DE112013000649B4 - Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit - Google Patents

Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit Download PDF

Info

Publication number
DE112013000649B4
DE112013000649B4 DE112013000649.9T DE112013000649T DE112013000649B4 DE 112013000649 B4 DE112013000649 B4 DE 112013000649B4 DE 112013000649 T DE112013000649 T DE 112013000649T DE 112013000649 B4 DE112013000649 B4 DE 112013000649B4
Authority
DE
Germany
Prior art keywords
data packet
security
ihs
host
host ihs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112013000649.9T
Other languages
English (en)
Other versions
DE112013000649T5 (de
Inventor
c/o IBM Corporation Moonen Scott Christopher
c/o IBM Corporation Overby Linwood Hugh Jr.
c/o IBM Corporation Meyer Christopher
c/o IBM Corporation Gearhart Curtis Matthew
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/400,575 external-priority patent/US20130219167A1/en
Priority claimed from US13/400,577 external-priority patent/US8918634B2/en
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112013000649T5 publication Critical patent/DE112013000649T5/de
Application granted granted Critical
Publication of DE112013000649B4 publication Critical patent/DE112013000649B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Verfahren, das aufweist:Speichern von Sicherheitsmetadaten, die zu einem Datenpaket gehören, durch ein Host-Informationsverarbeitungssystem (IHS);Feststellen durch ein Host-IHS, ob ein Datenpaket ein Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht;Bereitstellen des Datenpakets durch das Host-IHS für eine interne Netzwerkschnittstellen-Steuereinheit, wenn das Host-IHS feststellt, dass das Datenpaket keine Sicherheitsverarbeitung erforderlich macht, wobei die interne Netzwerkschnittstellen-Steuereinheit das Datenpaket an ein Übertragungsnetzwerk sendet, um es an ein anderes IHS als das Host-IHS zu übertragen;Auslagern des Datenpakets und zugehöriger Sicherheitsmetadaten durch das Host-IHS über eine sichere Datenübertragungsverbindung an eine zustandslose externe Sicherheitsauslagerungseinheit, wenn das Host-IHS feststellt, dass das Datenpaket eine Sicherheitsverarbeitung erforderlich macht, und somit Bereitstellen eines ausgelagerten Datenpakets, wobei sich die zustandslose externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet;Verschlüsseln und Kapseln des ausgelagerten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit und somit Bereitstellen eines gekapselten, verschlüsselten Datenpakets;Zurücksenden des gekapselten, verschlüsselten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung; undSenden des gekapselten, verschlüsselten Datenpakets durch die interne Netzwerkschnittstellen-Steuereinheit des Host-IHS an ein Übertragungsnetzwerk, um es an ein anderes IHS als das Host-IHS zu übertragen.

