專利名稱:密碼引擎的聚集的制作方法
密碼引擎的聚集
背景技術(shù):
隧道傳輸協(xié)議可用于保護(hù)數(shù)據(jù)流量通過(guò)不安全網(wǎng)絡(luò)和/或攜帶數(shù)據(jù)流量通過(guò)不兼容網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)(VPN)可以使用隧道傳輸協(xié)議來(lái)保護(hù)不同位置間的通信以使得不同網(wǎng)絡(luò)位置看起來(lái)處于同一網(wǎng)絡(luò)上。隧道的傳統(tǒng)實(shí)施例已經(jīng)將單個(gè)網(wǎng)絡(luò)卡的單個(gè)端口用于跨越不安全網(wǎng)絡(luò)的不同網(wǎng)絡(luò)位置之間的通信。然而,單個(gè)端口可能具有有限帶寬并因此限制可通過(guò)虛擬隧道傳送的數(shù)據(jù)量。常規(guī)實(shí)施例聚集(aggregate)若干個(gè)物理以太網(wǎng)鏈路 (例如,第1層鏈路)來(lái)創(chuàng)建單個(gè)邏輯以太網(wǎng)鏈路。這允許由單個(gè)虛擬隧道使用多個(gè)數(shù)據(jù)端口以克服單個(gè)數(shù)據(jù)端口的帶寬限制。對(duì)多個(gè)數(shù)據(jù)端口的使用允許了虛擬隧道帶寬的增大。 例如,與使用具有10千兆比特每秒((ibit/s)的數(shù)據(jù)傳輸速率的單個(gè)端口的隧道相比,使用 4個(gè)10千兆比特每秒端口的虛擬隧道可以具有40千兆比特每秒的數(shù)據(jù)傳送速率。當(dāng)需要對(duì)數(shù)據(jù)分組加密來(lái)通過(guò)穿過(guò)網(wǎng)絡(luò)的隧道傳送數(shù)據(jù)時(shí),可能遇到額外的數(shù)據(jù)傳送限制。由于越來(lái)越多地使用需要由與網(wǎng)絡(luò)交換機(jī)相關(guān)聯(lián)的處理器進(jìn)行的加密的VPN,此加密引擎數(shù)據(jù)傳送限制在網(wǎng)絡(luò)中越來(lái)越普遍。另外,隨著計(jì)算能力提高,加密處理的復(fù)雜度提高以防止更快代碼破解計(jì)算機(jī)的代碼破解。例如,曾經(jīng)需要40比特加密密鑰的加密軟件現(xiàn)在可能需要上千比特的密鑰。更長(zhǎng)的密鑰防止現(xiàn)代代碼破解計(jì)算機(jī)危及加密的安全。這些更長(zhǎng)的密鑰增大了與網(wǎng)絡(luò)交換機(jī)相關(guān)聯(lián)的處理器上的負(fù)荷。行進(jìn)經(jīng)過(guò)一端口及其相關(guān)聯(lián)的網(wǎng)絡(luò)交換機(jī)的數(shù)據(jù)分組可以由有限速度的(一個(gè)或多個(gè))處理器來(lái)處理。與網(wǎng)絡(luò)交換器相關(guān)聯(lián)的(一個(gè)或多個(gè))處理器可以不以該端口的數(shù)據(jù)傳送速率進(jìn)行加密和/或解密。例如,一端口可能具有10千兆比特每秒的傳送速率, 但是卡的處理器可能僅能夠以1千兆比特每秒來(lái)加密或解密數(shù)據(jù)流量。因此,網(wǎng)絡(luò)交換機(jī)的加密和解密速度可能成為經(jīng)由虛擬隧道傳送的數(shù)據(jù)的瓶頸。
被并入說(shuō)明書中并構(gòu)成說(shuō)明書的一部分的附示出各種示例系統(tǒng)、方法以及本發(fā)明各方面的其他示例實(shí)施例。將理解,圖中所圖示出的要素邊界(例如,方框、方框的群組或其他形狀)代表邊界的一個(gè)示例。本領(lǐng)域普通技術(shù)人員將理解,在某些示例中,一個(gè)要素可以被設(shè)計(jì)為多個(gè)要素或者多個(gè)要素可以被設(shè)計(jì)為一個(gè)要素。在某些示例中,被示出為另一要素的內(nèi)部組件的要素可被實(shí)現(xiàn)為外部組件,反之亦然。此外,要素可能不是按比例繪制的。圖1圖示出與多個(gè)密碼引擎(cryptography engine)的聚集相關(guān)聯(lián)的示例裝置。圖2圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例裝置。圖3圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例裝置。圖4圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例環(huán)境。圖5圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例方法。圖6圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例方法。圖7圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例方法。
圖8圖示出其中示例系統(tǒng)和方法以及等同物可以操作的示例計(jì)算環(huán)境。
具體實(shí)施例方式在過(guò)去,網(wǎng)絡(luò)交換機(jī)上單個(gè)數(shù)據(jù)端口的帶寬限制一直是對(duì)虛擬隧道的限制因素。 然而,比如Ethercharmel 之類的系統(tǒng)通過(guò)多個(gè)端口在虛擬隧道上聚集流量,從而實(shí)現(xiàn)了比單個(gè)端口更高的數(shù)據(jù)傳送速率。聚集可以指鏈路聚集。鏈路聚集是在計(jì)算機(jī)聯(lián)網(wǎng)中用來(lái)描述并行地使用多個(gè)以太網(wǎng)網(wǎng)絡(luò)端口以逾越任一單個(gè)端口的限制來(lái)增大數(shù)據(jù)傳送速度的術(shù)語(yǔ)。在傳送安全數(shù)據(jù)時(shí),網(wǎng)絡(luò)交換機(jī)的加密和解密處理速度可能也是限制因素(例如,瓶頸)。網(wǎng)絡(luò)交換機(jī)可能在其處理能力方面受限并且可能不能夠像數(shù)據(jù)傳送速率那樣快地加密或解密數(shù)據(jù)?;诩用芎徒饷芩俣鹊臄?shù)據(jù)流量的聚集同樣可能化解瓶頸并提高需要數(shù)據(jù)安全性的安全網(wǎng)絡(luò)的速度。聚集或分裂不同網(wǎng)絡(luò)交換機(jī)間的數(shù)據(jù)隧道的網(wǎng)絡(luò)流量通過(guò)在引擎之間分裂流量而促進(jìn)了并行的加密和解密處理。并行處理涉及使用位于不同網(wǎng)絡(luò)交換機(jī)上的多個(gè)加密引擎的加密和解密。鏈路聚集可允許在兩個(gè)或更多個(gè)網(wǎng)絡(luò)交換機(jī)(例如,流出(outbound)交換機(jī))和 (一個(gè)或多個(gè))其他網(wǎng)絡(luò)交換機(jī)(例如,(一個(gè)或多個(gè))流入(inbound)交換機(jī))之間的多個(gè)物理網(wǎng)絡(luò)鏈路(例如,第1層鏈路)被視為單個(gè)邏輯鏈路。可用數(shù)據(jù)鏈路和/或處理器間的數(shù)據(jù)流量和/或加密處理的負(fù)荷平衡可以包括基于散列函數(shù)(hash function)來(lái)選擇鏈路。