CN100412825C - 更新用于安全记录的缓存的方法和装置 - Google Patents
更新用于安全记录的缓存的方法和装置 Download PDFInfo
- Publication number
- CN100412825C CN100412825C CNB2004800169279A CN200480016927A CN100412825C CN 100412825 C CN100412825 C CN 100412825C CN B2004800169279 A CNB2004800169279 A CN B2004800169279A CN 200480016927 A CN200480016927 A CN 200480016927A CN 100412825 C CN100412825 C CN 100412825C
- Authority
- CN
- China
- Prior art keywords
- safety record
- subclauses
- clauses
- safety
- candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/289—Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Memory System Of A Hierarchy Structure (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
公开了一种用于缓存供硬件卸载设备访问的安全记录的方法。
Description
技术领域
本发明涉及网络安全领域,具体地说,涉及更新用于存储安全记录的缓存。
背景技术
执行安全相关任务的数字信息处理设备,例如计算机、路由器、交换机、网络设备、机顶盒等可以包括用于完成至少一部分安全相关任务的硬件卸载设备(HardwareOffloading Devices,“HOD”)。HOD通常可以驻留在网络设备上,或者作为独立的设备驻留在主机上。这样一种体系结构的一个优点就是减轻了其他资源上的处理负担。另外,一个具体的硬件卸载设备可被设计来更有效率地完成某些任务。
一些安全相关任务的执行可能会涉及安全记录。安全记录是包括在执行某些安全相关任务时可能有用的信息的数据结构。例如,IPSEC协议(到2003为止在IETF RFC1825和RFC2401等当中定义,但仍在演变中)使用安全关联(Security Association,SA)。安全关联(SA)是一组安全参数,它们至少部分确定对IPSEC分组施加何种变换,以及应当如何施加该变换。例如,SA可以包括对完成加密、解密和/或认证有用的密码密钥。
在一些情形中,除非安全记录位于硬件上或位于硬件附近,例如在硬件表中,否则硬件卸载设备可能不是那么有效率。术语“缓存(cache)”用在本专利中是指可位于硬件上或硬件附近的存储。即,如果安全记录不在缓存中,那么硬件卸载设备可能不得不等待安全记录从某个其他地方转移过来,这可能引入相当大的或者难以接受的延迟量。当被请求的安全记录位于硬件上时,被称为“命中(hit)”,当它不在硬件上时,则被称为“缺失(miss)”。
希望有尽可能多的命中。此外,可能硬件表的大小有限。如果是这样的话,硬件卸载设备的效率可能至少部分取决于哪些安全记录被实际存储在硬件表中。即,命中的数量可能取决于用来确定哪些安全记录将被存储在硬件表中的方法。用于确定哪些安全记录被存储在硬件表上的改进处理可导致命中数量相对于缺失数量的提高。
因此,需要一种改进的方法及相应的装置,用于确定哪些安全记录被存储在硬件卸载设备上或其附近。
发明内容
根据本发明的一个方面,提供了一种更新硬件表中的安全记录条目的方法,所述方法包括:基于确定的时间间隔,将所述硬件表中的每个安全记录条目标记为替换候选,每个安全记录条目具有一组安全参数;在接收到具有安全记录的分组之后,检查所述硬件表以查找与所述安全记录相对应的安全记录条目;如果不存在与所述安全记录相对应的安全记录条目,则进行检查以确定在所述硬件表中是否存在替换候选;如果存在替换候选,则用所述安全记录来替换包含所述替换候选的安全记录条目。
根据本发明的另一个方面,提供了一种装置,包括:硬件卸载设备和缓存,所述缓存具有存储安全记录的位置;其中在安全记录缺失后并且如果存在可用的位置,则所述装置将缺失的安全记录存储在可用的位置中,并且其中所述缓存中的每个安全记录条目基于确定的时间间隔被标记为替换候选。
附图说明
在本申请的权利要求书部分具体指出并特别要求了保护本公开的主题。然而,结合附图参考以下详细的描述可以最好地理解所述主题的组织和方法或操作,及其目的、特征和优点,在附图中:
图1是与所要求保护主题的实施方案一致的、耦合到网络的主机系统的框图。
图2是与所要求保护主题的实施方案一致的主机系统的框图。
图3是示出当发生缓存缺失时,与发生在所要求保护主题的一个实施方案中的操作一致的操作的流程图。
图4示出了实现与所要求保护主题的实施方案一致的过程的伪码。
具体实施方式
在以下详细的描述中,阐述了很多具体的细节,以提供对所要求保护的主题的彻底理解。然而,本领域的技术人员将认识到,没有这些具体的细节,也可以实现所要求保护的主题。此外,没有详细描述公知的方法、过程、组件和电路,以免模糊了所要求保护的主题。
图1示出了与所要求保护主题的实施方案一致的、耦合到网络的主机系统的框图。例如可以包括服务器的主机系统200在这里包括操作系统210和硬件卸载设备(“HOD”)230。操作系统210在这里包括用于包括在该系统中的各种设备的设备驱动器,所述设备例如是适配器10和硬件卸载设备(HOD)230。在该实施方案中,设备驱动器215是用于适配器10的,而设备驱动器220是用于HOD 230的。此外,HOD包括存储器235(这里也被称为“缓存”)。该存储器可以包括非易失性存储器,例如ROM、EEPROM、闪存或电池支持的RAM,以允许安全记录即使在主机系统200不加电的时候也能够保持。如果不需要具有持久性的特性,那么普通的易失性存储器也是适合的。所要求保护的主题在这方面并不受限。另外,存储器235可以是片上(on-chip)或片外(off-chip)存储器,只要能满足所分配的时间预算。
穿过图1中所示系统的分组流如下所述。术语“分组(packet)”用来指分组或者帧或者信元(cell),只要它适合于实施方案中所使用的具体连网技术。分组是通过适配器10上的入口端口而从网络100接收到的。一旦分组从网络上接收下来,它就被处理。适配器10对分组执行某些处理任务,然后将分组提供给主机系统200,由主机系统200执行进一步的处理。由适配器执行哪些任务,由其他处理元件执行哪些任务,这些任务的选择可以随体系结构的不同而不同。所要求保护的主题在这方面并不受限。
在该实施方案中,处理任务之一可以包括判断分组是否包括IPSEC分组。当然,使用IPSEC协议只是该实施方案的一个特征,并不是所要求保护的主题所必需的。在该实施方案中,可以在主机系统200中完成这一判断。这一判断可以根据前面提到的RFC,即RFC2401。一旦确定分组使用IPSEC,则收集并存储包括安全关联(“SA”)的数据用于进一步的处理。如图2所示,主机系统200在该实施方案中包括存储在存储器400中的SA数据库300,它可以包括已流入主机系统200的IPSEC分组的大量SA。
图2是与所要求保护主题的实施方案一致的主机系统的框图。硬件卸载设备230上的存储器235在这里包括硬件表226。在一个实施方案中,由HOD 230使用的安全记录被存储在硬件表226中以供快速访问。箭头15指示了下面将要描述的一种方法,HOD设备驱动器220借助该方法来确定存储在存储器400中的哪些安全记录可以被存储在硬件表226中。
在该实施方案中,IPSEC处理可以由HOD 230来完成。为了对IPSEC分组执行加密和解密,HOD 230使用适当的SA。在该实施方案中,HOD可以检查存储器235来寻找SA。如果期望的安全关联处在存储器235中,则被称为“命中”,如果不在,则被称为“缺失”。在命中时,HOD可以取得SA并执行相关的IPSEC处理,例如加密和解密。在该实施方案中,在缺失时,HOD 230一般不能在分配的时间预算内处理IPSEC分组。
图3是针对一个具体的实施方案描述了在缺失时所发生的操作的流程图。在菱形框500中,判断是否发生了缺失。如果是,则判断在HOD存储器235上的硬件表(HardwareTable,“HT”)226中是否存在可用的位置(slot)。在该实施方案中,如下判断一个位置是不是可用位置。以某一间隔,例如说每n秒,HT中的所有现存SA被标记为替换的候选。在一个实施方案中,所述间隔是固定的。然而,所要求保护的主题在这方面并不受限。例如,当存在循环的表刷新时,间隔可以变化。在另一个实施方案中,间隔可以根据不同的网络流量条件而变。在一个实施方案中,除非存在对可用位置的请求,否则替换候选被留在硬件表中。然而,所要求保护的主题在这方面并不受限,例如SA一旦被确定为替换候选就可以被删除。
至少由于以下原因,参照所要求保护主题的实施方案来描述的方法是有利的。对于不在HT中的最常使用的SA,发生缺失的概率将非常高。因此,当存在可用的位置时,这样的SA将被加入HT中。
如果存在可用的位置,那么在该实施方案中,在菱形框530中判断SA是否已在表中。这一操作考虑到在该实施方案中,发生缺失的原因可能不是因为SA不在硬件表中。然而,所要求保护的主题在这方面并不受限,在另一个实施方案中,可以不进行后面的判断而将SA添加到表中。然而,在当前实施方案中,在框540中如果已确定SA还不在硬件表中,那么它就被插入可用的位置之一中。
图4示出了与所要求保护主题的实施方案一致的伪码,但是所要求保护的主题在这方面并不受限。在行10中,设置时间间隔来确定何时将现存的HT条目标记为可替换的。在行20中,基于指定时间间隔的流逝,现存的HT条目被标记为可替换的。从行30开始,示出了每分组的处理。在行40上,如果确定分组是IPSEC并且发生缺失,那么执行行50。在行50上,如果缓存不是满的(例如,如果至少存在一个可替换的位置),并且SA还不在缓存中,那么执行行60。即,所述SA被添加到缓存中。
虽然这里已经图示并描述了所要求保护的主题的某些特征,但是本领域的技术人员将会做出很多修改、替换、改变和等同物。例如,只要访问时间足够短,就可以用片外缓存来取代片上缓存。因此,可以理解,所附权利要求书意图覆盖所有这样的修改和改变。
Claims (11)
1. 一种更新硬件表中的安全记录条目的方法,所述方法包括:
基于确定的时间间隔,将所述硬件表中的每个安全记录条目标记为替换候选,每个安全记录条目具有一组安全参数;
在接收到具有安全记录的分组之后,检查所述硬件表以查找与所述安全记录相对应的安全记录条目;
如果不存在与所述安全记录相对应的安全记录条目,则进行检查以确定在所述硬件表中是否存在替换候选;
如果存在替换候选,则用所述安全记录来替换包含所述替换候选的安全记录条目。
2. 如权利要求1所述的方法,其中,所述安全记录包括IPSEC安全关联。
3. 如权利要求1所述的方法,其中所述确定的时间间隔包括每隔N秒。
4. 如权利要求3所述的方法,其中所述确定的时间间隔根据网络流量条件而动态改变。
5. 如权利要求1所述的方法,其中不删除成为替换候选的安全记录条目,除非存在将另一个安全记录存储在所述成为替换候选的安全记录条目的位置中的请求。
6. 一种装置,包括:
硬件卸载设备和缓存,所述缓存具有存储安全记录的位置;
其中在安全记录缺失后并且如果存在可用的位置,则所述装置将缺失的安全记录存储在可用的位置中,并且其中所述缓存中的每个安全记录条目基于确定的时间间隔被标记为替换候选。
7. 如权利要求6所述的装置,其中所述装置被用来使得至少一个位置变为反复可用的。
8. 如权利要求6所述的装置,其中所述装置还被用来使得:只有在为之发生缺失的安全记录还不在所述缓存中时,才将该安全记录添加到所述缓存中。
9. 如权利要求6所述的装置,其中所述装置还被用来使得安全记录包括IPSEC安全关联。
10. 如权利要求7所述的装置,其中所述装置还被用来使得时间间隔根据网络流量条件而动态改变。
11. 如权利要求6所述的装置,其中所述装置还被用来使得被标记为替换候选的安全记录条目不被删除,除非所述被标记为替换候选的安全记录条目的位置被请求存储另一个安全记录。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/421,581 US7549023B2 (en) | 2003-04-21 | 2003-04-21 | Method and apparatus to update a cache for security records |
