * | 2002-11-25 | 2010-09-14 | Intel Corporation | In sequence packet delivery without retransmission |
US9015467B2 (en) * | 2002-12-05 | 2015-04-21 | Broadcom Corporation | Tagging mechanism for data path security processing |
US7587587B2 (en) * | 2002-12-05 | 2009-09-08 | Broadcom Corporation | Data path security processing |
US7596634B2 (en) * | 2002-12-12 | 2009-09-29 | Millind Mittal | Networked application request servicing offloaded from host |
KR100554015B1 (ko) * | 2002-12-23 | 2006-02-22 | 한국과학기술정보연구원 | 그리드 컴퓨팅에 적합한 데이터 전송 제어 시스템 및방법과 그 프로세스를 기록한 컴퓨터 판독가능한 기록매체 |
US7738493B2 (en) * | 2003-01-23 | 2010-06-15 | Cisco Technology, Inc. | Methods and devices for transmitting data between storage area networks |
US7957409B2 (en) * | 2003-01-23 | 2011-06-07 | Cisco Technology, Inc. | Methods and devices for transmitting data between storage area networks |
US20040199472A1 (en) * | 2003-04-04 | 2004-10-07 | Dobbins Kurt A. | Method and apparatus for billing over a network |
US20040196842A1 (en) * | 2003-04-04 | 2004-10-07 | Dobbins Kurt A. | Method and system for according preferred transport based on node identification |
US7743166B2 (en) * | 2003-04-04 | 2010-06-22 | Ellacoya Networks, Inc. | Scaleable flow-based application and subscriber traffic control |
US8321584B2 (en) * | 2003-04-04 | 2012-11-27 | Ellacoya Networks, Inc. | Method and apparatus for offering preferred transport within a broadband subscriber network |
US20040199604A1 (en) * | 2003-04-04 | 2004-10-07 | Dobbins Kurt A. | Method and system for tagging content for preferred transport |
US7774593B2 (en) * | 2003-04-24 | 2010-08-10 | Panasonic Corporation | Encrypted packet, processing device, method, program, and program recording medium |
US6927860B2 (en) * | 2003-05-19 | 2005-08-09 | Oti Ophthalmic Technologies Inc. | Optical mapping apparatus with optimized OCT configuration |
US20040240472A1 (en) * | 2003-05-28 | 2004-12-02 | Alok Kumar | Method and system for maintenance of packet order using caching |
US7568025B2 (en) * | 2003-06-27 | 2009-07-28 | Bank Of America Corporation | System and method to monitor performance of different domains associated with a computer system or network |
US20050005093A1 (en) * | 2003-07-01 | 2005-01-06 | Andrew Bartels | Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications |
US7460672B2 (en) * | 2003-07-18 | 2008-12-02 | Sanrad, Ltd. | Method for securing data storage in a storage area network |
US8432800B2 (en) | 2003-07-29 | 2013-04-30 | Citrix Systems, Inc. | Systems and methods for stochastic-based quality of service |
US8238241B2 (en) | 2003-07-29 | 2012-08-07 | Citrix Systems, Inc. | Automatic detection and window virtualization for flow control |
US8437284B2 (en) | 2003-07-29 | 2013-05-07 | Citrix Systems, Inc. | Systems and methods for additional retransmissions of dropped packets |
JP4235506B2 (ja) * | 2003-08-14 | 2009-03-11 | 株式会社エヌ・ティ・ティ・ドコモ | 送信装置、中継装置およびプログラム |
US7287276B2 (en) * | 2003-09-08 | 2007-10-23 | Microsoft Corporation | Coordinated network initiator management that avoids security conflicts |
US7502322B2 (en) * | 2003-09-30 | 2009-03-10 | Nokia Corporation | System, method and computer program product for increasing throughput in bi-directional communications |
US20050083926A1 (en) * | 2003-10-15 | 2005-04-21 | Mathews Robin M. | Packet storage and retransmission over a secure connection |
US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
