專利名稱：一種可集中管理的網(wǎng)絡(luò)適配器的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)通信設(shè)備，具體地說，涉及作為計(jì)算機(jī)部件的網(wǎng)絡(luò)適配器。
背景技術(shù)：
隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，信息安全保障問題是信息系統(tǒng)建設(shè)中必須解決的基礎(chǔ)和根本性問題。
現(xiàn)有安全解決方案通常在互聯(lián)網(wǎng)與內(nèi)網(wǎng)邊界部署防火墻、VPN、入侵檢測系統(tǒng)、安全隔離系統(tǒng)、負(fù)載均衡設(shè)備等多臺(tái)設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)層安全。內(nèi)網(wǎng)部署身份認(rèn)證服務(wù)器實(shí)現(xiàn)基于證書身份認(rèn)證，應(yīng)用(如Web)服務(wù)器通過操作系統(tǒng)角色權(quán)限配置實(shí)現(xiàn)強(qiáng)制訪問控制，通過應(yīng)用軟件實(shí)現(xiàn)主動(dòng)應(yīng)用訪問控制，并通過安裝防病毒軟件實(shí)現(xiàn)病毒查殺。這種模式下，內(nèi)網(wǎng)安全無法得到保障。
基于主機(jī)系統(tǒng)實(shí)現(xiàn)安全功能，能夠?qū)崿F(xiàn)內(nèi)網(wǎng)安全。但這種模式下，其安全功能在操作系統(tǒng)之上通過安全軟件實(shí)現(xiàn)，通用CPU及操作系統(tǒng)可能隱藏有未公開后門，操作系統(tǒng)隱藏的安全脆弱性，以及通過軟件指令代碼實(shí)現(xiàn)安全功能這種方式不能滿足嚴(yán)格的參照確認(rèn)機(jī)制。信息安全基本假設(shè)就是通過參照確認(rèn)機(jī)制保證安全功能正確實(shí)現(xiàn)從而保障系統(tǒng)安全。參照確認(rèn)機(jī)制的要求是安全功能防篡改，一直運(yùn)行，不可旁路。而主機(jī)系統(tǒng)安全功能在操作系統(tǒng)之上通過軟件實(shí)現(xiàn)，安全功能不可能與操作系統(tǒng)分離，違反了信息安全的基本原則之一域分離原則，即安全功能應(yīng)該與系統(tǒng)的其它部分處于相分離的安全域。系統(tǒng)中操作系統(tǒng)及軟件的風(fēng)險(xiǎn)會(huì)引入安全功能中。攻擊者可以針對(duì)操作系統(tǒng)及軟件的漏洞以及CPU執(zhí)行代碼機(jī)制的不安全之處，例如通過堆棧溢出攻擊，精心構(gòu)造的惡意請(qǐng)求輸入等方式改變安全模塊處理流程，從而篡改，繞過或停止其安全功能，直接導(dǎo)致主機(jī)系統(tǒng)機(jī)密性，完整性和可用性喪失。
在基于主機(jī)系統(tǒng)難以實(shí)現(xiàn)嚴(yán)格安全保障情況下，通過主機(jī)系統(tǒng)上獨(dú)立的網(wǎng)絡(luò)適配器實(shí)現(xiàn)網(wǎng)絡(luò)安全功能是可行的方案。通過在網(wǎng)絡(luò)適配器上實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制，應(yīng)用訪問控制，身份認(rèn)證等安全功能能夠滿足信息安全的域分離原則，即安全功能應(yīng)該與系統(tǒng)的其它部分處于相分離的安全域。但現(xiàn)有網(wǎng)絡(luò)適配器均接受來自主機(jī)系統(tǒng)配置管理，由主機(jī)系統(tǒng)配置其安全策略。這種模式下，由于主機(jī)系統(tǒng)存在不安全因素，在主機(jī)系統(tǒng)被侵入情況下，攻擊者可以非法修改網(wǎng)絡(luò)適配器安全策略，甚至停掉網(wǎng)絡(luò)適配器安全功能。在這種模式下，依然無法滿足嚴(yán)格的安全保障要求。

