[发明专利]具有网络附接的无状态安全卸载装置的网络节点

权利要求书

1.一种用于处理数据分组的方法，包括

由主机信息处理系统IHS存储与数据分组关联的安全性元数据；

由主机IHS确定数据分组是否是要求安全性处理的数据分组；

如果所述主机IHS确定所述数据分组不要求安全性处理则由所述主机IHS提供数据分组到内部网络接口控制器，所述内部网络接口控制器传送所述数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信；

如果所述主机IHS确定所述数据分组要求安全性处理则经由安全数据链路由所述主机IHS卸载所述数据分组和关联的安全性元数据到无状态外部安全性卸载装置，因此提供卸载的数据分组，所述无状态外部安全卸载装置是在所述主机IHS外部，其中所述安全性元数据包括状态数据；

由所述无状态外部安全性卸载装置加密和封装卸载的数据分组，因此提供封装的加密数据分组；

由无状态外部安全性卸载装置经由所述安全数据链路传送封装的加密数据分组回到所述主机IHS以用于进一步处理；以及

由所述主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信。

2.根据权利要求1所述的方法，其中外部网络接口控制器集成在所述无状态外部安全性卸载装置内。

3.根据任意前述权利要求所述的方法，其中如所述主机IHS传送到所述无状态外部安全性卸载装置的关联的安全性元数据指示的那样，所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行。

4.一种用于处理数据分组的网络节点，包括：

主机信息处理信息IHS，包括内部网络接口控制器；

安全数据链路，耦接到所述主机IHS；

无状态外部安全性卸载装置，经由所述安全数据链路耦接到所述主机IHS，所述无状态外部安全性卸载装置在所述主机IHS外部；并且

所述主机IHS配置为存储与数据分组关联的安全性元数据，所述主机IHS还配置为经由所述安全数据链路卸载所述数据分组和关联的安全性元数据到所述无状态外部安全性卸载装置，因此提供卸载的数据分组，其中所述安全性元数据包括状态数据；

所述无状态外部安全性卸载装置配置为：

接收卸载的数据分组和关联的安全性元数据；

加密和封装卸载的数据分组，因此提供封装的加密数据分组；

传送封装的加密数据分组回到主机IHS以用于进一步处理；

所述主机IHS进一步配置为：

经由所述主机IHS的内部网络接口控制器传送封装的加密数据分组到通信网络以用于到除了所述主机IHS之外的IHS的通信。

5.根据权利要求4所述的网络节点，其中如所述无状态外部安全性卸载装置从所述主机IHS接收的所述关联的安全性元数据指示的那样，所述数据分组的加密和封装由所述无状态外部安全性卸载装置进行。

6.一种用于处理数据分组的方法，包括：

由主机信息处理系统IHS内部的内部网络接口控制器从通信网络接收数据分组，因此提供接收的数据分组；

由所述主机IHS确定接收的数据分组是否是要求安全性处理的封装的加密数据分组；

如果所述主机IHS确定接收的数据分组不是要求安全性处理的封装的加密数据分组，则由所述主机IHS转发接收的数据分组到所述主机IHS中的应用以用于处理；

如果所述主机IHS确定接收的数据分组是要求安全性处理的封装的加密数据分组，则由所述主机IHS经由安全数据链路卸载接收的数据分组到无状态外部安全性卸载装置，所述无状态外部安全性卸载装置在所述主机IHS外部；

由所述无状态外部安全性卸载装置解封和解密接收的数据分组，因此提供解封的解密数据分组；

由所述无状态外部安全性卸载装置添加安全性元数据到解封的解密数据分组，其中所述安全性元数据包括状态数据；以及

由所述无状态外部安全性卸载装置经由所述安全数据链路传送解封的解密数据分组到所述主机IHS以用于进一步由所述主机IHS中的应用处理。

7.根据权利要求1或权利要求6所述的方法，进一步包括配置所述主机IHS、安全数据链路和无状态外部安全性卸载装置以形成网络节点。

8.根据权利要求1或权利要求6所述的方法，其中所述无状态外部安全性卸载装置采用IPsec协议。