Description

  • HINTERGRUND
  • Die vorliegende Erfindung betrifft allgemein die Datensicherheit in Informationsverarbeitungssystemen (information handling systems (IHSs) und insbesondere die Datensicherheit bei Übertragungen zwischen vernetzten IHSs. Die Authentifizierung eines Quellen-IHS und eines Ziel-IHS kann die Sicherheit von Netzübertragungen erhöhen. Eine Verschlüsselung von Übertragungen zwischen Quellen- und Ziel-IHSs kann die Sicherheit von Netzübertragungen ebenfalls erhöhen.
  • KURZDARSTELLUNG DER ERFINDUNG
  • In einem Aspekt wird ein Sicherheitsauslagerungsverfahren offenbart, das die Speicherung von Sicherheitsmetadaten, die zu einem Datenpaket gehören, durch ein Host-Informationsverarbeitungssystem beinhaltet. Das Verfahren beinhaltet auch das Feststellen durch ein Host-IHS, ob ein Datenpaket ein Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht. Das Verfahren beinhaltet des Weiteren das Bereitstellen des Datenpakets durch das Host-IHs für eine interne Netzwerkschnittstellen-Steuereinheit, wenn das Host-IHS feststellt, dass das Datenpaket keine Sicherheitsverarbeitung erforderlich macht, wobei die interne Netzwerkschnittstellen-Steuereinheit das Datenpaket an ein Übertragungsnetzwerk sendet, um es an ein anderes IHS als das Host-IHS zu übertragen. Das Verfahren beinhaltet des Weiteren noch das Auslagern des Datenpakets und zugehöriger Sicherheitsmetadaten durch das Host-IHS über eine sichere Datenübertragungsverbindung an eine zustandslose externe Sicherheitsauslagerungseinheit, wenn das Host-IHS feststellt, dass das Datenpaket eine Sicherheitsverarbeitung erforderlich macht, und somit das Bereitstellen eines ausgelagerten Datenpakets, wobei sich die zustandslose externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet. Das Verfahren beinhaltet auch das Verschlüsseln und Kapseln des ausgelagerten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit und somit das Bereitstellen eines gekapselten, verschlüsselten Datenpakets. Das Verfahren beinhaltet darüber hinaus das Zurücksenden des gekapselten, verschlüsselten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung. Das Verfahren beinhaltet auch das Senden des gekapselten, verschlüsselten Datenpakets durch die interne Netzwerkschnittstellen-Steuereinheit des Host-IHS an ein Übertragungsnetzwerk, um es an ein anderes IHS als das Host-IHS zu übertragen.
  • In einem weiteren Aspekt wird ein Netzwerkknoten offenbart, der ein Host-Informationsverarbeitungssystem (IHS) enthält. Das Host-IHS enthält eine interne Netzwerkschnittstellen-Steuereinheit. Der Netzwerkknoten enthält eine sichere Datenübertragungsverbindung, die an das Host-IHS angeschlossen ist. Der Netzwerkknoten enthält auch eine zustandslose externe Sicherheitsauslagerungseinheit, die über die sichere Datenübertragungsverbindung an das Host-IHS angeschlossen ist. Die externe Sicherheitsauslagerungseinheit befindet sich außerhalb des Host-IHS. Das Host-IHS ist so konfiguriert, dass es Sicherheitsmetadaten speichert, die zu einem Datenpaket gehören. Das Host-IHS ist auch so konfiguriert, dass es das Datenpaket und zugehörige Sicherheitsmetadaten über die sichere Datenübertragungsverbindung an die zustandslose externe Sicherheitsauslagerungseinheit auslagert und somit ein ausgelagertes Datenpaket bereitstellt. Die zustandslose externe Sicherheitsauslagerungseinheit ist so konfiguriert, dass sie das ausgelagerte Datenpaket und zugehörige Sicherheitsmetadaten empfängt. Die zustandslose externe Sicherheitsauslagerungseinheit ist auch so konfiguriert, dass sie das ausgelagerte Datenpaket verschlüsselt und kapselt und somit ein gekapseltes, verschlüsseltes Datenpaket bereitstellt. Die zustandslose externe Sicherheitsauslagerungseinheit ist des Weiteren so konfiguriert, dass sie das gekapselte, verschlüsselte Datenpaket an das Host-IHS zur weiteren Verarbeitung zurücksendet. Das Host-IHS ist auch so konfiguriert, dass es das gekapselte, verschlüsselte Datenpaket über die interne Netzwerkschnittstellen-Steuereinheit des Host-IHS an ein Übertragungsnetzwerk sendet, um es an ein anderes IHS als das Host-IHS zu übertragen.
  • In noch einem weiteren Aspekt beinhaltet das offenbarte Sicherheitsauslagerungsverfahren das Empfangen eines Datenpakets von einem Übertragungsnetzwerk durch eine interne Netzwerkschnittstellen-Steuereinheit, die sich in einem Host-Informationsverarbeitungssystem (IHS) befindet, und somit das Bereitstellen eines empfangenen Datenpakets. Das Verfahren beinhaltet auch das Feststellen durch das Host-IHS, ob das empfange Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht. Das Verfahren beinhaltet des Weiteren das Weiterleiten des empfangenen Datenpakets durch das Host-IHS an eine Anwendung in dem Host-IHS zur Verarbeitung, wenn das Host-IHS feststellt, dass das empfangene Datenpaket kein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht. Das Verfahren beinhaltet des Weiteren noch das Auslagern des empfangenen Datenpakets durch das Host-IHS über eine sichere Datenübertragungsverbindung an eine zustandslose externe Sicherheitsauslagerungseinheit, wenn das Host-IHS feststellt, dass das empfangene Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht, wobei sich die zustandslose externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet. Das Verfahren beinhaltet auch das Entkapseln und Entschlüsseln des empfangenen Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit und somit das Bereitstellen eines entkapselten, entschlüsselten Datenpakets. Das Verfahren beinhaltet darüber hinaus das Zurücksenden des entkapselten, entschlüsselten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung durch die Anwendung in dem Host-IHS.
  • In einem weiteren Aspekt wird ein Netzwerkknoten offenbart, der ein Host-Informationsverarbeitungssystem (IHS) enthält. Das Host-IHS enthält eine interne Netzwerkschnittstellen-Steuereinheit. Der Netzwerkknoten enthält eine sichere Datenübertragungsverbindung, die an das Host-IHS angeschlossen ist. Der Netzwerkknoten enthält auch eine zustandslose externe Sicherheitsauslagerungseinheit, die über die sichere Datenübertragungsverbindung an das Host-IHS angeschlossen ist. Die externe Sicherheitsauslagerungseinheit befindet sich außerhalb des Host-IHS. Das Host-IHS ist so konfiguriert, dass es über die interne Schnittstellensteuereinheit ein Datenpaket von einem Übertragungsnetzwerk empfängt und somit ein empfangenes Datenpaket bereitstellt. Das Host-IHS ist auch so konfiguriert, dass es feststellt, ob das empfange Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht. Das Host-IHS ist des Weiteren so konfiguriert, dass es das empfangene Datenpaket an eine Anwendung in dem Host-IHS zur Verarbeitung weiterleitet, wenn das Host-IHS feststellt, dass das empfangene Datenpaket kein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht. Das Host-IHS ist ferner noch so konfiguriert, dass es das empfangene Datenpaket über die sichere Datenübertragungsverbindung an die zustandslose externe Sicherheitsauslagerungseinheit auslagert und somit ein ausgelagertes Datenpaket bereitstellt, wenn das Host-IHS feststellt, dass das empfangene Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht. Die zustandslose externe Sicherheitsauslagerungseinheit ist so konfiguriert, dass sie das ausgelagerte Datenpaket entkapselt und entschlüsselt und somit ein entkapseltes, entschlüsseltes Datenpaket bereitstellt. Die zustandslose externe Sicherheitsauslagerungseinheit ist auch so konfiguriert, dass sie das entkapselte, entschlüsselte Datenpaket über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung durch die Anwendung in dem Host-IHS zurücksendet.
  • Weitere Aspekte der vorliegenden Erfindung sind in anderen der beigefügten Ansprüche angegeben.
  • Figurenliste
  • Eine Ausführungsform beziehungsweise Ausführungsformen der Erfindung werden nun lediglich anhand eines Beispiels und mit Bezug auf die beiliegenden Zeichnungen beschrieben, bei denen:
    • 1A ein Blockschaubild des offenbarten Netzwerksystems ist.
    • 1 B ein Blockschaubild eines Netzwerkknotens ist, den das offenbarte Netzwerksystem verwenden kann.
    • 2 ein Ablaufplan ist, der ein Verfahren zur Verarbeitung von abgehenden Datenpaketen mit einer externen Sicherheitsauslagerungseinheit an einem Netzwerkknoten zeigt.
    • 3 ein Ablaufplan ist, der ein Verfahren zur Verarbeitung von ankommenden Datenpaketen mit einer externen Sicherheitsauslagerungseinheit an einem Netzwerkknoten zeigt.
    • 4 ein Ablaufplan ist, der ein weiteres Verfahren zur Verarbeitung von abgehenden Datenpaketen mit einer externen Sicherheitsauslagerungseinheit an einem Netzwerkknoten zeigt.
    • 5 ein Ablaufplan ist, der ein weiteres Verfahren zur Verarbeitung von ankommenden Datenpaketen mit einer externen Sicherheitsauslagerungseinheit an einem Netzwerkknoten zeigt.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In dem offenbarten Netzwerksystem enthält ein Netzwerkknoten ein Host-Informationsverarbeitungssystem (IHS), das über eine sichere Datenübertragungsverbindung mit einer zustandslosen externen Sicherheitsauslagerungseinheit verbunden ist. Die zustandslose externe Sicherheitsauslagerungseinheit ist mit einer externen Netzwerkschnittstellen-Steuereinheit verbunden, die mit einem oder mehreren anderen Netzwerkknoten in dem Netzwerksystem Daten austauscht. Das Host-IHS lagert sicherheitsrelevante Tasks an die externe Sicherheitsauslagerungseinheit aus, um die sicherheitsrelevante Arbeitslast auf dem Host-IHS zu verringern. Zum Beispiel kann die externe Sicherheitsauslagerungseinheit optionale Kopfbereiche in ein Datenpaket einfügen und/oder im Auftrag des Host-IHS ein Verschlüsselungsverfahren auf das Datenpaket anwenden. Das Host-IHS kann sicherheitsrelevante Aufgaben wie zum Beispiel die Kapselung und Entkapselung, Verschlüsselung und Entschlüsselung sowie die Authentifizierung an eine externe Sicherheitsauslagerungseinheit auslagern, bei der es sich um eine an das Netzwerk angeschlossene Einheit handelt. In einer Ausführungsform kann das Host-IHS Zustandsinformationen wie zum Beispiel IPSec-Folgenummern in einem TCP/IP-Stapelspeicher des Host-IHS und nicht in der externen Sicherheitsauslagerungseinheit speichern und somit anstelle einer zustandsbehafteten externen Sicherheitsauslagerungseinheit eine zustandslose externe Sicherheitsauslagerungseinheit bereitstellen.