US7483434B2 (en) * | 2003-12-01 | 2009-01-27 | International Business Machines Corporation | Parallel TCP sender implementation |
US8065439B1 (en) | 2003-12-19 | 2011-11-22 | Nvidia Corporation | System and method for using metadata in the context of a transport offload engine |
US20050138366A1 (en) * | 2003-12-19 | 2005-06-23 | Pan-Loong Loh | IPSec acceleration using multiple micro engines |
US8549170B2 (en) * | 2003-12-19 | 2013-10-01 | Nvidia Corporation | Retransmission system and method for a transport offload engine |
US7899913B2 (en) * | 2003-12-19 | 2011-03-01 | Nvidia Corporation | Connection management system and method for a transport offload engine |
US8176545B1 (en) | 2003-12-19 | 2012-05-08 | Nvidia Corporation | Integrated policy checking system and method |
US7206872B2 (en) * | 2004-02-20 | 2007-04-17 | Nvidia Corporation | System and method for insertion of markers into a data stream |
TWI239734B (en) * | 2004-03-02 | 2005-09-11 | Ind Tech Res Inst | Full hardware based TCP/IP traffic offload engine (TOE) device and method thereof |
US7925775B2 (en) * | 2004-04-07 | 2011-04-12 | Sony Corporation | TCP congestion control based on bandwidth estimation techniques |
US7698413B1 (en) | 2004-04-12 | 2010-04-13 | Nvidia Corporation | Method and apparatus for accessing and maintaining socket control information for high speed network connections |
US7826457B2 (en) * | 2004-05-11 | 2010-11-02 | Broadcom Corp. | Method and system for handling out-of-order segments in a wireless system via direct data placement |
JP2005352839A (ja) * | 2004-06-11 | 2005-12-22 | Matsushita Electric Ind Co Ltd | データ通信装置 |
US7757074B2 (en) | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
US8495305B2 (en) * | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
US8739274B2 (en) | 2004-06-30 | 2014-05-27 | Citrix Systems, Inc. | Method and device for performing integrated caching in a data communication network |
US7593339B2 (en) * | 2004-07-12 | 2009-09-22 | Qualcomm Incorporated | Rate control for packet-based wireless communication |
US7281068B2 (en) * | 2004-07-15 | 2007-10-09 | International Business Machines Corporation | Wireless-boot diskless mobile computing |
US8223647B2 (en) * | 2004-07-21 | 2012-07-17 | Nokia Corporation | System and method for increasing data throughout using a block acknowledgement |
US8363650B2 (en) | 2004-07-23 | 2013-01-29 | Citrix Systems, Inc. | Method and systems for routing packets from a gateway to an endpoint |
KR20070045282A (ko) | 2004-07-23 | 2007-05-02 | 사이트릭스 시스템스, 인크. | 네트워크 노드 간의 통신을 최적화하기 위한 시스템 및방법 |
US7957379B2 (en) * | 2004-10-19 | 2011-06-07 | Nvidia Corporation | System and method for processing RX packets in high speed network applications using an RX FIFO buffer |
US7783880B2 (en) | 2004-11-12 | 2010-08-24 | Microsoft Corporation | Method and apparatus for secure internet protocol (IPSEC) offloading with integrated host protocol stack management |
US8700695B2 (en) | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
US7810089B2 (en) * | 2004-12-30 | 2010-10-05 | Citrix Systems, Inc. | Systems and methods for automatic installation and execution of a client-side acceleration program |
US8549149B2 (en) | 2004-12-30 | 2013-10-01 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing |
US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
US8954595B2 (en) | 2004-12-30 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP buffering |
