JP2015511434A - Network node with network-attached stateless security offload device - Google Patents
Network node with network-attached stateless security offload device Download PDFInfo
- Publication number
- JP2015511434A JP2015511434A JP2014553855A JP2014553855A JP2015511434A JP 2015511434 A JP2015511434 A JP 2015511434A JP 2014553855 A JP2014553855 A JP 2014553855A JP 2014553855 A JP2014553855 A JP 2014553855A JP 2015511434 A JP2015511434 A JP 2015511434A
- Authority
- JP
- Japan
- Prior art keywords
- data packet
- offload device
- security
- ihs
- host ihs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
【課題】セキュリティ・プロトコルを用いて保護されたデータ・パケットを、通信ネットワーク経由で通信するためのネットワーク・ノードを提供する。【解決手段】本ネットワーク・ノードは、ホスト情報処理システム(IHS)およびセキュア・データ・リンクで連結された一つ以上の外部セキュリティ・オフロード・デバイスを含む。ホストIHSは、データ・パケットについての状態情報を連絡し、外部セキュリティ・オフロード・デバイスは、セキュリティ・プロトコルを用いて、ステートレスのセキュアな、パケットのデータカプセル化およびカプセル化解除を提供する。外部ネットワーク・インターフェース・コントローラまたは内部ネットワーク・インターフェース・コントローラは、カプセル化されたデータ・パケットを、通信ネットワークを経由して最終宛先に通信する。外部セキュリティ・オフロード・デバイスによるパケットのカプセル化およびカプセル化解除は、ネットワーク待ち時間を低減し、ホストIHS中のプロセッサの計算負荷を減らす。ホストIHSの中に状態情報を維持することによって、情報喪失なしに、外部セキュリティ・オフロード・デバイスのホットスワッピングが可能になる。外部セキュリティ・オフロード・デバイスは、ファイアウォール、または侵入検知デバイスの中に含めることが可能で、該デバイスにIPsecを実装することができる。【選択図】図2A network node for communicating data packets protected using a security protocol via a communication network. The network node includes a host information processing system (IHS) and one or more external security offload devices coupled by a secure data link. The host IHS communicates state information about the data packet, and the external security offload device uses a security protocol to provide stateless secure packet data encapsulation and de-encapsulation. The external network interface controller or internal network interface controller communicates the encapsulated data packet to the final destination via the communication network. Packet encapsulation and decapsulation by an external security offload device reduces network latency and reduces the computational load on the processor in the host IHS. Maintaining state information in the host IHS allows hot swapping of external security offload devices without loss of information. The external security offload device can be included in a firewall or intrusion detection device, and IPsec can be implemented in the device. [Selection] Figure 2
Description
本発明は、一般に情報処理システム(IHS:information handling system)におけるデータ・セキュリティに関し、さらに具体的には、ネットワーク接続されたIHS間の通信におけるデータ・セキュリティに関する。 The present invention generally relates to data security in an information handling system (IHS), and more specifically to data security in communication between network-connected IHSs.
発信元IHSおよび宛先IHSの認証によってネットワーク通信のセキュリティを高めることが可能である。また、発信元IHSと宛先IHSとの間の通信の暗号化も、ネットワーク通信のセキュリティを高めることができる。 Network communication security can be enhanced by authenticating the source IHS and the destination IHS. Further, encryption of communication between the source IHS and the destination IHS can also enhance the security of network communication.
セキュリティ・プロトコルを用いて保護されたデータ・パケットを、通信ネットワーク経由で通信するための方法およびネットワーク・ノードを提供する。 A method and network node are provided for communicating data packets protected using a security protocol over a communication network.
一態様において、ホスト情報処理システム(IHS)によって、データ・パケットに関連するセキュリティ・メタデータを格納するステップを含む、セキュリティ・オフロード方法が開示される。また、本方法は、ホストIHSによって、データ・パケットがセキュリティ処理を必要とするデータ・パケットかどうかを判定するステップを含む。本方法は、ホストIHSがデータ・パケットはセキュリティ処理を必要としないと判定した場合、ホストIHSによって、そのデータ・パケットを内部ネットワーク・インターフェース・コントローラに提供するステップをさらに含み、内部ネットワーク・インターフェース・コントローラは、ホストIHS以外のIHSへの通信のため、データ・パケットを通信ネットワークに送信する。本方法は、ホストIHSがデータ・パケットはセキュリティ処理を必要とすると判定した場合、ホストIHSによって、セキュア・データ・リンクを介し、そのデータ・パケットおよび関連するセキュリティ・メタデータを、ステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するステップをさらに含み、このステートレス外部セキュリティ・オフロード・デバイスはホストIHSの外部にある。また、本方法は、オフロードされたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによって暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するステップを含む。本方法は、カプセル化・暗号化されたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによって、さるなる処理のため、セキュア・データ・リンクを介してホストIHSに返送するステップをさらに含む。また、本方法は、カプセル化・暗号化されたデータ・パケットを、ホストIHSの内部ネットワーク・インターフェース・コントローラによって、ホストIHS以外のIHSへの通信のため通信ネットワークに送信するステップを含む。 In one aspect, a security offload method is disclosed that includes storing security metadata associated with a data packet by a host information processing system (IHS). The method also includes determining by the host IHS whether the data packet is a data packet that requires security processing. The method further includes providing the data packet to the internal network interface controller by the host IHS if the host IHS determines that the data packet does not require security processing, The controller sends a data packet to the communication network for communication to an IHS other than the host IHS. If the host IHS determines that the data packet requires security processing, the method causes the host IHS to send the data packet and associated security metadata over a secure data link to a stateless external security The method further includes offloading to the offload device, thus providing the offloaded data packet, the stateless external security offload device being external to the host IHS. The method also includes encrypting and encapsulating the offloaded data packet with a stateless external security offload device, thereby providing the encapsulated and encrypted data packet. The method further includes returning the encapsulated and encrypted data packet by the stateless external security offload device to the host IHS via the secure data link for further processing. The method also includes the step of transmitting the encapsulated / encrypted data packet to the communication network for communication to an IHS other than the host IHS by the host IHS internal network interface controller.
別の態様において、ホスト情報処理システム(IHS)を含むネットワーク・ノードが開示される。このホストIHSは、内部ネットワーク・インターフェース・コントローラを含む。本ネットワーク・ノードは、ホストIHSに連結するセキュア・データ・リンクを含む。また、本ネットワーク・ノードは、このセキュア・データ・リンクを介してホストIHSに連結するステートレス外部セキュリティ・オフロード・デバイスを含む。この外部セキュリティ・オフロード・デバイスは、ホストIHSの外部にある。ホストIHSは、データ・パケットに関連するセキュリティ・メタデータを格納するよう構成される。また、このホストIHSは、データ・パケットおよび関連するセキュリティ・メタデータを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するよう構成される。ステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットおよびするセキュリティ・メタデータを受信するよう構成される。また、ステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するよう構成される。ステートレス外部セキュリティ・オフロード・デバイスは、カプセル化・暗号化されたデータ・パケットを、さらなる処理のためホストIHSに返送するようさらに構成される。また、ホストIHSは、カプセル化・暗号化されたデータ・パケットを、ホストIHS以外のIHSへの通信のため、ホストIHSの内部ネットワーク・インターフェース・コントローラを介して通信ネットワークに送信するよう構成される。 In another aspect, a network node that includes a host information processing system (IHS) is disclosed. This host IHS includes an internal network interface controller. The network node includes a secure data link that connects to the host IHS. The network node also includes a stateless external security offload device that couples to the host IHS via this secure data link. This external security offload device is external to the host IHS. The host IHS is configured to store security metadata associated with the data packet. The host IHS also offloads the data packet and associated security metadata to a stateless external security offload device over a secure data link, thus the offloaded data packet. Configured to provide. The stateless external security offload device is configured to receive the offloaded data packet and the security metadata. The stateless external security offload device is also configured to encrypt and encapsulate the offloaded data packet, thus providing the encapsulated and encrypted data packet. The stateless external security offload device is further configured to send the encapsulated and encrypted data packet back to the host IHS for further processing. The host IHS is also configured to send the encapsulated / encrypted data packet to the communication network via the host IHS internal network interface controller for communication to an IHS other than the host IHS. .
さらに別の態様において、ホスト情報処理システム(IHS)の内部にある内部ネットワーク・インターフェース・コントローラによって、通信ネットワークからデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するステップを含む、セキュリティ・オフロード方法が開示される。また、本方法は、ホストIHSによって、受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するステップを含む。本方法は、ホストIHSが、受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、受信されたデータ・パケットを、IHSによって、処理のためホストIHS中のアプリケーションに転送するステップをさらに含む。本方法は、ホストIHSが、受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、その受信されたデータ・パケットを、ホストIHSによって、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードするステップをさらに含み、このステートレス外部セキュリティ・オフロード・デバイスはホストIHSの外部にある。また、本方法は、受信されたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによってカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するステップを含む。本方法は、カプセル化解除・暗号解読されたデータ・パケットを、ホストIHS中のアプリケーションによるさるなる処理のため、ステートレス外部セキュリティ・オフロード・デバイスによって、セキュア・データ・リンクを介してホストIHSに返送するステップをさらに含む。 In yet another aspect, including receiving a data packet from a communication network and providing the received data packet by an internal network interface controller internal to a host information processing system (IHS). A security offload method is disclosed. The method also includes determining by the host IHS whether the received data packet is an encapsulated / encrypted data packet requiring security processing. If the host IHS determines that the received data packet is not an encapsulated / encrypted data packet that requires security processing, the method processes the received data packet with the IHS. The method further includes the step of transferring to an application in the host IHS. When the host IHS determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the method sends the received data packet to the host IHS. Further offloading to a stateless external security offload device via a secure data link, the stateless external security offload device being external to the host IHS. The method also includes the steps of decapsulating and decrypting the received data packet by a stateless external security offload device, thereby providing the decapsulated and decrypted data packet. . The method uses a stateless external security offload device to a host IHS over a secure data link for decapsulated and decrypted data packets for further processing by applications in the host IHS. The method further includes a step of returning.