發(fā)明內(nèi)容
本發(fā)明的目的是針對(duì)現(xiàn)有技術(shù)存在的不足，提出一種獨(dú)立于主機(jī)系統(tǒng)運(yùn)行，接受集中管理的網(wǎng)絡(luò)適配器，該網(wǎng)絡(luò)適配器獨(dú)立于主機(jī)系統(tǒng)運(yùn)行，通過PCI接口與主機(jī)系統(tǒng)交互網(wǎng)絡(luò)數(shù)據(jù)，接受集中管理控制臺(tái)的集中管理，對(duì)主機(jī)系統(tǒng)所傳輸網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)安全功能。網(wǎng)絡(luò)適配器與集中管理控制臺(tái)的數(shù)據(jù)交互直接進(jìn)行，不經(jīng)過網(wǎng)絡(luò)適配器所在主機(jī)系統(tǒng)，其主機(jī)系統(tǒng)未經(jīng)集中管理安全策略允許無權(quán)查看更改網(wǎng)絡(luò)適配器的安全策略，從而確保網(wǎng)絡(luò)適配器上運(yùn)行的安全功能在任何情況下不被主機(jī)系統(tǒng)非法篡改、停止和繞過。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是本發(fā)明可集中管理的網(wǎng)絡(luò)適配器的主要器件包括主處理器、網(wǎng)絡(luò)芯片、內(nèi)存芯片、存儲(chǔ)器件和電源器件，主處理器實(shí)現(xiàn)的功能模塊包括網(wǎng)絡(luò)數(shù)據(jù)收發(fā)單元、安全功能單元、集中管理控制單元和主機(jī)系統(tǒng)接口單元。該網(wǎng)絡(luò)適配器獨(dú)立于主機(jī)系統(tǒng)運(yùn)行，通過PCI接口與主機(jī)系統(tǒng)交互網(wǎng)絡(luò)數(shù)據(jù)，接受集中管理控制臺(tái)集中管理，對(duì)所傳輸數(shù)據(jù)實(shí)施安全檢查。該網(wǎng)絡(luò)適配器具備獨(dú)立的處理器與內(nèi)存，管理命令與策略不經(jīng)過其所在的主機(jī)系統(tǒng)，其產(chǎn)生的日志消息與審計(jì)消息直接發(fā)送到集中管理控制臺(tái)，并且可以將所傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)全部或者有選擇地(加密)傳輸?shù)郊泄芾碇锌刂婆_(tái)。網(wǎng)絡(luò)適配器與集中管理控制臺(tái)的數(shù)據(jù)交互直接進(jìn)行，不經(jīng)過網(wǎng)絡(luò)適配器所在主機(jī)系統(tǒng)，其主機(jī)系統(tǒng)未經(jīng)集中管理安全策略允許無權(quán)查看更改網(wǎng)絡(luò)適配器的安全策略。
網(wǎng)絡(luò)適配器與集中管理控制臺(tái)通信可以共用其主機(jī)系統(tǒng)網(wǎng)絡(luò)接口和網(wǎng)絡(luò)地址，也可以共用其主機(jī)系統(tǒng)網(wǎng)絡(luò)接口但具備獨(dú)立的網(wǎng)絡(luò)地址，還可以具備獨(dú)立的網(wǎng)絡(luò)接口和網(wǎng)絡(luò)地址，該網(wǎng)絡(luò)接口與網(wǎng)絡(luò)地址專門用于集中管理。
本發(fā)明的有益效果是，由于這是一種獨(dú)立于主機(jī)系統(tǒng)運(yùn)行，接受集中管理控制臺(tái)的集中管理，對(duì)主機(jī)系統(tǒng)所傳輸網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)安全功能的網(wǎng)絡(luò)適配器，該網(wǎng)絡(luò)適配器與集中管理控制臺(tái)的數(shù)據(jù)交互直接進(jìn)行，不經(jīng)過網(wǎng)絡(luò)適配器所在主機(jī)系統(tǒng)，其主機(jī)系統(tǒng)未經(jīng)集中管理安全策略允許無權(quán)查看更改網(wǎng)絡(luò)適配器的安全策略，確保網(wǎng)絡(luò)適配器上運(yùn)行的安全功能在任何情況下不被主機(jī)系統(tǒng)非法篡改、停止和繞過，從而能夠滿足嚴(yán)格的信息安全保障要求。