US20060253605A1 (en) * | 2004-12-30 | 2006-11-09 | Prabakar Sundarrajan | Systems and methods for providing integrated client-side acceleration techniques to access remote applications |
US8255456B2 (en) | 2005-12-30 | 2012-08-28 | Citrix Systems, Inc. | System and method for performing flash caching of dynamically generated objects in a data communication network |
US7633891B2 (en) * | 2005-03-08 | 2009-12-15 | Intel Corporation | Method and apparatus for implementing block acknowledgement in a wireless network |
JP4468843B2 (ja) * | 2005-03-09 | 2010-05-26 | 日東電工株式会社 | 光導波路の製造方法 |
US7643420B2 (en) * | 2005-03-11 | 2010-01-05 | Broadcom Corporation | Method and system for transmission control protocol (TCP) traffic smoothing |
US8024541B2 (en) * | 2005-03-25 | 2011-09-20 | Elliptic Technologies Inc. | Packet memory processing system having memory buffers with different architectures and method therefor |
US20070110225A1 (en) * | 2005-11-16 | 2007-05-17 | Sub-Crypto Systems, Llc | Method and apparatus for efficient encryption |
US8325600B2 (en) * | 2005-12-30 | 2012-12-04 | Intel Corporation | Segmentation interleaving for data transmission requests |
US8301839B2 (en) | 2005-12-30 | 2012-10-30 | Citrix Systems, Inc. | System and method for performing granular invalidation of cached dynamically generated objects in a data communication network |
US7921184B2 (en) | 2005-12-30 | 2011-04-05 | Citrix Systems, Inc. | System and method for performing flash crowd caching of dynamically generated objects in a data communication network |
US20070156974A1 (en) * | 2006-01-03 | 2007-07-05 | Haynes John E Jr | Managing internet small computer systems interface communications |
US7924857B2 (en) * | 2006-01-05 | 2011-04-12 | Agere Systems Inc. | Methods and apparatus for reorganizing cells buffered after transmission |
US20070165638A1 (en) * | 2006-01-13 | 2007-07-19 | Cisco Technology, Inc. | System and method for routing data over an internet protocol security network |
CA2644139A1 (en) * | 2006-03-31 | 2007-11-10 | Qualcomm Incorporated | Memory management for high speed media access control |
US7697441B2 (en) * | 2006-04-27 | 2010-04-13 | Microsoft Corporation | Computer system with black hole management |
US7895646B2 (en) * | 2006-05-25 | 2011-02-22 | International Business Machines Corporation | IKE daemon self-adjusting negotiation throttle |
JP2007334710A (ja) * | 2006-06-16 | 2007-12-27 | Fujitsu Ltd | ストレージ制御装置、ストレージ制御方法、ストレージ装置 |
EP2035948B1 (en) * | 2006-06-27 | 2016-04-13 | Waterfall Security Solutions Ltd. | Unidirectional secure links from and to a security engine |
IL177756A (en) * | 2006-08-29 | 2014-11-30 | Lior Frenkel | Encryption-based protection against attacks |
US8244825B2 (en) * | 2006-11-06 | 2012-08-14 | Hewlett-Packard Development Company, L.P. | Remote direct memory access (RDMA) completion |
US8233380B2 (en) * | 2006-11-06 | 2012-07-31 | Hewlett-Packard Development Company, L.P. | RDMA QP simplex switchless connection |
IL180020A (en) * | 2006-12-12 | 2013-03-24 | Waterfall Security Solutions Ltd | Encryption -and decryption-enabled interfaces |
CN101212393B (zh) * | 2006-12-29 | 2010-10-13 | 华为技术有限公司 | 介质无关切换消息的传输方法、系统及设备 |
IL180748A (en) * | 2007-01-16 | 2013-03-24 | Waterfall Security Solutions Ltd | Secure archive |
JP4340300B2 (ja) * | 2007-03-19 | 2009-10-07 | 富士通株式会社 | 伝送装置、試験方法および伝送装置制御プログラム |
US20090041014A1 (en) * | 2007-08-08 | 2009-02-12 | Dixon Walter G | Obtaining Information From Tunnel Layers Of A Packet At A Midpoint |
US20090086736A1 (en) * | 2007-09-28 | 2009-04-02 | Annie Foong | Notification of out of order packets |
