專利名稱:卸載密碼保護(hù)處理的制作方法
卸載密碼保護(hù)處理
背景技術(shù):
安全性是計(jì)算機(jī)之間通信的重要方面��。計(jì)算機(jī)間通信中的安全性的一個(gè)重要部分是訪問(wèn)控制���。例如�����,計(jì)算機(jī)系統(tǒng)可以實(shí)施規(guī)定在計(jì)算機(jī)系統(tǒng)中允許什么類型的網(wǎng)絡(luò)業(yè)務(wù)的訪問(wèn)控制策略。例如�,這些策略可以規(guī)定允許什么類型的網(wǎng)絡(luò)業(yè)務(wù)從什么客戶機(jī)發(fā)送到什么服務(wù)器。在聯(lián)網(wǎng)的計(jì)算設(shè)備之間提供安全通信的另一個(gè)重要部分是密碼保護(hù)�����。一種類型的密碼保護(hù)是加密���。存在采用加密的各種通信協(xié)議�����。一個(gè)示例是因特網(wǎng)協(xié)議安全(IPSec) 協(xié)議(Internet Protocol Security (IPsec) Protocol)����,該協(xié)議可以用于因特網(wǎng)協(xié)議 (Internet Protocol) (IP)層上的安全通信��,并且其采用驗(yàn)證和加密二者���。在IPSec中�����, 兩個(gè)計(jì)算設(shè)備可以首先彼此驗(yàn)證��,并交換建立加密會(huì)話所需要的信息����。隨后,每個(gè)設(shè)備可以加密至另一設(shè)備的輸出分組�,并解密來(lái)自另一設(shè)備的輸入分組。傳輸層安全(Transport Layer Security) (TLS)及其前身即安全套接層(Secure Sockets Layer) (SSL)是采用加密的通信協(xié)議的其他示例��。另一類型的密碼保護(hù)是完整性保護(hù)���,其用于保護(hù)在聯(lián)網(wǎng)的計(jì)算設(shè)備之間交換的數(shù)據(jù)以免攔截計(jì)算機(jī)嘗試篡改所交換的數(shù)據(jù)���。發(fā)送計(jì)算機(jī)通過(guò)將標(biāo)簽(有時(shí)稱為簽名、消息驗(yàn)證代碼或消息完整性代碼)和數(shù)據(jù)包括在一起來(lái)執(zhí)行完整性保護(hù)�����,其中使用依靠將對(duì)于任何特定數(shù)據(jù)正確計(jì)算的秘密密鑰的鍵控?cái)?shù)據(jù)完整性算法來(lái)計(jì)算所述標(biāo)簽����。接收計(jì)算機(jī)具有正確密鑰��,并因此能執(zhí)行與發(fā)送器相同的計(jì)算��,以便完整性驗(yàn)證由擁有正確密鑰的實(shí)體發(fā)送所述的數(shù)據(jù)�����。可以對(duì)同一數(shù)據(jù)執(zhí)行完整性保護(hù)和加密二者�����,或者可以對(duì)也沒(méi)有被加密的數(shù)據(jù)執(zhí)行完整性保護(hù)�。例如可以用于將計(jì)算機(jī)連接至諸如以太網(wǎng)之類的計(jì)算機(jī)網(wǎng)絡(luò)的一些網(wǎng)絡(luò)接口卡 (NIC)可以在NIC自身中包括專用硬件來(lái)執(zhí)行密碼保護(hù)處理,諸如加密/解密和/或完整性保護(hù)����。配備有具有密碼保護(hù)硬件支持的NIC的計(jì)算機(jī)可以將網(wǎng)絡(luò)分組的密鑰保護(hù)卸載到 NIC。將密碼保護(hù)相關(guān)的任務(wù)卸載到NIC在一些情形中是合乎需要的�����,這是因?yàn)檫@可以減輕計(jì)算機(jī)的CPU上的處理負(fù)擔(dān)�,使之能夠更有效地執(zhí)行其他的任務(wù)��。
發(fā)明內(nèi)容
一些計(jì)算機(jī)系統(tǒng)可以包括轉(zhuǎn)發(fā)設(shè)備�����,例如交換機(jī)����、集線器或路由器���,其對(duì)于根據(jù)諸如 TCP/IP�����、UDP或HTTP之類的協(xié)議在兩個(gè)其他計(jì)算機(jī)之間發(fā)送的網(wǎng)絡(luò)分組執(zhí)行安全相關(guān)的處理��。在兩個(gè)其他計(jì)算機(jī)之間的網(wǎng)絡(luò)通信可以經(jīng)由轉(zhuǎn)發(fā)設(shè)備進(jìn)行引導(dǎo)����,以致轉(zhuǎn)發(fā)設(shè)備能夠在分組到達(dá)目標(biāo)計(jì)算機(jī)之前處理這些分組����。在某些情況下,由轉(zhuǎn)發(fā)設(shè)備執(zhí)行的處理可以牽涉 加密或解密分組�����,或者在訪問(wèn)控制策略指示用以發(fā)送分組的連接不應(yīng)該被允許時(shí)阻止這些分組到達(dá)目標(biāo)計(jì)算機(jī)。雖然這樣的轉(zhuǎn)發(fā)設(shè)備在其減輕通信計(jì)算機(jī)上執(zhí)行計(jì)算密集型的安全相關(guān)處理��、諸如加密處理的負(fù)擔(dān)方面是有用的����,但是這樣的轉(zhuǎn)發(fā)設(shè)備也可能具有限制。例如��,通信計(jì)算機(jī)的用戶可能希望使用不被轉(zhuǎn)發(fā)設(shè)備支持的非標(biāo)準(zhǔn)(例如�,專用)安全協(xié)議�����。此外�,雖然轉(zhuǎn)發(fā)設(shè)備可能能夠?qū)嵤┖?jiǎn)單的策略,諸如基于源和目標(biāo)IP地址以及端口號(hào)的那些策略�����,但是它可能不能實(shí)施使用其他標(biāo)準(zhǔn)的更復(fù)雜的訪問(wèn)控制策略�����。根據(jù)本發(fā)明的一些實(shí)施例,轉(zhuǎn)發(fā)設(shè)備可以經(jīng)由通信鏈路與網(wǎng)關(guān)服務(wù)器相耦合��,其中網(wǎng)關(guān)服務(wù)器可以與轉(zhuǎn)發(fā)設(shè)備協(xié)力來(lái)執(zhí)行安全相關(guān)的處理���。一旦接收到在兩個(gè)其他計(jì)算機(jī)之間發(fā)送的網(wǎng)絡(luò)分組�,轉(zhuǎn)發(fā)設(shè)備可以至少部分地處理分組���,并且在一些情況中(例如��,如果分組處理牽涉轉(zhuǎn)發(fā)設(shè)備不支持的處理的類型)��,轉(zhuǎn)發(fā)設(shè)備可以將分組轉(zhuǎn)發(fā)至網(wǎng)關(guān)服務(wù)器����,用于附加處理��。例如����,由網(wǎng)關(guān)服務(wù)器執(zhí)行的附加處理可以包括識(shí)別哪些訪問(wèn)控制策略可應(yīng)用于該分組或者使用至不被轉(zhuǎn)發(fā)設(shè)備支持的安全協(xié)議的擴(kuò)展來(lái)建立安全連接。網(wǎng)關(guān)服務(wù)器隨后可以向轉(zhuǎn)發(fā)設(shè)備傳送其處理的結(jié)果���,諸如在連接建立期間獲得的密碼密鑰或可應(yīng)用的訪問(wèn)控制策略�。上述的是在先設(shè)備的一些缺陷的示例以及解決這些缺陷的一些實(shí)施例的非限制性概述。應(yīng)該意識(shí)到���,本發(fā)明并不限于這些實(shí)施例���,也不限于解決現(xiàn)有技術(shù)中的所有或一些上述缺陷的系統(tǒng)或處理。相反�,本發(fā)明完全利用所附的權(quán)利要求書(shū)來(lái)定義。
附圖沒(méi)有打算按比例繪制�����。在附圖中�,在各個(gè)附圖中示出的每一個(gè)相同或幾乎相同的組件利用相似的數(shù)字來(lái)表示。為了清楚起見(jiàn)���,可能沒(méi)有在每一個(gè)附圖中標(biāo)記每一個(gè)組件。在附圖中
圖1是其中來(lái)自客戶機(jī)的通信可以通過(guò)轉(zhuǎn)發(fā)設(shè)備被發(fā)送到服務(wù)器的現(xiàn)有技術(shù)計(jì)算機(jī)系統(tǒng)的框圖2是其中可以實(shí)施本發(fā)明的一些實(shí)施例的計(jì)算機(jī)系統(tǒng)的圖示�����; 圖3A是轉(zhuǎn)發(fā)設(shè)備和網(wǎng)關(guān)服務(wù)器可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備接收的網(wǎng)絡(luò)分組的處理的高級(jí)流程圖3B是根據(jù)一些實(shí)施例����、網(wǎng)關(guān)服務(wù)器可以用于處理由轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)的分組以識(shí)別應(yīng)用于分組的策略的處理的流程圖3C是根據(jù)一些實(shí)施例���、網(wǎng)關(guān)服務(wù)器可以用于依照至不被轉(zhuǎn)發(fā)設(shè)備支持的安全協(xié)議的擴(kuò)展來(lái)處理由轉(zhuǎn)發(fā)設(shè)備轉(zhuǎn)發(fā)的分組的處理的流程圖4是根據(jù)一些實(shí)施例、用于處理依照IPSec協(xié)議發(fā)送的業(yè)務(wù)的計(jì)算機(jī)系統(tǒng)的詳細(xì)框
圖5是根據(jù)一些實(shí)施例��、網(wǎng)關(guān)服務(wù)器和轉(zhuǎn)發(fā)設(shè)備可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備接收的輸入IKE/AuthIP分組的處理的流程圖6是根據(jù)本發(fā)明的一些實(shí)施例���、網(wǎng)關(guān)服務(wù)器和轉(zhuǎn)發(fā)設(shè)備可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備接收的包括IPsec和非IPsec (非安全)分組二者的輸入的非IKE/AuthIP分組的處理的流程圖����;和
圖7是根據(jù)一些實(shí)施例���、網(wǎng)關(guān)服務(wù)器和轉(zhuǎn)發(fā)設(shè)備可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備接收的輸出分組的處理的流程圖��。
具體實(shí)施例方式加密處理是計(jì)算密集型的任務(wù)�����,其可能消耗相當(dāng)一部分的計(jì)算機(jī)的處理資源����。因此�,為了減輕在發(fā)送和接收加密通信的計(jì)算機(jī)上執(zhí)行加密相關(guān)任務(wù)的處理負(fù)擔(dān),一些系統(tǒng)具有專用的計(jì)算設(shè)備來(lái)處理加密業(yè)務(wù)。圖1是包括交換機(jī)102的計(jì)算機(jī)系統(tǒng)的圖示�,其中交換機(jī)可以為服務(wù)器106a、106b 和106c執(zhí)行包括加密處理的安全協(xié)議的處理��。在圖1的示例中�,在服務(wù)器106與客戶計(jì)算機(jī)104a和104b之間的通信可以預(yù)定進(jìn)行加密。不是讓每個(gè)服務(wù)器106針對(duì)它自己與客戶機(jī)104之一之間的通信來(lái)執(zhí)行加密相關(guān)的任務(wù)�,而是交換機(jī)為服務(wù)器執(zhí)行這些任務(wù)。發(fā)明人已意識(shí)到雖然使用諸如交換機(jī)102之類的交換機(jī)來(lái)依照安全協(xié)議執(zhí)行可以包括加密處理在內(nèi)的處理可能具有一些益處�����,諸如減輕在其他計(jì)算機(jī)上執(zhí)行加密相關(guān)任務(wù)的處理負(fù)擔(dān)�����,但是它也具有一些限制��。由于讓其安全相關(guān)的任務(wù)由交換機(jī)102來(lái)執(zhí)行而不是它們自己來(lái)執(zhí)行��,所以服務(wù)器106和客戶機(jī)105可能不像它們自己執(zhí)行所有的安全相關(guān)的處理那樣具有相同范圍的可用于它們的安全相關(guān)的功能����,這是因?yàn)榻粨Q機(jī)在某些區(qū)域中可能具有更受限的支持�����。例如,網(wǎng)絡(luò)管理員可能希望對(duì)經(jīng)過(guò)交換機(jī)的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用比該交換機(jī)能夠處理的更精細(xì)的策略��,諸如訪問(wèn)控制策略或防火墻策略����。作為另一示例,使用特別的安全協(xié)議通信的計(jì)算機(jī)可能被配置成使用至不是標(biāo)準(zhǔn)協(xié)議的一部分且交換機(jī)不支持的協(xié)議的擴(kuò)展(例如�,專有擴(kuò)展)。因此�,發(fā)明人已意識(shí)到與交換機(jī)協(xié)力采用計(jì)算機(jī)可能是有用的,其中計(jì)算機(jī)執(zhí)行交換機(jī)不支持的安全相關(guān)處理的部分�,或者對(duì)于該安全相關(guān)處理的部分,通過(guò)在計(jì)算機(jī)中執(zhí)行這個(gè)處理而可以獲得益處����。可以在計(jì)算機(jī)與交換機(jī)之間以任何適當(dāng)?shù)姆绞絹?lái)劃分安全相關(guān)處理��。在一些實(shí)施例中��,一旦計(jì)算機(jī)已完成其安全相關(guān)處理的部分���,它可以將這個(gè)處理的結(jié)果傳送給交換機(jī)�, 并且交換機(jī)可以使用這個(gè)信息來(lái)執(zhí)行其安全相關(guān)處理的部分。