专利名称:网络处理器的动态网络安全装置及方法
技术领域:
本发明涉及处理器,尤其涉及在网络处理器中根据网络条件动态地加载安全算法的装置和方法。
背景技术:
网络通信应用的增长,尤其是分组交换网络,比如因特网,增加了对更有效的网络安全的需求。这样,随着越来越多的具有潜在价值的信息通过通信网络传输,吸引了更多的非授权人员泄露这些信息。
已有多种公知技术可以危及分组交换通信网络或网络通信设备(比如网络处理器,专用集成电路(ASIC)等等)的安全。其中有一种通常被称为拒绝服务(denial of service,DOS)攻击的技术。DOS攻击可以用多种不同的方法发起和实现。比如IP源地址欺骗(Internet Protocolsource address spoofing),SYN分组淹没(SYN packet flooding),UDP淹没(UDP flooding),ICMP回应(ICMP echo reply),ICMP淹没(ICMP flooding)以及序号攻击(sequence number attack)等都是一些公知类型的DOS攻击。只要检测、识别并做出响应的设备能够迅速地执行适当的响应算法,就可以检测、唯一地识别并挫败所有的这些已知DOS攻击,从而避免危及网络安全。
通常,一个网络会包含多个连接的通用处理器、网络处理器和/或ASIC,使用一个或多个这些设备来执行对网络安全攻击的响应或对抗。例如,这些响应或对抗可能包括执行对特定类型的DOS攻击进行检测、识别和响应的算法。ASIC是高度定制的设备,它通常执行一个预定的算法,这样可以快速有效地对DOS攻击或其它类型的网络安全攻击进行响应。不幸的是,ASIC的本质是静态的,它们只能执行有限数量的预定安全策略算法,这些算法是在制造或设置ASIC的时候写入的。这样的结果是,如果一个ASIC受到没有相应响应算法的DOS攻击或其它类型的网络安全攻击,那么这个ASIC就不能有效地对这种攻击进行响应以避免危及网络安全。
与ASIC相反,网络处理器是可编程的,这样,网络处理器执行的安全算法可以在运行时间(也就是网络处理器执行软件的时候)之前通过下载适当的软件进行修改。对网络安全攻击的有效响应要求程序员开发特别适合于在网络处理器的快速通路(fast path)分组处理部件(也就是快速通路硬件)中加载和执行的网络安全软件。不幸的是,可在网络处理器的快速通路硬件中执行的软件指令集通常是有限的,并且网络处理器的快速通路处理部件通常只能为指令提供相对有限的内存空间(也就是代码存储器)。结果,可在网络处理器的快速通路硬件中加载和执行的程序的复杂性和大小都会受到某些限制。因此,程序员通常只选择一个网路安全算法供网络处理器的快速通路下载和执行。这样,在网络处理器中采用的对网络安全攻击进行响应的安全措施或算法是静态的(也就是不能在运行时改变),并且不能对一种以上的网络安全攻击进行响应。
此外,虽然可以采用操作系统来选择性地管理多个应用程序或进程的执行,但是已知的网络处理器不采用传统的操作系统,这是因为传统的操作系统会降低网络处理器执行安全算法的速度。因而,实际上网络处理器也是静态的(也就是说它们被编程为对单一类型的网络安全威胁进行响应),并且网络处理器执行的安全算法不能在运行时改变。
发明内容
为了解决上述问题,根据本发明的一个方面,一种把安全算法加载到网络处理器的快速通路中的方法,包括从第一网络客户端接收与网络处理器连接的请求;为所述第一网络客户端提供多个可用的安全算法;根据由所述第一网路客户端进行的选择,来确定所述多个可用安全算法中的哪一个算法将被用来与所述第一客户端进行通信;以及把所述多个可用安全算法中将被用来与所述第一客户端进行通信的所选择的一个安全算法下载到网络处理器中。
