計算裝置(22)包括主機處理器(30)，該主機處理器(30)運行虛擬機監控器(VMM)(40)，該VMM 40支持多個虛擬機(38)并且包括密碼安全軟件模塊(54)。網絡接口控制器(NIC)(32)將主機處理器鏈接到網絡(28)以便向虛擬機發送數據分組和從虛擬機接收數據分組，并且包括密碼安全硬件邏輯模塊(44)，該密碼安全硬件邏輯模塊(44)在由VMM調用時對數據分組施加密碼安全協議，同時保持該協議關于每個虛擬機的狀態上下文。在當施加密碼安全協議時遇到異常之后，NIC將數據分組連同密碼安全協議關于給定虛擬機的狀態上下文一起傳送到密碼安全軟件模塊以供進行處理。

技術領域

本發明總體上涉及計算機網絡通信，并且具體涉及用于對通過網絡發送和接收的數據分組執行安全相關操作的裝置和方法。

背景技術

因特網協議安全(Internet Protocol Security，IPsec)是一個對通過網絡發送的數據分組進行認證和加密的網絡協議套件(network protocol suite)。IPsec操作因特網協議(IP)套件的因特網層(一般稱為網絡層，或第3層)，并且可以自動保護IP數據分組中傳輸的應用和數據。IPsec使用密碼安全服務來支持網絡級對等認證、數據來源認證、數據完整性、數據機密性(加密)和重放保護。IPsec還包括用于在會話開始時在代理之間建立相互認證以及協商在會話期間使用的密碼密鑰的協議。IPsec體系結構和操作功能在因特網工程任務組(Internet Engineering Task Force，IETF)在線發布的一系列征求意見(Request for Comment，RFC)中進行了規定，包括RFC 4301、RFC 4303和RFC 4106。

在流行的實現中使用的IPsec的特定功能包括以下各項：

·認證報頭(Authentication Header，AH)被添加到IPsec分組，以提供IP數據報的無連接數據完整性和數據來源認證，連同針對重放攻擊的保護。AH包含32位序列號和完整性檢驗值。為了防范重放攻擊，序列號永遠不會在給定的安全關聯中重復使用，并且當序列號達到其最大值時，會協商新的安全關聯。

·封裝安全凈荷(Encapsulating Security Payload，ESP)是一種加密凈荷格式，其提供保密性、數據來源認證、無連接完整性、防重放服務和有限的業務流保密性。在隧道模式下，整個原始IP分組都封裝有添加的新的分組報頭，并且將ESP保護施加于整個內IP分組(包括報頭)，而用于網絡路由的外報頭保持不受保護。

·安全關聯(Security Association，SA)提供用于導出和協商IPsec端點對之間AH和/或ESP操作所必需的參數的算法和數據。安全關聯數據庫(security associationdatabase，SAD)定義與每個SA相關聯的參數。

由于IPsec為計算密集型，因此一些作者建議將IPsec處理從主機處理器卸載到網絡接口控制器(NIC)。例如，美國專利8,006,297描述了用于組合安全協議和分組過濾器卸載和加載的方法和系統。該專利描述了一種NIC，其包括：安全關聯數據庫(SADB)，其包括多個安全關聯(SA)；密碼卸載引擎，其被配置用于使用多個SA中之一對分組進行解密；安全策略數據庫(security policy database，SPD)，其包括：多個安全策略(security policy，SP)和多個過濾器策略；以及策略引擎，其被配置用于使用來自SPD的多個SP中之一確定分組的進入權，并將多個過濾器策略中之一施加于分組。

作為另一示例，美國專利申請公開2010/0228962描述了對經由轉發設備在第一計算機與第二計算機之間根據安全協議發送的分組數據進行的密碼保護處理的卸載。轉發設備執行部分處理，并將分組數據轉發到與轉發設備相連接的第三計算機以進行其他處理。第三計算機可以支持安全協議的非標準擴展，例如在安全協議上授權和建立連接中使用的擴展。第三計算機將其處理結果(諸如密碼密鑰或檢測到的訪問控制策略)發送到轉發設備。

發明內容