在一些實(shí)施例中��,因?yàn)榻粨Q機(jī)可以具有專用的硬件來(lái)執(zhí)行其安全相關(guān)處理的部分��,所以由計(jì)算機(jī)執(zhí)行的這部分的處理在計(jì)算上可能不如由交換機(jī)執(zhí)行的處理昂貴��。圖2是其中可以實(shí)施本發(fā)明的一些實(shí)施例的計(jì)算機(jī)系統(tǒng)的圖示�����。圖2包括在網(wǎng)絡(luò) 203中發(fā)送通信給設(shè)備的一個(gè)或多個(gè)客戶計(jì)算機(jī)204a�、204b和204c?����?蛻粲?jì)算機(jī)204可以是能夠經(jīng)由諸如計(jì)算機(jī)網(wǎng)絡(luò)之類的通信媒介�、通過(guò)任何適當(dāng)?shù)陌踩珔f(xié)議進(jìn)行通信的任何適當(dāng)類型的計(jì)算設(shè)備。例如�����,客戶計(jì)算機(jī)204可以是膝上型計(jì)算機(jī)���、臺(tái)式計(jì)算機(jī)�、移動(dòng)設(shè)備��、智能電話��、PDA���、這些設(shè)備之中的任何設(shè)備的任何組合或任何其他適當(dāng)類型的計(jì)算設(shè)備���,而本發(fā)明在這個(gè)方面是不受限制的。在本發(fā)明的一些實(shí)施例中����,客戶計(jì)算機(jī)204可以是裝載有由Microsoft Corporation開(kāi)發(fā)的一個(gè)或多個(gè)版本的WINDOWS 操作系統(tǒng)的計(jì)算機(jī)。網(wǎng)絡(luò)203包括域服務(wù)器210�、網(wǎng)關(guān)服務(wù)器208、轉(zhuǎn)發(fā)設(shè)備202以及服務(wù)器206a��、206b 和206c�。服務(wù)器計(jì)算機(jī)206可以是使用任何適當(dāng)?shù)挠?jì)算架構(gòu)的任何適當(dāng)?shù)挠?jì)算機(jī)服務(wù)器, 而本發(fā)明在這個(gè)方面是不受限制的��。在一些實(shí)施例中����,例如�����,服務(wù)器計(jì)算機(jī)206可以利用任何適當(dāng)?shù)陌ㄒ粋€(gè)或多個(gè)版本的Windows Server (服務(wù)器)操作系統(tǒng)�����、諸如由Microsoft Corporation開(kāi)發(fā)的Windows Server 2008操作系統(tǒng)之類的操作系統(tǒng)來(lái)加以配置�����。服務(wù)器計(jì)算機(jī)206可以提供任何適當(dāng)?shù)挠?jì)算機(jī)服務(wù)�,諸如電子郵件服務(wù)�、數(shù)據(jù)庫(kù)服務(wù)、數(shù)據(jù)存儲(chǔ)服務(wù)或任何其他適當(dāng)?shù)姆?wù)�����,而本發(fā)明在這個(gè)方面是不受限制的��。在圖2所示的示例中���,在服務(wù)器計(jì)算機(jī)206與客戶計(jì)算機(jī)204之間的通信可以依照任何適當(dāng)?shù)陌ɡ鏘Psec�����、SSL或 TLS的安全協(xié)議(至少在轉(zhuǎn)發(fā)設(shè)備202與客戶計(jì)算機(jī)204之間)進(jìn)行加密����。轉(zhuǎn)發(fā)設(shè)備202可以在客戶計(jì)算機(jī)204與服務(wù)器計(jì)算機(jī)206之間轉(zhuǎn)發(fā)網(wǎng)絡(luò)通信����。如在這里所使用的,術(shù)語(yǔ)轉(zhuǎn)發(fā)設(shè)備指的是這樣的網(wǎng)絡(luò)設(shè)備��,其接收網(wǎng)絡(luò)通信并將這些網(wǎng)絡(luò)通信選路或轉(zhuǎn)發(fā)至其他的網(wǎng)絡(luò)設(shè)備���。轉(zhuǎn)發(fā)設(shè)備的示例包括交換機(jī)����、路由器��、集線器或任何其他適當(dāng)?shù)霓D(zhuǎn)發(fā)設(shè)備�。當(dāng)由客戶計(jì)算機(jī)204之一用于與服務(wù)器計(jì)算機(jī)206之一通信的協(xié)議是其中網(wǎng)絡(luò)通信被加密的安全協(xié)議時(shí),轉(zhuǎn)發(fā)設(shè)備202可以為服務(wù)器計(jì)算機(jī)206執(zhí)行諸如密碼保護(hù)之類的安全相關(guān)處理��,而不是讓服務(wù)器計(jì)算機(jī)206它們自己來(lái)執(zhí)行安全相關(guān)處理�。可以由轉(zhuǎn)發(fā)設(shè)備202執(zhí)行任何適當(dāng)?shù)拿艽a保護(hù)�,包括加密/解密���、完整性保護(hù)以及完整性驗(yàn)證, 而本發(fā)明在這個(gè)方面是不受限制的��。因而�����,密碼保護(hù)分組可以涉及加密分組和/或完整性保護(hù)分組�����,而密碼解除保護(hù)分組可以涉及解密和/或完整性驗(yàn)證分組�。在圖2的示例中,轉(zhuǎn)發(fā)設(shè)備202可以充當(dāng)至網(wǎng)絡(luò)203的第一進(jìn)入點(diǎn)��,以致于至服務(wù)器計(jì)算機(jī)206的所有的網(wǎng)絡(luò)通信經(jīng)過(guò)轉(zhuǎn)發(fā)設(shè)備202�����。在這方面��,應(yīng)意識(shí)到在一些實(shí)施例中�����, 轉(zhuǎn)發(fā)設(shè)備202可以包括多個(gè)單獨(dú)的設(shè)備。例如���,轉(zhuǎn)發(fā)設(shè)備202可以包括被配置成銜接系統(tǒng)的多個(gè)轉(zhuǎn)發(fā)設(shè)備���,例如,用于負(fù)載平衡或冗余目的�。這樣�����,轉(zhuǎn)發(fā)設(shè)備202可以實(shí)施其他的安全相關(guān)策略����,諸如防火墻策略或訪問(wèn)控制策略。例如�,轉(zhuǎn)發(fā)設(shè)備202可以基于為網(wǎng)絡(luò)203配置的策略來(lái)確定是否在網(wǎng)絡(luò)203之外的計(jì)算機(jī)(例如,客戶計(jì)算機(jī)204之一)與在網(wǎng)絡(luò)203 之內(nèi)的計(jì)算機(jī)(例如�,服務(wù)器計(jì)算機(jī)206之一)之間應(yīng)允許特定類型的網(wǎng)絡(luò)通信,諸如至特定應(yīng)用或特定端口上的網(wǎng)絡(luò)通信�����。網(wǎng)絡(luò)203中的網(wǎng)關(guān)服務(wù)器208可以與轉(zhuǎn)發(fā)設(shè)備202協(xié)力操作來(lái)執(zhí)行安全相關(guān)處理。例如�����,在一些實(shí)施例中�����,交換機(jī)可能不能實(shí)施網(wǎng)絡(luò)203所期望的網(wǎng)絡(luò)訪問(wèn)策略����。S卩,轉(zhuǎn)發(fā)設(shè)備202可以保持訪問(wèn)控制表�����,其指示基于通信的目標(biāo)IP地址和目標(biāo)端口�,特定的網(wǎng)絡(luò)通信(例如,分組)是應(yīng)該被轉(zhuǎn)發(fā)到其目的地還是應(yīng)該被阻塞����。但是,可能希望采用更復(fù)雜的網(wǎng)絡(luò)訪問(wèn)策略�����,其中可以基于其他的標(biāo)準(zhǔn)、諸如發(fā)出通信的用戶的身份���、發(fā)出或接收通信的時(shí)間或其他的標(biāo)準(zhǔn)來(lái)允許或禁止通信進(jìn)入網(wǎng)絡(luò)203���。因而,在一些實(shí)施例中�,網(wǎng)關(guān)服務(wù)器208 可以實(shí)施網(wǎng)絡(luò)策略中的一些或全部,并且可以向轉(zhuǎn)發(fā)設(shè)備202指示哪些通信被允許以及哪些通信將被阻塞���。作為另一示例�,客戶計(jì)算機(jī)204和服務(wù)器計(jì)算機(jī)206可以采用不被轉(zhuǎn)發(fā)設(shè)備支持的安全協(xié)議的非標(biāo)準(zhǔn)擴(kuò)展����。因而���,在一些實(shí)施例中���,網(wǎng)關(guān)服務(wù)器208可以執(zhí)行與非標(biāo)準(zhǔn)協(xié)議擴(kuò)展相關(guān)的安全相關(guān)處理的部分。網(wǎng)關(guān)服務(wù)器208可以是依照任何適當(dāng)?shù)挠?jì)算機(jī)架構(gòu)����、裝載有任何適當(dāng)?shù)牟僮飨到y(tǒng)的任何適當(dāng)?shù)姆?wù)器計(jì)算機(jī)。例如,在一些實(shí)施例中�����,網(wǎng)關(guān)服務(wù)器208可以運(yùn)行Windows Server 2008操作系統(tǒng)���。網(wǎng)關(guān)服務(wù)器208和轉(zhuǎn)發(fā)設(shè)備202可以采用任何適當(dāng)?shù)姆绞竭M(jìn)行裝配和分布�����。例如��, 在一些實(shí)施例中���,網(wǎng)關(guān)服務(wù)器208和轉(zhuǎn)發(fā)設(shè)備202可以在制造工廠一起被封裝在單一機(jī)殼中,例如��,諸如被封裝在適合于機(jī)架安裝的機(jī)殼中��。在其他示例中�����,網(wǎng)關(guān)服務(wù)器208和轉(zhuǎn)發(fā)設(shè)備202可以被裝配和被分布在單獨(dú)的機(jī)殼中���,并且可能能夠彼此獨(dú)立地操作���。在一些實(shí)施例中����,由轉(zhuǎn)發(fā)設(shè)備202和網(wǎng)關(guān)服務(wù)器208代表服務(wù)器計(jì)算機(jī)206聯(lián)合執(zhí)行的處理可能對(duì)于客戶計(jì)算機(jī)204而言是不透明的��。即����,發(fā)送通信給服務(wù)器計(jì)算機(jī)之一的客戶計(jì)算機(jī)可能不知道由轉(zhuǎn)發(fā)設(shè)備202和網(wǎng)關(guān)服務(wù)器208執(zhí)行的處理。圖3A是轉(zhuǎn)發(fā)設(shè)備202和網(wǎng)關(guān)服務(wù)器208可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備202接收的網(wǎng)絡(luò)分組的處理的高級(jí)流程圖��。該處理開(kāi)始于方框302�,其中在轉(zhuǎn)發(fā)設(shè)備202上接收來(lái)自客戶計(jì)算機(jī)的網(wǎng)絡(luò)分組。該處理繼續(xù)至方框304�����,其中轉(zhuǎn)發(fā)設(shè)備202可以將接收到的分組轉(zhuǎn)發(fā)到網(wǎng)關(guān)服務(wù)器208����,以便處理����。分組可以通過(guò)包括有線或無(wú)線通信媒介在內(nèi)的任何適當(dāng)?shù)木W(wǎng)絡(luò)通信媒介被轉(zhuǎn)發(fā)到網(wǎng)關(guān)服務(wù)器208�����。在本發(fā)明的一些實(shí)施例中����,在確定轉(zhuǎn)發(fā)設(shè)備202不能自己處理分組之后�,轉(zhuǎn)發(fā)設(shè)備202可以將分組轉(zhuǎn)發(fā)到網(wǎng)關(guān)服務(wù)器208,并且可以完全由轉(zhuǎn)發(fā)設(shè)備202處理其他接收到的分組����。例如,網(wǎng)關(guān)服務(wù)器208可以用于建立安全連接或者識(shí)別哪些策略應(yīng)該應(yīng)用于通過(guò)連接發(fā)送的分組�,而諸如通過(guò)建立的連接發(fā)送的數(shù)據(jù)的加密或解密之類的對(duì)于該連接的后續(xù)處理可以由轉(zhuǎn)發(fā)設(shè)備202來(lái)執(zhí)行。該處理繼續(xù)至方框306�����,其中網(wǎng)關(guān)服務(wù)器208可以至少部分地處理由轉(zhuǎn)發(fā)設(shè)備202 轉(zhuǎn)發(fā)給它的分組����。可以由網(wǎng)關(guān)服務(wù)器208執(zhí)行許多類型的處理�,這包括在圖3B或3C中示出��、在下文以更大長(zhǎng)度來(lái)論述的處理�����。在至少部分地處理分組之后�����,該處理隨后繼續(xù)至方框318��,其中網(wǎng)關(guān)服務(wù)器208可以將處理分組的結(jié)果傳送到轉(zhuǎn)發(fā)設(shè)備202���。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成,而本發(fā)明在這個(gè)方面是不受限制的��。例如�����,在一些實(shí)施例中��,該結(jié)果可以通過(guò)在方框304中使用的相同的通信鏈路來(lái)傳送����。該處理的結(jié)果可以采用能夠被轉(zhuǎn)發(fā)設(shè)備202理解的格式被傳送到轉(zhuǎn)發(fā)設(shè)備202。該處理隨后繼續(xù)至方框320����,其中轉(zhuǎn)發(fā)設(shè)備可以基于它從網(wǎng)關(guān)服務(wù)器208執(zhí)行的處理中接收到的結(jié)果來(lái)執(zhí)行分組的任何附加處理。例如�,這個(gè)附加處理可以包括基于從網(wǎng)關(guān)服務(wù)器208接收的信息來(lái)加密或解密分組。在一些情況中����,取決于分組的類型,在方框 320不需要執(zhí)行分組的附加處理��。該處理隨后繼續(xù)至方框322���,其中如果恰當(dāng)?shù)脑?���,轉(zhuǎn)發(fā)設(shè)備可以將處理的分組轉(zhuǎn)發(fā)到目的地����,在上述的示例中,目的地可以是服務(wù)器計(jì)算機(jī)206之一��。在一些情況中���,基于由轉(zhuǎn)發(fā)設(shè)備202和網(wǎng)關(guān)服務(wù)器208執(zhí)行的組合處理的結(jié)果��,轉(zhuǎn)發(fā)設(shè)備此時(shí)可以根據(jù)為網(wǎng)絡(luò)203 配置的策略來(lái)確定不將分組轉(zhuǎn)發(fā)到目的地����,而是應(yīng)該阻塞該分組。在方框322之后�����,該處