US8223205B2 (en) | 2007-10-24 | 2012-07-17 | Waterfall Solutions Ltd. | Secure implementation of network-based sensors |
US20090168723A1 (en) * | 2007-11-27 | 2009-07-02 | Qualcomm Incorporated | Method and apparatus for handling out-of-order packets during handover in a wireless communication system |
JP5049834B2 (ja) * | 2008-03-26 | 2012-10-17 | 株式会社東芝 | データ受信装置、データ受信方法およびデータ処理プログラム |
US7924738B1 (en) * | 2008-06-02 | 2011-04-12 | Sprint Communications Company L.P. | Selecting a differential treatment field value |
KR100963411B1 (ko) * | 2008-09-23 | 2010-06-14 | 한국전자통신연구원 | 다중 멀티캐스트 채널로 전송되는 계층적 구조를 갖는 데이터 수신 장치 및 방법 |
US8169914B2 (en) * | 2009-03-16 | 2012-05-01 | Sling Media Pvt. Ltd. | Method and node for transmitting data over a communication network using negative acknowledgment |
US9001663B2 (en) * | 2010-02-26 | 2015-04-07 | Microsoft Corporation | Communication transport optimized for data center environment |
US9485218B2 (en) * | 2010-03-23 | 2016-11-01 | Adventium Enterprises, Llc | Device for preventing, detecting and responding to security threats |
US8892723B2 (en) * | 2010-06-16 | 2014-11-18 | Netapp, Inc. | Method and apparatus for enabling communication between iSCSI devices and SAS devices |
CN103155520B (zh) * | 2010-08-06 | 2016-08-03 | 思杰系统有限公司 | 用于多核虚拟分组引擎装置中的半虚拟化驱动程序的系统和方法 |
US8918634B2 (en) | 2012-02-21 | 2014-12-23 | International Business Machines Corporation | Network node with network-attached stateless security offload device employing out-of-band processing |
US9635037B2 (en) | 2012-09-06 | 2017-04-25 | Waterfall Security Solutions Ltd. | Remote control of secure installations |
JP2014099752A (ja) * | 2012-11-14 | 2014-05-29 | Fujitsu Ltd | 通信装置、通信システム、及び通信システムにおける暗号アルゴリズム実行方法 |
JP5571154B2 (ja) * | 2012-11-19 | 2014-08-13 | 株式会社東芝 | 通信装置、方法及びプログラム |
US10389608B2 (en) * | 2013-03-15 | 2019-08-20 | Amazon Technologies, Inc. | Network traffic mapping and performance analysis |
US9419975B2 (en) | 2013-04-22 | 2016-08-16 | Waterfall Security Solutions Ltd. | Bi-directional communication over a one-way link |
US9887974B2 (en) * | 2013-11-27 | 2018-02-06 | Architecture Technology Corporation | Method for network communication past encryption devices |
US9584637B2 (en) * | 2014-02-19 | 2017-02-28 | Netronome Systems, Inc. | Guaranteed in-order packet delivery |
JP6463898B2 (ja) * | 2014-03-13 | 2019-02-06 | 株式会社東芝 | 通信装置、情報処理装置、通信方法及び通信プログラム |
US20150271071A1 (en) | 2014-03-18 | 2015-09-24 | Fluke Corporation | Methods and apparatus to determine network delay with location independence |
US20160065699A1 (en) * | 2014-08-26 | 2016-03-03 | Qsan Technology, Inc. | Bi-directional data transmission method and electronic device using the same |
IL235175A (en) | 2014-10-19 | 2017-08-31 | Frenkel Lior | Secure desktop remote control |
US10200435B2 (en) * | 2015-09-22 | 2019-02-05 | Pathsolutions, Inc. | Network communications service quality monitor |
US10944590B2 (en) * | 2015-12-10 | 2021-03-09 | Nicira, Inc. | Transport protocol task offload emulation to detect chunks of data for communication with a private network |
IL250010B (en) | 2016-02-14 | 2020-04-30 | Waterfall Security Solutions Ltd | Secure connection with protected facilities |
KR102643187B1 (ko) * | 2017-03-08 | 2024-03-05 | 히타치 에너지 리미티드 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
US10785348B2 (en) * | 2017-08-29 | 2020-09-22 | Hewlett Packard Enterprise Development Lp | Segment size determination |
