CN104137508B - 具有网络附接的无状态安全卸载装置的网络节点 - Google Patents
具有网络附接的无状态安全卸载装置的网络节点 Download PDFInfo
- Publication number
- CN104137508B CN104137508B CN201380010353.3A CN201380010353A CN104137508B CN 104137508 B CN104137508 B CN 104137508B CN 201380010353 A CN201380010353 A CN 201380010353A CN 104137508 B CN104137508 B CN 104137508B
- Authority
- CN
- China
- Prior art keywords
- ihs
- packet
- main frame
- discharge mechanism
- external security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
一种用于将用安全性协议保护的数据分组通过通信网络通信的网络节点,包括主机信息处理系统(IHS)和由安全数据链路耦接的一个或多个外部安全性卸载装置。主机IHS通信关于数据分组的状态信息,并且外部卸载安全性装置使用安全性协议提供分组的无状态安全数据封装和解封。外部网络接口控制器或内部网络接口控制器通过通信网络将封装的数据分组通信到最终目的地。由外部安全性卸载装置的分组的封装和解封减少了网络延迟并且减少了主机IHS中处理器的计算负载。在主机IHS中维持状态信息允许外部安全性卸载装置的热交换而无信息损失。外部安全性卸载装置可以包括在防火墙或入侵检测装置中,并且可以实现IPsec协议。
Description
技术领域
本发明总的来说涉及信息处理系统(IHS)中的数据安全性,并且更具体地涉及联网IHS之间的通信中的数据安全性。
背景技术
源IHS和目的地IHS的认证可以添加网络通信的安全性。源和目的地IHS之间的通信的加密还可以添加网络通信的安全性。
发明内容
一方面,公开一种安全卸载方法,其包括由主机信息处理系统(IHS)存储与数据分组关联的安全性元数据。该方法还包括由主机IHS确定数据分组是否是要求安全性处理的数据分组。该方法进一步包括如果主机IHS确定该数据分组不要求安全性处理则由主机IHS提供数据分组到内部网络接口控制器,该内部网络接口控制器传送数据分组到通信网络用于到除了主机IHS之外的IHS的通信。该方法还包括如果主机IHS确定数据分组要求安全性处理则经由安全数据链路由主机IHS卸载数据分组和关联的安全性元数据到无状态外部安全性卸载装置,因此提供卸载的数据分组,该无状态外部安全卸载装置是在主机IHS外部。该方法还包括由无状态外部安全性卸载装置加密和封装卸载的数据分组,因此提供封装的加密数据分组。该方法进一步包括由无状态外部安全性卸载装置经由安全数据链路传送封装的加密数据分组回到主机IHS用于进一步处理。该方法还进一步包括由主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络用于到除了主机IHS之外的IHS的通信。
在另一方面,公开了网络节点,其包括主机信息处理系统(IHS)。该主机IHS包括内部网络接口控制器。网络接口包括耦接到主机IHS的安全数据链路。网络节点还包括无状态外部安全性卸载装置,其经由安全数据链路耦接到主机IHS。无状态外部安全性卸载装置在主机IHS外部。该主机IHS配置为存储与数据分组关联的安全性元数据。该主机IHS还配置为经由安全数据链路卸载数据分组和关联的安全性元数据到无状态外部安全性卸载装置,因此提供卸载的数据分组。无状态外部安全性卸载装置配置为接收卸载的数据分组和关联的安全性元数据。无状态外部安全性卸载装置还配置为加密和封装卸载的数据分组,因此提供封装的加密数据分组。无状态外部安全性卸载装置还配置为传送封装的加密数据分组回到主机IHS用于进一步处理。该主机IHS还配置为经由主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络用于到除了主机IHS之外的IHS的通信。
在再一方面,所公开的安全性卸载方法包括由主机信息处理系统(IHS)内部的内部网络接口控制器从通信网络接收数据分组,因此提供接收的数据分组。该方法还包括由主机IHS确定接收的数据分组是否是要求安全性处理的封装的加密数据分组。该方法进一步包括如果主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组则由主机IHS转发接收的数据分组到主机IHS中的应用以用于处理。该方法还进一步包括如果主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组则由主机IHS经由安全数据链路卸载接收的数据分组到无状态外部安全性卸载装置,无状态外部安全性卸载装置在主机IHS外部。该方法还包括由无状态外部安全性卸载装置解封和解密接收的数据分组,因此提供解封的解密数据分组。该方法还包括经由安全数据链路由无状态外部安全性卸载装置传送解封的解密数据分组回到主机IHS用于进一步由主机IHS中的应用处理。
在另一方面,公开了网络节点,其包括主机信息处理系统(IHS)。该主机IHS包括网络接口控制器。该网络节点包括耦接到主机IHS的安全数据链路。网络节点还包括经由安全数据链路耦接到主机IHS的无状态外部安全性卸载装置。外部安全性卸载装置在主机IHS外部。主机IHS配置为经由内部网络接口控制器从通信网络接收数据分组,因此提供接收的数据分组。主机IHS还配置为确定接收的数据分组是否是要求安全性处理的封装的加密数据分组。主机IHS还配置为如果主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组则转发接收的数据分组到主机IHS中的应用以用于处理。主机IHS还进一步配置为如果主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组则经由安全数据链路卸载接收的数据分组到无状态外部安全性卸载装置,因此提供卸载的数据分组。无状态外部安全性卸载装置配置为解封和解密接收的数据分组,因此提供解封的解密数据分组。无状态外部安全性卸载装置还配置为经由安全数据链路传送解封的解密数据分组到主机IHS用于进一步由主机IHS中的应用处理。
在其他所附权利要求中定义本发明的额外方面。
附图标记
参考附图,将以示例的方式描述本发明的一个或多个实施例,其中:
图1A是所公开网络系统的框图。
图1B是所公开网络系统可以采用的网络节点的框图。
图2是描绘了在网络节点处用外部安全性卸载装置处理外运(outbound)数据分组的一个方法的流程图。
图3是描绘了在网络节点处用外部安全性卸载装置处理内运(inbound)数据分组的一个方法的流程图。
图4是描绘了在网络节点处用外部安全性卸载装置处理外运(outbound)数据分组的另一方法的流程图。
图5是描绘了在网络节点处用外部安全性卸载装置处理内运(inbound)数据分组的另一方法的流程图。
具体实施方式