理結(jié)束����。返回到圖2,用于網(wǎng)絡(luò)203的策略可以利用任何適當(dāng)?shù)姆绞絹?lái)管理和分發(fā)���,而本發(fā)明在這個(gè)方面是不受限制的���。在圖2的示例中,用于網(wǎng)絡(luò)203的策略可以在網(wǎng)絡(luò)203中諸如域服務(wù)器210之類的域服務(wù)器上進(jìn)行創(chuàng)建和/或管理���。域服務(wù)器可以是任何適當(dāng)?shù)挠蚍?wù)器��,諸如包括在Windows 2008 Server操作系統(tǒng)的變型中的Active Directory 服務(wù)�����,所述域服務(wù)器可以將這些策略傳播到網(wǎng)絡(luò)203中的其他計(jì)算機(jī)����。然而����,由域服務(wù)器210傳播的策略對(duì)于轉(zhuǎn)發(fā)設(shè)備202而言可能是太復(fù)雜的或者采用不能被轉(zhuǎn)發(fā)設(shè)備202理解的格式。 在這些情況下��,網(wǎng)關(guān)服務(wù)器208可以幫助解釋和應(yīng)用這樣的策略�。圖3B是根據(jù)一些實(shí)施例、網(wǎng)關(guān)服務(wù)器208可以用于(例如���,在圖3A的方框306)處理由轉(zhuǎn)發(fā)設(shè)備202轉(zhuǎn)發(fā)的分組以識(shí)別(S卩�����,確定)哪些策略應(yīng)用于該分組的處理的流程圖����。這些策略可以是由域服務(wù)器210分發(fā)給包括網(wǎng)關(guān)服務(wù)器208的網(wǎng)絡(luò)203中的計(jì)算機(jī)的策略, 但是這些策略太復(fù)雜�����,或者要不然沒(méi)有采用能夠被轉(zhuǎn)發(fā)設(shè)備202理解和處理的格式�。在本發(fā)明的一些實(shí)施例中,轉(zhuǎn)發(fā)設(shè)備在它將分組轉(zhuǎn)發(fā)給網(wǎng)關(guān)服務(wù)器208時(shí)可以將它接收的原始分組封裝到另一網(wǎng)絡(luò)分組中�。因而,圖3B的處理開(kāi)始于方框308�����,其中網(wǎng)關(guān)服務(wù)器208可以拆封所轉(zhuǎn)發(fā)的分組���,從而產(chǎn)生可以與轉(zhuǎn)發(fā)設(shè)備202所接收的原始分組相對(duì)應(yīng)的拆封分組���。網(wǎng)關(guān)服務(wù)器208隨后可以采用任何適當(dāng)?shù)姆绞絹?lái)識(shí)別哪些策略應(yīng)用于拆封分組。例如�����,如圖3B所示����,該處理可以繼續(xù)至方框310����,其中網(wǎng)關(guān)服務(wù)器208可以將拆封分組注入到其網(wǎng)絡(luò)協(xié)議棧上�����。它可以采用任何適當(dāng)?shù)姆绞絹?lái)這樣做��,而本發(fā)明在這個(gè)方面是不受限制的���。該處理隨后繼續(xù)至方框312,其中網(wǎng)關(guān)服務(wù)器208可以識(shí)別哪些策略可以應(yīng)用于分組����。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成。例如�����,在一些實(shí)施例中���,網(wǎng)關(guān)服務(wù)器208可以包括策略檢測(cè)器組件212�,其確定將利用網(wǎng)絡(luò)協(xié)議棧應(yīng)用于分組的網(wǎng)絡(luò)策略�。在其中利用方框306執(zhí)行的處理與圖3B中執(zhí)行的處理相對(duì)應(yīng)的實(shí)施例中�����,在方框 318上執(zhí)行的處理可以涉及采用適合于轉(zhuǎn)發(fā)設(shè)備202的格式�����,將描述在方框312中識(shí)別的至少一個(gè)訪問(wèn)控制策略的信息發(fā)送給轉(zhuǎn)發(fā)設(shè)備202�。在一些實(shí)施例中����,發(fā)送給轉(zhuǎn)發(fā)設(shè)備202 的信息也可以包括原始分組本身或足以標(biāo)識(shí)該分組的其他信息。除了策略的檢測(cè)之外����,網(wǎng)關(guān)服務(wù)器208也可以執(zhí)行不被轉(zhuǎn)發(fā)設(shè)備202支持的其他類型的處理。例如���,這些分組可以依照這樣的安全策略來(lái)發(fā)送����,其中在兩臺(tái)計(jì)算機(jī)能夠依照該安全協(xié)議交換數(shù)據(jù)之前���,該安全協(xié)議要求在建立安全連接中執(zhí)行預(yù)備步驟�。例如,該安全協(xié)議可能需要兩臺(tái)通信計(jì)算機(jī)的相互驗(yàn)證�����,并且它可能附加地或替換地需要兩臺(tái)計(jì)算機(jī)協(xié)商它們將用于后續(xù)通信的加密技術(shù)����。雖然轉(zhuǎn)發(fā)設(shè)備202可能能夠?qū)τ跇?biāo)準(zhǔn)協(xié)議執(zhí)行這個(gè)協(xié)商,但是建立安全連接的客戶計(jì)算機(jī)204的用戶可能希望采用并非該標(biāo)準(zhǔn)的一部分且不被轉(zhuǎn)發(fā)設(shè)備202支持的安全協(xié)議的特征或擴(kuò)展�,諸如驗(yàn)證技術(shù)。因此����,在本發(fā)明的一些實(shí)施例中�����,轉(zhuǎn)發(fā)設(shè)備202可以將需要非標(biāo)準(zhǔn)處理的分組轉(zhuǎn)發(fā)給網(wǎng)關(guān)服務(wù)器208�����。圖3C是根據(jù)本發(fā)明的一些實(shí)施例�、在網(wǎng)關(guān)服務(wù)器208中處理由轉(zhuǎn)發(fā)設(shè)備202轉(zhuǎn)發(fā)的分組的方法的流程圖,其中網(wǎng)關(guān)服務(wù)器208可以根據(jù)不被轉(zhuǎn)發(fā)設(shè)備202支持的安全協(xié)議的擴(kuò)展來(lái)處理分組�。在圖3C的示例中�,這些擴(kuò)展涉及除了被轉(zhuǎn)發(fā)設(shè)備202支持的之外的其他類型的驗(yàn)證和會(huì)話協(xié)商��。因而�,圖3C的處理是可以利用圖3A的方框306 由網(wǎng)關(guān)服務(wù)器208執(zhí)行的處理的另一個(gè)示例。在接收到來(lái)自轉(zhuǎn)發(fā)設(shè)備202的轉(zhuǎn)發(fā)分組之后���,圖3C的處理可以開(kāi)始于方框314����。 在方框314�����,網(wǎng)關(guān)服務(wù)器208可以根據(jù)非標(biāo)準(zhǔn)擴(kuò)展來(lái)處理分組���,這可能涉及與分組的發(fā)送器建立安全連接����。例如�����,如果由客戶機(jī)204之一發(fā)出該分組�,網(wǎng)關(guān)服務(wù)器208可以與發(fā)出該通信的這一個(gè)客戶機(jī)204開(kāi)始通信會(huì)話�。建立安全連接可能涉及使用非標(biāo)準(zhǔn)驗(yàn)證技術(shù)或協(xié)商將用于安全連接的參數(shù)(例如���,加密技術(shù)�����、完整性保護(hù)技術(shù)或密碼密鑰)�����。這個(gè)動(dòng)作可以采用任何適當(dāng)?shù)姆绞絹?lái)執(zhí)行��,這包括如在圖2的示例中那樣由網(wǎng)關(guān)服務(wù)器208中的協(xié)商處理器 214來(lái)執(zhí)行�。該處理隨后繼續(xù)至動(dòng)作316����,其中網(wǎng)關(guān)服務(wù)器208可以獲得至少一個(gè)密碼密鑰作為在方框314中執(zhí)行的處理的結(jié)果�。當(dāng)利用方框306執(zhí)行的處理與圖3C中示出的處理相對(duì)應(yīng)時(shí),在方框318執(zhí)行的處理可以對(duì)應(yīng)于將在方框316上獲得的密碼密鑰發(fā)送給轉(zhuǎn)發(fā)設(shè)備202����。轉(zhuǎn)發(fā)設(shè)備202隨后可能能夠自己對(duì)于通過(guò)利用圖3C的方法建立的連接發(fā)送的分組來(lái)執(zhí)行加密/解密或完整性保護(hù),而不需要由網(wǎng)關(guān)服務(wù)器208執(zhí)行附加處理�。圖4是根據(jù)本發(fā)明的一些實(shí)施例�、用于處理依照IPsec協(xié)議發(fā)送的業(yè)務(wù)的計(jì)算機(jī)系統(tǒng)的更詳細(xì)的圖示�。雖然圖4的示例集中于IPsec,但是能夠采用類似的計(jì)算機(jī)系統(tǒng)來(lái)處理其他類型的安全協(xié)議��,諸如TLS��、SSL或采用加密的其他協(xié)議�����,而本發(fā)明在這個(gè)方面是不受限制的����。在圖4的示例中的計(jì)算機(jī)系統(tǒng)包括通過(guò)通信鏈路與網(wǎng)關(guān)服務(wù)器408耦合的轉(zhuǎn)發(fā)設(shè)備402,其可以分別地與圖2的轉(zhuǎn)發(fā)設(shè)備202和網(wǎng)關(guān)服務(wù)器208類似地來(lái)實(shí)施�。圖4的計(jì)算機(jī)系統(tǒng)也包括一個(gè)或多個(gè)客戶計(jì)算機(jī)404a、404b��、404c和404d以及一個(gè)或多個(gè)服務(wù)器計(jì)算機(jī)406a和406b�。在圖4的示例中,在客戶計(jì)算機(jī)404與服務(wù)器計(jì)算機(jī)406之間的至少一些通信可以依照IPsec協(xié)議來(lái)加密�����。計(jì)算機(jī)網(wǎng)絡(luò)403包括轉(zhuǎn)發(fā)設(shè)備402、服務(wù)器計(jì)算機(jī)406以及網(wǎng)關(guān)計(jì)算機(jī)408��。就圖2的示例而言��,轉(zhuǎn)發(fā)設(shè)備402可以充當(dāng)至網(wǎng)絡(luò)403的第一進(jìn)入點(diǎn)�。在圖4的示例中,在客戶計(jì)算機(jī)404與服務(wù)器計(jì)算機(jī)406之間的網(wǎng)絡(luò)通信可以經(jīng)過(guò)轉(zhuǎn)發(fā)設(shè)備402����。與網(wǎng)關(guān)服務(wù)器 408協(xié)力,轉(zhuǎn)發(fā)設(shè)備402可以將網(wǎng)絡(luò)策略應(yīng)用于通過(guò)它的網(wǎng)絡(luò)業(yè)務(wù)���。這些網(wǎng)絡(luò)策略可以規(guī)定例如�����,哪些網(wǎng)絡(luò)通信應(yīng)該被允許����,被允許通信之中的哪些應(yīng)該根據(jù)IPsec協(xié)議來(lái)密碼保護(hù)(例如�����,加密和/或完整性保護(hù))���,和/或任何其他適當(dāng)?shù)男畔?。?dāng)網(wǎng)絡(luò)通信依照IPsec協(xié)議時(shí)����,與網(wǎng)關(guān)服務(wù)器408協(xié)作,轉(zhuǎn)發(fā)設(shè)備402可以處理IPsec業(yè)務(wù)����,因而減輕諸如服務(wù)器計(jì)算機(jī)406之類的其他計(jì)算機(jī)上的處理負(fù)擔(dān)。在圖4的示例中�,在服務(wù)器計(jì)算機(jī)406與轉(zhuǎn)發(fā)設(shè)備402之間的所有通信未被保護(hù),這是因?yàn)橥ǔ⒂擅恳粋€(gè)服務(wù)器計(jì)算機(jī)406執(zhí)行的所有的加密/解密和/或完整性保護(hù)可以由轉(zhuǎn)發(fā)設(shè)備402與網(wǎng)關(guān)服務(wù)器408協(xié)力來(lái)執(zhí)行�。由轉(zhuǎn)發(fā)設(shè)備402和網(wǎng)關(guān)服務(wù)器408執(zhí)行的IPsec處理可以包括在兩臺(tái)計(jì)算機(jī)之間建立IPsec 會(huì)話(稱為“安全關(guān)聯(lián)”或“SA”)以及IPsec網(wǎng)絡(luò)分組的加密和解密。