圖1為本發(fā)明可集中管理的網(wǎng)絡(luò)適配器主處理器功能模塊與數(shù)據(jù)流框圖。
具體實(shí)施例方式
網(wǎng)絡(luò)適配器可以是板卡形式插于主機(jī)系統(tǒng)主板，也可以以多個(gè)器件的形式集成在主板之上。通過PCI接口于主機(jī)系統(tǒng)交互。
1、網(wǎng)絡(luò)適配器結(jié)構(gòu)網(wǎng)絡(luò)適配器主要器件包括主處理器芯片，網(wǎng)絡(luò)芯片，內(nèi)存芯片，F(xiàn)lash等存儲(chǔ)器件，電源器件等，其核心為主處理器芯片。內(nèi)存芯片可以是DDR或SSRAM芯片，可以支持多個(gè)百兆與千兆網(wǎng)絡(luò)接口，與多路內(nèi)存通路。其中DDR內(nèi)存通路分別用于網(wǎng)絡(luò)數(shù)據(jù)緩存，連接狀態(tài)表存儲(chǔ)，網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)與應(yīng)用數(shù)據(jù)存儲(chǔ)。SSRAM內(nèi)存通路可用于主處理器芯片內(nèi)CPU指令與數(shù)據(jù)存儲(chǔ)及高速連接狀態(tài)表索引。
2、主處理器內(nèi)功能單元主處理器可以采用多核并行處理體系架構(gòu)，集成多個(gè)內(nèi)嵌CPU，TCP/IP協(xié)議棧，SSL記錄協(xié)議，數(shù)據(jù)加密，內(nèi)容匹配，內(nèi)存管理等模塊，各個(gè)模塊并行/流水運(yùn)行。
主處理器內(nèi)功能單元包括網(wǎng)絡(luò)數(shù)據(jù)處理單元，安全功能單元，集中管理控制單元，主機(jī)系統(tǒng)接口單元。
網(wǎng)絡(luò)數(shù)據(jù)處理單元
該單元可以實(shí)現(xiàn)完整的TCP/IP協(xié)議棧功能，將接收到的網(wǎng)絡(luò)數(shù)據(jù)按照TCP/IP協(xié)議規(guī)范重組后，提交給安全功能單元。接受來自安全功能單元的數(shù)據(jù)，按照TCP/IP協(xié)議規(guī)范封裝成數(shù)據(jù)包后發(fā)送到網(wǎng)絡(luò)。
安全功能單元該單元接受來自網(wǎng)絡(luò)數(shù)據(jù)處理單元和集中管理控制單元提交的的數(shù)據(jù)。對(duì)于來自網(wǎng)絡(luò)數(shù)據(jù)處理單元的數(shù)據(jù)實(shí)現(xiàn)安全隔離，數(shù)據(jù)解密，身份認(rèn)證，應(yīng)用訪問控制等安全功能，將經(jīng)過安全檢查的數(shù)據(jù)提交給集中管理控制單元。對(duì)于來自集中管理控制單元的數(shù)據(jù)進(jìn)行安全審計(jì)與數(shù)據(jù)加密后，提交給網(wǎng)絡(luò)數(shù)據(jù)處理單元。
集中管理控制單元該單元管理網(wǎng)絡(luò)適配器的安全功能，來自集中管理控制臺(tái)的管理配置數(shù)據(jù)與來自主機(jī)系統(tǒng)的管理配置數(shù)據(jù)均通過該單元處理。
該單元接收安全功能單元提交的數(shù)據(jù)，能夠識(shí)別出其提交的數(shù)據(jù)識(shí)是來自集中管理控制臺(tái)的管理配置命令，還是發(fā)往主機(jī)系統(tǒng)的數(shù)據(jù)。對(duì)于來自集中管理控制臺(tái)的管理配置命令，按照集中管理控制臺(tái)的管理配置命令對(duì)網(wǎng)絡(luò)適配器的安全功能進(jìn)行管理，不再將數(shù)據(jù)上傳主機(jī)系統(tǒng)。對(duì)于發(fā)往主機(jī)系統(tǒng)的數(shù)據(jù)，則直接提交給主機(jī)系統(tǒng)接口單元。
