[发明专利]安全的在线网络分组传输

说明书

网络处理器提供接收的和传输的分组的在线加密和解密。针对分组传输，处理器核心生成用于加密的分组数据并且向密码单元转发加密指令。密码单元生成经加密的分组，并且将发送描述符排入到网络接口控制器，该网络接口控制器转而构建并且传输外发分组。针对接收到的经加密的分组，网络接口控制器在将工作排入到处理器核心之前，与密码单元通信以解密分组，从而向处理器核心提供经解密的分组。

背景技术

开放系统互连(OSI)参考模型定义了被用于通过传输介质进行通信的七个网络协议层(L1-L7)。上层(L4-L7)表示端到端通信，下层(L1-L3)表示本地通信。

网络应用感知系统操作以处理、过滤和切换一系列L3到L7网络协议层，例如L7网络协议层(诸如超文本传输协议(HTTP)和简单邮件传输协议(SMTP))，以及L4网络协议层(诸如传输控制协议(TCP))。除了处理网络协议层之外，网络应用程序感知系统还需要通过L4至L7网络协议层(包括防火墙、虚拟专用网络(VPN)、安全套接字层(SSL)、入侵检测系统(IDS)、互联网协议安全(IPsec)、反病毒(AV)和反垃圾邮件功能)来同时以线速地保护这些具有访问和基于内容的安全性的协议。特别地，IPsec是用于通过使用密码安全服务来在IP网络上提供安全通信的标准的框架。IPsec支持网络级对等认证，数据完整性、数据源的认证、数据加密和重播保护。

在当今的互联网世界中改进网络操作的效率和安全性仍然是针对互联网用户的最终目标。访问控制、流量工程、入侵检测和许多其他网络服务要求基于分组报头的多个字段来区分分组，这被称为分组分类。

典型的网络处理器对工作(诸如用于上层网络协议的分组处理操作)进行调度和排队，并且允许在向连接的设备转发分组之前，关于接收的分组中的上层网络协议(例如，传输和应用层)进行处理。功能通常由网络处理器执行，该功能包括分组过滤、队列管理和优先级、服务质量增强和访问控制。通过采用特定于处理分组数据的特征，网络处理器可以优化联网设备的接口。

发明内容

示例实施例包括网络服务处理器，该网络服务处理器被配置为通过安全通信信道(诸如IPsec信道)传输和接收分组。在一个实施例中，网络服务处理器可以包括网络解析器、网络接口控制器、加密引擎和分组处理器。网络解析器可以被配置为从分组的分组报头确定加密状态，其中加密状态指示分组是否是用于解密的候选者。网络接口控制器可以被配置为创建工作队列条目，该工作队列条目指示针对该分组要求分组处理。控制器还可以基于加密状态来选择性地转发解密命令。作为解密引擎来操作的密码单元可以被配置为响应于解密命令而对分组进行解密，并且生成经解密的分组。分组处理器可以被配置为基于工作队列条目来处理分组，其中分组处理器根据加密状态来访问分组或者经解密的分组。

另外的实施例可以包括网络处理器，该网络处理器包括分组处理器、密码单元和网络接口控制器。分组处理器可以被配置为生成分组且并选择性地生成针对分组的加密指令。作为加密引擎来操作的密码单元可以响应于加密指令而被配置为：1)加密分组以生成经加密的分组，以及2)转发经加密的分组和发送描述符。网络接口控制器可以被配置为基于从加密引擎接收到的发送描述符，来从经加密的分组构建外发分组。

附图说明

通过示例实施例的以下更具体的描述，前述内容将是明显的，如附图中所示，其中贯穿不同的视图的类似的附图标记指代相同的部分。附图不一定按比例绘制，而是将重点放了在说明实施例上。

图1是图示了网络服务处理器的框图，在该网络服务处理器中本发明的实施例可以被实现。

图2是图1的网络服务处理器的网络和输入/输出部分的框图。

图3是一个实施例中的操作以传输分组的组件的框图。

图4是一个实施例中的分组传输操作的流程图。

图5是一个实施例中的操作以接收分组的组件的框图。

图6是一个实施例中的分组接收操作的流程图。