如本領(lǐng)域中所公知的��,IPsec SA可以采用“隧道模式”或“傳輸模式”來(lái)建立�����。在這里論述的說(shuō)明性實(shí)施例可以采用隧道模式或傳輸模式來(lái)操作���,而本發(fā)明在這個(gè)方面是不受限制的�����。傳輸模式是在第一計(jì)算機(jī)與第二計(jì)算機(jī)之間建立IPsec SA的默認(rèn)模式��。在傳輸模式中�����,端對(duì)端建立SA�,其開(kāi)始于第一計(jì)算機(jī)并終止于第二計(jì)算機(jī)。隧道模式是在第一計(jì)算機(jī)與第二計(jì)算機(jī)之間建立IPsec SA的另一種模式��,其中第一計(jì)算機(jī)顯性地連接到隧道設(shè)備�����,以便到達(dá)第二計(jì)算機(jī)�。因此,在隧道模式中�����,IPsec SA開(kāi)始于第一計(jì)算機(jī)并終止于隧道設(shè)備����。在圖4的說(shuō)明性實(shí)施例中,例如��,如果在客戶計(jì)算機(jī)404之一與轉(zhuǎn)發(fā)設(shè)備402之間以隧道模式建立SA����,那么對(duì)客戶計(jì)算機(jī)而言,以下可能是顯而易見(jiàn)的SA終止于轉(zhuǎn)發(fā)設(shè)備����, 但是從轉(zhuǎn)發(fā)設(shè)備402轉(zhuǎn)發(fā)業(yè)務(wù)到服務(wù)器計(jì)算機(jī)406之一。另一方面��,如果在相同的兩臺(tái)計(jì)算機(jī)(客戶計(jì)算機(jī)404之一和轉(zhuǎn)發(fā)設(shè)備402)之間以傳輸模式建立SA����,那么對(duì)客戶計(jì)算機(jī)而言,可能會(huì)出現(xiàn)轉(zhuǎn)發(fā)設(shè)備402是用于SA的業(yè)務(wù)的最終目的地(S卩���,業(yè)務(wù)和SA終止于轉(zhuǎn)發(fā)設(shè)備402�,以致客戶機(jī)可能并不知曉服務(wù)器計(jì)算機(jī))��。因此��,在其中本發(fā)明的實(shí)施例操作在傳輸模式中的環(huán)境中�����,與隧道模式中不同,客戶計(jì)算機(jī)不必知曉連接經(jīng)過(guò)轉(zhuǎn)發(fā)設(shè)備402而到達(dá)服務(wù)器計(jì)算機(jī)�。即使在客戶計(jì)算機(jī)404之一與服務(wù)器計(jì)算機(jī)406之一之間以傳輸模式建立SA,如上所述�,密碼保護(hù)可以實(shí)際上利用轉(zhuǎn)發(fā)設(shè)備402與網(wǎng)關(guān)服務(wù)器408的組合代表服務(wù)器計(jì)算機(jī)來(lái)執(zhí)行。因而�,雖然可能對(duì)客戶計(jì)算機(jī)而言似乎是密碼保護(hù)在服務(wù)器與客戶機(jī)之間是端到端的,但是相對(duì)于與客戶計(jì)算機(jī)建立的SA而言���,在轉(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)服務(wù)器408與服務(wù)器計(jì)算機(jī)之間的業(yè)務(wù)可能未被保護(hù)�����。如果轉(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)408與服務(wù)器計(jì)算機(jī)406處于網(wǎng)絡(luò)的受限部分中��,或如果對(duì)于服務(wù)器計(jì)算機(jī)406與轉(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)服務(wù)器408之間的通信實(shí)施其他類型的安全性���,這可能不是值得關(guān)注的。例如�,為了服務(wù)器計(jì)算機(jī)406與轉(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)服務(wù)器408之間對(duì)于客戶計(jì)算機(jī)404而言可能是不透明的通信,可以建立第二 SA或TLS/SSL連接�。其中在服務(wù)器計(jì)算機(jī)406與轉(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)服務(wù)器408之間的業(yè)務(wù)未被SA保護(hù)的一些實(shí)施例可以提供一些益處。例如�����,網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備可以在轉(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)服務(wù)器408 “后面”操作。因?yàn)閺霓D(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)服務(wù)器408傳送到目標(biāo)服務(wù)器的業(yè)務(wù)已在轉(zhuǎn)發(fā)設(shè)備402上密碼解除保護(hù)����,所以這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備可以對(duì)業(yè)務(wù)執(zhí)行操作��。一個(gè)這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備可以是位于轉(zhuǎn)發(fā)設(shè)備402/網(wǎng)關(guān)服務(wù)器408后面的負(fù)載平衡器��, 其可以平衡多個(gè)服務(wù)器之間的輸入業(yè)務(wù)而不需要執(zhí)行密碼保護(hù)����。無(wú)論在客戶計(jì)算機(jī)404與服務(wù)器計(jì)算機(jī)406之間建立的SA的類型如何,轉(zhuǎn)發(fā)設(shè)備 402可能不能支持某些類型的安全相關(guān)處理���,并且可能轉(zhuǎn)發(fā)需要如此處理的網(wǎng)絡(luò)分組���,以便由網(wǎng)關(guān)服務(wù)器408來(lái)處理。網(wǎng)關(guān)服務(wù)器408隨后可以將其處理的結(jié)果發(fā)送到轉(zhuǎn)發(fā)設(shè)備402�����, 以使得轉(zhuǎn)發(fā)設(shè)備402能夠使用這些結(jié)果來(lái)處理未來(lái)的網(wǎng)絡(luò)通信�����。轉(zhuǎn)發(fā)設(shè)備402可以包括用于其與網(wǎng)關(guān)服務(wù)器408的通信的接口 416,該接口可以是任何適當(dāng)?shù)慕涌?����,例如����,諸如至轉(zhuǎn)發(fā)設(shè)備402上保持與網(wǎng)關(guān)服務(wù)器408的網(wǎng)絡(luò)連接的網(wǎng)絡(luò)服務(wù)的應(yīng)用編程接口(API)。在圖4的示例中�,網(wǎng)關(guān)服務(wù)器408可以處理在兩個(gè)計(jì)算機(jī)之間建立初始IPsec會(huì)話以及檢測(cè)策略,諸如防火墻和應(yīng)用于特定通信會(huì)話的安全策略�����。一旦已建立IPsec會(huì)話�, 并且已確定策略,轉(zhuǎn)發(fā)設(shè)備402可以對(duì)那個(gè)連接執(zhí)行剩余的處理�,這包括IPsec網(wǎng)絡(luò)通信的實(shí)際的加密/解密和/或完整性保護(hù)處理。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成�,而本發(fā)明在這個(gè)方面是不受限制的。在圖4的示例中���,雖然由網(wǎng)關(guān)服務(wù)器408執(zhí)行的會(huì)話建立和策略檢測(cè)可以是轉(zhuǎn)發(fā)設(shè)備402不能執(zhí)行的處理���,但是這種類型的處理可能只需要在兩臺(tái)計(jì)算機(jī)之間的通信會(huì)話開(kāi)始時(shí)執(zhí)行�����,并因此不可能導(dǎo)致網(wǎng)關(guān)服務(wù)器408上過(guò)大的處理負(fù)擔(dān)���。另一方面,在本發(fā)明的一些實(shí)施例中�,轉(zhuǎn)發(fā)設(shè)備402可以包括用于其安全處理部分的專用硬件����,允許其更有效地對(duì)網(wǎng)絡(luò)通信執(zhí)行密碼保護(hù),而密碼保護(hù)可能是單獨(dú)使用網(wǎng)關(guān)服務(wù)器408不能完成的計(jì)算密集型的任務(wù)��。因而���,在圖4的示例中處理的劃分利用由網(wǎng)關(guān)服務(wù)器408提供的處理的靈活性以及使用轉(zhuǎn)發(fā)設(shè)備402執(zhí)行密碼保護(hù)的性能優(yōu)勢(shì)二者��。然而����,在本發(fā)明的其他實(shí)施例中�����, 該處理可以不同地在網(wǎng)關(guān)服務(wù)器408與轉(zhuǎn)發(fā)設(shè)備402之間進(jìn)行劃分,而本發(fā)明在這個(gè)方面是不受限制的���。在兩臺(tái)計(jì)算機(jī)之間建立IPsec會(huì)話可能涉及驗(yàn)證以及會(huì)話參數(shù)的協(xié)商�。IPsec驗(yàn)證和協(xié)商可以使用因特網(wǎng)密鑰交換(IKE) (Internet Key Exchange)協(xié)議或可能不被轉(zhuǎn)發(fā)設(shè)備402支持的諸如在由Microsoft Corporation開(kāi)發(fā)的WINDOWS 操作系統(tǒng)的版本中包括的AuthIP協(xié)議的其他擴(kuò)展來(lái)執(zhí)行����。成功建立的IPsec會(huì)話導(dǎo)致安全關(guān)聯(lián)(SA)的創(chuàng)建,其中SA可以包括參數(shù)����,諸如將使用的加密算法、密碼密鑰和安全參數(shù)索引(SPI)��。如本領(lǐng)域中所公知的�����,SPI標(biāo)識(shí)安全參數(shù)��,其中安全參數(shù)結(jié)合IP地址來(lái)標(biāo)識(shí)利用分組實(shí)施的SA�����。在諸如圖4的示例的本發(fā)明的實(shí)施例中,其中網(wǎng)關(guān)服務(wù)器408在IPsec會(huì)話開(kāi)始時(shí)執(zhí)行驗(yàn)證和 SA建立�,這種類型的處理可以在網(wǎng)關(guān)服務(wù)器408中的任何合適的一個(gè)或多個(gè)組件中執(zhí)行。 在圖4的示例中��,驗(yàn)證和SA建立在IKE/AuthIP處理模塊414中執(zhí)行���。IKE/AuthIP處理模塊可以被實(shí)施為在網(wǎng)關(guān)408中的處理器上運(yùn)行的軟件組件�����,可以使用特殊用途的硬件來(lái)實(shí)施���,或可以采用任何其他適當(dāng)?shù)姆绞絹?lái)實(shí)施�。將諸如密鑰或SPI之類的SA信息從網(wǎng)關(guān)服務(wù)器408傳送到轉(zhuǎn)發(fā)設(shè)備402可以采用任何適當(dāng)?shù)姆绞絹?lái)完成,而本發(fā)明在這個(gè)方面是不受限制的����。在一些實(shí)施例中,可以在網(wǎng)關(guān)服務(wù)器408與轉(zhuǎn)發(fā)設(shè)備402之間經(jīng)由任何適當(dāng)?shù)挠?jì)算機(jī)通信媒介來(lái)創(chuàng)建通信鏈路�����。在一些實(shí)施例中��,在網(wǎng)關(guān)服務(wù)器408與轉(zhuǎn)發(fā)設(shè)備402之間的通信鏈路可以是使用任何適當(dāng)?shù)陌踩夹g(shù)的安全連接,而本發(fā)明在這個(gè)方面是不受限制的����。在圖4的示例中,使用IPsec NIC 卸載機(jī)制來(lái)執(zhí)行SA信息至轉(zhuǎn)發(fā)設(shè)備402的通信���。S卩�����,諸如Microsoft WINDOWS 操作系統(tǒng)的版本之類的一些操作系統(tǒng)包括將網(wǎng)絡(luò)分組的加密和解密卸載到具有適當(dāng)?shù)募用?解密支持的NIC的能力�。這樣的NIC卸載技術(shù)通常包括用于操作系統(tǒng)將SA狀態(tài)傳送至NIC的方式�。在圖4的示例中,網(wǎng)關(guān)服務(wù)器408包括卸載驅(qū)動(dòng)器418��,其使用通常由驅(qū)動(dòng)器使用的操作系統(tǒng)接口來(lái)獲得SA狀態(tài)����,以便中繼到支持卸載的NIC。卸載驅(qū)動(dòng)器418隨后可以與轉(zhuǎn)發(fā)設(shè)備402通信�。因而,在圖4的示例中���,網(wǎng)關(guān)服務(wù)器408可能能夠?qū)A信息經(jīng)由卸載驅(qū)動(dòng)器418傳送到轉(zhuǎn)發(fā)設(shè)備402��。一旦轉(zhuǎn)發(fā)設(shè)備402接收到SA信息���,轉(zhuǎn)發(fā)設(shè)備402可以采用任何適當(dāng)?shù)母袷綄⑵浯鎯?chǔ)在任何適當(dāng)?shù)挠?jì)算機(jī)存儲(chǔ)器中�。