在公开的网络系统中,网络节点包括主机信息处理系统(IHS),其经由安全数据链路耦接到无状态(stateless)外部安全性卸载装置。该无状态外部安全性卸载装置耦接到外部网络接口控制器,其与网络系统中的一个或多个其他网络节点通信。主机IHS卸载安全性有关的任务到外部安全性卸载装置以减少主机IHS上安全性有关的负载。例如,外部安全性卸载装置可以添加可选报头到数据分组和/或可以以主机IHS的名义对数据分组应用密码方法。主机IHS可以向作为网络附接的装置的外部安全性卸载装置卸载诸如封装和解封、加密和解密以及认证之类的安全性有关的任务。在一个实施例中,主机IHS可以在主机IHS的TCP/IP堆栈中而非在外部安全性卸载装置中存储诸如IPSec序列号之类的状态信息,因此提供了无状态外部安全性卸载装置而非有状态外部安全性卸载装置。
图1A是包括经由通信网络102耦接在一起的诸如网络节点101和101’之类的多个网络节点的所公开的网络系统100的框图。通信网络102实际上可以是任何类型的通信设备,包括有线和/或无线链路。例如,通信网络102可以包括传输线、路由器、交换机、集线器、网络结构(network fabric)、因特网连接、局域网(LAN)和广域网(WAN)。网络节点101或网络节点101’之一可以是要求安全性处理的数据分组的源。当网络节点101是数据分组的源时,网络节点101’可以是该数据分组的目的地。相反,当网络节点101’是数据分组的源时,网络节点101可以是该数据分组的目的地。网络系统100可以包括在图1A中示出的更多网络节点。
网络节点101包括具有内部网络接口控制器107的主机IHS 103,该内部网络接口控制器107将主机IHS 103耦接到通信网络102。网络节点101也包括经由安全数据链路105耦接到主机IHS 103的外部安全性卸载装置104。在一个实施例中,外部安全性卸载装置104是“网络附接的”装置。外部网络接口控制器106将外部安全性卸载装置104耦接到通信网络102。在一个实施例中,外部网络接口控制器106耦接到外部安全性卸载装置104,如图所示。在另一实施例中,外部网络接口控制器106在外部安全性卸载装置104内部,但是仍然在主机IHS 103外部。以类似地方式,网络节点101’包括具有内部网络接口控制器107’的主机IHS 103’,该内部网络接口控制器107’将主机IHS 103’耦接到通信网络102。网络节点101’也包括经由安全数据链路105’耦接到主机IHS 103’的外部安全性卸载装置104’。在一个实施例中,外部安全性卸载装置104’是网络附接的装置。外部网络接口控制器106’将外部安全性卸载装置104耦接到通信网络102。
图1B是网络系统100可以采用来作为网络节点101和/或网络节点101’以及网络系统100的其他网络节点(未示出)的网络节点101的框图。更详细地,图1B示出了包括经由安全数据链路105耦接到外部安全性卸载装置104的主机信息处理系统(IHS)103的网络节点101。
安全数据链路105可以防止未加密业务被无关方看到或修改。为了实现安全性,安全数据链路105可以采用开放系统互联(OSI)层1物理隔离、OSI层2加密和其他OSI层和/或其他安全性措施。主机IHS 103包括可以包括多个核心和SRAM缓存150的处理器110。主机IHS 103处理、传输、通信、修改、存储或以其他方式处理数字形式、模拟形式或其他形式的信息。主机IHS 103包括将处理器110经由存储器控制器125和存储器总线130耦接到系统存储器120的总线115。在一个实施例中,系统存储器120在处理器110外部。系统存储器120可以是静态随机存取存储器(SRAM)阵列和/或动态随机存取存储器(DRAM)阵列。视频图形控制器135耦接显示器140到总线115。诸如硬盘驱动、CD驱动、DVD驱动之类的非易失性存储设备145或其他非易失性存储设备耦接到总线115以向主机IHS 103提供永久的信息存储。诸如键盘和鼠标指向装置之类的I/O装置190经由I/O控制器155和I/O总线160耦接到总线115。诸如USB、IEEE 1394总线、ATA、SATA、PCI、PCIE、DVI、HDMI之类的一个或多个扩展总线165耦接到总线115以促进外围电路和装置到主机IHS 103的连接。图1B中的虚线103指示主机IHS 103以及主机IHS 103的外壳和/或底座。以此方式,虚线103内部的主机IHS 103的那些结构在主机IHS 103内,并且虚线103外部的网络节点101的那些结构在主机IHS 103外。
网络节点101的主机IHS 103包括内部网络接口控制器107,其耦接到总线115以使得主机IHS 103能够通过有线或无线地连接到诸如通信网络102之类的网络以及其他信息处理系统和诸如网络节点101’之类的网络节点。主机IHS 103可以采用桌面计算机、服务器、便携式计算机、膝上式计算机、笔记本或其他形式因素的计算机或数据处理系统。主机IHS 103可以采用诸如游戏装置、个人数字助理(PDA)、便携式电话装置、通信装置之类的其他形式因素或包括处理器和存储器的其他装置。主机IHS 103还可以采用便携式、膝上式、笔记本、游戏装置、PDA或任何电池供电的装置的形式。在一个实施例中,主机IHS 103的性能可以对于可能添加网络延迟(诸如分组安全性和IPsec处理)的计算密集处理尤其敏感。
主机IHS 103可以包括在诸如CD、DVD或其他介质之类的数字介质175上的计算机程序产品。在一个实施例中,数字介质175包括应用182。用户可以载入应用182在非易失性存储145上作为应用182’。非易失性存储设备145可以存储操作系统181,其可以包括网络软件183。当主机IHS 103初始化时,主机IHS载入操作系统181和应用182’到系统存储器120中用于作为操作系统181’、网络软件183’和应用182”执行。可以包括网络软件183’的操作系统181’管理主机IHS 103的操作。主机IHS 103通过安全数据链路105耦接到外部安全性卸载装置104。外部安全性卸载装置104耦接到外部网络接口控制器106。以此方式,外部网络接口控制器106是“网络附接”的装置。“网络附接”的装置用作到诸如通信网络102之类的通信网络的有线和/或无线端口,该通信网络可以互连多个网络节点。例如,外部网络接口控制器106和106’以及内部网络接口控制器107和107’用作经由通信网络102互连网络节点101和101’的有线和/或无线端口。主机IHS 103与安全数据链路105、外部安全性卸载装置104以及外部网络接口控制器106一起共同形成网络接口101用于与其他网络节点通信数据分组。在一个实施例中,与外部安全性卸载装置104合作的主机IHS 103可以用诸如因特网协议安全性(IPsec)协议包之类的安全性协议使得这些数据分组安全。
在一个实施例中,在主机IHS 103的方向,网络节点101的外部安全性卸载装置104可以采用因特网协议安全性(IPsec)协议包来以主机IHS 103的名义使得因特网协议(IP)通信安全。外部安全性卸载装置104可以是信息处理系统,其包括处理器(未示出)以用于促进数据分组的封装和解封,用于促进数据分组的加密和解密,用于数据分组的认证和用于可选地进行防火墙和入侵检测服务(IDS)以及关于数据分组的其他可选服务。外部安全性卸载装置104还可以包括存储器(未示出)和存储设备(未示出)。