根据本发明的另一方面,一种网络通信设备,包括包含多个安全算法的存储器;以及与该存储器相连接的处理器,该处理器被编程为从第一网络客户端接收与处理器连接的请求;为所述第一网络客户端提供一组多个安全算法;根据由所述第一网络客户端进行的选择,来确定所述多个安全算法中哪一个算法将被用来与所述第一网络客户端进行通信;以及把所述多个安全算法中将被用来与所述第一网络客户端进行通信的一个下载到处理器中。
根据本发明的另一方面,一种系统,其包括数据结构,用于存储多个安全算法;与所述数据结构相连的处理器,用于从第一网络客户端接收连接该处理器的请求,为所述第一网络客户端提供多个可用的安全算法,并且根据由所述第一网络客户端进行的选择,来确定所述多个可用安全算法中的哪一个将被用来与所述第一网络客户端进行通信;以及与所述处理器相连的快速通路分组处理单元,其中所述处理器将所述多个安全算法中的将被用来与所述第一网络客户端进行通信的所选择的一个下载到该快速通路分组处理单元中。
根据本发明的另一方面,一种处理器,其具有多个处理单元,其中这些处理单元中的第一处理单元从第一网络客户端接收连接该处理器的请求,为所述第一网络客户端提供多个可用安全算法,并且根据由所述第一网络客户端进行的选择,来确定所述多个可用安全算法中的哪一个将被选择用来与所述第一网络客户端进行通信,并且其中,所述多个处理单元中的第一处理单元与所述多个处理单元中的第二处理单元相连,并将所述多个可用安全算法中的所述选择的一个下载到所述多个处理单元中的第二处理单元中。
图1所示的是采用本文所述的动态网络安全方法和装置的示例系统的示意图;图2所示为在图1所示系统中实现动态网络安全的示例方法的流程图;图3所示的是可用于TCP SYN攻击检测和响应的动态网络安全技术示例方法的流程图;图4所示的是在一个与虚拟专用网络连接的网络处理器中实现动态网络安全的示例方法的流程图。
具体实施例方式
图1所示的是示例系统10的简图,在这个系统中采用了本文所描述的动态网络安全方法和装置。如图1所示,系统10包括一个带有网络处理器14和一个可选的协处理器16的计算机系统或工作站12。网络处理器14可以是任何合适的网络处理器,比如Intel IXP425,IXP1200和IXP2x00处理器。通常,网络处理器14包含多个子处理单元或处理器(未示出),其中一个用来执行通信分组的快速通路处理,另一个用来执行通常的处理任务,包括分组处理和其它的处理任务。如果包含了协处理单元16的话,它被网络处理器14用来执行特定的操作(比如数学运算),以使网络处理器14更加有效地执行它的通信功能。
工作站12也包含有一个与网络处理器14相连接的存储器17。下面会详细的讲到,存储器17包含一个安全算法数据库,网络处理器14可以根据网络条件,比如通过网络处理器14所连接的局域网20和分组交换网络22接收到的通信的特征,选择性地调用和执行一个或多个算法。
另外,工作站12通过局域网20与另一个计算机系统18相连接。计算机系统18可以是与工作站12相似或相同的工作站,或者是其它类型的计算机系统。局域网20可以利用以太网(一种公知的网络结构),或者其它合适的网络结构而实施。工作站12也通过局域网20与分组交换网络22(比如因特网)连接,分组交换网络22同时也和位于远端的工作站24相连接,工作站24具有网络处理器26和协处理单元28。如果需要的话,其它的计算机或工作站也可以连接到局域网20或分组交换网络22上。
图2为在图1所示的工作站12中实现动态网络安全的示例方法的流程图。优选地,图2所示的方法是利用图1所示网络处理器14的普通处理功能执行的,而不是在网络处理器14的快速通路通信分组处理单元中执行。然而,图2所示或结合图2描述的一部分或全部方法也可以在工作站12的通用处理器或与网络处理器14相连的任何合适的处理单元中执行。
