一種提高安全聯盟訪問效率的方法
2023-12-07 06:43:46
專利名稱:一種提高安全聯盟訪問效率的方法
技術領域:
本發明涉及到網際網路(Internet)安全技術,特別涉及到一種提高在安全聯盟資料庫(SAD)中訪問安全聯盟(SA)效率的方法。
背景技術:
針對Internet的安全需要,Internet工程任務組(IETF)頒布了IP層的安全標準IPSec。IPSec協議族在IP層對數據包進行高強度的安全處理,可以提供包括訪問控制、無連接的完整性控制、數據源認證、抗重播保護以及保密性等等服務,這些服務可以提供對IP協議以及上層協議的保護。IPSec是在網絡層實現數據的加密和驗證,提供端到端的網絡安全方案,由於加密後的數據包仍然是一般的IP數據包,因此這種結構可以很好的應用在Internet上。
其中,SA是構成IPSec的基礎,是兩個IPSec實體之間經過協商建立起來的一種協定,其內容包括在兩個IPSec實體之間採用何種IPSec協議,具體是安全協議驗證頭(AH)協議還是封裝安全載荷(ESP)協議;IPSec的運行模式是採用傳輸模式還是隧道模式;所採用的驗證算法、加密算法、加密密鑰、密鑰生成期、抗重播窗口、計數器等等信息。這些信息決定了在兩個IPSec實體之間建立的安全聯盟用於保護什麼、如何保護以及由誰來保護等問題。對於任何IPSec實施方案,IPSec實體均會構建一個記錄SA的資料庫,稱為SAD,由它來維護IPSec協議用來保障數據包安全的SA記錄。
SAD是將所有的SA以某種數據結構集中存儲的一個列表。SAD中包含已經建立的SA條目,其中,在SAD中存儲的每個SA以由安全參數索引(SPI)、源/目的IP位址以及IPSec協議構成的三元組為索引。在IPSec實體進行IPSec處理時,首先從所接收IP包中得到所述三元組,利用這個三元組在SAD中查找到對應的SA,從SAD中讀出所需要的SA,並獲取相關信息,然後分解所獲得的相關信息對所接收IP包進行相應的安全處理。
從上述過程可以看出,能否快速從SAD中獲取SA信息是影響IPSec處理性能的一個重要因素。在實現過程中,為了提高SAD的訪問效率通常採用雙倍數據速率(Double Data Rate)同步動態隨機存儲器(SDRAM)作為SAD的物理載體。現有的存儲方法如圖1所示,在所述DDR SDRAM中存儲了許多已經建立的SA條目,如圖1中的SA(0)、SA(1)......,每一個SA條目包含進行通信的兩個IPSec實體之間協商建立起來的協定內容。在進行IPSec處理時,IPSec實體根據從所接收IP包中獲得的三元組對存儲SA的DDR SDRAM進行索引,讀取對應的SA條目,獲取進行IPSec處理所必需的信息,IPSec實體利用上述信息對所接收IP包進行安全處理後,還需要對上述信息進行動態更新,然後再寫回到所述DDR SDRAM的相應位置,完成一次IPSec處理。
採用上述SA存儲方式,在從DDR SDRAM中讀取SA時,只能串行的獲取SA所包含的各種信息。假設SA的長度為40個雙字,採用一個32比特的DDR SDRAM存放SA,從DDR SDRAM讀取一個SA需要20個時鐘周期,再加上讀DDR SDRAM時發送命令和等待的時間,讀取一個SA需要佔有的DDR SDRAM總線時間將大於20個時鐘周期,設為M個時鐘周期,同理設定寫回一個SA需要N個時鐘周期,這樣,在一次IPSec處理過程中,訪問SA的時間就將達到(M+N)個時鐘周期,並且在用IP包中獲得的三元組索引DDR SDRAM中對應的SA時只有等M個周期過後才能獲取一個完整的SA,導致訪問SA的速度過慢,降低了IPSec實體的處理性能。
發明內容
為了解決上述技術問題,本發明提供了一種提高安全聯盟訪問效率的方法,可以縮短IPSec實體對SAD讀寫SA的時間,從而提高IPSec實體的處理性能,提高SA的訪問效率。
本發明所述提高安全聯盟訪問效率的方法包括A、將每個安全聯盟所包含的內容域劃分成至少兩個的安全聯盟部分,並分別存儲於至少兩個存儲設備中;B、IPSec實體根據從所接收的數據包中提取的三元組,同時索引分別存儲所述安全聯盟部分的存儲設備,並分別從所述存儲設備中同時讀取同一安全聯盟的不同安全聯盟部分。
本發明所述方法進一步包括C、IPSec實體在根據讀取的安全聯盟對所接收的數據包進行安全處理後,動態更新需要進行動態更新的內容域,並將更新後的各個安全聯盟部分分別寫回到所述存儲設備中。
步驟A所述劃分為將每個安全聯盟所包含的內容域按照在IPSec處理過程中是否需要動態更新劃分為在IPSec處理過程中需要動態更新的第一安全聯盟部分,以及在IPSec處理過程中保持不變的第二安全聯盟部分。
本發明所述第一安全聯盟部分包括序列號計數器、抗重播窗口、SA生存期。
步驟A所述將所述至少兩個安全聯盟部分分別存儲於至少兩個存儲設備中為將所述兩個安全聯盟部分分別存儲在兩個存儲設備中,包括將所述第一安全聯盟部分存儲在第一存儲設備中,將所述第二安全聯盟部分存儲在第二存儲設備中;步驟C所述將更新後的各個安全聯盟部分分別寫回到所述存儲設備中為將更新後的第一安全聯盟部分寫回到所述第一存儲設備中。
步驟A所述將所述至少兩個安全聯盟部分分別存儲於至少兩個存儲設備中為將所述兩個安全聯盟部分分別存儲在兩個以上的存儲設備中,包括將所述兩個以上的存儲設備劃分成兩組;將所述第一安全聯盟部分劃分為一個或一個以上部分,分別存儲在第一組存儲設備中;將所述第二安全聯盟部分劃分為一個或一個以上部分,分別存儲在第二組存儲設備中;步驟C所述將更新後的各個安全聯盟部分分別寫回到所述存儲設備中為將更新後的第一安全聯盟部分寫回到所述第一組存儲設備中。
本發明所述存儲設備為雙倍數據速率同步動態隨機存儲器、或單倍數據速率同步動態隨機存儲器、或雙倍數據速率II同步動態隨機存儲器、或零總線轉換同步靜態隨機存儲器、或四倍數據速率II同步靜態隨機存儲器、或雙倍數據速率II同步靜態隨機存儲器、或低延遲動態隨機存儲器。
由此可以看出,本發明所述的方法通過同時從兩個存儲設備同時讀取同一SA的不同部分,減少IPSec實體讀取SA的時間,使得IPSec實體可以較快獲取SA內容,儘早對所接收IP包進行處理。另外,由於由一個存儲設備保存的SA部分在IPSec處理過程中是保持不變的,因此在IPSec處理完成後,不需要將這部分信息再寫回到該存儲設備中,進一步減少了IPSec實體寫回SA的時間。這樣一來,就可以大大地縮短IPSec實體訪問SA所需的時間,提高SA的訪問效率,同時,也提高了單位時間內IPSec實體處理IP包的個數,也就是提高了IPSec的處理效率。
圖1為現有技術中在DDR SDRAM中存儲SA的方法示意圖;圖2為本發明優選實施例所述提高SA訪問效率的方法流程圖;圖3A和圖3B為本發明優選實施例所述在兩個DDR SDRAM中存儲SA的方法示意圖。
具體實施例方式
為使發明的目的、技術方案及優點更加清楚明白,以下參照附圖並舉實施例,對本發明作進一步詳細說明。
一般地,SAD中存儲的一個SA條目的所有內容域包括序列號計數器,序列號溢出、抗重播窗口、AH認證密碼算法和密鑰、ESP認證密碼算法和密鑰、ESP加密算法和密鑰、IV和IV模式、IPSec協議操作模式、路徑最大傳輸單元(PMTU)、SA生存期。考慮到這些內容域中一部分需要在IPSec的處理過程中進行動態更新,例如序列號計數器、抗重播窗口、SA生存期等;而剩餘的內容域在IPSec的處理過程中是保持不變的。基於SA的上述特點,本發明的一個優選實施例給出了一種提高SA訪問效率的方法,如圖2所示,主要包括以下步驟A、將SA所包含的內容域劃分為兩部分,一部分包括在IPSec處理過程中需要動態更新的內容域,稱為第一SA部分,另一部分則包括在IPSec處理過程中保持不變的內容域,稱為第二SA部分。