外部安全性卸载装置104可以采用认证IP数据分组并且封装所认证的IP数据分组的安全性协议。在封装认证的IP数据分组之后,安全性协议可以加密该封装的IP数据分组。例如,IPsec协议认证并且加密通信会话的每一个IP数据分组。IPsec还包括用于在通信会话的开始时在代理(agent)直接建立互相认证以及用于在通信会话期间使用的密码密匙的协商的协议。主机IHS 103和主机IHS 103’是这样的代理的示例。更具体地,提供安全性的网络软件183的部分是可以在人员安全性管理员的指引下动作的代理。在一个实施例中,外部安全性卸载装置104可以提供针对网络节点101的全部IPsec封装和解封操作以及加密、解密和认证。这减少了网络节点101中主机IHS 103的安全性有关的负载。
安全性策略是设计者、程序员或其它实体编程到诸如IPsec协议之类的安全性协议,指令协议如何处理特定装置接收到的数据分组的规则。例如,安全性策略可以决定特定数据分组是否要求IPsec协议安全性处理。不要求安全性处理的那些数据分组可以绕过认证报头(AH)协议处理或封装安全性载荷(ESP)协议处理。如果装置确定特定数据分组要求安全性协议处理,则安全性策略可以用指南指令该装置用于处理该数据分组的安全性。在一个实施例中,诸如主机IHS 103和/或外部安全性卸载装置之类的装置可以在这样的装置内的安全性策略数据库(未示出)中存储安全性策略。安全性关联(SA)信息是描述两个装置之间的特定类型的安全连接的安全性信息集合。SA信息包括两个装置可以采用以安全地互相通信的特定安全性机制。
在一个实施例中,外部安全性卸载装置104用作网络附接的装置。网络附接的装置可以是连接到网络并且提供基于文件的存储服务和/或其他专用服务的信息处理系统(IHS)。在一个实施例中,外部安全性卸载装置104提供封装、解封、加密、解密和认证的专用安全性有关的服务。
在所公开网络系统100的一个实施例中,主机IHS 103而非外部安全性卸载装置104的操作系统181’中的网络软件183’的TCP/IP堆栈184维持全部IPsec安全性关联(SA)状态信息。该布置使得外部安全性卸载装置104能够为无状态装置。一些实施例可以集成外部安全性卸载装置104与其他网络服务,例如,防火墙服务、入侵检测服务和用于未加密数据的深度分组检查服务,该未加密数据也通过网络节点的外部安全性卸载装置。在一个实施例中,在网络节点101的外部安全性卸载装置104和主机IHS 103之间的物理分离以及外部安全性卸载装置104的无状态本性促进了(1)“热交换”或具有最小系统干扰或中断的外部安全性卸载装置104的替换,以及(2)使能用于负载平衡或热待机的多个外部安全性卸载装置的配置而无状态同步的复杂性,并且还促进了(3)使能了外部安全性卸载装置的动态使能和禁用以用于系统维持或用于多基地(multi-homed)主机。多基地主机包括多个网络连接。多基地主机可以连接到多个网络或同一网络。
所公开的网络系统100的一个实施例将安全性处理从主机IHS 103卸载到网络节点101的外部安全性卸载装置104。主机IHS 103的操作系统181’中的网络软件183’的TCP/IP堆栈184维持状态信息。主机IHS 103的操作系统181’中的网络软件183’将用于IP数据分组的外运元数据的选择通信到外部安全性卸载装置104。外运元数据可以包括关于主机IHS103的网络软件183’传送到外部安全性卸载装置104的IP数据分组的信息。外运元数据可以包括应用到IP数据分组的IPsec安全性关联(SA)信息和相关SA状态信息。安全性关联(SA)信息指的是协商的SA属性,诸如哪个网络业务允许使用通道(例如IPsec可以限制其到特定网络地址或协议)的指定、用于认证、加密和解密的密码算法的选择;用于这些算法的密码密匙;以及用于封装数据的方法。例如,IPsec允许封装的通道和传输模式。SA状态信息指的是在其生命周期内变化的SA的属性,诸如用于回复保护的计数器或用来限制受SA保护的数据量的计数器。
IHS操作系统181’的网络软件183’可以通过向IP数据分组中插入因特网协议(IP)报头来附接外运元数据到IP数据分组,并且可以发送IP数据分组和外运元数据到外部安全性卸载装置104,或者网络软件183’可以发送特定目的以太网帧以将IP分组数据和外运元数据通信到外部安全性卸载装置104。
在一个实施例中,联网软件103’包括使用诸如IPsec协议之类的安全性协议来管理IP数据分组的封装的SA策略规则。其他实施例可以使用其他安全性协议。在一个实施例中,主机IHS 103中的TCP/IP堆栈184发送IP数据分组到外部安全性卸载装置104。在主机IHS 103的操作系统181’中的网络软件183’的SA策略规则确定使用IPsec管理分组封装的规则。实现TCP/IP堆栈184的网络软件183’选择恰当的IPsec SA来用于封装数据分组。对应的必要外运元数据可以包括安全性参数索引(SPI)和通道协议,该协议是通道用于数据传输的具体协议,例如:认证报头(AH)协议或封装安全性载荷(ESP)协议。外运元数据还可以包括IPsec序列号,TCP/IP堆栈184为外部安全性卸载装置104选择该IPsec序列以在IPsec序列封装IP数据分组时使用。
在另一实施例中,外部安全性卸载装置104将响应加密的、封装的IPsec数据分组发送回到主机IHS 103的网络软件183’中的TCP/IP堆栈184,用于使用内部网络接口控制器107通过通信网络102向最终目的地的传输。外部安全性卸载装置104可以响应于外部安全性卸载装置从TCP/IP堆栈184接收的IP数据分组封装和/或加密请求将内运元数据发送回到TCP/IP堆栈184。内运元数据可以包括结果代码以表示封装操作的成功或失败。
在再一实施例中,主机IHS 103的网络软件183’中的TCP/IP堆栈184发送IPsec分组到外部安全性卸载装置104用于解密或解封。TCP/IP堆栈184可以将外运元数据与要求解封的所封装的数据分组一起发送。外运元数据可以包括指令外部安全性卸载装置104进行解封操作的选择信息。
在再一实施例中,外部安全性卸载装置104将解封的分组数据发送回到主机IHS103的网络软件183’中的TCP/IP堆栈184用于内运数据分组处理。外部安全性卸载装置104与解封的数据分组一起发送内运元数据到TCP/IP堆栈184。内运元数据可以包括SPI和通信网络102用来传输数据分组的协议,通道的AH或ESP,以使得TCP/IP堆栈184可以校验外部安全性卸载装置104针对数据分组的TCP/IP策略规则使用哪个SA。元数据还可以包括TCP/IP堆栈184对于该分组观察的IPsec回放序列号。TCP/IP堆栈184可以进行最终的有状态校验来验证数据分组是否“回放”以及因而无效。
总之,可以在主机IHS 103中的操作系统181’的网络软件183’中的TCP/IP堆栈184和外部安全性卸载装置104之间交换的元数据信息可以包括进行的操作的选择或指示,该操作诸如封装、已封装、解封、已解封。如果必要的话,元数据可以包括用于操作的诸如结果代码之类的密匙信息以及通道协议和SPI的选择或指示。密匙信息可以还包括分组回放序列号的选择或指示。分组回放序列号是允许外部安全性卸载装置以无状态方式操作的状态信息。
