[发明专利]通信保护

说明书

本申请是申请日为2000年6月16日、申请号为00813282.8、发明名称为“通信保护”的发明专利申请的分案申请。

技术领域

本发明涉及在传输介质如网络上通信的信息保护。

背景技术

随着越来越多地使用网络或其他传输介质进行通信，安全成为人们日益关心的问题。各种安全协议被用于保护进入或离开耦合到传输介质如网络(如局域网、广域网、互联网)上的设备的数据。安全协议包括密码算法(包括加密、解密和验证)以维护传输信息的机密性以及信息源的验证。

密码操作典型地涉及占有系统相当大的处理量的数据密集算法操作。为减少在执行密码操作时系统主处理器的负载，一些系统包括一个协处理器用于执行一些数据密集处理。在传统的协处理器结构中，主处理器(在应用程序控制下)将要处理(加密、混列等等)的数据加载到系统存储器中，由协处理器通过系统总线访问这些数据。处理后，协处理器则将处理过的数据拷贝回存储器供主处理器访问，然后主处理器将数据发送到传输介质上(如网络、电话线等)。因为数据在传输介质上传输之前两次通过总线拷贝到系统存储器中，所以这个过程效率很低。类似地，在接收端，数据在解密和验证之前也要拷贝进出协处理器两次。

在传统的协处理器结构中运行加密操作会用尽宝贵的共享系统资源，包括主处理器、总线和系统存储器，使其不能被系统中其他设备使用。这会降低整个系统的性能。因此，当在传输介质上通信信息时需要一种技术和设备来减少执行安全协议相关操作时对系统资源的使用。

发明内容

通常，根据一种实施方案，在耦合到通信信道上的设备中使用的方法包括确定与数据块一起执行的安全业务并且按照安全业务，在适合控制与通信信道的通信的控制器中处理数据块。

根据本发明的在耦合到通信信道的设备中使用的方法，包括：确定对数据块执行的安全业务；生成与数据块一起传递的安全信息，所述安全信息标识安全业务；使用一个适合于控制与通信信道的通信的网络控制器来基于安全信息而从其它安全业务中选择安全业务；以及在所述网络控制器中，根据安全信息处理数据块。

根据本发明的用于控制与传输介质通信的控制器，所述控制器包括：接收数据和相关安全控制信息的接收电路，所述安全控制信息识别要在所述数据上执行的安全业务；以及基于安全控制信息而从其它安全业务中选择安全业务并且基于该选择而密码地处理数据的密码引擎，该密码引擎是网络控制器。

附图说明

图1A是包括网络和耦合到网络上的设备的系统的实施方案的框图。

图1B是根据一种实施方案在图1A的系统的设备中的网络控制器的框图。

图2是根据本发明的实施方案在图1A的系统中的设备的框图。

图3是图1B的网络控制器的更详细的框图。

图4A-4C是根据图2中设备使用的一种安全协议的分组的图。

图5是根据图3的网络控制器执行的实施方案的安全过程的流程图。

图6说明了存储在图3的网络控制器的存储设备中的流字节组(flow tuple)。

图7是说明图5的网络控制器的接收解析器对分组数据解析的流程图。

图8和9A-9B是在图2的设备中不同层的安全例程的流程图。

图10是确定与图8的安全例程执行的数据块有关的安全业务的过程的流程图。

具体实施方式

在下面的描述中，提出大量的细节以提供对本发明的理解。但是，本领域的技术人员应该理解，本发明可以在没有这些细节的情况下实施并且可能从所述实施方案有大量的变化和修改。

参见图1，系统的实施方案包括耦合到传输介质上的第一个设备50和第二个设备51，传输介质可以是有线或无线传输介质(或两者的组合)。在随后的描述中，传输介质称为网络47，其包括无论有线或无线的一种或多种类型的传输介质，如电话线、电缆线、局域网(LAN)、广域网(WAN)、互联网、射频链路、蜂窝链路或其他传输介质。设备50和51的每一个都包括计算机、手持计算设备、机顶盒、应用、游戏系统或其他基于控制器的系统，其中控制器可以是微处理器、微控制器、如特定用途集成电路(ASIC)、可编程门阵列(PGA)等的可编程设备。

在设备50和51之间的网络47以及其他设备上可能有不同类型的通信。通信包括：例如电子邮件的发送；互联网浏览；文件访问和拷贝；数据库搜索；在线销售和财务交易等。