EP3664398A1 (en) * | 2018-12-06 | 2020-06-10 | InterDigital CE Patent Holdings | Network equipment and method for delivering data packets |
US11196726B2 (en) | 2019-03-01 | 2021-12-07 | Cisco Technology, Inc. | Scalable IPSec services |
US11770389B2 (en) * | 2020-07-16 | 2023-09-26 | Vmware, Inc. | Dynamic rekeying of IPSec security associations |
CN113007150B (zh) * | 2021-03-09 | 2022-06-21 | 浙江精创风机有限公司 | 一种工业用轴流风机 |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4807224A (en) * | 1987-08-21 | 1989-02-21 | Naron Steven E | Multicast data distribution system and method |
US5367643A (en) * | 1991-02-06 | 1994-11-22 | International Business Machines Corporation | Generic high bandwidth adapter having data packet memory configured in three level hierarchy for temporary storage of variable length data packets |
US5590281A (en) * | 1991-10-28 | 1996-12-31 | The United States Of Americas As Represented By The Secretary Of The Navy | Asynchronous bidirectional application program processes interface for a distributed heterogeneous multiprocessor system |
US5337313A (en) * | 1992-11-12 | 1994-08-09 | Motorola, Inc. | Method and apparatus for preserving packet squencing in a packet transmission system |
FR2709580B1 (fr) * | 1993-09-02 | 1995-10-13 | Cit Alcatel | Protocole de signalisation supportant des services multimédias. |
US5600793A (en) | 1994-12-20 | 1997-02-04 | International Business Machines Corporation | Method and system of bi-directional parallel port data transfer between data processing systems |
US5648970A (en) * | 1996-03-04 | 1997-07-15 | Motorola, Inc. | Method and system for ordering out-of-sequence packets |
JPH1051491A (ja) * | 1996-08-01 | 1998-02-20 | Hitachi Ltd | 通信システム、クライアント端末及びデータ送信方法 |
US5896499A (en) * | 1997-02-21 | 1999-04-20 | International Business Machines Corporation | Embedded security processor |
JPH10326240A (ja) * | 1997-05-23 | 1998-12-08 | Hitachi Ltd | ネットワークファイル転送処理方式 |
US6098108A (en) * | 1997-07-02 | 2000-08-01 | Sitara Networks, Inc. | Distributed directory for enhanced network communication |
FI104672B (fi) * | 1997-07-14 | 2000-04-14 | Nokia Networks Oy | Kytkinjärjestely |
US6246684B1 (en) | 1997-12-24 | 2001-06-12 | Nortel Networks Limited | Method and apparatus for re-ordering data packets in a network environment |
US6393023B1 (en) | 1998-05-08 | 2002-05-21 | Fujitsu Limited | System and method for acknowledging receipt of messages within a packet based communication network |
US6067300A (en) * | 1998-06-11 | 2000-05-23 | Cabletron Systems, Inc. | Method and apparatus for optimizing the transfer of data packets between local area networks |
US6141705A (en) | 1998-06-12 | 2000-10-31 | Microsoft Corporation | System for querying a peripheral device to determine its processing capabilities and then offloading specific processing tasks from a host to the peripheral device when needed |
US6351454B1 (en) * | 1998-07-24 | 2002-02-26 | Cisco Technology, Inc. | Apparatus and method for maintaining packet ordering over parallel links of a crossbar based switch fabric |
US6493342B1 (en) * | 1998-09-11 | 2002-12-10 | Teledesic Llc | Method of data transmission in a data communication network |
US6438604B1 (en) * | 1998-10-05 | 2002-08-20 | Canon Kabushiki Kaisha | Digital video network interface |
GB9822550D0 (en) * | 1998-10-15 | 1998-12-09 | British Telecomm | Computer communications |
JP3645734B2 (ja) * | 1999-02-24 | 2005-05-11 | 株式会社日立製作所 | ネットワーク中継装置及びネットワーク中継方法 |
US6457121B1 (en) | 1999-03-17 | 2002-09-24 | Intel Corporation | Method and apparatus for reordering data in X86 ordering |
US7170856B1 (en) * | 1999-08-19 | 2007-01-30 | Nokia Inc. | Jitter buffer for a circuit emulation service over an internet protocol network |
EP1912124B8 (en) * | 1999-10-14 | 2013-01-09 | Bluearc UK Limited | Apparatus and system for implementation of service functions |
JP2001168907A (ja) * | 1999-12-06 | 2001-06-22 | Nippon Telegr & Teleph Corp <Ntt> | 通信装置 |
JP2001189755A (ja) * | 1999-12-28 | 2001-07-10 | Toshiba Corp | パケット通信装置、パケット通信方法および記憶媒体 |
EP1134942A1 (en) * | 2000-03-15 | 2001-09-19 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for control of non real-time application flows |
US7050437B2 (en) * | 2000-03-24 | 2006-05-23 | International Business Machines Corporation | Wire speed reassembly of data frames |
US6751238B1 (en) * | 2000-04-20 | 2004-06-15 | Aztech Partners, Inc. | Phase re-alignment of SONET/SDH network switch without pointer manipulation |
WO2001099355A1 (fr) * | 2000-06-23 | 2001-12-27 | Mitsubishi Denki Kabushiki Kaisha | Procede et systeme de retransmission de paquets |
JP3492602B2 (ja) * | 2000-07-07 | 2004-02-03 | 松下電器産業株式会社 | データ送信装置及びデータ受信装置 |
US6781992B1 (en) * | 2000-11-30 | 2004-08-24 | Netrake Corporation | Queue engine for reassembling and reordering data packets in a network |
US7092393B1 (en) * | 2001-02-04 | 2006-08-15 | Cisco Technology, Inc. | Method and apparatus for distributed reassembly of subdivided packets using multiple reassembly components |
US6832261B1 (en) * | 2001-02-04 | 2004-12-14 | Cisco Technology, Inc. | Method and apparatus for distributed resequencing and reassembly of subdivided packets |
US7039034B2 (en) * | 2001-05-18 | 2006-05-02 | Network Resonance, Inc. | System, method and computer program product for providing an IP datalink multiplexer |
US7305492B2 (en) * | 2001-07-06 | 2007-12-04 | Juniper Networks, Inc. | Content service aggregation system |
US7363353B2 (en) * | 2001-07-06 | 2008-04-22 | Juniper Networks, Inc. | Content service aggregation device for a data center |
US6760769B2 (en) * | 2001-08-31 | 2004-07-06 | Adaptec, Inc. | Apparatus and methods for transmitting data at high speed using TCP/IP |
US6981014B2 (en) * | 2001-08-31 | 2005-12-27 | Adaptec Corporation | Systems and methods for high speed data transmission using TCP/IP |
US7024481B2 (en) * | 2001-11-01 | 2006-04-04 | Microsoft Corporation | Method and framework for processing network communication protocol timers |
-
2002
- 2002-08-30 US US10/232,819 patent/US6760769B2/en not_active Expired - Lifetime
- 2002-08-30 US US10/233,304 patent/US7293100B2/en active Active
- 2002-08-30 JP JP2003525465A patent/JP2005503699A/ja active Pending
- 2002-08-30 US US10/232,821 patent/US7096247B2/en not_active Expired - Lifetime
- 2002-08-30 JP JP2003525474A patent/JP4511174B2/ja not_active Expired - Fee Related
- 2002-08-30 EP EP02757497A patent/EP1421494A1/en not_active Withdrawn
- 2002-08-30 EP EP02757498A patent/EP1421500A1/en not_active Withdrawn
- 2002-08-30 WO PCT/US2002/027707 patent/WO2003021452A1/en not_active Application Discontinuation
- 2002-08-30 US US10/233,303 patent/US7162630B2/en active Active
- 2002-08-30 WO PCT/US2002/027706 patent/WO2003021443A1/en not_active Application Discontinuation
- 2002-08-30 WO PCT/US2002/027709 patent/WO2003021447A1/en not_active Application Discontinuation
-
2009
- 2009-07-29 JP JP2009176272A patent/JP2010016838A/ja not_active Withdrawn
