具有网络附接的无状态安全卸载装置的网络节点制造方法及图纸

一种用于将用安全性协议保护的数据分组通过通信网络通信的网络节点，包括主机信息处理系统(IHS)和由安全数据链路耦接的一个或多个外部安全性卸载装置。主机IHS通信关于数据分组的状态信息，并且外部卸载安全性装置使用安全性协议提供分组的无状态安全数据封装和解封。外部网络接口控制器或内部网络接口控制器通过通信网络将封装的数据分组通信到最终目的地。由外部安全性卸载装置的分组的封装和解封减少了网络延迟并且减少了主机IHS中处理器的计算负载。在主机IHS中维持状态信息允许外部安全性卸载装置的热交换而无信息损失。外部安全性卸载装置可以包括在防火墙或入侵检测装置中，并且可以实现IPsec协议。

【技术实现步骤摘要】
【国外来华专利技术】具有网络附接的无状态安全卸载装置的网络节点
本专利技术总的来说涉及信息处理系统(IHS)中的数据安全性，并且更具体地涉及联网IHS之间的通信中的数据安全性。
技术介绍
源IHS和目的地IHS的认证可以添加网络通信的安全性。源和目的地IHS之间的通信的加密还可以添加网络通信的安全性。
技术实现思路
一方面，公开一种安全卸载方法，其包括由主机信息处理系统(IHS)存储与数据分组关联的安全性元数据。该方法还包括由主机IHS确定数据分组是否是要求安全性处理的数据分组。该方法进一步包括如果主机IHS确定该数据分组不要求安全性处理则由主机IHS提供数据分组到内部网络接口控制器，该内部网络接口控制器传送数据分组到通信网络用于到除了主机IHS之外的IHS的通信。该方法还包括如果主机IHS确定数据分组要求安全性处理则经由安全数据链路由主机IHS卸载数据分组和关联的安全性元数据到无状态外部安全性卸载装置，因此提供卸载的数据分组，该无状态外部安全卸载装置是在主机IHS外部。该方法还包括由无状态外部安全性卸载装置加密和封装卸载的数据分组，因此提供封装的加密数据分组。该方法进一步包括由无状态外部安全性卸载装置经由安全数据链路传送封装的加密数据分组回到主机IHS用于进一步处理。该方法还进一步包括由主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络用于到除了主机IHS之外的IHS的通信。在另一方面，公开了网络节点，其包括主机信息处理系统(IHS)。该主机IHS包括内部网络接口控制器。网络接口包括耦接到主机IHS的安全数据链路。网络节点还包括无状态外部安全性卸载装置，其经由安全数据链路耦接到主机IHS。无状态外部安全性卸载装置在主机IHS外部。该主机IHS配置为存储与数据分组关联的安全性元数据。该主机IHS还配置为经由安全数据链路卸载数据分组和关联的安全性元数据到无状态外部安全性卸载装置，因此提供卸载的数据分组。无状态外部安全性卸载装置配置为接收卸载的数据分组和关联的安全性元数据。无状态外部安全性卸载装置还配置为加密和封装卸载的数据分组，因此提供封装的加密数据分组。无状态外部安全性卸载装置还配置为传送封装的加密数据分组回到主机IHS用于进一步处理。该主机IHS还配置为经由主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络用于到除了主机IHS之外的IHS的通信。在再一方面，所公开的安全性卸载方法包括由主机信息处理系统(IHS)内部的内部网络接口控制器从通信网络接收数据分组，因此提供接收的数据分组。该方法还包括由主机IHS确定接收的数据分组是否是要求安全性处理的封装的加密数据分组。该方法进一步包括如果主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组则由主机IHS转发接收的数据分组到主机IHS中的应用以用于处理。该方法还进一步包括如果主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组则由主机IHS经由安全数据链路卸载接收的数据分组到无状态外部安全性卸载装置，无状态外部安全性卸载装置在主机IHS外部。该方法还包括由无状态外部安全性卸载装置解封和解密接收的数据分组，因此提供解封的解密数据分组。