以下的表1示出了主机IHS 103中的操作系统181’的网络软件183’的TCP/IP堆栈184和外部安全性卸载装置104可以交换的、包括密匙信息(元数据)的示例内运或外运IP选项报头。字段包括“选项类型”ipo_typ,以及“选项长度”ipo_len,它们在长度上均为1个字节。1个字节长的“流功能代码”ipo_secoff_function可以指示#1-解封、#2-已解封、#3-封装或#4-已封装。1个字节长的ipo_secoff_rc指示流#1或#4的“返回代码”。“主协议”字段可以是1个字节长的ipo_decoff_protocol。对于流#2或#3,ipo_decoff_protocol指示属于SPI的协议。例如,可以针对可以使用AH和ESP两者的通道执行AH或ESP SPI之一。表1保留了3字节ipo_secoff_rsvd字段用于将来的使用。4字节长的字段ipo_secoff_spi识别针对流#2的原始内运分组中的本地SPI,或被用于流#3中的外运分组的远程SPI。4字节长的ipo_secoff_seq字段可以是针对流#2的原始内运分组中的序列号,或是元数据针对流#3对外运分组指定的序列号。如果协议AH和ESP均在使用,则AH和ESP报头两者应当使用对于流#3提供的ipo_secoff_seq的值。
表1
用于通信IPsec元数据的IP选项报头
图2和3是描述“带内(in-band)”处理的实施例的流程图,网络开关、路由器、防火墙或入侵检测装置在用作用于流向主机IHS中的操作系统的网络软件中的TCP/IP堆栈184的网关或网关门卫(gate keeper)时可以进行该“带内”处理。“带内”处理在外部安全性卸载装置104内发生。“带内”处理可以封装或加密外部安全性卸载装置104的分组以直接发送到最终网络目的地而无需发送分组回到TCP/IP堆栈184,并且可以解封进入的数据分组用于由外部安全性卸载装置在将分组传递回到TCP/IP堆栈184之前直接处理。以下描述的图4和5示出了“带外(out-of-band)”处理的实施例,其中全部数据分组从TCP/IP堆栈184传递到外部安全性卸载装置104用于加密/封装或解封/解密并且随后返回TCP/IP堆栈184用于最终处理。“带外”处理可以是在外部安全性卸载装置104外部进行的处理。带外处理可以涉及外部安全性卸载装置和主机IHS 103之间的另一传递(trip)。
图2的流程图描述了在无状态外部安全性卸载装置104处将数据安全性协议应用到外运数据分组的所公开的方法的一个实施例。外运数据分组是网络节点101的主机103传输到其他网络节点的那些数据分组。除了以主机IHS 103的名义向外运数据分组提供数据安全性协议操作之外,外部安全性卸载装置104还可以进行其他联网功能,诸如提供防火墙和/或入侵检测服务(IDS)以及数据安全性协议操作。外部安全性卸载装置104通过对外运数据分组提供安全性操作和发送这些外运分组到目的地节点来提供了外运数据分组的“带内”处理,而无需向主机IHS 104返回这样的数据分组用于进一步的安全性处理。简单起见,图2的流程图将无状态外部卸载装置104指代为“卸载装置”。图2的流程图中的每一个框都包括诸如“卸载装置”或“主机IHS”之类的描述符,以识别进行一个实施例中相应框的功能的结构。
更具体地,处理流程在开始框205处开始。主机IHS 103中的应用182”按照框210发送数据分组到主机IHS 103操作系统181’中的网络软件183’.如果按照判定框215数据分组的网络传送不要求安全性处理,则主机IHS 103操作系统181’中的网络软件183’按照框245通过网络发送数据分组到外部安全性卸载装置104,并且经由外部网络接口控制器106直接发送到最终目的地网络节点,并且处理流程以框250结束。
然而,如果操作系统181’的网络软件183’在判定框215确定网络传输要求数据安全性协议的应用,则按照框220,网络软件183’可以根据表1的流#3应用安全性元数据和状态数据到数据分组。这样的元数据是外运元数据。按照框225,操作系统181’的网络软件183’通过网络安全数据链路105发送元数据和数据分组到外部安全性卸载装置104。按照框230,外部安全性卸载装置104接收并读取数据分组以及包括状态数据的对应元数据。外部安全性卸载装置104可以按照框235对数据分组进行诸如防火墙服务和/或入侵检测服务(IDS)之类的可选处理,并且按照框240加密和封装该数据分组。按照框245,外部安全性卸载装置104经由外部网络接口控制器106通过网络直接发送封装的加密数据分组到最终目的地网络节点。处理流程以框250结束。
图3的流程图描述了经由外部安全性卸载装置104从网络接收内运数据分组的公开的方法的一个实施例。内运数据分组是网络节点101的主机IHS103从其他网络节点接收的那些数据分组。外部安全性卸载装置104接收内运数据分组并且通过对内运数据分组进行安全性操作来提供内运数据分组的“带内”处理,而无需将这样的数据分组返回到主机IHS 103用于进一步安全性处理。在一个实施例中,外部安全性卸载装置104发送解封的解密数据分组到主机IHS 103,但是主机IHS 103不需要对这些数据分组进行其他安全性操作。而是主机IHS 103中的应用可以直接使用主机IHS 103从外部安全性卸载装置104接收的解封的解密数据分组。
更具体地,处理流程以开始框305开始。按照框310,外部安全性卸载装置104经由外部网络接口控制器106从网络接收数据分组。按照判定框320,外部安全性卸载装置104进行测试以确定数据分组是否要求安全性处理。为了确定数据分组是否要求安全性处理,外部安全性卸载装置104校验数据分组内的IPsec协议报头或校验外部安全性卸载装置104从主机IHS 103接收的静态安全性策略和SA信息。要注意,SA状态信息可能仍然驻留在主机IHS 103的网络软件183’中。如果外部安全性卸载装置104确定分组不需要安全性处理,则按照框345,外部安全性卸载装置104可以进行诸如提供防火墙服务和/或IDS服务之类的可选处理,并且按照框350,经由安全数据链路105发送数据分组到主机IHS 103。
然而,按照框330,如果分组要求安全性处理,则外部安全性卸载装置104解封并解密分组,并且按照框335,进行诸如防火墙和/或IDS之类的可选处理或其他可选处理。按照框340,外部安全性卸载装置104可以根据表1的流#2添加包括状态数据的内运元数据,并且按照框350,经由安全数据链路105发送数据分组到主机IHS 103。按照框335,主机IHS 103的操作系统181’中的网络软件183’从外部安全性卸载装置104接收数据分组,并按照框360,进行状态校验。按照框365,操作系统181’中的网络软件183’处理数据分组并转发数据分组到应用182’。处理流程以框370结束。
图4的流程图描述了以主机IHS 103的名义向在外部安全性卸载装置104处的外运数据分组应用安全性的公开方法的另一实施例。该实施例采用“带外”处理以用于处理要求诸如加密和封装之类的安全性操作的那些数据分组。在这样的带外处理中,无状态外部安全性卸载装置104处理诸如加密和封装无状态外部安全性卸载装置104从主机IHS 103接收的数据分组之类的安全性操作用于安全性处理。然而,无状态外部安全性卸载装置104发送产生的封装的加密数据分组回到主机IHS 104用于到该数据分组的目的地的传输。外部安全性卸载装置104还可以进行诸如提供防火墙或IDS之类的其他联网功能。
更具体地,处理流程在开始框405处开始。按照框410,主机IHS 103中的应用182”发送数据分组到主机IHS 103操作系统181’的网络软件183’。按照判定框415,网络软件183’进行测试以确定数据分组的网络传输是否要求应用安全性协议到数据分组。网络软件183’通过参考安全性策略做出该确定。应用软件182”可以指令网络软件183’的TCP/IP堆栈184来初始化应用安全性协议到数据分组的判定。如果网络软件183’确定数据分组不要求安全性协议的应用,则按照框445,主机IHS 103经由内部网络接口控制器107直接向最终目的地网络节点传输分组。处理流程以框450结束。