安全關(guān)聯(lián)(SA)包括與加密和解密相關(guān)聯(lián)的密碼信息。為了幫助共享密碼引擎,可能需要用于選擇SA的方法。因此,安全關(guān)聯(lián)同樣可作為散列函數(shù)的函數(shù)而被選擇。散列函數(shù)可對(duì)正經(jīng)由虛擬隧道傳送的數(shù)據(jù)分組的要素進(jìn)行散列。數(shù)據(jù)分組的要素可以是安全參數(shù)索引(SPI)、媒體訪問(wèn)控制地址(MAC)、因特網(wǎng)協(xié)議(IP)地址等。IP地址例如可以在數(shù)據(jù)分組與群組加密傳輸虛擬專用網(wǎng)絡(luò)(GetVPN)相關(guān)聯(lián)時(shí)被采用。散列函數(shù)可以隨機(jī)地分發(fā)數(shù)據(jù)分組,以使得用于邏輯鏈路的實(shí)際網(wǎng)絡(luò)速度或有效帶寬等于各個(gè)物理鏈路(例如,端口)的帶寬的和?;谏⒘泻瘮?shù)的分發(fā)(輔助了帶寬聚集)可以使得實(shí)際加密/解密速度等于密碼引擎的加密/解密速度的和。在一個(gè)流出示例中,密碼引擎的聚集包括接收將通過(guò)不安全網(wǎng)絡(luò)發(fā)送的流出數(shù)據(jù)分組。聚集可以描述并行地使用多個(gè)網(wǎng)絡(luò)交換機(jī)及其相關(guān)聯(lián)的處理器來(lái)加密和解密數(shù)據(jù)流量,以逾越單個(gè)網(wǎng)絡(luò)卡及其(一個(gè)或多個(gè))相關(guān)聯(lián)處理器的限制來(lái)提高數(shù)據(jù)傳送速度。流出數(shù)據(jù)分組可能需要來(lái)自密碼引擎的加密。流出數(shù)據(jù)分組可以從數(shù)據(jù)連接的流出側(cè)上的經(jīng)聚集的密碼虛擬群組(aggregated crypto virtual group, ACVG)接收。ACVG可以與分發(fā)數(shù)據(jù)以聚集帶寬相關(guān)聯(lián)。一邏輯可以分析流出數(shù)據(jù)分組以確定用于將流出數(shù)據(jù)分組選擇性地分發(fā)(例如,負(fù)荷平衡)到多個(gè)加密引擎之一的分發(fā)值。該分發(fā)值可利用散列函數(shù)來(lái)確定。將流出數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)加密引擎之一可以允許數(shù)據(jù)分組的并行加密并因此允許密碼引擎的聚集。經(jīng)加密的流出分組可跨越數(shù)據(jù)連接而被發(fā)送。在一個(gè)流入示例中,經(jīng)聚集的密碼引擎可以在數(shù)據(jù)連接的流入側(cè)上接收流入數(shù)據(jù)分組。流入數(shù)據(jù)分組可以是由數(shù)據(jù)連接的流出側(cè)上的網(wǎng)絡(luò)交換機(jī)發(fā)送的經(jīng)加密的數(shù)據(jù)分組。一邏輯可以檢查經(jīng)加密的流入數(shù)據(jù)分組的標(biāo)識(shí)符。標(biāo)識(shí)符可以是SPI、MAC地址等??梢詫?duì)標(biāo)識(shí)符執(zhí)行散列函數(shù)。散列函數(shù)的結(jié)果可被用來(lái)將數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流入處理器之一并因此分發(fā)到多個(gè)密碼引擎之一。將流入數(shù)據(jù)分組分發(fā)到多個(gè)流入處理器之一可以允許數(shù)據(jù)分組的并行解密并因此允許由流入處理器實(shí)現(xiàn)的密碼引擎的聚集。以下包括這里使用的所選術(shù)語(yǔ)的定義。定義包括落入術(shù)語(yǔ)范圍內(nèi)并且可被用于實(shí)現(xiàn)的組件的各種示例和/或形式。示例并非意欲進(jìn)行限制。術(shù)語(yǔ)的單復(fù)數(shù)形式都可以在定義范圍以內(nèi)。提到“一個(gè)實(shí)施例”、“實(shí)施例”、“一個(gè)示例”、“示例”等,指的是這樣描述的(一個(gè)
或多個(gè))實(shí)施例或(一個(gè)或多個(gè))示例可以包括特定特征、結(jié)構(gòu)、特性、屬性、要素或限制, 而不是每個(gè)實(shí)施例或示例都必須包括特定特征、結(jié)構(gòu)、特性、屬性、要素或限制。另外,對(duì)短語(yǔ)“在一個(gè)實(shí)施例中”的重復(fù)使用不一定指的是同一個(gè)實(shí)施例,盡管可能是這樣。圖1圖示出與聚集密碼引擎相關(guān)聯(lián)的裝置100。裝置100可以與硬件設(shè)備的流出側(cè)相關(guān)聯(lián)。裝置100可以包括用于接收與經(jīng)聚集的密碼虛擬群組(ACVG)相關(guān)聯(lián)的數(shù)據(jù)分組115的接收邏輯110。ACVG可以與在分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)中分發(fā)數(shù)據(jù)以聚集帶寬相關(guān)聯(lián)。ACVG可以聚集若干條物理鏈路(例如,第1層鏈路)以創(chuàng)建單個(gè)邏輯鏈路。在一個(gè)示例中,物理鏈路可以是以太網(wǎng)鏈路,盡管本領(lǐng)域技術(shù)人員理解可以采用其他的物理鏈路。這幫助由單個(gè)虛擬隧道來(lái)使用多個(gè)數(shù)據(jù)端口以克服單個(gè)數(shù)據(jù)端口的帶寬限制。在另一示例中,ACVG可以聚集多個(gè)加密引擎以允許數(shù)據(jù)流量的并行加密和解密處理。這幫助提高通過(guò)虛擬隧道的加密的速度。裝置100還可以包括用于生成與數(shù)據(jù)分組115相關(guān)聯(lián)的散列值的散列邏輯120。 這里關(guān)于圖1、2和3使用的“邏輯”包括但不限于硬件、固件、在機(jī)器上執(zhí)行的軟件和/或它們的組合,用于執(zhí)行(一個(gè)或多個(gè))功能或(一個(gè)或多個(gè))動(dòng)作和/或用于促成來(lái)自另一邏輯、方法和/或系統(tǒng)的功能或動(dòng)作。邏輯可以包括由軟件控制的微處理器、離散邏輯(例如 ASIC)、模擬電路、數(shù)字電路、編程邏輯器件、包含指令的存儲(chǔ)設(shè)備等等。邏輯可以包括一個(gè)或多個(gè)門電路、門電路的組合或者其他電路組件。在描述了多個(gè)邏輯上的(logical)邏輯的情況下,可能能夠?qū)⑦@多個(gè)邏輯上的邏輯合并到一個(gè)物理的邏輯中。類似地,在描述了單個(gè)邏輯上的邏輯的情況下,可能能夠在多個(gè)物理的邏輯之間分發(fā)該單個(gè)邏輯上的邏輯。散列值可以基于數(shù)據(jù)分組115的要素。數(shù)據(jù)分組115的要素可以是安全參數(shù)索引(SPI)。SPI 是在將因特網(wǎng)協(xié)議安全性(IPkc)用于隧道傳輸IP流量時(shí)被添加到頭部的標(biāo)識(shí)標(biāo)簽。