  • 1A ist ein Blockschaubild des offenbarten Netzwerksystems 100, das mehrere Netzwerkknoten wie zum Beispiel die Netzwerkknoten 101 und 101' enthält, die über ein Übertragungsnetzwerk 102 miteinander verbunden sind. Das Übertragungsnetzwerk 102 kann praktisch jede Art von Übertragungsvorrichtung sein, die drahtgebundene und/oder drahtlose Verbindungen enthält. Zum Beispiel kann das Übertragungsnetzwerk 102 Übertragungsleitungen, Router, Vermittlungsstellen (Switches), Hubs, Network Fabric, Internet-Verbindungen, lokale Netze (LANs) und Weitverkehrsnetze (WANs) enthalten. Der Netzwerkknoten 101 oder aber der Netzwerkknoten 101' kann die Quelle eines Datenpakets sein, das eine Sicherheitsverarbeitung erforderlich macht. Wenn der Netzwerkknoten 101 die Quelle eines Datenpakets ist, kann der Netzwerkknoten 101' das Ziel dieses Datenpakets sein. Umgekehrt kann der Netzwerkknoten 101, wenn der Netzwerkknoten 101' die Quelle eines Datenpakets ist, das Ziel dieses Datenpakets sein. Das Netzwerksystem 100 kann eine größere Zahl von Netzwerkknoten enthalten, als in 1A gezeigt sind.
  • Der Netzwerkknoten 101 enthält ein Host-IHS 103 mit einer internen Netzwerkschnittstellen-Steuereinheit 107, die das Host-IHS 103 mit dem Übertragungsnetzwerk 102 verbindet. Der Netzwerkknoten 101 enthält auch eine externe Sicherheitsauslagerungseinheit 104, die über eine sichere Datenübertragungsverbindung 105 mit dem Host-IHS 103 verbunden ist. In einer Ausführungsform ist die externe Sicherheitsauslagerungseinheit 104 eine „an das Netzwerk angeschlossene“ Einheit. Eine externe Netzwerkschnittstellen-Steuereinheit 106 verbindet die externe Sicherheitsauslagerungseinheit 104 mit dem Übertragungsnetzwerk 102. In einer Ausführungsform ist die externe Netzwerkschnittstellen-Steuereinheit 106 mit der externen Sicherheitsauslagerungseinheit 104 verbunden, wie gezeigt ist. In einer weiteren Ausführungsform befindet sich die externe Netzwerkschnittstellen-Steuereinheit 106 in der externen Sicherheitsauslagerungseinheit 104, aber immer noch außerhalb des Host-IHS 103. In ähnlicher Weise enthält der Netzwerkknoten 101' ein Host-IHS 103' mit einer internen Netzwerkschnittstellen-Steuereinheit 107', die das Host-IHS 103' mit dem Übertragungsnetzwerk 102 verbindet. Der Netzwerkknoten 101' enthält auch eine externe Sicherheitsauslagerungseinheit 104', die über eine sichere Datenübertragungsverbindung 105' mit dem Host-IHS 103' verbunden ist. In einer Ausführungsform ist die externe Sicherheitsauslagerungseinheit 104' eine an das Netzwerk angeschlossene Einheit. Eine externe Netzwerkschnittstellen-Steuereinheit 106' verbindet die externe Sicherheitsauslagerungseinheit 104 mit dem Übertragungsnetzwerk 102.
  • 1B ist ein Blockschaubild eines Netzwerkknotens 101, den das Netzwerksystem 100 als den Netzwerkknoten 101 und/oder den Netzwerkknoten 101' ebenso wie andere Netzwerkknoten (nicht gezeigt) des Netzwerksystems 100 verwenden kann. Im Einzelnen zeigt 1B einen Netzwerkknoten 101, der ein Host-Informationsverarbeitungssystem (IHS) 103 enthält, das über eine sichere Datenübertragungsverbindung 105 mit einer externen Sicherheitsauslagerungseinheit 104 verbunden ist.
  • Die sichere Datenübertragungsverbindung 105 kann verhindern, dass unverschlüsselter Datenverkehr von Unbefugten gesehen oder geändert wird. Um Sicherheit zu erreichen, kann die sichere Datenübertragungsverbindung 105 von der physischen Trennung der Schicht 1 des Open-Systems-Interconnection-(OSI-)Modells, der Verschlüsselung der OSI-Schicht 2 und anderen OSI-Schichten und/oder anderen Sicherheitsmaßnahmen Gebrauch machen. Das Host-IHS 103 enthält einen Prozessor 110, der mehrere Berechnungskerne und einen SRAM-Cachespeicher 150 enthalten kann. Das Host-IHS 103 verarbeitet, überträgt, kommuniziert, ändert, speichert oder handhabt auf andere Weise Informationen in digitaler Form, in analoger Form oder in anderer Form. Das Host-IHS 103 enthält einen Bus 115, der den Prozessor 110 mit dem Systemspeicher 120 über eine Speichersteuereinheit 125 und den Speicherbus 130 verbindet. In einer Ausführungsform befindet sich der Systemspeicher 120 außerhalb des Prozessors 110. Der Systemspeicher 120 kann ein statisches Direktzugriffsspeicher-(SRAM-)Array und/oder ein dynamisches Direktzugriffsspeicher-(DRAM-)Array sein. Eine Video-Grafiksteuereinheit 135 verbindet den Bildschirm 140 mit dem Bus 115. Ein nicht flüchtiger Speicher 145 wie zum Beispiel ein Festplattenlaufwerk, ein CD-Laufwerk, ein DVD-Laufwerk oder ein anderer nicht flüchtiger Speicher ist mit dem Bus 115 verbunden, um dem Host-IHS 103 die dauerhafte Speicherung von Daten zu ermöglichen. E/A-Einheiten 190 wie zum Beispiel eine Tastatur und ein Maus-Zeigegerät, sind über eine E/A-Steuereinheit 155 und den E/A-Bus 160 mit dem Bus 115 verbunden. Ein oder mehrere Erweiterungsbusse 165 wie zum Beispiel USB, ein IEEE-1394-Bus, ein ATA-, SATA-, PCI-, PCIE-, DVI-, HDMI- und andere Erweiterungsbusse sind mit dem Bus 115 verbunden, um den Anschluss von Peripheriegeräten und Einheiten an das Host-IHS 103 zu vereinfachen. Die gestrichelte Linie 103 in 1B gibt das Host-IHS 103 sowie ein Gehäuse und/oder Chassis des Host-IHS 103 an. Auf diese Weise sind diejenigen Strukturen des Host-IHS 103, die sich innerhalb der gestrichelten Linie 103 befinden, interne Strukturen des Host-IHS 103, und diejenigen Strukturen des Netzwerkknotens 101, die sich außerhalb der gestrichelten Linie 103 befinden, sind externe Strukturen des Host-IHS 103.
  • Das Host-IHS 103 des Netzwerkknotens 101 enthält eine interne Netzwerkschnittstellen-Steuereinheit 107, die mit dem Bus 115 verbunden ist, um dem Host-IHS 103 eine drahtgebundene oder drahtlose Verbindung mit einem Netzwerk wie zum Beispiel dem Übertragungsnetzwerk 102 und anderen Informationsverarbeitungssystemen und Netzwerkknoten wie zum Beispiel dem Netzwerkknoten 101' zu ermöglichen. Das Host-IHS 103 kann die Form eines Desktop-, Serverrechners, eines tragbaren Rechners, eines Laptop-, Notebook- oder eines anderen Formfaktor-Computers oder Datenverarbeitungssystems annehmen. Das Host-IHS 103 kann andere Formfaktoren wie zum Beispiel eine Spielkonsole, einen persönlichen digitalen Assistenten (PDA), eine tragbare Telefoneinheit, eine Übertragungseinheit oder andere Einheiten annehmen, die einen Prozessor und einen Hauptspeicher enthalten. Das Host-IHS 103 kann auch die Form einer tragbaren Einheit, einer Laptop-, Notebook-, Spielkonsolen-, PDA- oder einer beliebigen anderen batteriebetriebenen Einheit annehmen. In einer Ausführungsform kann das Betriebsverhalten des Host-IHS 103 besonders empfindlich gegenüber rechenintensiven Prozessen sein, die die Netzwerklatenzzeit gegebenenfalls vergrößern (wie zum Beispiel die Paketsicherheit und die IPsec-Verarbeitung).
  • Das Host-IHS 103 kann ein Computerprogrammprodukt auf digitalen Datenträgern 175 wie zum Beispiel einer CD, einer DVD oder auf anderen Datenträgern enthalten. In einer Ausführungsform enthalten die digitalen Datenträger 175 eine Anwendung 182. Ein Benutzer kann die Anwendung 182 als die Anwendung 182' in den nicht flüchtigen Speicher 145 laden. Der nicht flüchtige Speicher 145 kann ein Betriebssystem 181 speichern, das Netzwerk-Software 183 beinhalten kann. Bei der Initialisierung des Host-IHS 103 lädt das Host-IHS das Betriebssystem 181 und die Anwendung 182' in den Systemspeicher 120, um sie als das Betriebssystem 181', die Netzwerk-Software 183' und die Anwendung 182" auszuführen. Das Betriebssystem 181', das die Netzwerk-Software 183' beinhalten kann, steuert den Betrieb des Host-IHS 103. Das Host-IHS 103 ist über eine sichere Datenübertragungsverbindung 105 mit der externen Sicherheitsauslagerungseinheit 104 verbunden. Die externe Sicherheitsauslagerungseinheit 104 ist mit einer externen Netzwerkschnittstellen-Steuereinheit 106 verbunden. Auf diese Weise ist die externe Netzwerkschnittstellen-Steuereinheit 106 eine „an das Netzwerk angeschlossene“ Einheit. Eine „an das Netzwerk angeschlossene Einheit“ hat die Funktion eines drahtgebundenen und/oder drahtlosen Portals zu einem Übertragungsnetzwerk wie zum Beispiel dem Übertragungsnetzwerk 102, das mehrere Netzwerkknoten miteinander verbinden kann. Beispielsweise dienen die externen Netzwerkschnittstellen-Steuereinheiten 106 und 106' und die internen Netzwerkschnittstellen-Steuereinheiten 107 und 107' als drahtgebundene und/oder drahtlose Portale, die die Netzwerkknoten 101 und 101' über das Übertragungsnetzwerk 102 miteinander verbinden. Das Host-IHS 103 zusammen mit der sicheren Datenübertragungsverbindung 105, die externe Sicherheitsauslagerungseinheit 104 und die externe Netzwerkschnittstellen-Steuereinheit 106 bilden gemeinsam einen Netzwerkknoten 101, um Datenpakete mit anderen Netzwerkknoten auszutauschen. In einer Ausführungsform kann das Host-IHS 103 in Zusammenarbeit mit der externen Sicherheitsauslagerungseinheit 104 diese Datenpakete mit einem Sicherheitsprotokoll wie zum Beispiel der Protokollfolge „Internet Protocol Security (IPsec)“ sichern.
  • In einer Ausführungsform kann die externe Sicherheitsauslagerungseinheit 104 des Netzwerkknotens 101 auf Weisung des Host-IHS 103 die Protokollfolge „Internet Protocol Security (IPsec)“ verwenden, um Internet-Protocol-(IP-)Übertragungen im Auftrag des Host-IHS 103 zu sichern. Die externe Sicherheitsauslagerungseinheit 104 kann ein Informationsverarbeitungssystem sein, das einen Prozessor (nicht gezeigt) enthält, um die Kapselung und die Entkapselung von Datenpaketen zu vereinfachen, die Verschlüsselung und die Entschlüsselung von Datenpaketen zu vereinfachen, um eine Authentifizierung von Datenpaketen vorzunehmen und um optional Firewall- und Angriffserkennungsdienste (Intrusion Detection Services (IDSs)) und andere optionale Dienste an Datenpaketen durchzuführen. Die externe Sicherheitsauslagerungseinheit 104 kann auch einen Hauptspeicher (nicht gezeigt) und einen Massenspeicher (nicht gezeigt) enthalten.
  • Die externe Sicherheitsauslagerungseinheit 104 kann ein Sicherheitsprotokoll verwenden, das IP-Datenpakete authentifiziert und die authentifizierten IP-Datenpakete kapselt. Nach der Kapselung eines authentifizierten IP-Datenpakets kann das Sicherheitsprotokoll das gekapselte IP-Datenpaket verschlüsseln. Zum Beispiel authentifiziert und verschlüsselt das IPsec-Protokoll jedes IP-Datenpaket einer Übertragungssitzung. IPsec enthält auch Protokolle zur gegenseitigen Authentifizierung zwischen Agenten zu Beginn der Übertragungssitzung und zum Aushandeln von Chiffrierschlüsseln, die während der Übertragungssitzung verwendet werden. Das Host-IHS 103 und das Host-IHS 103' sind Beispiele für solche Agenten. Genauer gesagt, der Teil der Netzwerk-Software 183, der für Sicherheit sorgt, ist ein Agent, der auf Weisung eines Sicherheitsadministrators in Form von einer Person handeln kann. In einer Ausführungsform kann die externe Sicherheitsauslagerungseinheit 104 alle IPsec-Kapselungs- und -Entkapselungsoperationen sowie die Verschlüsselung, Entschlüsselung und Authentifizierung für den Netzwerkknoten 101 vorsehen. Dies verringert die sicherheitsrelevante Arbeitslast des Host-IHS 103 in dem Netzwerkknoten 101.