B、將在步驟A劃分的兩個部分分別存儲在兩個存儲設備中,其中,一個存儲設備用於存儲各個SA的內容域中需要動態更新的第一SA部分,另一個存儲設備用於存儲各個SA的內容域中不需要動態更新的第二SA部分。
其中,該步驟所述的存儲設備可以是DDR SDRAM、單倍數據速率(SDR)SDRAM、DDR II SDRAM、零總線轉換(ZBT)同步靜態隨機存儲器(SSRAM)、四倍數據速率(QDR)II SSRAM、DDR II SSRAM或低延遲動態隨機存儲器(RLDRAM)等現有的各種高、低速存儲設備。當然,隨著存儲技術的發展,還可以使用各種新型的高性能存儲器來實現本發明所述方法,而不會超出本發明意欲保護的範圍。
圖3A和圖3B顯示了使用兩個DDR SDRAM存儲SA的示意圖。如圖3A和圖3B所示,在第一DDR SDRAM,即DDR SDRAM 0中存儲需要動態更新的SA內容域,即第一SA部分,該DDR SDRAM存儲的所有SA用SA(i)_0表示,其中,i=0、1、2......;在第二DDR SDRAM,即DDR SDRAM1中存儲不需要動態更新的SA內容域,即第二SA部分,該DDR SDRAM存儲的所有SA用SA(i)_1表示,其中,i=0、1、2......。DDR SDRAM 0和DDR SDRAM 1中對應相同序號i的SA(i)_0和SA(i)_1將構成一條完整的SA。
C、在進行IPSec處理時,IPSec實體根據從所接收的IP數據包中提取的三元組,同時索引分別存儲SA兩部分的兩個存儲設備,分別從這兩個存儲設備中同時讀取所需SA的兩個部分。
在該步驟中,通過從兩個存儲設備同時讀取同一SA的不同部分,可以大大減少IPSec實體讀取SA的時間。
D、IPSec實體根據讀取的SA對所接收的IP數據包進行安全處理,同時動態更新需要進行動態更新的內容域,並將更新後的SA部分寫回到保存需要動態修改的內容域部分的存儲設備,即將更新後的第一SA部分寫回到保存該SA部分的第一存儲設備中。
在該步驟中,由於另一個存儲設備存儲的SA部分在IPSec的處理過程中是保持不變的,因此,就不需要IPSec實體再將這部分信息寫回到相應的存儲設備中了。這樣做,可以進一步減少IPSec實體向存儲設備寫回SA的時間。
下面同樣以長度為40雙字的SA為例結合圖3詳細說明本發明的方法。
假設圖3中DDR SDRAM 0和DDR SDRAM 1都採用32bit DDRSDRAM,且由DDR SDRAM 0存儲的SA(i)_0的長度為8個雙字,由DDRSDRAM 1存儲的SA(i)_1的長度為40-8=32雙字。
在這種情況下,由於從DDR SDRAM 0讀取SA(i)_0的時間要小於從DDR SDRAM 1讀取SA(i)_1的時間,因此,從DDR SDRAM 0和DDRSDRAM 1同時讀取同一SA的時間就應當是從DDR SDRAM 1讀取SA(i)_1的時間,為M-4個時鐘周期,即比讀取40個雙字時少用了4個時鐘周期;而向DDR SDRAM 0寫回SA(i)_0的時間為N-16個時鐘周期,即比寫回40個雙字時少用了16個時鐘周期;這樣,在一次IPSec處理過程中,訪問SA的時間就將為M-4+N-16=M+N-20個時鐘周期。很顯然,採用上述方法,在一次IPSec處理過程中訪問SA的時間比現有技術要少20個時鐘周期,大大提高了SA的訪問效率,同時使得IPSec實體可以較快獲取SA內容,儘早對所接收IP包進行處理,從而提高了IPSec的處理效率。