在圖4的示例中�����,轉(zhuǎn)發(fā)設(shè)備402 可以將SA信息存儲(chǔ)在IPsec/連接狀態(tài)420中���。除了執(zhí)行與IPsec會(huì)話建立相關(guān)的處理之外�����,網(wǎng)關(guān)服務(wù)器408也可以執(zhí)行為網(wǎng)絡(luò) 403配置為可應(yīng)用于經(jīng)過(guò)轉(zhuǎn)發(fā)設(shè)備402的網(wǎng)絡(luò)通信的策略的識(shí)別�����,并將這些策略傳送到轉(zhuǎn)發(fā)設(shè)備402,以便轉(zhuǎn)發(fā)設(shè)備402能夠?qū)﹄S后的網(wǎng)絡(luò)通信實(shí)施這些策略���。這些策略可以在整個(gè)網(wǎng)絡(luò)403中采用任何適當(dāng)?shù)姆绞?���、包括使用諸如圖2的域服務(wù)器210之類的服務(wù)器來(lái)管理和分發(fā),而本發(fā)明在這個(gè)方面是不受限制的���。這些策略可以采用任何適當(dāng)?shù)姆绞絹?lái)定義��, 而本發(fā)明在這個(gè)方面是不受限制的�����。在一些實(shí)施例中��,至少一些策略可以利用組策略對(duì)象 (GPO)來(lái)規(guī)定����,但是其他的策略實(shí)施方式也是可能的�����。如本領(lǐng)域中所公知的����,組策略對(duì)象可以定義用于Microsoft Windows 操作系統(tǒng)版本的策略。如上面結(jié)合圖2所論述的�����,網(wǎng)關(guān)服務(wù)器408可以出于任何適當(dāng)?shù)睦碛啥鵀檗D(zhuǎn)發(fā)設(shè)備402執(zhí)行策略識(shí)別。在圖4的示例中��,為網(wǎng)絡(luò)403配置的策略可能是太復(fù)雜的或者要不然采用不適于轉(zhuǎn)發(fā)設(shè)備402直接解釋和應(yīng)用的格式����。例如,轉(zhuǎn)發(fā)設(shè)備402可以包括連接表作為 IPsec/連接狀態(tài)420的一部分�。該連接表可以記錄被允許的已知連接,并且可以采用任何合適的格式����。可以在一些實(shí)施例中使用的格式的一個(gè)示例是五元組(5-tuple)�����。五元組可以包括源IP地址�、源端口號(hào)、目標(biāo)IP地址�����、目標(biāo)端口號(hào)和通信協(xié)議���。然而��,用于網(wǎng)絡(luò)403的網(wǎng)絡(luò)訪問(wèn)策略可以使用超出可以在五元組中規(guī)定的標(biāo)準(zhǔn)��,諸如用戶�、工作組��、傳輸?shù)臅r(shí)間或應(yīng)用程序版本�。因而,在圖4的示例中����,轉(zhuǎn)發(fā)設(shè)備402可以依靠網(wǎng)關(guān)服務(wù)器408來(lái)識(shí)別可應(yīng)用于由轉(zhuǎn)發(fā)設(shè)備402接收的分組的策略,并以適當(dāng)?shù)母袷綄⒉呗詻Q定傳回給轉(zhuǎn)發(fā)設(shè)備402�, 諸如對(duì)于給定的五元組,是允許還是拒絕(例如���,轉(zhuǎn)發(fā)或阻塞)通信���。網(wǎng)關(guān)服務(wù)器408可以采用任何適當(dāng)?shù)姆绞絹?lái)執(zhí)行策略的識(shí)別,而本發(fā)明在這個(gè)方面是不受限制的����。在圖4的示例中,網(wǎng)關(guān)服務(wù)器408包括過(guò)濾平臺(tái)422��。過(guò)濾平臺(tái)422可以是任何適當(dāng)?shù)倪^(guò)濾框架。在一些實(shí)施例中����,可以使用在Microsoft WINDOWS 操作系統(tǒng)的版本中包括的Windows Filtering Platform (WFP)(窗口過(guò)濾平臺(tái)),其允許過(guò)濾��、監(jiān)視和修改TCP/IP網(wǎng)絡(luò)分組���。網(wǎng)關(guān)服務(wù)器408可以被配置有與過(guò)濾平臺(tái)接口的檢測(cè)過(guò)濾器412�����, 以監(jiān)視在網(wǎng)關(guān)服務(wù)器408的網(wǎng)絡(luò)協(xié)議棧中應(yīng)用于分組的策略����。因此���,在一些實(shí)施例中�����,網(wǎng)關(guān)計(jì)算機(jī)408可以利用注入過(guò)濾器424�,其能夠?qū)⒕W(wǎng)絡(luò)分組注入到網(wǎng)關(guān)服務(wù)器408的網(wǎng)絡(luò)協(xié)議棧上,以便網(wǎng)關(guān)服務(wù)器408能夠檢測(cè)將由服務(wù)器應(yīng)用于分組的策略���。
由轉(zhuǎn)發(fā)設(shè)備402接收的分組可以被分類為若干邏輯組的分組。例如�����,一個(gè)這樣的類別可以是在轉(zhuǎn)發(fā)設(shè)備402上接收的由網(wǎng)絡(luò)403之外的計(jì)算機(jī)��、諸如客戶計(jì)算機(jī)404之一發(fā)送的輸入網(wǎng)絡(luò)分組�。另一個(gè)類別可以是在轉(zhuǎn)發(fā)設(shè)備402上接收的由網(wǎng)絡(luò)403內(nèi)的計(jì)算機(jī)、 諸如服務(wù)器406之一發(fā)送的����、預(yù)定至網(wǎng)絡(luò)403之外的計(jì)算機(jī)的輸出網(wǎng)絡(luò)分組。因而�,“輸入” 和“輸出”在這個(gè)上下文中是相對(duì)于網(wǎng)絡(luò)403而言的。用于建立IPsec會(huì)話��、也被稱為控制分組的諸如IKE或AuthIP分組之類的輸入分組可以不同地進(jìn)行處理�,因此單獨(dú)地考慮這些分組是有幫助的。圖5是網(wǎng)關(guān)服務(wù)器408和轉(zhuǎn)發(fā)設(shè)備402可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備402接收的輸入IKE/AuthIP分組的處理的流程圖��。該處理開(kāi)始于方框502�,其中轉(zhuǎn)發(fā)設(shè)備402可以接收例如由客戶計(jì)算機(jī)404之一發(fā)送的輸入IKE/AuthIP分組。一旦接收到分組�,轉(zhuǎn)發(fā)設(shè)備 402可以檢查分組并采用任何適當(dāng)?shù)姆绞絹?lái)確定該分組是否是輸入IKE/AuthIP分組����。該處理隨后可以繼續(xù)至方框504���,其中轉(zhuǎn)發(fā)設(shè)備402可以將分組轉(zhuǎn)發(fā)到網(wǎng)關(guān)服務(wù)器408���。它可以通過(guò)轉(zhuǎn)發(fā)設(shè)備402上的任何適當(dāng)?shù)慕涌凇⒗缤ㄟ^(guò)接口 416以及通過(guò)網(wǎng)關(guān)服務(wù)器408上的任何適當(dāng)?shù)慕涌趯⒎纸M轉(zhuǎn)發(fā)到網(wǎng)關(guān)服務(wù)器408���,而本發(fā)明在這個(gè)方面是不受限制的����。在一些實(shí)施例中���,轉(zhuǎn)發(fā)設(shè)備402可以將分組引導(dǎo)到網(wǎng)關(guān)服務(wù)器408上的標(biāo)準(zhǔn)聯(lián)網(wǎng)接口以便進(jìn)行處理���,就好像該分組原本在網(wǎng)關(guān)計(jì)算機(jī)408本身上被引導(dǎo)一樣。該處理隨后可以在方框506繼續(xù)��,其中在方框506��,網(wǎng)關(guān)服務(wù)器408可以處理該分組。它可以采用任何適當(dāng)?shù)姆绞絹?lái)這樣做�����。在圖4的示例中��,IKE/AuthIP分組的處理可以由IKE/AuthIP處理模塊414來(lái)執(zhí)行��。方框506上的處理可以牽涉生成和發(fā)送IKE/AuthIP 響應(yīng)���、直接與客戶計(jì)算機(jī)404之一協(xié)商SA信息。在圖4的示例中�,客戶計(jì)算機(jī)404a被舉例說(shuō)明為與網(wǎng)關(guān)服務(wù)器408執(zhí)行SA協(xié)商。圖5的處理隨后可以繼續(xù)至方框508���,其中網(wǎng)關(guān)服務(wù)器408可以將在方框506的處理步驟中獲得的SA信息卸載到轉(zhuǎn)發(fā)設(shè)備402����。任何適合的SA信息���、諸如SPI和/或密鑰可以被卸載到轉(zhuǎn)發(fā)設(shè)備402����。SA信息可以采用任何適當(dāng)?shù)姆绞竭M(jìn)行卸載,包括在圖4的示例中通過(guò)卸載驅(qū)動(dòng)器418來(lái)卸載��。利用圖5所示的處理隨后可以繼續(xù)至方框510����,其中轉(zhuǎn)發(fā)設(shè)備402可以存儲(chǔ)在方框 508上執(zhí)行的處理中從網(wǎng)關(guān)服務(wù)器408獲得的SA信息,諸如SPI和/或密鑰�����。SA信息可以采用任何適當(dāng)?shù)姆绞竭M(jìn)行存儲(chǔ)�����。在利用圖4所示的示例中��,SA信息可以被存儲(chǔ)在IPsec/連接狀態(tài)420中��。在執(zhí)行方框510上的處理之后�,圖5的處理結(jié)束。圖6是網(wǎng)關(guān)服務(wù)器408和轉(zhuǎn)發(fā)設(shè)備402可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備402接收的除了 IKE/AuthIP分組之外的包括IPsec和非IPsec (非安全)分組二者的其他類型的輸入分組的處理的流程圖���。圖6的處理可以開(kāi)始于方框602�,其中轉(zhuǎn)發(fā)設(shè)備402可以接收輸入分組����。一旦接收到分組�����,轉(zhuǎn)發(fā)設(shè)備402可以檢查分組���,以確定分組的類型。例如����,可以檢查分組�,以確定該分組是否是IPsec分組。該處理隨后可以繼續(xù)至方框604����,其中如果該分組是IPsec分組,那么轉(zhuǎn)發(fā)設(shè)備 402可以使用諸如從網(wǎng)關(guān)服務(wù)器408獲得的SA密鑰和/或SPI之類的SA信息對(duì)該分組執(zhí)行解密和/或完整性驗(yàn)證���。SA信息可能已作為與相同的IPsec會(huì)話相對(duì)應(yīng)的在前IKE/AuthIP 分組的處理的結(jié)果來(lái)接收���,如上面結(jié)合圖5的處理所述的。SA信息可以采用任何適當(dāng)?shù)姆绞絹?lái)存儲(chǔ)����,包括在圖4的示例中將其存儲(chǔ)在IPsec/連接狀態(tài)420中�����。應(yīng)該意識(shí)到在一些實(shí)施例中�����,方框604上的處理可以僅僅對(duì)于是msec分組的輸入分組來(lái)執(zhí)行���。
該處理隨后可以繼續(xù)至方框606,其中轉(zhuǎn)發(fā)設(shè)備402可以嘗試相對(duì)于已知連接的表來(lái)匹配解密的或完整性驗(yàn)證的分組(或原始的輸入分組��,如果它沒(méi)有使用II^sec進(jìn)行保護(hù)的話)�����,以確定是否應(yīng)該允許網(wǎng)絡(luò)通信�����。已知連接的表可以采用任何適當(dāng)?shù)男问?���。在圖4 的示例中�,已知連接的表是IPsec/連接狀態(tài)420的一部分�����,并且可以采用上述的五元組格式���。如果由轉(zhuǎn)發(fā)設(shè)備402使用的連接表采用類似于五元組的格式�,即使具有為IPsec會(huì)話創(chuàng)建的現(xiàn)有SA�,仍然可能沒(méi)有連接用于這個(gè)分組。這因?yàn)橐韵虑闆r而可能出現(xiàn)雖然SA對(duì)于給定的IP地址和用戶而言通常是獨(dú)特的��,但是單個(gè)SA能夠處理從多個(gè)端口至多個(gè)端口的網(wǎng)絡(luò)業(yè)務(wù)����,并因此能夠?qū)?yīng)于多個(gè)五元組���。在包括利用圖6的流程圖所示的實(shí)施例在內(nèi)的本發(fā)明的一些實(shí)施例中����,只有基于網(wǎng)絡(luò)策略已確定連接被允許�����,該連接才可以在該表中,并因此檢查連接是否存在于該表中就足以確定是否允許該連接����。然而,其他的實(shí)施例可以采用不同的技術(shù)來(lái)基于連接表確定是否允許連接�����,而本發(fā)明在這個(gè)方面是不受限制的�。例如, 在一些實(shí)施例中���,該表也可以存儲(chǔ)有關(guān)被嘗試的所有連接的信息以及是否該連接被允許的指示或任何其他合適的信息��。 該處理隨后可以繼續(xù)至方框608����,其中轉(zhuǎn)發(fā)設(shè)備402可以基于在方框606上執(zhí)行的匹配來(lái)確定分組是否對(duì)應(yīng)于連接表中的允許連接����。如果連接表指示該分組與已知的允許連接相匹配,那么該處理可以繼續(xù)至方框610����,其中轉(zhuǎn)發(fā)設(shè)備402可以將該分組中繼到目標(biāo)計(jì)算機(jī)����。