  • Eine Sicherheitsrichtlinie ist eine Regel, die ein Entwickler, ein Programmierer oder eine andere Entität in ein Sicherheitsprotokoll wie zum Beispiel das IPSec-Protokoll programmiert und die das Protokoll anweist, wie Datenpakete, die eine bestimmte Einheit empfängt, zu verarbeiten sind. Zum Beispiel kann eine Sicherheitsrichtlinie beschließen, ob ein bestimmtes Datenpaket eine Sicherheitsverarbeitung durch das IPsec-Protokoll erforderlich macht. Diejenigen Datenpakete, die keine Sicherheitsverarbeitung erforderlich machen, können die Verarbeitung durch das Authentication-Header-(AH-)Protokoll oder das Encapsulating-Security-Payload-(ESP-)Protokoll umgehen. Wenn die Einheit feststellt, dass ein bestimmtes Datenpaket die Verarbeitung durch ein Sicherheitsprotokoll erforderlich macht, kann eine Sicherheitsrichtlinie der Einheit Hinweise erteilen, wie mit der Sicherheit bei diesem Datenpaket zu verfahren ist. In einer Ausführungsform kann eine Einheit wie zum Beispiel das Host-IHS 103 und/oder die externe Sicherheitsauslagerungseinheit 104 Sicherheitsrichtlinien in einer Sicherheitsrichtlinien-Datenbank (nicht gezeigt), die sich in diesen Einheiten befindet, speichern. Security-Association-(SA-)Informationen sind ein Satz von Sicherheitsinformationen, die eine bestimmte Art einer sicheren Verbindung zwischen zwei Einheiten beschreiben. Zu den SA-Informationen gehören die jeweiligen Sicherheitsmechanismen, die zwei Einheiten einsetzen können, um auf sichere Weise Daten miteinander auszutauschen.
  • In einer Ausführungsform wird die externe Sicherheitsauslagerungseinheit 104 als eine an das Netzwerk angeschlossene Einheit betrieben. Eine an das Netzwerk angeschlossene Einheit kann ein Informationsverarbeitungssystem (IHS) sein, das an ein Netzwerk angeschlossen ist und dateibasierte Speicherdienste und/oder andere spezielle Dienste bereitstellt. In einer Ausführungsform stellt die externe Sicherheitsauslagerungseinheit 104 die speziellen sicherheitsrelevanten Dienste der Kapselung, Entkapselung, Verschlüsselung, Entschlüsselung und Authentifizierung bereit.
  • In einer Ausführungsform des offenbarten Netzwerksystems 100 verwaltet nicht die externe Sicherheitsauslagerungseinheit 104 alle Zustandsinformationen der IPsec Security Associations (SA), sondern ein TCP/IP-Stapelspeicher 184 der Netzwerk-Software 183' in dem Betriebssystem 181' des Host-IHS 103. Durch diese Regelung kann die externe Sicherheitsauslagerungseinheit 104 eine zustandslose Einheit sein. Manche Ausführungsformen binden die externe Sicherheitsauslagerungseinheit 104 gegebenenfalls mit anderen Netzwerkdiensten, zum Beispiel Firewall-Diensten, Angriffserkennungsdiensten und gründlichen Paketprüfdiensten für unverschlüsselte Daten ein, die ebenfalls die externe Sicherheitsauslagerungseinheit des Netzwerkknotens durchlaufen. In einer Ausführungsform vereinfacht die physische Trennung zwischen der externen Sicherheitsauslagerungseinheit 104 und dem Host-IHS 103 des Netzwerkknotens 101 sowie die zustandslose Beschaffenheit der externen Sicherheitsauslagerungseinheit 104 einen (1) „Austausch im laufenden Betrieb“ oder eine Auswechselung der externen Sicherheitsauslagerungseinheit 104 mit minimaler Systembeeinträchtigung oder Störung und (2) ermöglicht die Konfiguration von mehreren externen Sicherheitsauslagerungseinheiten für einen Lastausgleich oder für den Bereitschaftsmodus ohne die Komplikationen der Zustandssynchronisation und (3) ermöglicht darüber hinaus ein dynamisches Aktivieren und Deaktivieren der externen Sicherheitsauslagerungseinheiten zur Systemwartung oder für Hosts mit mehreren Netzen. Ein Host mit mehreren Netzen enthält mehrere Netzwerkverbindungen. Ein Host mit mehreren Netzen kann mit mehreren Netzwerken oder mit demselben Netzwerk verbunden sein.
  • Eine Ausführungsform des offenbarten Netzwerksystems 100 lagert die Sicherheitsverarbeitung von dem Host-IHS 103 auf die externe Sicherheitsauslagerungseinheit 104 des Netzwerkknotens 101 aus. Der TCP/IP-Stapelspeicher 184 der Netzwerk-Software 183' in dem Betriebssystem 181' des Host-IHS 103 verwaltet Zustandsinformationen. Die Netzwerk-Software 183' in dem Betriebssystem 181' des Host-IHS 103 überträgt eine Auswahl an abgehenden Metadaten für die IP-Datenpakete an die externe Sicherheitsauslagerungseinheit 104. Abgehende Metadaten können Informationen über die IP-Datenpakete enthalten, die die Netzwerk-Software 183' des Host-IHS 103 an die externe Sicherheitsauslagerungseinheit 104 sendet. Abgehende Metadaten können Informationen über die IPsec Security Association (SA) und die relevanten SA-Zustandsinformationen enthalten, die für das IP-Datenpaket gelten. Informationen über die Security Association (SA) beziehen sich auf ausgehandelte SA-Attribute wie zum Beispiel die Angabe, welcher Netzwerkverkehr einen Tunnel verwenden darf (zum Beispiel kann IPsec dies auf bestimmte Netzwerkadressen oder Protokolle beschränken), die Wahl der Chiffrieralgorithmen zur Authentifizierung, Verschlüsselung und Entschlüsselung; die Chiffrierschlüssel, die für diese Algorithmen verwendet werden; und das Verfahren zur Kapselung von Daten. Beispielsweise ermöglicht IPsec als Kapselungsmodi den Tunnel- und den Transportmodus. SA-Zustandsinformationen beziehen sich auf Attribute der SA, die sich im Laufe von deren Lebensdauer ändern, wie zum Beispiel Zähler, die zum Schutz gegen Wiedereinspielung (Replay-Schutz) verwendet werden, oder Zähler, die verwendet werden, um die von der SA geschützte Datenmenge zu beschränken.
  • Die Netzwerk-Software 183' des IHS-Betriebssystems 181' kann abgehende Metadaten an IP-Datenpakete anhängen, indem sie Internet-Protocol-(IP-)Kopfbereiche in die IP-Datenpakete einfügt, und die IP-Datenpakete und die abgehenden Metadaten an die externe Sicherheitsauslagerungseinheit 104 senden, oder die Netzwerk-Software 183' kann Spezial-Ethernet-Rahmen senden, um die IP-Paketdaten und die abgehenden Metadaten an die externe Sicherheitsauslagerungseinheit 104 zu übertragen.
  • In einer Ausführungsform enthält die Netzwerk-Software 103' Regeln der SA-Richtlinie, die die Kapselung von IP-Datenpaketen unter Verwendung eines Sicherheitsprotokolls wie zum Beispiel des IPsec-Protokolls steuern. Andere Ausführungsarten können andere Sicherheitsprotokolle verwenden. In einer Ausführungsform sendet der TCP/IP-Stapelspeicher 184 in dem Host-IHS 103 IP-Datenpakete an eine externe Sicherheitsauslagerungseinheit 104. Die Regeln der SA-Richtlinie der Netzwerk-Software 183' in dem Betriebssystem 181' des Host-IHS 103 bestimmen die Regeln, welche die Kapselung von Paketen mittels IPsec steuern. Die Netzwerk-Software 183', die den TCP/IP-Stapelspeicher 184 realisiert, wählt die geeignete IPsec-SA, die zur Kapselung des Datenpakets verwendet werden soll. Die entsprechenden notwendigen abgehenden Metadaten können den Sicherheitsparameterindex (SPI) und das Protokoll eines Tunnels enthalten, das heißt, das ganz bestimmte Protokoll, das der Tunnel zur Datenübertragung verwendet, zum Beispiel: das Authentication-Header-(AH-)Protokoll oder das Encapsulating-Security-Payload-(ESP-)Protokoll. Die abgehenden Metadaten können auch eine IPsec-Folgenummer enthalten, die der TCP/IP-Stapelspeicher 184 für die externe Sicherheitsauslagerungseinheit 104 wählt und die verwendet werden soll, wenn die externe Sicherheitsauslagerungseinheit 104 ein IP-Datenpaket kapselt.
  • In einer weiteren Ausführungsform sendet die externe Sicherheitsauslagerungseinheit 104 ein antwortendes, verschlüsseltes, gekapseltes IPsec-Datenpaket an den TCP/IP-Stapelspeicher 184 in der Netzwerk-Software 183' des Host-IHS 103 zurück, um es mit Hilfe der internen Netzwerkschnittstellen-Steuereinheit 107 über das Übertragungsnetzwerk 102 an einen Zielort zu übertragen. Die externe Sicherheitsauslagerungseinheit 104 kann ankommende Metadaten als Reaktion auf Anforderungen für die Kapselung und/oder Verschlüsselung von IP-Datenpaketen, welche die externe Sicherheitsauslagerungseinheit von dem TCP/IP-Stapelspeicher 184 empfängt, an den TCP/IP-Stapelspeicher 184 zurücksenden. Die ankommenden Metadaten können einen Ergebniscode enthalten, um den Erfolg oder das Scheitern einer Kapselungsoperation anzuzeigen.
  • In noch einer weiteren Ausführungsform sendet der TCP/IP-Stapelspeicher 184 in der Netzwerk-Software 183' des Host-IHS103 ein IPsec-Paket an eine externe Sicherheitsauslagerungseinheit 104 zur Entschlüsselung und Entkapselung. Der TCP/IP-Stapelspeicher 184 kann abgehende Metadaten zusammen mit dem gekapselten Datenpaket, das eine Entkapselung erforderlich macht, senden. Die abgehenden Metadaten können Auswahl-Informationen enthalten, die die externe Sicherheitsauslagerungseinheit 104 anweisen, eine Entkapselungsoperation durchzuführen.
  • In noch einer weiteren Ausführungsform sendet die externe Sicherheitsauslagerungseinheit 104 ein entkapseltes Paket an den TCP/IP-Stapelspeicher 184 in der Netzwerk-Software 183' des Host-IHS 103 zurück, um es als ankommendes Datenpaket zu verarbeiten. Zusammen mit dem entkapselten Datenpaket kann die externe Sicherheitsauslagerungseinheit 104 ankommende Metadaten an den TCP/IP-Stapelspeicher 184 senden. Die ankommenden Metadaten können den SPI und das Protokoll, AH oder ESP, des Tunnels enthalten, den das Übertragungsnetzwerk 102 für den Transport der Datenpakete verwendet hat, so dass der TCP/IP-Stapelspeicher 184 die SA, welche die externe Sicherheitsauslagerungseinheit 104 verwendet hat, mit den Regeln der TCP/IP-Richtlinie für das Datenpaket vergleichen kann. Die Metadaten können auch die Folgenummer der IPsec-Wiedereinspielung enthalten, die der TCP/IP-Stapelspeicher 184 für das Paket beobachtet. Der TCP/IP-Stapelspeicher 184 kann eine letzte zustandsbehaftete Prüfung vornehmen, um zu prüfen, ob ein Datenpaket „wiedereingespielt“ wurde und daher ungültig ist.
  • Zusammenfassend kann gesagt werden, dass die Metadaten-Informationen, die gegebenenfalls zwischen dem TCP/IP-Stapelspeicher 184 in der Netzwerk-Software 183' des Betriebssystems 181' in dem Host-IHS 103 und der externen Sicherheitsauslagerungseinheit 104 ausgetauscht werden, die Auswahl oder Angabe der durchgeführten Operation, wie zum Beispiel kapseln, gekapselt, entkapseln, entkapselt, enthalten können. Die Metadaten können Schlüsselinformationen wie zum Beispiel gegebenenfalls einen Ergebniscode für die Operation und die Auswahl oder Angabe des Tunnelprotokolls und des SPI enthalten. Die Schlüsselinformationen können auch die Auswahl oder Angabe der Folgenummer der Wiedereinspielung des Pakets enthalten. Die Folgenummer der Paket-Wiedereinspielung ist die Zustandsinformation, die der externen Sicherheitsauslagerungseinheit einen zustandslosen Betrieb ermöglicht.
  • Die nachstehende TABELLE 1 zeigt einen beispielhaften ankommenden oder abgehenden IP-Optionskopfbereich, der Schlüsselinformationen (Metadaten) enthält, welche der TCP/IP-Stapelspeicher 184 der Netzwerk-Software 183' des Betriebssystems 181' in dem Host-IHS 103 und die externe Sicherheitsauslagerungseinheit 104 austauschen können. Die Felder enthalten den ‚Optionstyp‘ ipo_typ und die'Optionslänge' ipo_len, die jeweils eine Länge von einem Byte haben. Der 1 Byte lange ‚Ablauffunktionscode‘ ipo_secoff_function kann #1 - entkapseln, #2 - entkapselt, #3 - kapseln oder #4 - gekapselt angeben. Der 1 Byte lange ipo_secoff_rc gibt den ‚Rückkehrcode‘ für die Abläufe #1 oder #4 an. Das Feld ‚Primäres Protokoll‘ kann das 1 Byte lange ipo_decoff_protocol sein. Für die Abläufe #2 oder #3 gibt ipo_decoff_protocol das zu dem SPI gehörende Protokoll an. Zum Beispiel können entweder AH oder ESP SPI für einen Tunnel angegeben werden, der sowohl AH als auch ESP verwenden kann. Die Tabelle 1 reserviert das 3 Byte lange Feld ipo_secoff_rsvd zur zukünftigen Verwendung. Das 4 Byte lange Feld ipo_secoff_spi gibt den lokalen SPI in dem ursprünglichen ankommenden Paket für den Ablauf #2 oder den fernen SPI an, der für das abgehende Paket im Ablauf #3 verwendet werden soll. Das 4 Byte lange Feld ipo_secoff_seq kann die Folgenummer in dem ursprünglichen ankommenden Paket für den Ablauf #2 oder die Folgenummer, die die Metadaten für das abgehende Paket für den Ablauf #3 angeben, sein. Sowohl der AH- als auch der ESP-Kopfbereich sollten den Wert von ipo_secoff_seq verwenden, der für den Ablauf #3 vorgesehen ist, wenn sowohl das Protokoll AH als auch das Protokoll ESP in Gebrauch sind. TABELLE 1
    IP-Optionskopfbereich zur Übertragung von IPsec-Metadaten
    Feld Offset Länge Beschreibung
    ipo_typ 0 1 Byte Optionstyp
    ipo_len 1 1 Byte Optionslänge
    ipol_secoff_function 2 1 Byte Ablauffunktionscode:
    #1 - entkapseln (Host an externe Einheit)
    #2 - entkapselt (externe Einheit an Host)
    #3 - kapseln (Host an externe Einheit)
    #4 - gekapselt (externe Einheit an Host)
    ipo_secoff_rc 3 1 Byte Rückkehrcode für Abläufe #1 oder #4
    ipo_secoff_protocol 4 1 Byte Primäres Protokoll
    ipo_secoff_rsvd 5 3 Byte Reserviert für zukünftige Verwendung
    ipo_secoff_spi 8 4 Byte für Ablauf #2: SPI im ursprünglichen ankommenden Paket
    für Ablauf #3: SPI für abgehendes Paket
    ipo_secoff_seq 12 4 Byte für Ablauf #2: Folgenummer in dem ursprünglichen ankommenden Paket
    für Ablauf #3: Folgenummer für das abgehende Paket
  • Die 2 und 3 sind Ablaufpläne, die Ausführungsformen einer „Inband“-Verarbeitung“ beschreiben, welche ein Netzwerk-Switch, ein Router, eine Firewall oder eine Angriffserkennungseinheit durchführen können, wenn sie als ein Gateway oder ein Gatekeeper für zu dem TCP/IP-Stapelspeicher 184 in der Netzwerk-Software des Betriebssystems in dem Host-IHS fließenden Datenverkehr dienen. „Inband“-Verarbeitung“ findet in der externen Sicherheitsauslagerungseinheit 104 statt. Die „Inband“-Verarbeitung kann Pakete kapseln und verschlüsseln, damit die externe Sicherheitsauslagerungseinheit 104 sie direkt an den Netzwerk-Zielort senden kann, ohne die Pakete zurück an den TCP/IP-Stapelspeicher 184 senden zu müssen, und sie kann ankommende Datenpakete zur sofortigen Verarbeitung durch die externe Sicherheitsauslagerungseinheit entkapseln, bevor sie die Pakete zurück an den TCP/IP-Stapelspeicher 184 leitet. Die 4 und 5, die nachstehend beschrieben sind, zeigen Ausführungsformen einer „Außerband“-Verarbeitung, bei der alle Datenpakete von dem TCP/IP-Stapelspeicher 184 an die externe Sicherheitsauslagerungseinheit 104 zur Verschlüsselung/Kapselung oder Entkapselung/Entschlüsselung und dann zurück an den TCP/IP-Stapelspeicher 184 zur endgültigen Verarbeitung geleitet werden. Bei der „Außerband“-Verarbeitung handelt es sich um eine Verarbeitung, die außerhalb der externen Sicherheitsauslagerungseinheit 104 erfolgt. Die Außerband-Verarbeitung kann eine weitere Übertragung zwischen der externen Sicherheitsauslagerungseinheit und dem Host-IHS 103 einschließen.
  • Der Ablaufplan von 2 beschreibt eine Ausführungsform des offenbarten Verfahrens zum Anwenden eines Datensicherheitsprotokolls auf ein abgehendes Datenpaket an der zustandslosen externen Sicherheitsauslagerungseinheit 104. Abgehende Datenpakete sind diejenigen Datenpakete, die der Host 103 des Netzwerkknotens 101 an andere Netzwerkknoten sendet. Neben dem Bereitstellen von Operationen eines Datensicherheitsprotokolls für ein abgehendes Datenpaket im Auftrag des Host-IHS 103 kann die externe Sicherheitsauslagerungseinheit 104 weitere Netzwerkfunktionen wie zum Beispiel das Bereitstellen eines Firewall-Dienstes und/oder das Bereitstellen von Angriffserkennungsdiensten (intrusion detection services (IDSs) sowie Operationen eines Datensicherheitsprotokolls ausführen. Die externe Sicherheitsauslagerungseinheit 104 ermöglicht eine „Inband“-Verarbeitung von abgehenden Datenpaketen, indem sie Sicherheitsoperationen an abgehenden Datenpaketen durchführt und diese abgehenden Pakete an einen Zielknoten sendet, ohne dass diese Datenpakete an das Host-IHS 104 zur weiteren Sicherheitsverarbeitung zurückgeschickt werden müssen. Der Einfachheit halber bezieht sich der Ablaufplan von 2 auf eine zustandslose externe Auslagerungseinheit 104 als „Auslagerungseinheit“. Jeder Block in dem Ablaufplan von 2 enthält einen Deskriptor wie zum Beispiel „Auslagerungseinheit“ oder „Host-IHS“, um die Struktur anzugeben, die die Funktion des jeweiligen Blocks in einer Ausführungsform ausführt.
  • Im Einzelnen beginnt der Prozessablauf am Startblock 205. Gemäß dem Block 210 sendet die Anwendung 182" in dem Host-IHS 103 ein Datenpaket an die Netzwerk-Software 183' des Betriebssystems 181' des Host-IHS 103. Wenn die Netzübertragung des Datenpakets gemäß dem Entscheidungsblock 215 keine Sicherheitsverarbeitung erforderlich macht, sendet die Netzwerk-Software 183' in dem Betriebssystem 181' des Host-IHS 103 das Datenpaket gemäß dem Block 245 über das Netzwerk an die externe Sicherheitsauslagerungseinheit 104 und direkt über die externe Netzwerkschnittstellen-Steuereinheit 106 an einen Zielnetzwerkknoten, und der Verarbeitungsablauf endet mit dem Block 250.
  • Wenn die Netzwerk-Software 183' des Betriebssystems 181' am Entscheidungsblock 215 jedoch feststellt, dass die Netzübertragung die Anwendung eines Datensicherheitsprotokolls erforderlich macht, kann die Netzwerk-Software 183' gemäß dem Block 220 Sicherheitsmetadaten und Zustandsdaten laut dem Ablauf #3 von TABELLE 1 auf das Datenpaket anwenden. Bei diesen Metadaten handelt es sich um abgehende Metadaten. Die Netzwerk-Software 183' des Betriebssystems 181' sendet die Metadaten und das Datenpaket gemäß dem Block 225 über die sichere Netzwerk-Datenübertragungsverbindung 105 an die externe Sicherheitsauslagerungseinheit 104. Gemäß dem Block 230 empfängt und liest die externe Sicherheitsauslagerungseinheit 104 das Datenpaket und entsprechende Metadaten einschließlich Zustandsdaten. Gemäß dem Block 235 kann die externe Sicherheitsauslagerungseinheit 104 eine optionale Verarbeitung wie zum Beispiel Firewall-Dienste und/oder Angriffserkennungsdienste (IDS) an dem Datenpaket durchführen und gemäß dem Block 240 verschlüsselt und kapselt sie das Datenpaket. Gemäß dem Block 245 sendet die externe Sicherheitsauslagerungseinheit 104 das gekapselte, verschlüsselte Datenpaket mit Hilfe der externen Netzwerkschnittstellen-Steuereinheit 106 über das Netzwerk direkt an den Zielnetzwerkknoten. Der Prozessablauf endet mit dem Block 250.
  • Der Ablaufplan von 3 beschreibt eine Ausführungsform des offenbarten Verfahrens zum Empfang von ankommenden Datenpaketen von einem Netzwerk über die externe Sicherheitsauslagerungseinheit 104. Ankommende Datenpakete sind diejenigen Datenpakete, die das Host-IHS 103 des Netzwerkknotens 101 von anderen Netzwerkknoten empfängt. Die externe Sicherheitsauslagerungseinheit 104 empfängt ankommende Datenpakete und ermöglicht eine „Inband“-Verarbeitung von ankommenden Datenpaketen, indem sie Sicherheitsoperationen an ankommenden Datenpaketen durchführt, ohne dass diese Datenpakete an das Host-IHS 103 zur weiteren Sicherheitsverarbeitung zurückgesendet werden müssen. In einer Ausführungsform sendet die externe Sicherheitsauslagerungseinheit 104 entkapselte, entschlüsselte Datenpakete an das Host-IHS 103, doch braucht das Host-IHS 103 keine weiteren Sicherheitsoperationen an diesen Datenpaketen durchführen. Vielmehr kann eine Anwendung im Host-IHS 103 die entkapselten, entschlüsselten Datenpakete, die das Host-IHS 103 von der externen Sicherheitsauslagerungseinheit 104 empfängt, direkt verwenden.
  • Im Einzelnen beginnt der Prozessablauf mit dem Startblock 305. Gemäß dem Block 310 empfängt die externe Sicherheitsauslagerungseinheit 104 über die externe Netzwerkschnittstellen-Steuereinheit 106 ein Datenpaket von dem Netzwerk. Gemäß dem Entscheidungsblock 320 führt die externe Sicherheitsauslagerungseinheit 104 einen Test durch, um festzustellen, ob das Datenpaket eine Sicherheitsverarbeitung erforderlich macht. Um festzustellen, ob das Datenpaket eine Sicherheitsverarbeitung erforderlich macht, nimmt die externe Sicherheitsauslagerungseinheit 104 eine Prüfung auf Kopfbereiche des IPSec-Protokolls in dem Datenpaket vor oder sie prüft die statischen Sicherheitsrichtlinien und SA-Informationen, die die externe Sicherheitsauslagerungseinheit 104 von dem Host-IHS 103 empfängt. Es sei angemerkt, dass sich in der Netzwerk-Software 183' des Host-IHS 103 nach wie vor SA-Zustandsinformationen befinden können. Wenn die externe Sicherheitsauslagerungseinheit 104 feststellt, dass das Paket keine Sicherheitsverarbeitung erforderlich macht, führt die externe Sicherheitsauslagerungseinheit 104 gemäß dem Block 345 gegebenenfalls eine optionale Verarbeitung wie zum Beispiel das Bereitstellen von Firewall-Diensten und/oder IDS-Diensten durch und sendet das Datenpaket gemäß dem Block 350 über die sichere Datenübertragungsverbindung 105 an das Host-IHS 103.
  • Wenn das Paket jedoch eine Sicherheitsverarbeitung erforderlich macht, entkapselt und entschlüsselt die externe Sicherheitsauslagerungseinheit 104 gemäß dem Block 330 das Paket und führt gemäß dem Block 335 eine optionale Verarbeitung wie zum Beispiel eine Firewall- und/oder IDS-Verarbeitung oder eine andere optionale Verarbeitung durch. Laut dem Ablauf #2 der TABELLE 1 fügt die externe Sicherheitsauslagerungseinheit 104 gemäß dem Block 340 gegebenenfalls ankommende Metadaten einschließlich Zustandsdaten hinzu und sendet das Datenpaket gemäß dem Block 350 über die sichere Datenübertragungsverbindung 105 an das Host-IHS 103. Gemäß dem Block 355 empfängt die Netzwerk-Software 183' in dem Betriebssystem 181' des Host-IHS 103 das Datenpaket von der externen Sicherheitsauslagerungseinheit 104 und führt gemäß dem Block 360 eine Prüfung des Zustands durch. Gemäß dem Block 365 verarbeitet die Netzwerk-Software 183' in dem Betriebssystem 181' das Datenpaket und leitet das Datenpaket an die Anwendung 182' weiter. Der Prozessablauf endet mit dem Block 370.
  • Der Ablaufplan von 4 beschreibt eine weitere Ausführungsform des offenbarten Verfahrens zum Anwenden von Sicherheit auf ein abgehendes Datenpaket an einer externen Sicherheitsauslagerungseinheit 104 im Auftrag des Host-IHS 103. Diese Ausführungsform macht von einer „Außerband“-Verarbeitung Gebrauch, um diejenigen Datenpakete zu verarbeiten, die Sicherheitsoperationen wie zum Beispiel Verschlüsselung und Kapselung erforderlich machen. Bei einer solchen Außerband-Verarbeitung führt die zustandslose externe Sicherheitsauslagerungseinheit 104 Sicherheitsoperationen wie zum Beispiel die Verschlüsselung und Kapselung eines Datenpakets durch, welches die zustandslose externe Sicherheitsauslagerungseinheit 104 von dem Host-IHS 103 zur Sicherheitsverarbeitung empfängt. Die zustandslose externe Sicherheitsauslagerungseinheit 104 sendet das resultierende gekapselte, verschlüsselte Datenpaket jedoch an das Host-IHS 104 zurück, um es an das Ziel dieses Datenpakets zu übertragen. Die externe Sicherheitsauslagerungseinheit 104 kann auch andere Netzwerkfunktionen wie zum Beispiel das Bereitstellen einer Firewall oder das Bereitstellen von IDS durchführen.
  • Im Einzelnen beginnt der Prozessablauf am Startblock 405. Gemäß dem Block 410 sendet die Anwendung 182" im Host-IHS 103 ein Datenpaket an die Netzwerk-Software 183' des Betriebssystems 181' des Host-IHS 103. Die Netzwerk-Software 183' führt einen Test durch, um gemäß den Entscheidungsblock 415 festzustellen, ob die Netzübertragung des Datenpakets die Anwendung eines Sicherheitsprotokolls auf das Datenpaket erforderlich macht. Die Netzwerk-Software 183' trifft diese Feststellung, indem sie auf Sicherheitsrichtlinien Bezug nimmt. Die Anwendungssoftware 182" kann den TCP/IP-Stapelspeicher 184 der Netzwerk-Software 183' anweisen, die Entscheidung, ein Sicherheitsprotokoll auf das Datenpaket anzuwenden, einzuleiten. Wenn die Netzwerk-Software 183' feststellt, dass das Datenpaket keine Anwendung eines Sicherheitsprotokolls erforderlich macht, überträgt das Host-IHS 103 gemäß dem Block 445 das Paket über die interne Netzwerkschnittstellen-Steuereinheit 107 direkt an einen Zielnetzwerkknoten. Der Prozessablauf endet mit dem Block 450.
  • Gemäß dem Block 420 kann die Netzwerk-Software 183' in dem Betriebssystem 181' laut dem Ablauf #3 in TABELLE 1 jedoch Metadaten und Zustandsdaten anwenden, wenn die Netzübertragung die Anwendung von Sicherheit auf das Datenpaket erforderlich macht. Bei diesen Metadaten handelt es sich um abgehende Metadaten. Die Netzwerk-Software 183' des Betriebssystems 181' des Host-IHS 103 sendet die Metadaten und das Datenpaket gemäß dem Block 425 über die sichere Netzwerk-Datenübertragungsverbindung 105 an die externe Sicherheitsauslagerungseinheit 104. Gemäß dem Block 430 empfängt und liest die externe Sicherheitsauslagerungseinheit 104 das Datenpaket und die Metadaten. Gemäß dem Block 435 kann die externe Sicherheitsauslagerungseinheit 104 auch eine optionale Verarbeitung wie zum Beispiel eine Firewall-Verarbeitung und/oder IDS durchführen. Gemäß dem Block 440 kapselt und verschlüsselt die externe Sicherheitsauslagerungseinheit 104 das Datenpaket und sendet das verschlüsselte, gekapselte Datenpaket über die sichere Datenübertragungsverbindung 105 an die Netzwerk-Software 183' in dem Betriebssystem 181' zurück. Gemäß dem Block 443 empfängt die Netzwerk-Software 183' in dem Betriebssystem 181' das gekapselte Paket. Gemäß dem Block 445 sendet die Netzwerk-Software 183' das gekapselte Datenpaket mit Hilfe der internen Netzwerkschnittstellen-Steuereinheit 107 über das Übertragungsnetz 102 an den Zielnetzwerkknoten. Der Prozessablauf endet mit dem Block 450.
  • Der Ablaufplan von 5 beschreibt eine weitere Ausführungsform des offenbarten Verfahrens zum Empfang von Datenpaketen von einem Netzwerk über die interne Netzwerkschnittstellen-Steuereinheit 107. Diese Ausführungsform macht von einer „Außerband“-Verarbeitung Gebrauch, um diejenigen ankommenden Datenpakete zu verarbeiten, die Sicherheitsoperationen wie zum Beispiel Entkapselung und Entschlüsselung erforderlich machen. Ankommende Datenpakete sind diejenigen Datenpakete, die das Host-IHS 103 von anderen Netzwerkknoten empfängt. Bei der Außerband-Verarbeitung führt die zustandslose externe Sicherheitsauslagerungseinheit 104 Sicherheitsoperationen wie zum Beispiel die Entschlüsselung und Entkapselung eines Datenpakets durch, welches die zustandslose externe Sicherheitsauslagerungseinheit 104 von dem Host-IHS 103 zur Sicherheitsverarbeitung empfängt. Die zustandslose externe Sicherheitsauslagerungseinheit 104 sendet das resultierende entkapselte, entschlüsselte Datenpaket jedoch an das Host-IHS 104 zurück, um es an die Zielanwendung 182' dieses Datenpakets weiterzuleiten.
  • Im Einzelnen beginnt der Prozessablauf mit dem Startblock 505. Gemäß dem Block 510 empfängt die Netzwerk-Software 183' in dem Betriebssystem 181' ein Datenpaket von der internen Netzwerkschnittstellen-Steuereinheit 107. Dieses empfangene Datenpaket ist ein ankommendes Datenpaket, welches das Host-IHS 103 des Netzwerkknotens 101 von einem anderen Netzwerkknoten empfängt. Gemäß dem Entscheidungsblock 520 führt die Netzwerk-Software 183' einen Test durch, um festzustellen, ob das Datenpaket eine Sicherheitsverarbeitung erforderlich macht. Gemäß dem Block 565 verarbeitet die Netzwerk-Software 183' in dem Betriebssystem 181' das Datenpaket und leitet das Datenpaket an die Anwendung 182" weiter, wenn das Datenpaket keine Sicherheitsverarbeitung erforderlich macht. Der Prozessablauf endet mit dem Block 570.
  • Gemäß dem Block 525 sendet die Netzwerk-Software 183' in dem Betriebssystem 181' das Datenpaket über die sichere Datenübertragungsverbindung 105 an die externe Sicherheitsauslagerungseinheit 104, wenn das Datenpaket eine Sicherheitsverarbeitung erforderlich macht. Gemäß dem Block 530 empfängt die externe Sicherheitsauslagerungseinheit 104 das Paket und entkapselt und entschlüsselt das Paket gemäß dem Block 535. Gemäß dem Block 540 kann die externe Sicherheitsauslagerungseinheit 104 optional eine Firewall-Verarbeitung durchführen und/oder IDS oder andere Dienste ausführen. Gemäß dem Block 545 fügt die externe Sicherheitsauslagerungseinheit 104 laut dem Ablauf #3 von TABELLE 1 gegebenenfalls Sicherheitsmetadaten einschließlich Zustandsdaten zu dem Paket hinzu. Gemäß dem Block 550 sendet die externe Sicherheitsauslagerungseinheit 104 das entkapselte, entschlüsselte Datenpaket über die sichere Datenübertragungsverbindung 105 an die Netzwerk-Software 183' in dem Betriebssystem 181' zurück. Gemäß dem Block 555 empfängt die Netzwerk-Software 183' in dem Betriebssystem 181' das entkapselte, entschlüsselte Datenpaket von der externen Sicherheitsauslagerungseinheit 104 und führt gemäß dem Block 560 eine Prüfung des Zustands durch. Gemäß dem Block 565 verarbeitet die Netzwerk-Software 183' im Host-IHS 103 dann das Datenpaket und leitet das Datenpaket an die Anwendung 182" weiter. Diese Verarbeitung des Datenpakets durch die Netzwerk-Software 183' kann Protokoll- und Konsistenzprüfungen einschließen, bevor das Datenpaket der Anwendung 182" übergeben wird. Der Prozessablauf endet mit dem Block 570.
  • Bei der ankommenden Inband-Ausführungsform von 3 speichert die externe Sicherheitsauslagerungseinheit 104 eine Kopie von statischen SA-Informationen, so dass die externe Sicherheitsauslagerungseinheit 104 selbst entscheiden kann, ob ein Sicherheitspaket eine Sicherheitsverarbeitung erforderlich macht oder nicht. In allen vier Ausführungsformen, nämlich der abgehenden Inband-Ausführungsform von 2, der ankommenden Inband-Ausführungsform von 3, der abgehenden Außerband-Ausführungsform von 4 und der ankommenden Außerband-Ausführungsform von 5 kann die externe Sicherheitsauslagerungseinheit 104 SA-Informationen speichern. Die ankommende Inband-Ausführungsform von 3 macht es gegebenenfalls erforderlich, dass die externe Sicherheitsauslagerungseinheit 104 sich nicht ändernde SA-Informationen, d.h. statische SA-Informationen, speichert, so dass die externe Sicherheitsauslagerungseinheit 104 selbst entscheiden kann, ob ein Sicherheitspaket eine Sicherheitsverarbeitung erforderlich macht oder nicht.
  • Die hier verwendete Terminologie dient lediglich zur Beschreibung bestimmter Ausführungsformen und ist nicht als Einschränkung der Erfindung zu verstehen. Die Singular-Formen „ein“, „eine“ und „der“, „die“, „das“ sollen in der hier verwendeten Weise auch die Plural-Formen einschließen, sofern der Kontext nicht eindeutig etwas anderes angibt. Des Weiteren versteht es sich, dass die Begriffe „aufweist“ und/oder „aufweisend“, wenn sie in dieser Beschreibung verwendet werden, das Vorhandensein von angegebenen Merkmalen, ganzen Zahlen, Schritten, Blöcken, Operationen, Elementen und/oder Komponenten bezeichnen, das Vorhandensein oder das Hinzufügen von einem oder mehreren anderen/weiteren Merkmalen, ganzen Zahlen, Schritten, Blöcken, Operationen, Elementen, Komponenten und/oder Gruppen der Vorgenannten jedoch nicht ausschließen.
  • Die entsprechenden Strukturen, Materialien, Vorgänge und Gleichwertiges von allen Mitteln oder Schritten plus Funktionselementen in den nachstehenden Ansprüchen sollen jedwede Struktur, jedwedes Material oder jedweden Vorgang zur Ausführung der Funktion in Kombination mit anderen beanspruchten Elementen, die im Einzelnen beansprucht werden, beinhalten. Die Beschreibung der vorliegenden Erfindung erfolgte zum Zweck der Veranschaulichung und Erläuterung, erhebt jedoch keinen Anspruch auf Vollständigkeit und ist auch nicht als auf die Erfindung in der offenbarten Form beschränkt zu verstehen. Viele Ab- und Veränderungen sind für den Fachmann erkennbar, ohne vom Umfang der Erfindung abzuweichen. Der Fachmann wird zum Beispiel verstehen, dass der Logikzustand (logischer Hochpegel (1), logischer Tiefpegel (0) der hier beschriebenen Vorrichtung und der hier beschriebenen Verfahren umgekehrt werden kann und dann immer noch gleichwertige Ergebnisse erzielt. Die Ausführungsform wurde gewählt und beschrieben, um die Grundgedanken der Erfindung und die praktische Anwendung bestmöglich zu erklären und um anderen Fachleuten das Verständnis der Erfindung hinsichtlich verschiedener Ausführungsformen mit verschiedenen Änderungen, wie sie für die entsprechende vorgesehene Verwendung geeignet sind, zu ermöglichen.

Claims (32)

  1. Verfahren, das aufweist: Speichern von Sicherheitsmetadaten, die zu einem Datenpaket gehören, durch ein Host-Informationsverarbeitungssystem (IHS); Feststellen durch ein Host-IHS, ob ein Datenpaket ein Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht; Bereitstellen des Datenpakets durch das Host-IHS für eine interne Netzwerkschnittstellen-Steuereinheit, wenn das Host-IHS feststellt, dass das Datenpaket keine Sicherheitsverarbeitung erforderlich macht, wobei die interne Netzwerkschnittstellen-Steuereinheit das Datenpaket an ein Übertragungsnetzwerk sendet, um es an ein anderes IHS als das Host-IHS zu übertragen; Auslagern des Datenpakets und zugehöriger Sicherheitsmetadaten durch das Host-IHS über eine sichere Datenübertragungsverbindung an eine zustandslose externe Sicherheitsauslagerungseinheit, wenn das Host-IHS feststellt, dass das Datenpaket eine Sicherheitsverarbeitung erforderlich macht, und somit Bereitstellen eines ausgelagerten Datenpakets, wobei sich die zustandslose externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet; Verschlüsseln und Kapseln des ausgelagerten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit und somit Bereitstellen eines gekapselten, verschlüsselten Datenpakets; Zurücksenden des gekapselten, verschlüsselten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung; und Senden des gekapselten, verschlüsselten Datenpakets durch die interne Netzwerkschnittstellen-Steuereinheit des Host-IHS an ein Übertragungsnetzwerk, um es an ein anderes IHS als das Host-IHS zu übertragen.
  2. Verfahren nach Anspruch 1, wobei die externe Netzwerkschnittstellen-Steuereinheit in der zustandslosen externen Sicherheitsauslagerungseinheit enthalten ist.
  3. Verfahren nach Anspruch 1 oder Anspruch 2, wobei die Sicherheitsmetadaten Zustandsdaten enthalten.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verschlüsseln und Kapseln des Datenpakets von der zustandslosen externen Sicherheitsauslagerungseinheit entsprechend der Anweisung durch die zugehörigen Sicherheitsmetadaten, die das Host-IHS an die zustandslose externe Sicherheitsauslagerungseinheit sendet, durchgeführt wird.
  5. Netzwerkknoten, der aufweist: ein Host-Informationsverarbeitungssystem (IHS), das eine interne Netzwerkschnittstellen-Steuereinheit enthält; eine sichere Datenübertragungsverbindung, die an das Host-IHS angeschlossen ist; eine zustandslose externe Sicherheitsauslagerungseinheit, die über die sichere Datenübertragungsverbindung mit dem Host-IHS verbunden ist, wobei sich die externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet; und wobei das Host-IHS so konfiguriert ist, dass es Sicherheitsmetadaten, die zu einem Datenpaket gehören, speichert, wobei das Host-IHS des Weiteren so konfiguriert ist, dass es das Datenpaket und zugehörige Sicherheitsmetadaten über die sichere Datenübertragungsverbindung an die zustandslose externe Sicherheitsauslagerungseinheit auslagert und somit ein ausgelagertes Datenpaket bereitstellt; wobei die zustandslose externe Sicherheitsauslagerungseinheit so konfiguriert ist, dass sie: das ausgelagerte Datenpaket und zugehörige Sicherheitsmetadaten empfängt; das ausgelagerte Datenpaket verschlüsselt und kapselt und somit ein gekapseltes, verschlüsseltes Datenpaket bereitstellt; und das gekapselte, verschlüsselte Datenpaket an das Host-IHS zur weiteren Verarbeitung zurücksendet; wobei das Host-IHS des Weiteren so konfiguriert ist, dass es: das gekapselte, verschlüsselte Datenpaket über die interne Netzwerkschnittstellen-Steuereinheit des Host-IHS an ein Übertragungsnetzwerk sendet, um es an ein anderes IHS als das Host-IHS zu übertragen.
  6. Netzwerkknoten nach Anspruch 5, wobei die Sicherheitsmetadaten Zustandsdaten enthalten.
  7. Netzwerkknoten nach Anspruch 5 oder Anspruch 6, wobei das Verschlüsseln und Kapseln des Datenpakets von der zustandslosen externen Sicherheitsauslagerungseinheit entsprechend der Anweisung durch die zugehörigen Sicherheitsmetadaten, die die zustandslose externe Sicherheitsauslagerungseinheit von dem Host-IHS empfängt, durchgeführt wird.
  8. Verfahren, das aufweist: Empfangen eines Datenpakets von einem Übertragungsnetzwerk durch eine interne Netzwerkschnittstellen-Steuereinheit, die sich in einem Host-Informationsverarbeitungssystem (IHS) befindet, und somit Bereitstellen eines empfangenen Datenpakets, Feststellen durch das Host-IHS, ob das empfange Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht; Weiterleiten des empfangenen Datenpakets durch das Host-IHS an eine Anwendung in dem Host-IHS zur Verarbeitung, wenn das Host-IHS feststellt, dass das empfangene Datenpaket kein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht; Auslagern des empfangenen Datenpakets durch das Host-IHS über eine sichere Datenübertragungsverbindung an eine zustandslose externe Sicherheitsauslagerungseinheit, wenn das Host-IHS feststellt, dass das empfangene Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht, wobei sich die zustandslose externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet; Entkapseln und Entschlüsseln des empfangenen Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit und somit Bereitstellen eines entkapselten, entschlüsselten Datenpakets; und Zurücksenden des entkapselten, entschlüsselten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung durch die Anwendung in dem Host-IHS.
  9. Verfahren nach Anspruch 1 oder Anspruch 8, das des Weiteren das Konfigurieren des Host-IHS, der sicheren Datenübertragungsverbindung und der zustandslosen externen Sicherheitsauslagerungseinheit aufweist, um einen Netzwerkknoten zu bilden.
  10. Verfahren nach Anspruch 1 oder Anspruch 8, wobei die zustandslose externe Sicherheitsauslagerungseinheit das IPsec-Protokoll verwendet.
  11. Verfahren nach Anspruch 8, das des Weiteren das Hinzufügen von Sicherheitsmetadaten zu dem entkapselten, entschlüsselten Datenpaket durch die zustandslose externe Sicherheitsauslagerungseinheit aufweist.
  12. Verfahren nach Anspruch 8, das des Weiteren das Durchführen einer Zustandsprüfung durch das Host-IHS für das entkapselte, entschlüsselte Datenpaket aufweist.
  13. Netzwerkknoten, der aufweist: ein Host-Informationsverarbeitungssystem (IHS), das eine interne Netzwerkschnittstellen-Steuereinheit enthält; eine sichere Datenübertragungsverbindung, die an das Host-IHS angeschlossen ist; eine zustandslose externe Sicherheitsauslagerungseinheit, die über die sichere Datenübertragungsverbindung mit dem Host-IHS verbunden ist, wobei sich die externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet; und wobei das Host-IHS so konfiguriert ist, dass es: über die interne Schnittstellensteuereinheit ein Datenpaket von einem Übertragungsnetzwerk empfängt und somit ein empfangenes Datenpaket bereitstellt; feststellt, ob das empfange Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht; das empfangene Datenpaket an eine Anwendung in dem Host-IHS zur Verarbeitung weiterleitet, wenn das Host-IHS feststellt, dass das empfangene Datenpaket kein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht; das empfangene Datenpaket über die sichere Datenübertragungsverbindung an die zustandslose externe Sicherheitsauslagerungseinheit auslagert und somit ein ausgelagertes Datenpaket bereitstellt, wenn das Host-IHS feststellt, dass das empfangene Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht; wobei die zustandslose externe Sicherheitsauslagerungseinheit so konfiguriert ist, dass sie: das ausgelagerte Datenpaket entkapselt und entschlüsselt und somit ein entkapseltes, entschlüsseltes Datenpaket bereitstellt; und das entkapselte, entschlüsselte Datenpaket über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung durch die Anwendung in dem Host-IHS zurücksendet.
  14. Netzwerkknoten nach Anspruch 5 oder Anspruch 13, wobei die zustandslose externe Sicherheitsauslagerungseinheit das IPsec-Protokoll verwendet.
  15. Netzwerkknoten nach Anspruch 13, wobei die zustandslose externe Sicherheitsauslagerungseinheit des Weiteren so konfiguriert ist, dass sie Sicherheitsmetadaten zu dem entkapselten, entschlüsselten Datenpaket hinzufügt.
  16. Netzwerkknoten nach Anspruch 13, wobei das Host-IHS des Weiteren so konfiguriert ist, dass es eine Zustandsprüfung für das entkapselte, entschlüsselte Datenpaket durchführt.
  17. Netzwerkknoten nach Anspruch 13, wobei die zustandslose externe Sicherheitsauslagerungseinheit des Weiteren so konfiguriert ist, dass sie mindestens entweder Firewall-Dienste oder Angriffserkennungsdienste bereitstellt.
  18. Verfahren, das aufweist: Speichern von Sicherheitsmetadaten, die zu einem Datenpaket gehören, durch ein Host-Informationsverarbeitungssystem (IHS); Auslagern des Datenpakets und der Sicherheitsmetadaten über eine sichere Datenübertragungsverbindung durch das Host-IHS an eine zustandslose externe Sicherheitsauslagerungseinheit, die sich außerhalb des Host-IHS befindet; Empfangen des Datenpakets und der Sicherheitsmetadaten durch die zustandslose externe Sicherheitsauslagerungseinheit; Verschlüsseln und Kapseln des Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit und somit Bereitstellen eines gekapselten, verschlüsselten Datenpakets; Senden des gekapselten, verschlüsselten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit an eine externe Netzwerkschnittstellen-Steuereinheit; und Senden des gekapselten, verschlüsselten Datenpakets durch die externe Netzwerkschnittstellen-Steuereinheit an ein Übertragungsnetzwerk, um es an ein anderes IHS als das Host-IHS zu übertragen.
  19. Verfahren nach Anspruch 18, wobei die Sicherheitsmetadaten Zustandsdaten enthalten.
  20. Verfahren nach Anspruch 18, wobei das Verschlüsseln und Kapseln des Datenpakets von der zustandslosen externen Sicherheitsauslagerungseinheit entsprechend der Anweisung durch die Sicherheitsmetadaten, die die zustandslose externe Sicherheitsauslagerungseinheit von dem Host-IHS empfängt, durchgeführt wird.
  21. Netzwerkknoten, der aufweist: ein Host-Informationsverarbeitungssystem (IHS), das eine interne Netzwerkschnittstellen-Steuereinheit enthält; eine sichere Datenübertragungsverbindung, die an das Host-IHS angeschlossen ist, eine zustandslose externe Sicherheitsauslagerungseinheit, die über die sichere Datenübertragungsverbindung mit dem Host-IHS verbunden ist, wobei sich die externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet; und eine externe Netzwerkschnittstellen-Steuereinheit, die mit der zustandslosen externen Sicherheitsauslagerungseinheit verbunden ist, wobei sich die externe Netzwerkschnittstellen-Steuereinheit außerhalb des Host-IHS befindet; wobei das Host-IHS so konfiguriert ist, dass es Sicherheitsmetadaten, die zu einem Datenpaket gehören, speichert und das Datenpaket und die Sicherheitsmetadaten über die sichere Datenübertragungsverbindung an die zustandslose externe Sicherheitsauslagerungseinheit auslagert; wobei die zustandslose externe Sicherheitsauslagerungseinheit so konfiguriert ist, dass sie: das Datenpaket und die Sicherheitsmetadaten empfängt; das Datenpaket verschlüsselt und kapselt und somit ein gekapseltes, verschlüsseltes Datenpaket bereitstellt; und das gekapselte, verschlüsselte Datenpaket an die externe Netzwerkschnittstellen-Steuereinheit sendet; wobei die externe Netzwerkschnittstellen-Steuereinheit so konfiguriert ist, dass sie das gekapselte Datenpaket an ein Übertragungsnetzwerk sendet, um es an ein anderes IHS als das Host-IHS zu übertragen.
  22. Netzwerkknoten nach Anspruch 21, wobei die Sicherheitsmetadaten Zustandsdaten enthalten.
  23. Netzwerkknoten nach Anspruch 21, wobei das Verschlüsseln und Kapseln des Datenpakets von der zustandslosen externen Sicherheitsauslagerungseinheit entsprechend der Anweisung durch die Sicherheitsmetadaten, die die zustandslose externe Sicherheitsauslagerungseinheit von dem Host-IHS empfängt, durchgeführt wird.
  24. Verfahren, das aufweist: Empfangen eines Datenpakets von einem Übertragungsnetzwerk durch eine externe Netzwerkschnittstellen-Steuereinheit, die sich außerhalb eines Host-Informationsverarbeitungssystems (IHS) befindet, und somit Bereitstellen eines empfangenen Datenpakets, Feststellen durch eine zustandslose externe Sicherheitsauslagerungseinheit, die sich außerhalb des Host-IHS befindet, ob das empfange Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht; Senden des empfangenen Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit direkt an das Host-IHS, wenn die zustandslose externe Sicherheitsauslagerungseinheit feststellt, dass das empfangene Datenpaket ein Datenpaket ist, das keine Sicherheitsverarbeitung erforderlich macht; Entkapseln und Entschlüsseln des empfangenen Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit, wenn die zustandslose externe Sicherheitsauslagerungseinheit feststellt, dass das empfangene Datenpaket ein gekapseltes, verschlüsseltes Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht, und somit Bereitstellen eines entkapselten, entschlüsselten Datenpakets; und Senden des entkapselten, entschlüsselten Datenpakets über eine sichere Datenübertragungsverbindung durch die zustandslose externe Sicherheitsauslagerungseinheit an das Host-IHS.
  25. Verfahren nach Anspruch 18 oder Anspruch 24, das des Weiteren das Konfigurieren des Host-IHS, der sicheren Datenübertragungsverbindung, der zustandslosen externen Sicherheitsauslagerungseinheit und der externen Netzwerkschnittstellen-Steuereinheit aufweist, um einen Netzwerkknoten zu bilden.
  26. Verfahren nach Anspruch 18 oder Anspruch 24, wobei die externe Netzwerkschnittstellen-Steuereinheit in der zustandslosen externen Sicherheitsauslagerungseinheit enthalten ist.
  27. Verfahren nach Anspruch 18 oder Anspruch 24, wobei die zustandslose externe Sicherheitsauslagerungseinheit das IPsec-Protokoll verwendet.
  28. Verfahren nach Anspruch 24, das des Weiteren das Hinzufügen von Sicherheitsmetadaten zu dem Datenpaket durch die zustandslose externe Sicherheitsauslagerungseinheit aufweist.
  29. Netzwerkknoten, der aufweist: ein Host-Informationsverarbeitungssystem (IHS), das eine interne Netzwerkschnittstellen-Steuereinheit enthält; eine sichere Datenübertragungsverbindung, die an das Host-IHS angeschlossen ist; eine zustandslose externe Sicherheitsauslagerungseinheit, die über die sichere Datenübertragungsverbindung mit dem Host-IHS verbunden ist, wobei sich die externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet; und eine externe Netzwerkschnittstellen-Steuereinheit, die mit der zustandslosen externen Sicherheitsauslagerungseinheit verbunden ist, wobei sich die externe Netzwerkschnittstellen-Steuereinheit außerhalb des Host-IHS befindet; wobei die zustandslose externe Sicherheitsauslagerungseinheit so konfiguriert ist, dass sie: ein gekapseltes, verschlüsseltes Datenpaket von einem Übertragungsnetzwerk empfängt; das gekapselte, verschlüsselte Datenpaket entkapselt und entschlüsselt und somit ein entkapseltes, entschlüsseltes Datenpaket bereitstellt; und das entkapselte, entschlüsselte Datenpaket an das Host-IHS sendet.
  30. Netzwerkknoten nach Anspruch 21 oder Anspruch 29, wobei die externe Netzwerkschnittstellen-Steuereinheit in der zustandslosen externen Sicherheitsauslagerungseinheit enthalten ist.
  31. Netzwerkknoten nach Anspruch 21 oder Anspruch 29, wobei die zustandslose externe Sicherheitsauslagerungseinheit das IPsec-Protokoll verwendet.
  32. Netzwerkknoten nach Anspruch 21 oder Anspruch 29, wobei die zustandslose externe Sicherheitsauslagerungseinheit Sicherheitsmetadaten zu dem Datenpaket hinzufügt.
DE112013000649.9T 2012-02-21 2013-02-08 Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit Active DE112013000649B4 (de)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US13/400,577 2012-02-21
US13/400,575 2012-02-21
US13/400,575 US20130219167A1 (en) 2012-02-21 2012-02-21 Network node with network-attached stateless security offload device employing in-band processing
USUS-13/400,577 2012-02-21
US13/400,577 US8918634B2 (en) 2012-02-21 2012-02-21 Network node with network-attached stateless security offload device employing out-of-band processing
USUS-13/400,575 2012-02-21
PCT/IB2013/051061 WO2013124758A1 (en) 2012-02-21 2013-02-08 Network node with network-attached stateless security offload device

Publications (2)

Publication Number Publication Date
DE112013000649T5 DE112013000649T5 (de) 2014-11-06
DE112013000649B4 true DE112013000649B4 (de) 2020-11-19

Family

ID=49005080

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112013000649.9T Active DE112013000649B4 (de) 2012-02-21 2013-02-08 Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit

Country Status (5)

Country Link
JP (1) JP5746446B2 (de)
CN (1) CN104137508B (de)
DE (1) DE112013000649B4 (de)
GB (1) GB2512807B (de)
WO (1) WO2013124758A1 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6549692B2 (ja) * 2014-07-29 2019-07-24 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 認証マークの送信
CN104243484B (zh) * 2014-09-25 2016-04-13 小米科技有限责任公司 信息交互方法及装置、电子设备
GB2533098B (en) 2014-12-09 2016-12-14 Ibm Automated management of confidential data in cloud environments
JP5847345B1 (ja) * 2015-04-10 2016-01-20 さくら情報システム株式会社 情報処理装置、認証方法及びプログラム
CN105678553A (zh) * 2015-08-05 2016-06-15 腾讯科技(深圳)有限公司 一种处理订单信息的方法、装置和系统
US10225241B2 (en) * 2016-02-12 2019-03-05 Jpu.Io Ltd Mobile security offloader
WO2018112948A1 (zh) * 2016-12-23 2018-06-28 深圳前海达闼云端智能科技有限公司 区块生成方法、装置和区块链网络
JP6588048B2 (ja) * 2017-03-17 2019-10-09 株式会社東芝 情報処理装置
JP6518378B1 (ja) * 2018-12-21 2019-05-22 瀧口 信太郎 認証システム、認証方法、及び、認証プログラム
US10506426B1 (en) 2019-07-19 2019-12-10 Capital One Services, Llc Techniques for call authentication

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060538A1 (en) * 2003-09-15 2005-03-17 Intel Corporation Method, system, and program for processing of fragmented datagrams
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7539858B2 (en) * 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
JP2006041726A (ja) * 2004-07-23 2006-02-09 Matsushita Electric Ind Co Ltd 共有鍵交換システム、共有鍵交換方法及び方法プログラム
US8407778B2 (en) * 2005-08-11 2013-03-26 International Business Machines Corporation Apparatus and methods for processing filter rules
JP2007329730A (ja) * 2006-06-08 2007-12-20 Kawasaki Microelectronics Kk 通信プロトコル処理装置
US20090038004A1 (en) * 2007-07-31 2009-02-05 Gabor Blasko Role change based on coupling or docking of information handling apparatus and method for same
CN101222509B (zh) * 2008-01-22 2011-10-26 中兴通讯股份有限公司 一种点对点网络的数据保护传输方法
JP2009230476A (ja) * 2008-03-24 2009-10-08 Toshiba Corp メッセージを処理する装置、方法およびプログラム
JP4906800B2 (ja) * 2008-07-02 2012-03-28 三菱電機株式会社 通信装置及び暗号通信システム及び通信方法及び通信プログラム
US8700892B2 (en) * 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
CN201788511U (zh) * 2010-08-18 2011-04-06 赵景壁 安全性信息交互设备
JP5779434B2 (ja) * 2011-07-15 2015-09-16 株式会社ソシオネクスト セキュリティ装置及びセキュリティシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing
US20050060538A1 (en) * 2003-09-15 2005-03-17 Intel Corporation Method, system, and program for processing of fragmented datagrams

Also Published As

Publication number Publication date
GB2512807B (en) 2014-11-19
CN104137508A (zh) 2014-11-05
JP2015511434A (ja) 2015-04-16
WO2013124758A1 (en) 2013-08-29
JP5746446B2 (ja) 2015-07-08
DE112013000649T5 (de) 2014-11-06
CN104137508B (zh) 2017-07-07
GB201414604D0 (en) 2014-10-01
GB2512807A (en) 2014-10-08

Similar Documents

Publication Publication Date Title
DE112013000649B4 (de) Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit
AU2021201714B2 (en) Client(s) to cloud or remote server secure data or file object encryption gateway
US8918634B2 (en) Network node with network-attached stateless security offload device employing out-of-band processing
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60035953T2 (de) Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE60317296T2 (de) Sicherheitsprozessorspiegelung
DE112005000523B4 (de) Zwei parallele Maschinen für Hochgeschwindigkeitssende-IPSEC-Verarbeitung
DE69533953T2 (de) System für signaturlose Übertragung und Empfang von Datenpaketen zwischen Computernetzwerken
DE202013012514U1 (de) Protokollstrukturierte Datenträgerverschlüsselung bei virtuellen Maschinen
US8006297B2 (en) Method and system for combined security protocol and packet filter offload and onload
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
US8364948B2 (en) System and method for supporting secured communication by an aliased cluster
DE10393628T5 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE202015009800U1 (de) Sicherheits-Plug-In für eine System-on-a-Chip-Plattform
DE112018003798T5 (de) Erzeugen und analysieren von netzprofildaten
DE19741246A1 (de) Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken
DE112013000540T5 (de) Anmeldung von GET VPN Gruppenmitgliedern
US20130219171A1 (en) Network node with network-attached stateless security offload device employing in-band processing
Anderson et al. A brief overview of the NEBULA future internet architecture
DE102022107769A1 (de) Effiziente verschlüsselung in vpn-sitzungen
DE102009032465B4 (de) Sicherheit in Netzwerken
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
JP2004304696A (ja) 暗号通信装置
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029060000

Ipc: H04L0065000000