US10/421,581 | 2003-04-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1806232A CN1806232A (zh) | 2006-07-19 |
CN100412825C true CN100412825C (zh) | 2008-08-20 |
Family
ID=33159415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004800169279A Expired - Fee Related CN100412825C (zh) | 2003-04-21 | 2004-03-24 | 更新用于安全记录的缓存的方法和装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7549023B2 (zh) |
EP (1) | EP1616261A1 (zh) |
CN (1) | CN100412825C (zh) |
TW (1) | TWI242713B (zh) |
WO (1) | WO2004095292A1 (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100077203A1 (en) * | 2006-07-13 | 2010-03-25 | Keiko Ogawa | Relay device |
US8607058B2 (en) | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
US10348681B2 (en) * | 2007-01-24 | 2019-07-09 | International Business Machines Corporation | Centralized secure offload of security services for distributed security enforcement points |
CN104932990B (zh) * | 2015-06-03 | 2018-05-11 | 华为技术有限公司 | 一种高速缓冲存储器中数据块的替换方法和装置 |
US11741056B2 (en) | 2019-11-01 | 2023-08-29 | EMC IP Holding Company LLC | Methods and systems for allocating free space in a sparse file system |
US11604610B2 (en) * | 2021-04-29 | 2023-03-14 | EMC IP Holding Company LLC | Methods and systems for storing data in a distributed system using offload components |
US11669259B2 (en) | 2021-04-29 | 2023-06-06 | EMC IP Holding Company LLC | Methods and systems for methods and systems for in-line deduplication in a distributed storage system |
US11892983B2 (en) | 2021-04-29 | 2024-02-06 | EMC IP Holding Company LLC | Methods and systems for seamless tiering in a distributed storage system |
US11579976B2 (en) | 2021-04-29 | 2023-02-14 | EMC IP Holding Company LLC | Methods and systems parallel raid rebuild in a distributed storage system |
US11740822B2 (en) | 2021-04-29 | 2023-08-29 | EMC IP Holding Company LLC | Methods and systems for error detection and correction in a distributed storage system |
US11567704B2 (en) | 2021-04-29 | 2023-01-31 | EMC IP Holding Company LLC | Method and systems for storing data in a storage pool using memory semantics with applications interacting with emulated block devices |
US11922071B2 (en) | 2021-10-27 | 2024-03-05 | EMC IP Holding Company LLC | Methods and systems for storing data in a distributed system using offload components and a GPU module |
US12007942B2 (en) | 2021-10-27 | 2024-06-11 | EMC IP Holding Company LLC | Methods and systems for seamlessly provisioning client application nodes in a distributed system |
US11762682B2 (en) | 2021-10-27 | 2023-09-19 | EMC IP Holding Company LLC | Methods and systems for storing data in a distributed system using offload components with advanced data services |