散列值可以通過(guò)如下的散列函數(shù)來(lái)生成該散列函數(shù)將數(shù)據(jù)分組115的要素變?yōu)榭捎米饔糜诜职l(fā)數(shù)據(jù)分組115的索引的相對(duì)小的整數(shù)(例如,散列值)。裝置100還可以包括用于存儲(chǔ)一組散列值和多個(gè)密碼引擎135之間的一組映射的流出映射數(shù)據(jù)存儲(chǔ)庫(kù)130。這里使用的“數(shù)據(jù)存儲(chǔ)庫(kù)”指代能夠存儲(chǔ)數(shù)據(jù)的物理和/或邏輯實(shí)體。數(shù)據(jù)存儲(chǔ)庫(kù)例如可以是數(shù)據(jù)庫(kù)、表、文件、列表、隊(duì)列、堆、存儲(chǔ)器、寄存器等。在不同示例中,數(shù)據(jù)存儲(chǔ)庫(kù)可以駐留在一個(gè)物理和/或邏輯實(shí)體中和/或可以分布在兩個(gè)或更多個(gè)物理和/或邏輯實(shí)體之間。裝置100還可以包括用于至少部分地基于散列值和這組映射來(lái)將數(shù)據(jù)分組115選擇性地分發(fā)到多個(gè)密碼引擎135之一的分發(fā)邏輯140。密碼引擎145然后可以加密數(shù)據(jù)分組115以供跨越與ACVG相關(guān)聯(lián)的數(shù)據(jù)連接150的安全分發(fā)。對(duì)數(shù)據(jù)分組115的選擇性分發(fā)可以實(shí)現(xiàn)多個(gè)密碼引擎135之間的對(duì)數(shù)據(jù)分組115的加密的負(fù)荷平衡。散列值可被用來(lái)在多個(gè)密碼引擎135之間均等地和/或以某種其他方式分發(fā)數(shù)據(jù)分組115。這使得不同的密碼引擎執(zhí)行總體處理的一些部分。多個(gè)密碼引擎被均等地和/或以另一種方式使用是加密負(fù)荷平衡的示例。在一個(gè)實(shí)施例中,接收邏輯110、散列邏輯120、分發(fā)邏輯140等被包含在Kherchannel (以太信道)邏輯中。在一個(gè)實(shí)施例中,裝置100可以包括用于創(chuàng)建一組安全關(guān)聯(lián)(SOSA)的聚集邏輯 160。SOSA實(shí)現(xiàn)聯(lián)網(wǎng)設(shè)備之間通過(guò)與數(shù)據(jù)連接150相關(guān)聯(lián)的多個(gè)信道的安全通信。安全關(guān)聯(lián)(SA)是對(duì)安全參數(shù)的邏輯上的群組劃分,安全參數(shù)包括密碼密鑰、初始化向量、數(shù)字證書等。在一個(gè)實(shí)施例中,SA用于在兩個(gè)網(wǎng)絡(luò)之間共享安全信息。在該實(shí)施例中,數(shù)據(jù)分組包括安全參數(shù)索引(SPI)頭部,該SPI頭部包括在不同數(shù)據(jù)流量流的SOSA之間進(jìn)行區(qū)分的信息。SPI包括用于針對(duì)數(shù)據(jù)流量流識(shí)別數(shù)據(jù)加密規(guī)則和數(shù)據(jù)驗(yàn)證規(guī)則的數(shù)據(jù)。在一個(gè)實(shí)施例中,聚集邏輯160用于控制經(jīng)加密的第3層(U)交換幀在數(shù)據(jù)連接 150上的傳輸。經(jīng)加密的L3交換幀可以是由多個(gè)密碼引擎145之一來(lái)加密的。L3交換幀可以包括數(shù)據(jù)有效載荷和安全參數(shù)索引(SPI)頭部。L3網(wǎng)絡(luò)協(xié)議是定義用于實(shí)現(xiàn)七層協(xié)議的聯(lián)網(wǎng)架構(gòu)的開放系統(tǒng)互連(OSI)模型的一部分。該模型中的控制從一層被傳遞到下一層,在第七層處開始并且前進(jìn)到第一層。從第七層到第一層是應(yīng)用層、表示層、會(huì)話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層。L3層是網(wǎng)絡(luò)層。在一個(gè)實(shí)施例中,數(shù)據(jù)連接150可以是與虛擬專用網(wǎng)絡(luò)(VPN)相關(guān)聯(lián)的隧道(例如,虛擬隧道)。隧道可以使用第2層隧道傳輸協(xié)議(L2TP)和/或因特網(wǎng)協(xié)議安全性 (IPSec)。隧道可以是通過(guò)網(wǎng)絡(luò)170連接兩個(gè)網(wǎng)絡(luò)的虛擬隧道。圖2圖示出與密碼引擎的聚集相關(guān)聯(lián)的裝置200。裝置200包括用于接收與ACVG 相關(guān)聯(lián)的加密數(shù)據(jù)分組215的多個(gè)接收輸入端口(RIP)210。裝置200可以包括用于存儲(chǔ)在散列值和解密引擎之間的一組映射的流入映射數(shù)據(jù)存儲(chǔ)庫(kù)220。存儲(chǔ)在流入映射數(shù)據(jù)存儲(chǔ)庫(kù)220中的數(shù)據(jù)可以決定將加密數(shù)據(jù)分組215發(fā)送到哪個(gè)解密引擎以進(jìn)行解密??梢允褂枚鄠€(gè)解密引擎235以提高通過(guò)虛擬隧道行進(jìn)的數(shù)據(jù)的加密和/或解密速度。這樣,解密引擎235可被聚集。這可以通過(guò)并行處理來(lái)完成。在一個(gè)實(shí)施例中,解密引擎用于基于與安全參數(shù)索引(SPI)相關(guān)聯(lián)的信息來(lái)對(duì)加密數(shù)據(jù)分組215進(jìn)行解密。裝置200可以包括檢查邏輯230。檢查邏輯230可以至少部分地基于加密數(shù)據(jù)分組215中的要素來(lái)確定加密數(shù)據(jù)分組215的散列值。在一個(gè)實(shí)施例中,確定散列值所基于的加密數(shù)據(jù)分組215的要素是安全參數(shù)索引(SPI)。檢查邏輯230可以至少部分地基于散列值和存儲(chǔ)在數(shù)據(jù)存儲(chǔ)庫(kù)220中的映射將加密數(shù)據(jù)分組215從多個(gè)RIP 210之一選擇性地分發(fā)到多個(gè)解密引擎235之一。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到可以加密僅一部分的數(shù)據(jù)分組。例如,數(shù)據(jù)分組215的頭部可以不被加密以允許頭部通過(guò)網(wǎng)絡(luò)來(lái)傳遞數(shù)據(jù)分組215。多個(gè)RIP 210可位于網(wǎng)絡(luò)卡和/或網(wǎng)絡(luò)交換機(jī)上。 RIP 210可以是將網(wǎng)絡(luò)卡和/或網(wǎng)絡(luò)交換機(jī)連接到外部網(wǎng)絡(luò)的端口。在一個(gè)實(shí)施例中,裝置200包括用于創(chuàng)建在散列值和多個(gè)解密引擎235之間的一組映射的映射邏輯250。映射邏輯250將在散列值和多個(gè)解密引擎235之間的這組映射提供給流入映射數(shù)據(jù)存儲(chǔ)庫(kù)220??赏ㄟ^(guò)使用不同的安全關(guān)聯(lián)來(lái)使反重放(anti-replay)攻擊無(wú)效。不同的安全關(guān)聯(lián)可作為散列的函數(shù)而被選擇。