另外,图2中所描述的方法与正常的通信分组处理过程是并行的,这样就不会影响正常通信分组处理的速度。如上所述,网络处理器,如图1所示的网络处理器14,包含多个处理单元(未示出),在这些处理单元中,有一些是通用的,并且至少有一个被配置成实现快速通路分组处理单元的功能。虽然网络处理器中的各种处理单元可以相互通信,但是这些处理单元是独立工作的(也就是并行的)。
如图2所示,对输入通信分组(在本例中为IP分组)进行监视并且生成与这些分组相关的统计信息和其它特征(块100)。另外,也生成与网络处理器14相关的资源的统计信息和其它特征,例如连接缓存状态(块100)。生成统计信息的一些或全部计算可以由协处理单元16进行。
选择块100中生成的统计信息的具体类型,使得可以检测可能的一种或多种类型的网络安全攻击。例如,对于一种通常称为IP源地址欺骗的DOS攻击,源地址随机地改变为通常不在因特网路由表中出现的地址,这些地址是不可达的。每一个不可达的地址都会在一段时间内消耗接收到该连接请求的网络处理器的连接和缓存空间。这样,可以通过监视可用连接的数目和对应于每个连接的缓存数量,并且对当前使用的资源和通常的资源使用情况进行比较,从而对IP源地址欺骗攻击进行检测。当网络处理器受到IP地址欺骗攻击时,网络处理器的当前资源使用量要大大超过通常的资源使用量,比如,超过80%。这样,为了能够检测IP地址欺骗攻击,块100生成的统计信息应该包括与网络处理器14中的连接缓存的缓存使用率相关的值。
在另一方面,对于一种通常称为SYN分组淹没的DOS攻击,攻击系统使用三路握手(three-way handshake)建立TCP连接来消耗主机系统(也就是被攻击的系统)的可用连接。具体而言,攻击系统发出大量的SYN分组并且不应答(也就是ACK)主机系统发来的SYN ACK信号。结果,无法完成所请求的连接,并且不能被合法的TCP用户使用。最终,攻击系统消耗了主机系统(也就是主机系统的网络处理器)所有的可用连接,系统拒绝为合法用户提供服务。这样,可以通过生成与网络处理器接收SYN分组的速率相关的统计信息,并且把当前SYN接收速率和一个阈值(比如10,000每秒)相比较,从而检测SYN分组淹没攻击。如果当前网络处理器接收SYN分组的速率超过了预定的阈值,则生成一个事件来表示可能正在进行SYN分组淹没攻击。这样,块100生成的统计信息应该包括与网络处理器14的SYN分组接收速率相关的信息。
更进一步说,也可以在块100中生成其它的统计信息,比如网络处理器的UDP分组接收速率和ICMP分组接收速率,从而能够检测其它类型的网络安全攻击,例如UDP淹没、ICMP淹没、ICMP回应或者任何其它类型的网络安全攻击。当然,块100生成的分组和资源统计以及其它的分组和资源信息可以包含检测任何已知或未知类型的网络攻击所需的统计和信息。
使用分组和资源统计来确定是否正在进行网络安全攻击(块102)。比如,在网络处理器14正在受到IP地址欺骗攻击的情况下,网络处理器14将会意识到其异常升高的连接缓存使用率。在TCP SYN淹没攻击的情况下,网络处理器14将会意识到其异常高的输入SYN分组速率和/或异常高的连接缓存占用率。在任何情况下,如果网络处理器14确定没有网络安全攻击正在进行,它将会返回生成分组和资源统计信息和其它信息(块100)。
另一方面,如果网络处理器14确定有网络安全攻击正在进行,它将会确定是否有适当的安全算法(也就是可以对当前攻击进行有效响应的算法)(块104)。具体而言,网络处理器14首先确定在其快速通路处理硬件中当前是否加载有合适的算法。如果在网络处理器14的快速通路硬件中当前没有加载合适的算法,则在存储器17的安全算法数据库中搜索合适的安全算法。如果网络处理器14确定没有合适的算法,它将会选择一个最适合对当前攻击进行响应的算法并且加载该算法,这将在下面描述,或者不加载任何算法并且返回生成分组和资源统计信息(块100)。