然而,按照框420,如果网络传输要求应用安全性到数据分组,则操作系统181’中的网络软件183’可以根据表1中的流#3应用元数据和状态数据。这样的元数据是外运元数据。按照框425,主机IHS 103操作系统181’的网络软件183’通过网络安全数据链路105发送元数据和数据分组到外部安全性卸载装置104。按照框430,外部安全性卸载装置104接收并读取数据分组以及元数据。按照框435,外部安全性卸载装置104还可以进行诸如防火墙处理和/或IDS之类的可选处理。按照框440,外部安全性卸载装置104封装并加密数据分组并通过安全数据链路105发送加密的封装数据分组回到操作系统181’中的联网软件183’。按照框443,操作系统181’中的网络软件183’接收封装的分组。按照框445,网络软件183’通过通信网络102经由内部网络接口控制器107发送封装的数据分组到最终目的地网络节点。处理流程以框450结束。
图5的流程图描述了经由内部网络接口控制器107从网络接收数据分组的所公开方法的另一实施例。该实施例采用“带外”处理以用于处理要求诸如解密和解封之类的安全性操作的那些内运数据分组。内运数据分组是主机IHS 103从其他网络节点接收的那些数据分组。在带外处理中,无状态外部安全性卸载装置104处理诸如解密和解封无状态外部安全性卸载装置104从主机IHS 103接收的数据分组之类的安全性操作用于安全性处理。然而,无状态外部安全性卸载装置104发送产生的解封的解密数据分组回到主机IHS104以用于转发到该数据分组的目的地应用182’。
更具体地,处理流程在开始框505处开始。按照框510,操作系统181’中的网络软件183’从内部网络接口控制器107接收数据分组。该接收的数据分组是网络节点101的主机IHS 103从另一网络节点接收的内运数据分组。按照判定框520,网络软件183’进行测试以确定数据分组是否要求安全性处理。如果数据分组不要求安全性处理,则按照框565,操作系统181’中的网络软件183’处理数据分组并转发数据分组到应用182”。处理流程以框570终止。
然而,如果数据分组要求安全性处理,则按照框525,操作系统181’中的网络软件183’通过安全数据链路105发送数据分组到外部安全性卸载装置104。外部安全性卸载装置104按照框530接收分组,并且按照框535解封并解密分组。按照框540,外部安全性卸载装置104可以可选地进行防火墙处理和/或IDS或其他服务。按照框545,外部安全性卸载装置104可以根据表1的流#3向分组添加包括状态数据的安全性元数据。按照框550,外部安全性卸载装置104经由安全数据链路105发送解封的、解密数据分组回到操作系统181’中的网络软件183’。操作系统181’中的网络软件183’按照框555从外部安全性卸载装置104接收解封的、解密数据分组,并且按照框560进行状态校验。按照框565,主机IHS 103中的网络软件183’随后处理数据分组并且转发数据分组到应用182”。在呈现数据分组给应用182”之前,网络软件183’的数据分组的该处理可以涉及协议和一致性校验。处理流程以框570结束。
对于图3的内运带内实施例,外部安全性卸载装置104存储静态SA信息的副本以使得外部安全性卸载装置104可以自己判定安全性分组是否要求安全性处理。在全部四个实施例中,即图2的外运带内实施例、图3的内运带内实施例、图4的外运带外实施例以及图5的内运带外实施例中,外部安全性卸载装置104可以存储SA信息。然而,图3的内运带内实施例可以要求安全性卸载装置104存储未改变的SA信息,即静态SA信息,以使得外部安全性卸载装置104可以自己判定安全性分组是否要求安全性处理。
这里使用的术语仅是为了描述特定实施例的目的而不是为了限制本发明。如这里使用的,单数形式“一”、“一个”和“该”也意图包括复数形式,除非上下文以其他方式明确指示。将进一步明白,术语“包括”和/或“包含”在本说明书中使用时,指定了声明特征、整数、步骤、操作、要素和/或组件的存在,但是不排除一个或多个其他特征、整数、步骤、操作、要素组件和/或它们的组的存在或添加。
以下权利要求中的全部工具或步骤外加功能要素的对应结构、材料、动作和等同意图包括用于结合如具体声明的其他声明的要素来进行功能的任何结构、材料或动作。本公开的描述已经出于说明和描述的目的而呈现,但是不意图为穷尽或限制于所公开的形式的发明。很多修改和变型将对于本领域普通技术人员是显然的,而不背离本发明的范围和精神。例如,本领域技术人员将理解这里描述的设备和方法的逻辑感应(逻辑高(1)、逻辑低(0))可以被翻转并且仍然实现等同的结果。选择并描述实施例以便于最佳地说明本发明和实际应用的原理,并且使得本领域普通技术人员能够理解对于具有各种修改的各种实施例的本发明,只要适于所计划的特定用途。
Claims (24)
1.一种用于处理数据分组的方法,包括
由主机信息处理系统IHS存储与数据分组关联的安全性元数据;
由主机IHS确定数据分组是否是要求安全性处理的数据分组;
如果所述主机IHS确定所述数据分组不要求安全性处理则由所述主机IHS提供数据分组到内部网络接口控制器,所述内部网络接口控制器传送所述数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信;
如果所述主机IHS确定所述数据分组要求安全性处理则经由安全数据链路由所述主机IHS卸载所述数据分组和关联的安全性元数据到无状态外部安全性卸载装置,因此提供卸载的数据分组,所述无状态外部安全卸载装置是在所述主机IHS外部,其中所述安全性元数据包括状态数据;
由所述无状态外部安全性卸载装置加密和封装卸载的数据分组,因此提供封装的加密数据分组;
由无状态外部安全性卸载装置经由所述安全数据链路传送封装的加密数据分组回到所述主机IHS以用于进一步处理;以及
由所述主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信。
2.根据权利要求1所述的方法,其中外部网络接口控制器集成在所述无状态外部安全性卸载装置内。
3.根据任意前述权利要求所述的方法,其中如所述主机IHS传送到所述无状态外部安全性卸载装置的关联的安全性元数据指示的那样,所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行。
4.一种用于处理数据分组的网络节点,包括:
主机信息处理信息IHS,包括内部网络接口控制器;
安全数据链路,耦接到所述主机IHS;
无状态外部安全性卸载装置,经由所述安全数据链路耦接到所述主机IHS,所述无状态外部安全性卸载装置在所述主机IHS外部;并且
所述主机IHS配置为存储与数据分组关联的安全性元数据,所述主机IHS还配置为经由所述安全数据链路卸载所述数据分组和关联的安全性元数据到所述无状态外部安全性卸载装置,因此提供卸载的数据分组,其中所述安全性元数据包括状态数据;
所述无状态外部安全性卸载装置配置为:
接收卸载的数据分组和关联的安全性元数据;
加密和封装卸载的数据分组,因此提供封装的加密数据分组;
传送封装的加密数据分组回到主机IHS以用于进一步处理;