在一個(gè)示例中,安全關(guān)聯(lián)可具有其自己的反重放窗口。圖3圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例裝置300。裝置300可以包括與圖1 的裝置100和圖2的裝置200相類似的元件。數(shù)據(jù)連接302可以是通過(guò)如因特網(wǎng)之類的網(wǎng)絡(luò)304行進(jìn)的虛擬專用網(wǎng)絡(luò)(VPN)的隧道。裝置300包括用于接收與ACVG相關(guān)聯(lián)的加密數(shù)據(jù)分組的多個(gè)接收輸入端口 (RIP) 310。裝置300可以包括用于存儲(chǔ)在散列值和解密引擎335之間的一組映射的流入映射數(shù)據(jù)存儲(chǔ)庫(kù)320。裝置300可以包括檢查邏輯330。檢查邏輯330可以至少部分地基于加密數(shù)據(jù)分組的要素來(lái)確定加密數(shù)據(jù)分組的散列值。檢查邏輯330還可以至少部分地基于散列值和流入映射數(shù)據(jù)存儲(chǔ)庫(kù)320中的映射將加密數(shù)據(jù)分組從多個(gè)RIP 310之一選擇性地分發(fā)到多個(gè)解密引擎335之一。RIP 310可以類似于圖2中的RIP 210。流入映射數(shù)據(jù)存儲(chǔ)庫(kù)320可以類似于圖2中的流入映射數(shù)據(jù)存儲(chǔ)庫(kù)220。檢查邏輯330可以類似于圖2中的檢查邏輯 230。裝置300還可以包括用于接收與數(shù)據(jù)連接302的流出側(cè)上的ACVG相關(guān)聯(lián)的數(shù)據(jù)分組的接收邏輯340。裝置300還可以包括用于生成與數(shù)據(jù)分組相關(guān)聯(lián)的流出散列值的散列邏輯350。流出散列值是基于要加密并發(fā)送的數(shù)據(jù)分組中的要素的。裝置300還可以包括用于存儲(chǔ)在一組散列值和多個(gè)密碼引擎365之間的一組映射的流出映射數(shù)據(jù)存儲(chǔ)庫(kù)360。映射例如可以由映射邏輯250來(lái)提供。因此,在一個(gè)示例中, 裝置300還可以包括映射邏輯250。裝置300還可以包括至少部分地基于流出散列值將數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)密碼引擎365之一的分發(fā)邏輯370。密碼引擎可將數(shù)據(jù)分組加密成加密數(shù)據(jù)分組以供跨越與ACVG相關(guān)聯(lián)的數(shù)據(jù)連接302進(jìn)行安全分發(fā)。接收邏輯340可以類似于圖1中的接收邏輯110。散列邏輯350可以類似于圖1中的散列邏輯120。流出映射數(shù)據(jù)存儲(chǔ)庫(kù)360可以類似于圖1中的流出映射數(shù)據(jù)存儲(chǔ)器130。分發(fā)邏輯370可以類似于圖1中的分發(fā)邏輯 140。圖4圖示出與密碼引擎的聚集相關(guān)聯(lián)的示例環(huán)境400。示例環(huán)境400包括流出網(wǎng)絡(luò)交換機(jī)410和流入網(wǎng)絡(luò)交換機(jī)430。流出網(wǎng)絡(luò)交換機(jī)410和流入網(wǎng)絡(luò)交換機(jī)430可位于不同的物理位置并且經(jīng)由網(wǎng)絡(luò)450彼此進(jìn)行通信。流出網(wǎng)絡(luò)交換機(jī)410可以包括用于對(duì)通過(guò)網(wǎng)絡(luò)450傳遞到流入網(wǎng)絡(luò)交換機(jī)430的數(shù)據(jù)分組進(jìn)行加密的加密引擎420。流入網(wǎng)絡(luò)交換機(jī)430可以包括用于對(duì)通過(guò)網(wǎng)絡(luò)450從流出網(wǎng)絡(luò)交換機(jī)410傳遞來(lái)的數(shù)據(jù)分組進(jìn)行解密的解密引擎440。虛擬隧道460可以通過(guò)網(wǎng)絡(luò)450傳送數(shù)據(jù)分組。虛擬隧道460可以與虛擬專用網(wǎng)絡(luò)(VPN)相關(guān)聯(lián)。虛擬隧道460可以允許用戶查看VPN上的數(shù)據(jù)就好像數(shù)據(jù)是在同一物理網(wǎng)絡(luò)(例如,同一物理位置)上一樣。然而,數(shù)據(jù)可能實(shí)際上在另一網(wǎng)絡(luò)上。例如,在流入網(wǎng)絡(luò)交換機(jī)430(例如,用戶網(wǎng)絡(luò)交換機(jī))上的用戶看來(lái),流出網(wǎng)絡(luò)交換機(jī)410上的數(shù)據(jù)可以就好像駐留在流入網(wǎng)絡(luò)交換機(jī)430上一樣。即使網(wǎng)絡(luò)450位于流出網(wǎng)絡(luò)交換機(jī)410 和流入網(wǎng)絡(luò)交換機(jī)430之間,該情況也發(fā)生??梢詫?duì)通過(guò)網(wǎng)絡(luò)450行進(jìn)的數(shù)據(jù)分組無(wú)縫地 (seamlessly)執(zhí)行加密和數(shù)據(jù)驗(yàn)證。例如,可以在用戶未請(qǐng)求的情況下,或者在用戶不知道的某些情況下,在后臺(tái)執(zhí)行加密和數(shù)據(jù)驗(yàn)證。數(shù)據(jù)驗(yàn)證可以包括校驗(yàn)并證實(shí)數(shù)據(jù)在經(jīng)過(guò)網(wǎng)絡(luò)450時(shí)未被改變。可以參考流程圖來(lái)更好地理解示例方法。雖然出于簡(jiǎn)化說(shuō)明的目的,所圖示的方法被示出并描述為一系列塊,但是應(yīng)理解,方法不受塊的順序限制,因?yàn)槟承K可能按不同順序發(fā)生和/或與所描述并示出的塊中的其他塊同時(shí)發(fā)生。此外,可能需要比所圖示的塊更少的塊來(lái)實(shí)現(xiàn)示例方法。塊可以被組合或分離到多個(gè)組件中。此外,附加和/或替代方法可采用附加的未圖示出的塊。以下的詳細(xì)描述的某些部分是按照對(duì)存儲(chǔ)器中的數(shù)據(jù)比特的操作的算法和符號(hào)表示而呈現(xiàn)的。這些算法描述和表示被本領(lǐng)域技術(shù)人員用來(lái)向他人傳達(dá)其工作的實(shí)質(zhì)。算法在這里并且在一般意義上被認(rèn)為是產(chǎn)生結(jié)果的操作序列。操作可以包括對(duì)物理量的物理操縱。通常(盡管并非必要),物理量采用能夠被存儲(chǔ)、傳送、組合、比較、或者以其他方式在邏輯上被操縱等的電或磁信號(hào)的形式。物理操縱產(chǎn)生具體的、有形的、有用的、實(shí)際的結(jié)果。這里使用的“信號(hào)”包括但不限于電信號(hào)、光信號(hào)、模擬信號(hào)、數(shù)字信號(hào)、數(shù)據(jù)、計(jì)算機(jī)指令、處理器指令、消息、比特、比特流或者能夠被接收、發(fā)送和/或檢測(cè)的其他手段。主要出于通用的原因,將這些信號(hào)稱作比特、值、要素、符號(hào)、字符、項(xiàng)、數(shù)字等不時(shí)被證明是方便的。