公开(公告)号：US07853691B2

公开(公告)日：2010-12-14

申请号：US11934257

申请日：2007-11-02

申请人： Uri Elzur ,  Bora Akyol ,  Zheng Qi ,  Mark Buer ,  Ford Tamer ,  Yongbum Kim

发明人： Uri Elzur ,  Bora Akyol ,  Zheng Qi ,  Mark Buer ,  Ford Tamer ,  Yongbum Kim

IPC分类号： G06F15/173 ,  G06F15/16 ,  G06F7/04 ,  H04L9/08

CPC分类号： H04L63/0464 ,  H04L63/162 ,  H04L63/164 ,  H04L69/08

摘要： Aspects of a method and system for securing a network utilizing IPsec and MACsec protocols are provided. In one or more network nodes, aspects of the invention may enable conversion between Ethernet packets comprising payloads secured utilizing IPsec protocols and Ethernet packets secured utilizing MACsec protocols. For example, IPsec connections may be terminated at an ingress network node and IPsec connections may be regenerated at an egress network node. Packets secured utilizing MACsec protocols may be detected based on an Ethertype. Packets comprising payloads secured utilizing IPsec protocols may be detected based on a protocol field or a next header field. The conversion may be based on a data structure stored by and/or accessible to the network nodes. Aspects of the invention may enable securing data utilizing MACsec protocols when tunneling IPsec secured data through non-IPsec enabled nodes.

摘要翻译： 提供了使用IPsec和MACsec协议来保护网络的方法和系统的方面。 在一个或多个网络节点中，本发明的方面可以实现包括使用IPsec协议保护的有效载荷的以太网分组和利用MACsec协议来保护的以太网分组之间的转换。 例如，可以在入口网络节点处终止IPsec连接，并且可以在出口网络节点处重新生成IPsec连接。 使用MACsec协议保护的数据包可以基于以太网类型进行检测。 可以基于协议字段或下一个报头字段来检测包括利用IPsec协议保护的有效载荷的分组。 该转换可以基于由网络节点存储和/或可访问的数据结构。 当通过非启用IPsec的节点隧道化IPsec安全数据时，本发明的各方面可以实现利用MACsec协议来保护数据。

公开(公告)号：US20080126559A1

公开(公告)日：2008-05-29

申请号：US11934257

申请日：2007-11-02

申请人： Uri Elzur ,  Bora Akyol ,  Zheng Qi ,  Mark Buer ,  Ford Tamer ,  Yongbum Kim

发明人： Uri Elzur ,  Bora Akyol ,  Zheng Qi ,  Mark Buer ,  Ford Tamer ,  Yongbum Kim

IPC分类号： G06F15/16

CPC分类号： H04L63/0464 ,  H04L63/162 ,  H04L63/164 ,  H04L69/08

摘要： Aspects of a method and system for securing a network utilizing IPsec and MACsec protocols are provided. In one or more network nodes, aspects of the invention may enable conversion between Ethernet packets comprising payloads secured utilizing IPsec protocols and Ethernet packets secured utilizing MACsec protocols. For example, IPsec connections may be terminated at an ingress network node and IPsec connections may be regenerated at an egress network node. Packets secured utilizing MACsec protocols may be detected based on an Ethertype. Packets comprising payloads secured utilizing IPsec protocols may be detected based on a protocol field or a next header field. The conversion may be based on a data structure stored by and/or accessible to the network nodes. Aspects of the invention may enable securing data utilizing MACsec protocols when tunneling IPsec secured data through non-IPsec enabled nodes.

摘要翻译： 提供了使用IPsec和MACsec协议来保护网络的方法和系统的方面。 在一个或多个网络节点中，本发明的方面可以实现包括使用IPsec协议保护的有效载荷的以太网分组和利用MACsec协议来保护的以太网分组之间的转换。 例如，可以在入口网络节点处终止IPsec连接，并且可以在出口网络节点处重新生成IPsec连接。 使用MACsec协议保护的数据包可以基于以太网类型进行检测。 可以基于协议字段或下一个报头字段来检测包括利用IPsec协议保护的有效载荷的分组。 该转换可以基于由网络节点存储和/或可访问的数据结构。 当通过非启用IPsec的节点隧道化IPsec安全数据时，本发明的各方面可以实现利用MACsec协议来保护数据。