因而�����,在其中分組與轉(zhuǎn)發(fā)設(shè)備402中已知的允許連接相匹配的情形下����,該分組可能完全不需要被轉(zhuǎn)發(fā)到網(wǎng)關(guān)服務(wù)器408,這是因?yàn)榘↖Psec處理在內(nèi)的所有處理可以在轉(zhuǎn)發(fā)設(shè)備402自身中執(zhí)行����。在圖4的示例中,這種情況利用直接通過(guò)客戶計(jì)算機(jī)404d與服務(wù)器計(jì)算機(jī)406b之間的轉(zhuǎn)發(fā)設(shè)備402的虛線來(lái)舉例說(shuō)明��,并且其可以與連接表中已知的允許連接相對(duì)應(yīng)�。在方框610中已將分組中繼到其目的地之后�����,圖6的處理結(jié)束��。如果在方框608上分組與連接表中的允許連接不相匹配�����,那么圖6的處理繼續(xù)至方框612,其中轉(zhuǎn)發(fā)設(shè)備402可以將該分組轉(zhuǎn)發(fā)到網(wǎng)關(guān)服務(wù)器408�。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成,而本發(fā)明在這個(gè)方面是不受限制的�����。在本發(fā)明的一些實(shí)施例中��,轉(zhuǎn)發(fā)設(shè)備402可以將分組封裝到封裝分組中�����,并且將封裝分組引導(dǎo)到網(wǎng)關(guān)服務(wù)器408上的注入過(guò)濾器���,諸如注入過(guò)濾器424�。注入過(guò)濾器似4隨后可以對(duì)封裝分組進(jìn)行拆封����,并將拆封的分組注入到網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧上。 然而�,這僅僅是可以將與允許連接不相匹配的分組轉(zhuǎn)發(fā)并插入到網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧上的一個(gè)示例,并且本發(fā)明不限于這個(gè)特定示例。例如���,在本發(fā)明的其他實(shí)施例中���,如果原始接收的分組是msec分組,而不是被轉(zhuǎn)發(fā)設(shè)備402封裝并被引導(dǎo)到注入過(guò)濾器���,解密的分組可以反而被引導(dǎo)到網(wǎng)關(guān)服務(wù)器402上用于卸載驅(qū)動(dòng)器418的接口�����。卸載驅(qū)動(dòng)器418隨后將把分組上傳至網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧����,就好像該分組正好利用具有適當(dāng)密碼保護(hù)支持的NIC進(jìn)行解密和/或完整性驗(yàn)證一樣�����,如上面結(jié)合圖4所述的�。在一些實(shí)施例中,這可以牽涉將網(wǎng)關(guān)服務(wù)器408設(shè)置在混雜模式中�,以致網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧可以處理該分組��,而無(wú)論在輸入端口上是否缺少注冊(cè)的收聽(tīng)者����。在本發(fā)明的其他實(shí)施例中,如果原始接收的分組不是IPsec分組��,反而被封裝并被引導(dǎo)到注入過(guò)濾器���,或者反而被引導(dǎo)到卸載驅(qū)動(dòng)器�����,該分組可以被引導(dǎo)到網(wǎng)關(guān)服務(wù)器408上的虛擬接口����。轉(zhuǎn)到圖4的示例��,服務(wù)器計(jì)算機(jī)406a和406b均可以分別地被分配唯一的 IP地址����,諸如IP地址436a和436b。在利用圖4所示的實(shí)施例中���,網(wǎng)關(guān)服務(wù)器408可以包括與服務(wù)器計(jì)算機(jī)406a和406b之中的每一個(gè)相對(duì)應(yīng)的虛擬網(wǎng)絡(luò)接口 446a和446b���,其中這些虛擬網(wǎng)絡(luò)接口被分配與被分配給服務(wù)器計(jì)算機(jī)406的相同IP地址的值(S卩���,分別地,IP 地址436a和436b)��。因此���,因?yàn)榫W(wǎng)關(guān)服務(wù)器408可以具有虛擬接口���,其中虛擬接口具有用于每一個(gè)服務(wù)器計(jì)算機(jī)406的相同IP地址,所以隨著任何一個(gè)服務(wù)器計(jì)算機(jī)406的出現(xiàn)����,網(wǎng)關(guān)服務(wù)器408可以執(zhí)行某些操作。因而�,分組可以被引導(dǎo)到與服務(wù)器計(jì)算機(jī)406之一的IP 地址相對(duì)應(yīng)的網(wǎng)關(guān)服務(wù)器408上的虛擬接口,其中這一個(gè)服務(wù)器計(jì)算機(jī)406是該分組的目標(biāo)計(jì)算機(jī)��。該分組隨后可以處于網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧中��。至于其中通過(guò)卸載驅(qū)動(dòng)器418將II^sec分組引導(dǎo)到網(wǎng)關(guān)服務(wù)器408的實(shí)施例���,當(dāng)網(wǎng)關(guān)服務(wù)器408被配置有虛擬接口時(shí)��,網(wǎng)關(guān)服務(wù)器408可以被配置�����,以致它處于混雜模式中�����。在一些實(shí)施例中����,例如����,可以采用速率限制,以避免由于大量的非允許業(yè)務(wù)而使得網(wǎng)關(guān)服務(wù)器408超載�����。本發(fā)明的其他實(shí)施例可以允許以其他方式在轉(zhuǎn)發(fā)設(shè)備402與網(wǎng)關(guān)服務(wù)器408之間轉(zhuǎn)發(fā)分組����。例如,在支持以隧道模式在客戶計(jì)算機(jī)404與服務(wù)器計(jì)算機(jī)406之間建立SA 的本發(fā)明的實(shí)施例中��,網(wǎng)關(guān)計(jì)算機(jī)408和轉(zhuǎn)發(fā)設(shè)備402可以被配置成具有彼此相同的IP地址。與轉(zhuǎn)發(fā)設(shè)備402相同的IP地址可以在網(wǎng)關(guān)服務(wù)器408上采用任何適當(dāng)?shù)姆绞?��、包括通過(guò)在網(wǎng)關(guān)計(jì)算機(jī)408上利用與轉(zhuǎn)發(fā)設(shè)備402相同的IP地址創(chuàng)建虛擬接口來(lái)配置����。分組可以由轉(zhuǎn)發(fā)設(shè)備402引導(dǎo)到具有相同IP地址的網(wǎng)關(guān)服務(wù)器408上的接口��。因?yàn)樵谒淼滥J街锌蛻粲?jì)算機(jī)可以顯性連接到轉(zhuǎn)發(fā)設(shè)備402的IP地址��,所以這種類型的配置可以是有可能的����。因此,當(dāng)網(wǎng)關(guān)服務(wù)器408通過(guò)具有與轉(zhuǎn)發(fā)設(shè)備402相同的IP地址的接口接收分組時(shí)����,網(wǎng)關(guān)服務(wù)器408可以處理該分組,就好像該分組已注定去往它本身而不是去往轉(zhuǎn)發(fā)設(shè)備402 一樣��。但是��,在傳輸模式中使用這種類型的配置的能力可能受到限制�,這是因?yàn)榭蛻粲?jì)算機(jī)可能沒(méi)有明確地將任何分組引導(dǎo)到轉(zhuǎn)發(fā)設(shè)備402的IP地址,而可能反而已將分組引導(dǎo)到服務(wù)器計(jì)算機(jī)406之一的IP地址�����。因此,在傳輸模式中����,網(wǎng)關(guān)服務(wù)器408可以具有與用于每一個(gè)服務(wù)器計(jì)算機(jī)406的IP地址相對(duì)應(yīng)的虛擬接口��,如上所述��。無(wú)論轉(zhuǎn)發(fā)分組到網(wǎng)關(guān)服務(wù)器408的方法�,該處理隨后在方框614繼續(xù),其中在方框 614�����,網(wǎng)關(guān)服務(wù)器408可以在網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧上檢測(cè)應(yīng)用于分組的策略�。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成,而本發(fā)明在這個(gè)方面是不受限制的����。在圖4的示例中,這可以使用與過(guò)濾平臺(tái)422接口的檢測(cè)過(guò)濾器412來(lái)完成��。該處理隨后可以繼續(xù)至方框616��,其中可以確定這些策略是否指示應(yīng)該允許該分組。如果網(wǎng)關(guān)服務(wù)器408確定該分組不被允許��,那么在利用圖6所示的實(shí)施例中����,圖6的處理結(jié)束。另一方面��,如果網(wǎng)關(guān)服務(wù)器408在方框616確定該分組應(yīng)被允許��,那么該處理可以繼續(xù)至方框618��,其中網(wǎng)關(guān)服務(wù)器408可以將策略決定中繼至轉(zhuǎn)發(fā)設(shè)備402����。方框618的處理可以采用任何適當(dāng)?shù)姆绞健▽PI與轉(zhuǎn)發(fā)設(shè)備402 (例如��,接口 416)結(jié)合使用以及依照任何適當(dāng)?shù)母袷?例如����,五元組)來(lái)執(zhí)行。雖然在圖6的說(shuō)明性實(shí)施例中�����,如果網(wǎng)關(guān)服務(wù)器408確定應(yīng)該允許分組,才將策略決定傳送到轉(zhuǎn)發(fā)設(shè)備402����,但是應(yīng)該意識(shí)到,本發(fā)明在這個(gè)方面是不受限制的�����,因?yàn)樵谄渌膶?shí)施例中��,當(dāng)分組不應(yīng)被允許時(shí)�����,網(wǎng)關(guān)服務(wù)器408也可以傳送策略決定的結(jié)果���。該處理隨后可以繼續(xù)至方框620,其中轉(zhuǎn)發(fā)設(shè)備402可以更新連接的表�����,以指示連接是已知的并被允許的��。這可以采用任何適當(dāng)?shù)姆绞?、包括在圖6的實(shí)施例中通過(guò)輸入用于連接表中的連接的5元組來(lái)完成���,其中5元組可以是IPsec/連接狀態(tài)420的一部分。在方框620�����,轉(zhuǎn)發(fā)設(shè)備402也可以將分組中繼至其目的地����,例如,其目的地能夠是服務(wù)器計(jì)算機(jī)406之一�。因?yàn)樵撨B接在連接表中已被存儲(chǔ)并被指示為被允許,所以由轉(zhuǎn)發(fā)設(shè)備402接收的用于這個(gè)連接的后續(xù)網(wǎng)絡(luò)分組可以完全由轉(zhuǎn)發(fā)設(shè)備402來(lái)處理�����,而不需要由網(wǎng)關(guān)服務(wù)器408進(jìn)行任何處理�����。在方框620之后���,圖6的處理結(jié)束��。圖7是在一些實(shí)施例中網(wǎng)關(guān)服務(wù)器408和轉(zhuǎn)發(fā)設(shè)備402可以用于聯(lián)合處理由轉(zhuǎn)發(fā)設(shè)備402接收的輸出分組的處理的流程圖�。圖7的處理開(kāi)始于方框702,此時(shí)轉(zhuǎn)發(fā)設(shè)備402 可以接收輸出分組��。在圖4的示例中���,輸出分組可能已由服務(wù)器計(jì)算機(jī)406之一發(fā)送��。該處理隨后繼續(xù)至方框704��,其中轉(zhuǎn)發(fā)設(shè)備402可以相對(duì)于已知SA和允許連接的一個(gè)或多個(gè)表來(lái)匹配分組����。這可以采用任何適當(dāng)?shù)姆绞?、包括采用上面結(jié)合圖5所述的方式來(lái)完成。該處理隨后繼續(xù)至方框706����,其中基于在方框704上執(zhí)行的處理來(lái)確定分組是否匹配任何允許的連接或SA�。如果方框706的處理的結(jié)果指示分組與已知的SA或連接相匹配,那么該處理可以繼續(xù)至方框708��,其中如果確定分組與已知SA匹配��,轉(zhuǎn)發(fā)設(shè)備402可以密碼保護(hù)(例如,加密和/或完整性保護(hù))該分組��。密碼保護(hù)可以基于從網(wǎng)關(guān)服務(wù)器408獲得的存儲(chǔ)的SA信息�、 諸如SPI和/或密鑰來(lái)執(zhí)行。無(wú)論分組是否將被保護(hù)�,該處理繼續(xù)至方框710,其中轉(zhuǎn)發(fā)設(shè)備402可以將該分組中繼至目標(biāo)計(jì)算機(jī)�����,其中目標(biāo)計(jì)算機(jī)可以例如是客戶計(jì)算機(jī)404之一�����。 在執(zhí)行方框710上的處理之后�,圖7的處理結(jié)束。因而��,當(dāng)分組與已知的SA或連接相匹配時(shí)��,在圖7的示例中��,分組的處理可以完全由轉(zhuǎn)發(fā)設(shè)備402來(lái)執(zhí)行�,而不需要為了網(wǎng)關(guān)服務(wù)器408上的附加處理而轉(zhuǎn)發(fā)該分組。