该方法还包括经由安全数据链路由无状态外部安全性卸载装置传送解封的解密数据分组回到主机IHS用于进一步由主机IHS中的应用处理。在另一方面，公开了网络节点，其包括主机信息处理系统(IHS)。该主机IHS包括网络接口控制器。该网络节点包括耦接到主机IHS的安全数据链路。网络节点还包括经由安全数据链路耦接到主机IHS的无状态外部安全性卸载装置。外部安全性卸载装置在主机IHS外部。主机IHS配置为经由内部网络接口控制器从通信网络接收数据分组，因此提供接收的数据分组。主机IHS还配置为确定接收的数据分组是否是要求安全性处理的封装的加密数据分组。主机IHS还配置为如果主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组则转发接收的数据分组到主机IHS中的应用以用于处理。主机IHS还进一步配置为如果主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组则经由安全数据链路卸载接收的数据分组到无状态外部安全性卸载装置，因此提供卸载的数据分组。无状态外部安全性卸载装置配置为解封和解密接收的数据分组，因此提供解封的解密数据分组。无状态外部安全性卸载装置还配置为经由安全数据链路传送解封的解密数据分组到主机IHS用于进一步由主机IHS中的应用处理。在其他所附权利要求中定义本专利技术的额外方面。附图标记参考附图，将以示例的方式描述本专利技术的一个或多个实施例，其中：图1A是所公开网络系统的框图。图1B是所公开网络系统可以采用的网络节点的框图。图2是描绘了在网络节点处用外部安全性卸载装置处理外运(outbound)数据分组的一个方法的流程图。图3是描绘了在网络节点处用外部安全性卸载装置处理内运(inbound)数据分组的一个方法的流程图。图4是描绘了在网络节点处用外部安全性卸载装置处理外运(outbound)数据分组的另一方法的流程图。图5是描绘了在网络节点处用外部安全性卸载装置处理内运(inbound)数据分组的另一方法的流程图。具体实施方式在公开的网络系统中，网络节点包括主机信息处理系统(IHS)，其经由安全数据链路耦接到无状态(stateless)外部安全性卸载装置。该无状态外部安全性卸载装置耦接到外部网络接口控制器，其与网络系统中的一个或多个其他网络节点通信。主机IHS卸载安全性有关的任务到外部安全性卸载装置以减少主机IHS上安全性有关的负载。例如，外部安全性卸载装置可以添加可选报头到数据分组和/或可以以主机IHS的名义对数据分组应用密码方法。主机IHS可以向作为网络附接的装置的外部安全性卸载装置卸载诸如封装和解封、加密和解密以及认证之类的安全性有关的任务。在一个实施例中，主机IHS可以在主机IHS的TCP/IP堆栈中而非在外部安全性卸载装置中存储诸如IPSec序列号之类的状态信息，因此提供了无状态外部安全性卸载装置而非有状态外部安全性卸载装置。图1A是包括经由通信网络102耦接在一起的诸如网络节点101和101’之类的多个网络节点的所公开的网络系统100的框图。通信网络102实际上可以是任何类型的通信设备，包括有线和/或无线链路。例如，通信网络102可以包括传输线、路由器、交换机、集线器、网络结构(networkfabric)、因特网连接、局域网(LAN)和广域网(WAN)。网络节点101或网络节点101’之一可以是要求安全性处理的数据分组的源。当网络节点101是数据分组的源时，网络节点101’可以是该数据分组的目的地。相反，当网络节点101’是数据分组的源时，网络节点101可以是该数据分组的目的地。网络系统100可以包括在图1A中示出的更多网络节点。网络节点101包括具有内部网络接口控制器107的主机IHS103，该内部网络接口控制器107将主机IHS103耦接到通信网络102。网络节点101也包括经由安全数据链路105耦接到主机IHS103的外部安全性卸载装置104。在一个实施例中，外部安全性卸载装置104是“网络附接的”装置。外部网络接口控制器106将外部安全性卸载装置104耦接到通信网络1本文档来自技高网...

【技术保护点】
一种方法，包括由主机信息处理系统(IHS)存储与数据分组关联的安全性元数据；由主机IHS确定数据分组是否是要求安全性处理的数据分组；如果所述主机IHS确定所述数据分组不要求安全性处理则由所述主机IHS提供数据分组到内部网络接口控制器，所述内部网络接口控制器传送所述数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信；如果所述主机IHS确定所述数据分组要求安全性处理则经由安全数据链路由所述主机IHS卸载所述数据分组和关联安全性元数据到无状态外部安全性卸载装置，因此提供卸载的数据分组，所述无状态外部安全卸载装置是在所述主机IHS外部；由所述无状态外部安全性卸载装置加密和封装卸载的数据分组，因此提供封装的加密数据分组；由无状态外部安全性卸载装置经由所述安全数据链路传送封装的加密数据分组回到所述主机HIS以用于进一步处理；以及由所述主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信。

【技术特征摘要】
【国外来华专利技术】2012.02.21 US 13/400,577;2012.02.21 US 13/400,5751.一种用于处理数据分组的方法，包括由主机信息处理系统IHS存储与数据分组关联的安全性元数据；由主机IHS确定数据分组是否是要求安全性处理的数据分组；如果所述主机IHS确定所述数据分组不要求安全性处理则由所述主机IHS提供数据分组到内部网络接口控制器，所述内部网络接口控制器传送所述数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信；如果所述主机IHS确定所述数据分组要求安全性处理则经由安全数据链路由所述主机IHS卸载所述数据分组和关联的安全性元数据到无状态外部安全性卸载装置，因此提供卸载的数据分组，所述无状态外部安全卸载装置是在所述主机IHS外部，其中所述安全性元数据包括状态数据；由所述无状态外部安全性卸载装置加密和封装卸载的数据分组，因此提供封装的加密数据分组；由无状态外部安全性卸载装置经由所述安全数据链路传送封装的加密数据分组回到所述主机IHS以用于进一步处理；以及由所述主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信。2.根据权利要求1所述的方法，其中外部网络接口控制器集成在所述无状态外部安全性卸载装置内。3.根据任意前述权利要求所述的方法，其中如所述主机IHS传送到所述无状态外部安全性卸载装置的关联的安全性元数据指示的那样，所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行。4.一种用于处理数据分组的网络节点，包括：主机信息处理信息IHS，包括内部网络接口控制器；安全数据链路，耦接到所述主机IHS；无状态外部安全性卸载装置，经由所述安全数据链路耦接到所述主机IHS，所述无状态外部安全性卸载装置在所述主机IHS外部；并且所述主机IHS配置为存储与数据分组关联的安全性元数据，所述主机IHS还配置为经由所述安全数据链路卸载所述数据分组和关联的安全性元数据到所述无状态外部安全性卸载装置，因此提供卸载的数据分组，其中所述安全性元数据包括状态数据；所述无状态外部安全性卸载装置配置为：接收卸载的数据分组和关联的安全性元数据；加密和封装卸载的数据分组，因此提供封装的加密数据分组；传送封装的加密数据分组回到主机IHS以用于进一步处理；所述主机IHS进一步配置为：经由所述主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信。5.根据权利要求4所述的网络节点，其中如所述无状态外部安全性卸载装置从所述主机IHS接收的所述关联的安全性元数据指示的那样，所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行。6.一种用于处理数据分组的方法，包括：由主机信息处理系统IHS内部的内部网络接口控制器从通信网络接收数据分组，因此提供接收的数据分组；由所述主机IHS确定接收的数据分组是否是要求安全性处理的封装的加密数据分组；如果所述主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组，则由所述主机IHS转发接收的数据分组到所述主机IHS中的应用以用于处理；如果所述主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组，则由所述主机IHS经由安全数据链路卸载接收的数据分组到无状态外部安全性卸载装置，所述无状态外部安全性卸载装置在所述主机IHS外部；由所述无状态外部安全性卸载装置解封和解密接收的数据分组，因此提供解封的解密数据分组；由所述无状态外部安全性卸载装置添加安全性元数据到解封的解密数据分组，其中所述安全性元数据包括状态数据；以及由所述无状态外部安全性卸载装置经由所述安全数据链路传送解封的解密数据分组到所述主机IHS以用于进一步由所述主机IHS中的应用处理。7.根据权利要求1或权利要求6所述的方法，进一步包括配置所述主机IHS、安全数据链路和无状态外部安全性卸载装置以形成网络节点。8.根据权利要求1或权利要求6所述的方法，其中所述无状态外部安全性卸载装置采用IPsec协议。9.根据权利要求6所述的方法，进一步包括由所述主机IHS对于解封的解密数据分组进行状态校验。10.一种用于处理数据分组的网络节点，包括：主机信息处理系统IHS，包括内部网络接口控制器；安全数据链路，耦接到所述主机IHS；无状态外部安全性卸载装置，经由所述安全数据链路耦接到所述主机IHS，所述无状态外部安全性卸载装置在主机IHS外部；以及所述主机IHS配置为：经由所述网络接口控制器从通信网络接收数据分组，因此提供接收的数据分组；确定接收的数据分组是否是要求安全性处理的封装的加密数据分组；如果所述主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组，则转发接收的数据分组到所述主机IHS中的应用以用于处理；如果所述主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组，则经由所述安全数据链路卸载接收的数据分组到所述无状态外部安全性卸载装置，因此提供卸载的数据分组；所述无状...

【专利技术属性】
技术研发人员：SC穆南，LH小奥弗比，C梅耶，CM格尔哈特，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US