公开(公告)号：US08055895B2

公开(公告)日：2011-11-08

申请号：US12551381

申请日：2009-08-31

申请人： Mark Buer ,  Scott S. McDaniel ,  Uri Elzur ,  Joseph J. Tardo ,  Kan Fan

发明人： Mark Buer ,  Scott S. McDaniel ,  Uri Elzur ,  Joseph J. Tardo ,  Kan Fan

IPC分类号： H04L29/08 ,  H04L9/00

CPC分类号： H04L63/0485 ,  H04L63/0428 ,  H04L63/0823 ,  H04L63/0853 ,  H04L63/164 ,  H04L69/22

摘要： Methods and associated systems provide secured data transmission over a data network. A security device provides security processing in the data path of a packet network. The device may include at least one network interface to send packets to and receive packets from a data network and at least one cryptographic engine for performing encryption, decryption and/or authentication operations. The device may be configured as an in-line security processor that processes packets that pass through the device as the packets are routed to/from the data network.

摘要翻译： 方法和相关系统通过数据网络提供安全的数据传输。 安全设备在分组网络的数据路径中提供安全处理。 该设备可以包括至少一个网络接口，用于向数据网络发送分组并从数据网络接收分组，并且至少一个密码引擎用于执行加密，解密和/或认证操作。 该设备可以被配置为一个在线安全处理器，其处理在数据包被路由到/从数据网络时通过设备的分组。

公开(公告)号：US20140215465A1

公开(公告)日：2014-07-31

申请号：US14134982

申请日：2013-12-19

申请人： Uri Elzur

发明人： Uri Elzur

IPC分类号： G06F9/455

CPC分类号： G06F9/45533 ,  G06F9/45558 ,  G06F2009/45595 ,  G06F2209/509 ,  H04L41/0893

摘要： In this embodiment, techniques are provided that may permit operations performed by hardware and software to process one or more (e.g., network traffic-related) workloads to be coordinated, at least in part. Such coordination may permit this embodiment to operate in accordance with one or more advantageous usage models, and/or to achieve advantages such as, accelerated network traffic processing, while permitting and/or facilitating a multi-tenant (e.g., software-defined) network environment to be provided, for example, via enforcement of one or more associated policies. Many modifications are possible without departing from this embodiment.

摘要翻译： 在该实施例中，提供了技术，其可以允许由硬件和软件执行的操作至少部分地处理要配置的一个或多个（例如，与网络流量有关的）工作负载。 这种协调可以允许该实施例根据一个或多个有利的使用模型来操作和/或实现诸如加速网络流量处理之类的优点，同时允许和/或促进多租户（例如，软件定义的）网络 环境，例如，通过执行一个或多个相关联的策略来提供。 在不脱离本实施例的情况下，可以进行许多修改。

公开(公告)号：US08776090B2

公开(公告)日：2014-07-08

申请号：US12707480

申请日：2010-02-17

申请人： Uri Elzur

发明人： Uri Elzur

IPC分类号： G06F3/00 ,  G06F9/44 ,  G06F9/46 ,  G06F13/00

CPC分类号： G06F9/45537

摘要： A device may abstract access to hardware resources in the device to a single operating system (OS) running in the device utilizing an abstraction layer and a software partition. The abstraction layer and the software partition may enable virtualizing the hardware resources during interfacing between the single OS and the hardware resources, such that the actual characteristics and/or number of the hardware resources may be abstracted. The abstraction layer may comprise a hypervisor, which may be optimized to support network abstraction based operations. The software partition may enable managing configuration and/or use of the hardware resources via the abstraction layer. The hardware resources may comprise networking resources. Accordingly, operations of a plurality of virtual drivers within the OS corresponding to each of one or more of the plurality of hardware resources may be supported. Data transfers between the OS and the hardware resources may be performed via the software partition.

摘要翻译： 设备可以使用抽象层和软件分区将设备中的硬件资源的访问抽象到在设备中运行的单个操作系统（OS）。 抽象层和软件分区可以在单个OS和硬件资源之间的接口期间实现虚拟化硬件资源，使得可以抽象出硬件资源的实际特性和/或数量。 抽象层可以包括管理程序，其可以被优化以支持基于网络抽象的操作。 软件分区可以允许经由抽象层管理硬件资源的配置和/或使用。 硬件资源可以包括网络资源。 因此，可以支持与多个硬件资源中的一个或多个硬件资源中的每一个对应的OS内的多个虚拟驱动器的操作。 可以通过软件分区来执行OS和硬件资源之间的数据传输。

公开(公告)号：US08677010B2

公开(公告)日：2014-03-18

申请号：US13115274

申请日：2011-05-25

申请人： Uri Elzur ,  Frankie Fan ,  Steven B. Lindsay ,  Scott S. McDaniel

发明人： Uri Elzur ,  Frankie Fan ,  Steven B. Lindsay ,  Scott S. McDaniel

IPC分类号： G06F15/16 ,  H04L12/56

CPC分类号： H04L29/06 ,  H04L47/193 ,  H04L47/2441 ,  H04L47/34 ,  H04L49/90 ,  H04L49/9063 ,  H04L49/9073 ,  H04L49/9094 ,  H04L69/10 ,  H04L69/12 ,  H04L69/16 ,  H04L69/161 ,  H04L69/162 ,  H04L69/163 ,  H04L69/166

摘要： Aspects of the invention may comprise receiving an incoming TCP packet at a TEEC and processing at least a portion of the incoming packet once by the TEEC without having to do any reassembly and/or retransmission by the TEEC. At least a portion of the incoming TCP packet may be buffered in at least one internal elastic buffer of the TEEC. The internal elastic buffer may comprise a receive internal elastic buffer and/or a transmit internal elastic buffer. Accordingly, at least a portion of the incoming TCP packet may be buffered in the receive internal elastic buffer. At least a portion of the processed incoming packet may be placed in a portion of a host memory for processing by a host processor or CPU. Furthermore, at least a portion of the processed incoming TCP packet may be DMA transferred to a portion of the host memory.

摘要翻译： 本发明的方面可以包括在TEEC处接收进入的TCP分组，并且由TEEC处理进入分组的至少一部分一次，而不必由TEEC进行任何重新组合和/或重传。 进入的TCP分组的至少一部分可以缓冲在TEEC的至少一个内部弹性缓冲器中。 内部弹性缓冲器可以包括接收内部弹性缓冲器和/或发送内部弹性缓冲器。 因此，进入的TCP分组的至少一部分可以缓冲在接收内部弹性缓冲器中。 处理的输入分组的至少一部分可以被放置在主机存储器的一部分中，以供主机处理器或CPU处理。 此外，处理的输入TCP分组的至少一部分可以被DMA传送到主机存储器的一部分。

公开(公告)号：US08521912B2

公开(公告)日：2013-08-27

申请号：US11945672

申请日：2007-11-27

申请人： Eliezer Aloni ,  Uri Elzur ,  Rafi Shalom ,  Kobby Carmona ,  Caitlin Bestler

发明人： Eliezer Aloni ,  Uri Elzur ,  Rafi Shalom ,  Kobby Carmona ,  Caitlin Bestler

IPC分类号： G06F15/16

CPC分类号： G06F13/102 ,  G06F9/45537

摘要： Methods and systems for direct device access are disclosed. Aspects of one method may include a plurality of GOSs directly accessing a first network interface device, where the first network interface device may provide access to a network. One or more of the GOSs may be migrated to directly access a second network interface device, based on state information for each of the GOSs, where the state information may be maintained by the host. The GOSs may communicate data to a device coupled to the network by direct accessing the first and/or second network interface device. Similarly, the first and/or second network interface device may communicate data received from a device coupled to the network to one or more of the plurality of GOSs via direct access of the first and/or second network interface device.

摘要翻译： 公开了用于直接设备访问的方法和系统。 一种方法的方面可以包括直接访问第一网络接口设备的多个GOS，其中第一网络接口设备可以提供对网络的访问。 可以基于每个GOS的状态信息将一个或多个GOS迁移到直接访问第二网络接口设备，其中主机可以维护状态信息。 GOS可以通过直接访问第一和/或第二网络接口设备来将数据传送到耦合到网络的设备。 类似地，第一和/或第二网络接口设备可以经由第一和/或第二网络接口设备的直接访问来将从耦合到网络的设备接收的数据传送到多个GOS中的一个或多个。

公开(公告)号：US08504690B2

公开(公告)日：2013-08-06

申请号：US12848680

申请日：2010-08-02

申请人： Hemal Shah ,  Uri Elzur ,  Patricia Ann Thaler

发明人： Hemal Shah ,  Uri Elzur ,  Patricia Ann Thaler

IPC分类号： G06F15/173

CPC分类号： H04L43/10 ,  H04L12/12 ,  H04L12/4625 ,  Y02D50/40 ,  Y02D50/42

摘要： Certain aspects of a method and system for managing network power policy and configuration of data center bridging may include a network domain that comprises a single logical point of management (LPM) that coordinates operation of one or more devices, such as network interface controllers (NICs), switches, and/or servers in the network domain: The single LPM may be operable to manage one or both of a network power policy and/or a data center bridging (DCB) configuration policy for the network domain.