所述主机IHS进一步配置为:
经由所述主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信。
5.根据权利要求4所述的网络节点,其中如所述无状态外部安全性卸载装置从所述主机IHS接收的所述关联的安全性元数据指示的那样,所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行。
6.一种用于处理数据分组的方法,包括:
由主机信息处理系统IHS内部的内部网络接口控制器从通信网络接收数据分组,因此提供接收的数据分组;
由所述主机IHS确定接收的数据分组是否是要求安全性处理的封装的加密数据分组;
如果所述主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组,则由所述主机IHS转发接收的数据分组到所述主机IHS中的应用以用于处理;
如果所述主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组,则由所述主机IHS经由安全数据链路卸载接收的数据分组到无状态外部安全性卸载装置,所述无状态外部安全性卸载装置在所述主机IHS外部;
由所述无状态外部安全性卸载装置解封和解密接收的数据分组,因此提供解封的解密数据分组;
由所述无状态外部安全性卸载装置添加安全性元数据到解封的解密数据分组,其中所述安全性元数据包括状态数据;以及
由所述无状态外部安全性卸载装置经由所述安全数据链路传送解封的解密数据分组到所述主机IHS以用于进一步由所述主机IHS中的应用处理。
7.根据权利要求1或权利要求6所述的方法,进一步包括配置所述主机IHS、安全数据链路和无状态外部安全性卸载装置以形成网络节点。
8.根据权利要求1或权利要求6所述的方法,其中所述无状态外部安全性卸载装置采用IPsec协议。
9.根据权利要求6所述的方法,进一步包括由所述主机IHS对于解封的解密数据分组进行状态校验。
10.一种用于处理数据分组的网络节点,包括:
主机信息处理系统IHS,包括内部网络接口控制器;
安全数据链路,耦接到所述主机IHS;
无状态外部安全性卸载装置,经由所述安全数据链路耦接到所述主机IHS,所述无状态外部安全性卸载装置在主机IHS外部;以及
所述主机IHS配置为:
经由所述网络接口控制器从通信网络接收数据分组,因此提供接收的数据分组;
确定接收的数据分组是否是要求安全性处理的封装的加密数据分组;
如果所述主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组,则转发接收的数据分组到所述主机IHS中的应用以用于处理;
如果所述主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组,则经由所述安全数据链路卸载接收的数据分组到所述无状态外部安全性卸载装置,因此提供卸载的数据分组;
所述无状态外部安全性卸载装置配置为
解封和解密接收的数据分组,因此提供解封的解密数据分组;
添加安全性元数据到解封的解密数据分组,其中所述安全性元数据包括状态数据;以及
经由所述安全数据链路传送解封的解密数据分组到主机IHS用于进一步由所述主机IHS中的应用处理。
11.根据权利要求4或权利要求10所述的网络节点,其中所述无状态外部安全性卸载装置采用IPsec协议。
12.根据权利要求10所述的网络节点,其中所述主机IHS进一步配置为对于解封的解密数据分组进行状态校验。
13.根据权利要求10所述的网络节点,其中所述无状态外部安全性卸载装置进一步配置为提供防火墙服务和入侵检测服务的至少一种。
14.一种用于处理数据分组的方法,包括:
由主机信息处理系统IHS存储与数据分组关联的安全性元数据;
由所述主机IHS经由所述安全数据链路卸载所述数据分组和安全性元数据到在所述主机IHS之外的无状态外部安全性卸载装置,其中所述安全性元数据包括状态数据;
由所述无状态外部安全性卸载装置接收所述数据分组和安全性元数据;
由所述无状态外部安全性卸载装置加密和封装所述数据分组因此提供了封装的加密数据分组;
由所述无状态外部安全性卸载装置传送封装的加密数据分组到外部网络接口控制器;并且
由所述外部网络接口控制器传送封装的加密数据分组到通信网络以用于与除了所述主机IHS之外的IHS的通信。
15.根据权利要求14的方法,其中所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行,如所述无状态外部安全性卸载装置从所述主机IHS接收的安全性元数据指示的。
16.一种用于处理数据分组的网络节点,包括:
主机信息处理系统IHS,包括内部网络接口控制器;
安全数据链路,耦接到所述主机IHS;
无状态外部安全性卸载装置,经由所述安全数据链路耦接到所述主机IHS,所述无状态外部安全性卸载装置在主机IHS外部;以及
外部网络接口控制器,耦接到所述无状态外部安全性卸载装置,所述外部网络接口控制器在所述主机IHS之外;
所述主机IHS配置为存储有关数据分组的安全性元数据并且经由所述安全数据链路卸载所述数据分组和安全性元数据到所述无状态外部安全性卸载装置,其中所述安全性元数据包括状态数据;
所述无状态外部安全性卸载装置配置为:
接收所述数据分组和安全性元数据;
加密和封装所述数据分组因此提供封装的加密数据分组;以及
传送封装的加密数据分组到外部网络接口控制器;
所述外部网络接口控制器配置为传送封装的加密数据分组到通信网络以用于与除了所述主机IHS之外的IHS的通信。
17.根据权利要求16所述的网络节点,其中所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行,如所述无状态外部安全性卸载装置从所述主机IHS接收的安全性元数据指示的。
18.一种用于处理数据分组的方法,包括:
由在主机信息处理系统IHS之外的外部网络接口控制器从通信网络接收数据分组,因此提供接收的数据分组;
由在主机信息处理系统IHS之外的无状态外部安全性卸载装置确定接收的数据分组是否是要求安全性处理的封装的加密数据分组;
如果所述无状态外部安全性卸载装置确定接收的数据分组是不要求安全性处理的数据分组,则由所述无状态外部安全性卸载装置直接传送接收的数据分组到所述主机IHS;
如果所述无状态外部安全性卸载装置确定接收的数据分组是要求安全性处理的封装的加密数据分组,则由所述无状态外部安全性卸载装置解封和解密接收的数据分组,由此提供解封的解密数据分组;
由所述无状态外部安全性卸载装置添加安全性元数据到解封的解密数据分组,其中所述安全性元数据包括状态数据;并且
由所述无状态外部安全性卸载装置经由安全数据链路传送解封的解密数据分组到主机IHS。
19.根据权利要求14或权利要求18所述的方法,进一步包括配置所述主机IHS、安全数据链路、无状态外部安全性卸载装置以及外部网络接口控制器以形成网络节点。
20.根据权利要求14或权利要求18所述的方法,其中所述外部网络接口控制器集成在所述无状态外部安全性卸载装置内。
21.根据权利要求14或权利要求18所述的方法,其中所述无状态外部安全性卸载装置采用IPsec协议。
22.一种用于处理数据分组的网络节点,包括:
主机信息处理系统IHS,包括内部网络接口控制器;
安全数据链路,耦接到所述主机IHS;
无状态外部安全性卸载装置,经由所述安全数据链路耦接到所述主机IHS,所述无状态外部安全性卸载装置在主机IHS外部;以及