然而,應(yīng)記住,這些術(shù)語(yǔ)以及類似術(shù)語(yǔ)將與合適的物理量相關(guān)聯(lián)并且僅僅是應(yīng)用于這些量的便利標(biāo)簽。除非特別說(shuō)明,否則應(yīng)理解,貫穿整個(gè)說(shuō)明書,包括處理、計(jì)算、確定等在內(nèi)的術(shù)語(yǔ)指代計(jì)算機(jī)系統(tǒng)、邏輯、處理器或操縱并變換被表示為物理(電子) 量的數(shù)據(jù)的類似電子設(shè)備的動(dòng)作和處理。圖5圖示出與加密引擎的聚集相關(guān)聯(lián)的方法500。方法500可以包括在510接收流出數(shù)據(jù)分組。流出數(shù)據(jù)分組可以是來(lái)自數(shù)據(jù)連接的流出側(cè)上的經(jīng)聚集的密碼虛擬群組 (ACVG)的。方法500還可以包括在520分析流出數(shù)據(jù)分組。可以執(zhí)行在520處的分析流出數(shù)據(jù)分組來(lái)確定分發(fā)值。分發(fā)值可以是對(duì)流出數(shù)據(jù)分組中的要素執(zhí)行的散列函數(shù)的結(jié)果。散列函數(shù)的結(jié)果可以是可用來(lái)分發(fā)流出數(shù)據(jù)分組的索引。在一個(gè)實(shí)施例中,分發(fā)值是基于流出數(shù)據(jù)分組中的要素的第一散列值。標(biāo)識(shí)符可以被散列函數(shù)處理以產(chǎn)生第二散列值。第一散列值將流出數(shù)據(jù)分組映射到流出處理器。第二散列值將流入數(shù)據(jù)分組映射到流入處理器。散列函數(shù)可以至少部分地基于SPI來(lái)生成散列值。方法500還可以包括在530至少部分地基于分發(fā)值將流出數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流出處理器之一。流出處理器可以是在流出數(shù)據(jù)分組經(jīng)過(guò)不安全網(wǎng)絡(luò)之前對(duì)其進(jìn)行加密的加密引擎??梢詧?zhí)行向流出處理器的選擇性分發(fā)以在多個(gè)加密引擎之間對(duì)加密處理進(jìn)行負(fù)荷平衡,從而允許對(duì)多個(gè)數(shù)據(jù)分組的并行處理。這提高了網(wǎng)絡(luò)的有效數(shù)據(jù)加密速度并提高了網(wǎng)絡(luò)速度。在一個(gè)實(shí)施例中,流出處理器用于對(duì)流出數(shù)據(jù)分組進(jìn)行加密以供跨越數(shù)據(jù)連接進(jìn)行安全傳輸。方法500還可以包括在540發(fā)送流出數(shù)據(jù)分組。流出數(shù)據(jù)分組可以是經(jīng)過(guò)了對(duì)流出數(shù)據(jù)分組進(jìn)行加密的流出處理器的處理的。流出數(shù)據(jù)分組可跨越數(shù)據(jù)連接而被發(fā)送。數(shù)據(jù)連接可以是需要加密來(lái)維護(hù)數(shù)據(jù)保密性的不安全數(shù)據(jù)連接。在一個(gè)實(shí)施例中,數(shù)據(jù)連接是VPN。VPN可以利用虛擬隧道來(lái)跨越不安全網(wǎng)絡(luò)無(wú)縫地傳送數(shù)據(jù)。方法500還可以包括在550接收流入數(shù)據(jù)分組。可以在550處在數(shù)據(jù)連接的流入側(cè)上接收流入數(shù)據(jù)分組。方法500還可以包括在560檢查流入數(shù)據(jù)分組??梢栽?60檢查流入數(shù)據(jù)分組的標(biāo)識(shí)符。標(biāo)識(shí)符可以是SPI、頭部、數(shù)據(jù)分組的片段等。標(biāo)識(shí)符可被散列函數(shù)用來(lái)確定可用作分發(fā)索引的散列值。方法500還可以包括在570選擇性地分發(fā)流入數(shù)據(jù)分組。在570處的選擇性地分發(fā)流入數(shù)據(jù)分組可以涉及至少部分地基于標(biāo)識(shí)符和/或分發(fā)索引將流入數(shù)據(jù)分組分發(fā)到多個(gè)流入處理器之一。在一個(gè)實(shí)施例中,流入處理器用于對(duì)流入數(shù)據(jù)分組進(jìn)行解密。雖然圖5圖示出串行發(fā)生的多個(gè)動(dòng)作,但是應(yīng)理解,圖5中圖示出的多個(gè)動(dòng)作可以實(shí)質(zhì)上并行地發(fā)生。為了說(shuō)明,第一處理可以在510接收流出數(shù)據(jù)分組,第二處理可以在 530選擇性地分發(fā)流出數(shù)據(jù)分組,第三處理可以在550接收流入數(shù)據(jù)分組,并且第四處理可以在570選擇性地分發(fā)流入數(shù)據(jù)分組。雖然描述了四個(gè)處理,但是應(yīng)理解,更多和/或更少數(shù)目的處理可被采用,并且輕型處理、正規(guī)處理、線程以及其他方法可被采用。在一個(gè)示例中,與執(zhí)行方法相關(guān)聯(lián)的可執(zhí)行指令可被體現(xiàn)為編碼在一個(gè)或多個(gè)有形介質(zhì)中以供執(zhí)行的邏輯。當(dāng)被執(zhí)行時(shí),指令可以執(zhí)行方法。因此,在一個(gè)示例中,編碼在一個(gè)或多個(gè)有形介質(zhì)中的邏輯可以存儲(chǔ)如下的計(jì)算機(jī)可執(zhí)行指令這些計(jì)算機(jī)可執(zhí)行指令在被機(jī)器(例如處理器)執(zhí)行的情況下使得該機(jī)器執(zhí)行與密碼引擎的聚集相關(guān)聯(lián)的方法。雖然與上述方法相關(guān)聯(lián)的可執(zhí)行指令被描述為作為編碼在一個(gè)或多個(gè)有形介質(zhì)中的邏輯而被體現(xiàn),但是應(yīng)理解,與這里描述的其他示例方法相關(guān)聯(lián)的可執(zhí)行指令也可以被存儲(chǔ)在有形介質(zhì)上。這里使用的“有形介質(zhì)”指存儲(chǔ)信號(hào)、指令和/或數(shù)據(jù)的介質(zhì)。有形介質(zhì)可以采用包括但不限于非易失性介質(zhì)和易失性介質(zhì)的形式。非易失性介質(zhì)例如可以包括光盤、磁盤等。易失性介質(zhì)例如可以包括半導(dǎo)體存儲(chǔ)器、動(dòng)態(tài)存儲(chǔ)器等。有形介質(zhì)的常見(jiàn)形式可以包括但不限于軟盤、撓性盤、硬盤、磁帶、其他磁介質(zhì)、專用集成電路(ASIC)、緊致盤CD、其他光介質(zhì)、隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、存儲(chǔ)芯片或卡、存儲(chǔ)棒,以及計(jì)算機(jī)、 處理器或其他電子設(shè)備能夠從其進(jìn)行讀取的其他介質(zhì)。圖6圖示出與密碼引擎的聚集相關(guān)聯(lián)的方法500的另一實(shí)施例。方法500的該實(shí)施例還可以包括在625建立流出映射。在625處建立流出映射可以包括在一組分發(fā)值和多個(gè)流出處理器之間建立映射。映射可以將與流出數(shù)據(jù)分組的散列函數(shù)相關(guān)聯(lián)的索引映射到多個(gè)流出處理器。圖7圖示出與密碼引擎的聚集相關(guān)聯(lián)的方法500的另一實(shí)施例。方法500的該實(shí)施例還可以包括在765建立流入映射。在765處建立流入映射可以包括在一組標(biāo)識(shí)符和多個(gè)流入處理器之間建立映射。映射可以將與散列函數(shù)相關(guān)聯(lián)的索引映射到多個(gè)流入處理器。在一個(gè)實(shí)施例中,流出映射包括在多個(gè)流出處理器和流入映射的多個(gè)流入處理器之間
