JP2015511434A - Network node with network-attached stateless security offload device - Google Patents

Network node with network-attached stateless security offload device Download PDF

Info

Publication number
JP2015511434A
JP2015511434A JP2014553855A JP2014553855A JP2015511434A JP 2015511434 A JP2015511434 A JP 2015511434A JP 2014553855 A JP2014553855 A JP 2014553855A JP 2014553855 A JP2014553855 A JP 2014553855A JP 2015511434 A JP2015511434 A JP 2015511434A
Authority
JP
Japan
Prior art keywords
data packet
offload device
security
ihs
host ihs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014553855A
Other languages
Japanese (ja)
Other versions
JP5746446B2 (en
Inventor
ムーネン、スコット、クリストファー
ジュニア、リンウッド、ヒュー オーバーバイ
ジュニア、リンウッド、ヒュー オーバーバイ
メイヤー、クリストファー
ギアハート、カーチス、マシュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/400,575 external-priority patent/US20130219167A1/en
Priority claimed from US13/400,577 external-priority patent/US8918634B2/en
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2015511434A publication Critical patent/JP2015511434A/en
Application granted granted Critical
Publication of JP5746446B2 publication Critical patent/JP5746446B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Abstract

【課題】セキュリティ・プロトコルを用いて保護されたデータ・パケットを、通信ネットワーク経由で通信するためのネットワーク・ノードを提供する。【解決手段】本ネットワーク・ノードは、ホスト情報処理システム(IHS)およびセキュア・データ・リンクで連結された一つ以上の外部セキュリティ・オフロード・デバイスを含む。ホストIHSは、データ・パケットについての状態情報を連絡し、外部セキュリティ・オフロード・デバイスは、セキュリティ・プロトコルを用いて、ステートレスのセキュアな、パケットのデータカプセル化およびカプセル化解除を提供する。外部ネットワーク・インターフェース・コントローラまたは内部ネットワーク・インターフェース・コントローラは、カプセル化されたデータ・パケットを、通信ネットワークを経由して最終宛先に通信する。外部セキュリティ・オフロード・デバイスによるパケットのカプセル化およびカプセル化解除は、ネットワーク待ち時間を低減し、ホストIHS中のプロセッサの計算負荷を減らす。ホストIHSの中に状態情報を維持することによって、情報喪失なしに、外部セキュリティ・オフロード・デバイスのホットスワッピングが可能になる。外部セキュリティ・オフロード・デバイスは、ファイアウォール、または侵入検知デバイスの中に含めることが可能で、該デバイスにIPsecを実装することができる。【選択図】図2A network node for communicating data packets protected using a security protocol via a communication network. The network node includes a host information processing system (IHS) and one or more external security offload devices coupled by a secure data link. The host IHS communicates state information about the data packet, and the external security offload device uses a security protocol to provide stateless secure packet data encapsulation and de-encapsulation. The external network interface controller or internal network interface controller communicates the encapsulated data packet to the final destination via the communication network. Packet encapsulation and decapsulation by an external security offload device reduces network latency and reduces the computational load on the processor in the host IHS. Maintaining state information in the host IHS allows hot swapping of external security offload devices without loss of information. The external security offload device can be included in a firewall or intrusion detection device, and IPsec can be implemented in the device. [Selection] Figure 2

Description

本発明は、一般に情報処理システム(IHS:information handling system)におけるデータ・セキュリティに関し、さらに具体的には、ネットワーク接続されたIHS間の通信におけるデータ・セキュリティに関する。   The present invention generally relates to data security in an information handling system (IHS), and more specifically to data security in communication between network-connected IHSs.

発信元IHSおよび宛先IHSの認証によってネットワーク通信のセキュリティを高めることが可能である。また、発信元IHSと宛先IHSとの間の通信の暗号化も、ネットワーク通信のセキュリティを高めることができる。   Network communication security can be enhanced by authenticating the source IHS and the destination IHS. Further, encryption of communication between the source IHS and the destination IHS can also enhance the security of network communication.

セキュリティ・プロトコルを用いて保護されたデータ・パケットを、通信ネットワーク経由で通信するための方法およびネットワーク・ノードを提供する。   A method and network node are provided for communicating data packets protected using a security protocol over a communication network.

一態様において、ホスト情報処理システム(IHS)によって、データ・パケットに関連するセキュリティ・メタデータを格納するステップを含む、セキュリティ・オフロード方法が開示される。また、本方法は、ホストIHSによって、データ・パケットがセキュリティ処理を必要とするデータ・パケットかどうかを判定するステップを含む。本方法は、ホストIHSがデータ・パケットはセキュリティ処理を必要としないと判定した場合、ホストIHSによって、そのデータ・パケットを内部ネットワーク・インターフェース・コントローラに提供するステップをさらに含み、内部ネットワーク・インターフェース・コントローラは、ホストIHS以外のIHSへの通信のため、データ・パケットを通信ネットワークに送信する。本方法は、ホストIHSがデータ・パケットはセキュリティ処理を必要とすると判定した場合、ホストIHSによって、セキュア・データ・リンクを介し、そのデータ・パケットおよび関連するセキュリティ・メタデータを、ステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するステップをさらに含み、このステートレス外部セキュリティ・オフロード・デバイスはホストIHSの外部にある。また、本方法は、オフロードされたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによって暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するステップを含む。本方法は、カプセル化・暗号化されたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによって、さるなる処理のため、セキュア・データ・リンクを介してホストIHSに返送するステップをさらに含む。また、本方法は、カプセル化・暗号化されたデータ・パケットを、ホストIHSの内部ネットワーク・インターフェース・コントローラによって、ホストIHS以外のIHSへの通信のため通信ネットワークに送信するステップを含む。   In one aspect, a security offload method is disclosed that includes storing security metadata associated with a data packet by a host information processing system (IHS). The method also includes determining by the host IHS whether the data packet is a data packet that requires security processing. The method further includes providing the data packet to the internal network interface controller by the host IHS if the host IHS determines that the data packet does not require security processing, The controller sends a data packet to the communication network for communication to an IHS other than the host IHS. If the host IHS determines that the data packet requires security processing, the method causes the host IHS to send the data packet and associated security metadata over a secure data link to a stateless external security The method further includes offloading to the offload device, thus providing the offloaded data packet, the stateless external security offload device being external to the host IHS. The method also includes encrypting and encapsulating the offloaded data packet with a stateless external security offload device, thereby providing the encapsulated and encrypted data packet. The method further includes returning the encapsulated and encrypted data packet by the stateless external security offload device to the host IHS via the secure data link for further processing. The method also includes the step of transmitting the encapsulated / encrypted data packet to the communication network for communication to an IHS other than the host IHS by the host IHS internal network interface controller.

別の態様において、ホスト情報処理システム(IHS)を含むネットワーク・ノードが開示される。このホストIHSは、内部ネットワーク・インターフェース・コントローラを含む。本ネットワーク・ノードは、ホストIHSに連結するセキュア・データ・リンクを含む。また、本ネットワーク・ノードは、このセキュア・データ・リンクを介してホストIHSに連結するステートレス外部セキュリティ・オフロード・デバイスを含む。この外部セキュリティ・オフロード・デバイスは、ホストIHSの外部にある。ホストIHSは、データ・パケットに関連するセキュリティ・メタデータを格納するよう構成される。また、このホストIHSは、データ・パケットおよび関連するセキュリティ・メタデータを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するよう構成される。ステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットおよびするセキュリティ・メタデータを受信するよう構成される。また、ステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するよう構成される。ステートレス外部セキュリティ・オフロード・デバイスは、カプセル化・暗号化されたデータ・パケットを、さらなる処理のためホストIHSに返送するようさらに構成される。また、ホストIHSは、カプセル化・暗号化されたデータ・パケットを、ホストIHS以外のIHSへの通信のため、ホストIHSの内部ネットワーク・インターフェース・コントローラを介して通信ネットワークに送信するよう構成される。   In another aspect, a network node that includes a host information processing system (IHS) is disclosed. This host IHS includes an internal network interface controller. The network node includes a secure data link that connects to the host IHS. The network node also includes a stateless external security offload device that couples to the host IHS via this secure data link. This external security offload device is external to the host IHS. The host IHS is configured to store security metadata associated with the data packet. The host IHS also offloads the data packet and associated security metadata to a stateless external security offload device over a secure data link, thus the offloaded data packet. Configured to provide. The stateless external security offload device is configured to receive the offloaded data packet and the security metadata. The stateless external security offload device is also configured to encrypt and encapsulate the offloaded data packet, thus providing the encapsulated and encrypted data packet. The stateless external security offload device is further configured to send the encapsulated and encrypted data packet back to the host IHS for further processing. The host IHS is also configured to send the encapsulated / encrypted data packet to the communication network via the host IHS internal network interface controller for communication to an IHS other than the host IHS. .

さらに別の態様において、ホスト情報処理システム(IHS)の内部にある内部ネットワーク・インターフェース・コントローラによって、通信ネットワークからデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するステップを含む、セキュリティ・オフロード方法が開示される。また、本方法は、ホストIHSによって、受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するステップを含む。本方法は、ホストIHSが、受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、受信されたデータ・パケットを、IHSによって、処理のためホストIHS中のアプリケーションに転送するステップをさらに含む。本方法は、ホストIHSが、受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、その受信されたデータ・パケットを、ホストIHSによって、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードするステップをさらに含み、このステートレス外部セキュリティ・オフロード・デバイスはホストIHSの外部にある。また、本方法は、受信されたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによってカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するステップを含む。本方法は、カプセル化解除・暗号解読されたデータ・パケットを、ホストIHS中のアプリケーションによるさるなる処理のため、ステートレス外部セキュリティ・オフロード・デバイスによって、セキュア・データ・リンクを介してホストIHSに返送するステップをさらに含む。   In yet another aspect, including receiving a data packet from a communication network and providing the received data packet by an internal network interface controller internal to a host information processing system (IHS). A security offload method is disclosed. The method also includes determining by the host IHS whether the received data packet is an encapsulated / encrypted data packet requiring security processing. If the host IHS determines that the received data packet is not an encapsulated / encrypted data packet that requires security processing, the method processes the received data packet with the IHS. The method further includes the step of transferring to an application in the host IHS. When the host IHS determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the method sends the received data packet to the host IHS. Further offloading to a stateless external security offload device via a secure data link, the stateless external security offload device being external to the host IHS. The method also includes the steps of decapsulating and decrypting the received data packet by a stateless external security offload device, thereby providing the decapsulated and decrypted data packet. . The method uses a stateless external security offload device to a host IHS over a secure data link for decapsulated and decrypted data packets for further processing by applications in the host IHS. The method further includes a step of returning.

別の態様において、ホスト情報処理システム(IHS)を含むネットワーク・ノードが開示される。このホストIHSは、内部ネットワーク・インターフェース・コントローラを含む。本ネットワーク・ノードは、ホストIHSに連結するセキュア・データ・リンクを含む。また、本ネットワーク・ノードは、セキュア・データ・リンクを介してホストIHSに連結するステートレス外部セキュリティ・オフロード・デバイスを含む。この外部セキュリティ・オフロード・デバイスは、ホストIHSの外部にある。ホストIHSは、通信ネットワークから内部インターフェース・コントローラを介してデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するよう構成される。また、ホストIHSは、受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するよう構成される。ホストIHSは、ホストIHSが受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、受信されたデータ・パケットを、処理のためホストIHS中のアプリケーションに転送するよう構成される。ホストIHSは、ホストIHSが受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、その受信されたデータ・パケットを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するようさらに構成される。このステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットをカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するよう構成される。また、ステートレス外部セキュリティ・オフロード・デバイスは、カプセル化解除・暗号解読されたデータ・パケットを、ホストIHS中のアプリケーションによるさるなる処理のため、セキュア・データ・リンクを介してホストIHSに返送するよう構成される。   In another aspect, a network node that includes a host information processing system (IHS) is disclosed. This host IHS includes an internal network interface controller. The network node includes a secure data link that connects to the host IHS. The network node also includes a stateless external security offload device that connects to the host IHS via a secure data link. This external security offload device is external to the host IHS. The host IHS is configured to receive data packets from the communication network via an internal interface controller and provide the received data packets. The host IHS is also configured to determine whether the received data packet is an encapsulated / encrypted data packet that requires security processing. If the host IHS determines that the data packet received by the host IHS is not an encapsulated / encrypted data packet that requires security processing, the host IHS is processing the received data packet in the host IHS for processing. Configured to forward to other applications. If the host IHS determines that the data packet received by the host IHS is an encapsulated / encrypted data packet that requires security processing, the host IHS converts the received data packet to a secure data packet. It is further configured to offload over the link to a stateless external security offload device, thus providing an offloaded data packet. The stateless external security offload device is configured to decapsulate and decrypt the offloaded data packet, thus providing the decapsulated and decrypted data packet. The stateless external security offload device also sends the decapsulated and decrypted data packet back to the host IHS over the secure data link for further processing by the application in the host IHS. It is configured as follows.

本発明のさらなる特徴が、添付の他の請求項に定義されている。   Further features of the invention are defined in the other claims appended hereto.

単なる例示を目的として、本発明の実施形態(群)を、添付の図面を参照しながら以下に説明する。   For purposes of illustration only, embodiments (groups) of the present invention are described below with reference to the accompanying drawings.