外部网络接口控制器,耦接到所述无状态外部安全性卸载装置,所述外部网络接口控制器在所述主机IHS之外;
所述无状态外部安全性卸载装置配置为:
经由所述外部网络接口控制器从通信网络接收封装的加密数据分组;
解封和解密接收的数据分组,因此提供解封的解密数据分组;
添加安全性元数据到解封的解密数据分组,其中所述安全性元数据包括状态数据;以及
经由所述安全数据链路传送解封的解密数据分组到主机IHS。
23.根据权利要求16或权利要求22所述的网络节点,其中所述外部网络接口控制器集成在所述无状态外部安全性卸载装置内。
24.根据权利要求16或权利要求22所述的网络节点,其中所述无状态外部安全性卸载装置采用IPsec协议。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/400,575 | 2012-02-21 | ||
| US13/400,577 | 2012-02-21 | ||
| US13/400,575 US20130219167A1 (en) | 2012-02-21 | 2012-02-21 | Network node with network-attached stateless security offload device employing in-band processing |
| US13/400,577 US8918634B2 (en) | 2012-02-21 | 2012-02-21 | Network node with network-attached stateless security offload device employing out-of-band processing |
| PCT/IB2013/051061 WO2013124758A1 (en) | 2012-02-21 | 2013-02-08 | Network node with network-attached stateless security offload device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104137508A CN104137508A (zh) | 2014-11-05 |
| CN104137508B true CN104137508B (zh) | 2017-07-07 |
Family
ID=49005080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380010353.3A Expired - Fee Related CN104137508B (zh) | 2012-02-21 | 2013-02-08 | 具有网络附接的无状态安全卸载装置的网络节点 |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JP5746446B2 (zh) |
| CN (1) | CN104137508B (zh) |
| DE (1) | DE112013000649B4 (zh) |
| GB (1) | GB2512807B (zh) |
| WO (1) | WO2013124758A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6549692B2 (ja) * | 2014-07-29 | 2019-07-24 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | 認証マークの送信 |
| CN104243484B (zh) * | 2014-09-25 | 2016-04-13 | 小米科技有限责任公司 | 信息交互方法及装置、电子设备 |
| GB2533098B (en) | 2014-12-09 | 2016-12-14 | Ibm | Automated management of confidential data in cloud environments |
| JP5847345B1 (ja) * | 2015-04-10 | 2016-01-20 | さくら情報システム株式会社 | 情報処理装置、認証方法及びプログラム |
| CN105678553A (zh) | 2015-08-05 | 2016-06-15 | 腾讯科技(深圳)有限公司 | 一种处理订单信息的方法、装置和系统 |
| US10225241B2 (en) * | 2016-02-12 | 2019-03-05 | Jpu.Io Ltd | Mobile security offloader |
| US20190173667A1 (en) * | 2016-12-23 | 2019-06-06 | Cloudminds (Shenzhen) Robotics Systems Co., Ltd. | Block generation method, device and blockchain network |
| JP6588048B2 (ja) * | 2017-03-17 | 2019-10-09 | 株式会社東芝 | 情報処理装置 |
| JP6518378B1 (ja) * | 2018-12-21 | 2019-05-22 | 瀧口 信太郎 | 認証システム、認証方法、及び、認証プログラム |
| US10506426B1 (en) | 2019-07-19 | 2019-12-10 | Capital One Services, Llc | Techniques for call authentication |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
| US20050060538A1 (en) * | 2003-09-15 | 2005-03-17 | Intel Corporation | Method, system, and program for processing of fragmented datagrams |
| EP1615372B1 (en) * | 2004-04-05 | 2013-12-18 | Nippon Telegraph And Telephone Corporation | Packet cryptographic processing proxy apparatus, method therefor and recording medium for program |
| JP2006041726A (ja) * | 2004-07-23 | 2006-02-09 | Matsushita Electric Ind Co Ltd | 共有鍵交換システム、共有鍵交換方法及び方法プログラム |
| US8407778B2 (en) * | 2005-08-11 | 2013-03-26 | International Business Machines Corporation | Apparatus and methods for processing filter rules |
| JP2007329730A (ja) * | 2006-06-08 | 2007-12-20 | Kawasaki Microelectronics Kk | 通信プロトコル処理装置 |