如果有合适的安全算法,则网络处理器14计算把该安全算法加载到其快速通路硬件中所需要的时间(块106)。
然后网络处理器14确定所选择的算法(它的加载所需时间已经经过计算)是否应该加载到网络处理器14的快速通路硬件中(块108)。优选的,决定是否加载所选择的算法取决于一个价值函数,该价值函数对网络处理器所执行安全算法的快速调整(更换)的益处和把算法下载到网络处理器的快速通路硬件时暂停通信产生的延迟所带来的通信吞吐量降低(这是造成用户不便的重要来源)之间进行平衡。比如,在一个或多个由块100生成的分组和资源统计信息达到了各自对应的一个或多个与安全攻击相关的阈值的情况下,网络处理器14会试图快速或连续地加载不同的安全算法。这种过多或频繁的加载安全算法会大大地减少网络处理器处理通信分组的时间,导致通信吞吐量的大大降低。
为了避免过多或频繁的下载安全算法,网络处理器14可以采用一个基于将算法加载到快速通路硬件所需的下载时间和从最后一次下载到快速通路硬件起经过的时间之间比值的价值函数。这样,当算法的下载时间达到从最后一次下载起经过的时间的很大比重时,下载新选择的算法的期望度或价值将会减小。比如,如果下载所选择的算法所需的时间大于从最后一次下载到现在的时间的1%,则网络处理器14将不会下载一个不同的算法到它的快速通路硬件中。当然,也可以使用大于或小于从最后一次下载起经过时间的1%的值。
如果网络处理器14根据价值函数确定不加载某个算法,它会返回生成分组和资源统计信息(块100)。另一方面,如果网络处理器14确定要加载一个算法,则它将采用任何用以更新其控制存储器的功能来将该算法加载到它的快速通路中(块110)。这些功能是众所周知的,在这里没有详细描述。
存储在存储器17中的安全算法数据库可以采用网络处理器软件开发者熟知的软件开发工具建立。例如,对SYN淹没攻击进行响应的算法会增加网络处理器14内的连接队列或缓存的大小,比如增加25%,或减小三路握手的超时等待时间,比如减小40%。
图3所示的是将图2所示动态网络安全技术用于TCP SYN攻击检测和响应的示例方法的流程图。如图3所示,网络处理器14在接收每一个分组后都要更新SYN速率统计信息(块200)。网络处理器14也更新连接队列统计信息(比如连接队列填充率)并且计算分配给每个连接的资源的百分比(块202)。当然,网络处理器14可以使用协处理单元16来执行生成与块200和202相关的信息、统计等所需的一个或多个计算。
更新通信分组和资源统计信息和其它信息后(块200和202),网络处理器14将SYN分组速率统计值与和TCP SYN攻击相关的预定阈值相比较(块204)。如果SYN分组速率统计值大于与TCP SYN攻击相关的阈值,则网络处理器14确定TCP SYN攻击正在进行。如果TCP SYN攻击正在进行,则网络处理器14计算一个优选地基于入口端口过滤算法(Ingress portfiltering algorithm)加载时间的价值函数(块206)。入口端口过滤算法是一种众所周知的处理TCP SYN攻击的技术,在此不详细描述。
然后网络处理器14确定价值函数的结果(比如加载时间)是否小于最后一次下载安全算法到网络处理器14的快速通路硬件起所经过时间的100倍(块208)。如果价值函数的结果大于或等于最后一次下载安全算法到网络处理器14的快速通路硬件起所经过时间的100倍,则网络处理器14返回,响应于接收到通信分组而更新SYN分组速率统计值(块200)。另一方面,如果网络处理器14确定价值函数的结果小于最后一次下载安全算法到网络处理器14的快速通路硬件起所经过时间的100倍,则网络处理器14把所选择的算法加载到网络处理器14的快速通路中,在这里是入口端口过滤算法(块210)。