該單元接收來自主機(jī)系統(tǒng)的數(shù)據(jù)，識(shí)別出是否是對(duì)本網(wǎng)絡(luò)適配器的管理配置命令，還是需要發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)。對(duì)于來自主機(jī)系統(tǒng)的管理配置命令，只有在得到集中管理控制臺(tái)安全策略允許的情況下，該集中管理控制單元才接受來自主機(jī)系統(tǒng)的管理配置命令，按照主機(jī)系統(tǒng)的管理配置命令對(duì)網(wǎng)絡(luò)適配器的安全功能進(jìn)行管理。在未得到集中管理控制臺(tái)安全策略允許的情況下，該集中管理控制單元不接受來自主機(jī)的管理配置命令。對(duì)于來自主機(jī)系統(tǒng)需要發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)，則直接提交給安全功能單元。
該集中管理控制單元按照集中管理控制臺(tái)或主機(jī)系統(tǒng)所配置的安全策略(如果得到集中管理控制臺(tái)的允許)，管理網(wǎng)絡(luò)適配器的各個(gè)安全功能模塊，并采集各個(gè)安全功能模塊的日志消息與網(wǎng)絡(luò)適配器系統(tǒng)信息，并發(fā)送到集中管理控制臺(tái)。也可以根據(jù)安全策略，將所接收與發(fā)送的特定網(wǎng)絡(luò)數(shù)據(jù)或者全部網(wǎng)絡(luò)數(shù)據(jù)發(fā)送到集中管理控制臺(tái)。該單元需要發(fā)送給集中管理控制臺(tái)的數(shù)據(jù)提交給安全功能單元后再發(fā)送出去。
主機(jī)系統(tǒng)接口單元該單元負(fù)責(zé)在主機(jī)系統(tǒng)與集中管理控制單元間交換網(wǎng)絡(luò)數(shù)據(jù)與管理配置命令。
3.數(shù)據(jù)處理流程來自網(wǎng)絡(luò)的數(shù)據(jù)處理流程1)來自網(wǎng)絡(luò)的數(shù)據(jù)包首先在網(wǎng)絡(luò)數(shù)據(jù)處理單元完成數(shù)據(jù)包重組，重組后的數(shù)據(jù)提交給安全功能單元。
2)安全功能模塊接收到來自網(wǎng)絡(luò)數(shù)據(jù)處理單元提交的數(shù)據(jù)，實(shí)現(xiàn)安全隔離，數(shù)據(jù)解密，身份認(rèn)證，應(yīng)用訪問控制等安全功能，將經(jīng)過安全檢查的數(shù)據(jù)提交給集中管理控制單元。
3)集中管理控制單元接收安全功能單元提交的數(shù)據(jù)，識(shí)別出其提交的數(shù)據(jù)識(shí)是來自集中管理控制臺(tái)的管理配置命令，還是發(fā)往主機(jī)系統(tǒng)的數(shù)據(jù)。對(duì)于來自集中管理控制臺(tái)的管理配置命令，按照集中管理控制臺(tái)的管理配置命令對(duì)網(wǎng)絡(luò)適配器的安全功能進(jìn)行管理，不再將數(shù)據(jù)上傳主機(jī)系統(tǒng)。對(duì)于發(fā)往主機(jī)系統(tǒng)的數(shù)據(jù)，則直接提交給主機(jī)系統(tǒng)接口單元。
4)主機(jī)系統(tǒng)接口單元將來自集中管理控制單元的數(shù)據(jù)通過PCI接口提交給主機(jī)系統(tǒng)。
來自主機(jī)系統(tǒng)的數(shù)據(jù)處理流程1)主機(jī)系統(tǒng)接口單元通過PCI接口接受來自主機(jī)系統(tǒng)的數(shù)據(jù)，提交給集中管理控制單元。
2)集中管理控制單元接收來自主機(jī)系統(tǒng)接口單元提交的數(shù)據(jù)，識(shí)別出是否是對(duì)本網(wǎng)絡(luò)適配器的管理配置命令，還是需要發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)。對(duì)于來自主機(jī)系統(tǒng)的管理配置命令，只有在得到集中管理控制臺(tái)安全策略允許的情況下，該集中管理控制單元才接受來自主機(jī)系統(tǒng)的管理配置命令，按照主機(jī)系統(tǒng)的管理配置命令對(duì)網(wǎng)絡(luò)適配器的安全功能進(jìn)行管理。在未得到集中管理控制臺(tái)安全策略允許的情況下，該集中管理控制單元不接受來自主機(jī)的管理配置命令。對(duì)于來自主機(jī)系統(tǒng)需要發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)，則直接提交給安全功能單元。
3)安全功能單元對(duì)于來自集中管理控制單元的數(shù)據(jù)進(jìn)行安全審計(jì)后，提交給網(wǎng)絡(luò)數(shù)據(jù)處理單元。
4)網(wǎng)絡(luò)數(shù)據(jù)處理單元接受來自安全功能單元的數(shù)據(jù)，按照TCP/IP協(xié)議規(guī)范封裝成數(shù)據(jù)包后發(fā)送到網(wǎng)絡(luò)。
4、與集中管理控制臺(tái)交互網(wǎng)絡(luò)適配器中集中管理控制單元接受來自集中管理控制臺(tái)的管理配置命令，按照集中管理控制臺(tái)的管理配置命令對(duì)網(wǎng)絡(luò)適配器的安全功能進(jìn)行管理，并采集各個(gè)安全功能模塊的日志消息與網(wǎng)絡(luò)適配器系統(tǒng)信息，發(fā)送到集中管理控制臺(tái)。也可以根據(jù)安全策略，將所接收與發(fā)送的特定網(wǎng)絡(luò)數(shù)據(jù)或者全部網(wǎng)絡(luò)數(shù)據(jù)發(fā)送到集中管理控制臺(tái)。網(wǎng)絡(luò)適配器與集中管理控制臺(tái)的數(shù)據(jù)交互直接進(jìn)行，不經(jīng)過網(wǎng)絡(luò)適配器所在主機(jī)系統(tǒng)。
可在局域網(wǎng)范圍內(nèi)也可以在更大范圍信息系統(tǒng)內(nèi)部署一臺(tái)集中管理控制臺(tái)，用于管理信息系統(tǒng)內(nèi)多臺(tái)主機(jī)上的網(wǎng)絡(luò)適配器，實(shí)現(xiàn)全局安全策略統(tǒng)一管理。該集中管理控制臺(tái)提供人機(jī)界面便于管理員制定配置全局安全策略，接受信息系統(tǒng)內(nèi)多臺(tái)主機(jī)上的網(wǎng)絡(luò)適配器發(fā)出的日志與審計(jì)信息，以及特定主機(jī)系統(tǒng)所收發(fā)的特定或全部網(wǎng)絡(luò)數(shù)據(jù)，并提供信息查詢?nèi)藱C(jī)界面，方便管理員查看。
權(quán)利要求
1.一種可集中管理的網(wǎng)絡(luò)適配器，其特征在于，獨(dú)立于主機(jī)系統(tǒng)運(yùn)行，通過PCI接口與主機(jī)系統(tǒng)交互網(wǎng)絡(luò)數(shù)據(jù)，接受集中管理控制臺(tái)的集中管理，對(duì)主機(jī)系統(tǒng)所傳輸網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)安全功能，網(wǎng)絡(luò)適配器與集中管理控制臺(tái)的數(shù)據(jù)交互直接進(jìn)行，不經(jīng)過網(wǎng)絡(luò)適配器所在主機(jī)系統(tǒng)，其主機(jī)系統(tǒng)未經(jīng)集中管理安全策略允許無權(quán)查看更改網(wǎng)絡(luò)適配器的安全策略，從而確保網(wǎng)絡(luò)適配器上運(yùn)行的安全功能在任何情況下不被主機(jī)系統(tǒng)非法篡改、停止和繞過。
2.一種可集中管理的網(wǎng)絡(luò)適配器，其特征在于，主要器件包括主處理器、網(wǎng)絡(luò)芯片、內(nèi)存芯片、存儲(chǔ)器件和電源器件，主處理器實(shí)現(xiàn)的功能模塊包括網(wǎng)絡(luò)數(shù)據(jù)收發(fā)單元、安全功能單元、集中管理控制單元和主機(jī)系統(tǒng)接口單元，網(wǎng)絡(luò)適配器獨(dú)立于主機(jī)系統(tǒng)運(yùn)行，通過PCI接口與主機(jī)系統(tǒng)交互網(wǎng)絡(luò)數(shù)據(jù)，接受集中管理控制臺(tái)集中管理，對(duì)所傳輸數(shù)據(jù)實(shí)現(xiàn)安全功能。
3.根據(jù)權(quán)利要求1所述的可集中管理的網(wǎng)絡(luò)適配器，其特征在于，網(wǎng)絡(luò)適配器與集中管理控制臺(tái)通信可以共用其主機(jī)系統(tǒng)網(wǎng)絡(luò)接口和網(wǎng)絡(luò)地址，也可以共用其主機(jī)系統(tǒng)網(wǎng)絡(luò)接口但具備獨(dú)立的網(wǎng)絡(luò)地址，還可以具備獨(dú)立的網(wǎng)絡(luò)接口和網(wǎng)絡(luò)地址，該網(wǎng)絡(luò)接口與網(wǎng)絡(luò)地址專門用于集中管理。
4.根據(jù)權(quán)利要求1所述的可集中管理的網(wǎng)絡(luò)適配器，其特征在于，網(wǎng)絡(luò)適配器主處理器對(duì)來自網(wǎng)絡(luò)所有數(shù)據(jù)包進(jìn)行檢查處理，對(duì)于發(fā)往主機(jī)系統(tǒng)的數(shù)據(jù)包根據(jù)安全策略處理后提交給主機(jī)系統(tǒng)，對(duì)于來自集中管理控制臺(tái)的管理配置命令則處理后不再提交主機(jī)系統(tǒng)。
5.根據(jù)權(quán)利要求1所述的可集中管理的網(wǎng)絡(luò)適配器，其特征在于，所述的網(wǎng)絡(luò)數(shù)據(jù)處理單元完成網(wǎng)絡(luò)數(shù)據(jù)接收與發(fā)送，將接收到的網(wǎng)絡(luò)數(shù)據(jù)按照TCP/IP協(xié)議規(guī)范重組后，提交給安全功能單元，接受來自安全功能單元的數(shù)據(jù)，按照TCP/IP協(xié)議規(guī)范將來之上層模塊數(shù)據(jù)封裝成數(shù)據(jù)包后發(fā)送到網(wǎng)絡(luò)；安全功能單元接受來自網(wǎng)絡(luò)數(shù)據(jù)收發(fā)單元和集中管理控制單元提交的數(shù)據(jù)，對(duì)于來自網(wǎng)絡(luò)數(shù)據(jù)收發(fā)單元的數(shù)據(jù)實(shí)現(xiàn)安全隔離、數(shù)據(jù)加密、身份認(rèn)證和應(yīng)用訪問控制的安全功能，將經(jīng)過安全檢查的數(shù)據(jù)提交給集中管理控制單元，對(duì)于來自集中管理控制單元的數(shù)據(jù)進(jìn)行安全審計(jì)后，提交給網(wǎng)絡(luò)數(shù)據(jù)收發(fā)單元；集中管理控制單元管理網(wǎng)絡(luò)適配器的安全功能，來自集中管理控制臺(tái)的管理配置數(shù)據(jù)與來自主機(jī)系統(tǒng)的管理配置數(shù)據(jù)均通過該單元處理；主機(jī)系統(tǒng)接口單元負(fù)責(zé)在主機(jī)系統(tǒng)與網(wǎng)絡(luò)適配器之間交換網(wǎng)絡(luò)數(shù)據(jù)與管理配置命令。
6.根據(jù)權(quán)利要求4所述的可集中管理的網(wǎng)絡(luò)適配器，其特征在于，所述的集中管理控制單元接收安全功能單元提交的數(shù)據(jù)，能夠識(shí)別出其提交的數(shù)據(jù)識(shí)是來自集中管理控制臺(tái)的管理配置命令，還是發(fā)往主機(jī)系統(tǒng)的數(shù)據(jù)。對(duì)于來自集中管理控制臺(tái)的管理配置命令，按照集中管理控制臺(tái)的管理配置命令對(duì)網(wǎng)絡(luò)適配器的安全功能進(jìn)行管理，不再將數(shù)據(jù)上傳主機(jī)系統(tǒng)。對(duì)于發(fā)往主機(jī)系統(tǒng)的數(shù)據(jù)，提交給主機(jī)系統(tǒng)接口單元。
7.根據(jù)權(quán)利要求4所述的可集中管理的網(wǎng)絡(luò)適配器，其特征在于，所述的集中管理控制單元接收來自主機(jī)系統(tǒng)的數(shù)據(jù)，識(shí)別出是否是對(duì)本網(wǎng)絡(luò)適配器的管理配置命令，還是需要發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)。對(duì)于來自主機(jī)系統(tǒng)的管理配置命令，只有在得到集中管理控制臺(tái)安全策略允許的情況下，該集中管理控制單元才接受來自主機(jī)系統(tǒng)的管理配置命令，按照主機(jī)系統(tǒng)的管理配置命令對(duì)網(wǎng)絡(luò)適配器的安全功能進(jìn)行管理。在未得到集中管理控制臺(tái)安全策略允許的情況下，該集中管理控制單元不接受來自主機(jī)的管理配置命令，對(duì)于來自主機(jī)系統(tǒng)需要發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)，則提交給安全功能單元進(jìn)行審計(jì)等安全處理。
8.根據(jù)權(quán)利要求4所述的可集中管理的網(wǎng)絡(luò)適配器，其特征在于，所述的集中管理控制單元按照集中管理控制臺(tái)或主機(jī)系統(tǒng)所合法配置的安全策略，管理網(wǎng)絡(luò)適配器的各個(gè)安全功能模塊，并采集各個(gè)安全功能模塊的日志消息與網(wǎng)絡(luò)適配器系統(tǒng)信息，并發(fā)送到集中管理控制臺(tái)。也可以根據(jù)安全策略，將所接收與發(fā)送的特定網(wǎng)絡(luò)數(shù)據(jù)或者全部網(wǎng)絡(luò)數(shù)據(jù)發(fā)送到集中管理控制臺(tái)。
全文摘要
本發(fā)明公開一種可集中管理的網(wǎng)絡(luò)適配器，主要器件包括主處理器、網(wǎng)絡(luò)芯片、內(nèi)存芯片、存儲(chǔ)器件和電源器件，主處理器實(shí)現(xiàn)的功能模塊包括網(wǎng)絡(luò)數(shù)據(jù)收發(fā)單元、安全功能單元、集中管理控制單元和主機(jī)系統(tǒng)接口單元。該網(wǎng)絡(luò)適配器獨(dú)立于主機(jī)系統(tǒng)運(yùn)行，通過PCI接口與主機(jī)系統(tǒng)交互網(wǎng)絡(luò)數(shù)據(jù)，接受集中管理控制臺(tái)的集中管理，對(duì)主機(jī)系統(tǒng)所傳輸網(wǎng)絡(luò)數(shù)據(jù)實(shí)現(xiàn)安全功能。網(wǎng)絡(luò)適配器與集中管理控制臺(tái)的數(shù)據(jù)交互直接進(jìn)行，不經(jīng)過網(wǎng)絡(luò)適配器所在主機(jī)系統(tǒng)，其主機(jī)系統(tǒng)未經(jīng)集中管理安全策略允許無權(quán)查看更改網(wǎng)絡(luò)適配器的安全策略，從而確保網(wǎng)絡(luò)適配器上運(yùn)行的安全功能在任何情況下不被主機(jī)系統(tǒng)非法篡改、停止和繞過。
文檔編號(hào)H04L29/06GK101079711SQ200710098969
公開日2007年11月28日 申請(qǐng)日期2007年4月30日 優(yōu)先權(quán)日2007年4月30日
發(fā)明者林偉 申請(qǐng)人:北京策度集成電路設(shè)計(jì)有限公司