的一一對(duì)應(yīng)關(guān)系。圖8圖示出這里描述的示例系統(tǒng)和方法以及等同物可在其中操作的示例計(jì)算設(shè)備。示例計(jì)算設(shè)備可以是包括通過(guò)總線808可操作地連接的處理器802、存儲(chǔ)器804和輸入 /輸出端口 810的計(jì)算機(jī)800?!翱刹僮鞯倪B接”或者實(shí)體被“可操作地連接”所憑借的連接是其中信號(hào)、物理通信和/或邏輯通信可被發(fā)送和/或接收的連接??刹僮鞯倪B接可以包括物理接口、電接口和/或數(shù)據(jù)接口??刹僮鞯倪B接可以包括足以允許可操作的控制的接口和/或連接的不同組合。例如,兩個(gè)實(shí)體可被可操作地連接以直接地或通過(guò)一個(gè)或多個(gè)中間實(shí)體(例如,處理器、操作系統(tǒng)、邏輯、軟件)向彼此傳送信號(hào)。可以使用邏輯和/或物理通信信道來(lái)創(chuàng)建可操作的連接。在一個(gè)示例中,計(jì)算機(jī)800可以包括被配置為幫助密碼引擎的聚集的分發(fā)邏輯830。在不同示例中,分發(fā)邏輯830可以用硬件、軟件、固件和/或它們的組合來(lái)實(shí)現(xiàn)。雖然邏輯830被圖示出為附接到總線808的硬件組件,但是應(yīng)理解,在一個(gè)示例中,分發(fā)邏輯830可以在處理器802中被實(shí)現(xiàn)。因此,邏輯830可以提供用于生成與數(shù)據(jù)連接的流出側(cè)上的流出數(shù)據(jù)分組相關(guān)聯(lián)的流出散列值的手段(例如,硬件、軟件、固件)。流出散列值是基于流出數(shù)據(jù)分組中的要素的。該手段例如可被實(shí)現(xiàn)為被編程來(lái)聚集密碼引擎的ASIC。該手段還可以被實(shí)現(xiàn)為作為臨時(shí)存儲(chǔ)在存儲(chǔ)器804上并且然后被處理器802執(zhí)行的數(shù)據(jù)816而被呈現(xiàn)給計(jì)算機(jī)800的計(jì)算機(jī)可執(zhí)行指令。邏輯830還可以提供用于至少部分地基于流出散列值將流出數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)密碼引擎之一的手段(例如,硬件、軟件、固件)。密碼引擎用于將數(shù)據(jù)分組加密到加密數(shù)據(jù)分組中以供跨越與ACVG相關(guān)聯(lián)的數(shù)據(jù)連接進(jìn)行安全分發(fā)。邏輯830還可以提供用于接收數(shù)據(jù)連接的流入側(cè)上的流入數(shù)據(jù)分組的手段(例如,硬件、軟件、固件)。邏輯830還可以提供用于檢查流入數(shù)據(jù)分組的標(biāo)識(shí)符的手段(例如,硬件、軟件、固件)。邏輯830還可以提供用于至少部分地基于標(biāo)識(shí)符將流入數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流入解密引擎之一的手段(例如,硬件、軟件、固件)。在一般地描述計(jì)算機(jī)800的示例配置的情況下,處理器802可以是各種不同的處理器,包括雙微處理器以及其他多處理器體系結(jié)構(gòu)。存儲(chǔ)器804可以包括易失性存儲(chǔ)器和 /或非易失性存儲(chǔ)器。非易失性存儲(chǔ)器例如可以包括ROM、可編程ROM(PROM)等。易失性存儲(chǔ)器例如可以包括RAM、靜態(tài)RAM(SRAM)、動(dòng)態(tài)RAM(DRAM)等。例如經(jīng)由輸入/輸出接口(例如,卡、設(shè)備)818和輸入/輸出端口 810,盤806可被可操作地連接到計(jì)算機(jī)800。盤806例如可以是磁盤驅(qū)動(dòng)器、固態(tài)盤驅(qū)動(dòng)器、軟盤驅(qū)動(dòng)器、 磁帶驅(qū)動(dòng)器、Zip驅(qū)動(dòng)器、閃存卡、存儲(chǔ)棒等。此外,盤806可以是⑶-ROM驅(qū)動(dòng)器、⑶可記錄(CD-R)驅(qū)動(dòng)器、CD可覆寫(CD-R)驅(qū)動(dòng)器、數(shù)字多功能盤和/或數(shù)字視頻盤只讀存儲(chǔ)器 (DVD ROM)等。存儲(chǔ)器804例如可以存儲(chǔ)進(jìn)程814和/或數(shù)據(jù)816。盤806和/或存儲(chǔ)器 804可以存儲(chǔ)控制并分配計(jì)算機(jī)800的資源的操作系統(tǒng)??偩€808可以是單個(gè)內(nèi)部總線互連體系結(jié)構(gòu)和/或其他總線或網(wǎng)格體系結(jié)構(gòu)。雖然圖示出單個(gè)總線,但是應(yīng)理解,計(jì)算機(jī)800可以利用其他總線(例如,外圍組件互連極速 (PCIE)、1394、通用串行總線(USB)、以太網(wǎng))與各種設(shè)備、邏輯以及外圍設(shè)備通信??偩€808 可以是如下的類型這些類型例如包括存儲(chǔ)器總線、存儲(chǔ)器控制器、外圍總線、外部總線、縱橫開關(guān)和/或局部總線。計(jì)算機(jī)800可以經(jīng)由I/O接口 818和輸入/輸出端口 810與輸入/輸出設(shè)備交互。 輸入/輸出設(shè)備例如可以是鍵盤、麥克風(fēng)、點(diǎn)選設(shè)備、相機(jī)、視頻卡、顯示器、盤806、網(wǎng)絡(luò)設(shè)備820等。輸入/輸出端口 810例如可以包括串行端口、并行端口和USB端口。計(jì)算機(jī)800可以在網(wǎng)絡(luò)環(huán)境中操作并因此可經(jīng)由I/O接口 818和/或I/O端口 810連接到網(wǎng)絡(luò)設(shè)備820。通過(guò)網(wǎng)絡(luò)設(shè)備820,計(jì)算機(jī)800可與網(wǎng)絡(luò)交互。通過(guò)網(wǎng)絡(luò),計(jì)算機(jī) 800可在邏輯上連接到遠(yuǎn)程計(jì)算機(jī)。計(jì)算機(jī)800可與之交互的網(wǎng)絡(luò)包括但不限于LAN、WAN 和其他網(wǎng)絡(luò)。雖然通過(guò)描述示例說(shuō)明了示例系統(tǒng)、方法等,并且雖然相當(dāng)詳細(xì)地描述了這些示例,但是申請(qǐng)人并非意欲將隨附權(quán)利要求的范圍約束或以任何方式限制到如此之細(xì)。當(dāng)然, 不可能出于描述這里記載的系統(tǒng)、方法等的目的描述出組件或方法的所有可想到的組合。 因此,本發(fā)明不限于所示出并描述的特定細(xì)節(jié)、代表性裝置和說(shuō)明性示例。因此,本申請(qǐng)意欲包含落入隨附權(quán)利要求范圍內(nèi)的變更、修改和變體。關(guān)于在具體實(shí)施方式
