JP5746446B2 - ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード - Google Patents

ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード Download PDF

Info

Publication number
JP5746446B2
JP5746446B2 JP2014553855A JP2014553855A JP5746446B2 JP 5746446 B2 JP5746446 B2 JP 5746446B2 JP 2014553855 A JP2014553855 A JP 2014553855A JP 2014553855 A JP2014553855 A JP 2014553855A JP 5746446 B2 JP5746446 B2 JP 5746446B2
Authority
JP
Japan
Prior art keywords
network
external
security
offload device
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014553855A
Other languages
English (en)
Other versions
JP2015511434A (ja
Inventor
ムーネン、スコット、クリストファー
ジュニア、リンウッド、ヒュー オーバーバイ
ジュニア、リンウッド、ヒュー オーバーバイ
メイヤー、クリストファー
ギアハート、カーチス、マシュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/400,575 external-priority patent/US20130219167A1/en
Priority claimed from US13/400,577 external-priority patent/US8918634B2/en
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2015511434A publication Critical patent/JP2015511434A/ja
Application granted granted Critical
Publication of JP5746446B2 publication Critical patent/JP5746446B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Description

本発明は、一般に情報処理システム(IHS:information handling system)におけるデータ・セキュリティに関し、さらに具体的には、ネットワーク接続されたIHS間の通信におけるデータ・セキュリティに関する。
発信元IHSおよび宛先IHSの認証によってネットワーク通信のセキュリティを高めることが可能である。また、発信元IHSと宛先IHSとの間の通信の暗号化も、ネットワーク通信のセキュリティを高めることができる。
セキュリティ・プロトコルを用いて保護されたデータ・パケットを、通信ネットワーク経由で通信するための方法およびネットワーク・ノードを提供する。
一態様において、ホスト情報処理システム(IHS)によって、データ・パケットに関連するセキュリティ・メタデータを格納するステップを含む、セキュリティ・オフロード方法が開示される。また、本方法は、ホストIHSによって、データ・パケットがセキュリティ処理を必要とするデータ・パケットかどうかを判定するステップを含む。本方法は、ホストIHSがデータ・パケットはセキュリティ処理を必要としないと判定した場合、ホストIHSによって、そのデータ・パケットを内部ネットワーク・インターフェース・コントローラに提供するステップをさらに含み、内部ネットワーク・インターフェース・コントローラは、ホストIHS以外のIHSへの通信のため、データ・パケットを通信ネットワークに送信する。本方法は、ホストIHSがデータ・パケットはセキュリティ処理を必要とすると判定した場合、ホストIHSによって、セキュア・データ・リンクを介し、そのデータ・パケットおよび関連するセキュリティ・メタデータを、ステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するステップをさらに含み、このステートレス外部セキュリティ・オフロード・デバイスはホストIHSの外部にある。また、本方法は、オフロードされたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによって暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するステップを含む。本方法は、カプセル化・暗号化されたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによって、さるなる処理のため、セキュア・データ・リンクを介してホストIHSに返送するステップをさらに含む。また、本方法は、カプセル化・暗号化されたデータ・パケットを、ホストIHSの内部ネットワーク・インターフェース・コントローラによって、ホストIHS以外のIHSへの通信のため通信ネットワークに送信するステップを含む。
別の態様において、ホスト情報処理システム(IHS)を含むネットワーク・ノードが開示される。このホストIHSは、内部ネットワーク・インターフェース・コントローラを含む。本ネットワーク・ノードは、ホストIHSに連結するセキュア・データ・リンクを含む。また、本ネットワーク・ノードは、このセキュア・データ・リンクを介してホストIHSに連結するステートレス外部セキュリティ・オフロード・デバイスを含む。この外部セキュリティ・オフロード・デバイスは、ホストIHSの外部にある。ホストIHSは、データ・パケットに関連するセキュリティ・メタデータを格納するよう構成される。また、このホストIHSは、データ・パケットおよび関連するセキュリティ・メタデータを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するよう構成される。ステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットおよびするセキュリティ・メタデータを受信するよう構成される。また、ステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットを暗号化およびカプセル化し、しかしてカプセル化・暗号化されたデータ・パケットを提供するよう構成される。ステートレス外部セキュリティ・オフロード・デバイスは、カプセル化・暗号化されたデータ・パケットを、さらなる処理のためホストIHSに返送するようさらに構成される。また、ホストIHSは、カプセル化・暗号化されたデータ・パケットを、ホストIHS以外のIHSへの通信のため、ホストIHSの内部ネットワーク・インターフェース・コントローラを介して通信ネットワークに送信するよう構成される。
さらに別の態様において、ホスト情報処理システム(IHS)の内部にある内部ネットワーク・インターフェース・コントローラによって、通信ネットワークからデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するステップを含む、セキュリティ・オフロード方法が開示される。また、本方法は、ホストIHSによって、受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するステップを含む。本方法は、ホストIHSが、受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、受信されたデータ・パケットを、IHSによって、処理のためホストIHS中のアプリケーションに転送するステップをさらに含む。本方法は、ホストIHSが、受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、その受信されたデータ・パケットを、ホストIHSによって、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードするステップをさらに含み、このステートレス外部セキュリティ・オフロード・デバイスはホストIHSの外部にある。また、本方法は、受信されたデータ・パケットを、ステートレス外部セキュリティ・オフロード・デバイスによってカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するステップを含む。本方法は、カプセル化解除・暗号解読されたデータ・パケットを、ホストIHS中のアプリケーションによるさるなる処理のため、ステートレス外部セキュリティ・オフロード・デバイスによって、セキュア・データ・リンクを介してホストIHSに返送するステップをさらに含む。