別の態様において、ホスト情報処理システム(IHS)を含むネットワーク・ノードが開示される。このホストIHSは、内部ネットワーク・インターフェース・コントローラを含む。本ネットワーク・ノードは、ホストIHSに連結するセキュア・データ・リンクを含む。また、本ネットワーク・ノードは、セキュア・データ・リンクを介してホストIHSに連結するステートレス外部セキュリティ・オフロード・デバイスを含む。この外部セキュリティ・オフロード・デバイスは、ホストIHSの外部にある。ホストIHSは、通信ネットワークから内部インターフェース・コントローラを介してデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するよう構成される。また、ホストIHSは、受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するよう構成される。ホストIHSは、ホストIHSが受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、受信されたデータ・パケットを、処理のためホストIHS中のアプリケーションに転送するよう構成される。ホストIHSは、ホストIHSが受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、その受信されたデータ・パケットを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するようさらに構成される。このステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットをカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するよう構成される。また、ステートレス外部セキュリティ・オフロード・デバイスは、カプセル化解除・暗号解読されたデータ・パケットを、ホストIHS中のアプリケーションによるさるなる処理のため、セキュア・データ・リンクを介してホストIHSに返送するよう構成される。 In another aspect, a network node that includes a host information processing system (IHS) is disclosed. This host IHS includes an internal network interface controller. The network node includes a secure data link that connects to the host IHS. The network node also includes a stateless external security offload device that connects to the host IHS via a secure data link. This external security offload device is external to the host IHS. The host IHS is configured to receive data packets from the communication network via an internal interface controller and provide the received data packets. The host IHS is also configured to determine whether the received data packet is an encapsulated / encrypted data packet that requires security processing. If the host IHS determines that the data packet received by the host IHS is not an encapsulated / encrypted data packet that requires security processing, the host IHS is processing the received data packet in the host IHS for processing. Configured to forward to other applications. If the host IHS determines that the data packet received by the host IHS is an encapsulated / encrypted data packet that requires security processing, the host IHS converts the received data packet to a secure data packet. It is further configured to offload over the link to a stateless external security offload device, thus providing an offloaded data packet. The stateless external security offload device is configured to decapsulate and decrypt the offloaded data packet, thus providing the decapsulated and decrypted data packet. The stateless external security offload device also sends the decapsulated and decrypted data packet back to the host IHS over the secure data link for further processing by the application in the host IHS. It is configured as follows.
本発明のさらなる特徴が、添付の他の請求項に定義されている。 Further features of the invention are defined in the other claims appended hereto.
単なる例示を目的として、本発明の実施形態(群)を、添付の図面を参照しながら以下に説明する。 For purposes of illustration only, embodiments (groups) of the present invention are described below with reference to the accompanying drawings.
本開示のネットワーク・システムにおいて、ネットワーク・ノードは、セキュア・データ・リンクを介してステートレスな外部セキュリティ・オフロード・デバイスに連結するホスト情報処理システム(IHS)を含む。このステートレス外部セキュリティ・オフロード・デバイスは、ネットワーク・システム中の一つ以上の他のネットワーク・ノードと通信する外部のネットワーク・インターフェース・コントローラに連結している。ホストIHSは、ホストIHS上のセキュリティ関係の作業負荷を軽減するため、外部セキュリティ・オフロード・デバイスにセキュリティ関係のタスクをオフロードする。例えば、外部セキュリティ・オフロード・デバイスは、ホストIHSに代行して、データ・パケットに追加の任意のヘッダを付加することができ、もしくはデータ・パケットに暗号手法を適用する、またはその両方を行うことができる。ホストIHSは、カプセル化およびカプセル化解除、暗号化および暗号解読、並びに認証など、セキュリティ関係のタスクを、ネットワーク付属のデバイスである外部セキュリティ・オフロード・デバイスにオフロードすることが可能である。一実施形態において、ホストIHSは、IPsecシーケンス番号などの状態情報を、外部セキュリティ・オフロード・デバイスの中よりも、むしろホストIHSのTCP/IPスタックの中に格納し、しかして、ステートフルの外部セキュリティ・オフロード・デバイスよりも、むしろステートレスな外部セキュリティ・オフロード・デバイスを備えることが可能である。 In the network system of the present disclosure, the network node includes a host information processing system (IHS) that couples to a stateless external security offload device via a secure data link. The stateless external security offload device is coupled to an external network interface controller that communicates with one or more other network nodes in the network system. The host IHS offloads security-related tasks to an external security offload device to reduce the security-related workload on the host IHS. For example, the external security offload device can append additional optional headers to the data packet on behalf of the host IHS, or apply cryptographic techniques to the data packet, or both be able to. The host IHS can offload security-related tasks, such as encapsulation and decapsulation, encryption and decryption, and authentication, to an external security offload device that is a network attached device. In one embodiment, the host IHS stores state information, such as IPsec sequence numbers, in the host IHS's TCP / IP stack rather than in an external security offload device, so that the stateful external It is possible to have a stateless external security offload device rather than a security offload device.
図1は、通信ネットワーク102を介して一緒に連結している、ネットワーク・ノード101および101’など、複数のネットワーク・ノードを含む、本開示のネットワーク・システム100のブロック図である。通信ネットワーク102は、有線もしくは無線リンクまたはその両方を含め、実際上任意の種類の通信装置であってよい。例えば、通信ネットワーク102は、送信ライン、ルータ、スイッチ、ハブ、ネットワーク・ファブリック、インターネット接続、ローカル・エリア・ネットワーク(LAN:local area network)および広域ネットワーク(WAN:wide area network)を含み得る。ネットワーク・ノード101もしくはネットワーク・ノード101’は、セキュリティ処理が必要なデータ・パケットの送信元となり得る。ネットワーク・ノード101がデータ・パケットの送信元のときに、ネットワーク・ノード101’がそのデータ・パケットの宛先であり得る。逆に、ネットワーク・ノード101’がデータ・パケットの送信元のときに、ネットワーク・ノード101がそのデータ・パケットの宛先となり得る。ネットワーク・システム100には、図1に示されるよりも多くのネットワーク・ノードを含めることができる。
FIG. 1 is a block diagram of a
ネットワーク・ノード101は、ホストIHS103を通信ネットワーク102に連結する内部ネットワーク・インターフェース・コントローラ107を備えた、ホストIHS103を含む。また、ネットワーク・ノード101は、セキュア・データ・リンク105を介してホストIHS103に連結する外部セキュリティ・オフロード・デバイス104を含む。一実施形態において、外部セキュリティ・オフロード・デバイス104は「ネットワーク付属」のデバイスである。外部ネットワーク・インターフェース・コントローラ106は、外部セキュリティ・オフロード・デバイス104を通信ネットワーク102に連結する。一実施形態において、外部ネットワーク・インターフェース・コントローラ106は、図示のように、外部セキュリティ・オフロード・デバイス104に連結している。別の実施形態において、外部ネットワーク・インターフェース・コントローラ106は、外部セキュリティ・オフロード・デバイス104の内部にあるが、それでもホストIHS103に対しては外部である。同様に、ネットワーク・ノード101’は、ホストIHS103’を通信ネットワーク102に連結する内部ネットワーク・インターフェース・コントローラ107’を備えたホストIHS103’を含む。また、ネットワーク・ノード101’は、セキュア・データ・リンク105’を介してホストIHS103’に連結する外部セキュリティ・オフロード・デバイス104’を含む。一実施形態において、外部セキュリティ・オフロード・デバイス104’はネットワーク付属のデバイスである。外部ネットワーク・インターフェース・コントローラ106’は、外部セキュリティ・オフロード・デバイス104’を通信ネットワーク102に連結する。
The
図2は、ネットワーク・システム100が、ネットワーク・ノード101もしくはネットワーク・ノード101’またはその両方として、およびネットワーク・システム100の他のネットワーク・ノード(図示せず)として、用いることのできるネットワーク・ノード101のブロック図である。さらに詳しくは、図2は、セキュア・データ・リンク105を介し外部セキュリティ・オフロード・デバイス104に連結したホスト情報処理システム(IHS)103を含む、ネットワーク・ノード101を示す。