US11677633B2 (en) | 2021-10-27 | 2023-06-13 | EMC IP Holding Company LLC | Methods and systems for distributing topology information to client nodes |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1120699A (zh) * | 1994-02-03 | 1996-04-17 | 国际商业机器公司 | 高速缓存控制系统 |
US20020133608A1 (en) * | 2001-01-17 | 2002-09-19 | Godwin James Russell | Methods, systems and computer program products for security processing inbound communications in a cluster computing environment |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4928239A (en) * | 1986-06-27 | 1990-05-22 | Hewlett-Packard Company | Cache memory with variable fetch and replacement schemes |
US6976090B2 (en) * | 2000-04-20 | 2005-12-13 | Actona Technologies Ltd. | Differentiated content and application delivery via internet |
US6981138B2 (en) * | 2001-03-26 | 2005-12-27 | Microsoft Corporation | Encrypted key cache |
US20020199020A1 (en) * | 2001-06-25 | 2002-12-26 | Microsoft Corporation | Method and system for resolving names on a network gateway having multiple distinct network interfaces |
US6766420B2 (en) * | 2001-09-27 | 2004-07-20 | International Business Machines Corporation | Selectively powering portions of system memory in a network server to conserve energy |
US6891543B2 (en) * | 2002-05-08 | 2005-05-10 | Intel Corporation | Method and system for optimally sharing memory between a host processor and graphics processor |
US6785790B1 (en) * | 2002-05-29 | 2004-08-31 | Advanced Micro Devices, Inc. | Method and apparatus for storing and retrieving security attributes |
US6934806B2 (en) * | 2002-09-23 | 2005-08-23 | International Business Machines Corporation | Method and system for improving input/output performance by proactively flushing and locking an entire page out of caches of a multiprocessor system |
-
2003
- 2003-04-21 US US10/421,581 patent/US7549023B2/en not_active Expired - Fee Related
-
2004
- 2004-03-24 WO PCT/US2004/008885 patent/WO2004095292A1/en active Application Filing
- 2004-03-24 EP EP04759741A patent/EP1616261A1/en not_active Withdrawn
- 2004-03-24 CN CNB2004800169279A patent/CN100412825C/zh not_active Expired - Fee Related
- 2004-03-25 TW TW093108173A patent/TWI242713B/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1120699A (zh) * | 1994-02-03 | 1996-04-17 | 国际商业机器公司 | 高速缓存控制系统 |
US20020133608A1 (en) * | 2001-01-17 | 2002-09-19 | Godwin James Russell | Methods, systems and computer program products for security processing inbound communications in a cluster computing environment |
Non-Patent Citations (6)
Title |
---|
A parallel packet screen for high speed networks. Carsten Benecke.COMPUTER SECURITY APPLICATIONS CONFERENCE, 1999.. 1999 |
A parallel packet screen for high speed networks. Carsten Benecke.COMPUTER SECURITY APPLICATIONS CONFERENCE, 1999.. 1999 * |