如果网络处理器14确定SYN分组速率小于预定的阈值(块204),则它确定资源的使用率(比如,基于连接队列统计、分配给连接的资源百分比等)是否大于一个与TCP SYN攻击相关的预定阈值(块212)。如果网络处理器14确定资源的使用率小于或等于该阈值(块212),则它认为没有TCP SYN攻击在进行,并且返回去响应于接收到通信分组而更新SYN分组速率统计信息(块200)。另一方面,如果网络处理器14确定资源使用率大于该阈值(块212),则它认为有TCP SYN攻击正在进行,并且基于适当算法(例如,增加连接队列大小和/或减小三路握手的超时等待时间的算法)的加载时间计算价值函数。
计算价值函数后(比如,计算算法加载时间后),将价值函数的结果(在这个例子中是加载时间)与最后一次下载安全算法到网络处理器14的快速通路硬件起所经过时间的100倍进行比较(块208)。如果网络处理器14确定价值函数的结果小于最后一次下载安全算法到网络处理器14的快速通路硬件起所经过时间的100倍,则网络处理器加载该算法,增加连接队列的大小和/或减小三路握手的超时等待时间(块210)。否则,如果块214中计算的价值函数结果大于或等于最后一次下载安全算法到网络处理器14的快速通路硬件起所经过时间的100倍,则网络处理器14返回去更新SYN速率统计信息(块200)。
图2和图3中所描述的有关技术也可以用来实现把网络安全算法动态地下载(也就是在运行时下载)到虚拟专用网络(VPN)网关中的网络处理器中。例如,图1所示的系统10可以采用一个通过因特网22实现工作站24与工作站18和/或12之间的安全通信的VPN。在这种情况下,网络处理器14用作VPN的网关,从而使工作站18和/或工作站12中的应用程序或客户端能够通过因特网22以安全的方式与工作站24中的一个或多个应用程序进行通信。
图4是一个在网络处理器,比如图1所示与VPN相连接的网络处理器14内部实现动态网络安全的示例方法的流程图。图4中所描述的示例方法是基于互联网协议安全(IPsec)标准,这个标准定义了在分组处理层中使用的通信安全算法,并采用了因特网密钥交换(Internet key exchange,IKE)协议,这是一种公知的安全密钥协商协议,不过也可以采用其它的标准和协议。
如图4所示,网络处理器14监视输入IKE分组或者从系统10中的一个或多个客户端接收到的通信数据。当一个客户端,例如在工作站18中运行的一个应用程序,试图通过因特网22与工作站24中运行的一个应用程序建立通信时,该客户端与网关开始协商,在本例中是通过网络处理器14实现的。该协商包括包含IKE查询的IKE分组,网络处理器14把这个IKE查询解释为一个请求告诉客户端在网络处理器14和客户端之间建立通信时哪些安全算法可用的请求。
当意识到正在进行IKE查询时(块300),网络处理器14确定是否有一个以上的客户端已经连接到网络处理器14上(也就是说,VPN正由网络处理器14管理)。在图4中,为了示例的目的,把当前协商进行连接的客户端认为是一个已经连接的客户端。如果只有一个客户端连接到VPN,那么网络处理器14提供所有可用的安全算法给当前协商连接的VPN客户端。优选的,这些安全算法保存在存储器17内的数据库中。另外,优选的,这些安全算法包含所期望的任何配置为在网络处理器的快速通路硬件中运行的认证和加密算法。
另一方面,如果网络处理器14确定有多个客户端连接在VPN上,则它确定存储器17的数据库中那些没有下载到网络处理器14的安全算法中哪一个适合放到网络处理器14的快速通路硬件的代码存储器中(块306)。然后,网络处理器14将这个可以下载到网络处理器14的代码存储器中的附加算法(块306中所确定的)连同其它任何已经下载到网络处理器14的代码存储器中的算法一起提供给请求连接的客户端(块308)。
