[发明专利]包含安全性关联处理器的虚拟专用网络机制

权利要求书

1.一种安全性关联处理器电路，包括：

存储多个安全性关联的安全数据的安全性关联数据库，每个入口包 括和唯一套接字对应的安全性关联数据；

当收到未在所述安全性关联数据库中找到的套接字时，打开新的安 全性关联的装置；

根据分组的套接字，搜索和识别与之相关的安全性关联的装置；

从所述安全性关联数据库检索多个安全参数的装置；

将所述多个安全参数转发给虚拟专用网络安全处理器，以便以此执 行一个或多个安全处理的装置；

包括会话记录的会话数据库，所述会话记录用于存储多个通信会话 的会话有关数据，其中，所述会话数据库被配置成使得使用相同安全性 关联的会话的匹配安全性关联指针指向所述安全性关联数据库的相同安 全性关联，

其中，所述安全性关联处理器电路从所述安全性关联数据库中去除 未使用的安全性关联，以及当相应的安全性关联被从所述安全性关联数 据库中去除时，使得从所述会话数据库中删除与使用相同安全性关联的 所有会话有关的会话记录。

2.按照权利要求1所述的电路，还包括根据所述安全处理的结 果，更新所述安全性关联数据库的内容的装置。

3.按照权利要求1所述的电路，其中与所述安全性关联相关的参 数由位于所述电路之外的实体配置，

其中所述电路包括将对应于所述安全性关联数据库中的所述新的安 全性关联的安全数据以及根据与所述新安全性关联相关的套接字所计算 的散列值保存在所述安全性关联数据库中的装置。

4.按照权利要求1所述的电路，其中所述安全性关联由位于所述 电路之外的实体打开，

其中所述电路包括将所述新安全性关联的指针插入最近最少使用的 链接列表中的装置。

5.按照权利要求1所述的电路，还包括从所述安全性关联数据库 中去除未使用的安全性关联的装置。

6.按照权利要求1所述的电路，还包括当超过最大超时时，从所 述安全性关联数据库中去除未使用的安全性关联的装置。

7.按照权利要求1所述的电路，还包括当超过最大字节计数时， 从所述安全性关联数据库中去除未使用的安全性关联的装置。

8.按照权利要求1所述的电路，其中所述搜索和识别安全性关联 的装置包括：

根据与将被识别的安全性关联相关的套接字来计算散列值的装置；

利用散列结果作为索引，在散列表中查寻散列指针的装置；

根据所述散列指针，从所述安全性关联数据库检索数据的装置；

如果所检索的数据和与分组相关的套接字相符，则识别所述安全性 关联的装置。

9.按照权利要求1所述的电路，其中所述虚拟专用网络安全处理 器包括进行加密的装置。

10.按照权利要求1所述的电路，其中所述虚拟专用网络安全处理 器包括进行解密的装置。

11.按照权利要求1所述的电路，其中所述虚拟专用网络安全处理 器包括进行鉴权的装置。

12.按照权利要求1所述的电路，其中所述虚拟专用网络安全处理 器包括执行IPSec规定服务的装置。

13.按照权利要求1所述的电路，还包括对入站分组应用防重放机 制的装置。

14.按照权利要求1所述的电路，还包括跟踪入站分组的序列号的 装置。

15.按照权利要求1所述的电路，还包括建立并保持具有头部和尾 部的最近最少使用的双重链接列表的装置，其中最近最多使用的安全性 关联保存在尾部，最近最少使用的安全性关联保存在头部。

16.按照权利要求15所述的电路，其中在所述最近最少使用的列 表充满的情况下，删除位于头部的安全性关联，将新的安全性关联加在 尾部。

17.按照权利要求1所述的电路，其中所述套接字包括安全参数索 引、远程IP和协议组件。