摘要翻译： 用于管理网络功率策略和数据中心桥接配置的方法和系统的某些方面可以包括网络域，其包括一个逻辑管理点（LPM），其协调一个或多个设备的操作，诸如网络接口控制器 ），交换机和/或服务器：单个LPM可以用于管理网络域的网络功率策略和/或数据中心桥接（DCB）配置策略中的一个或两个。

公开(公告)号：US08135016B2

公开(公告)日：2012-03-13

申请号：US11868655

申请日：2007-10-08

申请人： Uri Elzur

发明人： Uri Elzur

IPC分类号： H04L12/28

CPC分类号： H04L29/06217 ,  H04L69/16 ,  H04L69/161 ,  H04L69/166 ,  H04L69/22

摘要： Systems and methods that identify the Upper Layer Protocol (ULP) message boundaries are provided. In one example, a method that identifies ULP message boundaries is provided. The method may include one or more of the following steps: attaching a framing header of a frame to a data payload to form a packet, the framing header being placed immediately after the byte stream transport protocol header, the framing header comprising a length field comprising a length of a framing protocol data unit (PDU); and inserting a marker in the packet, the marker pointing backwards to the framing header and being inserted at a preset interval.

摘要翻译： 提供了识别上层协议（ULP）消息边界的系统和方法。 在一个示例中，提供了识别ULP消息边界的方法。 该方法可以包括以下步骤中的一个或多个：将帧的成帧报头附加到数据有效载荷以形成分组，所述成帧报头位于所述字节流传输协议报头之后，所述成帧报头包括长度字段，所述长度字段包括 成帧协议数据单元（PDU）的长度; 并且在标签中插入一个标记，该标记指向成帧标题并以预设的间隔插入。

公开(公告)号：US07929540B2

公开(公告)日：2011-04-19

申请号：US12705688

申请日：2010-02-15

申请人： Uri Elzur

发明人： Uri Elzur

IPC分类号： H04L12/56

CPC分类号： H04L69/16 ,  H04L12/2856 ,  H04L12/2898 ,  H04L12/4633 ,  H04L29/06 ,  H04L47/10 ,  H04L47/193 ,  H04L47/2441 ,  H04L47/27 ,  H04L47/32 ,  H04L47/34 ,  H04L49/90 ,  H04L49/9063 ,  H04L63/1458 ,  H04L69/10 ,  H04L69/12 ,  H04L69/161 ,  H04L69/162 ,  H04L69/163 ,  H04L69/166

摘要： A system for reordering frames may include at least one processor that enable receiving of an out-of-order frame via a network subsystem. The at least one processor may enable placing data of the out-of-order frame in a host memory, and managing information relating to one or more holes resulting from the out-of-order frame in a receive window. The at least one processor may enable setting a programmable limit with respect to a number of holes allowed in the receive window. The out-of-order frame is received via a TCP offload engine (TOE) of the network subsystem or a TCP-enabled Ethernet controller (TEEC) of the network subsystem. The network subsystem may not store the out-of-order frame on an onboard memory, and may not store one or more missing frames relating to the out-of-order frame. The network subsystem may include a network interface card (NIC).

摘要翻译： 用于重新排序帧的系统可以包括能够经由网络子系统接收无序帧的至少一个处理器。 所述至少一个处理器可以使得将乱序帧的数据放置在主机存储器中，并且管理与在接收窗口中的无序帧产生的一个或多个孔有关的信息。 所述至少一个处理器可以使得能够相对于接收窗口中允许的多个孔设置可编程限制。 无序帧通过网络子系统的TCP卸载引擎（TOE）或网络子系统的TCP启用以太网控制器（TEEC）接收。 网络子系统可能不会将无序帧存储在板载存储器上，并且可能不存储与无序帧相关的一个或多个丢失帧。 网络子系统可以包括网络接口卡（NIC）。