在网络处理器14给请求连接的客户端提供了可用算法(块304或308)后,网络处理器14等待IKE协商完成(块310)。协商完成时,请求连接的客户端已经选择了一个或多个在块304或块308中提供的算法。
然后,网络处理器14确定所提供的算法中哪一个被选择或协商(块312),并且确定所选择或协商的算法是否已经下载到网络处理器快速通路硬件的代码存储器中(块314)。如果被选择或协商的算法已经下载,则网络处理器14返回去监视输入IKE通信数据(块300)。另一方面,如果网络处理器14确定选择或协商的算法还没有下载,则网络处理器14将选择的算法下载到它的快速通路硬件中(块316)。
网络处理器14下载所选择的算法以后(块316),网络处理器14更新表示其快速通路中代码存储器剩余空间的值(块318)。同时,网络处理器14也会更新包含与已经下载并当前存储在网络处理器14快速通路硬件中的算法相关的信息的列表或其它数据结构(块320)。
这样,上面参考图4所述的技术使得在VPN中作为网关的网络处理器能够动态地加载(也就是运行时加载)和执行用于在网络处理器的快速通路中执行的一个或多个网络安全算法。这样,当客户端连接到VPN网关时,可以增加网关中由网络处理器下载和执行的不同安全算法的数量。同样的,当客户端从VPN断开时,可以减少下载到网络处理器快速通路硬件中的算法数量,并且从网络处理器快速通路硬件的存储器中清除的算法可以回收供以后使用。当然,如果很多客户端通过网关连接到VPN,某些或者所有的已连接客户端可以使用相同的算法,也可以每一个客户端都使用不同的算法(假定在网络处理器快速通路硬件的代码存储器中有足够的空间),或者多个由两个或多个客户端构成的组使用不同的算法。
更进一步的说,使用图4所述的技术,如果只有一个客户端连接到VPN,则这个客户端可以使用IKE通信与VPN网关开始一个协商来下载一个不同于当前已经下载的安全算法。例如,客户端可以要求一个能够提供更加严格的认证和/或加密机制的安全算法。
虽然在这里描述了几种根据本发明的原理实现的特定装置和方法,但是本发明的范围不限于此。相反地,本发明涵盖落在所附权利要求及其等同物的范围内的所有实施例。
权利要求
1.一种把安全算法加载到网络处理器的快速通路中的方法,包括从第一网络客户端接收与网络处理器连接的请求;为所述第一网络客户端提供多个可用的安全算法;根据由所述第一网路客户端进行的选择,来确定所述多个可用安全算法中的哪一个算法将被用来与所述第一客户端进行通信;以及把所述多个可用安全算法中将被用来与所述第一客户端进行通信的所选择的一个安全算法下载到网络处理器中。
2.根据权利要求1所述的方法,还包括确定第二网络客户端当前正与网络处理器连接,并且提供所述多个可用安全算法,从而把所述多个可用安全算法中的至少一个以前下载了的安全算法和一个未下载的安全算法提供给所述第一网络客户端。
3.根据权利要求1所述的方法,其中,从所述第一网络客户端接收与网络处理器连接的请求包括从所述第一网络客户端接收虚拟专用网络连接请求。
4.根据权利要求3所述的方法,其中,从所述第一网络客户端接收与虚拟专用网络连接的请求包括从所述第一网络客户端接收安全密匙交换信息。
5.根据权利要求1所述的方法,其中,为所述第一网络客户端提供所述多个可用安全算法包括为所述第一网络客户端提供认证和加密算法。
6.根据权利要求1所述的方法,其中,把所述多个可用安全算法中将被用来与所述第一网络客户端进行通信的一个安全算法下载到网络处理器中包括把所述多个可用安全算法中的一个加载到网络处理器的快速通路中。