在圖4的示例中����,已知的輸入和輸出連接被舉例說(shuō)明為介于客戶計(jì)算機(jī)404d與服務(wù)器計(jì)算機(jī)404b之間���,如上面結(jié)合圖6所述的。另一方面����,如果方框706上的處理的結(jié)果指示分組與已知的SA或連接不相匹配, 那么該處理繼續(xù)至方框712��,其中可以將分組轉(zhuǎn)發(fā)至網(wǎng)關(guān)服務(wù)器408�����。該分組可以采用任何適當(dāng)?shù)姆绞?、包括上面結(jié)合圖6所述的方式被轉(zhuǎn)發(fā)至網(wǎng)關(guān)服務(wù)器408。在圖7的示例中�, 通過(guò)將分組封裝在封裝分組中并將封裝分組發(fā)送到網(wǎng)關(guān)服務(wù)器408上任何適當(dāng)?shù)慕涌冢T如利用能夠?qū)Ψ庋b分組拆封的服務(wù)所偵聽(tīng)的網(wǎng)絡(luò)接口����,可以將分組轉(zhuǎn)發(fā)至網(wǎng)關(guān)服務(wù)器408�����。 利用圖7所示的處理可以繼之以方框714,其中網(wǎng)關(guān)服務(wù)器408可以將分組注入到網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧上���。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成���。在圖7的示例中,這可以通過(guò)讓拆封服務(wù)提供分組給諸如注入過(guò)濾器4M之類的注入過(guò)濾器來(lái)完成�,其中注入過(guò)濾器可以將分組注入到網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧上。然而��,應(yīng)該意識(shí)到����,可以采用將分組注入網(wǎng)關(guān)服務(wù)器408上的網(wǎng)絡(luò)協(xié)議棧中的其他方法,而本發(fā)明在這個(gè)方面是不受限制的���。例如�,轉(zhuǎn)發(fā)設(shè)備402可以被配置成將分組直接轉(zhuǎn)發(fā)至注入過(guò)濾器424���,而不通過(guò)網(wǎng)關(guān)服務(wù)器408上的某種其他服務(wù)�。無(wú)論在方框714中將分組注入到網(wǎng)絡(luò)協(xié)議棧上的方法�,該處理隨后可以繼續(xù)至方框716,其中網(wǎng)關(guān)服務(wù)器408可以根據(jù)網(wǎng)絡(luò)策略來(lái)處理其網(wǎng)絡(luò)協(xié)議棧中的分組�。為輸出業(yè)務(wù)定義的防火墻策略可以指示分組將被允許還是被阻塞�。如果分組被允許�,那么策略也可以指示該分組將被發(fā)送、利用msec來(lái)封裝�����,在這種情況下����,方框716上的處理可以牽涉代表服務(wù)器計(jì)算機(jī)406之一與客戶計(jì)算機(jī)404之一建立SA。這可以采用任何適當(dāng)?shù)姆绞?�、包括上面結(jié)合圖5的處理所論述的方式來(lái)完成�����。在圖4的示例中���,建立SA可以由網(wǎng)關(guān)服務(wù)器 408上的IKE/AuthIP處理模塊414來(lái)執(zhí)行���。方框716上的處理也可能或許牽涉密碼保護(hù)分組,這可以使用在SA建立期間獲得的諸如密鑰和/或SPI之類的SA信息來(lái)完成����。作為方框716的處理的結(jié)果,網(wǎng)關(guān)服務(wù)器408此時(shí)可以將這時(shí)可能被密碼保護(hù)的分組發(fā)送到目標(biāo)計(jì)算機(jī)��,其中目標(biāo)計(jì)算機(jī)可以是客戶計(jì)算機(jī)404之一����。圖7的處理隨后可以繼續(xù)至方框718,其中網(wǎng)關(guān)服務(wù)器408可以檢測(cè)應(yīng)用于分組的策略�,因?yàn)樵摲纸M在方框716中被處理。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成�,而本發(fā)明在這個(gè)方面是不受限制的。在圖4的示例中���,這些策略可以使用與過(guò)濾平臺(tái)422接口的檢測(cè)過(guò)濾器412來(lái)檢測(cè)�����。圖7的處理隨后可以繼續(xù)至方框720����,其中網(wǎng)關(guān)服務(wù)器408可以檢查是否最終的分組被發(fā)送至目標(biāo)計(jì)算機(jī)����。如果分組沒(méi)有被發(fā)送,則這指示網(wǎng)絡(luò)策略被配置成阻塞該分組�,并且圖7的處理結(jié)束����。如果另一方面該分組被發(fā)送到目標(biāo)計(jì)算機(jī)���,則該處理可以繼續(xù)至方框 722���,其中網(wǎng)關(guān)服務(wù)器408可以中繼策略決定,并將任何的SA信息卸載到轉(zhuǎn)發(fā)設(shè)備402�。這可以采用任何適當(dāng)?shù)姆绞絹?lái)完成。在圖7的示例中�,策略決定可以通過(guò)諸如接口 416之類的接口被傳送給轉(zhuǎn)發(fā)設(shè)備402,以便向轉(zhuǎn)發(fā)設(shè)備402指示是否應(yīng)允許該分組���,而如果是這樣的話�,是否應(yīng)該將IPsec應(yīng)用于該分組�。雖然SA信息可以采用任何適當(dāng)?shù)姆绞奖粋魉偷睫D(zhuǎn)發(fā)設(shè)備402,但是在圖7的示例中��,諸如SPI和/或密鑰之類的SA信息可以使用圖4的卸載驅(qū)動(dòng)器418被卸載到轉(zhuǎn)發(fā)設(shè)備402����,如上面結(jié)合圖5和6所述的。這些策略也可以包括有關(guān)是否將密碼保護(hù)分組以及將應(yīng)用的保護(hù)的一種或多種類型(例如�����,加密、完整性保護(hù)等等)的信息����。雖然在圖7的示例中�����,在將阻塞分組時(shí)���,不將策略傳送到轉(zhuǎn)發(fā)設(shè)備402���,但在其他實(shí)施例中,在包括分組被阻塞時(shí)的任一情況下�,網(wǎng)關(guān)服務(wù)器408可以將策略決定中繼至轉(zhuǎn)發(fā)設(shè)備402。當(dāng)服務(wù)器計(jì)算機(jī)406之一重復(fù)生成應(yīng)被阻塞的分組時(shí)�,這樣做可以避免重復(fù)中繼至網(wǎng)關(guān)服務(wù)器408。該處理隨后可以繼續(xù)至方框724�����,其中轉(zhuǎn)發(fā)設(shè)備402可以基于由網(wǎng)關(guān)服務(wù)器408執(zhí)行的處理的結(jié)果來(lái)存儲(chǔ)與連接相關(guān)的信息以及諸如SPI和/或密鑰之類的SA信息����,以備將來(lái)使用����。存儲(chǔ)可以采用任何適當(dāng)?shù)姆绞揭约安捎萌魏芜m當(dāng)?shù)母袷絹?lái)完成���,而本發(fā)明在這個(gè)方面是不受限制的��。在圖4的示例中����,連接信息和SA信息可以被存儲(chǔ)在IPsec/連接狀態(tài) 420中���,以致依照相同的SA或連接發(fā)送的���、被轉(zhuǎn)發(fā)設(shè)備402接收的后續(xù)分組可能能夠完全由網(wǎng)關(guān)服務(wù)器408處理,而不需要轉(zhuǎn)發(fā)設(shè)備402執(zhí)行任何附加處理����。在方框7M的處理之后, 圖7的方法結(jié)束��。雖然已如此描述了本發(fā)明的至少一個(gè)實(shí)施例的若干方面,但是將意識(shí)到對(duì)于本領(lǐng)域中的技術(shù)人員而言��,各種改變���、修改和改進(jìn)將隨時(shí)發(fā)生�����。這樣的改變、修改和改進(jìn)預(yù)定是這個(gè)公開(kāi)內(nèi)容的一部分���,并且預(yù)定處于本發(fā)明的精神和范圍之內(nèi)���。因此,以上的描述和附圖只是作為示例���。例如����,將意識(shí)到由轉(zhuǎn)發(fā)設(shè)備402和網(wǎng)關(guān)服務(wù)器408聯(lián)合執(zhí)行的II^sec處理可以包括處理任何適當(dāng)類型的密碼保護(hù)���。網(wǎng)絡(luò)分組的加密/解密只是可以處理的各種類型的密碼保護(hù)的一個(gè)示例��。例如���,由轉(zhuǎn)發(fā)設(shè)備402和網(wǎng)關(guān)服務(wù)器408執(zhí)行的聯(lián)合處理也可以驗(yàn)證根據(jù)msec協(xié)議發(fā)送的網(wǎng)絡(luò)分組的完整性��。因而���,一般而言,需要密碼保護(hù)的分組(例如�����,加密的或完整性保護(hù)的分組)可以被稱為“密碼保護(hù)的分組”�����,而未經(jīng)歷這樣的密碼保護(hù)的分組可以被稱為“無(wú)保護(hù)的分組”�����。由網(wǎng)關(guān)服務(wù)器408檢測(cè)并被傳送到轉(zhuǎn)發(fā)設(shè)備402的安全策略可以包括一般密碼保護(hù)策略����,其指示例如,網(wǎng)絡(luò)分組在被轉(zhuǎn)發(fā)到其目的地之前是否應(yīng)該進(jìn)行加密和/或完整性保護(hù)�����。本發(fā)明的上述實(shí)施例可以采用多種方式中的任何一種來(lái)實(shí)施。例如��,這些實(shí)施例可以使用硬件��、軟件或其組合來(lái)實(shí)施���。當(dāng)以軟件來(lái)實(shí)施時(shí)����,無(wú)論是在單個(gè)計(jì)算機(jī)中提供還是在多個(gè)計(jì)算機(jī)之間分布���,軟件代碼能夠在任一適當(dāng)?shù)奶幚砥骰蛱幚砥鞯募仙线\(yùn)行。應(yīng)意識(shí)到執(zhí)行上述功能的任何硬件組件或硬件組件的集合一般能夠被認(rèn)為是控制上述功能的一個(gè)或多個(gè)控制器�����。這一個(gè)或多個(gè)控制器能夠采用多種方式來(lái)實(shí)施����,例如,利用專用的硬件或利用通用硬件(例如����,一個(gè)或多個(gè)處理器)來(lái)實(shí)施����,其中所述硬件使用微碼或軟件來(lái)編程��,以執(zhí)行上述的功能��。進(jìn)一步��,應(yīng)意識(shí)到計(jì)算機(jī)可以采用多種形式中的任何一種來(lái)實(shí)現(xiàn)�,例如,采用機(jī)架安裝的計(jì)算機(jī)�����、臺(tái)式計(jì)算機(jī)�、膝上型計(jì)算機(jī)或平板計(jì)算機(jī)來(lái)實(shí)現(xiàn)。此外�����,計(jì)算機(jī)可以嵌入在通常不被視為計(jì)算機(jī)但是具有適當(dāng)處理能力的設(shè)備中�,所述設(shè)備包括個(gè)人數(shù)字助理 (PDA)、智能電話或任何其他適當(dāng)?shù)谋銛y式或固定的電子設(shè)備���。計(jì)算機(jī)也可以具有一個(gè)或多個(gè)輸入和輸出設(shè)備�。這些設(shè)備能夠特別用于呈現(xiàn)用戶界面。能夠用于提供用戶界面的輸出設(shè)備的示例包括用于輸出的視覺(jué)呈現(xiàn)的打印機(jī)或顯示屏或用于輸出的可聞呈現(xiàn)的揚(yáng)聲器或其他聲音生成設(shè)備���。能夠用于用戶界面的輸入設(shè)備的示例包括鍵盤(pán)和指示設(shè)備�����,諸如鼠標(biāo)�、觸摸板和數(shù)字化平板����。作為另一示例,計(jì)算機(jī)可以通過(guò)語(yǔ)音識(shí)別或以其他可聞格式來(lái)接收輸入信息��。這樣的計(jì)算機(jī)可以利用一個(gè)或多個(gè)網(wǎng)絡(luò)采用任何適當(dāng)?shù)男问竭M(jìn)行互連��,其中所述網(wǎng)絡(luò)包括局域網(wǎng)或廣域網(wǎng)����,諸如企業(yè)網(wǎng)或因特網(wǎng)��。這樣的網(wǎng)絡(luò)可以基于任何適當(dāng)?shù)募夹g(shù)�����,并且可以依照任何適當(dāng)?shù)膮f(xié)議來(lái)操作,而且可以包括無(wú)線網(wǎng)絡(luò)�、有線網(wǎng)絡(luò)或光纖網(wǎng)絡(luò)。在這里概述的各種方法或處理也可以被編碼為可在采用各種操作系統(tǒng)或平臺(tái)之中任何一種的一個(gè)或多個(gè)處理器上運(yùn)行的軟件���。此外����,這樣的軟件可以使用多種適當(dāng)?shù)木幊陶Z(yǔ)言和/或編程或腳本工具來(lái)書(shū)寫(xiě)��,并且也可以被編譯為在框架或虛擬機(jī)上運(yùn)行的可執(zhí)行機(jī)器語(yǔ)言代碼或中間代碼�����。在這方面�,本發(fā)明可以被實(shí)現(xiàn)為利用一種或多種程序編碼的計(jì)算機(jī)可讀介質(zhì)(或多個(gè)計(jì)算機(jī)可讀媒體)(例如,計(jì)算機(jī)存儲(chǔ)器�����,一個(gè)或多個(gè)軟盤(pán)���,壓縮盤(pán)����,光盤(pán),磁帶�,閃存,現(xiàn)場(chǎng)可編程門(mén)陣列或其他半導(dǎo)體設(shè)備中的電路配置�����,或其他有形的計(jì)算機(jī)存儲(chǔ)介質(zhì))���,其中所述程序當(dāng)在一個(gè)或多個(gè)計(jì)算機(jī)或其他處理器上運(yùn)行時(shí)執(zhí)行實(shí)施上述的本發(fā)明的各個(gè)實(shí)施例的方法��。