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005085284A (ja) * | 2003-09-10 | 2005-03-31 | Microsoft Corp | フェイルオーバーイベントをサポートするネットワーク状態オブジェクトの多重オフロード |
JP4658546B2 (ja) * | 2003-09-10 | 2011-03-23 | マイクロソフト コーポレーション | フェイルオーバーイベントをサポートするネットワーク状態オブジェクトの多重オフロード |
JP2009505493A (ja) * | 2005-08-10 | 2009-02-05 | リバーベッド テクノロジー インコーポレイティッド | セキュア接続プロトコルのための分割された終了方法 |
US8234389B2 (en) | 2007-02-14 | 2012-07-31 | Fujitsu Limited | Communication control method and communication control unit controlling network connection status among communication units |
US8719902B2 (en) | 2008-08-29 | 2014-05-06 | Panasonic Corporation | Secure communication device, secure communication method, and program |
Also Published As
Publication number | Publication date |
---|---|
US7293100B2 (en) | 2007-11-06 |
WO2003021443A1 (en) | 2003-03-13 |
EP1421494A1 (en) | 2004-05-26 |
JP4511174B2 (ja) | 2010-07-28 |
US20030108045A1 (en) | 2003-06-12 |
US7096247B2 (en) | 2006-08-22 |
US20030115337A1 (en) | 2003-06-19 |
US6760769B2 (en) | 2004-07-06 |
JP2005502125A (ja) | 2005-01-20 |
US20030061505A1 (en) | 2003-03-27 |
EP1421500A1 (en) | 2004-05-26 |
US20030115338A1 (en) | 2003-06-19 |
JP2010016838A (ja) | 2010-01-21 |
WO2003021452A1 (en) | 2003-03-13 |
US7162630B2 (en) | 2007-01-09 |
WO2003021447A1 (en) | 2003-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7162630B2 (en) | Systems and methods for implementing host-based security in a computer network | |
US7783035B2 (en) | Systems and methods for implementing host-based security in a computer network | |
US7536715B2 (en) | Distributed firewall system and method | |
US7441262B2 (en) | Integrated VPN/firewall system | |
US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
US7386889B2 (en) | System and method for intrusion prevention in a communications network | |
KR101201187B1 (ko) | 통합된 호스트 프로토콜 관리를 이용한 보안 인터넷 프로토콜 (ipsec) 오프로드를 위한 방법 및 시스템 | |
EP1774750B1 (en) | Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations | |
JP4245838B2 (ja) | セキュアクライアントサーバトランザクションを管理するための方法及びシステム | |
US10992709B2 (en) | Efficient use of IPsec tunnels in multi-path environment | |
US20110113236A1 (en) | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism | |
US8175271B2 (en) | Method and system for security protocol partitioning and virtualization | |
GB2317792A (en) | Virtual Private Network for encrypted firewall | |
WO2010124014A2 (en) | Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway | |
EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
Grasa et al. | From Protecting protocols to layers: designing, implementing and experimenting with security policies in RINA | |
TW201116012A (en) | Integrated firewall / VPN system and integrated circuit thereof | |
EP1290852A2 (en) | Distributed firewall system and method | |
US8453205B1 (en) | Secure network services via daemons | |
US20240106647A1 (en) | Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme | |
US20220038443A1 (en) | Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme | |
Chopra et al. | A survey on wireless security: IP security concern | |
WO2023121868A1 (en) | Networking and security split architecture | |
Song et al. | One new research about IPSec communication based on HTTP tunnel | |
Napier | SECURING VIRTUAL PRIVATE NETWORKS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050826 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070522 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080108 |