7.一种网络通信设备,包括包含多个安全算法的存储器;以及与该存储器相连接的处理器,该处理器被编程为从第一网络客户端接收与处理器连接的请求;为所述第一网络客户端提供一组多个安全算法;根据由所述第一网络客户端进行的选择,来确定所述多个安全算法中哪一个算法将被用来与所述第一网络客户端进行通信;以及把所述多个安全算法中将被用来与所述第一网络客户端进行通信的一个下载到处理器中。
8.根据权利要求7所述的网络通信设备,其中,所述处理器确定第二网络客户端与该处理器连接,并且提供所述安全算法的集合,从而把所述安全算法集合中的至少一个以前下载了的安全算法和一个未下载的安全算法提供给所述第一网络客户端。
9.根据权利要求7所述的网络通信设备,其中,所述处理器用作到虚拟专用网络的网关。
10.根据权利要求7所述的网络通信设备,其中,所述处理器使用从所述第一网络客户端接收到的安全密匙交换信息来生成所述的安全算法集合。
11.根据权利要求7所述的网络通信设备,其中,所述多个安全算法包括认证和加密算法。
12.一种系统,其包括数据结构,用于存储多个安全算法;与所述数据结构相连的处理器,用于从第一网络客户端接收连接该处理器的请求,为所述第一网络客户端提供多个可用的安全算法,并且根据由所述第一网络客户端进行的选择,来确定所述多个可用安全算法中的哪一个将被用来与所述第一网络客户端进行通信;以及与所述处理器相连的快速通路分组处理单元,其中所述处理器将所述多个安全算法中的将被用来与所述第一网络客户端进行通信的所选择的一个下载到该快速通路分组处理单元中。
13.根据权利要求12所述的系统,其中,所述处理器确定第二网络客户端是否已与所述处理器连接,并且向所述第一网络客户端提供所述多个可用安全算法,从而把所述多个可用安全算法中的至少一个以前下载了的安全算法和一个未下载的安全算法提供给所述第一网络客户端。
14.根据权利要求12所述的系统,其中,所述处理器通过将所述多个可用安全算法中的所述一个加载到所述快速通路处理单元中,来将所述多个可用安全算法中将被用来与所述第一网络客户端进行通信的一个下载到所述处理器中。
15.一种处理器,其具有多个处理单元,其中这些处理单元中的第一处理单元从第一网络客户端接收连接该处理器的请求,为所述第一网络客户端提供多个可用安全算法,并且根据由所述第一网络客户端进行的选择,来确定所述多个可用安全算法中的哪一个将被选择用来与所述第一网络客户端进行通信,并且其中,所述多个处理单元中的第一处理单元与所述多个处理单元中的第二处理单元相连,并将所述多个可用安全算法中的所述选择的一个下载到所述多个处理单元中的第二处理单元中。
16.根据权利要求15所述的处理器,其中,所述多个处理单元中的第一处理单元确定第二网络客户端是否已与所述处理器连接,并且向所述第一网络客户端提供所述多个可用安全算法,从而将所述多个可用安全算法中的至少一个以前下载了的安全算法和一个未下载的安全算法提供给所述第一网络客户端。
17.根据权利要求15所述的处理器,其中,所述多个处理单元中的第一处理单元通过将所述多个可用安全算法中的所述一个加载到所述快速通路分组处理单元中,来将所述多个可用安全算法中将被用来与所述第一网络客户端进行通信的一个下载到所述多个处理单元中的第二处理单元中。
全文摘要
网络处理器的动态网络安全装置及方法。公布了一种把安全算法加载到网络处理器的快速通路中的方法,包括从第一网络客户端接收与网络处理器连接的请求;为第一网络客户端提供多个可用的安全算法;根据由第一网路客户端进行的选择,来确定多个可用安全算法中的哪一个算法将被用来与第一客户端进行通信;以及把多个可用安全算法中将被用来与第一客户端进行通信的所选择的一个安全算法下载到网络处理器中。
文档编号H04L29/06GK1809069SQ20061000735
公开日2006年7月26日 申请日期2003年8月29日 优先权日2002年10月25日
发明者苏海勒·艾哈迈德, 埃瑞克·J·约翰逊, 玛纳斯·戴福 申请人:英特尔公司