計(jì)算機(jī)可讀介質(zhì)或媒體能夠是可運(yùn)輸?shù)?����,以致在其上存?chǔ)的一個(gè)或多個(gè)程序能夠被裝載到一個(gè)或多個(gè)不同的計(jì)算機(jī)或其他的處理器上�����,以實(shí)施如上所述的本發(fā)明的各個(gè)方面。在這里在一般意義上使用術(shù)語(yǔ)“程序”或“軟件”���,以指示能夠被采用來(lái)編程計(jì)算機(jī)或其他處理器以實(shí)施如上所述的本發(fā)明的各個(gè)方面的任何類型的計(jì)算機(jī)代碼或計(jì)算機(jī)可執(zhí)行指令的集合�����。此外��,應(yīng)該意識(shí)到根據(jù)這個(gè)實(shí)施例的一個(gè)方面�����,當(dāng)被運(yùn)行時(shí)執(zhí)行本發(fā)明的方法的一個(gè)或多個(gè)計(jì)算機(jī)程序不必駐留在單個(gè)計(jì)算機(jī)或處理器上�,而可以采用模塊化的方式在許多不同的計(jì)算機(jī)或處理器之中進(jìn)行分布,以實(shí)施本發(fā)明的各個(gè)方面�。計(jì)算機(jī)可執(zhí)行指令可以采用多種形式,諸如由一個(gè)或多個(gè)計(jì)算機(jī)或其他設(shè)備運(yùn)行的程序模塊�。一般地,程序模塊包括例程����、程序、對(duì)象�、組件、數(shù)據(jù)結(jié)構(gòu)等等�����,其執(zhí)行特定的任務(wù)或?qū)嵤┨囟ǖ某橄髷?shù)據(jù)類型���。通常��,程序模塊的功能在各個(gè)實(shí)施例中可以根據(jù)需要進(jìn)行組合或分發(fā)����。數(shù)據(jù)結(jié)構(gòu)也可以采用任何適當(dāng)?shù)男问酱鎯?chǔ)在計(jì)算機(jī)可讀媒體中。為了例證的簡(jiǎn)單起見(jiàn)��,數(shù)據(jù)結(jié)構(gòu)可以被顯示成具有通過(guò)數(shù)據(jù)結(jié)構(gòu)中的位置相關(guān)聯(lián)的字段�。這樣的關(guān)系可以同樣通過(guò)為用于字段的存儲(chǔ)器分配傳遞字段之間的關(guān)系的計(jì)算機(jī)可讀介質(zhì)中的位置來(lái)實(shí)現(xiàn)。然而�����,任何適當(dāng)?shù)臋C(jī)制可以用于建立數(shù)據(jù)結(jié)構(gòu)的字段中的信息之間的關(guān)系�,這包括通過(guò)使用在數(shù)據(jù)元素之間建立關(guān)系的指針、標(biāo)簽或其他機(jī)制�。本發(fā)明的各個(gè)方面可以單獨(dú)使用、組合使用或用于在上述實(shí)施例中沒(méi)有特別論述的各種安排中��,并因此在其應(yīng)用中不限于在上面描述中所述的或在附圖中示意的組件的細(xì)節(jié)和安排����。例如,在一個(gè)實(shí)施例中描述的各方面可以采用任何方式與其他實(shí)施例中所述的各方面相結(jié)合。本發(fā)明也可以實(shí)現(xiàn)為方法�,已提供了其中的示例����。作為方法的一部分執(zhí)行的動(dòng)作可以采用任何適當(dāng)?shù)姆绞絹?lái)排序。因此�,可以構(gòu)造這樣的實(shí)施例,其中以與舉例說(shuō)明的順序不同的順序來(lái)執(zhí)行動(dòng)作��,其可以包括同時(shí)執(zhí)行某些動(dòng)作�����,即使這些動(dòng)作在說(shuō)明性實(shí)施例中被顯示為順序動(dòng)作�����。在權(quán)利要求書(shū)中諸如“第一”�、“第二”、“第三”等的序數(shù)術(shù)語(yǔ)的使用來(lái)修改權(quán)利要求元素本身并不意味著任何優(yōu)先級(jí)�、優(yōu)先權(quán)、一個(gè)權(quán)利要求元素越過(guò)另一個(gè)元素的順序或執(zhí)行方法的動(dòng)作的時(shí)間順序����,而只是用作標(biāo)簽來(lái)將具有某個(gè)名稱的一個(gè)權(quán)利要求元素與另一個(gè)具有相同名稱的元素區(qū)分開(kāi)來(lái)(但是,用于序數(shù)術(shù)語(yǔ)的使用),以區(qū)分這些權(quán)利要求元
ο在這里使用的措辭和術(shù)語(yǔ)也是用于描述的目的���,并且不應(yīng)該被視為限制�����。在這里使用“包括”��、“包含”或“具有”��、“含有”�、“牽涉”及其不同的變體意味著包括此后列舉的項(xiàng)目及其等價(jià)物以及附加項(xiàng)目��。
權(quán)利要求
1.一種在計(jì)算機(jī)系統(tǒng)中處理加密數(shù)據(jù)的方法����,所述計(jì)算機(jī)系統(tǒng)包括第一計(jì)算機(jī) (204a),其中第一計(jì)算機(jī)經(jīng)由耦合至第三計(jì)算機(jī)(210)的分組轉(zhuǎn)發(fā)設(shè)備(208)與至少一個(gè)第二計(jì)算機(jī)(206a)通信���,所述方法包括在分組轉(zhuǎn)發(fā)設(shè)備(208)上�,接收(302)從第一計(jì)算機(jī)(204a)發(fā)送給至少一個(gè)第二計(jì)算機(jī)(206a)的第一分組��,其中第一計(jì)算機(jī)(204a)沒(méi)有將第三計(jì)算機(jī)(210)指定為第一分組的接收者�;確定第一分組是否包括用于在第一計(jì)算機(jī)(204a)與至少一個(gè)第二計(jì)算機(jī)(206a)之間配置加密連接的控制分組����;當(dāng)確定第一分組包括控制分組時(shí)發(fā)送(304)所述控制分組給第三計(jì)算機(jī)(210 )��;以及響應(yīng)于發(fā)送所述控制分組給第三計(jì)算機(jī)��,從第三計(jì)算機(jī)接收至少一個(gè)密碼密鑰����;和當(dāng)確定第一分組包括至少一個(gè)密碼保護(hù)的數(shù)據(jù)分組時(shí)使用至少一個(gè)密碼密鑰來(lái)密碼解除保護(hù)(604)至少一個(gè)密碼保護(hù)的數(shù)據(jù)分組����。
2.權(quán)利要求1的方法,其中根據(jù)TLS協(xié)議或SSL協(xié)議來(lái)發(fā)送第一分組�。
3.權(quán)利要求1的方法,其中根據(jù)IPsec協(xié)議來(lái)發(fā)送第一分組�����。
4.權(quán)利要求3的方法�,其中所述控制分組包括根據(jù)協(xié)商協(xié)議發(fā)送的分組,并且其中協(xié)商協(xié)議包括因特網(wǎng)密鑰交換(IKE)協(xié)議或AuthIP協(xié)議中的至少一個(gè)�����。
5.權(quán)利要求4的方法,其中所述方法進(jìn)一步包括以下動(dòng)作在第三計(jì)算機(jī)(210)上建立根據(jù)所述協(xié)商協(xié)議在第一計(jì)算機(jī)(204a)與第三計(jì)算機(jī) (210)之間協(xié)商的操作在傳輸模式中的安全關(guān)聯(lián)(SA)�。
6.權(quán)利要求5的方法,其中從第三計(jì)算機(jī)(210)接收至少一個(gè)密碼密鑰的動(dòng)作進(jìn)一步包括以下動(dòng)作從第三計(jì)算機(jī)(210)接收(508)至少一個(gè)密碼密鑰和至少一個(gè)安全參數(shù)索引(SPI)��,其中至少一個(gè)密碼密鑰和至少一個(gè)SPI與在第一計(jì)算機(jī)和第三計(jì)算機(jī)之間協(xié)商的SA相關(guān)聯(lián)�,并且其中所述方法進(jìn)一步包括在轉(zhuǎn)發(fā)設(shè)備上的計(jì)算機(jī)存儲(chǔ)器中存儲(chǔ)(510) 至少一個(gè)密碼密鑰和至少一個(gè)SPI。
7.權(quán)利要求6的方法�,其中在第三計(jì)算機(jī)上通過(guò)NIC卸載接口來(lái)接收(508)至少一個(gè)密碼密鑰和至少一個(gè)SPI。
8.權(quán)利要求7的方法���,其中確定第一分組包括至少一個(gè)密碼保護(hù)的數(shù)據(jù)分組的動(dòng)作包括確定(606)第一分組包括與至少一個(gè)密碼密鑰和至少一個(gè)SPI相關(guān)聯(lián)的至少一個(gè)密碼保護(hù)的數(shù)據(jù)分組�����。
9.至少一種計(jì)算機(jī)可讀介質(zhì)���,所述計(jì)算機(jī)可讀介質(zhì)利用指令來(lái)編碼,其中所述指令當(dāng)在計(jì)算機(jī)系統(tǒng)上運(yùn)行時(shí)執(zhí)行處理加密數(shù)據(jù)的方法���,其中所述計(jì)算機(jī)系統(tǒng)包括經(jīng)由分組轉(zhuǎn)發(fā)設(shè)備(208)與至少一個(gè)第二計(jì)算機(jī)(204a)通信的第一計(jì)算機(jī)(206a)���,所述計(jì)算機(jī)系統(tǒng)進(jìn)一步包括連接到分組轉(zhuǎn)發(fā)設(shè)備(208)的第三計(jì)算機(jī)(210),所述方法包括在第三計(jì)算機(jī)(210)上從分組轉(zhuǎn)發(fā)設(shè)備(208)接收封裝分組�; 拆封(308)封裝分組���,以生成拆封分組; 在第三計(jì)算機(jī)(210)上將拆封分組注入(310)到網(wǎng)絡(luò)協(xié)議棧上���; 檢測(cè)(312)由第三計(jì)算機(jī)應(yīng)用于拆封分組的至少一個(gè)訪問(wèn)控制策略�����;以及發(fā)送(318)描述至少一個(gè)訪問(wèn)控制策略的信息給分組轉(zhuǎn)發(fā)設(shè)備。
10.權(quán)利要求9的至少一種計(jì)算機(jī)可讀介質(zhì)�����,其中拆封分組包括從第一計(jì)算機(jī)(206a) 發(fā)送給至少一個(gè)第二計(jì)算機(jī)(204a)的分組����。
11.權(quán)利要求10的至少一種計(jì)算機(jī)可讀介質(zhì),其中至少一個(gè)訪問(wèn)控制策略包括至少一個(gè)防火墻策略���,所述防火墻策略指示拆封分組是否應(yīng)該被轉(zhuǎn)發(fā)給至少一個(gè)第二計(jì)算機(jī) (204a)���。
12.權(quán)利要求10的至少一種計(jì)算機(jī)可讀介質(zhì),其中至少一個(gè)訪問(wèn)控制策略包括至少一個(gè)密碼保護(hù)策略�����,所述密碼保護(hù)策略指示拆封分組是否應(yīng)該在被轉(zhuǎn)發(fā)給至少一個(gè)第二計(jì)算機(jī)(204a)之前被密碼保護(hù)。
13.權(quán)利要求10的至少一種計(jì)算機(jī)可讀介質(zhì)�����,其中利用組策略對(duì)象來(lái)規(guī)定至少一個(gè)訪問(wèn)控制策略���。
14.權(quán)利要求10的至少一種計(jì)算機(jī)可讀介質(zhì)���,其中檢測(cè)(312)由第三計(jì)算機(jī)(210)應(yīng)用于拆封分組的至少一個(gè)訪問(wèn)控制策略使用經(jīng)由過(guò)濾平臺(tái)(422)操作的檢測(cè)過(guò)濾器(412) 來(lái)執(zhí)行。
15.權(quán)利要求10的至少一種計(jì)算機(jī)可讀介質(zhì)�����,其中在第三計(jì)算機(jī)上將拆封分組注入 (310)到網(wǎng)絡(luò)協(xié)議棧上的動(dòng)作由經(jīng)由過(guò)濾平臺(tái)(422)操作的注入過(guò)濾器(424)來(lái)執(zhí)行�����。
全文摘要
一些實(shí)施例涉及處理經(jīng)由轉(zhuǎn)發(fā)設(shè)備在第一計(jì)算機(jī)與第二計(jì)算機(jī)之間根據(jù)安全協(xié)議發(fā)送的分組數(shù)據(jù)�。轉(zhuǎn)發(fā)設(shè)備執(zhí)行處理的一部分,并將分組數(shù)據(jù)轉(zhuǎn)發(fā)至連接到轉(zhuǎn)發(fā)設(shè)備的第三計(jì)算機(jī)�����,用于其他的處理。第三計(jì)算機(jī)可以支持至安全協(xié)議的非標(biāo)準(zhǔn)擴(kuò)展�,諸如在通過(guò)安全協(xié)議來(lái)授權(quán)和建立連接中使用的擴(kuò)展。分組數(shù)據(jù)可以服從于可以由第三計(jì)算機(jī)檢測(cè)的策略���,諸如防火墻策略或安全策略��。第三計(jì)算機(jī)給轉(zhuǎn)發(fā)設(shè)備發(fā)送其處理的結(jié)果����,諸如密碼密鑰或檢測(cè)到的訪問(wèn)控制策略����。
文檔編號(hào)H04L12/56GK102349264SQ201080011319
公開(kāi)日2012年2月8日 申請(qǐng)日期2010年2月5日 優(yōu)先權(quán)日2009年3月9日
發(fā)明者D. 斯萬(wàn)德 B., R. 西蒙 D., 梅內(nèi)澤斯 P. 申請(qǐng)人:微軟公司