或權(quán)利要求書中采用術(shù)語(yǔ)“包含”或“包含著”的范圍,它意欲以類似于術(shù)語(yǔ)“包括”(如該術(shù)語(yǔ)被用作權(quán)利要求中的過(guò)渡詞時(shí)所理解的那樣)的方式是包含性的。關(guān)于在具體實(shí)施方式
或權(quán)利要求書中采用術(shù)語(yǔ)“或”(例如,A或B)的范圍,它意欲表示“A或B或二者”。當(dāng)申請(qǐng)人意欲指示“僅A或B而非二者”時(shí),術(shù)語(yǔ)“僅A或B而非二者”將被采用。因此,這里對(duì)術(shù)語(yǔ)“或”的使用是包含性的而非排他性的使用。參見(jiàn),Bryan A. Garner 的 A Dictionary of Modern Legal Usage 624(2d. Ed. 1995)。關(guān)于這里采用短語(yǔ)“A、B和C中的一個(gè)或多個(gè)”(例如,被配置為存儲(chǔ)A、B和C中的一個(gè)或多個(gè)的數(shù)據(jù)存儲(chǔ)庫(kù))的范圍,它意欲表達(dá)可能性A、B、C、AB、AC、BC和/或ABC的集合(例如,數(shù)據(jù)存儲(chǔ)庫(kù)可以存儲(chǔ)僅是A、僅是B、僅是C、A&B、A&C、B&C和/或A&B&C)。它并非意欲要求A中的一個(gè)、B中的一個(gè)和C中的一個(gè)。當(dāng)申請(qǐng)人意欲指示“A中的至少一個(gè)、 B中的至少一個(gè)和C中的至少一個(gè)”時(shí),短語(yǔ)“A中的至少一個(gè)、B中的至少一個(gè)和C中的至少一個(gè)”將被采用。
權(quán)利要求
1.一種裝置,包括接收邏輯,用于接收與經(jīng)聚集的密碼虛擬群組(ACVG)相關(guān)聯(lián)的數(shù)據(jù)分組,其中所述 ACVG與分發(fā)數(shù)據(jù)以聚集分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)中的帶寬相關(guān)聯(lián);散列邏輯,用于生成與所述數(shù)據(jù)分組相關(guān)聯(lián)的散列值,其中所述散列值是基于所述數(shù)據(jù)分組中的要素的,其中所述要素是所述數(shù)據(jù)分組的未經(jīng)加密部分和所述數(shù)據(jù)分組的頭部的未經(jīng)加密部分中的一者;流出映射數(shù)據(jù)存儲(chǔ)庫(kù),用于存儲(chǔ)在一組散列值和多個(gè)密碼引擎之間的一組映射;以及分發(fā)邏輯,用于至少部分地基于所述散列值和所述一組映射將所述數(shù)據(jù)分組選擇性地分發(fā)到所述多個(gè)密碼引擎之一,其中密碼引擎用于對(duì)數(shù)據(jù)分組加密以供跨越與所述ACVG 相關(guān)聯(lián)的數(shù)據(jù)連接進(jìn)行安全分發(fā)。
2.根據(jù)權(quán)利要求1所述的裝置,其中所述接收邏輯、所述散列邏輯和所述分發(fā)邏輯中的一個(gè)或多個(gè)被包含在以太信道邏輯中。
3.根據(jù)權(quán)利要求1所述的裝置,包括聚集邏輯,用于創(chuàng)建一組安全關(guān)聯(lián)(S0SA),所述 SOSA用于實(shí)現(xiàn)聯(lián)網(wǎng)設(shè)備之間通過(guò)與所述數(shù)據(jù)連接相關(guān)聯(lián)的多個(gè)信道的安全通信,其中安全關(guān)聯(lián)(SA)是對(duì)包括密碼密鑰、初始化向量和數(shù)字證書中的一者或多者的安全參數(shù)的邏輯上的群組劃分。
4.根據(jù)權(quán)利要求3所述的裝置,其中所述SA用于在兩個(gè)網(wǎng)絡(luò)間共享安全信息,其中數(shù)據(jù)分組包括安全參數(shù)索引(SPI),該SPI包括在不同數(shù)據(jù)流量流的SOSA之間進(jìn)行區(qū)分的信息,并且其中所述SPI包括用于針對(duì)數(shù)據(jù)流量流識(shí)別數(shù)據(jù)加密規(guī)則和數(shù)據(jù)驗(yàn)證規(guī)則的數(shù)據(jù)。
5.根據(jù)權(quán)利要求4所述的裝置,其中所述數(shù)據(jù)分組中的要素是安全參數(shù)索引(SPI),并且其中所述散列邏輯基于所述SPI來(lái)生成所述散列值。
6.根據(jù)權(quán)利要求3所述的裝置,其中所述數(shù)據(jù)分組與群組加密傳輸虛擬專用網(wǎng)絡(luò) (GetVPN)相關(guān)聯(lián),并且其中數(shù)據(jù)分組包括所述散列邏輯要操作的因特網(wǎng)協(xié)議(IP)地址。
7.根據(jù)權(quán)利要求4所述的裝置,其中所述聚集邏輯用于控制加密的第3層(U)交換幀在所述數(shù)據(jù)連接上的傳輸,其中所述加密的L3交換幀是由所述多個(gè)密碼引擎之一加密的, 并且其中所述L3交換幀包括數(shù)據(jù)有效載荷和安全參數(shù)索引(SPI)頭部。
8.根據(jù)權(quán)利要求4所述的裝置,其中所述聚集邏輯用于控制加密的第2層(L2)交換幀在所述數(shù)據(jù)連接上的傳輸,并且其中所述散列邏輯用于生成作為所述L2交換幀的一部分的函數(shù)的散列值。
9.根據(jù)權(quán)利要求4所述的裝置,其中所述數(shù)據(jù)連接是與虛擬專用網(wǎng)絡(luò)(VPN)相關(guān)聯(lián)的隧道,并且其中所述隧道使用第2層隧道傳輸協(xié)議(L2TP)或因特網(wǎng)協(xié)議安全性(IPkc)處理。
10.一種裝置,包括多個(gè)接收輸入端口(RIP),用于接收與經(jīng)聚集的密碼虛擬群組(ACVG)相關(guān)聯(lián)的加密數(shù)據(jù)分組,其中所述ACVG與分發(fā)數(shù)據(jù)以聚集分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)中的帶寬相關(guān)聯(lián);流入映射數(shù)據(jù)存儲(chǔ)庫(kù),用于存儲(chǔ)在散列值和解密引擎之間的一組映射;以及檢查邏輯,用于至少部分地基于加密數(shù)據(jù)分組中的要素來(lái)確定該加密數(shù)據(jù)分組的散列值;以及至少部分地基于所述散列值和所述映射將所述加密數(shù)據(jù)分組從所述多個(gè)RIP之一選擇性地分發(fā)到多個(gè)解密引擎之一。