別の態様において、ホスト情報処理システム(IHS)を含むネットワーク・ノードが開示される。このホストIHSは、内部ネットワーク・インターフェース・コントローラを含む。本ネットワーク・ノードは、ホストIHSに連結するセキュア・データ・リンクを含む。また、本ネットワーク・ノードは、セキュア・データ・リンクを介してホストIHSに連結するステートレス外部セキュリティ・オフロード・デバイスを含む。この外部セキュリティ・オフロード・デバイスは、ホストIHSの外部にある。ホストIHSは、通信ネットワークから内部インターフェース・コントローラを介してデータ・パケットを受信し、しかして受信されたデータ・パケットを提供するよう構成される。また、ホストIHSは、受信されたデータ・パケットが、セキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットかどうかを判定するよう構成される。ホストIHSは、ホストIHSが受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットでないと判定した場合、受信されたデータ・パケットを、処理のためホストIHS中のアプリケーションに転送するよう構成される。ホストIHSは、ホストIHSが受信されたデータ・パケットはセキュリティ処理を必要とするカプセル化・暗号化されたデータ・パケットであると判定した場合、その受信されたデータ・パケットを、セキュア・データ・リンクを介してステートレス外部セキュリティ・オフロード・デバイスにオフロードし、しかしてオフロードされたデータ・パケットを提供するようさらに構成される。このステートレス外部セキュリティ・オフロード・デバイスは、オフロードされたデータ・パケットをカプセル化解除および暗号解読し、しかしてカプセル化解除・暗号解読されたデータ・パケットを提供するよう構成される。また、ステートレス外部セキュリティ・オフロード・デバイスは、カプセル化解除・暗号解読されたデータ・パケットを、ホストIHS中のアプリケーションによるさるなる処理のため、セキュア・データ・リンクを介してホストIHSに返送するよう構成される。
本発明のさらなる特徴が、添付の他の請求項に定義されている。
単なる例示を目的として、本発明の実施形態(群)を、添付の図面を参照しながら以下に説明する。
本開示のネットワーク・システムのブロック図である。 本開示のネットワーク・システムが用いることのできるネットワーク・ノードのブロック図である。 ネットワーク・ノードにおいて、アウトバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する一つの方法を表すフロー・チャートである。 ネットワーク・ノードにおいて、インバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する一つの方法を表すフロー・チャートである。 ネットワーク・ノードにおいて、アウトバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する別の方法を表すフロー・チャートである。 ネットワーク・ノードにおいて、インバウンド・データ・パケットを、外部セキュリティ・オフロード・デバイスを用いて処理する別の方法を表すフロー・チャートである。
本開示のネットワーク・システムにおいて、ネットワーク・ノードは、セキュア・データ・リンクを介してステートレスな外部セキュリティ・オフロード・デバイスに連結するホスト情報処理システム(IHS)を含む。このステートレス外部セキュリティ・オフロード・デバイスは、ネットワーク・システム中の一つ以上の他のネットワーク・ノードと通信する外部のネットワーク・インターフェース・コントローラに連結している。ホストIHSは、ホストIHS上のセキュリティ関係の作業負荷を軽減するため、外部セキュリティ・オフロード・デバイスにセキュリティ関係のタスクをオフロードする。例えば、外部セキュリティ・オフロード・デバイスは、ホストIHSに代行して、データ・パケットに追加の任意のヘッダを付加することができ、もしくはデータ・パケットに暗号手法を適用する、またはその両方を行うことができる。ホストIHSは、カプセル化およびカプセル化解除、暗号化および暗号解読、並びに認証など、セキュリティ関係のタスクを、ネットワーク付属のデバイスである外部セキュリティ・オフロード・デバイスにオフロードすることが可能である。一実施形態において、ホストIHSは、IPsecシーケンス番号などの状態情報を、外部セキュリティ・オフロード・デバイスの中よりも、むしろホストIHSのTCP/IPスタックの中に格納し、しかして、ステートフルの外部セキュリティ・オフロード・デバイスよりも、むしろステートレスな外部セキュリティ・オフロード・デバイスを備えることが可能である。
図1は、通信ネットワーク102を介して一緒に連結している、ネットワーク・ノード101および101’など、複数のネットワーク・ノードを含む、本開示のネットワーク・システム100のブロック図である。通信ネットワーク102は、有線もしくは無線リンクまたはその両方を含め、実際上任意の種類の通信装置であってよい。例えば、通信ネットワーク102は、送信ライン、ルータ、スイッチ、ハブ、ネットワーク・ファブリック、インターネット接続、ローカル・エリア・ネットワーク(LAN:local area network)および広域ネットワーク(WAN:wide area network)を含み得る。ネットワーク・ノード101もしくはネットワーク・ノード101’は、セキュリティ処理が必要なデータ・パケットの送信元となり得る。ネットワーク・ノード101がデータ・パケットの送信元のときに、ネットワーク・ノード101’がそのデータ・パケットの宛先であり得る。逆に、ネットワーク・ノード101’がデータ・パケットの送信元のときに、ネットワーク・ノード101がそのデータ・パケットの宛先となり得る。ネットワーク・システム100には、図1に示されるよりも多くのネットワーク・ノードを含めることができる。
ネットワーク・ノード101は、ホストIHS103を通信ネットワーク102に連結する内部ネットワーク・インターフェース・コントローラ107を備えた、ホストIHS103を含む。また、ネットワーク・ノード101は、セキュア・データ・リンク105を介してホストIHS103に連結する外部セキュリティ・オフロード・デバイス104を含む。一実施形態において、外部セキュリティ・オフロード・デバイス104は「ネットワーク付属」のデバイスである。外部ネットワーク・インターフェース・コントローラ106は、外部セキュリティ・オフロード・デバイス104を通信ネットワーク102に連結する。一実施形態において、外部ネットワーク・インターフェース・コントローラ106は、図示のように、外部セキュリティ・オフロード・デバイス104に連結している。別の実施形態において、外部ネットワーク・インターフェース・コントローラ106は、外部セキュリティ・オフロード・デバイス104の内部にあるが、それでもホストIHS103に対しては外部である。同様に、ネットワーク・ノード101’は、ホストIHS103’を通信ネットワーク102に連結する内部ネットワーク・インターフェース・コントローラ107’を備えたホストIHS103’を含む。また、ネットワーク・ノード101’は、セキュア・データ・リンク105’を介してホストIHS103’に連結する外部セキュリティ・オフロード・デバイス104’を含む。一実施形態において、外部セキュリティ・オフロード・デバイス104’はネットワーク付属のデバイスである。外部ネットワーク・インターフェース・コントローラ106’は、外部セキュリティ・オフロード・デバイス104’を通信ネットワーク102に連結する。
図2は、ネットワーク・システム100が、ネットワーク・ノード101もしくはネットワーク・ノード101’またはその両方として、およびネットワーク・システム100の他のネットワーク・ノード(図示せず)として、用いることのできるネットワーク・ノード101のブロック図である。さらに詳しくは、図2は、セキュア・データ・リンク105を介し外部セキュリティ・オフロード・デバイス104に連結したホスト情報処理システム(IHS)103を含む、ネットワーク・ノード101を示す。
セキュア・データ・リンク105は、暗号化されていないトラフィックが、意図されていない第三者によって視取または変更されるのを防止する。セキュリティを達成するために、セキュア・データ・リンク105は、開放型システム間相互接続(OSI:Open Systems Interconnection)のレイヤ1の物理的分離、OSIレイヤ2の暗号化、および他のOSIレイヤもしくは他のセキュリティ方策またはそれらの両方を用いることができる。ホストIHS103は、複数のコアおよびSRAMキャッシュ150を含み得るプロセッサ110を含む。ホストIHS103は、デジタル形式、アナログ形式、または他の形式の情報を処理、伝送、通信、修正、格納、または別途に取り扱う。ホストIHS103は、メモリ・コントローラ125およびメモリ・バス130を介してシステム・メモリ120をプロセッサ110に連結する、バス115を含む。一実施形態において、システム・メモリ120はプロセッサ110の外部にある。システム・メモリ120は、スタティック・ランダム・アクセス・メモリ(SRAM:static random access memory)のアレイもしくはダイナミック・ランダム・アクセス・メモリ(DRAM:dynamic random access memory)のアレイまたはその両方とすることができる。映像グラフィックス・コントローラ135は、ディスプレイ140をバス115に連結する。ハード・ディスク・ドライブ、CDドライブ、DVDドライブ、または他の不揮発性ストレージなどの不揮発性ストレージ145は、バス115に連結し、ホストIHS103に情報の恒久的なストレージを提供する。キーボード、およびマウス・ポインティング・デバイスなどのI/Oデバイス190は、I/Oコントローラ155およびI/Oバス160を介してバス115に連結する。USB、IEEE1394バス、ATA、SATA、PCI、PCIE、DVI、HDMI、および他の拡張バスなど、一つ以上の拡張バス165が、周辺機器およびデバイスのホストIHS103への接続を容易化するためバス115に連結している。図2中の点線103はホストIHS103、およびホストIHS103のハウジングもしくはシャーシまたはその両方を表す。このように、点線103の内側のホストIHS103の構造体はホストIHS103の内部にあり、点線103の外側のネットワーク・ノード101の構造体はホストIHS103の外部にある。
ネットワーク・ノード101のホストIHS103は、内部ネットワーク・インターフェース・コントローラ107を含み、該コントローラはバス115に連結し、ホストIHS103が、有線または無線によって、通信ネットワーク102などのネットワークと、ネットワーク・ノード101’など、他の情報処理システムおよびネットワーク・ノードとに接続できるようにしている。ホストIHS103は、デスクトップ、サーバ、携帯機器、ラップトップ、ノートブックあるいは他のフォーム・ファクタのコンピュータまたはデータ処理システムの形を取ることができる。ホストIHS103は、ゲーム・デバイス、携帯情報端末(PDA:personal digital assistant)、携帯電話デバイス、通信デバイス、または、プロセッサおよびメモリを含む他のデバイスなど、他のフォーム・ファクタを取ることも可能である。また、ホストIHS103は、携帯機器、ラップトップ、ノートブック、ゲーム・デバイス、PDA、または任意のバッテリ駆動デバイスの形を取ることができる。一実施形態において、ホストIHS103のパフォーマンスは、特に、ネットワーク待ち時間を増やし得る演算集約的処理(パケット・セキュリティおよびIPsecの処理など)の影響を受けやすい。
ホストIHS103には、CD、DVD、または他の媒体などデジタル媒体175上のコンピュータ・プログラム製品を含めることができる。一実施形態において、デジタル媒体175は、アプリケーション182を含む。ユーザは、不揮発性ストレージ145上のアプリケーション182をアプリケーション182’としてロードすることができる。不揮発性ストレージ145は、オペレーティング・システム181を格納することができ、該システムにネットワーク・ソフトウェア183を含めることが可能である。ホストIHS103が初期化されると、該ホストIHSは、オペレーティング・システム181’、ネットワーク・ソフトウェア183’、およびアプリケーション182”として実行するために、オペレーティング・システム181およびアプリケーション182’をシステム・メモリ120の中にロードする。オペレーティング・システム181’は、ネットワーク・ソフトウェア183’を含むことができ、ホストIHS103のオペレーションを制御する。ホストIHS103は、セキュア・データ・リンク105を介して外部セキュリティ・オフロード・デバイス104に連結する。外部セキュリティ・オフロード・デバイス104は、外部ネットワーク・インターフェース・コントローラ106に連結している。しかして、外部ネットワーク・インターフェース・コントローラ106は「ネットワーク付属」のデバイスとなる。「ネットワーク付属」のデバイスは、複数のネットワーク・ノードを相互接続することが可能な、通信ネットワーク102などの通信ネットワークに対し、有線もしくは無線またはその両方のポータルとしての役割を果たす。例えば、外部ネットワーク・インターフェース・コントローラ106および106’、並びに内部ネットワーク・インターフェース・コントローラ107および107’は、通信ネットワーク102を介し、ネットワーク・ノード101および101’を相互接続する有線もしくは無線またはその両方のポータルとしての機能を果たす。ホストIHS103は、セキュア・データ・リンク105、外部セキュリティ・オフロード・デバイス104、および外部ネットワーク・インターフェース・コントローラ106と一緒に、データ・パケットを他のネットワーク・ノードに通信するため、集合的にネットワーク・ノード101を形成する。一実施形態において、ホストIHS103は、外部セキュリティ・オフロード・デバイス104と協働して、これらのデータ・パケットを、インターネット・プロトコル・セキュリティ(IPsec:Internet Protocol Security)プロトコル群などのセキュリティ・プロトコルを用いてセキュアすることができる。
一実施形態において、ネットワーク・ノード101の外部セキュリティ・オフロード・デバイス104は、ホストIHS103の命令の下でホストIHS103を代行して、インターネット・プロトコル(IP:InternetProtocol)通信をセキュアするために、インターネット・プロトコル・セキュリティ(IPsec)プロトコル群を用いることが可能である。外部セキュリティ・オフロード・デバイス104は、データ・パケットのカプセル化およびカプセル化解除を促進し、データ・パケットの暗号化および暗号解読を促進し、データ・パケットを認証し、任意に、ファイアウォールおよび侵入検出サービス(IDS:intrusion detection service)並びにデータ・パケットに対する他の任意のサービスを行うためのプロセッサ(図示せず)、を含む情報処理システムとすることができる。また、外部セキュリティ・オフロード・デバイス104は、メモリ(図示せず)およびストレージ(図示せず)を含むことが可能である。
外部セキュリティ・オフロード・デバイス104は、IPデータ・パケットの認証を行うセキュリティ・プロトコルを用いることができ、認証されたIPデータ・パケットをカプセル化する。認証されたIPデータ・パケットをカプセル化した後、セキュリティ・プロトコルによって、カプセル化されたIPデータ・パケットを暗号化することができる。例えば、IPsecプロトコルは、通信セッションの各IPデータ・パケットを認証し暗号化する。また、IPsecは、通信セッションの開始時に、エージェント間の相互認証を確立するためのプロトコル、およびこの通信セッションの間用いる暗号鍵の交渉をするためのプロトコルを含む。ホストIHS103およびホストIHS103’は、かかるエージェントの例である。さらに具体的には、セキュリティを備えた、ネットワーク・ソフトウェア183のこの部分は、人間のセキュリティ管理者の命令を受けて作動するエージェントである。一実施形態において、外部セキュリティ・オフロード・デバイス104は、ネットワーク・ノード101のため、全てのIPsecカプセル化およびカプセル化解除オペレーション、並びに暗号化、暗号解読、および認証を提供することが可能である。このことは、ネットワーク・ノード101中のホストIHS103のセキュリティ関係の作業負荷を軽減する。
セキュリティ・ポリシは、プロトコルに、ある特定のデバイスが受信するデータ・パケットをどのように処理するかを命令する、設計者、プログラマまたは他のエンティティ・プログラムが、IPsecプロトコルなどのセキュリティ・プロトコルの中にプログラムするルールである。例えば、セキュリティ・ポリシは、ある特定のデータ・パケットがIPsecプロトコル・セキュリティ処理を必要とするかどうかを決めることができる。セキュリティ処理を必要としないデータ・パケットは、認証ヘッダ(AH:Authentication Header)プロトコル処理、またはカプセル化セキュリティ・ペイロード(ESP:Encapsulating Security Payload)プロトコル処理をバイパスしてもよい。デバイスが、ある特定のデータ・パケットがセキュリティ・プロトコル処理を必要とすると判定した場合、セキュリティ・ポリシは、該デバイスに、そのデータ・パケットに対するセキュリティを取り扱うためのガイドラインを用いるよう命令することができる。一実施形態において、ホストIHS103もしくは外部セキュリティ・オフロード・デバイス104またはその両方は、これらデバイス内のセキュリティ・ポリシ・データベース(図示せず)中にセキュリティ・ポリシを格納することが可能である。セキュリティ・アソシエーション(SA:Security Association)情報は、2つのデバイスの間のセキュアな接続の特定の型を表すセキュリティ情報のセットである。このSA情報は、2つのデバイスが相互に安全に通信するため用いることができる特定のセキュリティ・メカニズムを含む。
一実施形態において、外部セキュリティ・オフロード・デバイス104は、ネットワーク付属のデバイスとして作動する。ネットワーク付属のデバイスは、ネットワークに接続し、ファイル・ベースのストレージ・サービスもしくは他の特殊なサービスまたはその両方を提供する情報処理システム(IHS)であり得る。一実施形態において、外部セキュリティ・オフロード・デバイス104は、カプセル化、カプセル化解除、暗号化、暗号解読、および認証など、専門化されたセキュリティ関係サービスを提供する。
本開示のネットワーク・システム100の一実施形態において、外部セキュリティ・オフロード・デバイス104よりも、むしろホストIHS103のオペレーティング・システム181’中の、ネットワーク・ソフトウェア183’のTCP/IPスタック184が、IPsecセキュリティ・アソシエーション(SA)状態情報の全てを維持する。この配置は、外部セキュリティ・オフロード・デバイス104がステートレスなデバイスであることを可能にする。一部の実施形態では、外部セキュリティ・オフロード・デバイス104に、例えば、ファイアウォール・サービス、侵入検出サービス、および、当該ネットワーク・ノードの外部セキュリティ・オフロード・デバイスも通過する非暗号化データに対する、ディープ・パケット・インスペクション・サービスなど他のネットワーク・サービスを組み入れることが可能である。一実施形態において、外部セキュリティ・オフロード・デバイス104とネットワーク・ノード101のホストIHS103との間の物理的分離、および外部セキュリティ・オフロード・デバイス104のステートレスな特質は、(1)最小のシステム干渉または中断で、外部セキュリティ・オフロード・デバイス104の「ホット・スワッピング」または切り替えを行うことを容易にし、(2)状態同期の混乱なしに、付加バランスまたはホットスタンバイのため、複数の外部セキュリティ・オフロード・デバイスを構成することを可能にし、さらに、(3)システム・メンテナンスのためまたはマルチホーム・ホストのために、外部セキュリティ・オフロード・デバイス群を動的に有効化し無効化することを可能にする。マルチホーム・ホストは複数のネットワーク接続を含む。マルチホーム・ホストは、複数のネットワークまたは同一のネットワークに接続することができる。
本開示のネットワーク・システム100の一実施形態では、ホストIHS103から、ネットワーク・ノード101の外部セキュリティ・オフロード・デバイス104にセキュリティ処理がオフロードされる。ホストIHS103のオペレーティング・システム181’中の、ネットワーク・ソフトウェア183’のTCP/IPスタック184が、状態情報を維持する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、IPデータ・パケットに対するアウトバウンド・メタデータの選択を外部セキュリティ・オフロード・デバイス104に連絡する。アウトバウンド・メタデータは、ホストIHS103のネットワーク・ソフトウェア183’が外部セキュリティ・オフロード・デバイス104に送信するIPデータ・パケットについての情報を含むことができる。アウトバウンド・メタデータは、IPsecセキュリティ・アソシエーション(SA)情報およびIPデータ・パケットに適用する関連SA状態情報を含むことが可能である。セキュリティ・アソシエーション(SA)情報とは、ネットワーク・トラフィックがトンネルを使える仕様(例えば、IPsecはこれを特定のネットワーク・アドレスまたはプロトコルに制限することができる)、認証のための暗号化アルゴリズムの選択、暗号化および暗号解読、これらのアルゴリズムに使われる暗号鍵、およびデータをカプセル化する方法など、交渉済みのSA属性を言う。例えば、IPsecは、カプセル化されたトンネルおよび伝送モードを可能にする。SA状態情報とは、リプレイ防止に使われるカウンタ、またはSAによって保護されるデータの量を制限するために使われるカウンタなど、存続期間に亘って切り替わるSAの属性を言う。
IHSのオペレーティング・システム181’のネットワーク・ソフトウェア183’は、IPデータ・パケットの中にインターネット・プロトコル(IP)ヘッダを挿入することによって、アウトバウンド・メタデータをIPデータ・パケットに添付することができ、そのIPデータ・パケットとアウトバウンド・メタデータとを外部セキュリティ・オフロード・デバイス104に送信することが可能であり、あるいは、ネットワーク・ソフトウェア183’は、IPデータ・パケットとアウトバウンド・メタデータとを通信するための専用のイーサネット(R)フレームを外部セキュリティ・オフロード・デバイス104に送信することも可能である。
一実施形態において、ネットワーク・ソフトウェア183’は、IPsecプロトコルなどのセキュリティ・プロトコルを用いてIPデータ・パケットのカプセル化を制御するSAポリシ・ルールを含む。他の実施形態において、他のセキュリティ・プロトコルを用いることが可能である。一実施形態において、ホストIHS103中のTCP/IPスタック184は、IPデータ・パケットを外部セキュリティ・オフロード・デバイス104に送信する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’のSAポリシ・ルールは、IPsecを用いてパケットのカプセル化を制御するルールを定める。TCP/IPスタック184を実装するネットワーク・ソフトウェア183’は、データ・パケットをカプセル化するために使う適切なIPsecのSAを選択する。対応する必要なアウトバウンド・メタデータは、セキュリティ・パラメータ指標(SPI:security parameter index)と、トンネルのプロトコル、すなわち、例えば認証ヘッダ(AH:Authentication Header)プロトコルまたはカプセル化セキュリティ・ペイロード(ESP)プロトコルなど、トンネルがデータ伝送に用いる特定のプロトコルと、を含むことができる。また、アウトバウンド・メタデータは、外部セキュリティ・オフロード・デバイス104がIPデータ・パケットをカプセル化する際に使用するため、TCP/IPスタック184が外部セキュリティ・オフロード・デバイス104のために選択した、IPsecシーケンス番号を含むことも可能である。
別の実施形態において、外部セキュリティ・オフロード・デバイス104は、内部ネットワーク・インターフェース・コントローラ107を使って、通信ネットワーク102を介し最終宛先に送信するため、対応する暗号化されカプセル化されたIPsecデータ・パケットを、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184に返送する。外部セキュリティ・オフロード・デバイス104は、該外部セキュリティ・オフロード・デバイスがTCP/IPスタック184から受信した、IPデータ・パケットのカプセル化もしくは暗号化またはその両方の要求に応じ、インバウンド・メタデータをTCP/IPスタック184に返送することができる。このインバウンド・メタデータは、カプセル化オペレーションの成功または失敗を表す結果コードを含むことができる。
さらに別の実施形態において、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184は、暗号解読およびカプセル化解除のため、IPsecパケットを外部セキュリティ・オフロード・デバイス104に送信する。TCP/IPスタック184は、カプセル化解除を必要とするカプセル化データ・パケットと共にアウトバウンド・メタデータを送信することが可能である。このアウトバウンド・メタデータには、カプセル化解除のオペレーションを行うように外部セキュリティ・オフロード・デバイス104に指示する選択情報を含めることができる。
さらに別の実施形態において、外部セキュリティ・オフロード・デバイス104は、インバウンド・データ・パケット処理のために、カプセル化解除されたパケットを、ホストIHS103のネットワーク・ソフトウェア183’中のTCP/IPスタック184に返送する。外部セキュリティ・オフロード・デバイス104は、カプセル化解除されたデータ・パケットと共に、インバウンド・メタデータをTCP/IPスタック184に送信することができる。このインバウンド・メタデータは、TCP/IPスタック184が、外部セキュリティ・オフロード・デバイス104がデータ・パケットについてTCP/IPポリシ・ルールに対しどのSAを使ったどうか点検できるように、SPIと、通信ネットワーク102がデータ・パケットを伝送するために使ったトンネルのAHまたはESPプロトコルと、を含むことができる。また、このメタデータは、TCP/IPスタック184がパケットに対し観察したIPsecリプレイ・シーケンス番号を含むことも可能である。TCP/IPスタック184は、最終的なステートフル・チェックを行い、データ・パケットが「リプレイされ」ており、このため無効であるかどうかを検証する。
要約すれば、ホストIHS103中のオペレーティング・システム181’のネットワーク・ソフトウェア183’中のTCP/IPスタック184と、外部セキュリティ・オフロード・デバイス104との間でやりとりされ得るメタデータ情報は、カプセル化する、カプセル化される、カプセル化解除する、カプセル化解除されるなど実施されるオペレーションの選択または表示を含むことができる。このメタデータは、妥当な場合、オペレーションに対する結果コード、並びにトンネル・プロトコルおよびSPIの選択および表示など、重要な情報を含むことが可能である。また、この重要な情報は、パケット・リプレイ・シーケンス番号の選択および表示を含むことができる。パケット・リプレイ・シーケンス番号は、外部セキュリティ・オフロード・デバイスがステートレスな仕方で作動することを可能にする状態情報である。
下記の表1は、ホストIHS103中のオペレーティング・システム181’のネットワーク・ソフトウェア183’のTCP/IPスタック184と、外部セキュリティ・オフロード・デバイス104とがやりとりし得る重要な情報(メタデータ)を含む、例示的なインバウンドまたはアウトバウンドIPオプション・ヘッダを示す。これらのフィールドは「オプション型」ipo_typ、および「オプション長さ」ipo_lenを含み、これらは各々1バイトの長さである。1バイト長の「流れ機能コード」ipo_secoff_functionは、#1−カプセル化解除する、#2−カプセル化解除される、#3−カプセル化する、または#4−カプセル化される、を含むことができる。1バイト長のipo_secoff_rcは、流れ#1または#4に対する「リターン・コード」を表す。「主要プロトコル」フィールドは1バイト長のipo_decoff_protocolとすることができる。流れ#2または#3に対し、ipo_decoff_protocolは、SPIに関連するプロトコルを表す。例えば、AHおよびESPの双方が使用可能なトンネルに対しては、AHもしくはESP、SPIを指定することができる。表1は、将来の使用のために3バイトのipo_secoff_rsvdフィールドを取っておく。4バイト長のフィールドipo_secoff_spiは、流れ#2に対してはオリジナルのインバウンド・パケット中のローカルSPIを、あるいは流れ#3中のアウトバウンド・パケットに対しては使用予定の遠隔SPIを特定する。4バイト長のipo_secoff_seqフィールドは、流れ#2に対するオリジナルのインバウンド・パケット中のシーケンス番号とすることができ、または、流れ#3のアウトバウンド・パケットに対しメタデータが指定するシーケンス番号とすることができる。AHヘッダおよびESPヘッダの両方は、AHおよびESPプロトコルの両方が使われている場合、流れ#3に対して提供されたipo_secoff_seqの値を使う必要がある。
Figure 0005746446
図3および4は、ネットワーク・スイッチ、ルータ、ファイアウォールまたは侵入検出デバイスが、ホストIHS中のオペレーティング・システムのネットワーク・ソフトウェア中のTCP/IPスタック184に流れるデータ・トラフィックに対する、ゲートウェイまたはゲート・キーパとしての役割を果たすときに実行できる、「バンド内(in−band)」処理の実施形態を表すフロー・チャートである。「バンド内」処理は、外部セキュリティ・オフロード・デバイス104内で行われる。「バンド内」処理は、外部セキュリティ・オフロード・デバイス104が、パケットをTCP/IPスタック184に返送する必要なく、最終のネットワーク宛先に直接送信するために、パケットをカプセル化および暗号化することができ、着信したデータ・パケットをTCP/IPスタック184に返送する前に、外部セキュリティ・オフロード・デバイスによる即時の処理のために該パケットをカプセル化解除することができる。以下で説明する図5および6は、「バンド外(out−of−band)」処理の実施形態を示し、この処理では、全てのデータ・パケットが、暗号化/カプセル化またはカプセル化解除/暗号解読のために、TCP/IPスタック184から外部セキュリティ・オフロード・デバイス104に送られ、その後、最終処理のためにTCP/IPスタック184に返送される。「バンド外」処理は、外部セキュリティ・オフロード・デバイス104の外で行われる処理である。バンド外処理は、外部セキュリティ・オフロード・デバイスとホストIHS103との間で別の往来が必要となり得る。
図3のフロー・チャートは、ステートレス外部セキュリティ・オフロード・デバイス104において、データ・セキュリティ・プロトコルをアウトバウンド・データ・パケットに適用する、本開示の方法の一実施形態を表す。アウトバウンド・データ・パケットとは、ネットワーク・ノード101のホストIHS103が他のネットワークに送信するデータ・パケットである。外部セキュリティ・オフロード・デバイス104は、ホストIHS103に代行してアウトバウンド・データ・パケットにデータ・セキュリティ・プロトコル・オペレーションを提供するのに加え、ファイアウォールもしくは侵入検出サービス(IDS)またはその両方のほか、データ・セキュリティ・プロトコル・オペレーションを提供するなど、他のネットワーキング機能を実施することができる。外部セキュリティ・オフロード・デバイス104は、アウトバウンド・データ・パケットにセキュリティ・オペレーションを施し、かかるデータ・パケットをさらなるセキュリティ処理のためホストIHS103に返送する必要なく、それらアウトバウンド・データ・パケットを宛先ノードに送信することによって、アウトバウンド・データ・パケットの「バンド内」処理を提供する。簡明化のため、図3のフロー・チャートでは、ステートレス外部セキュリティ・オフロード・デバイス104を「オフロード・デバイス」と称している。図3のフロー・チャート中の各ブロックは、一つの実施形態中のそれぞれのブロックの機能を実行している構造体を識別するため、「オフロード・デバイス」または「ホストIHS」などの記載を含む。
さらに詳しくは、プロセス・フローは開始ブロック205から始まる。ブロック210で、ホストIHS103中のアプリケーション182”が、ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’にデータ・パケットを送信する。判定ブロック215で、そのデータ・パケットのネットワーク送信がセキュリティ処理を必要としない場合、ブロック245で、ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、該データ・パケットをネットワーク経由で外部セキュリティ・オフロード・デバイス104に送信し、外部ネットワーク・インターフェース・コントローラ106を介して直接、最終宛先ネットワーク・ノードに送信して、プロセス・フローはブロック250で終了する。
また一方、判定ブロック215で、オペレーティング・システム181’のネットワーク・ソフトウェア183’が、ネットワーク送信はデータ・セキュリティ・プロトコルの適用が必要であると判定した場合、ネットワーク・ソフトウェア183’は、ブロック220で、表1の流れ#3に従って、そのデータ・パケットにセキュリティ・メタデータおよび状態データを付けることができる。このようなメタデータはアウトバウンド・メタデータである。オペレーティング・システム181’のネットワーク・ソフトウェア183’は、ブロック225で、該メタデータとデータ・パケットとを、ネットワークセキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック230で、状態データを含め、データ・パケットおよび対応するメタデータを受信して読み出す。外部セキュリティ・オフロード・デバイス104は、ブロック235で、データ・パケットに対し、ファイアウォール・サービスもしくは侵入検出サービス(IDS)またはその両方などの任意の処理を行うことができ、ブロック240で、データ・パケットを暗号化およびカプセル化する。外部セキュリティ・オフロード・デバイス104は、ブロック245で、カプセル化・暗号化されたデータ・パケットを、外部ネットワーク・インターフェース・コントローラ106を介し、ネットワークを経由して直接、最終宛先ネットワーク・ノードに送信する。プロセス・フローはブロック250で終了する。
図4のフロー・チャートは、ネットワークから外部セキュリティ・オフロード・デバイス104を介してインバウンド・データ・パケットを受信する、本開示の方法の一実施形態を表す。インバウンド・データ・パケットとは、ネットワーク・ノード101のホストIHS103が他のネットワーク・ノードから受信するデータ・パケットである。外部セキュリティ・オフロード・デバイス104はインバウンド・データ・パケットを受信し、かかるデータ・パケットをさらなるセキュリティ処理のためにホストIHS103に返送する必要なく、インバウンド・データ・パケットにセキュリティ・オペレーションを施すことによって、インバウンド・データ・パケットの「バンド内」処理を提供する。一実施形態において、外部セキュリティ・オフロード・デバイス104は、カプセル化解除・暗号解読されたデータ・パケットをホストIHS103に送信するが、ホストIHS103は、これらのデータ・パケットに対し他のセキュリティ・オペレーションを行う必要はない。それどころか、ホストIHS103中のアプリケーションは、ホストIHS103が外部セキュリティ・オフロード・デバイス104から受信したカプセル化解除・暗号解読されたデータ・パケットを直接使用することができる。
さらに詳細には、プロセス・フローは開始ブロック305から始まる。外部セキュリティ・オフロード・デバイス104は、ブロック310で、外部ネットワーク・インターフェース・コントローラ106を介してネットワークからデータ・パケットを受信する。外部セキュリティ・オフロード・デバイス104は、判定ブロック320で、データ・パケットがセキュリティ処理を必要とするかどうかを判定するための検査を行う。データ・パケットがセキュリティ処理を必要とするかどうかを判定するために、外部セキュリティ・オフロード・デバイス104は、データ・パケット内のIPsecプロトコル・ヘッダをチェックするか、または、外部セキュリティ・オフロード・デバイス104がホストIHS103から受信した静的セキュリティ・ポリシおよびSA情報をチェックする。なお、SA状態情報は、ホストIHS103のネットワーク・ソフトウェア183’中に依然として存在していてもよい。外部セキュリティ・オフロード・デバイス104が、パケットはセキュリティ処理を必要としないと判定した場合、外部セキュリティ・オフロード・デバイス104は、ブロック345で、ファイアウォール・サービスもしくはIDSサービスまたはその両方を提供することなど任意の処理を実施することができ、ブロック350で、セキュア・データ・リンク105を介してホストIHS103にデータ・パケットを送信する。
また一方、パケットがセキュリティ処理を必要とする場合、外部セキュリティ・オフロード・デバイス104は、ブロック330で、パケットをカプセル化解除および暗号解読し、ブロック335で、ファイアウォールもしくはIDSまたはその両方などの任意の処理あるいはその他の任意の処理を実施する。外部セキュリティ・オフロード・デバイス104は、ブロック340で、表1の流れ#2に従って、状態データを含むインバウンド・メタデータを付加することができ、ブロック350で、セキュア・データ・リンク105を介してホストIHS103にデータ・パケットを送信する。ホストIHS103のオペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック355で、外部セキュリティ・オフロード・デバイス104からデータ・パケットを受信し、ブロック360で、状態チェックを実施する。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック365で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182’に転送する。プロセス・フローはブロック370で終了する。
図5のフロー・チャートは、外部セキュリティ・オフロード・デバイス104において、ホストIHS103に代行して、アウトバウンド・データ・パケットにセキュリティを適用する、本開示の方法の別の実施形態を表す。この実施形態は、暗号化およびカプセル化などのセキュリティ・オペレーションを必要とする当該データ・パケットを取り扱うために、「バンド外」処理を用いる。かかるバンド外処理において、ステートレス外部セキュリティ・オフロード・デバイス104は、ステートレス外部セキュリティ・オフロード・デバイス104がセキュリティ処理のためホストIHS103から受信したデータ・パケットの、暗号化およびカプセル化などのセキュリティ・オペレーションを取り扱う。また一方、ステートレス外部セキュリティ・オフロード・デバイス104は、得られたカプセル化・暗号化されたデータ・パケットを、そのデータ・パケットの宛先への送信のために、ホストIHS103に返送する。また、外部セキュリティ・オフロード・デバイス104は、ファイアウォールまたはIDSの提供など、他のネットワーキング機能を実施することができる。
さらに詳しくは、プロセス・フローは開始ブロック405から始まる。ホストIHS103中のアプリケーション182”は、ブロック410で、ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’にデータ・パケットを送信する。ネットワーク・ソフトウェア183’は、判定ブロック415で、データ・パケットのネットワーク送信が、該データ・パケットへのセキュリティ・プロトコルの適用を必要とするかどうかを判定するための検査を行う。ネットワーク・ソフトウェア183’は、セキュリティ・ポリシを参照してこの判定を行う。アプリケーション182”は、ネットワーク・ソフトウェア183’のTCP/IPスタック184に、セキュリティ・プロトコルの該データ・パケットへの適用に対する判定を開始するよう命令することができる。ネットワーク・ソフトウェア183’が、データ・パケットはセキュリティ・プロトコルの適用を必要としないと判定した場合、ホストIHS103は、ブロック445で、パケットを、内部ネットワーク・インターフェース・コントローラ107を介して直接、最終宛先のネットワーク・ノードに伝送する。プロセス・フローはブロック450で終了する。
また一方、ネットワーク送信が、データ・パケットへのセキュリティの適用を必要とする場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック420で、表1の流れ#3に従って、メタデータおよび状態データを付けることができる。このメタデータはアウトバウンド・メタデータである。ホストIHS103のオペレーティング・システム181’のネットワーク・ソフトウェア183’は、ブロック425で、メタデータおよびデータ・パケットを、ネットワーク・セキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック430で、データ・パケットおよびメタデータを受信して読み出す。また、外部セキュリティ・オフロード・デバイス104は、ブロック435で、ファイアウォール処理もしくはIDSまたはその両方など、任意の処理を行うことが可能である。外部セキュリティ・オフロード・デバイス104は、ブロック440で、データ・パケットをカプセル化および暗号化して、暗号化・カプセル化されたデータ・パケットを、セキュア・データ・リンク105経由で、オペレーティング・システム181’中のネットワーク・ソフトウェア183’に返送する。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック443で、カプセル化されたパケットを受信する。ネットワーク・ソフトウェア183’は、ブロック445で、カプセル化されたデータ・パケットを、内部ネットワーク・インターフェース・コントローラ107を介し、通信ネットワーク102経由で最終宛先ネットワーク・ノードに送信する。プロセス・フローはブロック450で終了する。
図6のフロー・チャートは、内部ネットワーク・インターフェース・コントローラ107を介してネットワークからデータ・パケットを受信する、本開示の方法の別の実施形態を表す。この実施形態は、カプセル化解除および暗号解読などのセキュリティ・オペレーションを必要とするインバウンド・データ・パケットを取り扱うため、「バンド外」処理を用いる。インバウンド・データ・パケットは、ホストIHS103が他のネットワーク・ノードから受信するデータ・パケットである。バンド外処理において、ステートレス外部セキュリティ・オフロード・デバイス104は、ステートレス外部セキュリティ・オフロード・デバイス104が、セキュリティ処理のためホストIHS103から受信したデータ・パケットの、暗号解読およびカプセル化解除などのセキュリティ・オペレーションを取り扱う。また一方、ステートレス外部セキュリティ・オフロード・デバイス104は、得られたカプセル化解除・暗号解読されたデータ・パケットを、当該データ・パケットの宛先アプリケーション182’に転送するためホストIHS103に返送する。
さらに詳しくは、プロセス・フローは開始ブロック505から始まる。オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック510で、内部ネットワーク・インターフェース・コントローラ107からデータ・パケットを受信する。この受信されたデータ・パケットは、ネットワーク・ノード101のホストIHS103が別のネットワーク・ノードから受信したインバウンド・データ・パケットである。ネットワーク・ソフトウェア183’は、判定ブロック520で、データ・パケットがセキュリティ処理を必要とするかどうかを判定するための検査を行う。データ・パケットがセキュリティ処理を必要としない場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック565で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182”に転送する。プロセス・フローはブロック570で終了する。
また一方、データ・パケットがセキュリティ処理を必要とする場合、オペレーティング・システム181’中のネットワーク・ソフトウェア183’は、ブロック525で、データ・パケットを、セキュア・データ・リンク105経由で外部セキュリティ・オフロード・デバイス104に送信する。外部セキュリティ・オフロード・デバイス104は、ブロック530でパケットを受信し、ブロック535で、そのパケットをカプセル化解除および暗号解読する。外部セキュリティ・オフロード・デバイス104は、ブロック540で、任意に、ファイアウォール処理もしくはIDSまたはその両方、あるいはその他のサービスを実施することが可能である。外部セキュリティ・オフロード・デバイス104は、ブロック545で、表1の流れ#3に従って、状態データを含むセキュリティ・メタデータをパケットに付加することができる。外部セキュリティ・オフロード・デバイス104は、ブロック550で、カプセル化解除・暗号解読されたデータ・パケットを、セキュア・データ・リンク105を介して、オペレーティング・システム181’中のネットワーク・ソフトウェア183’に返送する。オペレーティング・システム181中’のネットワーク・ソフトウェア183’は、ブロック555で、カプセル化解除・暗号解読されたデータ・パケットを外部セキュリティ・オフロード・デバイス104から受信し、ブロック560で状態チェックを実施する。ホストIHS103中のネットワーク・ソフトウェア183’は、次いで、ブロック565で、データ・パケットを処理し、そのデータ・パケットをアプリケーション182”に転送する。ネットワーク・ソフトウェア183’によるデータ・パケットのこの処理は、アプリケーション182”にデータ・パケットを提示する前の、プロトコルおよび整合性のチェックを含み得る。プロセス・フローはブロック570で終了する。
図4のインバウンドのバンド内の実施形態では、外部セキュリティ・オフロード・デバイス104は、該外部セキュリティ・オフロード・デバイス104があるセキュリティ・パケットがセキュリティ処理を必要とするかどうかを単独で判定できるように、静的SA情報のコピーを格納する。全4つの実施形態、すなわち、図3のアウトバウンドのバンド内の実施形態、図4のインバウンドのバンド内の実施形態、図5のアウトバウンドのバンド外の実施形態、および図6のインバウンドのバンド外の実施形態において、外部セキュリティ・オフロード・デバイス104は、SA情報を格納することが可能である。但し、図4のインバウンドのバンド内の実施形態では、外部セキュリティ・オフロード・デバイス104があるセキュリティ・パケットがセキュリティ処理を必要とするかどうかを単独で判定できるようするためには、該セキュリティ・オフロード・デバイス104が、不変のSA情報すなわち静的SA情報を格納することが必要となり得る。
本明細書で使用する用語は、単に特定の実施形態を説明する目的のためのものであり、本発明を限定することは意図されていない。本明細書で用いられる、単数形「ある(“a”、“an”)」、および「該(“the”)」は、文脈上明確に別途に示されていなければ、複数形も同じように含むことが意図されている。さらに、当然のことながら本明細書で用いられる「含む(“comprise”)」もしくは「含んでいる(“comprising”)」またはその両方は、述べられた機能、完全体(integer)、ステップ、ブロック、オペレーション、エレメント、もしくはコンポーネント、またはこれらの組み合わせの存在を特定するが、一つ以上の他の機能、完全体(integer)、ステップ、ブロック、オペレーション、エレメント、コンポーネント、もしくはこれらの群、または上記の組み合わせの存在または追加を排除するものではない。
添付の請求項中のミーンズ・プラス・ファンクションまたはステップ・プラス・ファンクションの要素全ての、対応する構造、材料、動作および均等物は、具体的に請求された他の請求要素と組み合わせてその機能を遂行するための、一切の構造、材料または動作を包含することが意図されている。本発明の記述は、例示および説明の目的で提示されたもので、網羅的であることも、または本発明を開示した形態に限定することも意図されていない。当業者には、本発明の範囲および趣旨から逸脱することのない多くの修改および変形が明白であろう。例えば、当業者は、本明細書に記載された装置および方法のロジック・センス(ロジック高(1)、ロジック低(0))を逆にしても等価な結果が得られることはよく理解していよう。本実施形態は、本発明の原理および実際的な応用を最善に説明し、他の当業者が、意図する特定の用途に適したさまざまな修改を加えたさまざまな実施形態に関して、本発明を理解できるように選択し説明されたものである。

Claims (7)

  1. ホスト情報処理システム(IHS)によって、データ・パケットに関連するセキュリティ・メタデータを格納するステップと、
    ホストIHSによって、セキュア・データ・リンクを介してデータ・パケットとセキュリティ・メタデータとを、ホストIHSの外部にあるステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスに、オフロードするステップと、
    ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスによって、静的セキュリティ関連情報を格納するステップと、
    ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスによって、データ・パケットとセキュリティ・メタデータとを受信するステップと、
    ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスによって、データ・パケットを、セキュリティ・メタデータによって指示される通りに、暗号化およびカプセル化して、カプセル化・暗号化されたデータ・パケットを提供するステップと、
    ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスによって、カプセル化・暗号化されたデータ・パケットを、外部のネットワーク・インターフェイス・コントローラに送信するステップと、
    外部のネットワーク・インターフェイス・コントローラによって、カプセル化・暗号化されたデータ・パケットを、ホストIHS以外のIHSへの通信のため通信ネットワークに送信するステップと、
    を含む方法。
  2. ホストIHS、セキュア・データ・リンク、ステートレスな外部セキュリティ・オフロード・デバイス、および、外部のネットワーク・インターフェイス・コントローラが、ネットワーク・ノードを構成するステップと、
    をさらに含む、
    請求項1に記載の方法。
  3. ステートレス外部セキュリティ・オフロード・デバイスがIPsecプロトコルを用いる、
    請求項1に記載の方法。
  4. 内部ネットワーク・インターフェース・コントローラを含むホスト情報処理システム(IHS)と、
    前記ホストIHSに連結されたセキュア・データ・リンクと、
    前記セキュア・データ・リンクを介して、前記ホストIHSに連結されたステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスであって、前記ホストIHSの外部にあって、静的セキュリティ関連情報を格納する、前記ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスと、
    前記ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスに連結されて、前記ホストIHSの外部にある、外部ネットワーク・インターフェース・コントローラと、
    を含む、ネットワーク・ノードであって、
    前記ホストIHSは、データ・パケットに関連するセキュリティ・メタデータを格納するよう構成され、前記ホストIHSは、前記データ・パケットおよび関連するセキュリティ・メタデータを、前記セキュア・データ・リンクを介して前記ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスにオフロードするように構成されており、
    前記ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスは、
    データ・パケットおよびセキュリティ・メタデータを受信し、
    データ・パケットを、セキュリティ・メタデータによって指示される通りに、暗号化およびカプセル化してカプセル化・暗号化されたデータ・パケットを提供し、
    前記カプセル化・暗号化されたデータ・パケットを、外部ネットワーク・インターフェース・コントローラに送信する、
    よう構成されており、
    前記外部ネットワーク・インターフェース・コントローラが、
    前記カプセル化・暗号化されたデータ・パケットを、前記ホストIHS以外のIHSへの通信のため、通信ネットワークに送信する、
    よう構成されている、
    ネットワーク・ノード。
  5. ステートレス外部セキュリティ・オフロード・デバイスがIPsecプロトコルを用いる、
    請求項4に記載のネットワーク・ノード。
  6. 内部ネットワーク・インターフェース・コントローラを含むホスト情報処理システム(IHS)と、
    前記ホストIHSに連結されたセキュア・データ・リンクと、
    前記セキュア・データ・リンクを介して前記ホストIHSに連結されたステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスであって、前記ホストIHSの外部にあって、静的セキュリティ関連情報を格納して、データ・パケットがセキュリティ処理を要求しているかどうかを判定する、前記ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスと、
    前記ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスに連結されて、前記ホストIHSの外部にある、外部ネットワーク・インターフェース・コントローラと、
    を含むネットワーク・ノードであって、
    前記ステートレスなネットワーク付属の外部セキュリティ・オフロード・デバイスは、
    通信ネットワークからカプセル化・暗号化されたデータ・パケットを受信し、
    カプセル化・暗号化されたデータ・パケットを、カプセル化解除および暗号解読し、カプセル化解除・暗号解読されたデータ・パケットを提供し、
    前記カプセル化解除・暗号解読されたデータ・パケットとセキュリティ・メタデータとを前記ホストIHSに送信する、
    よう構成されている、
    ネットワーク・ノード。
  7. ステートレス外部セキュリティ・オフロード・デバイスがIPsecプロトコルを用いる、
    請求項6に記載のネットワーク・ノード。
JP2014553855A 2012-02-21 2013-02-08 ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード Active JP5746446B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US13/400,577 2012-02-21
US13/400,575 2012-02-21
US13/400,575 US20130219167A1 (en) 2012-02-21 2012-02-21 Network node with network-attached stateless security offload device employing in-band processing
US13/400,577 US8918634B2 (en) 2012-02-21 2012-02-21 Network node with network-attached stateless security offload device employing out-of-band processing
PCT/IB2013/051061 WO2013124758A1 (en) 2012-02-21 2013-02-08 Network node with network-attached stateless security offload device

Publications (2)

Publication Number Publication Date
JP2015511434A JP2015511434A (ja) 2015-04-16
JP5746446B2 true JP5746446B2 (ja) 2015-07-08

Family

ID=49005080

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014553855A Active JP5746446B2 (ja) 2012-02-21 2013-02-08 ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード

Country Status (5)

Country Link
JP (1) JP5746446B2 (ja)
CN (1) CN104137508B (ja)
DE (1) DE112013000649B4 (ja)
GB (1) GB2512807B (ja)
WO (1) WO2013124758A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3175385A4 (en) * 2014-07-29 2018-01-03 Hewlett-Packard Development Company, L.P. Transmit an authentication mark
CN104243484B (zh) * 2014-09-25 2016-04-13 小米科技有限责任公司 信息交互方法及装置、电子设备
GB2533098B (en) 2014-12-09 2016-12-14 Ibm Automated management of confidential data in cloud environments
JP5847345B1 (ja) * 2015-04-10 2016-01-20 さくら情報システム株式会社 情報処理装置、認証方法及びプログラム
CN105678553A (zh) 2015-08-05 2016-06-15 腾讯科技(深圳)有限公司 一种处理订单信息的方法、装置和系统
US10225241B2 (en) * 2016-02-12 2019-03-05 Jpu.Io Ltd Mobile security offloader
WO2018112948A1 (zh) * 2016-12-23 2018-06-28 深圳前海达闼云端智能科技有限公司 区块生成方法、装置和区块链网络
JP6588048B2 (ja) * 2017-03-17 2019-10-09 株式会社東芝 情報処理装置
JP6518378B1 (ja) * 2018-12-21 2019-05-22 瀧口 信太郎 認証システム、認証方法、及び、認証プログラム
US10506426B1 (en) * 2019-07-19 2019-12-10 Capital One Services, Llc Techniques for call authentication

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing
US20050060538A1 (en) * 2003-09-15 2005-03-17 Intel Corporation Method, system, and program for processing of fragmented datagrams
EP1615372B1 (en) * 2004-04-05 2013-12-18 Nippon Telegraph And Telephone Corporation Packet cryptographic processing proxy apparatus, method therefor and recording medium for program
JP2006041726A (ja) * 2004-07-23 2006-02-09 Matsushita Electric Ind Co Ltd 共有鍵交換システム、共有鍵交換方法及び方法プログラム
US8407778B2 (en) * 2005-08-11 2013-03-26 International Business Machines Corporation Apparatus and methods for processing filter rules
JP2007329730A (ja) * 2006-06-08 2007-12-20 Kawasaki Microelectronics Kk 通信プロトコル処理装置
US20090038004A1 (en) * 2007-07-31 2009-02-05 Gabor Blasko Role change based on coupling or docking of information handling apparatus and method for same
CN101222509B (zh) * 2008-01-22 2011-10-26 中兴通讯股份有限公司 一种点对点网络的数据保护传输方法
JP2009230476A (ja) * 2008-03-24 2009-10-08 Toshiba Corp メッセージを処理する装置、方法およびプログラム
JP4906800B2 (ja) * 2008-07-02 2012-03-28 三菱電機株式会社 通信装置及び暗号通信システム及び通信方法及び通信プログラム
US8700892B2 (en) * 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
CN201788511U (zh) * 2010-08-18 2011-04-06 赵景壁 安全性信息交互设备
JP5779434B2 (ja) * 2011-07-15 2015-09-16 株式会社ソシオネクスト セキュリティ装置及びセキュリティシステム

Also Published As

Publication number Publication date
GB2512807B (en) 2014-11-19
WO2013124758A1 (en) 2013-08-29
GB2512807A (en) 2014-10-08
GB201414604D0 (en) 2014-10-01
DE112013000649B4 (de) 2020-11-19
CN104137508A (zh) 2014-11-05
CN104137508B (zh) 2017-07-07
JP2015511434A (ja) 2015-04-16
DE112013000649T5 (de) 2014-11-06

Similar Documents

Publication Publication Date Title
JP5746446B2 (ja) ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード
US8826003B2 (en) Network node with network-attached stateless security offload device employing out-of-band processing
AU2021201714B2 (en) Client(s) to cloud or remote server secure data or file object encryption gateway
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
CN109150688B (zh) IPSec VPN数据传输方法及装置
US10250571B2 (en) Systems and methods for offloading IPSEC processing to an embedded networking device
US20130219171A1 (en) Network node with network-attached stateless security offload device employing in-band processing
WO2016124016A1 (zh) IPSec加速方法、装置及系统
CA3066728A1 (en) Cloud storage using encryption gateway with certificate authority identification
US20110271096A1 (en) Loosely-Coupled Encryption Functionality for Operating Systems
WO2008108821A4 (en) Virtual security interface
JP2011176395A (ja) IPsec通信方法およびIPsec通信システム
KR100471790B1 (ko) 다중 터널 브이피엔 게이트웨이를 이용한 데이터 전송 장치
EP4205354A1 (en) Partial packet encryption for encrypted tunnels
WO2020140842A1 (zh) 数据传输方法、设备与系统
US20210385195A1 (en) Selective transport layer security encryption
JP3651424B2 (ja) 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置
JP5131118B2 (ja) 通信システム、管理装置、中継装置、及びプログラム
US20230083034A1 (en) Selective transport layer security encryption
JP2005252464A (ja) 通信方法、通信端末装置およびゲートウェイ装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150311

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150414

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150507

R150 Certificate of patent or registration of utility model

Ref document number: 5746446

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150