Design and Evaluation of a High-PerformanceATM Firewall Switch and Its Applications. Jun Xu, Mukesh Singhal.IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS,Vol.17 No.6. 1999 |
Design and Evaluation of a High-PerformanceATM Firewall Switch and Its Applications. Jun Xu, Mukesh Singhal.IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS,Vol.17 No.6. 1999 * |
利用高速缓存调度算法实现通讯信息的缓冲. 万春,刘丽莉.电脑编程技巧与维护. 2002 |
利用高速缓存调度算法实现通讯信息的缓冲. 万春,刘丽莉.电脑编程技巧与维护. 2002 * |
Also Published As
Publication number | Publication date |
---|---|
CN1806232A (zh) | 2006-07-19 |
US7549023B2 (en) | 2009-06-16 |
EP1616261A1 (en) | 2006-01-18 |
TW200506613A (en) | 2005-02-16 |
WO2004095292A1 (en) | 2004-11-04 |
US20040210761A1 (en) | 2004-10-21 |
TWI242713B (en) | 2005-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100412825C (zh) | 更新用于安全记录的缓存的方法和装置 | |
DE60036284T2 (de) | Vorrichtung zur klassifizierung in einem kryptographischen beschleunigungschip | |
CN101755418B (zh) | 优化加密广域网络通信 | |
US7814310B2 (en) | IPsec performance optimization | |
US6341164B1 (en) | Method and apparatus for correcting improper encryption and/or for reducing memory storage | |
US8798272B2 (en) | Systems and methods for managing multiple keys for file encryption and decryption | |
CN110493258B (zh) | 基于token令牌的身份校验方法及相关设备 | |
US7409370B2 (en) | Secured and selective runtime auditing services using a trusted computing device | |
JP2002533799A (ja) | ソフトウェアエージェントとエージェントアクティビティの検証 | |
US20060274361A1 (en) | Network image processing system, network image processing apparatus, and network image processing method | |
CN110995656B (zh) | 负载均衡方法、装置、设备及存储介质 | |
US20050149744A1 (en) | Network processor having cryptographic processing including an authentication buffer | |
US8284944B2 (en) | Unified and persistent system and method for automatic configuration of encryption | |
CN115118483A (zh) | 数据处理方法、装置、系统及存储介质 | |
US8711706B2 (en) | Protocol delay measuring device and protocol delay measuring method | |
CN101217695A (zh) | 数据采集方法、数据采集卡以及数据采集系统 | |
EP3299985A1 (en) | Settlement terminal and method of protecting data stored in the settlement terminal against tampering | |
WO2006002237A1 (en) | Method, apparatuses and program storage device for efficient policy change management in virtual private networks | |
CN109327864A (zh) | 流量处理方法、装置、设备及存储介质 | |
CN1512700A (zh) | 基于保密通信的无缝换钥技术 | |
EP2472930A1 (en) | Partial failure messaging | |
CN114490451A (zh) | 数据加密及数据解密方法、装置、存储介质及电子装置 | |
CN102404711B (zh) | 移动终端锁网装置及模块间认证方法 | |
JP3961968B2 (ja) | 移動通信方法及びその装置 | |
US8176545B1 (en) | Integrated policy checking system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080820 Termination date: 20210324 |