本開示のネットワーク・システムのブロック図である。1 is a block diagram of a network system of the present disclosure. 本開示のネットワーク・システムが用いることのできるネットワーク・ノードのブロック図である。FIG. 3 is a block diagram of a network node that can be used by the network system of the present disclosure. ネットワーク・ノードにおいて、アウトバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する一つの方法を表すフロー・チャートである。FIG. 4 is a flow chart representing one method of processing outbound data packets with an external security offload device at a network node. ネットワーク・ノードにおいて、インバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する一つの方法を表すフロー・チャートである。FIG. 4 is a flow chart representing one method of processing inbound data packets with an external security offload device at a network node. ネットワーク・ノードにおいて、アウトバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する別の方法を表すフロー・チャートである。6 is a flow chart representing another method of processing outbound data packets with an external security offload device at a network node. ネットワーク・ノードにおいて、インバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する別の方法を表すフロー・チャートである。FIG. 6 is a flow chart representing another method of processing inbound data packets with an external security offload device at a network node.

本開示のネットワーク・システムにおいて、ネットワーク・ノードは、セキュア・データ・リンクを介してステートレスな外部セキュリティ・オフロード・デバイスに連結するホスト情報処理システム(IHS)を含む。このステートレス外部セキュリティ・オフロード・デバイスは、ネットワーク・システム中の一つ以上の他のネットワーク・ノードと通信する外部のネットワーク・インターフェース・コントローラに連結している。ホストIHSは、ホストIHS上のセキュリティ関係の作業負荷を軽減するため、外部セキュリティ・オフロード・デバイスにセキュリティ関係のタスクをオフロードする。例えば、外部セキュリティ・オフロード・デバイスは、ホストIHSに代行して、データ・パケットに追加の任意のヘッダを付加することができ、もしくはデータ・パケットに暗号手法を適用する、またはその両方を行うことができる。ホストIHSは、カプセル化およびカプセル化解除、暗号化および暗号解読、並びに認証など、セキュリティ関係のタスクを、ネットワーク付属のデバイスである外部セキュリティ・オフロード・デバイスにオフロードすることが可能である。一実施形態において、ホストIHSは、IPsecシーケンス番号などの状態情報を、外部セキュリティ・オフロード・デバイスの中よりも、むしろホストIHSのTCP/IPスタックの中に格納し、しかして、ステートフルの外部セキュリティ・オフロード・デバイスよりも、むしろステートレスな外部セキュリティ・オフロード・デバイスを備えることが可能である。   In the network system of the present disclosure, the network node includes a host information processing system (IHS) that couples to a stateless external security offload device via a secure data link. The stateless external security offload device is coupled to an external network interface controller that communicates with one or more other network nodes in the network system. The host IHS offloads security-related tasks to an external security offload device to reduce the security-related workload on the host IHS. For example, the external security offload device can append additional optional headers to the data packet on behalf of the host IHS, or apply cryptographic techniques to the data packet, or both be able to. The host IHS can offload security-related tasks, such as encapsulation and decapsulation, encryption and decryption, and authentication, to an external security offload device that is a network attached device. In one embodiment, the host IHS stores state information, such as IPsec sequence numbers, in the host IHS's TCP / IP stack rather than in an external security offload device, so that the stateful external It is possible to have a stateless external security offload device rather than a security offload device.

図1は、通信ネットワーク102を介して一緒に連結している、ネットワーク・ノード101および101’など、複数のネットワーク・ノードを含む、本開示のネットワーク・システム100のブロック図である。通信ネットワーク102は、有線もしくは無線リンクまたはその両方を含め、実際上任意の種類の通信装置であってよい。例えば、通信ネットワーク102は、送信ライン、ルータ、スイッチ、ハブ、ネットワーク・ファブリック、インターネット接続、ローカル・エリア・ネットワーク(LAN:local area network)および広域ネットワーク(WAN:wide area network)を含み得る。ネットワーク・ノード101もしくはネットワーク・ノード101’は、セキュリティ処理が必要なデータ・パケットの送信元となり得る。ネットワーク・ノード101がデータ・パケットの送信元のときに、ネットワーク・ノード101’がそのデータ・パケットの宛先であり得る。逆に、ネットワーク・ノード101’がデータ・パケットの送信元のときに、ネットワーク・ノード101がそのデータ・パケットの宛先となり得る。ネットワーク・システム100には、図1に示されるよりも多くのネットワーク・ノードを含めることができる。   FIG. 1 is a block diagram of a network system 100 of the present disclosure that includes a plurality of network nodes, such as network nodes 101 and 101 ′, coupled together via a communication network 102. The communication network 102 may be virtually any type of communication device, including wired or wireless links or both. For example, the communication network 102 may include transmission lines, routers, switches, hubs, network fabrics, Internet connections, local area networks (LANs), and wide area networks (WANs). The network node 101 or the network node 101 ′ can be a data packet transmission source that requires security processing. When network node 101 is the source of a data packet, network node 101 'may be the destination of that data packet. Conversely, when the network node 101 'is the source of the data packet, the network node 101 can be the destination of the data packet. Network system 100 may include more network nodes than shown in FIG.

ネットワーク・ノード101は、ホストIHS103を通信ネットワーク102に連結する内部ネットワーク・インターフェース・コントローラ107を備えた、ホストIHS103を含む。また、ネットワーク・ノード101は、セキュア・データ・リンク105を介してホストIHS103に連結する外部セキュリティ・オフロード・デバイス104を含む。一実施形態において、外部セキュリティ・オフロード・デバイス104は「ネットワーク付属」のデバイスである。外部ネットワーク・インターフェース・コントローラ106は、外部セキュリティ・オフロード・デバイス104を通信ネットワーク102に連結する。一実施形態において、外部ネットワーク・インターフェース・コントローラ106は、図示のように、外部セキュリティ・オフロード・デバイス104に連結している。別の実施形態において、外部ネットワーク・インターフェース・コントローラ106は、外部セキュリティ・オフロード・デバイス104の内部にあるが、それでもホストIHS103に対しては外部である。同様に、ネットワーク・ノード101’は、ホストIHS103’を通信ネットワーク102に連結する内部ネットワーク・インターフェース・コントローラ107’を備えたホストIHS103’を含む。また、ネットワーク・ノード101’は、セキュア・データ・リンク105’を介してホストIHS103’に連結する外部セキュリティ・オフロード・デバイス104’を含む。一実施形態において、外部セキュリティ・オフロード・デバイス104’はネットワーク付属のデバイスである。外部ネットワーク・インターフェース・コントローラ106’は、外部セキュリティ・オフロード・デバイス104’を通信ネットワーク102に連結する。   The network node 101 includes a host IHS 103 with an internal network interface controller 107 that couples the host IHS 103 to the communication network 102. The network node 101 also includes an external security offload device 104 that is coupled to the host IHS 103 via a secure data link 105. In one embodiment, external security offload device 104 is a “network attached” device. External network interface controller 106 couples external security offload device 104 to communication network 102. In one embodiment, the external network interface controller 106 is coupled to an external security offload device 104 as shown. In another embodiment, the external network interface controller 106 is internal to the external security offload device 104 but is still external to the host IHS 103. Similarly, the network node 101 ′ includes a host IHS 103 ′ with an internal network interface controller 107 ′ that couples the host IHS 103 ′ to the communication network 102. The network node 101 'also includes an external security offload device 104' that couples to the host IHS 103 'via a secure data link 105'. In one embodiment, the external security offload device 104 'is a network attached device. External network interface controller 106 ′ couples external security offload device 104 ′ to communication network 102.

図2は、ネットワーク・システム100が、ネットワーク・ノード101もしくはネットワーク・ノード101’またはその両方として、およびネットワーク・システム100の他のネットワーク・ノード(図示せず)として、用いることのできるネットワーク・ノード101のブロック図である。さらに詳しくは、図2は、セキュア・データ・リンク105を介し外部セキュリティ・オフロード・デバイス104に連結したホスト情報処理システム(IHS)103を含む、ネットワーク・ノード101を示す。   FIG. 2 illustrates a network node that the network system 100 can use as the network node 101 or the network node 101 ′ or both, and as other network nodes (not shown) of the network system 100. 101 is a block diagram of FIG. More particularly, FIG. 2 shows a network node 101 that includes a host information processing system (IHS) 103 coupled to an external security offload device 104 via a secure data link 105.

セキュア・データ・リンク105は、暗号化されていないトラフィックが、意図されていない第三者によって視取または変更されるのを防止する。セキュリティを達成するために、セキュア・データ・リンク105は、開放型システム間相互接続(OSI:Open Systems Interconnection)のレイヤ1の物理的分離、OSIレイヤ2の暗号化、および他のOSIレイヤもしくは他のセキュリティ方策またはそれらの両方を用いることができる。ホストIHS103は、複数のコアおよびSRAMキャッシュ150を含み得るプロセッサ110を含む。ホストIHS103は、デジタル形式、アナログ形式、または他の形式の情報を処理、伝送、通信、修正、格納、または別途に取り扱う。ホストIHS103は、メモリ・コントローラ125およびメモリ・バス130を介してシステム・メモリ120をプロセッサ110に連結する、バス115を含む。一実施形態において、システム・メモリ120はプロセッサ110の外部にある。システム・メモリ120は、スタティック・ランダム・アクセス・メモリ(SRAM:static random access memory)のアレイもしくはダイナミック・ランダム・アクセス・メモリ(DRAM:dynamic random access memory)のアレイまたはその両方とすることができる。映像グラフィックス・コントローラ135は、ディスプレイ140をバス115に連結する。ハード・ディスク・ドライブ、CDドライブ、DVDドライブ、または他の不揮発性ストレージなどの不揮発性ストレージ145は、バス115に連結し、ホストIHS103に情報の恒久的なストレージを提供する。キーボード、およびマウス・ポインティング・デバイスなどのI/Oデバイス190は、I/Oコントローラ155およびI/Oバス160を介してバス115に連結する。USB、IEEE1394バス、ATA、SATA、PCI、PCIE、DVI、HDMI、および他の拡張バスなど、一つ以上の拡張バス165が、周辺機器およびデバイスのホストIHS103への接続を容易化するためバス115に連結している。図2中の点線103はホストIHS103、およびホストIHS103のハウジングもしくはシャーシまたはその両方を表す。このように、点線103の内側のホストIHS103の構造体はホストIHS103の内部にあり、点線103の外側のネットワーク・ノード101の構造体はホストIHS103の外部にある。   Secure data link 105 prevents unencrypted traffic from being viewed or altered by unintended third parties. In order to achieve security, the secure data link 105 includes Open System Interconnection (OSI) Layer 1 physical separation, OSI Layer 2 encryption, and other OSI layers or others. Security policies or both. The host IHS 103 includes a processor 110 that may include multiple cores and an SRAM cache 150. The host IHS 103 processes, transmits, communicates, modifies, stores, or otherwise handles information in digital format, analog format, or other formats. The host IHS 103 includes a bus 115 that couples the system memory 120 to the processor 110 via a memory controller 125 and a memory bus 130. In one embodiment, system memory 120 is external to processor 110. The system memory 120 may be an array of static random access memory (SRAM) or an array of dynamic random access memory (DRAM) or both. Video graphics controller 135 couples display 140 to bus 115. Non-volatile storage 145, such as a hard disk drive, CD drive, DVD drive, or other non-volatile storage, is coupled to bus 115 and provides permanent storage of information to host IHS 103. An I / O device 190 such as a keyboard and mouse pointing device is coupled to the bus 115 via an I / O controller 155 and an I / O bus 160. One or more expansion buses 165, such as USB, IEEE 1394 bus, ATA, SATA, PCI, PCIE, DVI, HDMI, and other expansion buses, facilitate the connection of peripheral devices and devices to the host IHS 103. It is linked to. A dotted line 103 in FIG. 2 represents the host IHS 103 and the housing and / or chassis of the host IHS 103. As described above, the structure of the host IHS 103 inside the dotted line 103 is inside the host IHS 103, and the structure of the network node 101 outside the dotted line 103 is outside the host IHS 103.

ネットワーク・ノード101のホストIHS103は、内部ネットワーク・インターフェース・コントローラ107を含み、該コントローラはバス115に連結し、ホストIHS103が、有線または無線によって、通信ネットワーク102などのネットワークと、ネットワーク・ノード101’など、他の情報処理システムおよびネットワーク・ノードとに接続できるようにしている。ホストIHS103は、デスクトップ、サーバ、携帯機器、ラップトップ、ノートブックあるいは他のフォーム・ファクタのコンピュータまたはデータ処理システムの形を取ることができる。ホストIHS103は、ゲーム・デバイス、携帯情報端末(PDA:personal digital assistant)、携帯電話デバイス、通信デバイス、または、プロセッサおよびメモリを含む他のデバイスなど、他のフォーム・ファクタを取ることも可能である。また、ホストIHS103は、携帯機器、ラップトップ、ノートブック、ゲーム・デバイス、PDA、または任意のバッテリ駆動デバイスの形を取ることができる。一実施形態において、ホストIHS103のパフォーマンスは、特に、ネットワーク待ち時間を増やし得る演算集約的処理(パケット・セキュリティおよびIPsecの処理など)の影響を受けやすい。   The host IHS 103 of the network node 101 includes an internal network interface controller 107, which is coupled to the bus 115, and the host IHS 103 is connected to a network such as the communication network 102 by wire or wirelessly and a network node 101 ′. For example, it is possible to connect to other information processing systems and network nodes. The host IHS 103 may take the form of a desktop, server, portable device, laptop, notebook or other form factor computer or data processing system. The host IHS 103 may take other form factors, such as a gaming device, a personal digital assistant (PDA), a mobile phone device, a communication device, or other device including a processor and memory. . The host IHS 103 can also take the form of a portable device, laptop, notebook, gaming device, PDA, or any battery powered device. In one embodiment, the performance of the host IHS 103 is particularly susceptible to computationally intensive processes (such as packet security and IPsec processes) that can increase network latency.

ホストIHS103には、CD、DVD、または他の媒体などデジタル媒体175上のコンピュータ・プログラム製品を含めることができる。一実施形態において、デジタル媒体175は、アプリケーション182を含む。ユーザは、不揮発性ストレージ145上のアプリケーション182をアプリケーション182’としてロードすることができる。不揮発性ストレージ145は、オペレーティング・システム181を格納することができ、該システムにネットワーク・ソフトウェア183を含めることが可能である。ホストIHS103が初期化されると、該ホストIHSは、オペレーティング・システム181’、ネットワーク・ソフトウェア183’、およびアプリケーション182”として実行するために、オペレーティング・システム181およびアプリケーション182’をシステム・メモリ120の中にロードする。オペレーティング・システム181’は、ネットワーク・ソフトウェア183’を含むことができ、ホストIHS103のオペレーションを制御する。ホストIHS103は、セキュア・データ・リンク105を介して外部セキュリティ・オフロード・デバイス104に連結する。外部セキュリティ・オフロード・デバイス104は、外部ネットワーク・インターフェース・コントローラ106に連結している。しかして、外部ネットワーク・インターフェース・コントローラ106は「ネットワーク付属」のデバイスとなる。「ネットワーク付属」のデバイスは、複数のネットワーク・ノードを相互接続することが可能な、通信ネットワーク102などの通信ネットワークに対し、有線もしくは無線またはその両方のポータルとしての役割を果たす。例えば、外部ネットワーク・インターフェース・コントローラ106および106’、並びに内部ネットワーク・インターフェース・コントローラ107および107’は、通信ネットワーク102を介し、ネットワーク・ノード101および101’を相互接続する有線もしくは無線またはその両方のポータルとしての機能を果たす。ホストIHS103は、セキュア・データ・リンク105、外部セキュリティ・オフロード・デバイス104、および外部ネットワーク・インターフェース・コントローラ106と一緒に、データ・パケットを他のネットワーク・ノードに通信するため、集合的にネットワーク・ノード101を形成する。一実施形態において、ホストIHS103は、外部セキュリティ・オフロード・デバイス104と協働して、これらのデータ・パケットを、インターネット・プロトコル・セキュリティ(IPsec:Internet Protocol Security)プロトコル群などのセキュリティ・プロトコルを用いてセキュアすることができる。   Host IHS 103 may include a computer program product on digital media 175 such as a CD, DVD, or other media. In one embodiment, digital media 175 includes application 182. The user can load application 182 on non-volatile storage 145 as application 182 '. Non-volatile storage 145 can store an operating system 181 and can include network software 183 in the system. When the host IHS 103 is initialized, the host IHS executes the operating system 181 and the application 182 ′ in the system memory 120 for execution as the operating system 181 ′, the network software 183 ′, and the application 182 ″. The operating system 181 ′ can include network software 183 ′ and controls the operation of the host IHS 103. The host IHS 103 is connected to the external security offload network via the secure data link 105. Coupled to device 104. External security offload device 104 is coupled to an external network interface controller 106. However, external Ttowaku interface controller 106 is a device of the "network included". A “network attached” device serves as a wired and / or wireless portal to a communication network, such as communication network 102, that can interconnect multiple network nodes. For example, external network interface controllers 106 and 106 ′ and internal network interface controllers 107 and 107 ′ may be wired and / or wireless to interconnect network nodes 101 and 101 ′ via communication network 102. Serves as a portal. Host IHS 103, together with secure data link 105, external security offload device 104, and external network interface controller 106, collectively communicates data packets to other network nodes. Form node 101. In one embodiment, the host IHS 103 cooperates with the external security offload device 104 to send these data packets to a security protocol, such as the Internet Protocol Security (IPsec) protocol suite. Can be used to secure.

一実施形態において、ネットワーク・ノード101の外部セキュリティ・オフロード・デバイス104は、ホストIHS103の命令の下でホストIHS103を代行して、インターネット・プロトコル(IP:InternetProtocol)通信をセキュアするために、インターネット・プロトコル・セキュリティ(IPsec)プロトコル群を用いることが可能である。外部セキュリティ・オフロード・デバイス104は、データ・パケットのカプセル化およびカプセル化解除を促進し、データ・パケットの暗号化および暗号解読を促進し、データ・パケットを認証し、任意に、ファイアウォールおよび侵入検出サービス(IDS:intrusion detection service)並びにデータ・パケットに対する他の任意のサービスを行うためのプロセッサ(図示せず)、を含む情報処理システムとすることができる。また、外部セキュリティ・オフロード・デバイス104は、メモリ(図示せず)およびストレージ(図示せず)を含むことが可能である。   In one embodiment, the external security offload device 104 of the network node 101 performs an Internet protocol (IP) communication to secure the Internet Protocol (IP) communication on behalf of the host IHS 103 under the direction of the host IHS 103. Protocol security (IPsec) protocol group can be used. External security offload device 104 facilitates encapsulation and decapsulation of data packets, facilitates encryption and decryption of data packets, authenticates data packets, and optionally firewalls and intrusions It may be an information processing system that includes a detection service (IDS) and a processor (not shown) for performing any other service for data packets. External security offload device 104 may also include memory (not shown) and storage (not shown).

外部セキュリティ・オフロード・デバイス104は、IPデータ・パケットの認証を行うセキュリティ・プロトコルを用いることができ、認証されたIPデータ・パケットをカプセル化する。認証されたIPデータ・パケットをカプセル化した後、セキュリティ・プロトコルによって、カプセル化されたIPデータ・パケットを暗号化することができる。例えば、IPsecプロトコルは、通信セッションの各IPデータ・パケットを認証し暗号化する。また、IPsecは、通信セッションの開始時に、エージェント間の相互認証を確立するためのプロトコル、およびこの通信セッションの間用いる暗号鍵の交渉をするためのプロトコルを含む。ホストIHS103およびホストIHS103’は、かかるエージェントの例である。さらに具体的には、セキュリティを備えた、ネットワーク・ソフトウェア183のこの部分は、人間のセキュリティ管理者の命令を受けて作動するエージェントである。一実施形態において、外部セキュリティ・オフロード・デバイス104は、ネットワーク・ノード101のため、全てのIPsecカプセル化およびカプセル化解除オペレーション、並びに暗号化、暗号解読、および認証を提供することが可能である。このことは、ネットワーク・ノード101中のホストIHS103のセキュリティ関係の作業負荷を軽減する。   The external security offload device 104 can use a security protocol that authenticates IP data packets and encapsulates the authenticated IP data packets. After encapsulating the authenticated IP data packet, the encapsulated IP data packet can be encrypted by a security protocol. For example, the IPsec protocol authenticates and encrypts each IP data packet of a communication session. In addition, IPsec includes a protocol for establishing mutual authentication between agents at the start of a communication session and a protocol for negotiating encryption keys used during the communication session. Host IHS 103 and host IHS 103 'are examples of such agents. More specifically, this portion of network software 183 with security is an agent that operates under the direction of a human security administrator. In one embodiment, the external security offload device 104 can provide all IPsec encapsulation and decapsulation operations, as well as encryption, decryption, and authentication for the network node 101. . This reduces the security-related workload of the host IHS 103 in the network node 101.

セキュリティ・ポリシは、プロトコルに、ある特定のデバイスが受信するデータ・パケットをどのように処理するかを命令する、設計者、プログラマまたは他のエンティティ・プログラムが、IPsecプロトコルなどのセキュリティ・プロトコルの中にプログラムするルールである。例えば、セキュリティ・ポリシは、ある特定のデータ・パケットがIPsecプロトコル・セキュリティ処理を必要とするかどうかを決めることができる。セキュリティ処理を必要としないデータ・パケットは、認証ヘッダ(AH:Authentication Header)プロトコル処理、またはカプセル化セキュリティ・ペイロード(ESP:Encapsulating Security Payload)プロトコル処理をバイパスしてもよい。デバイスが、ある特定のデータ・パケットがセキュリティ・プロトコル処理を必要とすると判定した場合、セキュリティ・ポリシは、該デバイスに、そのデータ・パケットに対するセキュリティを取り扱うためのガイドラインを用いるよう命令することができる。一実施形態において、ホストIHS103もしくは外部セキュリティ・オフロード・デバイス104またはその両方は、これらデバイス内のセキュリティ・ポリシ・データベース(図示せず)中にセキュリティ・ポリシを格納することが可能である。セキュリティ・アソシエーション(SA:Security Association)情報は、2つのデバイスの間のセキュアな接続の特定の型を表すセキュリティ情報のセットである。このSA情報は、2つのデバイスが相互に安全に通信するため用いることができる特定のセキュリティ・メカニズムを含む。   A security policy allows a designer, programmer, or other entity program to instruct a protocol how to process data packets received by a particular device, within a security protocol such as the IPsec protocol. It is a rule to program. For example, a security policy can determine whether a particular data packet requires IPsec protocol security processing. Data packets that do not require security processing may bypass authentication header (AH) protocol processing or encapsulating security payload (ESP) protocol processing. If the device determines that a particular data packet requires security protocol processing, the security policy can instruct the device to use guidelines for handling security for that data packet. . In one embodiment, the host IHS 103 or the external security offload device 104 or both can store security policies in a security policy database (not shown) within these devices. Security Association (SA) information is a set of security information that represents a particular type of secure connection between two devices. This SA information includes specific security mechanisms that the two devices can use to securely communicate with each other.

一実施形態において、外部セキュリティ・オフロード・デバイス104は、ネットワーク付属のデバイスとして作動する。ネットワーク付属のデバイスは、ネットワークに接続し、ファイル・ベースのストレージ・サービスもしくは他の特殊なサービスまたはその両方を提供する情報処理システム(IHS)であり得る。一実施形態において、外部セキュリティ・オフロード・デバイス104は、カプセル化、カプセル化解除、暗号化、暗号解読、および認証など、専門化されたセキュリティ関係サービスを提供する。   In one embodiment, the external security offload device 104 operates as a network attached device. A network-attached device may be an information processing system (IHS) that connects to the network and provides a file-based storage service or other specialized service or both. In one embodiment, the external security offload device 104 provides specialized security-related services such as encapsulation, decapsulation, encryption, decryption, and authentication.

本開示のネットワーク・システム100の一実施形態において、外部セキュリティ・オフロード・デバイス104よりも、むしろホストIHS103のオペレーティング・システム181’中の、ネットワーク・ソフトウェア183’のTCP/IPスタック184が、IPsecセキュリティ・アソシエーション(SA)状態情報の全てを維持する。この配置は、外部セキュリティ・オフロード・デバイス104がステートレスなデバイスであることを可能にする。一部の実施形態では、外部セキュリティ・オフロード・デバイス104に、例えば、ファイアウォール・サービス、侵入検出サービス、および、当該ネットワーク・ノードの外部セキュリティ・オフロード・デバイスも通過する非暗号化データに対する、ディープ・パケット・インスペクション・サービスなど他のネットワーク・サービスを組み入れることが可能である。一実施形態において、外部セキュリティ・オフロード・デバイス104とネットワーク・ノード101のホストIHS103との間の物理的分離、および外部セキュリティ・オフロード・デバイス104のステートレスな特質は、(1)最小のシステム干渉または中断で、外部セキュリティ・オフロード・デバイス104の「ホット・スワッピング」または切り替えを行うことを容易にし、(2)状態同期の混乱なしに、付加バランスまたはホットスタンバイのため、複数の外部セキュリティ・オフロード・デバイスを構成することを可能にし、さらに、(3)システム・メンテナンスのためまたはマルチホーム・ホストのために、外部セキュリティ・オフロード・デバイス群を動的に有効化し無効化することを可能にする。マルチホーム・ホストは複数のネットワーク接続を含む。マルチホーム・ホストは、複数のネットワークまたは同一のネットワークに接続することができる。   In one embodiment of the network system 100 of the present disclosure, the TCP / IP stack 184 of the network software 183 ′ in the operating system 181 ′ of the host IHS 103 rather than the external security offload device 104 is Maintain all of the security association (SA) state information. This arrangement allows the external security offload device 104 to be a stateless device. In some embodiments, for external security offload device 104, e.g., for firewall services, intrusion detection services, and unencrypted data that also passes through the network node's external security offload device, Other network services such as deep packet inspection services can be incorporated. In one embodiment, the physical separation between the external security offload device 104 and the host IHS 103 of the network node 101, and the stateless nature of the external security offload device 104 are: (1) minimal system Facilitates “hot swapping” or switching of external security offload device 104 with interference or interruption, and (2) multiple external security for additional balance or hot standby without state synchronization disruption Enable offload devices to be configured, and (3) dynamically enable and disable external security offload devices for system maintenance or for multihomed hosts Enable. A multihomed host includes multiple network connections. A multihomed host can connect to multiple networks or the same network.

本開示のネットワーク・システム100の一実施形態では、ホストIHS103から、ネットワーク・ノード101の外部セキュリティ・オフロード・デバイス104にセキュリティ処理がオフロードされる。ホストIHS103のオペレーティング・システム181’中の、ネットワーク・ソフトウェア183’のTCP/IPスタック184が、状態情報を維持する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、IPデータ・パケットに対するアウトバウンド・メタデータの選択を外部セキュリティ・オフロード・デバイス104に連絡する。アウトバウンド・メタデータは、ホストIHS103のネットワーク・ソフトウェア183’が外部セキュリティ・オフロード・デバイス104に送信するIPデータ・パケットについての情報を含むことができる。アウトバウンド・メタデータは、IPsecセキュリティ・アソシエーション(SA)情報およびIPデータ・パケットに適用する関連SA状態情報を含むことが可能である。セキュリティ・アソシエーション(SA)情報とは、ネットワーク・トラフィックがトンネルを使える仕様(例えば、IPsecはこれを特定のネットワーク・アドレスまたはプロトコルに制限することができる)、認証のための暗号化アルゴリズムの選択、暗号化および暗号解読、これらのアルゴリズムに使われる暗号鍵、およびデータをカプセル化する方法など、交渉済みのSA属性を言う。例えば、IPsecは、カプセル化されたトンネルおよび伝送モードを可能にする。SA状態情報とは、リプレイ防止に使われるカウンタ、またはSAによって保護されるデータの量を制限するために使われるカウンタなど、存続期間に亘って切り替わるSAの属性を言う。   In one embodiment of the network system 100 of the present disclosure, security processing is offloaded from the host IHS 103 to the external security offload device 104 of the network node 101. The TCP / IP stack 184 of the network software 183 'in the operating system 181' of the host IHS 103 maintains state information. The network software 183 ′ in the operating system 181 ′ of the host IHS 103 communicates the selection of outbound metadata for the IP data packet to the external security offload device 104. The outbound metadata can include information about IP data packets that the network software 183 ′ of the host IHS 103 sends to the external security offload device 104. Outbound metadata may include IPsec security association (SA) information and associated SA state information that applies to IP data packets. Security Association (SA) information includes specifications that allow network traffic to use a tunnel (eg, IPsec can limit this to a specific network address or protocol), selection of an encryption algorithm for authentication, It refers to negotiated SA attributes, such as encryption and decryption, encryption keys used for these algorithms, and methods for encapsulating data. For example, IPsec allows for encapsulated tunnels and transmission modes. The SA state information refers to an SA attribute that changes over the lifetime, such as a counter used for preventing replay or a counter used to limit the amount of data protected by the SA.

IHSのオペレーティング・システム181’のネットワーク・ソフトウェア183’は、IPデータ・パケットの中にインターネット・プロトコル(IP)ヘッダを挿入することによって、アウトバウンド・メタデータをIPデータ・パケットに添付することができ、そのIPデータ・パケットとアウトバウンド・メタデータとを外部セキュリティ・オフロード・デバイス104に送信することが可能であり、あるいは、ネットワーク・ソフトウェア183’は、IPデータ・パケットとアウトバウンド・メタデータとを通信するための専用のイーサネット(R)フレームを外部セキュリティ・オフロード・デバイス104に送信することも可能である。   The network software 183 'of the IHS operating system 181' can attach outbound metadata to the IP data packet by inserting an Internet Protocol (IP) header into the IP data packet. The IP data packet and the outbound metadata can be sent to the external security offload device 104, or the network software 183 ′ can send the IP data packet and the outbound metadata. It is also possible to send a dedicated Ethernet frame for communication to the external security offload device 104.

一実施形態において、ネットワーク・ソフトウェア183’は、IPsecプロトコルなどのセキュリティ・プロトコルを用いてIPデータ・パケットのカプセル化を制御するSAポリシ・ルールを含む。他の実施形態において、他のセキュリティ・プロトコルを用いることが可能である。一実施形態において、ホストIHS103中のTCP/IPスタック184は、IPデータ・パケットを外部セキュリティ・オフロード・デバイス104に送信する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’のSAポリシ・ルールは、IPsecを用いてパケットのカプセル化を制御するルールを定める。TCP/IPスタック184を実装するネットワーク・ソフトウェア183’は、データ・パケットをカプセル化するために使う適切なIPsecのSAを選択する。対応する必要なアウトバウンド・メタデータは、セキュリティ・パラメータ指標(SPI:security parameter index)と、トンネルのプロトコル、すなわち、例えば認証ヘッダ(AH:Authentication Header)プロトコルまたはカプセル化セキュリティ・ペイロード(ESP)プロトコルなど、トンネルがデータ伝送に用いる特定のプロトコルと、を含むことができる。また、アウトバウンド・メタデータは、外部セキュリティ・オフロード・デバイス104がIPデータ・パケットをカプセル化する際に使用するため、TCP/IPスタック184が外部セキュリティ・オフロード・デバイス104のために選択した、IPsecシーケンス番号を含むことも可能である。   In one embodiment, the network software 183 'includes SA policy rules that control the encapsulation of IP data packets using a security protocol such as the IPsec protocol. In other embodiments, other security protocols can be used. In one embodiment, TCP / IP stack 184 in host IHS 103 sends IP data packets to external security offload device 104. The SA policy rule of the network software 183 ′ in the operating system 181 ′ of the host IHS 103 defines a rule for controlling packet encapsulation using IPsec. Network software 183 'implementing TCP / IP stack 184 selects the appropriate IPsec SA to use to encapsulate the data packet. Corresponding required outbound metadata includes a security parameter index (SPI) and a tunnel protocol, for example, an authentication header (AH) protocol or an encapsulated security payload (ESP) protocol. Specific protocols that the tunnel uses for data transmission. Also, the outbound metadata is used by the external security offload device 104 to encapsulate the IP data packet, so the TCP / IP stack 184 has chosen for the external security offload device 104. It is also possible to include an IPsec sequence number.

別の実施形態において、外部セキュリティ・オフロード・デバイス104は、内部ネットワーク・インターフェース・コントローラ107を使って、通信ネットワーク102を介し最終宛先に送信するため、対応する暗号化されカプセル化されたIPsecデータ・パケットを、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184に返送する。外部セキュリティ・オフロード・デバイス104は、該外部セキュリティ・オフロード・デバイスがTCP/IPスタック184から受信した、IPデータ・パケットのカプセル化もしくは暗号化またはその両方の要求に応じ、インバウンド・メタデータをTCP/IPスタック184に返送することができる。このインバウンド・メタデータは、カプセル化オペレーションの成功または失敗を表す結果コードを含むことができる。   In another embodiment, the external security offload device 104 uses the internal network interface controller 107 to send to the final destination via the communication network 102 for corresponding encrypted and encapsulated IPsec data. Return the packet to the TCP / IP stack 184 in the network software 183 ′ of the host IHS 103. The external security offload device 104 responds to inbound metadata in response to a request for encapsulation and / or encryption of IP data packets received from the TCP / IP stack 184 by the external security offload device. Can be returned to the TCP / IP stack 184. This inbound metadata can include a result code that represents the success or failure of the encapsulation operation.

さらに別の実施形態において、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184は、暗号解読およびカプセル化解除のため、IPsecパケットを外部セキュリティ・オフロード・デバイス104に送信する。TCP/IPスタック184は、カプセル化解除を必要とするカプセル化データ・パケットと共にアウトバウンド・メタデータを送信することが可能である。このアウトバウンド・メタデータには、カプセル化解除のオペレーションを行うように外部セキュリティ・オフロード・デバイス104に指示する選択情報を含めることができる。   In yet another embodiment, the TCP / IP stack 184 in the network software 183 ′ of the host IHS 103 sends IPsec packets to the external security offload device 104 for decryption and decapsulation. TCP / IP stack 184 may send outbound metadata along with encapsulated data packets that require decapsulation. This outbound metadata can include selection information that instructs the external security offload device 104 to perform the decapsulation operation.

さらに別の実施形態において、外部セキュリティ・オフロード・デバイス104は、インバウンド・データ・パケット処理のために、カプセル化解除されたパケットを、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184に返送する。外部セキュリティ・オフロード・デバイス104は、カプセル化解除されたデータ・パケットと共に、インバウンド・メタデータをTCP/IPスタック184に送信することができる。このインバウンド・メタデータは、TCP/IPスタック184が、外部セキュリティ・オフロード・デバイス104がデータ・パケットについてTCP/IPポリシ・ルールに対しどのSAを使ったどうか点検できるように、SPIと、通信ネットワーク102がデータ・パケットを伝送するために使ったトンネルのAHまたはESPプロトコルと、を含むことができる。また、このメタデータは、TCP/IPスタック184がパケットに対し観察したIPsecリプレイ・シーケンス番号を含むことも可能である。TCP/IPスタック184は、最終的なステートフル・チェックを行い、データ・パケットが「リプレイされ」ており、このため無効であるかどうかを検証する。   In yet another embodiment, the external security offload device 104 sends the decapsulated packet to the TCP / IP stack 184 in the network software 183 ′ of the host IHS 103 for inbound data packet processing. Return to The external security offload device 104 can send inbound metadata to the TCP / IP stack 184 along with the decapsulated data packet. This inbound metadata is communicated with the SPI so that the TCP / IP stack 184 can check which SA the external security offload device 104 used for TCP / IP policy rules for data packets. AH or ESP protocol of the tunnel that the network 102 used to transmit the data packet. This metadata can also include the IPsec replay sequence number that the TCP / IP stack 184 observed for the packet. The TCP / IP stack 184 performs a final stateful check to verify whether the data packet has been “replayed” and is therefore invalid.

要約すれば、ホストIHS103中のオペレーティング・システム181’のネットワーク・ソフトウェア183’中のTCP/IPスタック184と、外部セキュリティ・オフロード・デバイス104との間でやりとりされ得るメタデータ情報は、カプセル化する、カプセル化される、カプセル化解除する、カプセル化解除されるなど実施されるオペレーションの選択または表示を含むことができる。このメタデータは、妥当な場合、オペレーションに対する結果コード、並びにトンネル・プロトコルおよびSPIの選択および表示など、重要な情報を含むことが可能である。また、この重要な情報は、パケット・リプレイ・シーケンス番号の選択および表示を含むことができる。パケット・リプレイ・シーケンス番号は、外部セキュリティ・オフロード・デバイスがステートレスな仕方で作動することを可能にする状態情報である。   In summary, metadata information that can be exchanged between the TCP / IP stack 184 in the network software 183 ′ of the operating system 181 ′ in the host IHS 103 and the external security offload device 104 is encapsulated. Selection, or display of operations performed, encapsulated, decapsulated, decapsulated, etc. This metadata can contain important information, such as result codes for operations and tunnel protocol and SPI selection and display, where appropriate. This important information can also include selection and display of packet replay sequence numbers. The packet replay sequence number is state information that allows the external security offload device to operate in a stateless manner.

下記の表1は、ホストIHS103中のオペレーティング・システム181’のネットワーク・ソフトウェア183’のTCP/IPスタック184と、外部セキュリティ・オフロード・デバイス104とがやりとりし得る重要な情報(メタデータ)を含む、例示的なインバウンドまたはアウトバウンドIPオプション・ヘッダを示す。これらのフィールドは「オプション型」ipo_typ、および「オプション長さ」ipo_lenを含み、これらは各々1バイトの長さである。1バイト長の「流れ機能コード」ipo_secoff_functionは、#1−カプセル化解除する、#2−カプセル化解除される、#3−カプセル化する、または#4−カプセル化される、を含むことができる。1バイト長のipo_secoff_rcは、流れ#1または#4に対する「リターン・コード」を表す。「主要プロトコル」フィールドは1バイト長のipo_decoff_protocolとすることができる。流れ#2または#3に対し、ipo_decoff_protocolは、SPIに関連するプロトコルを表す。例えば、AHおよびESPの双方が使用可能なトンネルに対しては、AHもしくはESP、SPIを指定することができる。表1は、将来の使用のために3バイトのipo_secoff_rsvdフィールドを取っておく。4バイト長のフィールドipo_secoff_spiは、流れ#2に対してはオリジナルのインバウンド・パケット中のローカルSPIを、あるいは流れ#3中のアウトバウンド・パケットに対しては使用予定の遠隔SPIを特定する。4バイト長のipo_secoff_seqフィールドは、流れ#2に対するオリジナルのインバウンド・パケット中のシーケンス番号とすることができ、または、流れ#3のアウトバウンド・パケットに対しメタデータが指定するシーケンス番号とすることができる。AHヘッダおよびESPヘッダの両方は、AHおよびESPプロトコルの両方が使われている場合、流れ#3に対して提供されたipo_secoff_seqの値を使う必要がある。   Table 1 below shows important information (metadata) that can be exchanged between the TCP / IP stack 184 of the network software 183 ′ of the operating system 181 ′ in the host IHS 103 and the external security offload device 104. FIG. 4 illustrates an exemplary inbound or outbound IP options header including. These fields include an “option type” ipo_type and an “option length” ipo_len, each of which is 1 byte long. A 1-byte long “flow function code” ipo_secoff_function can include # 1-decapsulate, # 2-decapsulate, # 3-encapsulate, or # 4-encapsulate. . The 1-byte ipo_secoff_rc represents a “return code” for the flow # 1 or # 4. The “primary protocol” field may be ipo_decoff_protocol having a length of 1 byte. For flow # 2 or # 3, ipo_decoff_protocol represents the protocol associated with the SPI. For example, AH, ESP, or SPI can be specified for a tunnel that can be used by both AH and ESP. Table 1 reserves the 3-byte ipo_secoff_rsvd field for future use. The 4-byte long field ipo_secoff_spi specifies the local SPI in the original inbound packet for flow # 2 or the remote SPI that is scheduled for use for the outbound packet in flow # 3. The 4-byte long ipo_secoff_seq field can be the sequence number in the original inbound packet for flow # 2, or the sequence number specified by the metadata for the outbound packet of flow # 3. . Both the AH header and ESP header should use the value of ipo_secoff_seq provided for flow # 3 if both AH and ESP protocols are used.

Figure 2015511434
Figure 2015511434

図3および4は、ネットワーク・スイッチ、ルータ、ファイアウォールまたは侵入検出デバイスが、ホストIHS中のオペレーティング・システムのネットワーク・ソフトウェア中のTCP/IPスタック184に流れるデータ・トラフィックに対する、ゲートウェイまたはゲート・キーパとしての役割を果たすときに実行できる、「バンド内(in−band)」処理の実施形態を表すフロー・チャートである。「バンド内」処理は、外部セキュリティ・オフロード・デバイス104内で行われる。「バンド内」処理は、外部セキュリティ・オフロード・デバイス104が、パケットをTCP/IPスタック184に返送する必要なく、最終のネットワーク宛先に直接送信するために、パケットをカプセル化および暗号化することができ、着信したデータ・パケットをTCP/IPスタック184に返送する前に、外部セキュリティ・オフロード・デバイスによる即時の処理のために該パケットをカプセル化解除することができる。以下で説明する図5および6は、「バンド外(out−of−band)」処理の実施形態を示し、この処理では、全てのデータ・パケットが、暗号化/カプセル化またはカプセル化解除/暗号解読のために、TCP/IPスタック184から外部セキュリティ・オフロード・デバイス104に送られ、その後、最終処理のためにTCP/IPスタック184に返送される。「バンド外」処理は、外部セキュリティ・オフロード・デバイス104の外で行われる処理である。バンド外処理は、外部セキュリティ・オフロード・デバイスとホストIHS103との間で別の往来が必要となり得る。   FIGS. 3 and 4 show a network switch, router, firewall or intrusion detection device as a gateway or gate keeper for data traffic flowing through the TCP / IP stack 184 in the operating system network software in the host IHS. 6 is a flow chart representing an embodiment of an “in-band” process that can be performed when performing the role of “In-band” processing occurs within the external security offload device 104. “In-band” processing means that the external security offload device 104 encapsulates and encrypts the packet for direct transmission to the final network destination without having to send the packet back to the TCP / IP stack 184. Before the incoming data packet is sent back to the TCP / IP stack 184, it can be decapsulated for immediate processing by the external security offload device. FIGS. 5 and 6 described below show an embodiment of an “out-of-band” process in which all data packets are encrypted / encapsulated or decapsulated / encrypted. It is sent from the TCP / IP stack 184 to the external security offload device 104 for decryption and then returned to the TCP / IP stack 184 for final processing. The “out-of-band” processing is processing performed outside the external security offload device 104. Out-of-band processing may require another traffic between the external security offload device and the host IHS 103.

図3のフロー・チャートは、ステートレス外部セキュリティ・オフロード・デバイス104において、データ・セキュリティ・プロトコルをアウトバウンド・データ・パケットに適用する、本開示の方法の一実施形態を表す。アウトバウンド・データ・パケットとは、ネットワーク・ノード101のホストIHS103が他のネットワークに送信するデータ・パケットである。外部セキュリティ・オフロード・デバイス104は、ホストIHS103に代行してアウトバウンド・データ・パケットにデータ・セキュリティ・プロトコル・オペレーションを提供するのに加え、ファイアウォールもしくは侵入検出サービス(IDS)またはその両方のほか、データ・セキュリティ・プロトコル・オペレーションを提供するなど、他のネットワーキング機能を実施することができる。外部セキュリティ・オフロード・デバイス104は、アウトバウンド・データ・パケットにセキュリティ・オペレーションを施し、かかるデータ・パケットをさらなるセキュリティ処理のためホストIHS103に返送する必要なく、それらアウトバウンド・データ・パケットを宛先ノードに送信することによって、アウトバウンド・データ・パケットの「バンド内」処理を提供する。簡明化のため、図3のフロー・チャートでは、ステートレス外部セキュリティ・オフロード・デバイス104を「オフロード・デバイス」と称している。図3のフロー・チャート中の各ブロックは、一つの実施形態中のそれぞれのブロックの機能を実行している構造体を識別するため、「オフロード・デバイス」または「ホストIHS」などの記載を含む。   The flow chart of FIG. 3 represents one embodiment of the disclosed method for applying a data security protocol to outbound data packets at the stateless external security offload device 104. An outbound data packet is a data packet that the host IHS 103 of the network node 101 transmits to another network. In addition to providing data security protocol operations for outbound data packets on behalf of the host IHS 103, the external security offload device 104 can be a firewall or intrusion detection service (IDS) or both, Other networking functions can be implemented, such as providing data security protocol operations. The external security offload device 104 performs security operations on the outbound data packets and sends them to the destination node without having to send them back to the host IHS 103 for further security processing. Sending provides “in-band” processing of outbound data packets. For simplicity, the stateless external security offload device 104 is referred to as an “offload device” in the flow chart of FIG. Each block in the flow chart of FIG. 3 has a description such as “offload device” or “host IHS” to identify the structure that performs the function of each block in one embodiment. Including.

さらに詳しくは、プロセス・フローは開始ブロック205から始まる。ブロック210で、ホストIHS103中のアプリケーション182”が、ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’にデータ・パケットを送信する。判定ブロック215で、そのデータ・パケットのネットワーク送信がセキュリティ処理を必要としない場合、ブロック245で、ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、該データ・パケットをネットワーク経由で外部セキュリティ・オフロード・デバイス104に送信し、外部ネットワーク・インターフェース・コントローラ106を介して直接、最終宛先ネットワーク・ノードに送信して、プロセス・フローはブロック250で終了する。   More particularly, the process flow begins at start block 205. At block 210, the application 182 "in the host IHS 103 sends a data packet to the network software 183 'of the operating system 181' of the host IHS 103. At decision block 215, the network transmission of the data packet is a security process. If the network software 183 'in the operating system 181' of the host IHS 103 sends the data packet over the network to the external security offload device 104 at block 245, the external network Sending directly to the final destination network node via the interface controller 106, the process flow ends at block 250.

また一方、判定ブロック215で、オペレーティング・システム181’のネットワーク・ソフトウェア183’が、ネットワーク送信はデータ・セキュリティ・プロトコルの適用が必要であると判定した場合、ネットワーク・ソフトウェア183’は、ブロック220で、表1の流れ#3に従って、そのデータ・パケットにセキュリティ・メタデータおよび状態データを付けることができる。このようなメタデータはアウトバウンド・メタデータである。オペレーティング・システム181’のネットワーク・ソフトウェア183’は、ブロック225で、該メタデータとデータ・パケットとを、ネットワークセキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック230で、状態データを含め、データ・パケットおよび対応するメタデータを受信して読み出す。外部セキュリティ・オフロード・デバイス104は、ブロック235で、データ・パケットに対し、ファイアウォール・サービスもしくは侵入検出サービス(IDS)またはその両方などの任意の処理を行うことができ、ブロック240で、データ・パケットを暗号化およびカプセル化する。外部セキュリティ・オフロード・デバイス104は、ブロック245で、カプセル化・暗号化されたデータ・パケットを、外部ネットワーク・インターフェース・コントローラ106を介し、ネットワークを経由して直接、最終宛先ネットワーク・ノードに送信する。プロセス・フローはブロック250で終了する。   On the other hand, if, at decision block 215, the network software 183 'of the operating system 181' determines that the network transmission requires application of a data security protocol, the network software 183 ' According to the flow # 3 in Table 1, security metadata and status data can be attached to the data packet. Such metadata is outbound metadata. The network software 183 ′ of the operating system 181 ′ sends the metadata and data packet to the external security offload device 104 via the network secure data link 105 at block 225. The external security offload device 104 receives and reads the data packet and corresponding metadata, including status data, at block 230. The external security offload device 104 can perform any processing, such as a firewall service and / or intrusion detection service (IDS), on the data packet at block 235, and at block 240, the data Encrypt and encapsulate the packet. The external security offload device 104 sends the encapsulated and encrypted data packet at block 245 via the external network interface controller 106 directly over the network to the final destination network node. To do. The process flow ends at block 250.

図4のフロー・チャートは、ネットワークから外部セキュリティ・オフロード・デバイス104を介してインバウンド・データ・パケットを受信する、本開示の方法の一実施形態を表す。インバウンド・データ・パケットとは、ネットワーク・ノード101のホストIHS103が他のネットワーク・ノードから受信するデータ・パケットである。外部セキュリティ・オフロード・デバイス104はインバウンド・データ・パケットを受信し、かかるデータ・パケットをさらなるセキュリティ処理のためにホストIHS103に返送する必要なく、インバウンド・データ・パケットにセキュリティ・オペレーションを施すことによって、インバウンド・データ・パケットの「バンド内」処理を提供する。一実施形態において、外部セキュリティ・オフロード・デバイス104は、カプセル化解除・暗号解読されたデータ・パケットをホストIHS103に送信するが、ホストIHS103は、これらのデータ・パケットに対し他のセキュリティ・オペレーションを行う必要はない。それどころか、ホストIHS103中のアプリケーションは、ホストIHS103が外部セキュリティ・オフロード・デバイス104から受信したカプセル化解除・暗号解読されたデータ・パケットを直接使用することができる。   The flow chart of FIG. 4 represents one embodiment of the disclosed method for receiving inbound data packets from the network via the external security offload device 104. An inbound data packet is a data packet that the host IHS 103 of the network node 101 receives from another network node. The external security offload device 104 receives inbound data packets and performs security operations on the inbound data packets without having to send such data packets back to the host IHS 103 for further security processing. Provides “in-band” processing of inbound data packets. In one embodiment, the external security offload device 104 sends the decapsulated and decrypted data packets to the host IHS 103, which performs other security operations on these data packets. There is no need to do. Rather, applications in the host IHS 103 can directly use the decapsulated and decrypted data packets that the host IHS 103 received from the external security offload device 104.

さらに詳細には、プロセス・フローは開始ブロック305から始まる。外部セキュリティ・オフロード・デバイス104は、ブロック310で、外部ネットワーク・インターフェース・コントローラ106を介してネットワークからデータ・パケットを受信する。外部セキュリティ・オフロード・デバイス104は、判定ブロック320で、データ・パケットがセキュリティ処理を必要とするかどうかを判定するための検査を行う。データ・パケットがセキュリティ処理を必要とするかどうかを判定するために、外部セキュリティ・オフロード・デバイス104は、データ・パケット内のIPsecプロトコル・ヘッダをチェックするか、または、外部セキュリティ・オフロード・デバイス104がホストIHS103から受信した静的セキュリティ・ポリシおよびSA情報をチェックする。なお、SA状態情報は、ホストIHS103のネットワーク・ソフトウェア183’中に依然として存在していてもよい。外部セキュリティ・オフロード・デバイス104が、パケットはセキュリティ処理を必要としないと判定した場合、外部セキュリティ・オフロード・デバイス104は、ブロック345で、ファイアウォール・サービスもしくはIDSサービスまたはその両方を提供することなど任意の処理を実施することができ、ブロック350で、セキュア・データ・リンク105を介してホストIHS103にデータ・パケットを送信する。   More particularly, the process flow begins at start block 305. The external security offload device 104 receives data packets from the network via the external network interface controller 106 at block 310. The external security offload device 104 performs a test at decision block 320 to determine whether the data packet requires security processing. To determine whether the data packet requires security processing, the external security offload device 104 checks the IPsec protocol header in the data packet, or the external security offload The device 104 checks the static security policy and SA information received from the host IHS 103. Note that the SA state information may still exist in the network software 183 ′ of the host IHS 103. If the external security offload device 104 determines that the packet does not require security processing, the external security offload device 104 may provide a firewall service and / or IDS service at block 345. Any processing may be performed, such as sending a data packet to the host IHS 103 via the secure data link 105 at block 350.

また一方、パケットがセキュリティ処理を必要とする場合、外部セキュリティ・オフロード・デバイス104は、ブロック330で、パケットをカプセル化解除および暗号解読し、ブロック335で、ファイアウォールもしくはIDSまたはその両方などの任意の処理あるいはその他の任意の処理を実施する。外部セキュリティ・オフロード・デバイス104は、ブロック340で、表1の流れ#2に従って、状態データを含むインバウンド・メタデータを付加することができ、ブロック350で、セキュア・データ・リンク105を介してホストIHS103にデータ・パケットを送信する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック355で、外部セキュリティ・オフロード・デバイス104からデータ・パケットを受信し、ブロック360で、状態チェックを実施する。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック365で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182’に転送する。プロセス・フローはブロック370で終了する。   On the other hand, if the packet requires security processing, the external security offload device 104 decapsulates and decrypts the packet at block 330, and optionally at block 335, such as a firewall and / or IDS. This process or any other process is performed. The external security offload device 104 can add inbound metadata including state data at block 340 according to flow # 2 of Table 1 and at block 350 via the secure data link 105. A data packet is transmitted to the host IHS 103. The network software 183 ′ in the operating system 181 ′ of the host IHS 103 receives the data packet from the external security offload device 104 at block 355 and performs a status check at block 360. The network software 183 'in the operating system 181' processes the data packet at block 365 and forwards the data packet to the application 182 '. The process flow ends at block 370.

図5のフロー・チャートは、外部セキュリティ・オフロード・デバイス104において、ホストIHS103に代行して、アウトバウンド・データ・パケットにセキュリティを適用する、本開示の方法の別の実施形態を表す。この実施形態は、暗号化およびカプセル化などのセキュリティ・オペレーションを必要とする当該データ・パケットを取り扱うために、「バンド外」処理を用いる。かかるバンド外処理において、ステートレス外部セキュリティ・オフロード・デバイス104は、ステートレス外部セキュリティ・オフロード・デバイス104がセキュリティ処理のためホストIHS103から受信したデータ・パケットの、暗号化およびカプセル化などのセキュリティ・オペレーションを取り扱う。また一方、ステートレス外部セキュリティ・オフロード・デバイス104は、得られたカプセル化・暗号化されたデータ・パケットを、そのデータ・パケットの宛先への送信のために、ホストIHS103に返送する。また、外部セキュリティ・オフロード・デバイス104は、ファイアウォールまたはIDSの提供など、他のネットワーキング機能を実施することができる。   The flow chart of FIG. 5 represents another embodiment of the disclosed method of applying security to outbound data packets on behalf of the host IHS 103 at the external security offload device 104. This embodiment uses “out-of-band” processing to handle such data packets that require security operations such as encryption and encapsulation. In such out-of-band processing, the stateless external security offload device 104 uses a security packet such as encryption and encapsulation of the data packet received from the host IHS 103 for security processing by the stateless external security offload device 104. Handle operations. On the other hand, the stateless external security offload device 104 returns the obtained encapsulated / encrypted data packet to the host IHS 103 for transmission to the destination of the data packet. The external security offload device 104 can also perform other networking functions, such as providing a firewall or IDS.

さらに詳しくは、プロセス・フローは開始ブロック405から始まる。ホストIHS103中のアプリケーション182”は、ブロック410で、ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’にデータ・パケットを送信する。ネットワーク・ソフトウェア183’は、判定ブロック415で、データ・パケットのネットワーク送信が、該データ・パケットへのセキュリティ・プロトコルの適用を必要とするかどうかを判定するための検査を行う。ネットワーク・ソフトウェア183’は、セキュリティ・ポリシを参照してこの判定を行う。アプリケーション182”は、ネットワーク・ソフトウェア183’のTCP/IPスタック184に、セキュリティ・プロトコルの該データ・パケットへの適用に対する判定を開始するよう命令することができる。ネットワーク・ソフトウェア183’が、データ・パケットはセキュリティ・プロトコルの適用を必要としないと判定した場合、ホストIHS103は、ブロック445で、パケットを、内部ネットワーク・インターフェース・コントローラ107を介して直接、最終宛先のネットワーク・ノードに伝送する。プロセス・フローはブロック450で終了する。   More particularly, the process flow begins at start block 405. The application 182 ″ in the host IHS 103 sends the data packet to the network software 183 ′ of the operating system 181 ′ of the host IHS 103 at block 410. The network software 183 ′ receives the data packet at decision block 415. The network software 183 ′ makes this determination with reference to the security policy to determine whether the network transmission of the network requires application of a security protocol to the data packet. The application 182 ″ can instruct the TCP / IP stack 184 of the network software 183 ′ to initiate a decision on the application of the security protocol to the data packet. If the network software 183 ′ determines that the data packet does not require application of a security protocol, the host IHS 103, at block 445, directs the packet directly to the final destination via the internal network interface controller 107. To other network nodes. The process flow ends at block 450.

また一方、ネットワーク送信が、データ・パケットへのセキュリティの適用を必要とする場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック420で、表1の流れ#3に従って、メタデータおよび状態データを付けることができる。このメタデータはアウトバウンド・メタデータである。ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’は、ブロック425で、メタデータおよびデータ・パケットを、ネットワーク・セキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック430で、データ・パケットおよびメタデータを受信して読み出す。また、外部セキュリティ・オフロード・デバイス104は、ブロック435で、ファイアウォール処理もしくはIDSまたはその両方など、任意の処理を行うことが可能である。外部セキュリティ・オフロード・デバイス104は、ブロック440で、データ・パケットをカプセル化および暗号化して、暗号化・カプセル化されたデータ・パケットを、セキュア・データ・リンク105経由で、オペレーティング・システム181’中のネットワーク・ソフトウェア183’に返送する。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック443で、カプセル化されたパケットを受信する。ネットワーク・ソフトウェア183’は、ブロック445で、カプセル化されたデータ・パケットを、内部ネットワーク・インターフェース・コントローラ107を介し、通信ネットワーク102経由で最終宛先ネットワーク・ノードに送信する。プロセス・フローはブロック450で終了する。   On the other hand, if the network transmission requires security to be applied to the data packet, the network software 183 ′ in the operating system 181 ′, in block 420, in accordance with the flow # 3 of Table 1, the metadata and You can attach status data. This metadata is outbound metadata. The network software 183 ′ of the operating system 181 ′ of the host IHS 103 sends the metadata and data packets to the external security offload device 104 via the network secure data link 105 at block 425. The external security offload device 104 receives and reads the data packet and metadata at block 430. Also, the external security offload device 104 can perform any processing, such as firewall processing and / or IDS, at block 435. The external security offload device 104 encapsulates and encrypts the data packet at block 440 and sends the encrypted and encapsulated data packet via the secure data link 105 to the operating system 181. Return to 'Network software 183'. The network software 183 'in the operating system 181' receives the encapsulated packet at block 443. The network software 183 ′ sends the encapsulated data packet to the final destination network node via the communication network 102 via the internal network interface controller 107 at block 445. The process flow ends at block 450.

図6のフロー・チャートは、内部ネットワーク・インターフェース・コントローラ107を介してネットワークからデータ・パケットを受信する、本開示の方法の別の実施形態を表す。この実施形態は、カプセル化解除および暗号解読などのセキュリティ・オペレーションを必要とするインバウンド・データ・パケットを取り扱うため、「バンド外」処理を用いる。インバウンド・データ・パケットは、ホストIHS103が他のネットワーク・ノードから受信するデータ・パケットである。バンド外処理において、ステートレス外部セキュリティ・オフロード・デバイス104は、ステートレス外部セキュリティ・オフロード・デバイス104が、セキュリティ処理のためホストIHS103から受信したデータ・パケットの、暗号解読およびカプセル化解除などのセキュリティ・オペレーションを取り扱う。また一方、ステートレス外部セキュリティ・オフロード・デバイス104は、得られたカプセル化解除・暗号解読されたデータ・パケットを、当該データ・パケットの宛先アプリケーション182’に転送するためホストIHS103に返送する。   The flow chart of FIG. 6 represents another embodiment of the disclosed method of receiving data packets from the network via the internal network interface controller 107. This embodiment uses “out-of-band” processing to handle inbound data packets that require security operations such as decapsulation and decryption. Inbound data packets are data packets that the host IHS 103 receives from other network nodes. In out-of-band processing, the stateless external security offload device 104 provides security such as decryption and decapsulation of the data packet received by the stateless external security offload device 104 from the host IHS 103 for security processing. -Handle operations. Meanwhile, the stateless external security offload device 104 returns the obtained decapsulated and decrypted data packet to the host IHS 103 for transfer to the destination application 182 'of the data packet.

さらに詳しくは、プロセス・フローは開始ブロック505から始まる。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック510で、内部ネットワーク・インターフェース・コントローラ107からデータ・パケットを受信する。この受信されたデータ・パケットは、ネットワーク・ノード101のホストIHS103が別のネットワーク・ノードから受信したインバウンド・データ・パケットである。ネットワーク・ソフトウェア183’は、判定ブロック520で、データ・パケットがセキュリティ処理を必要とするかどうかを判定するための検査を行う。データ・パケットがセキュリティ処理を必要としない場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック565で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182”に転送する。プロセス・フローはブロック570で終了する。   More particularly, the process flow begins at start block 505. Network software 183 ′ in operating system 181 ′ receives data packets from internal network interface controller 107 at block 510. This received data packet is an inbound data packet received from another network node by the host IHS 103 of the network node 101. The network software 183 'performs a test at decision block 520 to determine whether the data packet requires security processing. If the data packet does not require security processing, the network software 183 ′ in the operating system 181 ′ processes the data packet at block 565 and forwards the data packet to the application 182 ″. The flow ends at block 570.

また一方、データ・パケットがセキュリティ処理を必要とする場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック525で、データ・パケットを、セキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック530でパケットを受信し、ブロック535で、そのパケットをカプセル化解除および暗号解読する。外部セキュリティ・オフロード・デバイス104は、ブロック540で、任意に、ファイアウォール処理もしくはIDSまたはその両方、あるいはその他のサービスを実施することが可能である。外部セキュリティ・オフロード・デバイス104は、ブロック545で、表1の流れ#3に従って、状態データを含むセキュリティ・メタデータをパケットに付加することができる。外部セキュリティ・オフロード・デバイス104は、ブロック550で、カプセル化解除・暗号解読されたデータ・パケットを、セキュア・データ・リンク105を介して、オペレーティング・システム181’中のネットワーク・ソフトウェア183’に返送する。オペレーティング・システム181中’のネットワーク・ソフトウェア183’は、ブロック555で、カプセル化解除・暗号解読されたデータ・パケットを外部セキュリティ・オフロード・デバイス104から受信し、ブロック560で状態チェックを実施する。ホストIHS103中のネットワーク・ソフトウェア183’は、次いで、ブロック565で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182”に転送する。ネットワーク・ソフトウェア183’によるデータ・パケットのこの処理は、アプリケーション182”にデータ・パケットを提示する前の、プロトコルおよび整合性のチェックを含み得る。プロセス・フローはブロック570で終了する。   On the other hand, if the data packet requires security processing, the network software 183 ′ in the operating system 181 ′ removes the data packet via the secure data link 105 at block 525. Transmit to load device 104. The external security offload device 104 receives the packet at block 530 and decapsulates and decrypts the packet at block 535. External security offload device 104 may optionally perform firewall processing and / or IDS or other services at block 540. The external security offload device 104 may add security metadata including state data to the packet at block 545 according to flow # 3 of Table 1. The external security offload device 104 sends the decapsulated and decrypted data packet to the network software 183 ′ in the operating system 181 ′ via the secure data link 105 at block 550. Return it. 'Network software 183' in operating system 181 receives the decapsulated and decrypted data packet from external security offload device 104 at block 555 and performs a status check at block 560. . The network software 183 'in the host IHS 103 then processes the data packet and forwards the data packet to the application 182 "at block 565. This processing of the data packet by the network software 183' It may include a protocol and integrity check prior to presenting the data packet to application 182 ". The process flow ends at block 570.

図4のインバウンドのバンド内の実施形態では、外部セキュリティ・オフロード・デバイス104は、該外部セキュリティ・オフロード・デバイス104があるセキュリティ・パケットがセキュリティ処理を必要とするかどうかを単独で判定できるように、静的SA情報のコピーを格納する。全4つの実施形態、すなわち、図3のアウトバウンドのバンド内の実施形態、図4のインバウンドのバンド内の実施形態、図5のアウトバウンドのバンド外の実施形態、および図6のインバウンドのバンド外の実施形態において、外部セキュリティ・オフロード・デバイス104は、SA情報を格納することが可能である。但し、図4のインバウンドのバンド内の実施形態では、外部セキュリティ・オフロード・デバイス104があるセキュリティ・パケットがセキュリティ処理を必要とするかどうかを単独で判定できるようするためには、該セキュリティ・オフロード・デバイス104が、不変のSA情報すなわち静的SA情報を格納することが必要となり得る。   In the in-band embodiment of FIG. 4, the external security offload device 104 can independently determine whether a security packet with the external security offload device 104 requires security processing. Thus, a copy of the static SA information is stored. All four embodiments: the in-band embodiment of FIG. 3, the in-band embodiment of FIG. 4, the out-of-band embodiment of FIG. 5, and the in-band of FIG. In an embodiment, the external security offload device 104 can store SA information. However, in the in-band embodiment of FIG. 4, in order to be able to determine independently whether a security packet with an external security offload device 104 requires security processing, the security It may be necessary for the offload device 104 to store immutable SA information, ie static SA information.

本明細書で使用する用語は、単に特定の実施形態を説明する目的のためのものであり、本発明を限定することは意図されていない。本明細書で用いられる、単数形「ある(“a”、“an”)」、および「該(“the”)」は、文脈上明確に別途に示されていなければ、複数形も同じように含むことが意図されている。さらに、当然のことながら本明細書で用いられる「含む(“comprise”)」もしくは「含んでいる(“comprising”)」またはその両方は、述べられた機能、完全体(integer)、ステップ、ブロック、オペレーション、エレメント、もしくはコンポーネント、またはこれらの組み合わせの存在を特定するが、一つ以上の他の機能、完全体(integer)、ステップ、ブロック、オペレーション、エレメント、コンポーネント、もしくはこれらの群、または上記の組み合わせの存在または追加を排除するものではない。   The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. As used herein, the singular forms “a”, “an”, and “the” unless the context clearly indicates otherwise. Is intended to be included. Further, it is to be understood that “comprise” and / or “comprising”, or both, are used herein to describe any function, integer, step, block, or function described. , Operation, element, or component, or combination thereof, but one or more other functions, integers, steps, blocks, operations, elements, components, or groups thereof, or the above It does not exclude the presence or addition of combinations.

添付の請求項中のミーンズ・プラス・ファンクションまたはステップ・プラス・ファンクションの要素全ての、対応する構造、材料、動作および均等物は、具体的に請求された他の請求要素と組み合わせてその機能を遂行するための、一切の構造、材料または動作を包含することが意図されている。本発明の記述は、例示および説明の目的で提示されたもので、網羅的であることも、または本発明を開示した形態に限定することも意図されていない。当業者には、本発明の範囲および趣旨から逸脱することのない多くの修改および変形が明白であろう。例えば、当業者は、本明細書に記載された装置および方法のロジック・センス(ロジック高(1)、ロジック低(0))を逆にしても等価な結果が得られることはよく理解していよう。本実施形態は、本発明の原理および実際的な応用を最善に説明し、他の当業者が、意図する特定の用途に適したさまざまな修改を加えたさまざまな実施形態に関して、本発明を理解できるように選択し説明されたものである。   The corresponding structure, materials, operations and equivalents of all means-plus-function or step-plus-function elements in the appended claims may be combined with other specifically claimed elements to perform their functions. It is intended to encompass any structure, material, or operation to accomplish. The description of the present invention has been presented for purposes of illustration and description, and is not intended to be exhaustive or limited to the invention in the form disclosed. Many modifications and variations will be apparent to those skilled in the art without departing from the scope and spirit of the invention. For example, those skilled in the art are well aware that reversing the logic sense (logic high (1), logic low (0)) of the devices and methods described herein will provide equivalent results. Like. This embodiment best describes the principles and practical applications of the present invention, and other persons skilled in the art will understand the present invention in terms of various embodiments with various modifications suitable for the specific intended use. It has been selected and explained as possible.

Claims (32)

ホスト情報処理システム(IHS)によって、データ・パケットに関連するセキュリティ・メタデータを格納するステップと、
ホストIHSによって、データ・パケットがセキュリティ処理を必要とするデータ・パケットかどうかを判定するステップと、
前記ホストIHSが、前記データ・パケットはセキュリティ処理を必要としないと判定した場合、前記ホストIHSによって、前記データ・パケットを内部ネットワーク・インターフェース・コントローラに提供するステップであって、前記内部ネットワーク・インターフェース・コントローラは、前記データ・パケットを、前記ホストIHS以外のIHSへの通信のため、通信ネットワークに送信する、前記提供するステップと、
前記ホストIHSが、前記データ・パケットはセキュリティ処理を必要とすると判定した場合、前記ホストIHSによって、前記データ・パケットおよび関連するセキュリティ・メタデータを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するステップであって、前記ステートレス外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記提供するステップと、
前記オフロードされたデータ・パケットを、前記ステートレス外部セキュリティ・オフロード・デバイスによって暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するステップと、
前記カプセル化・暗号化されたデータ・パケットを、前記ステートレス外部セキュリティ・オフロード・デバイスによって、さらなる処理のため、前記セキュア・データ・リンクを介して前記ホストIHSに返送するステップと、
前記カプセル化・暗号化されたデータ・パケットを、前記ホストIHSの前記内部ネットワーク・インターフェース・コントローラによって、前記ホストIHS以外のIHSへの通信のため通信ネットワークに送信するステップと、
を含む方法。 Storing security metadata associated with the data packet by a host information processing system (IHS);
Determining by the host IHS whether the data packet is a data packet requiring security processing;
If the host IHS determines that the data packet does not require security processing, the host IHS provides the data packet to an internal network interface controller, the internal network interface The controller sends the data packet to a communication network for communication to an IHS other than the host IHS, the providing step;
If the host IHS determines that the data packet requires security processing, the host IHS sends the data packet and associated security metadata over a secure data link to a stateless external security Offloading to an offload device, thus providing an offloaded data packet, wherein the stateless external security offload device is external to the host IHS;
Encrypting and encapsulating the offloaded data packet by the stateless external security offload device, thereby providing an encapsulated and encrypted data packet;
Sending the encapsulated and encrypted data packet back to the host IHS via the secure data link for further processing by the stateless external security offload device;
Transmitting the encapsulated / encrypted data packet to a communication network for communication to an IHS other than the host IHS by the internal network interface controller of the host IHS;
Including methods. 外部ネットワーク・インターフェース・コントローラが前記ステートレス外部セキュリティ・オフロード・デバイス内に組み込まれる、請求項1に記載の方法。   The method of claim 1, wherein an external network interface controller is incorporated within the stateless external security offload device. 前記セキュリティ・メタデータが状態データを含む、請求項1または請求項2に記載の方法。   The method of claim 1 or claim 2, wherein the security metadata includes state data. 前記データ・パケットの前記暗号化およびカプセル化は、前記ホストIHSが前記ステートレス外部セキュリティ・オフロード・デバイスに送信する前記関連するセキュリティ・メタデータの命令通りに、前記ステートレス外部セキュリティ・オフロード・デバイスによって実施される、請求項1〜3のいずれかに記載の方法。   The encryption and encapsulation of the data packet is performed according to instructions in the associated security metadata that the host IHS sends to the stateless external security offload device. The method according to claim 1, wherein the method is carried out by: 内部ネットワーク・インターフェース・コントローラを含むホスト情報処理システム(IHS)と、
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
を含む、ネットワーク・ノードであって、
前記ホストIHSは、データ・パケットに関連するセキュリティ・メタデータを格納するよう構成され、前記ホストIHSは、前記データ・パケットおよび関連するセキュリティ・メタデータを、前記セキュア・データ・リンクを介して前記ステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するようさらに構成されており、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
前記オフロードされたデータ・パケットおよび関連するセキュリティ・メタデータを受信し、
前記オフロードされたデータ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供し、
前記カプセル化・暗号化されたデータ・パケットを、さらなる処理のため、前記ホストIHSに返送する、
よう構成されており、
前記ホストIHSが、
前記カプセル化・暗号化されたデータ・パケットを、前記ホストIHS以外のIHSへの通信のため、前記ホストIHSの前記内部ネットワーク・インターフェース・コントローラを介して通信ネットワークに送信する、
ようさらに構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
A network node comprising:
The host IHS is configured to store security metadata associated with a data packet, and the host IHS transmits the data packet and associated security metadata over the secure data link. Further configured to offload to a stateless external security offload device, thus providing an offloaded data packet;
The stateless external security offload device is:
Receiving the offloaded data packet and associated security metadata;
Encrypting and encapsulating said offloaded data packet, thus providing an encapsulated and encrypted data packet;
Sending the encapsulated / encrypted data packet back to the host IHS for further processing;
It is configured as
The host IHS is
Transmitting the encapsulated / encrypted data packet to a communication network via the internal network interface controller of the host IHS for communication to an IHS other than the host IHS;
As further configured,
Network node. 前記セキュリティ・メタデータが状態データを含む、請求項5に記載のネットワーク・ノード。   The network node of claim 5, wherein the security metadata includes state data. 前記データ・パケットの前記暗号化およびカプセル化は、前記ステートレス外部セキュリティ・オフロード・デバイスが前記ホストIHSから受信する前記関連するセキュリティ・メタデータの命令通りに、前記ステートレス外部セキュリティ・オフロード・デバイスによって実施される、請求項5または6に記載のネットワーク・ノード。   The encryption and encapsulation of the data packet is performed by the stateless external security offload device as directed by the associated security metadata that the stateless external security offload device receives from the host IHS. The network node according to claim 5 or 6, implemented by: ホスト情報処理システム(IHS)の内部にある内部ネットワーク・インターフェース・コントローラによって、通信ネットワークからデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するステップと、
前記ホストIHSによって、前記受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するステップと、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、前記受信されたデータ・パケットを、前記ホストIHSによって、処理のため前記ホストIHS中のアプリケーションに転送するステップと、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、前記受信されたデータ・パケットを、前記ホストIHSによって、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードするステップであって、前記ステートレス外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記オフロードするステップと、
前記受信されたデータ・パケットを、前記ステートレス外部セキュリティ・オフロード・デバイスによってカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するステップと、
前記カプセル化解除・暗号解読されたデータ・パケットを、前記ホストIHS中の前記アプリケーションによるさらなる処理のため、前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記セキュア・データ・リンクを介して前記ホストIHSに返送するステップと、
を含む方法。 Receiving a data packet from a communication network by an internal network interface controller internal to a host information processing system (IHS) and thus providing the received data packet;
Determining by the host IHS whether the received data packet is an encapsulated / encrypted data packet requiring security processing;
If the host IHS determines that the received data packet is not an encapsulated / encrypted data packet that requires security processing, the host IHS processes the received data packet. Transferring to an application in the host IHS for:
If the host IHS determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the received data packet is transmitted by the host IHS. Offloading to a stateless external security offload device over a secure data link, wherein the stateless external security offload device is external to the host IHS; and
Decapsulating and decrypting the received data packet by the stateless external security offload device, thereby providing a decapsulated and decrypted data packet;
The unencapsulated and decrypted data packet is sent by the stateless external security offload device via the secure data link for further processing by the application in the host IHS. Step back to
Including methods. 前記ホストIHS、セキュア・データ・リンク、およびステートレス外部セキュリティ・オフロード・デバイスを配備し、ネットワーク・ノードを形成するステップをさらに含む、請求項1または請求項8に記載の方法。   9. The method of claim 1 or claim 8, further comprising deploying the host IHS, secure data link, and stateless external security offload device to form a network node. 前記ステートレス外部セキュリティ・オフロード・デバイスがIPsecプロトコルを用いる、請求項1または請求項8に記載の方法。   9. The method of claim 1 or claim 8, wherein the stateless external security offload device uses an IPsec protocol. 前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記カプセル化解除・暗号解読されたデータ・パケットにセキュリティ・メタデータを付加するステップをさらに含む、請求項8に記載の方法。   9. The method of claim 8, further comprising adding security metadata to the decapsulated and decrypted data packet by the stateless external security offload device. 前記カプセル化解除・暗号解読されたデータ・パケットに対し、前記ホストIHSによって、状態チェックを実施するステップをさらに含む、請求項8に記載の方法。   9. The method of claim 8, further comprising performing a status check on the decapsulated and decrypted data packet by the host IHS. 内部ネットワーク・インターフェース・コントローラを含むホスト情報処理システム(IHS)と、
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
を含むネットワーク・ノードであって、
前記ホストIHSは、
通信ネットワークから、前記内部ネットワーク・インターフェース・コントローラを介してデータ・パケットを受信し、しかして受信されたデータ・パケットを提供し、
前記受信されたデータ・パケットがセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定し、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、前記受信されたデータ・パケットを、処理のため前記ホストIHS中のアプリケーションに転送し、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、前記受信されたデータ・パケットを、前記セキュア・データ・リンクを介して前記ステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供する、
よう構成されており、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
前記オフロードされたデータ・パケットをカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供し、
前記カプセル化解除・暗号解読されたデータ・パケットを、前記ホストIHS中の前記アプリケーションによるさらなる処理のため、前記セキュア・データ・リンクを介して前記ホストIHSに返送する、
よう構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
A network node containing
The host IHS is
Receiving a data packet from a communication network via the internal network interface controller, thus providing the received data packet;
Determining whether the received data packet is an encapsulated / encrypted data packet requiring security processing;
If the host IHS determines that the received data packet is not an encapsulated / encrypted data packet that requires security processing, the received data packet is sent to the host IHS for processing. Forward to the application inside
If the host IHS determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the received data packet is designated as the secure data packet. Offloading over the link to the stateless external security offload device, thus providing offloaded data packets;
It is configured as
The stateless external security offload device is:
Decapsulating and decrypting said offloaded data packet, thus providing an unencapsulated and decrypted data packet;
Sending the decapsulated and decrypted data packet back to the host IHS via the secure data link for further processing by the application in the host IHS;
Configured as
Network node. 前記ステートレス外部セキュリティ・オフロード・デバイスがIPsecプロトコルを用いる、請求項5または請求項13に記載のネットワーク・ノード。   14. A network node according to claim 5 or claim 13, wherein the stateless external security offload device uses the IPsec protocol. 前記ステートレス外部セキュリティ・オフロード・デバイスが、前記カプセル化解除・暗号解読されたデータ・パケットにセキュリティ・メタデータを付加するようさらに構成される、請求項13に記載のネットワーク・ノード。   The network node of claim 13, wherein the stateless external security offload device is further configured to append security metadata to the decapsulated and decrypted data packet. 前記ホストIHSが、前記カプセル化解除・暗号解読されたデータ・パケットに対し、状態チェックを実施するようさらに構成される、請求項13に記載のネットワーク・ノード。   The network node of claim 13, wherein the host IHS is further configured to perform a status check on the decapsulated and decrypted data packet. 前記ステートレス外部セキュリティ・オフロード・デバイスが、ファイアウォール・サービスおよび侵入検出サービスのうちの少なくとも一つを提供するようさらに構成される、請求項13に記載のネットワーク・ノード。   The network node according to claim 13, wherein the stateless external security offload device is further configured to provide at least one of a firewall service and an intrusion detection service. ホスト情報処理システム(IHS)によって、データ・パケットに関係するセキュリティ・メタデータを格納するステップと、
前記ホストIHSによって、前記データ・パケットおよびセキュリティ・メタデータを、セキュア・データ・リンクを介して、前記ホストIHSの外部にあるステートレス外部セキュリティ・オフロード・デバイスにオフロードするステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記データ・パケットおよびセキュリティ・メタデータを受信するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記データ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記カプセル化・暗号化されたデータ・パケットを外部ネットワーク・インターフェース・コントローラに送信するステップと、
前記外部ネットワーク・インターフェース・コントローラによって、前記カプセル化・暗号化されたデータ・パケットを、前記ホストIHS以外のIHSとの通信のため通信ネットワークに送信するステップと、
を含む方法。 Storing security metadata related to data packets by a host information processing system (IHS);
Offloading the data packet and security metadata by the host IHS via a secure data link to a stateless external security offload device external to the host IHS;
Receiving the data packet and security metadata by the stateless external security offload device;
Encrypting and encapsulating the data packet by the stateless external security offload device, thereby providing an encapsulated and encrypted data packet;
Sending the encapsulated and encrypted data packet by the stateless external security offload device to an external network interface controller;
Transmitting the encapsulated / encrypted data packet by the external network interface controller to a communication network for communication with an IHS other than the host IHS;
Including methods. 前記セキュリティ・メタデータが状態データを含む、請求項18に記載の方法。   The method of claim 18, wherein the security metadata includes state data. 前記データ・パケットの前記暗号化およびカプセル化は、前記ステートレス外部セキュリティ・オフロード・デバイスが前記ホストIHSから受信する前記セキュリティ・メタデータの命令通りに、前記ステートレス外部セキュリティ・オフロード・デバイスによって実施される、請求項18に記載の方法。   The encryption and encapsulation of the data packet is performed by the stateless external security offload device as directed by the security metadata received by the stateless external security offload device from the host IHS. 19. The method of claim 18, wherein: 内部ネットワーク・インターフェース・コントローラを含むホスト情報処理システム(IHS)と、
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
前記ステートレス外部セキュリティ・オフロード・デバイスに連結された外部ネットワーク・インターフェース・コントローラであって、前記外部ネットワーク・インターフェース・コントローラは前記ホストIHSの外部にある、前記コントローラと、
を含むネットワーク・ノードであって、
前記ホストIHSは、データ・パケットに関係するセキュリティ・メタデータを格納し、前記データ・パケットおよびセキュリティ・メタデータを、前記セキュア・データ・リンクを介して前記ステートレス外部セキュリティ・オフロード・デバイスにオフロードするよう構成されており、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
前記データ・パケットおよびセキュリティ・メタデータを受信し、
前記データ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供し、
前記カプセル化・暗号化されたデータ・パケットを前記外部ネットワーク・インターフェース・コントローラに送信する、
よう構成されており、
前記外部ネットワーク・インターフェース・コントローラは、前記ホストIHS以外のIHSとの通信のため、前記カプセル化されたデータ・パケットを通信ネットワークに送信するよう構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
An external network interface controller coupled to the stateless external security offload device, the external network interface controller being external to the host IHS; and
A network node containing
The host IHS stores security metadata related to data packets and off the data packets and security metadata to the stateless external security offload device via the secure data link. Configured to load,
The stateless external security offload device is:
Receiving the data packet and security metadata;
Encrypting and encapsulating said data packet, thus providing an encapsulated and encrypted data packet;
Sending the encapsulated / encrypted data packet to the external network interface controller;
It is configured as
The external network interface controller is configured to transmit the encapsulated data packet to a communication network for communication with an IHS other than the host IHS;
Network node. 前記セキュリティ・メタデータが状態データを含む、請求項21に記載のネットワーク・ノード。   The network node according to claim 21, wherein the security metadata includes state data. 前記データ・パケットの前記暗号化およびカプセル化は、前記ステートレス外部セキュリティ・オフロード・デバイスが前記ホストIHSから受信する前記セキュリティ・メタデータの命令通りに、前記ステートレス外部セキュリティ・オフロード・デバイスによって実施される、請求項21に記載のネットワーク・ノード。   The encryption and encapsulation of the data packet is performed by the stateless external security offload device as directed by the security metadata received by the stateless external security offload device from the host IHS. The network node according to claim 21, wherein: ホスト情報処理システム(IHS)の外部にある外部ネットワーク・インターフェース・コントローラによって、通信ネットワークからデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するステップと、
前記受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを、前記ホストIHSの外部にあるステートレス外部セキュリティ・オフロード・デバイスによって判定するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスが、前記受信されたデータ・パケットはセキュリティ処理を必要としないデータ・パケットであると判定した場合、前記受信されたデータ・パケットをそのまま、前記ステートレス外部セキュリティ・オフロード・デバイスによって前記ホストIHSに送信するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスが、前記受信されたデータ・パケットは、セキュリティ処理を必要とする、カプセル化・暗号化されたデータ・パケットであると判定した場合、前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記受信されたデータ・パケットをカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記カプセル化解除・暗号解読されたデータ・パケットを、セキュア・データ・リンクを介して前記ホストIHSに送信するステップと、
を含む方法。 Receiving a data packet from a communication network by an external network interface controller external to a host information processing system (IHS), and providing the received data packet;
Determining whether the received data packet is an encapsulated / encrypted data packet requiring security processing by a stateless external security offload device external to the host IHS;
If the stateless external security offload device determines that the received data packet is a data packet that does not require security processing, the stateless external security offload device keeps the received data packet as it is. Transmitting to the host IHS by an offload device;
If the stateless external security offload device determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the stateless external security offload device Decapsulating and decrypting the received data packet by a load device, thereby providing an unencapsulated and decrypted data packet;
Sending the decapsulated and decrypted data packet by the stateless external security offload device to the host IHS over a secure data link;
Including methods. 前記ホストIHS、セキュア・データ・リンク、ステートレス外部セキュリティ・オフロード・デバイス、および外部ネットワーク・インターフェース・コントローラを配備し、ネットワーク・ノードを形成するステップをさらに含む、請求項18または請求項24に記載の方法。   25. The method of claim 18 or 24, further comprising deploying the host IHS, secure data link, stateless external security offload device, and external network interface controller to form a network node. the method of. 前記外部ネットワーク・インターフェース・コントローラが、前記ステートレス外部セキュリティ・オフロード・デバイス内に組み込まれる、請求項18または請求項24に記載の方法。   25. The method of claim 18 or claim 24, wherein the external network interface controller is incorporated within the stateless external security offload device. 前記ステートレス外部セキュリティ・オフロード・デバイスがIPsecプロトコルを用いる、請求項18または請求項24に記載の方法。   25. The method of claim 18 or claim 24, wherein the stateless external security offload device uses an IPsec protocol. 前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記データ・パケットにセキュリティ・メタデータを付加するステップをさらに含む、請求項24に記載の方法。   25. The method of claim 24, further comprising adding security metadata to the data packet by the stateless external security offload device. 内部ネットワーク・インターフェース・コントローラを含むホスト情報処理システム(IHS)と、
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
前記ステートレス外部セキュリティ・オフロード・デバイスに連結された外部ネットワーク・インターフェース・コントローラであって、前記外部ネットワーク・インターフェース・コントローラは前記ホストIHSの外部にある、前記コントローラと、
を含むネットワーク・ノードであって、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
通信ネットワークからカプセル化・暗号化されたデータ・パケットを受信し、
前記カプセル化・暗号化されたデータ・パケットを、カプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供し、
前記カプセル化解除・暗号解読されたデータ・パケットを前記ホストIHSに送信する、
よう構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
An external network interface controller coupled to the stateless external security offload device, the external network interface controller being external to the host IHS; and
A network node containing
The stateless external security offload device is:
Receives encapsulated / encrypted data packets from the communication network,
Decapsulating and decrypting the encapsulated / encrypted data packet, thereby providing an unencapsulated / decrypted data packet;
Sending the decapsulated and decrypted data packet to the host IHS;
Configured as
Network node. 前記外部ネットワーク・インターフェース・コントローラが、前記ステートレス外部セキュリティ・オフロード・デバイス内に組み込まれる、請求項21または請求項29に記載のネットワーク・ノード。   30. A network node according to claim 21 or claim 29, wherein the external network interface controller is incorporated in the stateless external security offload device. 前記ステートレス外部セキュリティ・オフロード・デバイスがIPsecプロトコルを用いる、請求項21または請求項29に記載のネットワーク・ノード。   30. A network node according to claim 21 or claim 29, wherein the stateless external security offload device uses the IPsec protocol. 前記ステートレス外部セキュリティ・オフロード・デバイが、前記データ・パケットにセキュリティ・メタデータを付加する、請求項21または請求項29に記載のネットワーク・ノード。   30. A network node according to claim 21 or claim 29, wherein the stateless external security offload device adds security metadata to the data packet.
JP2014553855A 2012-02-21 2013-02-08 Network node with network-attached stateless security offload device Active JP5746446B2 (en)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US13/400,575 2012-02-21
US13/400,575 US20130219167A1 (en) 2012-02-21 2012-02-21 Network node with network-attached stateless security offload device employing in-band processing
US13/400,577 US8918634B2 (en) 2012-02-21 2012-02-21 Network node with network-attached stateless security offload device employing out-of-band processing
US13/400,577 2012-02-21
PCT/IB2013/051061 WO2013124758A1 (en) 2012-02-21 2013-02-08 Network node with network-attached stateless security offload device

Publications (2)

Publication Number Publication Date
JP2015511434A true JP2015511434A (en) 2015-04-16
JP5746446B2 JP5746446B2 (en) 2015-07-08

Family

ID=49005080

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014553855A Active JP5746446B2 (en) 2012-02-21 2013-02-08 Network node with network-attached stateless security offload device

Country Status (5)

Country Link
JP (1) JP5746446B2 (en)
CN (1) CN104137508B (en)
DE (1) DE112013000649B4 (en)
GB (1) GB2512807B (en)
WO (1) WO2013124758A1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018525918A (en) * 2015-08-05 2018-09-06 テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド Method, apparatus and system for processing order information
JP2018157411A (en) * 2017-03-17 2018-10-04 株式会社東芝 Information processor
JP2019511149A (en) * 2016-02-12 2019-04-18 ジェイピーユー.アイオー リミテッドJpu.Io Ltd Mobile Security Offloader
JP2019519990A (en) * 2016-12-23 2019-07-11 深▲せん▼前海達闥云端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co.,Ltd. Block generation method, apparatus and block chain network
JP2020102741A (en) * 2018-12-21 2020-07-02 瀧口 信太郎 Authentication system, authentication method, and authentication program
JP2022540939A (en) * 2019-07-19 2022-09-20 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー Techniques for call authentication

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3175385A4 (en) * 2014-07-29 2018-01-03 Hewlett-Packard Development Company, L.P. Transmit an authentication mark
CN104243484B (en) * 2014-09-25 2016-04-13 小米科技有限责任公司 Information interacting method and device, electronic equipment
GB2533098B (en) 2014-12-09 2016-12-14 Ibm Automated management of confidential data in cloud environments
JP5847345B1 (en) * 2015-04-10 2016-01-20 さくら情報システム株式会社 Information processing apparatus, authentication method, and program

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005099170A1 (en) * 2004-04-05 2005-10-20 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
JP2006041726A (en) * 2004-07-23 2006-02-09 Matsushita Electric Ind Co Ltd Shared key replacing system, shared key replacing method and method program
US20070039044A1 (en) * 2005-08-11 2007-02-15 International Business Machines Corporation Apparatus and Methods for Processing Filter Rules
JP2007329730A (en) * 2006-06-08 2007-12-20 Kawasaki Microelectronics Kk Communication protocol processor
JP2009230476A (en) * 2008-03-24 2009-10-08 Toshiba Corp Device, method and program for processing message
JP2010016526A (en) * 2008-07-02 2010-01-21 Mitsubishi Electric Corp Communication device, encryption communication system, communication method, and communication program
WO2011116342A2 (en) * 2010-03-19 2011-09-22 F5 Networks, Inc. Proxy ssl handoff via mid-stream renegotiation
JP2013025374A (en) * 2011-07-15 2013-02-04 Fujitsu Semiconductor Ltd Security device and security system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing
US20050060538A1 (en) * 2003-09-15 2005-03-17 Intel Corporation Method, system, and program for processing of fragmented datagrams
US20090038004A1 (en) * 2007-07-31 2009-02-05 Gabor Blasko Role change based on coupling or docking of information handling apparatus and method for same
CN101222509B (en) * 2008-01-22 2011-10-26 中兴通讯股份有限公司 Data protection transmission method of P2P network
CN201788511U (en) * 2010-08-18 2011-04-06 赵景壁 Safety information exchange device

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005099170A1 (en) * 2004-04-05 2005-10-20 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
JP2006041726A (en) * 2004-07-23 2006-02-09 Matsushita Electric Ind Co Ltd Shared key replacing system, shared key replacing method and method program
US20070039044A1 (en) * 2005-08-11 2007-02-15 International Business Machines Corporation Apparatus and Methods for Processing Filter Rules
JP2007329730A (en) * 2006-06-08 2007-12-20 Kawasaki Microelectronics Kk Communication protocol processor
JP2009230476A (en) * 2008-03-24 2009-10-08 Toshiba Corp Device, method and program for processing message
JP2010016526A (en) * 2008-07-02 2010-01-21 Mitsubishi Electric Corp Communication device, encryption communication system, communication method, and communication program
WO2011116342A2 (en) * 2010-03-19 2011-09-22 F5 Networks, Inc. Proxy ssl handoff via mid-stream renegotiation
JP2013025374A (en) * 2011-07-15 2013-02-04 Fujitsu Semiconductor Ltd Security device and security system

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018525918A (en) * 2015-08-05 2018-09-06 テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド Method, apparatus and system for processing order information
US11488234B2 (en) 2015-08-05 2022-11-01 Tencent Technology (Shenzhen) Company Limited Method, apparatus, and system for processing order information
JP2019511149A (en) * 2016-02-12 2019-04-18 ジェイピーユー.アイオー リミテッドJpu.Io Ltd Mobile Security Offloader
JP2019519990A (en) * 2016-12-23 2019-07-11 深▲せん▼前海達闥云端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co.,Ltd. Block generation method, apparatus and block chain network
JP2018157411A (en) * 2017-03-17 2018-10-04 株式会社東芝 Information processor
CN108632038A (en) * 2017-03-17 2018-10-09 株式会社东芝 Information processing unit
JP2020102741A (en) * 2018-12-21 2020-07-02 瀧口 信太郎 Authentication system, authentication method, and authentication program
JP2022540939A (en) * 2019-07-19 2022-09-20 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー Techniques for call authentication
US11729624B2 (en) 2019-07-19 2023-08-15 Capital One Services, Llc Techniques for call authentication

Also Published As

Publication number Publication date
GB2512807A (en) 2014-10-08
JP5746446B2 (en) 2015-07-08
CN104137508B (en) 2017-07-07
GB2512807B (en) 2014-11-19
DE112013000649T5 (en) 2014-11-06
CN104137508A (en) 2014-11-05
GB201414604D0 (en) 2014-10-01
DE112013000649B4 (en) 2020-11-19
WO2013124758A1 (en) 2013-08-29

Similar Documents

Publication Publication Date Title
JP5746446B2 (en) Network node with network-attached stateless security offload device
US8826003B2 (en) Network node with network-attached stateless security offload device employing out-of-band processing
AU2021201714B2 (en) Client(s) to cloud or remote server secure data or file object encryption gateway
CN109150688B (en) IPSec VPN data transmission method and device
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
US10250571B2 (en) Systems and methods for offloading IPSEC processing to an embedded networking device
US20130219171A1 (en) Network node with network-attached stateless security offload device employing in-band processing
JP2006121510A (en) Encryption communications system
KR20070017322A (en) Technique for maintaining secure network connections
WO2016124016A1 (en) Ipsec acceleration method, device and system
CA3066728A1 (en) Cloud storage using encryption gateway with certificate authority identification
JP2011176395A (en) IPsec COMMUNICATION METHOD AND IPsec COMMUNICATION SYSTEM
EP4205354A1 (en) Partial packet encryption for encrypted tunnels
KR20030013496A (en) Device for sending data using multi-tunneled virtual private network gateway
WO2020140842A1 (en) Data transmission method, device and system
US11539668B2 (en) Selective transport layer security encryption
JP3651424B2 (en) Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus
US20080059788A1 (en) Secure electronic communications pathway
US20230083034A1 (en) Selective transport layer security encryption
JP2005252464A (en) Communication method, communication terminal and gateway unit

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150311

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150414

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150507

R150 Certificate of patent or registration of utility model

Ref document number: 5746446

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150