熟悉本領域的技術人員可以理解,為了進一步縮短從SAD讀取和寫回SA的時間可以使用兩個以上的存儲設備,例如三個或四個存儲設備,並將這些存儲設備也劃分成兩組,第一組存儲設備用於存儲在IPSec處理過程中需要動態修改的SA內容域,而第二組存儲設備用於存儲在IPSec處理過程中保持不變的SA內容域,從而將串行地向一個存儲設備訪問SA的過程變成並行地向多個存儲設備訪問同一SA的過程,進一步提高了SA的訪問效率以及IPSec的處理效率。
另外,還可以不考慮SA內容域是否需要動態更新,直接將SA內容域劃分成為若干部分,而將劃分的每個SA內容域部分使用兩個或兩個以上的存儲設備進行存儲,從而也可以將串行向一個存儲設備訪問SA的過程變成並行向多個存儲設備訪問同一SA的過程,提高SA的訪問效率。
權利要求
1.一種提高安全聯盟訪問效率的方法,其特徵在於,所述方法包括A、將每個安全聯盟所包含的內容域劃分成至少兩個的安全聯盟部分,並將所述至少兩個安全聯盟部分分別存儲於至少兩個存儲設備中;B、IPSec實體根據從所接收的數據包中提取的三元組,同時索引分別存儲所述安全聯盟部分的存儲設備,並分別從所述存儲設備中同時讀取同一安全聯盟的不同安全聯盟部分。
2.如權利要求1所述的方法,其特徵在於,所述方法進一步包括C、IPSec實體在根據讀取的安全聯盟對所接收的數據包進行安全處理後,動態更新需要進行動態更新的內容域,並將更新後的各個安全聯盟部分分別寫回到所述存儲設備中。
3.如權利要求2所述的方法,其特徵在於,步驟A所述劃分為將每個安全聯盟所包含的內容域按照在IPSec處理過程中是否需要動態更新進行劃分,在IPSec處理過程中需要動態更新的內容域劃分為第一安全聯盟部分,以及在IPSec處理過程中保持不變的內容域劃分為第二安全聯盟部分。
4.如權利要求3所述的方法,其特徵在於,所述第一安全聯盟部分包括序列號計數器、抗重播窗口、SA生存期。
5.如權利要求3所述的方法,其特徵在於,步驟A所述將所述至少兩個安全聯盟部分分別存儲於至少兩個存儲設備中為將所述兩個安全聯盟部分分別存儲在兩個存儲設備中,包括將所述第一安全聯盟部分存儲在第一存儲設備中,將所述第二安全聯盟部分存儲在第二存儲設備中;步驟C所述將更新後的各個安全聯盟部分分別寫回到所述存儲設備中為將更新後的第一安全聯盟部分寫回到所述第一存儲設備中。
6.如權利要求3所述的方法,其特徵在於,步驟A所述將所述至少兩個安全聯盟部分分別存儲於至少兩個存儲設備中為將所述兩個安全聯盟部分分別存儲在兩個以上的存儲設備中,包括將所述兩個以上的存儲設備劃分成兩組;將所述第一安全聯盟部分劃分為一個或一個以上部分,分別存儲在第一組存儲設備中;將所述第二安全聯盟部分劃分為一個或一個以上部分,分別存儲在第二組存儲設備中;步驟C所述將更新後的各個安全聯盟部分分別寫回到所述存儲設備中為將更新後的第一安全聯盟部分寫回到所述第一組存儲設備中。
7.如權利要求1、2、5或6所述的方法,其特徵在於,所述存儲設備為雙倍數據速率同步動態隨機存儲器、或單倍數據速率同步動態隨機存儲器、或雙倍數據速率II同步動態隨機存儲器、或零總線轉換同步靜態隨機存儲器、或四倍數據速率II同步靜態隨機存儲器、或雙倍數據速率II同步靜態隨機存儲器、或低延遲動態隨機存儲器。
全文摘要
本發明公開了一種提高安全聯盟訪問效率的方法,包括將各個安全聯盟所包含的內容域劃分成至少兩個安全聯盟部分,並分別存儲於至少兩個存儲設備中;IPSec實體根據從所接收的數據包中提取的三元組,同時索引分別存儲所述安全聯盟部分的存儲設備,同時分別從所述存儲設備中讀取所述安全聯盟的各個部分,從而可以縮短IPSec實體訪問SA的時間,提高IPSec實體的處理性能。
文檔編號H04L29/06GK1852310SQ20051011777
公開日2006年10月25日 申請日期2005年11月10日 優先權日2005年11月10日
發明者黃勇, 王海, 張贊, 王海軍, 張潔 申請人:華為技術有限公司