FIG. 2 illustrates a network node that the
セキュア・データ・リンク105は、暗号化されていないトラフィックが、意図されていない第三者によって視取または変更されるのを防止する。セキュリティを達成するために、セキュア・データ・リンク105は、開放型システム間相互接続(OSI:Open Systems Interconnection)のレイヤ1の物理的分離、OSIレイヤ2の暗号化、および他のOSIレイヤもしくは他のセキュリティ方策またはそれらの両方を用いることができる。ホストIHS103は、複数のコアおよびSRAMキャッシュ150を含み得るプロセッサ110を含む。ホストIHS103は、デジタル形式、アナログ形式、または他の形式の情報を処理、伝送、通信、修正、格納、または別途に取り扱う。ホストIHS103は、メモリ・コントローラ125およびメモリ・バス130を介してシステム・メモリ120をプロセッサ110に連結する、バス115を含む。一実施形態において、システム・メモリ120はプロセッサ110の外部にある。システム・メモリ120は、スタティック・ランダム・アクセス・メモリ(SRAM:static random access memory)のアレイもしくはダイナミック・ランダム・アクセス・メモリ(DRAM:dynamic random access memory)のアレイまたはその両方とすることができる。映像グラフィックス・コントローラ135は、ディスプレイ140をバス115に連結する。ハード・ディスク・ドライブ、CDドライブ、DVDドライブ、または他の不揮発性ストレージなどの不揮発性ストレージ145は、バス115に連結し、ホストIHS103に情報の恒久的なストレージを提供する。キーボード、およびマウス・ポインティング・デバイスなどのI/Oデバイス190は、I/Oコントローラ155およびI/Oバス160を介してバス115に連結する。USB、IEEE1394バス、ATA、SATA、PCI、PCIE、DVI、HDMI、および他の拡張バスなど、一つ以上の拡張バス165が、周辺機器およびデバイスのホストIHS103への接続を容易化するためバス115に連結している。図2中の点線103はホストIHS103、およびホストIHS103のハウジングもしくはシャーシまたはその両方を表す。このように、点線103の内側のホストIHS103の構造体はホストIHS103の内部にあり、点線103の外側のネットワーク・ノード101の構造体はホストIHS103の外部にある。
Secure data link 105 prevents unencrypted traffic from being viewed or altered by unintended third parties. In order to achieve security, the
ネットワーク・ノード101のホストIHS103は、内部ネットワーク・インターフェース・コントローラ107を含み、該コントローラはバス115に連結し、ホストIHS103が、有線または無線によって、通信ネットワーク102などのネットワークと、ネットワーク・ノード101’など、他の情報処理システムおよびネットワーク・ノードとに接続できるようにしている。ホストIHS103は、デスクトップ、サーバ、携帯機器、ラップトップ、ノートブックあるいは他のフォーム・ファクタのコンピュータまたはデータ処理システムの形を取ることができる。ホストIHS103は、ゲーム・デバイス、携帯情報端末(PDA:personal digital assistant)、携帯電話デバイス、通信デバイス、または、プロセッサおよびメモリを含む他のデバイスなど、他のフォーム・ファクタを取ることも可能である。また、ホストIHS103は、携帯機器、ラップトップ、ノートブック、ゲーム・デバイス、PDA、または任意のバッテリ駆動デバイスの形を取ることができる。一実施形態において、ホストIHS103のパフォーマンスは、特に、ネットワーク待ち時間を増やし得る演算集約的処理(パケット・セキュリティおよびIPsecの処理など)の影響を受けやすい。
The
ホストIHS103には、CD、DVD、または他の媒体などデジタル媒体175上のコンピュータ・プログラム製品を含めることができる。一実施形態において、デジタル媒体175は、アプリケーション182を含む。ユーザは、不揮発性ストレージ145上のアプリケーション182をアプリケーション182’としてロードすることができる。不揮発性ストレージ145は、オペレーティング・システム181を格納することができ、該システムにネットワーク・ソフトウェア183を含めることが可能である。ホストIHS103が初期化されると、該ホストIHSは、オペレーティング・システム181’、ネットワーク・ソフトウェア183’、およびアプリケーション182”として実行するために、オペレーティング・システム181およびアプリケーション182’をシステム・メモリ120の中にロードする。オペレーティング・システム181’は、ネットワーク・ソフトウェア183’を含むことができ、ホストIHS103のオペレーションを制御する。ホストIHS103は、セキュア・データ・リンク105を介して外部セキュリティ・オフロード・デバイス104に連結する。外部セキュリティ・オフロード・デバイス104は、外部ネットワーク・インターフェース・コントローラ106に連結している。しかして、外部ネットワーク・インターフェース・コントローラ106は「ネットワーク付属」のデバイスとなる。「ネットワーク付属」のデバイスは、複数のネットワーク・ノードを相互接続することが可能な、通信ネットワーク102などの通信ネットワークに対し、有線もしくは無線またはその両方のポータルとしての役割を果たす。例えば、外部ネットワーク・インターフェース・コントローラ106および106’、並びに内部ネットワーク・インターフェース・コントローラ107および107’は、通信ネットワーク102を介し、ネットワーク・ノード101および101’を相互接続する有線もしくは無線またはその両方のポータルとしての機能を果たす。ホストIHS103は、セキュア・データ・リンク105、外部セキュリティ・オフロード・デバイス104、および外部ネットワーク・インターフェース・コントローラ106と一緒に、データ・パケットを他のネットワーク・ノードに通信するため、集合的にネットワーク・ノード101を形成する。一実施形態において、ホストIHS103は、外部セキュリティ・オフロード・デバイス104と協働して、これらのデータ・パケットを、インターネット・プロトコル・セキュリティ(IPsec:Internet Protocol Security)プロトコル群などのセキュリティ・プロトコルを用いてセキュアすることができる。
Host
一実施形態において、ネットワーク・ノード101の外部セキュリティ・オフロード・デバイス104は、ホストIHS103の命令の下でホストIHS103を代行して、インターネット・プロトコル(IP:InternetProtocol)通信をセキュアするために、インターネット・プロトコル・セキュリティ(IPsec)プロトコル群を用いることが可能である。外部セキュリティ・オフロード・デバイス104は、データ・パケットのカプセル化およびカプセル化解除を促進し、データ・パケットの暗号化および暗号解読を促進し、データ・パケットを認証し、任意に、ファイアウォールおよび侵入検出サービス(IDS:intrusion detection service)並びにデータ・パケットに対する他の任意のサービスを行うためのプロセッサ(図示せず)、を含む情報処理システムとすることができる。また、外部セキュリティ・オフロード・デバイス104は、メモリ(図示せず)およびストレージ(図示せず)を含むことが可能である。
In one embodiment, the external
外部セキュリティ・オフロード・デバイス104は、IPデータ・パケットの認証を行うセキュリティ・プロトコルを用いることができ、認証されたIPデータ・パケットをカプセル化する。認証されたIPデータ・パケットをカプセル化した後、セキュリティ・プロトコルによって、カプセル化されたIPデータ・パケットを暗号化することができる。例えば、IPsecプロトコルは、通信セッションの各IPデータ・パケットを認証し暗号化する。また、IPsecは、通信セッションの開始時に、エージェント間の相互認証を確立するためのプロトコル、およびこの通信セッションの間用いる暗号鍵の交渉をするためのプロトコルを含む。ホストIHS103およびホストIHS103’は、かかるエージェントの例である。さらに具体的には、セキュリティを備えた、ネットワーク・ソフトウェア183のこの部分は、人間のセキュリティ管理者の命令を受けて作動するエージェントである。一実施形態において、外部セキュリティ・オフロード・デバイス104は、ネットワーク・ノード101のため、全てのIPsecカプセル化およびカプセル化解除オペレーション、並びに暗号化、暗号解読、および認証を提供することが可能である。このことは、ネットワーク・ノード101中のホストIHS103のセキュリティ関係の作業負荷を軽減する。
The external
セキュリティ・ポリシは、プロトコルに、ある特定のデバイスが受信するデータ・パケットをどのように処理するかを命令する、設計者、プログラマまたは他のエンティティ・プログラムが、IPsecプロトコルなどのセキュリティ・プロトコルの中にプログラムするルールである。例えば、セキュリティ・ポリシは、ある特定のデータ・パケットがIPsecプロトコル・セキュリティ処理を必要とするかどうかを決めることができる。セキュリティ処理を必要としないデータ・パケットは、認証ヘッダ(AH:Authentication Header)プロトコル処理、またはカプセル化セキュリティ・ペイロード(ESP:Encapsulating Security Payload)プロトコル処理をバイパスしてもよい。デバイスが、ある特定のデータ・パケットがセキュリティ・プロトコル処理を必要とすると判定した場合、セキュリティ・ポリシは、該デバイスに、そのデータ・パケットに対するセキュリティを取り扱うためのガイドラインを用いるよう命令することができる。一実施形態において、ホストIHS103もしくは外部セキュリティ・オフロード・デバイス104またはその両方は、これらデバイス内のセキュリティ・ポリシ・データベース(図示せず)中にセキュリティ・ポリシを格納することが可能である。セキュリティ・アソシエーション(SA:Security Association)情報は、2つのデバイスの間のセキュアな接続の特定の型を表すセキュリティ情報のセットである。このSA情報は、2つのデバイスが相互に安全に通信するため用いることができる特定のセキュリティ・メカニズムを含む。
A security policy allows a designer, programmer, or other entity program to instruct a protocol how to process data packets received by a particular device, within a security protocol such as the IPsec protocol. It is a rule to program. For example, a security policy can determine whether a particular data packet requires IPsec protocol security processing. Data packets that do not require security processing may bypass authentication header (AH) protocol processing or encapsulating security payload (ESP) protocol processing. If the device determines that a particular data packet requires security protocol processing, the security policy can instruct the device to use guidelines for handling security for that data packet. . In one embodiment, the
一実施形態において、外部セキュリティ・オフロード・デバイス104は、ネットワーク付属のデバイスとして作動する。ネットワーク付属のデバイスは、ネットワークに接続し、ファイル・ベースのストレージ・サービスもしくは他の特殊なサービスまたはその両方を提供する情報処理システム(IHS)であり得る。一実施形態において、外部セキュリティ・オフロード・デバイス104は、カプセル化、カプセル化解除、暗号化、暗号解読、および認証など、専門化されたセキュリティ関係サービスを提供する。
In one embodiment, the external
本開示のネットワーク・システム100の一実施形態において、外部セキュリティ・オフロード・デバイス104よりも、むしろホストIHS103のオペレーティング・システム181’中の、ネットワーク・ソフトウェア183’のTCP/IPスタック184が、IPsecセキュリティ・アソシエーション(SA)状態情報の全てを維持する。この配置は、外部セキュリティ・オフロード・デバイス104がステートレスなデバイスであることを可能にする。一部の実施形態では、外部セキュリティ・オフロード・デバイス104に、例えば、ファイアウォール・サービス、侵入検出サービス、および、当該ネットワーク・ノードの外部セキュリティ・オフロード・デバイスも通過する非暗号化データに対する、ディープ・パケット・インスペクション・サービスなど他のネットワーク・サービスを組み入れることが可能である。一実施形態において、外部セキュリティ・オフロード・デバイス104とネットワーク・ノード101のホストIHS103との間の物理的分離、および外部セキュリティ・オフロード・デバイス104のステートレスな特質は、(1)最小のシステム干渉または中断で、外部セキュリティ・オフロード・デバイス104の「ホット・スワッピング」または切り替えを行うことを容易にし、(2)状態同期の混乱なしに、付加バランスまたはホットスタンバイのため、複数の外部セキュリティ・オフロード・デバイスを構成することを可能にし、さらに、(3)システム・メンテナンスのためまたはマルチホーム・ホストのために、外部セキュリティ・オフロード・デバイス群を動的に有効化し無効化することを可能にする。マルチホーム・ホストは複数のネットワーク接続を含む。マルチホーム・ホストは、複数のネットワークまたは同一のネットワークに接続することができる。
In one embodiment of the
本開示のネットワーク・システム100の一実施形態では、ホストIHS103から、ネットワーク・ノード101の外部セキュリティ・オフロード・デバイス104にセキュリティ処理がオフロードされる。ホストIHS103のオペレーティング・システム181’中の、ネットワーク・ソフトウェア183’のTCP/IPスタック184が、状態情報を維持する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、IPデータ・パケットに対するアウトバウンド・メタデータの選択を外部セキュリティ・オフロード・デバイス104に連絡する。アウトバウンド・メタデータは、ホストIHS103のネットワーク・ソフトウェア183’が外部セキュリティ・オフロード・デバイス104に送信するIPデータ・パケットについての情報を含むことができる。アウトバウンド・メタデータは、IPsecセキュリティ・アソシエーション(SA)情報およびIPデータ・パケットに適用する関連SA状態情報を含むことが可能である。セキュリティ・アソシエーション(SA)情報とは、ネットワーク・トラフィックがトンネルを使える仕様(例えば、IPsecはこれを特定のネットワーク・アドレスまたはプロトコルに制限することができる)、認証のための暗号化アルゴリズムの選択、暗号化および暗号解読、これらのアルゴリズムに使われる暗号鍵、およびデータをカプセル化する方法など、交渉済みのSA属性を言う。例えば、IPsecは、カプセル化されたトンネルおよび伝送モードを可能にする。SA状態情報とは、リプレイ防止に使われるカウンタ、またはSAによって保護されるデータの量を制限するために使われるカウンタなど、存続期間に亘って切り替わるSAの属性を言う。
In one embodiment of the
IHSのオペレーティング・システム181’のネットワーク・ソフトウェア183’は、IPデータ・パケットの中にインターネット・プロトコル(IP)ヘッダを挿入することによって、アウトバウンド・メタデータをIPデータ・パケットに添付することができ、そのIPデータ・パケットとアウトバウンド・メタデータとを外部セキュリティ・オフロード・デバイス104に送信することが可能であり、あるいは、ネットワーク・ソフトウェア183’は、IPデータ・パケットとアウトバウンド・メタデータとを通信するための専用のイーサネット(R)フレームを外部セキュリティ・オフロード・デバイス104に送信することも可能である。
The network software 183 'of the IHS operating system 181' can attach outbound metadata to the IP data packet by inserting an Internet Protocol (IP) header into the IP data packet. The IP data packet and the outbound metadata can be sent to the external
一実施形態において、ネットワーク・ソフトウェア183’は、IPsecプロトコルなどのセキュリティ・プロトコルを用いてIPデータ・パケットのカプセル化を制御するSAポリシ・ルールを含む。他の実施形態において、他のセキュリティ・プロトコルを用いることが可能である。一実施形態において、ホストIHS103中のTCP/IPスタック184は、IPデータ・パケットを外部セキュリティ・オフロード・デバイス104に送信する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’のSAポリシ・ルールは、IPsecを用いてパケットのカプセル化を制御するルールを定める。TCP/IPスタック184を実装するネットワーク・ソフトウェア183’は、データ・パケットをカプセル化するために使う適切なIPsecのSAを選択する。対応する必要なアウトバウンド・メタデータは、セキュリティ・パラメータ指標(SPI:security parameter index)と、トンネルのプロトコル、すなわち、例えば認証ヘッダ(AH:Authentication Header)プロトコルまたはカプセル化セキュリティ・ペイロード(ESP)プロトコルなど、トンネルがデータ伝送に用いる特定のプロトコルと、を含むことができる。また、アウトバウンド・メタデータは、外部セキュリティ・オフロード・デバイス104がIPデータ・パケットをカプセル化する際に使用するため、TCP/IPスタック184が外部セキュリティ・オフロード・デバイス104のために選択した、IPsecシーケンス番号を含むことも可能である。
In one embodiment, the network software 183 'includes SA policy rules that control the encapsulation of IP data packets using a security protocol such as the IPsec protocol. In other embodiments, other security protocols can be used. In one embodiment, TCP / IP stack 184 in
別の実施形態において、外部セキュリティ・オフロード・デバイス104は、内部ネットワーク・インターフェース・コントローラ107を使って、通信ネットワーク102を介し最終宛先に送信するため、対応する暗号化されカプセル化されたIPsecデータ・パケットを、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184に返送する。外部セキュリティ・オフロード・デバイス104は、該外部セキュリティ・オフロード・デバイスがTCP/IPスタック184から受信した、IPデータ・パケットのカプセル化もしくは暗号化またはその両方の要求に応じ、インバウンド・メタデータをTCP/IPスタック184に返送することができる。このインバウンド・メタデータは、カプセル化オペレーションの成功または失敗を表す結果コードを含むことができる。
In another embodiment, the external
さらに別の実施形態において、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184は、暗号解読およびカプセル化解除のため、IPsecパケットを外部セキュリティ・オフロード・デバイス104に送信する。TCP/IPスタック184は、カプセル化解除を必要とするカプセル化データ・パケットと共にアウトバウンド・メタデータを送信することが可能である。このアウトバウンド・メタデータには、カプセル化解除のオペレーションを行うように外部セキュリティ・オフロード・デバイス104に指示する選択情報を含めることができる。
In yet another embodiment, the TCP / IP stack 184 in the
さらに別の実施形態において、外部セキュリティ・オフロード・デバイス104は、インバウンド・データ・パケット処理のために、カプセル化解除されたパケットを、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184に返送する。外部セキュリティ・オフロード・デバイス104は、カプセル化解除されたデータ・パケットと共に、インバウンド・メタデータをTCP/IPスタック184に送信することができる。このインバウンド・メタデータは、TCP/IPスタック184が、外部セキュリティ・オフロード・デバイス104がデータ・パケットについてTCP/IPポリシ・ルールに対しどのSAを使ったどうか点検できるように、SPIと、通信ネットワーク102がデータ・パケットを伝送するために使ったトンネルのAHまたはESPプロトコルと、を含むことができる。また、このメタデータは、TCP/IPスタック184がパケットに対し観察したIPsecリプレイ・シーケンス番号を含むことも可能である。TCP/IPスタック184は、最終的なステートフル・チェックを行い、データ・パケットが「リプレイされ」ており、このため無効であるかどうかを検証する。
In yet another embodiment, the external
要約すれば、ホストIHS103中のオペレーティング・システム181’のネットワーク・ソフトウェア183’中のTCP/IPスタック184と、外部セキュリティ・オフロード・デバイス104との間でやりとりされ得るメタデータ情報は、カプセル化する、カプセル化される、カプセル化解除する、カプセル化解除されるなど実施されるオペレーションの選択または表示を含むことができる。このメタデータは、妥当な場合、オペレーションに対する結果コード、並びにトンネル・プロトコルおよびSPIの選択および表示など、重要な情報を含むことが可能である。また、この重要な情報は、パケット・リプレイ・シーケンス番号の選択および表示を含むことができる。パケット・リプレイ・シーケンス番号は、外部セキュリティ・オフロード・デバイスがステートレスな仕方で作動することを可能にする状態情報である。
In summary, metadata information that can be exchanged between the TCP / IP stack 184 in the
下記の表1は、ホストIHS103中のオペレーティング・システム181’のネットワーク・ソフトウェア183’のTCP/IPスタック184と、外部セキュリティ・オフロード・デバイス104とがやりとりし得る重要な情報(メタデータ)を含む、例示的なインバウンドまたはアウトバウンドIPオプション・ヘッダを示す。これらのフィールドは「オプション型」ipo_typ、および「オプション長さ」ipo_lenを含み、これらは各々1バイトの長さである。1バイト長の「流れ機能コード」ipo_secoff_functionは、#1−カプセル化解除する、#2−カプセル化解除される、#3−カプセル化する、または#4−カプセル化される、を含むことができる。1バイト長のipo_secoff_rcは、流れ#1または#4に対する「リターン・コード」を表す。「主要プロトコル」フィールドは1バイト長のipo_decoff_protocolとすることができる。流れ#2または#3に対し、ipo_decoff_protocolは、SPIに関連するプロトコルを表す。例えば、AHおよびESPの双方が使用可能なトンネルに対しては、AHもしくはESP、SPIを指定することができる。表1は、将来の使用のために3バイトのipo_secoff_rsvdフィールドを取っておく。4バイト長のフィールドipo_secoff_spiは、流れ#2に対してはオリジナルのインバウンド・パケット中のローカルSPIを、あるいは流れ#3中のアウトバウンド・パケットに対しては使用予定の遠隔SPIを特定する。4バイト長のipo_secoff_seqフィールドは、流れ#2に対するオリジナルのインバウンド・パケット中のシーケンス番号とすることができ、または、流れ#3のアウトバウンド・パケットに対しメタデータが指定するシーケンス番号とすることができる。AHヘッダおよびESPヘッダの両方は、AHおよびESPプロトコルの両方が使われている場合、流れ#3に対して提供されたipo_secoff_seqの値を使う必要がある。
Table 1 below shows important information (metadata) that can be exchanged between the TCP / IP stack 184 of the
図3および4は、ネットワーク・スイッチ、ルータ、ファイアウォールまたは侵入検出デバイスが、ホストIHS中のオペレーティング・システムのネットワーク・ソフトウェア中のTCP/IPスタック184に流れるデータ・トラフィックに対する、ゲートウェイまたはゲート・キーパとしての役割を果たすときに実行できる、「バンド内(in−band)」処理の実施形態を表すフロー・チャートである。「バンド内」処理は、外部セキュリティ・オフロード・デバイス104内で行われる。「バンド内」処理は、外部セキュリティ・オフロード・デバイス104が、パケットをTCP/IPスタック184に返送する必要なく、最終のネットワーク宛先に直接送信するために、パケットをカプセル化および暗号化することができ、着信したデータ・パケットをTCP/IPスタック184に返送する前に、外部セキュリティ・オフロード・デバイスによる即時の処理のために該パケットをカプセル化解除することができる。以下で説明する図5および6は、「バンド外(out−of−band)」処理の実施形態を示し、この処理では、全てのデータ・パケットが、暗号化/カプセル化またはカプセル化解除/暗号解読のために、TCP/IPスタック184から外部セキュリティ・オフロード・デバイス104に送られ、その後、最終処理のためにTCP/IPスタック184に返送される。「バンド外」処理は、外部セキュリティ・オフロード・デバイス104の外で行われる処理である。バンド外処理は、外部セキュリティ・オフロード・デバイスとホストIHS103との間で別の往来が必要となり得る。
FIGS. 3 and 4 show a network switch, router, firewall or intrusion detection device as a gateway or gate keeper for data traffic flowing through the TCP / IP stack 184 in the operating system network software in the host IHS. 6 is a flow chart representing an embodiment of an “in-band” process that can be performed when performing the role of “In-band” processing occurs within the external
図3のフロー・チャートは、ステートレス外部セキュリティ・オフロード・デバイス104において、データ・セキュリティ・プロトコルをアウトバウンド・データ・パケットに適用する、本開示の方法の一実施形態を表す。アウトバウンド・データ・パケットとは、ネットワーク・ノード101のホストIHS103が他のネットワークに送信するデータ・パケットである。外部セキュリティ・オフロード・デバイス104は、ホストIHS103に代行してアウトバウンド・データ・パケットにデータ・セキュリティ・プロトコル・オペレーションを提供するのに加え、ファイアウォールもしくは侵入検出サービス(IDS)またはその両方のほか、データ・セキュリティ・プロトコル・オペレーションを提供するなど、他のネットワーキング機能を実施することができる。外部セキュリティ・オフロード・デバイス104は、アウトバウンド・データ・パケットにセキュリティ・オペレーションを施し、かかるデータ・パケットをさらなるセキュリティ処理のためホストIHS103に返送する必要なく、それらアウトバウンド・データ・パケットを宛先ノードに送信することによって、アウトバウンド・データ・パケットの「バンド内」処理を提供する。簡明化のため、図3のフロー・チャートでは、ステートレス外部セキュリティ・オフロード・デバイス104を「オフロード・デバイス」と称している。図3のフロー・チャート中の各ブロックは、一つの実施形態中のそれぞれのブロックの機能を実行している構造体を識別するため、「オフロード・デバイス」または「ホストIHS」などの記載を含む。
The flow chart of FIG. 3 represents one embodiment of the disclosed method for applying a data security protocol to outbound data packets at the stateless external
さらに詳しくは、プロセス・フローは開始ブロック205から始まる。ブロック210で、ホストIHS103中のアプリケーション182”が、ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’にデータ・パケットを送信する。判定ブロック215で、そのデータ・パケットのネットワーク送信がセキュリティ処理を必要としない場合、ブロック245で、ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、該データ・パケットをネットワーク経由で外部セキュリティ・オフロード・デバイス104に送信し、外部ネットワーク・インターフェース・コントローラ106を介して直接、最終宛先ネットワーク・ノードに送信して、プロセス・フローはブロック250で終了する。
More particularly, the process flow begins at
また一方、判定ブロック215で、オペレーティング・システム181’のネットワーク・ソフトウェア183’が、ネットワーク送信はデータ・セキュリティ・プロトコルの適用が必要であると判定した場合、ネットワーク・ソフトウェア183’は、ブロック220で、表1の流れ#3に従って、そのデータ・パケットにセキュリティ・メタデータおよび状態データを付けることができる。このようなメタデータはアウトバウンド・メタデータである。オペレーティング・システム181’のネットワーク・ソフトウェア183’は、ブロック225で、該メタデータとデータ・パケットとを、ネットワークセキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック230で、状態データを含め、データ・パケットおよび対応するメタデータを受信して読み出す。外部セキュリティ・オフロード・デバイス104は、ブロック235で、データ・パケットに対し、ファイアウォール・サービスもしくは侵入検出サービス(IDS)またはその両方などの任意の処理を行うことができ、ブロック240で、データ・パケットを暗号化およびカプセル化する。外部セキュリティ・オフロード・デバイス104は、ブロック245で、カプセル化・暗号化されたデータ・パケットを、外部ネットワーク・インターフェース・コントローラ106を介し、ネットワークを経由して直接、最終宛先ネットワーク・ノードに送信する。プロセス・フローはブロック250で終了する。
On the other hand, if, at
図4のフロー・チャートは、ネットワークから外部セキュリティ・オフロード・デバイス104を介してインバウンド・データ・パケットを受信する、本開示の方法の一実施形態を表す。インバウンド・データ・パケットとは、ネットワーク・ノード101のホストIHS103が他のネットワーク・ノードから受信するデータ・パケットである。外部セキュリティ・オフロード・デバイス104はインバウンド・データ・パケットを受信し、かかるデータ・パケットをさらなるセキュリティ処理のためにホストIHS103に返送する必要なく、インバウンド・データ・パケットにセキュリティ・オペレーションを施すことによって、インバウンド・データ・パケットの「バンド内」処理を提供する。一実施形態において、外部セキュリティ・オフロード・デバイス104は、カプセル化解除・暗号解読されたデータ・パケットをホストIHS103に送信するが、ホストIHS103は、これらのデータ・パケットに対し他のセキュリティ・オペレーションを行う必要はない。それどころか、ホストIHS103中のアプリケーションは、ホストIHS103が外部セキュリティ・オフロード・デバイス104から受信したカプセル化解除・暗号解読されたデータ・パケットを直接使用することができる。
The flow chart of FIG. 4 represents one embodiment of the disclosed method for receiving inbound data packets from the network via the external
さらに詳細には、プロセス・フローは開始ブロック305から始まる。外部セキュリティ・オフロード・デバイス104は、ブロック310で、外部ネットワーク・インターフェース・コントローラ106を介してネットワークからデータ・パケットを受信する。外部セキュリティ・オフロード・デバイス104は、判定ブロック320で、データ・パケットがセキュリティ処理を必要とするかどうかを判定するための検査を行う。データ・パケットがセキュリティ処理を必要とするかどうかを判定するために、外部セキュリティ・オフロード・デバイス104は、データ・パケット内のIPsecプロトコル・ヘッダをチェックするか、または、外部セキュリティ・オフロード・デバイス104がホストIHS103から受信した静的セキュリティ・ポリシおよびSA情報をチェックする。なお、SA状態情報は、ホストIHS103のネットワーク・ソフトウェア183’中に依然として存在していてもよい。外部セキュリティ・オフロード・デバイス104が、パケットはセキュリティ処理を必要としないと判定した場合、外部セキュリティ・オフロード・デバイス104は、ブロック345で、ファイアウォール・サービスもしくはIDSサービスまたはその両方を提供することなど任意の処理を実施することができ、ブロック350で、セキュア・データ・リンク105を介してホストIHS103にデータ・パケットを送信する。
More particularly, the process flow begins at
また一方、パケットがセキュリティ処理を必要とする場合、外部セキュリティ・オフロード・デバイス104は、ブロック330で、パケットをカプセル化解除および暗号解読し、ブロック335で、ファイアウォールもしくはIDSまたはその両方などの任意の処理あるいはその他の任意の処理を実施する。外部セキュリティ・オフロード・デバイス104は、ブロック340で、表1の流れ#2に従って、状態データを含むインバウンド・メタデータを付加することができ、ブロック350で、セキュア・データ・リンク105を介してホストIHS103にデータ・パケットを送信する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック355で、外部セキュリティ・オフロード・デバイス104からデータ・パケットを受信し、ブロック360で、状態チェックを実施する。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック365で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182’に転送する。プロセス・フローはブロック370で終了する。
On the other hand, if the packet requires security processing, the external
図5のフロー・チャートは、外部セキュリティ・オフロード・デバイス104において、ホストIHS103に代行して、アウトバウンド・データ・パケットにセキュリティを適用する、本開示の方法の別の実施形態を表す。この実施形態は、暗号化およびカプセル化などのセキュリティ・オペレーションを必要とする当該データ・パケットを取り扱うために、「バンド外」処理を用いる。かかるバンド外処理において、ステートレス外部セキュリティ・オフロード・デバイス104は、ステートレス外部セキュリティ・オフロード・デバイス104がセキュリティ処理のためホストIHS103から受信したデータ・パケットの、暗号化およびカプセル化などのセキュリティ・オペレーションを取り扱う。また一方、ステートレス外部セキュリティ・オフロード・デバイス104は、得られたカプセル化・暗号化されたデータ・パケットを、そのデータ・パケットの宛先への送信のために、ホストIHS103に返送する。また、外部セキュリティ・オフロード・デバイス104は、ファイアウォールまたはIDSの提供など、他のネットワーキング機能を実施することができる。
The flow chart of FIG. 5 represents another embodiment of the disclosed method of applying security to outbound data packets on behalf of the
さらに詳しくは、プロセス・フローは開始ブロック405から始まる。ホストIHS103中のアプリケーション182”は、ブロック410で、ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’にデータ・パケットを送信する。ネットワーク・ソフトウェア183’は、判定ブロック415で、データ・パケットのネットワーク送信が、該データ・パケットへのセキュリティ・プロトコルの適用を必要とするかどうかを判定するための検査を行う。ネットワーク・ソフトウェア183’は、セキュリティ・ポリシを参照してこの判定を行う。アプリケーション182”は、ネットワーク・ソフトウェア183’のTCP/IPスタック184に、セキュリティ・プロトコルの該データ・パケットへの適用に対する判定を開始するよう命令することができる。ネットワーク・ソフトウェア183’が、データ・パケットはセキュリティ・プロトコルの適用を必要としないと判定した場合、ホストIHS103は、ブロック445で、パケットを、内部ネットワーク・インターフェース・コントローラ107を介して直接、最終宛先のネットワーク・ノードに伝送する。プロセス・フローはブロック450で終了する。
More particularly, the process flow begins at
また一方、ネットワーク送信が、データ・パケットへのセキュリティの適用を必要とする場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック420で、表1の流れ#3に従って、メタデータおよび状態データを付けることができる。このメタデータはアウトバウンド・メタデータである。ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’は、ブロック425で、メタデータおよびデータ・パケットを、ネットワーク・セキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック430で、データ・パケットおよびメタデータを受信して読み出す。また、外部セキュリティ・オフロード・デバイス104は、ブロック435で、ファイアウォール処理もしくはIDSまたはその両方など、任意の処理を行うことが可能である。外部セキュリティ・オフロード・デバイス104は、ブロック440で、データ・パケットをカプセル化および暗号化して、暗号化・カプセル化されたデータ・パケットを、セキュア・データ・リンク105経由で、オペレーティング・システム181’中のネットワーク・ソフトウェア183’に返送する。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック443で、カプセル化されたパケットを受信する。ネットワーク・ソフトウェア183’は、ブロック445で、カプセル化されたデータ・パケットを、内部ネットワーク・インターフェース・コントローラ107を介し、通信ネットワーク102経由で最終宛先ネットワーク・ノードに送信する。プロセス・フローはブロック450で終了する。
On the other hand, if the network transmission requires security to be applied to the data packet, the
図6のフロー・チャートは、内部ネットワーク・インターフェース・コントローラ107を介してネットワークからデータ・パケットを受信する、本開示の方法の別の実施形態を表す。この実施形態は、カプセル化解除および暗号解読などのセキュリティ・オペレーションを必要とするインバウンド・データ・パケットを取り扱うため、「バンド外」処理を用いる。インバウンド・データ・パケットは、ホストIHS103が他のネットワーク・ノードから受信するデータ・パケットである。バンド外処理において、ステートレス外部セキュリティ・オフロード・デバイス104は、ステートレス外部セキュリティ・オフロード・デバイス104が、セキュリティ処理のためホストIHS103から受信したデータ・パケットの、暗号解読およびカプセル化解除などのセキュリティ・オペレーションを取り扱う。また一方、ステートレス外部セキュリティ・オフロード・デバイス104は、得られたカプセル化解除・暗号解読されたデータ・パケットを、当該データ・パケットの宛先アプリケーション182’に転送するためホストIHS103に返送する。
The flow chart of FIG. 6 represents another embodiment of the disclosed method of receiving data packets from the network via the internal
さらに詳しくは、プロセス・フローは開始ブロック505から始まる。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック510で、内部ネットワーク・インターフェース・コントローラ107からデータ・パケットを受信する。この受信されたデータ・パケットは、ネットワーク・ノード101のホストIHS103が別のネットワーク・ノードから受信したインバウンド・データ・パケットである。ネットワーク・ソフトウェア183’は、判定ブロック520で、データ・パケットがセキュリティ処理を必要とするかどうかを判定するための検査を行う。データ・パケットがセキュリティ処理を必要としない場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック565で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182”に転送する。プロセス・フローはブロック570で終了する。
More particularly, the process flow begins at
また一方、データ・パケットがセキュリティ処理を必要とする場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック525で、データ・パケットを、セキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック530でパケットを受信し、ブロック535で、そのパケットをカプセル化解除および暗号解読する。外部セキュリティ・オフロード・デバイス104は、ブロック540で、任意に、ファイアウォール処理もしくはIDSまたはその両方、あるいはその他のサービスを実施することが可能である。外部セキュリティ・オフロード・デバイス104は、ブロック545で、表1の流れ#3に従って、状態データを含むセキュリティ・メタデータをパケットに付加することができる。外部セキュリティ・オフロード・デバイス104は、ブロック550で、カプセル化解除・暗号解読されたデータ・パケットを、セキュア・データ・リンク105を介して、オペレーティング・システム181’中のネットワーク・ソフトウェア183’に返送する。オペレーティング・システム181中’のネットワーク・ソフトウェア183’は、ブロック555で、カプセル化解除・暗号解読されたデータ・パケットを外部セキュリティ・オフロード・デバイス104から受信し、ブロック560で状態チェックを実施する。ホストIHS103中のネットワーク・ソフトウェア183’は、次いで、ブロック565で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182”に転送する。ネットワーク・ソフトウェア183’によるデータ・パケットのこの処理は、アプリケーション182”にデータ・パケットを提示する前の、プロトコルおよび整合性のチェックを含み得る。プロセス・フローはブロック570で終了する。
On the other hand, if the data packet requires security processing, the
図4のインバウンドのバンド内の実施形態では、外部セキュリティ・オフロード・デバイス104は、該外部セキュリティ・オフロード・デバイス104があるセキュリティ・パケットがセキュリティ処理を必要とするかどうかを単独で判定できるように、静的SA情報のコピーを格納する。全4つの実施形態、すなわち、図3のアウトバウンドのバンド内の実施形態、図4のインバウンドのバンド内の実施形態、図5のアウトバウンドのバンド外の実施形態、および図6のインバウンドのバンド外の実施形態において、外部セキュリティ・オフロード・デバイス104は、SA情報を格納することが可能である。但し、図4のインバウンドのバンド内の実施形態では、外部セキュリティ・オフロード・デバイス104があるセキュリティ・パケットがセキュリティ処理を必要とするかどうかを単独で判定できるようするためには、該セキュリティ・オフロード・デバイス104が、不変のSA情報すなわち静的SA情報を格納することが必要となり得る。
In the in-band embodiment of FIG. 4, the external
本明細書で使用する用語は、単に特定の実施形態を説明する目的のためのものであり、本発明を限定することは意図されていない。本明細書で用いられる、単数形「ある(“a”、“an”)」、および「該(“the”)」は、文脈上明確に別途に示されていなければ、複数形も同じように含むことが意図されている。さらに、当然のことながら本明細書で用いられる「含む(“comprise”)」もしくは「含んでいる(“comprising”)」またはその両方は、述べられた機能、完全体(integer)、ステップ、ブロック、オペレーション、エレメント、もしくはコンポーネント、またはこれらの組み合わせの存在を特定するが、一つ以上の他の機能、完全体(integer)、ステップ、ブロック、オペレーション、エレメント、コンポーネント、もしくはこれらの群、または上記の組み合わせの存在または追加を排除するものではない。 The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. As used herein, the singular forms “a”, “an”, and “the” unless the context clearly indicates otherwise. Is intended to be included. Further, it is to be understood that “comprise” and / or “comprising”, or both, are used herein to describe any function, integer, step, block, or function described. , Operation, element, or component, or combination thereof, but one or more other functions, integers, steps, blocks, operations, elements, components, or groups thereof, or the above It does not exclude the presence or addition of combinations.
添付の請求項中のミーンズ・プラス・ファンクションまたはステップ・プラス・ファンクションの要素全ての、対応する構造、材料、動作および均等物は、具体的に請求された他の請求要素と組み合わせてその機能を遂行するための、一切の構造、材料または動作を包含することが意図されている。本発明の記述は、例示および説明の目的で提示されたもので、網羅的であることも、または本発明を開示した形態に限定することも意図されていない。当業者には、本発明の範囲および趣旨から逸脱することのない多くの修改および変形が明白であろう。例えば、当業者は、本明細書に記載された装置および方法のロジック・センス(ロジック高(1)、ロジック低(0))を逆にしても等価な結果が得られることはよく理解していよう。本実施形態は、本発明の原理および実際的な応用を最善に説明し、他の当業者が、意図する特定の用途に適したさまざまな修改を加えたさまざまな実施形態に関して、本発明を理解できるように選択し説明されたものである。 The corresponding structure, materials, operations and equivalents of all means-plus-function or step-plus-function elements in the appended claims may be combined with other specifically claimed elements to perform their functions. It is intended to encompass any structure, material, or operation to accomplish. The description of the present invention has been presented for purposes of illustration and description, and is not intended to be exhaustive or limited to the invention in the form disclosed. Many modifications and variations will be apparent to those skilled in the art without departing from the scope and spirit of the invention. For example, those skilled in the art are well aware that reversing the logic sense (logic high (1), logic low (0)) of the devices and methods described herein will provide equivalent results. Like. This embodiment best describes the principles and practical applications of the present invention, and other persons skilled in the art will understand the present invention in terms of various embodiments with various modifications suitable for the specific intended use. It has been selected and explained as possible.
Claims (32)
ホストIHSによって、データ・パケットがセキュリティ処理を必要とするデータ・パケットかどうかを判定するステップと、
前記ホストIHSが、前記データ・パケットはセキュリティ処理を必要としないと判定した場合、前記ホストIHSによって、前記データ・パケットを内部ネットワーク・インターフェース・コントローラに提供するステップであって、前記内部ネットワーク・インターフェース・コントローラは、前記データ・パケットを、前記ホストIHS以外のIHSへの通信のため、通信ネットワークに送信する、前記提供するステップと、
前記ホストIHSが、前記データ・パケットはセキュリティ処理を必要とすると判定した場合、前記ホストIHSによって、前記データ・パケットおよび関連するセキュリティ・メタデータを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するステップであって、前記ステートレス外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記提供するステップと、
前記オフロードされたデータ・パケットを、前記ステートレス外部セキュリティ・オフロード・デバイスによって暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するステップと、
前記カプセル化・暗号化されたデータ・パケットを、前記ステートレス外部セキュリティ・オフロード・デバイスによって、さらなる処理のため、前記セキュア・データ・リンクを介して前記ホストIHSに返送するステップと、
前記カプセル化・暗号化されたデータ・パケットを、前記ホストIHSの前記内部ネットワーク・インターフェース・コントローラによって、前記ホストIHS以外のIHSへの通信のため通信ネットワークに送信するステップと、
を含む方法。 Storing security metadata associated with the data packet by a host information processing system (IHS);
Determining by the host IHS whether the data packet is a data packet requiring security processing;
If the host IHS determines that the data packet does not require security processing, the host IHS provides the data packet to an internal network interface controller, the internal network interface The controller sends the data packet to a communication network for communication to an IHS other than the host IHS, the providing step;
If the host IHS determines that the data packet requires security processing, the host IHS sends the data packet and associated security metadata over a secure data link to a stateless external security Offloading to an offload device, thus providing an offloaded data packet, wherein the stateless external security offload device is external to the host IHS;
Encrypting and encapsulating the offloaded data packet by the stateless external security offload device, thereby providing an encapsulated and encrypted data packet;
Sending the encapsulated and encrypted data packet back to the host IHS via the secure data link for further processing by the stateless external security offload device;
Transmitting the encapsulated / encrypted data packet to a communication network for communication to an IHS other than the host IHS by the internal network interface controller of the host IHS;
Including methods.
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
を含む、ネットワーク・ノードであって、
前記ホストIHSは、データ・パケットに関連するセキュリティ・メタデータを格納するよう構成され、前記ホストIHSは、前記データ・パケットおよび関連するセキュリティ・メタデータを、前記セキュア・データ・リンクを介して前記ステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するようさらに構成されており、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
前記オフロードされたデータ・パケットおよび関連するセキュリティ・メタデータを受信し、
前記オフロードされたデータ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供し、
前記カプセル化・暗号化されたデータ・パケットを、さらなる処理のため、前記ホストIHSに返送する、
よう構成されており、
前記ホストIHSが、
前記カプセル化・暗号化されたデータ・パケットを、前記ホストIHS以外のIHSへの通信のため、前記ホストIHSの前記内部ネットワーク・インターフェース・コントローラを介して通信ネットワークに送信する、
ようさらに構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
A network node comprising:
The host IHS is configured to store security metadata associated with a data packet, and the host IHS transmits the data packet and associated security metadata over the secure data link. Further configured to offload to a stateless external security offload device, thus providing an offloaded data packet;
The stateless external security offload device is:
Receiving the offloaded data packet and associated security metadata;
Encrypting and encapsulating said offloaded data packet, thus providing an encapsulated and encrypted data packet;
Sending the encapsulated / encrypted data packet back to the host IHS for further processing;
It is configured as
The host IHS is
Transmitting the encapsulated / encrypted data packet to a communication network via the internal network interface controller of the host IHS for communication to an IHS other than the host IHS;
As further configured,
Network node.
前記ホストIHSによって、前記受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するステップと、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、前記受信されたデータ・パケットを、前記ホストIHSによって、処理のため前記ホストIHS中のアプリケーションに転送するステップと、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、前記受信されたデータ・パケットを、前記ホストIHSによって、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードするステップであって、前記ステートレス外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記オフロードするステップと、
前記受信されたデータ・パケットを、前記ステートレス外部セキュリティ・オフロード・デバイスによってカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するステップと、
前記カプセル化解除・暗号解読されたデータ・パケットを、前記ホストIHS中の前記アプリケーションによるさらなる処理のため、前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記セキュア・データ・リンクを介して前記ホストIHSに返送するステップと、
を含む方法。 Receiving a data packet from a communication network by an internal network interface controller internal to a host information processing system (IHS) and thus providing the received data packet;
Determining by the host IHS whether the received data packet is an encapsulated / encrypted data packet requiring security processing;
If the host IHS determines that the received data packet is not an encapsulated / encrypted data packet that requires security processing, the host IHS processes the received data packet. Transferring to an application in the host IHS for:
If the host IHS determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the received data packet is transmitted by the host IHS. Offloading to a stateless external security offload device over a secure data link, wherein the stateless external security offload device is external to the host IHS; and
Decapsulating and decrypting the received data packet by the stateless external security offload device, thereby providing a decapsulated and decrypted data packet;
The unencapsulated and decrypted data packet is sent by the stateless external security offload device via the secure data link for further processing by the application in the host IHS. Step back to
Including methods.
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
を含むネットワーク・ノードであって、
前記ホストIHSは、
通信ネットワークから、前記内部ネットワーク・インターフェース・コントローラを介してデータ・パケットを受信し、しかして受信されたデータ・パケットを提供し、
前記受信されたデータ・パケットがセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定し、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、前記受信されたデータ・パケットを、処理のため前記ホストIHS中のアプリケーションに転送し、
前記ホストIHSが、前記受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、前記受信されたデータ・パケットを、前記セキュア・データ・リンクを介して前記ステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供する、
よう構成されており、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
前記オフロードされたデータ・パケットをカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供し、
前記カプセル化解除・暗号解読されたデータ・パケットを、前記ホストIHS中の前記アプリケーションによるさらなる処理のため、前記セキュア・データ・リンクを介して前記ホストIHSに返送する、
よう構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
A network node containing
The host IHS is
Receiving a data packet from a communication network via the internal network interface controller, thus providing the received data packet;
Determining whether the received data packet is an encapsulated / encrypted data packet requiring security processing;
If the host IHS determines that the received data packet is not an encapsulated / encrypted data packet that requires security processing, the received data packet is sent to the host IHS for processing. Forward to the application inside
If the host IHS determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the received data packet is designated as the secure data packet. Offloading over the link to the stateless external security offload device, thus providing offloaded data packets;
It is configured as
The stateless external security offload device is:
Decapsulating and decrypting said offloaded data packet, thus providing an unencapsulated and decrypted data packet;
Sending the decapsulated and decrypted data packet back to the host IHS via the secure data link for further processing by the application in the host IHS;
Configured as
Network node.
前記ホストIHSによって、前記データ・パケットおよびセキュリティ・メタデータを、セキュア・データ・リンクを介して、前記ホストIHSの外部にあるステートレス外部セキュリティ・オフロード・デバイスにオフロードするステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記データ・パケットおよびセキュリティ・メタデータを受信するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記データ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記カプセル化・暗号化されたデータ・パケットを外部ネットワーク・インターフェース・コントローラに送信するステップと、
前記外部ネットワーク・インターフェース・コントローラによって、前記カプセル化・暗号化されたデータ・パケットを、前記ホストIHS以外のIHSとの通信のため通信ネットワークに送信するステップと、
を含む方法。 Storing security metadata related to data packets by a host information processing system (IHS);
Offloading the data packet and security metadata by the host IHS via a secure data link to a stateless external security offload device external to the host IHS;
Receiving the data packet and security metadata by the stateless external security offload device;
Encrypting and encapsulating the data packet by the stateless external security offload device, thereby providing an encapsulated and encrypted data packet;
Sending the encapsulated and encrypted data packet by the stateless external security offload device to an external network interface controller;
Transmitting the encapsulated / encrypted data packet by the external network interface controller to a communication network for communication with an IHS other than the host IHS;
Including methods.
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
前記ステートレス外部セキュリティ・オフロード・デバイスに連結された外部ネットワーク・インターフェース・コントローラであって、前記外部ネットワーク・インターフェース・コントローラは前記ホストIHSの外部にある、前記コントローラと、
を含むネットワーク・ノードであって、
前記ホストIHSは、データ・パケットに関係するセキュリティ・メタデータを格納し、前記データ・パケットおよびセキュリティ・メタデータを、前記セキュア・データ・リンクを介して前記ステートレス外部セキュリティ・オフロード・デバイスにオフロードするよう構成されており、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
前記データ・パケットおよびセキュリティ・メタデータを受信し、
前記データ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供し、
前記カプセル化・暗号化されたデータ・パケットを前記外部ネットワーク・インターフェース・コントローラに送信する、
よう構成されており、
前記外部ネットワーク・インターフェース・コントローラは、前記ホストIHS以外のIHSとの通信のため、前記カプセル化されたデータ・パケットを通信ネットワークに送信するよう構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
An external network interface controller coupled to the stateless external security offload device, the external network interface controller being external to the host IHS; and
A network node containing
The host IHS stores security metadata related to data packets and off the data packets and security metadata to the stateless external security offload device via the secure data link. Configured to load,
The stateless external security offload device is:
Receiving the data packet and security metadata;
Encrypting and encapsulating said data packet, thus providing an encapsulated and encrypted data packet;
Sending the encapsulated / encrypted data packet to the external network interface controller;
It is configured as
The external network interface controller is configured to transmit the encapsulated data packet to a communication network for communication with an IHS other than the host IHS;
Network node.
前記受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを、前記ホストIHSの外部にあるステートレス外部セキュリティ・オフロード・デバイスによって判定するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスが、前記受信されたデータ・パケットはセキュリティ処理を必要としないデータ・パケットであると判定した場合、前記受信されたデータ・パケットをそのまま、前記ステートレス外部セキュリティ・オフロード・デバイスによって前記ホストIHSに送信するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスが、前記受信されたデータ・パケットは、セキュリティ処理を必要とする、カプセル化・暗号化されたデータ・パケットであると判定した場合、前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記受信されたデータ・パケットをカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するステップと、
前記ステートレス外部セキュリティ・オフロード・デバイスによって、前記カプセル化解除・暗号解読されたデータ・パケットを、セキュア・データ・リンクを介して前記ホストIHSに送信するステップと、
を含む方法。 Receiving a data packet from a communication network by an external network interface controller external to a host information processing system (IHS), and providing the received data packet;
Determining whether the received data packet is an encapsulated / encrypted data packet requiring security processing by a stateless external security offload device external to the host IHS;
If the stateless external security offload device determines that the received data packet is a data packet that does not require security processing, the stateless external security offload device keeps the received data packet as it is. Transmitting to the host IHS by an offload device;
If the stateless external security offload device determines that the received data packet is an encapsulated / encrypted data packet that requires security processing, the stateless external security offload device Decapsulating and decrypting the received data packet by a load device, thereby providing an unencapsulated and decrypted data packet;
Sending the decapsulated and decrypted data packet by the stateless external security offload device to the host IHS over a secure data link;
Including methods.
前記ホストIHSに連結されたセキュア・データ・リンクと、
前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレス外部セキュリティ・オフロード・デバイスであって、前記外部セキュリティ・オフロード・デバイスは前記ホストIHSの外部にある、前記デバイスと、
前記ステートレス外部セキュリティ・オフロード・デバイスに連結された外部ネットワーク・インターフェース・コントローラであって、前記外部ネットワーク・インターフェース・コントローラは前記ホストIHSの外部にある、前記コントローラと、
を含むネットワーク・ノードであって、
前記ステートレス外部セキュリティ・オフロード・デバイスは、
通信ネットワークからカプセル化・暗号化されたデータ・パケットを受信し、
前記カプセル化・暗号化されたデータ・パケットを、カプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供し、
前記カプセル化解除・暗号解読されたデータ・パケットを前記ホストIHSに送信する、
よう構成されている、
ネットワーク・ノード。 A host information processing system (IHS) including an internal network interface controller;
A secure data link coupled to the host IHS;
A stateless external security offload device coupled to the host IHS via the secure data link, the external security offload device being external to the host IHS; and
An external network interface controller coupled to the stateless external security offload device, the external network interface controller being external to the host IHS; and
A network node containing
The stateless external security offload device is:
Receives encapsulated / encrypted data packets from the communication network,
Decapsulating and decrypting the encapsulated / encrypted data packet, thereby providing an unencapsulated / decrypted data packet;
Sending the decapsulated and decrypted data packet to the host IHS;
Configured as
Network node.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/400,575 | 2012-02-21 | ||
US13/400,575 US20130219167A1 (en) | 2012-02-21 | 2012-02-21 | Network node with network-attached stateless security offload device employing in-band processing |
US13/400,577 US8918634B2 (en) | 2012-02-21 | 2012-02-21 | Network node with network-attached stateless security offload device employing out-of-band processing |
US13/400,577 | 2012-02-21 | ||
PCT/IB2013/051061 WO2013124758A1 (en) | 2012-02-21 | 2013-02-08 | Network node with network-attached stateless security offload device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015511434A true JP2015511434A (en) | 2015-04-16 |
JP5746446B2 JP5746446B2 (en) | 2015-07-08 |
Family
ID=49005080
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014553855A Active JP5746446B2 (en) | 2012-02-21 | 2013-02-08 | Network node with network-attached stateless security offload device |
Country Status (5)
Country | Link |
---|---|
JP (1) | JP5746446B2 (en) |
CN (1) | CN104137508B (en) |
DE (1) | DE112013000649B4 (en) |
GB (1) | GB2512807B (en) |
WO (1) | WO2013124758A1 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018525918A (en) * | 2015-08-05 | 2018-09-06 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | Method, apparatus and system for processing order information |
JP2018157411A (en) * | 2017-03-17 | 2018-10-04 | 株式会社東芝 | Information processor |
JP2019511149A (en) * | 2016-02-12 | 2019-04-18 | ジェイピーユー.アイオー リミテッドJpu.Io Ltd | Mobile Security Offloader |
JP2019519990A (en) * | 2016-12-23 | 2019-07-11 | 深▲せん▼前海達闥云端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co.,Ltd. | Block generation method, apparatus and block chain network |
JP2020102741A (en) * | 2018-12-21 | 2020-07-02 | 瀧口 信太郎 | Authentication system, authentication method, and authentication program |
JP2022540939A (en) * | 2019-07-19 | 2022-09-20 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | Techniques for call authentication |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3175385A4 (en) * | 2014-07-29 | 2018-01-03 | Hewlett-Packard Development Company, L.P. | Transmit an authentication mark |
CN104243484B (en) * | 2014-09-25 | 2016-04-13 | 小米科技有限责任公司 | Information interacting method and device, electronic equipment |
GB2533098B (en) | 2014-12-09 | 2016-12-14 | Ibm | Automated management of confidential data in cloud environments |
JP5847345B1 (en) * | 2015-04-10 | 2016-01-20 | さくら情報システム株式会社 | Information processing apparatus, authentication method, and program |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005099170A1 (en) * | 2004-04-05 | 2005-10-20 | Nippon Telegraph And Telephone Corporation | Packet encryption substituting device, method thereof, and program recording medium |
JP2006041726A (en) * | 2004-07-23 | 2006-02-09 | Matsushita Electric Ind Co Ltd | Shared key replacing system, shared key replacing method and method program |
US20070039044A1 (en) * | 2005-08-11 | 2007-02-15 | International Business Machines Corporation | Apparatus and Methods for Processing Filter Rules |
JP2007329730A (en) * | 2006-06-08 | 2007-12-20 | Kawasaki Microelectronics Kk | Communication protocol processor |
JP2009230476A (en) * | 2008-03-24 | 2009-10-08 | Toshiba Corp | Device, method and program for processing message |
JP2010016526A (en) * | 2008-07-02 | 2010-01-21 | Mitsubishi Electric Corp | Communication device, encryption communication system, communication method, and communication program |
WO2011116342A2 (en) * | 2010-03-19 | 2011-09-22 | F5 Networks, Inc. | Proxy ssl handoff via mid-stream renegotiation |
JP2013025374A (en) * | 2011-07-15 | 2013-02-04 | Fujitsu Semiconductor Ltd | Security device and security system |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
US20050060538A1 (en) * | 2003-09-15 | 2005-03-17 | Intel Corporation | Method, system, and program for processing of fragmented datagrams |
US20090038004A1 (en) * | 2007-07-31 | 2009-02-05 | Gabor Blasko | Role change based on coupling or docking of information handling apparatus and method for same |
CN101222509B (en) * | 2008-01-22 | 2011-10-26 | 中兴通讯股份有限公司 | Data protection transmission method of P2P network |
CN201788511U (en) * | 2010-08-18 | 2011-04-06 | 赵景壁 | Safety information exchange device |
-
2013
- 2013-02-08 WO PCT/IB2013/051061 patent/WO2013124758A1/en active Application Filing
- 2013-02-08 CN CN201380010353.3A patent/CN104137508B/en not_active Expired - Fee Related
- 2013-02-08 JP JP2014553855A patent/JP5746446B2/en active Active
- 2013-02-08 DE DE112013000649.9T patent/DE112013000649B4/en active Active
- 2013-02-08 GB GB1414604.7A patent/GB2512807B/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005099170A1 (en) * | 2004-04-05 | 2005-10-20 | Nippon Telegraph And Telephone Corporation | Packet encryption substituting device, method thereof, and program recording medium |
JP2006041726A (en) * | 2004-07-23 | 2006-02-09 | Matsushita Electric Ind Co Ltd | Shared key replacing system, shared key replacing method and method program |
US20070039044A1 (en) * | 2005-08-11 | 2007-02-15 | International Business Machines Corporation | Apparatus and Methods for Processing Filter Rules |
JP2007329730A (en) * | 2006-06-08 | 2007-12-20 | Kawasaki Microelectronics Kk | Communication protocol processor |
JP2009230476A (en) * | 2008-03-24 | 2009-10-08 | Toshiba Corp | Device, method and program for processing message |
JP2010016526A (en) * | 2008-07-02 | 2010-01-21 | Mitsubishi Electric Corp | Communication device, encryption communication system, communication method, and communication program |
WO2011116342A2 (en) * | 2010-03-19 | 2011-09-22 | F5 Networks, Inc. | Proxy ssl handoff via mid-stream renegotiation |
JP2013025374A (en) * | 2011-07-15 | 2013-02-04 | Fujitsu Semiconductor Ltd | Security device and security system |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018525918A (en) * | 2015-08-05 | 2018-09-06 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | Method, apparatus and system for processing order information |
US11488234B2 (en) | 2015-08-05 | 2022-11-01 | Tencent Technology (Shenzhen) Company Limited | Method, apparatus, and system for processing order information |
JP2019511149A (en) * | 2016-02-12 | 2019-04-18 | ジェイピーユー.アイオー リミテッドJpu.Io Ltd | Mobile Security Offloader |
JP2019519990A (en) * | 2016-12-23 | 2019-07-11 | 深▲せん▼前海達闥云端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co.,Ltd. | Block generation method, apparatus and block chain network |
JP2018157411A (en) * | 2017-03-17 | 2018-10-04 | 株式会社東芝 | Information processor |
CN108632038A (en) * | 2017-03-17 | 2018-10-09 | 株式会社东芝 | Information processing unit |
JP2020102741A (en) * | 2018-12-21 | 2020-07-02 | 瀧口 信太郎 | Authentication system, authentication method, and authentication program |
JP2022540939A (en) * | 2019-07-19 | 2022-09-20 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | Techniques for call authentication |
US11729624B2 (en) | 2019-07-19 | 2023-08-15 | Capital One Services, Llc | Techniques for call authentication |
Also Published As
Publication number | Publication date |
---|---|
GB2512807A (en) | 2014-10-08 |
JP5746446B2 (en) | 2015-07-08 |
CN104137508B (en) | 2017-07-07 |
GB2512807B (en) | 2014-11-19 |
DE112013000649T5 (en) | 2014-11-06 |
CN104137508A (en) | 2014-11-05 |
GB201414604D0 (en) | 2014-10-01 |
DE112013000649B4 (en) | 2020-11-19 |
WO2013124758A1 (en) | 2013-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5746446B2 (en) | Network node with network-attached stateless security offload device | |
US8826003B2 (en) | Network node with network-attached stateless security offload device employing out-of-band processing | |
AU2021201714B2 (en) | Client(s) to cloud or remote server secure data or file object encryption gateway | |
CN109150688B (en) | IPSec VPN data transmission method and device | |
US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
US10250571B2 (en) | Systems and methods for offloading IPSEC processing to an embedded networking device | |
US20130219171A1 (en) | Network node with network-attached stateless security offload device employing in-band processing | |
JP2006121510A (en) | Encryption communications system | |
KR20070017322A (en) | Technique for maintaining secure network connections | |
WO2016124016A1 (en) | Ipsec acceleration method, device and system | |
CA3066728A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
JP2011176395A (en) | IPsec COMMUNICATION METHOD AND IPsec COMMUNICATION SYSTEM | |
EP4205354A1 (en) | Partial packet encryption for encrypted tunnels | |
KR20030013496A (en) | Device for sending data using multi-tunneled virtual private network gateway | |
WO2020140842A1 (en) | Data transmission method, device and system | |
US11539668B2 (en) | Selective transport layer security encryption | |
JP3651424B2 (en) | Large-scale IPSec VPN construction method, large-scale IPSec VPN system, program, and key sharing information processing apparatus | |
US20080059788A1 (en) | Secure electronic communications pathway | |
US20230083034A1 (en) | Selective transport layer security encryption | |
JP2005252464A (en) | Communication method, communication terminal and gateway unit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150311 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150414 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150507 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5746446 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |