亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

用于卸載對(duì)多個(gè)網(wǎng)絡(luò)業(yè)務(wù)流的密碼處理的技術(shù)的制作方法

文檔序號(hào):7741205閱讀:171來源:國(guó)知局
專利名稱:用于卸載對(duì)多個(gè)網(wǎng)絡(luò)業(yè)務(wù)流的密碼處理的技術(shù)的制作方法
技術(shù)領(lǐng)域
本發(fā)明一般地涉及對(duì)數(shù)據(jù)流進(jìn)行密碼操作。具體而言,本發(fā)明涉及IP安全卸載。
背景技術(shù)
IP安全(IPSec)標(biāo)準(zhǔn)提供了用于保護(hù)在網(wǎng)絡(luò)上傳送的數(shù)據(jù)的保密性和完整性的技術(shù)。在1998年11月出版的IP Security Internet EngineeringTask Force(IETF)Request for Comments(RFC)2401(IP安全互聯(lián)網(wǎng)工程任務(wù)組請(qǐng)求審議2401)中對(duì)IPSec進(jìn)行了描述。由于IPSec提供了一種在傳輸控制協(xié)議(TCP)/用戶數(shù)據(jù)報(bào)協(xié)議(UDP)層之下加密和解密數(shù)據(jù)的方法,所以該保護(hù)對(duì)于那些傳送數(shù)據(jù)的應(yīng)用來說是透明的。這樣,系統(tǒng)可以利用IPSec而不需在應(yīng)用級(jí)別改變。但是,用于對(duì)IPSec數(shù)據(jù)的密碼技術(shù)(密碼)操作(例如,加密、解密、認(rèn)證)的算法需要很多處理器周期來執(zhí)行。用于密碼操作的處理器周期減少了應(yīng)用和協(xié)議棧的其它部分可用的周期。這則降低了系統(tǒng)中的總處理能力。
對(duì)于這種問題的一個(gè)方案是將該密碼操作卸載到處理器外部的硬件,例如,網(wǎng)絡(luò)接口卡(NIC)。一種卸載技術(shù)是在數(shù)據(jù)剛離開網(wǎng)絡(luò)連接被傳送到主機(jī)存儲(chǔ)器之前就解密該數(shù)據(jù)。通常,NIC和主機(jī)存儲(chǔ)器之間的數(shù)據(jù)傳送使用直接存儲(chǔ)器訪問(DMA)設(shè)備來完成。在進(jìn)入的數(shù)據(jù)被傳送到主機(jī)存儲(chǔ)器之前的對(duì)其解密和認(rèn)證的處理被稱為“在線(inline)接收”。
在線接收的一種替代是被稱為“二次使用”的技術(shù),該“二次使用”技術(shù)使用帶外加速技術(shù)來解密收到的分組。所有從網(wǎng)絡(luò)接收到的分組都經(jīng)由DMA傳送被傳送到主機(jī)存儲(chǔ)器。網(wǎng)絡(luò)驅(qū)動(dòng)器然后解析每個(gè)接收到的分組以將其與對(duì)應(yīng)的安全性關(guān)聯(lián)(security association,SA)匹配。安全性關(guān)聯(lián)是一種包含了加密、解密和/或認(rèn)證一個(gè)分組的數(shù)據(jù)所必需的信息的數(shù)據(jù)結(jié)構(gòu)。
假設(shè)密碼操作處理器位于NIC上,該驅(qū)動(dòng)器必須指示NIC處理器去通過總線傳送分組,對(duì)該分組進(jìn)行密碼操作然后通過總線將分組發(fā)送回主機(jī)存儲(chǔ)器。結(jié)果分組三次通過總線被傳送,這是一種對(duì)主機(jī)資源的低效使用。二次使用技術(shù)還引入了延時(shí),該延時(shí)可能降低了那些對(duì)往返時(shí)間延遲敏感的協(xié)議的總處理能力,所述協(xié)議例如為TCP。
與二次使用相比,在線接收以增大了的復(fù)雜度和網(wǎng)絡(luò)接口開銷為代價(jià)提供了更好的總體性能。造成開銷增大的一個(gè)因素是,對(duì)于在線接收,網(wǎng)絡(luò)接口一般為進(jìn)入的數(shù)據(jù)流存儲(chǔ)SA。為了支持大量的進(jìn)入數(shù)據(jù)流,網(wǎng)絡(luò)接口將存儲(chǔ)大量的SA,所述SA一般存儲(chǔ)在網(wǎng)絡(luò)接口的高速緩存存儲(chǔ)器中。增大該高速緩存的大小就增大了網(wǎng)絡(luò)接口的開銷。


本發(fā)明在附圖的圖形中以示例方式而非限制方式被示出,其中在所述附圖中相似標(biāo)號(hào)表示類似部件。
圖1是電子系統(tǒng)的一個(gè)實(shí)施例的方框圖;圖2是網(wǎng)絡(luò)接口的一個(gè)實(shí)施例的方框圖,所述網(wǎng)絡(luò)接口耦合到網(wǎng)絡(luò)上;圖3是數(shù)據(jù)分組的一個(gè)實(shí)施例的方框圖;圖4是用于對(duì)經(jīng)由網(wǎng)絡(luò)連接接收到的一個(gè)分組的數(shù)據(jù)進(jìn)行密碼操作的技術(shù)的一個(gè)實(shí)施例的流程圖;圖5示出了用于從外部存儲(chǔ)器取回SA的基址和偏移量尋址技術(shù)的一個(gè)實(shí)施例。
具體實(shí)施例方式
本發(fā)明描述了用于卸載對(duì)多個(gè)網(wǎng)絡(luò)流的密碼處理的技術(shù)。在以下描述中,為了便于說明,陳述了很多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的全面的理解。但是很顯然,對(duì)于本領(lǐng)域的技術(shù)人員本發(fā)明可以不利用這些具體細(xì)節(jié)來實(shí)現(xiàn)。而在其它情況下,結(jié)構(gòu)和設(shè)備示以方框圖形式以避免使本發(fā)明不清晰。
說明書中對(duì)“一個(gè)實(shí)施例”或者“實(shí)施例”的引用意為結(jié)合本實(shí)施例描述的特定特征、結(jié)構(gòu)或者特點(diǎn)被包括在本發(fā)明的至少一個(gè)實(shí)施例中。在說明書各個(gè)地方出現(xiàn)的短語(yǔ)“在一個(gè)實(shí)施例中”未必都指同一個(gè)實(shí)施例。
在一個(gè)實(shí)施例中,在網(wǎng)絡(luò)接口處維持一個(gè)安全性關(guān)聯(lián)(SA)查詢表。SA被存儲(chǔ)于網(wǎng)絡(luò)接口外部的存儲(chǔ)器中,例如,存儲(chǔ)在主機(jī)電子系統(tǒng)的存儲(chǔ)器中,該網(wǎng)絡(luò)接口在該主機(jī)電子系統(tǒng)中提供網(wǎng)絡(luò)訪問。該查詢表為網(wǎng)絡(luò)接口控制電路、或者其它系統(tǒng)組件存儲(chǔ)足夠的信息(例如,唯一密鑰和SA數(shù)據(jù)的位置,或者基址和偏移量)以取回該SA并將該SA用于密碼操作。
當(dāng)要執(zhí)行密碼操作時(shí),SA數(shù)據(jù)被從外部存儲(chǔ)器取回并遞送給進(jìn)行該密碼操作的組件。IPSec標(biāo)準(zhǔn)需要檢驗(yàn)?zāi)康牡氐幕ヂ?lián)網(wǎng)協(xié)議(IP)地址和IPSec協(xié)議以保證匹配。在一個(gè)實(shí)施例中,在從外部存儲(chǔ)器接收到SA數(shù)據(jù)之后檢驗(yàn)這些值。這樣,在一個(gè)實(shí)施例中,查詢表?xiàng)l目?jī)H包括SPI(安全參數(shù)索引)和足夠的尋址信息訪問外部存儲(chǔ)器中的SA。
圖1是電子系統(tǒng)的一個(gè)實(shí)施例。電子系統(tǒng)100可以是,例如,計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)、機(jī)頂盒或者任何其它訪問網(wǎng)絡(luò)的電子系統(tǒng)。系統(tǒng)100包括總線101或者其它通信設(shè)備以交流信息,系統(tǒng)100還包括與總線101耦合以處理信息和執(zhí)行指令的處理器102。系統(tǒng)100還包括存儲(chǔ)器103,該存儲(chǔ)器103耦合到總線101以存儲(chǔ)信息和處理器102要執(zhí)行的指令。存儲(chǔ)器103還可以被用來在處理器102執(zhí)行指令期間存儲(chǔ)臨時(shí)變量或者其它中間信息。存儲(chǔ)器103可以包括隨機(jī)訪問存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、閃存或者其它靜態(tài)或者動(dòng)態(tài)存儲(chǔ)介質(zhì)。
用戶接口104耦合到總線101以允許與用戶的交互。大容量存儲(chǔ)裝置105可以耦合到系統(tǒng)100以向存儲(chǔ)器103提供指令。大容量存儲(chǔ)裝置105可以是,例如,磁盤或者光盤及其對(duì)應(yīng)的驅(qū)動(dòng)、存儲(chǔ)卡或者其它能夠存儲(chǔ)機(jī)器可讀指令的設(shè)備。網(wǎng)絡(luò)接口106可以耦合到總線101以使能系統(tǒng)100經(jīng)由網(wǎng)絡(luò)與其它電子系統(tǒng)通信。驅(qū)動(dòng)器代理107可以耦合到系統(tǒng)100以利用硬件完成驅(qū)動(dòng)器功能。驅(qū)動(dòng)器代理107可以是專用集成電路(ASIC)、特殊功能控制器或者處理器、現(xiàn)場(chǎng)可編程門陣列(FPGA)或者其它用來完成驅(qū)動(dòng)器功能的硬件設(shè)備。驅(qū)動(dòng)器代理107不是系統(tǒng)100的必要部分。
指令可以從例如磁盤、CD-ROM、DVD的存儲(chǔ)裝置經(jīng)由遠(yuǎn)程連接(例如,通過網(wǎng)絡(luò))等被提供給存儲(chǔ)器103。在另一個(gè)實(shí)施例中,硬連線電路可以被用來替代軟件指令或者與之結(jié)合。指令可以從一種形式的機(jī)器可訪問介質(zhì)被提供給存儲(chǔ)器103。機(jī)器可訪問介質(zhì)包括以機(jī)器(例如,計(jì)算機(jī))可讀形式提供(即,存儲(chǔ)并/或傳輸)信息的任何機(jī)制。例如,機(jī)器可訪問介質(zhì)包括只讀存儲(chǔ)器(ROM)、隨機(jī)訪問存儲(chǔ)器(RAM)、磁盤存儲(chǔ)介質(zhì)、光存儲(chǔ)介質(zhì)、閃存設(shè)備、電、光、聲或者其它形式的傳播信號(hào)(例如,載波、紅外信號(hào)、數(shù)字信號(hào))等。
圖2是耦合于網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的一個(gè)實(shí)施例的方框圖。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)接口(NI)210是通信接口,其使得電子系統(tǒng)能夠與耦合到網(wǎng)絡(luò)220的其它電子系統(tǒng)通信。例如,NI 210可以是網(wǎng)絡(luò)接口卡(NIC)。在一個(gè)實(shí)施例中,業(yè)務(wù)流被從網(wǎng)絡(luò)220接收到NI 210的緩沖器211中。
網(wǎng)絡(luò)接口210還包括控制電路215,該控制電路215提供密碼服務(wù)216并被耦合到緩沖器211和SA查詢表212??刂齐娐?15可以是,例如,硬連線電路、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)、通用處理器或者控制器電路或者任何其它類型的邏輯電路??刂齐娐?15的部分功能部件也可以作為電路元件所執(zhí)行的指令序列被提供。密碼服務(wù)216提供密碼操作(例如,加密、解密、認(rèn)證)并可以以任何本領(lǐng)域已知的方式實(shí)現(xiàn)為任何硬件和軟件的組合。
SA查詢表212存儲(chǔ)指明SA的存儲(chǔ)器位置的信息。由于SA查詢表212只存儲(chǔ)SA的存儲(chǔ)器位置,所以網(wǎng)絡(luò)接口210所能支持的SA的數(shù)量與用于SA數(shù)據(jù)的高速緩存的相同大小的存儲(chǔ)器相比是提高了??刂齐娐?15基于從SA查詢表212取回的信息從存儲(chǔ)器103中的安全性關(guān)聯(lián)表234取回SA。
存儲(chǔ)器103包括操作系統(tǒng)(OS)231,該操作系統(tǒng)231控制到處理器102的指令流。在一個(gè)實(shí)施例中,OS 231是電子系統(tǒng)的最高層的控制。驅(qū)動(dòng)器代理233是較低層的系統(tǒng)控制。驅(qū)動(dòng)器代理233被用來控制網(wǎng)絡(luò)接口210的操作。應(yīng)用232可以包括電子系統(tǒng)100能夠執(zhí)行的程序(例如,一個(gè)或者多個(gè)字處理器、電子郵件(e-mail)程序)。存儲(chǔ)器103還包括SA表234,該SA表234為SA的一個(gè)數(shù)據(jù)結(jié)構(gòu)。在一個(gè)實(shí)施例中,控制電路215訪問SA表234以取回SA數(shù)據(jù)用于在進(jìn)行密碼操作中使用。
圖3是數(shù)據(jù)分組的一個(gè)實(shí)施例的方框圖。在一個(gè)實(shí)施例中,數(shù)據(jù)分組301被嵌入到業(yè)務(wù)流300中。例如,業(yè)務(wù)流300可以是被多個(gè)聯(lián)網(wǎng)的電子系統(tǒng)用來通信的安全業(yè)務(wù)流。例如,業(yè)務(wù)流300可以是兩個(gè)電子系統(tǒng)之間使用IPSec加密標(biāo)準(zhǔn)來通過互聯(lián)網(wǎng)傳送安全信息的網(wǎng)絡(luò)業(yè)務(wù)流。
在一個(gè)實(shí)施例中,數(shù)據(jù)分組301由頭部310、密碼信息320和數(shù)據(jù)330構(gòu)成。在一個(gè)實(shí)施例中,密碼信息320由網(wǎng)絡(luò)協(xié)議321、安全性參數(shù)索引(SPI)322、源標(biāo)識(shí)符323和目的地標(biāo)識(shí)符324構(gòu)成。網(wǎng)絡(luò)協(xié)議321、SPI 322、源標(biāo)識(shí)符323和目的地標(biāo)識(shí)符324可以獨(dú)立于密碼信息320存在或者在其外部存在。這樣,密碼信息由圖3所示部件中的一些或者全部構(gòu)成,或者還包括其它部件,可能更復(fù)雜或更簡(jiǎn)單。
在一個(gè)實(shí)施例中,密碼信息320對(duì)于電子系統(tǒng)處理數(shù)據(jù)分組301來說是必需的。例如,利用IPSec接收數(shù)據(jù)分組301的電子系統(tǒng)將尋找密碼信息320的位置以認(rèn)證該分組并確定如何對(duì)數(shù)據(jù)330解密。
圖4是用于對(duì)經(jīng)由網(wǎng)絡(luò)連接接收到的一個(gè)分組的數(shù)據(jù)進(jìn)行密碼操作的技術(shù)的一個(gè)實(shí)施例的流程圖。圖4的處理流是依據(jù)IPSec協(xié)議來描述的,但是,也可以使用其它協(xié)議。
在405處接收網(wǎng)絡(luò)分組。例如,網(wǎng)絡(luò)分組可以經(jīng)由網(wǎng)絡(luò)接口被接收并存儲(chǔ)在網(wǎng)絡(luò)接口卡的緩沖器中。該分組可以被存儲(chǔ)在緩沖器中直到網(wǎng)絡(luò)處理器或者其它處理設(shè)備從該緩沖器取回該分組。
在410處對(duì)網(wǎng)絡(luò)分組頭部進(jìn)行解析。分析網(wǎng)絡(luò)分組的非有效負(fù)載部分以確定該網(wǎng)絡(luò)分組的各種特性。頭部信息可以包括,例如,源地址、目的地地址、SPI、一個(gè)或者多個(gè)協(xié)議類型等。當(dāng)對(duì)IPSec分組進(jìn)行解密時(shí),頭部信息被用來確定所接收的分組是否為IPSec分組。
在一個(gè)實(shí)施例中,如果在415處分組不是IPSec分組,則網(wǎng)絡(luò)接口不利用從外部存儲(chǔ)器取回的SA對(duì)該分組進(jìn)行解密,455。如果在415處分組是IPSec分組,則網(wǎng)絡(luò)處理器或者其它處理設(shè)備抽取SPI、目的地地址和用來加密該分組的IPSec協(xié)議。
在425處,網(wǎng)絡(luò)處理器所抽取的信息被用來在網(wǎng)絡(luò)接口上搜索SA查詢表。在IPSec實(shí)現(xiàn)中,所接收的分組的SPI是唯一的并且可以被用作搜索SA查詢表的關(guān)鍵字。SA查詢表中的條目提供了關(guān)于網(wǎng)絡(luò)接口外部的存儲(chǔ)器中的SA位置的信息。該外部存儲(chǔ)器可以是,例如,具有提供SA查詢表的網(wǎng)絡(luò)接口卡的計(jì)算機(jī)系統(tǒng)主存儲(chǔ)器。類似地,任何具有網(wǎng)絡(luò)接口的電子系統(tǒng)(例如,計(jì)算機(jī)、機(jī)頂盒、個(gè)人數(shù)字助理、蜂窩式手機(jī)),不論是有線的還是無(wú)線的,都可以在不同存儲(chǔ)位置提供SA查詢信息和SA信息。
在一個(gè)實(shí)施例中,網(wǎng)絡(luò)接口是64位兼容的,這意味著SA的地址可以在64位地址空間的任何地方。在一個(gè)實(shí)施例中,為了避免每個(gè)查詢表?xiàng)l目使用8字節(jié)(64位),SA查詢表存儲(chǔ)每個(gè)條目的基址和偏移量。
存在有若干實(shí)現(xiàn)偏移量的可替換的實(shí)施例。在一個(gè)實(shí)施例中,SA具有可變大小并且定義每個(gè)SA的大小。如果,例如,支持5,000個(gè)SA,19位被提供用于偏移量而8位被提供用于表示大小(假設(shè)最大為128字節(jié))。這樣,總的條目大小是27位。
在另一個(gè)實(shí)施例中,如果SA大小上是固定的,則只需要“SA索引”。支持64k SA導(dǎo)致16位用于偏移量。如果SA實(shí)際上大小并不固定,則假設(shè)SA大小固定,外部存儲(chǔ)器就沒有被最優(yōu)的利用;但是,查詢存儲(chǔ)器大小相比支持可變SA大小的情況是被減小了。一般,外部存儲(chǔ)器比用來提供SA查詢表的存儲(chǔ)器要便宜。所以,假設(shè)固定的SA大小可以比假設(shè)可變SA大小提供更為有效的實(shí)現(xiàn)。
根據(jù)特定的位大小描述了存儲(chǔ)器尋址、SA查詢表?xiàng)l目和SA,但是這里所描述的技術(shù)可以被用于任何位大小。例如,可以支持128位尋址。SA查詢表偏移量值可以大于16位。其它的位大小變化也可以被支持。以下更詳細(xì)地描述一個(gè)用于提供基址和偏移量值作為SA查詢表?xiàng)l目的實(shí)施例。
如果在430處沒有找到SA查詢表中對(duì)應(yīng)于所接收的分組的條目,則網(wǎng)絡(luò)接口不會(huì)利用從外部存儲(chǔ)器取回的SA來解密該分組,455。如果在430處找到了SA查詢表對(duì)應(yīng)所接收到的分組的SPI的條目,則在435處從外部存儲(chǔ)器取回一個(gè)SA。
在435處將從分組頭部取回的目的地IP地址和IPSec協(xié)議比較。如果在445處目的地IP地址和IPSec協(xié)議不匹配,則在網(wǎng)絡(luò)接口處不會(huì)利用從外部存儲(chǔ)器取回的SA解密該分組,455。如果目的地IP地址和IPSec協(xié)議在445處匹配,則在450處網(wǎng)絡(luò)接口利用從外部存儲(chǔ)器取回的SA解密該分組。
圖5示出了用于從外部存儲(chǔ)器取回SA的基址和偏移量尋址技術(shù)的一個(gè)實(shí)施例。圖5的SA查詢表?xiàng)l目是16位值;但是,可以使用任何查詢表?xiàng)l目大小。同樣,圖5是按照具有四個(gè)基址寄存器來描述的;但是,可以支持任何數(shù)量的基址寄存器。在一個(gè)實(shí)施例中,基址寄存器的數(shù)量是二的指數(shù)(例如,2、4、8、16)。
條目500表示示例的SA查詢表?xiàng)l目。條目500具有兩個(gè)字段,寄存器選擇(RS)字段和索引(SA_INDEX)字段。RS字段被用來確定多個(gè)基址寄存器(例如,510、512、514、516)中的哪個(gè)提供外部存儲(chǔ)器中的基址以對(duì)存儲(chǔ)在該外部存儲(chǔ)器中的SA塊進(jìn)行尋址。
使用基址寄存器和索引值所帶來的一個(gè)優(yōu)點(diǎn)是外部存儲(chǔ)器中被用來存儲(chǔ)SA的存儲(chǔ)單元的塊不需要對(duì)于所有SA連續(xù)的。當(dāng)必須支持大量SA時(shí)這是很有利的,因?yàn)閷?duì)于網(wǎng)絡(luò)驅(qū)動(dòng)器要分配大量物理上連續(xù)的存儲(chǔ)器是很困難的。
條目500中的SA_INDEX提供了相對(duì)于由適當(dāng)?shù)幕芳拇嫫魈峁┑幕返钠屏?。在一個(gè)實(shí)施例中,該偏移量以SA來提供。換句話說,假設(shè)128字節(jié)的SA,則索引值的每次增加表示128字節(jié)的存儲(chǔ)器塊。
基址寄存器510、512、514和516存儲(chǔ)分別對(duì)應(yīng)于所關(guān)聯(lián)的存儲(chǔ)器塊,存儲(chǔ)器520、522、524和526的地址。在一個(gè)實(shí)施例中,每個(gè)存儲(chǔ)器塊都位于主機(jī)電子系統(tǒng)的主存儲(chǔ)器中;但是,存儲(chǔ)器塊可以是其它類型的存儲(chǔ)器,例如,閃存。存儲(chǔ)器塊還可以位于不同存儲(chǔ)器系統(tǒng)中,例如,一些基址可以在主機(jī)系統(tǒng)的主存儲(chǔ)器中而其它基址可以在其它存儲(chǔ)器系統(tǒng)中。
例如,如果條目500的RS字段包括二進(jìn)制“11”,基址寄存器516中的地址可以被用來對(duì)外部存儲(chǔ)器塊進(jìn)行尋址。基址寄存器510、512、514和516可以是網(wǎng)絡(luò)接口上的硬件寄存器,或者該基址寄存器可以是網(wǎng)絡(luò)接口上的存儲(chǔ)器中的存儲(chǔ)單元,或者該基址寄存器可以是主機(jī)電子系統(tǒng)內(nèi)的寄存器和/或存儲(chǔ)單元。
基址寄存器516存儲(chǔ)指向外部存儲(chǔ)器塊526的指針或者其開始地址。條目500的SA_INDEX字段指明自存儲(chǔ)于基址寄存器516中的基址的偏移量?;泛推屏恐档慕M合所指明的存儲(chǔ)單元是對(duì)應(yīng)于SA查詢表?xiàng)l目500的SA的存儲(chǔ)單元。SA可以被網(wǎng)絡(luò)接口處理器所取回用于在進(jìn)行密碼操作中使用。
在以上說明書中,本發(fā)明已經(jīng)參照其具體實(shí)施例被描述了。但是顯然,可以對(duì)本發(fā)明作出各種修改和改變而不背離本發(fā)明的廣泛的精神和范圍。因此,本說明書和附圖被視為是說明性的,而非限制性的。
權(quán)利要求
1.一種方法,包括在網(wǎng)絡(luò)接口處存儲(chǔ)對(duì)應(yīng)于網(wǎng)絡(luò)流的安全性關(guān)聯(lián)的查詢信息,所述查詢信息用來標(biāo)識(shí)網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器中所述安全性關(guān)聯(lián)的位置;在所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器中存儲(chǔ)所述安全性關(guān)聯(lián);以及基于所述查詢信息從所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器取回所述安全性關(guān)聯(lián)。
2.如權(quán)利要求1所述的方法,其中所述查詢信息包括基址和偏移量值。
3.如權(quán)利要求1所述的方法,其中所述查詢信息是基于安全性參數(shù)索引被搜索的。
4.如權(quán)利要求1所述的方法,所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器包括主機(jī)電子系統(tǒng)的存儲(chǔ)器系統(tǒng)的一個(gè)或者多個(gè)部分。
5.如權(quán)利要求4所述的方法,其中所述主機(jī)電子系統(tǒng)包括耦合到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)。
6.如權(quán)利要求1所述的方法,其中所述網(wǎng)絡(luò)接口包括耦合在主機(jī)電子系統(tǒng)的總線和網(wǎng)絡(luò)之間的網(wǎng)絡(luò)接口卡。
7.一種包括計(jì)算機(jī)可訪問介質(zhì)以提供指令的物品,所述指令當(dāng)被一個(gè)或者多個(gè)處理器所執(zhí)行時(shí)引起一個(gè)或者多個(gè)電子設(shè)備在網(wǎng)絡(luò)接口處存儲(chǔ)對(duì)應(yīng)于網(wǎng)絡(luò)流的安全性關(guān)聯(lián)的查詢信息,所述查詢信息用來標(biāo)識(shí)網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器中所述安全性關(guān)聯(lián)的位置;在所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器中存儲(chǔ)所述安全性關(guān)聯(lián);以及基于所述查詢信息從所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器取回所述安全性關(guān)聯(lián)。
8.如權(quán)利要求7所述的物品,其中所述查詢信息包括基址和偏移量值。
9.如權(quán)利要求7所述的物品,其中所述查詢信息是基于安全性參數(shù)索引被搜索的。
10.如權(quán)利要求7所述的物品,所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器包括主機(jī)電子系統(tǒng)的存儲(chǔ)器系統(tǒng)的一個(gè)或者多個(gè)部分。
11.如權(quán)利要求10所述的物品,其中所述主機(jī)電子系統(tǒng)包括耦合到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)。
12.如權(quán)利要求7所述的物品,其中所述網(wǎng)絡(luò)接口包括耦合在主機(jī)電子系統(tǒng)的總線和網(wǎng)絡(luò)之間的網(wǎng)絡(luò)接口卡。
13.一種方法,包括基于存儲(chǔ)在接收網(wǎng)絡(luò)流的網(wǎng)絡(luò)接口的查詢信息從所述網(wǎng)絡(luò)接口外部的存儲(chǔ)器取回對(duì)應(yīng)于所述網(wǎng)絡(luò)流的安全性關(guān)聯(lián);以及利用從所述外部存儲(chǔ)器取回的所述安全性關(guān)聯(lián)對(duì)所述網(wǎng)絡(luò)流進(jìn)行密碼操作。
14.如權(quán)利要求13所述的方法,其中所述查詢信息包括基址和偏移量值。
15.如權(quán)利要求13所述的方法,其中所述查詢信息是基于安全性參數(shù)索引被搜索的。
16.如權(quán)利要求13所述的方法,其中所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器包括主機(jī)電子系統(tǒng)的存儲(chǔ)器系統(tǒng)的一個(gè)或者多個(gè)部分。
17.如權(quán)利要求16所述的方法,其中所述主機(jī)電子系統(tǒng)包括耦合到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)。
18.如權(quán)利要求13所述的方法,其中所述網(wǎng)絡(luò)接口包括耦合在主機(jī)電子系統(tǒng)的總線和網(wǎng)絡(luò)之間的網(wǎng)絡(luò)接口卡。
19.一種包括計(jì)算機(jī)可訪問介質(zhì)以提供指令的物品,所述指令當(dāng)被一個(gè)或者多個(gè)處理器所執(zhí)行時(shí)引起所述一個(gè)或者多個(gè)處理器基于存儲(chǔ)在接收網(wǎng)絡(luò)流的網(wǎng)絡(luò)接口的查詢信息從所述網(wǎng)絡(luò)接口外部的存儲(chǔ)器取回對(duì)應(yīng)于所述網(wǎng)絡(luò)流的安全性關(guān)聯(lián);以及利用從所述外部存儲(chǔ)器取回的安全性關(guān)聯(lián)對(duì)所述網(wǎng)絡(luò)流進(jìn)行密碼操作。
20.如權(quán)利要求19所述物品,其中所述查詢信息包括基址和偏移量值。
21.如權(quán)利要求19所述的方法,其中所述查詢信息是基于安全性參數(shù)索引被搜索的。
22.如權(quán)利要求19所述的方法,其中所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器包括主機(jī)電子系統(tǒng)的存儲(chǔ)器系統(tǒng)的一個(gè)或者多個(gè)部分。
23.如權(quán)利要求22所述的方法,其中所述主機(jī)電子系統(tǒng)包括耦合到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)。
24.如權(quán)利要求19所述的方法,其中所述網(wǎng)絡(luò)接口包括耦合在主機(jī)電子系統(tǒng)的總線和網(wǎng)絡(luò)之間的網(wǎng)絡(luò)接口卡。
25.一種方法,包括從網(wǎng)絡(luò)流接收網(wǎng)絡(luò)分組,以及基于存儲(chǔ)在接收所述網(wǎng)絡(luò)流的網(wǎng)絡(luò)接口的查詢信息從所述網(wǎng)絡(luò)接口外部的存儲(chǔ)器取回對(duì)應(yīng)于所述網(wǎng)絡(luò)流的安全性關(guān)聯(lián)。
26.如權(quán)利要求25所述的方法,其中所述接收所述網(wǎng)絡(luò)分組包括從操作系統(tǒng)接收所述網(wǎng)絡(luò)分組。
27.如權(quán)利要求25所述的方法,其中所述接收所述網(wǎng)絡(luò)分組包括從網(wǎng)絡(luò)接收所述網(wǎng)絡(luò)分組。
28.如權(quán)利要求25所述的方法,其中所述查詢信息包括基址和偏移量值。
29.如權(quán)利要求28所述的方法,其中所述查詢信息是基于安全性參數(shù)索引被搜索的。
30.如權(quán)利要求25所述的方法,其中所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器包括主機(jī)電子系統(tǒng)的存儲(chǔ)器系統(tǒng)的一個(gè)或者多個(gè)部分。
31.如權(quán)利要求30所述的方法,其中所述主機(jī)電子系統(tǒng)包括耦合到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)。
32.如權(quán)利要求25所述的方法,其中所述網(wǎng)絡(luò)接口包括耦合在主機(jī)電子系統(tǒng)的總線和網(wǎng)絡(luò)之間的網(wǎng)絡(luò)接口卡。
33.一種包括計(jì)算機(jī)可訪問介質(zhì)以提供指令的物品,所述指令當(dāng)被一個(gè)或者多個(gè)處理器所執(zhí)行時(shí)引起一個(gè)或者多個(gè)電子設(shè)備從網(wǎng)絡(luò)流接收網(wǎng)絡(luò)分組,以及基于存儲(chǔ)在接收所述網(wǎng)絡(luò)流的網(wǎng)絡(luò)接口的查詢信息從所述網(wǎng)絡(luò)接口外部的存儲(chǔ)器取回對(duì)應(yīng)于所述網(wǎng)絡(luò)流的安全性關(guān)聯(lián)。
34.如權(quán)利要求33所述的物品,其中引起一個(gè)或者多個(gè)電子設(shè)備接收所述網(wǎng)絡(luò)分組的所述指令序列包括當(dāng)被一個(gè)或者多個(gè)處理器執(zhí)行時(shí)引起一個(gè)或者多個(gè)電子設(shè)備從操作系統(tǒng)接收所述網(wǎng)絡(luò)分組的指令。
35.如權(quán)利要求33所述的物品,其中引起一個(gè)或者多個(gè)電子設(shè)備接收所述網(wǎng)絡(luò)分組的所述指令序列包括當(dāng)被一個(gè)或者多個(gè)處理器執(zhí)行時(shí)引起一個(gè)或者多個(gè)電子設(shè)備從網(wǎng)絡(luò)接收所述網(wǎng)絡(luò)分組的指令。
36.如權(quán)利要求33所述的物品,其中所述查詢信息包括基址和偏移量值。
37.如權(quán)利要求33所述的物品,其中所述查詢信息是基于安全性參數(shù)索引被搜索的。
38.如權(quán)利要求33所述的物品,其中所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器包括主機(jī)電子系統(tǒng)的存儲(chǔ)器系統(tǒng)的一個(gè)或者多個(gè)部分。
39.如權(quán)利要求33所述的物品,其中所述網(wǎng)絡(luò)接口包括耦合在主機(jī)電子系統(tǒng)的總線和網(wǎng)絡(luò)之間的網(wǎng)絡(luò)接口卡。
40.一種裝置,包括網(wǎng)絡(luò)接口,用來接收通過網(wǎng)絡(luò)傳播的表示一個(gè)分組的數(shù)據(jù)的信號(hào);耦合到所述網(wǎng)絡(luò)接口的緩沖器,所述緩沖器用來存儲(chǔ)該分組的數(shù)據(jù);耦合到所述緩沖器的控制電路,所述控制電路用來從所述分組的數(shù)據(jù)取回信息;和耦合到所述處理器的高速緩存存儲(chǔ)器,所述高速緩存存儲(chǔ)器用來存儲(chǔ)標(biāo)識(shí)外部存儲(chǔ)器中的存儲(chǔ)單元的地址信息,其中對(duì)應(yīng)于所述分組的數(shù)據(jù)的安全性關(guān)聯(lián)存儲(chǔ)在所述外部存儲(chǔ)器中,存儲(chǔ)在所述高速緩存中的所述標(biāo)識(shí)信息的位置由從所述分組的數(shù)據(jù)取回的信息來標(biāo)識(shí),其中所述控制電路基于存儲(chǔ)在所述高速緩存中的標(biāo)識(shí)信息從所述外部存儲(chǔ)器取回所述安全性關(guān)聯(lián)。
41.如權(quán)利要求40所述的裝置,其中所述查詢信息包括基址和偏移量值。
42.如權(quán)利要求40所述的方法,其中所述查詢信息是基于安全性參數(shù)索引被搜索的。
43.如權(quán)利要求40所述的方法,其中所述網(wǎng)絡(luò)接口可訪問的外部存儲(chǔ)器包括主機(jī)電子系統(tǒng)的存儲(chǔ)器系統(tǒng)的一個(gè)或者多個(gè)部分。
全文摘要
在網(wǎng)絡(luò)接口處維持一個(gè)安全性關(guān)聯(lián)(SA)查詢表。SA數(shù)據(jù)被存儲(chǔ)在該網(wǎng)絡(luò)接口外部的存儲(chǔ)器中,例如,存儲(chǔ)在主機(jī)電子系統(tǒng)的存儲(chǔ)器中,在該主機(jī)電子系統(tǒng)中網(wǎng)絡(luò)接口提供網(wǎng)絡(luò)訪問。查詢表為該網(wǎng)絡(luò)接口或者其它系統(tǒng)組件存儲(chǔ)足夠的信息用來訪問所述SA數(shù)據(jù)。當(dāng)進(jìn)行密碼操作時(shí),SA數(shù)據(jù)被從外部存儲(chǔ)器取回并被遞送給進(jìn)行該密碼操作的處理器。在一個(gè)實(shí)施例中,在從外部存儲(chǔ)器取回SA數(shù)據(jù)之后檢驗(yàn)?zāi)康牡鼗ヂ?lián)網(wǎng)協(xié)議(IP)地址和IPSec協(xié)議。在一個(gè)實(shí)施例中,查詢表?xiàng)l目只包含自基址值的偏移量值,用來定位所述SA數(shù)據(jù)。
文檔編號(hào)H04L29/06GK1552149SQ02817495
公開日2004年12月1日 申請(qǐng)日期2002年8月2日 優(yōu)先權(quán)日2001年9月6日
發(fā)明者林登·米恩尼克, 林登 米恩尼克 申請(qǐng)人:英特爾公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1