11.根據(jù)權(quán)利要求10所述的裝置,包括接收邏輯,用于接收在所述數(shù)據(jù)連接的流出側(cè)上的與所述ACVG相關(guān)聯(lián)的數(shù)據(jù)分組;散列邏輯,用于生成與所述數(shù)據(jù)分組相關(guān)聯(lián)的流出散列值,其中所述流出散列值是基于所述數(shù)據(jù)分組中的要素的;流出映射數(shù)據(jù)存儲(chǔ)庫(kù),用于存儲(chǔ)在一組散列值和多個(gè)密碼引擎之間的一組映射;以及分發(fā)邏輯,用于至少部分地基于所述流出散列值將所述數(shù)據(jù)分組選擇性地分發(fā)到所述多個(gè)密碼引擎之一,其中密碼引擎用于將數(shù)據(jù)分組加密到加密數(shù)據(jù)分組中以供跨越與所述 ACVG相關(guān)聯(lián)的數(shù)據(jù)連接進(jìn)行安全分發(fā)。
12.根據(jù)權(quán)利要求11所述的裝置,包括映射邏輯,該映射邏輯用于創(chuàng)建在散列值和所述多個(gè)解密引擎之間的一組映射,并且用于創(chuàng)建在所述一組散列值和所述多個(gè)密碼引擎之間的一組映射,其中所述映射邏輯將在所述散列值和所述多個(gè)解密引擎之間的一組映射提供給所述流入映射數(shù)據(jù)存儲(chǔ)庫(kù),并且其中所述映射邏輯將在所述一組散列值和所述密碼引擎之間的一組映射提供給所述流出映射數(shù)據(jù)存儲(chǔ)庫(kù)。
13.根據(jù)權(quán)利要求10所述的裝置,其中解密引擎用于基于與安全參數(shù)索引(SPI)相關(guān)聯(lián)的信息對(duì)所述加密數(shù)據(jù)分組進(jìn)行解密。
14.根據(jù)權(quán)利要求10所述的裝置,其中確定所述散列值所基于的所述加密數(shù)據(jù)分組中的所述要素是安全參數(shù)索引(SPI)。
15.根據(jù)權(quán)利要求10所述的裝置,其中所述經(jīng)聚集的密碼虛擬群組與使用第2層隧道傳輸協(xié)議(L2TP)或因特網(wǎng)協(xié)議安全性(IPkc)處理的虛擬專用網(wǎng)絡(luò)相關(guān)聯(lián)。
16.一種被編碼在一個(gè)或多個(gè)有形介質(zhì)中以供執(zhí)行并且當(dāng)被執(zhí)行時(shí)可操作用來(lái)執(zhí)行方法的邏輯,所述方法包括接收在數(shù)據(jù)連接的流出側(cè)上的來(lái)自經(jīng)聚集的密碼虛擬群組(ACVG)的流出數(shù)據(jù)分組, 其中所述ACVG與分發(fā)數(shù)據(jù)以聚集帶寬相關(guān)聯(lián);分析所述流出數(shù)據(jù)分組以確定分發(fā)值;至少部分地基于所述分發(fā)值將所述流出數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流出處理器之跨越數(shù)據(jù)連接來(lái)發(fā)送經(jīng)過(guò)流出處理器處理的流出數(shù)據(jù)分組;接收在所述數(shù)據(jù)連接的流入側(cè)上的流入數(shù)據(jù)分組;檢查所述流入數(shù)據(jù)分組的標(biāo)識(shí)符;以及至少部分地基于所述標(biāo)識(shí)符將所述流入數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流入處理器之ο
17.根據(jù)權(quán)利要求16所述的邏輯,其中所述分發(fā)值是基于所述流出數(shù)據(jù)分組中的要素的第一散列值,其中所述標(biāo)識(shí)符被散列函數(shù)處理以產(chǎn)生第二散列值,其中所述第一散列值將流出數(shù)據(jù)分組映射到流出處理器,并且其中所述第二散列值將流入數(shù)據(jù)分組映射到流入處理器。
18.根據(jù)權(quán)利要求16所述的邏輯,其中所述流出數(shù)據(jù)分組中的要素是安全參數(shù)索引 (SPI)、因特網(wǎng)協(xié)議(IP)地址和第2層要素中的一者,并且其中所述散列函數(shù)至少部分地基于所述SPI、所述IP地址和所述第2層要素中的一者來(lái)生成所述散列值。
19.根據(jù)權(quán)利要求14所述的邏輯,其中所述流出處理器用于對(duì)所述流出數(shù)據(jù)分組加密以供跨越所述數(shù)據(jù)連接進(jìn)行安全傳輸,其中流入處理器用于對(duì)所述流入數(shù)據(jù)分組解密,并且其中所述數(shù)據(jù)連接與虛擬專用網(wǎng)絡(luò)(VPN)和網(wǎng)絡(luò)中的一者相關(guān)聯(lián)。
20.根據(jù)權(quán)利要求14所述的邏輯,所述方法包括建立在一組分發(fā)值和所述多個(gè)流出處理器之間的流出映射;以及建立在一組標(biāo)識(shí)符和所述多個(gè)流入處理器之間的流入映射。
21.根據(jù)權(quán)利要求20所述的邏輯,其中所述流出映射包括在所述多個(gè)流出處理器和所述多個(gè)流入處理器之間的一一對(duì)應(yīng)關(guān)系,并且其中該一一對(duì)應(yīng)關(guān)系防止反重放錯(cuò)誤。
22.—種系統(tǒng),包括用于生成與在數(shù)據(jù)連接的流出側(cè)上的流出數(shù)據(jù)分組相關(guān)聯(lián)的流出散列值的裝置,其中所述流出散列值是基于所述流出數(shù)據(jù)分組中的要素的;用于至少部分地基于所述流出散列值將所述流出數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)密碼引擎之一的裝置,其中密碼引擎用于將數(shù)據(jù)分組加密到加密數(shù)據(jù)分組中以供跨越數(shù)據(jù)連接進(jìn)行安全分發(fā);用于接收在所述數(shù)據(jù)連接的流入側(cè)上的流入數(shù)據(jù)分組的裝置;用于檢查所述流入數(shù)據(jù)分組的標(biāo)識(shí)符的裝置;以及用于至少部分地基于所述標(biāo)識(shí)符將所述流入數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流入解密引擎之一的裝置。
全文摘要
描述了與密碼引擎的聚集相關(guān)聯(lián)的系統(tǒng)、方法以及其他實(shí)施例。一種示例方法包括接收在數(shù)據(jù)連接的流出側(cè)上的流出數(shù)據(jù)分組。該示例方法還可以包括分析流出數(shù)據(jù)分組以確定分發(fā)值。該示例方法還可以包括至少部分地基于分發(fā)值將流出數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流出處理器之一。該示例方法還可以包括接收在數(shù)據(jù)連接的流入側(cè)上的流入數(shù)據(jù)分組。該示例方法還可以包括檢查流入數(shù)據(jù)分組的標(biāo)識(shí)符。該示例方法還可以包括至少部分地基于標(biāo)識(shí)符將流入數(shù)據(jù)分組選擇性地分發(fā)到多個(gè)流入處理器之一。
文檔編號(hào)H04L29/06GK102549998SQ201080001892
公開日2012年7月4日 申請(qǐng)日期2010年2月5日 優(yōu)先權(quán)日2009年2月25日
發(fā)明者伊曼諾爾·拉哈特賈, 蕭逸·劉, 薩友拉比·莫漢, 蒂莫西·安德烈, 錢德拉莫利·拉德哈克里斯南 申請(qǐng)人:思科技術(shù)公司