| US20090038004A1 (en) * | 2007-07-31 | 2009-02-05 | Gabor Blasko | Role change based on coupling or docking of information handling apparatus and method for same |
| CN101222509B (zh) * | 2008-01-22 | 2011-10-26 | 中兴通讯股份有限公司 | 一种点对点网络的数据保护传输方法 |
| JP2009230476A (ja) * | 2008-03-24 | 2009-10-08 | Toshiba Corp | メッセージを処理する装置、方法およびプログラム |
| JP4906800B2 (ja) * | 2008-07-02 | 2012-03-28 | 三菱電機株式会社 | 通信装置及び暗号通信システム及び通信方法及び通信プログラム |
| US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| CN201788511U (zh) * | 2010-08-18 | 2011-04-06 | 赵景壁 | 安全性信息交互设备 |
| JP5779434B2 (ja) * | 2011-07-15 | 2015-09-16 | 株式会社ソシオネクスト | セキュリティ装置及びセキュリティシステム |
-
2013
- 2013-02-08 JP JP2014553855A patent/JP5746446B2/ja active Active
- 2013-02-08 CN CN201380010353.3A patent/CN104137508B/zh not_active Expired - Fee Related
- 2013-02-08 DE DE112013000649.9T patent/DE112013000649B4/de active Active
- 2013-02-08 GB GB1414604.7A patent/GB2512807B/en active Active
- 2013-02-08 WO PCT/IB2013/051061 patent/WO2013124758A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013124758A1 (en) | 2013-08-29 |
| GB2512807A (en) | 2014-10-08 |
| CN104137508A (zh) | 2014-11-05 |
| GB2512807B (en) | 2014-11-19 |
| JP5746446B2 (ja) | 2015-07-08 |
| DE112013000649B4 (de) | 2020-11-19 |
| GB201414604D0 (en) | 2014-10-01 |
| DE112013000649T5 (de) | 2014-11-06 |
| JP2015511434A (ja) | 2015-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104137508B (zh) | 具有网络附接的无状态安全卸载装置的网络节点 | |
| US8826003B2 (en) | Network node with network-attached stateless security offload device employing out-of-band processing | |
| US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| CN111859472B (zh) | 用于片上系统平台的安全插件 | |
| US8379638B2 (en) | Security encapsulation of ethernet frames | |
| CN100358280C (zh) | 一种网络安全装置及其实现方法 | |
| US20050198492A1 (en) | System and method for secure data transfer over a network | |
| JP2009506617A (ja) | セキュア伝送情報を処理するシステムおよび方法 | |
| CN112491821B (zh) | 一种IPSec报文转发的方法及装置 | |
| CN109428867A (zh) | 一种报文加解密方法、网路设备及系统 | |
| US20130219171A1 (en) | Network node with network-attached stateless security offload device employing in-band processing | |
| CN105991562B (zh) | IPSec加速方法、装置及系统 | |
| CN107040536A (zh) | 数据加密方法、装置和系统 | |
| Dhall et al. | Implementation of IPSec protocol | |
| CN109525477A (zh) | 数据中心中虚拟机之间的通信方法、装置和系统 | |
| EP1953954A2 (en) | Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods | |
| US10230698B2 (en) | Routing a data packet to a shared security engine | |
| US7564976B2 (en) | System and method for performing security operations on network data | |
| TWI335160B (en) | Access-controlling method, pepeater, and sever | |
| WO2020140842A1 (zh) | 数据传输方法、设备与系统 | |
| US11539668B2 (en) | Selective transport layer security encryption | |
| CN113765878B (zh) | 选择性的传送层安全加密 | |
| Lodha et al. | Secure wireless internet of things communication using virtual private networks | |
| Railkar et al. | 3 Threat analysis and attack modeling for machine-to-machine communication toward Internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170707 Termination date: 20190208 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |