CN115150179B - 软硬生命老化控制方法和相关装置、芯片、介质和程序 - Google Patents
软硬生命老化控制方法和相关装置、芯片、介质和程序 Download PDFInfo
- Publication number
- CN115150179B CN115150179B CN202210821813.1A CN202210821813A CN115150179B CN 115150179 B CN115150179 B CN 115150179B CN 202210821813 A CN202210821813 A CN 202210821813A CN 115150179 B CN115150179 B CN 115150179B
- Authority
- CN
- China
- Prior art keywords
- hard
- soft
- counter value
- life
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000032683 aging Effects 0.000 title claims abstract description 194
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000004590 computer program Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 abstract description 13
- 238000012545 processing Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012559 user support system Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种软硬生命老化控制方法及相关装置、芯片、介质和程序。该方法包括:通过软件缓存预先配置的软硬生命老化阈值,再根据软硬生命老化阈值配置硬件寄存器中的软硬生命计数器值,每当硬件寄存器中的硬生命计数器值小于等于软生命计数器值或硬生命计数器值为0或软生命计数器值为0时,通过硬件向软件发送中断指令,通过软件接收到中断指令后,根据当前的软轮数以及硬轮数判断是软生命老化事件还是硬生命老化事件。上述方法在配置超过232的软硬生命老化阈值时,保证硬生命老化事件精准的前提下,精确地控制软生命老化事件,避免了由于硬生命老化事件到期后重新协商SA信息以致数据泄露等问题,提高了数据传输的安全性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及软硬生命老化控制方法和相关装置、芯片、介质和程序。
背景技术
随着互联网技术的发展,为防止网络通信中的信息泄露,在数据发送者和接收者之间建立互联网安全协议(Internet Protocol Security,IPSec)隧道,数据发送者可以事先对网络传输中的数据包进行加密,即使数据包在传输过程中被拦截,也不易被破解篡改,数据接收者在接收到数据包后用双方协商好的秘钥信息进行解密和完整性的校验,从而保证数据包中的信息没有被泄露和篡改,提高了网络数据在公网上传输的安全性和完整性。
软生命老化是指当发送或者接收的IPSec包到达软生命老化阈值,软件通知上层重新进行IPSec隧道的协商生成新的秘钥;硬生命老化是指当发送或者接收的IPSec包到达硬生命老化阈值,则删除本条IPSec隧道。
在高速网络中,受IPSec序列号32比特(bit)的限制,每发送或者接收232个包就要重新协商一次IPSec安全联盟(Security Associations,SA)信息,在大量数据报文的情况下,为解决这种问题引入扩展电子序列号(Electronic Serial Number,ESN),即ESN支持64bit。在扩展ESN后,用户配置超过232的软硬生命老化阈值时,硬件32bit的软硬生命计数器无法满足用户配置的软硬生命老化要求,因此可以通过软硬件配合的方式实现对IPSecSA软硬生命老化的控制。目前对于软生命老化事件的预判处理存在误差(提前或延迟软生命老化事件),导致在IPSec SA的硬生命老化事件到期时,不能够完成IPSec SA秘钥等信息的重新协商,从而导致IPSec隧道断开带来数据或关键信息泄露或被篡改的风险。
发明内容
本申请实施例提供了一种软硬生命老化控制方法及相关装置、芯片、介质和程序,在配置超过232的软硬生命老化阈值时,保证硬生命老化事件精准的前提下,精确地控制软生命老化事件,避免了由于硬生命老化事件到期后重新协商SA信息以致数据泄露等问题,提高了数据传输的安全性。
第一方面,本申请实施例提供了一种软硬生命老化控制方法,包括:
通过硬件获取当前硬件寄存器中的第一软硬生命计数器值,所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值;
当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第一硬生命计数器值自减得到第二硬生命计数器值;
当所述第二硬生命计数器值小于等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时,通过所述硬件向软件发送中断指令;
基于所述中断指令,通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数;
当所述第一软轮数为0时,通过所述软件确定所述SA为软生命老化事件;当所述第一软轮数为0且所述第一硬轮数为0时,通过所述软件确定所述SA为硬生命老化事件。
在上述方法中,通过软件缓存预先配置的软硬生命老化阈值,再根据硬生命老化阈值的范围给硬件寄存器配置不同的软硬生命计数器值,当通过IPSec隧道进行IPSec包的加解密认证成功后,通过硬件比较第二硬生命计数器值和第一软生命计数器值的大小,当符合预设大小关系时,硬件向软件发送中断指令,软件接收到中断指令后,确定IPSec SA是软生命老化事件到期还是硬生命老化事件到期,从而进行相应的处理。该方法保证硬生命老化事件精准的前提下,精确地控制软生命老化事件,避免了由于硬生命老化事件到期后重新协商SA信息以致数据泄露等问题,提高了数据传输的安全性。
在一种可能的实现方式中,所述方法还包括:
当所述第一软轮数不为0且所述第一硬轮数不为0时,通过所述软件对所述第一软轮数减1得到第二软轮数,对所述第一硬轮数减1得到第二硬轮数;
当所述第二硬轮数大于1时,通过所述软件将配置在所述硬件寄存器中的所述第二硬生命计数器值的最高位置为1得到第三硬生命计数器值,其中,所述第二硬生命计数器值为32位二进制数值;
当所述第二硬轮数等于1时,通过所述软件根据第一取模值以及第二取模值,对所述第一软生命计数器值进行操作,其中,所述第一取模值是通过所述软件对预先配置的软生命老化阈值进行取模得到的,所述第二取模值是通过所述软件对预先配置的硬生命老化阈值进行取模得到的。
在本申请实施例中,当第一软轮数和第一硬轮数都不为0时,通过软件确定IPSecSA不是软生命老化事件到期,也不是硬生命老化事件到期,此时,需要判断第二硬轮数是否为最后一轮,当第二硬轮数不为最后一轮(大于1)时,说明硬生命老化事件还没有将要到期,则对第二硬生命计数器值最高位置为1,当第二硬轮数为最后一轮(等于1)时,说明硬生命老化事件将要到期,则对第一软生命计数器值进行操作,从而保证软生命老化事件在硬生命老化事件之前到期。
在一种可能的实现方式中,所述通过所述软件根据所述第一取模值以及所述第二取模值,对所述第一软生命计数器值进行操作包括:
当所述第二取模值大于等于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a,其中,所述b为所述第二取模值,所述a为所述第一取模值;或
当所述第二取模值小于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a+231,其中,所述b为所述第二取模值,所述a为所述第一取模值。
在本申请实施例中,当第二硬轮数为最后一轮(等于1)时,说明硬生命老化事件将要到期,则需要对第一软生命计数器值进行修改,从而使修改后的第二软生命计数器值对应的软生命老化事件在硬生命老化事件之前到期,从而实现精确地控制软生命老化事件,避免了由于硬生命老化事件到期后重新协商SA信息以致数据泄露等问题,提高了数据传输的安全性。
在一种可能的实现方式中,所述方法还包括:
当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第三硬生命计数器值自减得到第四硬生命计数器值;
当所述第四硬生命计数器值小于等于所述第一软生命计数器值时,通过所述硬件向所述软件发送所述中断指令;
基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
在本申请实施例中,上一轮通过软件确定IPSec SA不是软生命老化事件到期,也不是硬生命老化事件到期,且硬生命老化事件还没有将要到期,当再一次通过IPSec隧道进行IPSec包的加解密认证成功后,通过硬件比较本轮第四硬生命计数器值和第一软生命计数器值的大小,当符合预设大小关系时,硬件向软件发送中断指令,软件接收到中断指令后,确定本轮IPSec SA是软生命老化事件到期还是硬生命老化事件到期,从而进行相应的处理。
在一种可能的实现方式中,所述方法还包括:
当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第二硬生命计数器值自减得到第五硬生命计数器值;
当所述第五硬生命计数器值为0或所述第二软生命计数器值为0时,通过所述硬件向所述软件发送所述中断指令;
基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
在本申请实施例中,上一轮通过软件确定IPSec SA不是软生命老化事件到期,也不是硬生命老化事件到期,且硬生命老化事件将要到期,当再一次通过IPSec隧道进行IPSec包的加解密认证成功后,通过硬件判断本轮第五硬生命计数器值或第二软生命计数器值是否为0,当第五硬生命计数器值为0或第二软生命计数器值为0时,硬件向软件发送中断指令,软件接收到中断指令后,确定本轮IPSec SA是软生命老化事件到期还是硬生命老化事件到期,从而进行相应的处理。
在一种可能的实现方式中,所述通过所述软件确定所述SA为所述软生命老化事件之后,还包括:
通过所述软件重新配置SA信息,其中,所述SA信息包括互认策略、秘钥机制以及秘钥中的至少一项。
在本申请实施例中,当通过软件确定SA为软生命老化事件到期后,则通过软件通知上层进行重新协商SA秘钥等信息,从而保证IPSec隧道中的数据传输不会中断,提升了数据传输的安全性。
在一种可能的实现方式中,所述通过所述软件确定所述SA为所述硬生命老化事件之后,还包括:
通过所述软件删除SA信息对应的安全联盟数据库SAD表项。
在本申请实施例中,当通过软件确定SA为硬生命老化事件到期后,则通过软件删除SA信息对应的SAD表项等信息,并建立新的IPSec隧道,重新配置软硬生命老化阈值等,从而保证数据传输的安全性。
第二方面,本申请实施例提供了一种软硬生命老化控制装置,包括:
获取单元,用于通过硬件获取当前硬件寄存器中的第一软硬生命计数器值,所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值;
计算单元,用于当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第一硬生命计数器值自减得到第二硬生命计数器值;
发送单元,用于当所述第二硬生命计数器值小于等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时,通过所述硬件向软件发送中断指令;
所述获取单元,用于基于所述中断指令,通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数;
确定单元,用于当所述第一软轮数为0时,通过所述软件确定所述SA为软生命老化事件;当所述第一软轮数为0且所述第一硬轮数为0时,通过所述软件确定所述SA为硬生命老化事件。
在一种可能的实现方式中,所述计算单元还用于:
当所述第一软轮数不为0且所述第一硬轮数不为0时,通过所述软件对所述第一软轮数减1得到第二软轮数,对所述第一硬轮数减1得到第二硬轮数;
当所述第二硬轮数大于1时,通过所述软件将配置在所述硬件寄存器中的所述第二硬生命计数器值的最高位置为1得到第三硬生命计数器值,其中,所述第二硬生命计数器值为32位二进制数值;
当所述第二硬轮数等于1时,通过所述软件根据第一取模值以及第二取模值,对所述第一软生命计数器值进行操作,其中,所述第一取模值是通过所述软件对预先配置的软生命老化阈值进行取模得到的,所述第二取模值是通过所述软件对预先配置的硬生命老化阈值进行取模得到的。
在一种可能的实现方式中,所述计算单元具体用于:
当所述第二取模值大于等于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a,其中,所述b为所述第二取模值,所述a为所述第一取模值;或
当所述第二取模值小于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a+231,其中,所述b为所述第二取模值,所述a为所述第一取模值。
在一种可能的实现方式中,所述计算单元,还用于当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第三硬生命计数器值自减得到第四硬生命计数器值;
所述发送单元,还用于当所述第四硬生命计数器值小于等于所述第一软生命计数器值时,通过所述硬件向所述软件发送所述中断指令;
所述获取单元,还用于基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
所述确定单元,还用于当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
在一种可能的实现方式中,所述计算单元,还用于当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第二硬生命计数器值自减得到第五硬生命计数器值;
所述发送单元,还用于当所述第五硬生命计数器值为0或所述第二软生命计数器值为0时,通过所述硬件向所述软件发送所述中断指令;
所述获取单元,还用于基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
所述确定单元,还用于当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
在一种可能的实现方式中,所述装置还包括:
配置单元,用于通过所述软件重新配置SA信息,其中,所述SA信息包括互认策略、秘钥机制以及秘钥中的至少一项。
在一种可能的实现方式中,所述装置还包括:
删除单元,用于通过所述软件删除SA信息对应的安全联盟数据库SAD表项。
该软硬生命老化控制装置执行的操作及有益效果可以参见上述第一方面中任意一项所述的方法以及有益效果,重复之处不再赘述。
第三方面,本申请提供了一种软硬生命老化控制装置,该软硬生命老化控制装置可以是网络设备,也可以是网络设备中的装置,或者是能够和网络设备匹配使用的装置。该软硬生命老化控制装置可执行第一方面中任意一项所述的方法。该软硬生命老化控制装置的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。该模块可以是软件和/或硬件。该软硬生命老化控制装置执行的操作及有益效果可以参见上述第一方面中任意一项所述的方法以及有益效果,重复之处不再赘述。
第四方面,本申请提供了一种软硬生命老化控制装置,所述软硬生命老化控制装置包括处理器,当所述处理器调用存储器中的计算机程序时,如第一方面中任意一项所述的方法被执行。
第五方面,本申请提供了一种软硬生命老化控制装置,所述软硬生命老化控制装置包括处理器和存储器,所述存储器用于存储计算机程序;所述处理器用于执行所述存储器所存储的计算机程序,以使所述软硬生命老化控制装置执行如第一方面中任意一项所述的方法。
第六方面,本申请提供了一种软硬生命老化控制装置,所述软硬生命老化控制装置包括处理器、存储器和收发器,所述收发器,用于接收信道或信号,或者发送信道或信号;所述存储器,用于存储计算机程序;所述处理器,用于从所述存储器调用所述计算机程序执行如第一方面中任意一项所述的方法。
第七方面,本申请提供了一种软硬生命老化控制装置,所述软硬生命老化控制装置包括处理器和接口电路,所述接口电路,用于接收计算机程序并传输至所述处理器;所述处理器运行所述计算机程序以执行如第一方面中任意一项所述的方法。
第八方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序被执行时,使得如第一方面中任意一项所述的方法被实现。
第九方面,本申请提供一种包括计算机程序的计算机程序产品,当计算机程序被执行时,使得如第一方面中任意一项所述的方法被实现。
第十方面,本申请实施例提供了一种软硬生命老化控制系统,该软硬生命老化控制系统包括至少一个服务器和至少一个网络设备,该服务器用于执行上述第一方面中任意一项的步骤。
附图说明
以下对本申请实施例用到的附图进行介绍。
图1是本申请实施例提供的一种软硬生命老化控制系统的架构示意图;
图2是本申请实施例提供的一种软硬生命老化控制方法的流程图;
图3是本申请实施例提供的一种软硬生命老化控制方法的流程图;
图4是本申请实施例提供的一种软硬生命老化控制装置400的结构示意图;
图5是本申请实施例提供的一种软硬生命老化控制装置500的结构示意图。
具体实施方式
下面结合本申请实施例中的附图对本申请实施例进行描述。
请参见图1,图1是本申请实施例提供的一种软硬生命老化控制系统的架构示意图,该系统包括网络设备101,客户端102,硬件103,服务器104,其中:
网络设备101是连接到网络中的物理实体。网络设备101的种类繁多,在局域网、城域网或者广域网中,物理上通常都是由网卡、集线器、交换机、路由器、网线等网络连接设备和传输介质组成。网络设备101可以包括中继器、网桥、路由器、交换机等。
可选的,网络设备101可以泛指多个网络设备中的一个或多个,当网络设备101作为一端时,可以称之为本端网络设备,与之建立通信连接的网络设备作为另一端,可以称之为对端网络设备,其中,本端网络设备可以与对端网络设备之间建立IPSec隧道,基于该IPSec隧道本端网络设备可以将接收到的IPSec数据包转发至对端网络设备,即本端网络设备与对端网络设备是一对IPSec对等体。网络设备101可以对IPSec隧道中的数据包进行加密、解密、认证等,网络设备101中硬件寄存器可以配置软硬生命计数器值。
客户端102是安装在网络设备101上的软件,通过运行客户端102可以确定IPSecSA是否发生软生命老化事件或硬生命老化事件,同时缓存64bit的软硬生命老化阈值等。
硬件103是安装在网络设备101中的芯片系统,该芯片系统可以包括处理器,用于支持网络设备101对硬件寄存器中的软硬生命计数器值进行配置以及计算处理等。该芯片系统还可以包括存储器,用于存储SA信息和SA信息对应的各种表项。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件。
服务器104可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)以及大数据和人工智能平台等基础云计算服务的云服务器。服务器104为网络设备101、客户端102以及硬件103提供计算或者应用服务,为IPSec隧道中的数据传输提供后台服务。
请参见图2,图2是本申请实施例提供的一种软硬生命老化控制方法的流程图,该方法包括但不限于如下步骤:
S201:通过硬件获取当前硬件寄存器中的第一软硬生命计数器值。
上述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值。
在一些实施例中,在通过硬件获取当前硬件寄存器中的第一软硬生命计数器值之前还包括:
通过软件缓存软硬生命老化阈值;通过软件根据软硬生命老化阈值,配置硬件寄存器中的软硬生命计数器值。其中,软硬生命老化阈值包括软生命老化阈值以及硬生命老化阈值,软硬生命计数器值包括软生命计数器值以及硬生命计数器值。
具体地,网络设备接收用户配置的SA软硬生命老化阈值,通过软件缓存64bit的软硬生命老化阈值(硬生命老化阈值hard_lifetime以及软生命老化阈值soft_lifetime),通过netlink报文格式将该软硬件生命老化阈值下发至内核协议栈xfrm。通过网卡驱动注册xfrmdev_ops,驱动程序(软件)获取软硬生命老化阈值后,根据硬生命老化阈值的范围配置硬件寄存器中的软硬生命计数器值。其中,用户配置的SA软硬生命老化阈值支持两种老化方式,分别是包老化和字节老化。
示例性的,通过软件缓存64bit的软硬生命老化阈值后,分别对软生命老化阈值以及硬生命老化阈值进行取整以及取模操作。其中,对hard_lifetime进行取整后得到硬轮数hard_round,对hard_lifetime进行取模后得到第二取模值b;对soft_lifetime进行取整后得到软轮数soft_round,对soft_lifetime进行取模后得到第一取模值a,具体公式如下:
hard_round=hard_lifetime/231,b=hard_lifetime%231,
soft_round=soft_lifetime/231,a=soft_lifetime%231。
接着,通过软件以硬生命老化阈值为标准配置硬件寄存器的软生命计数器值soft_lifeage_count以及硬生命计数器值hard_lifeage_count,可以分为以下两种情况:
情况一:当硬生命老化阈值hard_lifetime小于232时,hard_lifeage_count以及soft_lifeage_count的具体公式如下:
hard_lifeage_count=hard_lifetime;soft_lifeage_count=hard_lifetime-soft_lifetime。
情况二:当硬生命老化阈值hard_lifetime大于等于232时,hard_lifeage_count以及soft_lifeage_count的具体公式如下:
hard_lifeage_count=231+a;soft_lifeage_count=231。
应说明的是,软生命计数器值以及硬生命计数器值是32位二进制数值。
在该实施例中,用户可以配置超过232的软硬件老化阈值,并通过软件和硬件配合的方式,通过软件记录64bit的软硬生命阈值,通过硬件记录32bit的软生命计数器值以及32bit的硬生命计数器值,节省了硬件资源,实现对软生命老化事件的精确控制。
进一步的,在对软硬生命老化阈值以及软硬生命计数器值配置完成后,IPSec隧道开始应用于IPSec数据包的传输,当接收/发送一次IPSec包时,通过硬件获取当前硬件寄存器中的第一软硬生命计数器值,其中,第一软硬生命计数器值可能等于配置的软硬生命计数器值,也可能不等于配置的软硬生命计数器值,具体数值需要依据IPSec隧道中处理IPSec包的实际情况,本申请对此不作限定。
S202:当通过硬件对第一IPSec包进行成功处理时,通过硬件对第一硬生命计数器值自减得到第二硬生命计数器值。
具体地,通过网卡接收/发送IPSec包,当通过硬件中的IPSec业务处理模块对第一IPSec包进行成功处理(例如,加密,解密以及认证成功等)时,通过硬件对硬件寄存器中的第一硬生命计数器值自减得到第二硬生命计数器值。其中,当第一IPSec包是IPSec数据流中的第一个IPSec数据包时,第一硬生命计数器值是根据软硬生命老化阈值预先配置的硬生命计数器值;当第一IPSec包是IPSec数据流中的任意一个IPSec数据包,第一硬生命计数器值是本次IPSec数据包成功处理时,硬件寄存器中的当前硬生命计数器值。
应说明的是,当用户配置的SA软硬生命老化阈值是基于包老化方式时,通过硬件对硬件寄存器中的第一硬生命计数器值自减是将第一硬生命计数器值减1,得到第二硬生命计数器值;当用户配置的SA软硬生命老化阈值是基于字节老化方式时,通过硬件对硬件寄存器中的第一硬生命计数器值自减是将第一硬生命计数器值减该第一IPSec包所包含的字节数,得到第二硬生命计数器值。
S203:当第二硬生命计数器值小于等于第一软生命计数器值或第二硬生命计数器值为0或第一软生命计数器值为0时,通过硬件向软件发送中断指令。
具体地,通过硬件对第一硬生命计数器值进行自减操作得到第二硬生命计数器值后,再通过硬件比较当前硬件寄存器中的硬生命计数器值(第二硬生命计数器值)与软生命计数器值(第一软生命计数器值)的大小,若当前硬件寄存器中的第二硬生命计数器值小于等于第一软生命计数器值或第二硬生命计数器值为0或第一软生命计数器值为0时,通过硬件向软件发送中断指令,其中,中断指令用于软件判断当前IPSec隧道的IPSec SA是否发生软生命老化时间或硬生命老化事件。
S204:基于中断指令,通过软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数。
上述IPSec SA是由互认策略、定义安全服务秘钥机制以及IPSec隧道中通信双方保护安全通信的秘钥组成,每个SA为所负责的IPSec通信提供单方向或单一连接的安全保护。每个IPSec会话需要两个SA,如果IPSec通过认证头(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)两个安全协议来实现数据流的安全传输时,通信双方的IPSec会话需要四个SA。其中,上述软硬生命老化阈值、软硬生命计数器值以及相应的数据都保存在IPSec SA信息中。
具体地,通过软件接收到硬件发送的中断指令时,读取硬件寄存器中的SA信息,获取当前IPSec SA信息中的软硬生命老化阈值、第一软轮数以及第一硬轮数。
S205:当第一软轮数为0时,通过软件确定SA为软生命老化事件;当第一软轮数为0且第一硬轮数为0时,通过软件确定SA为硬生命老化事件。
具体地,通过软件获取到第一软轮数以及第一硬轮数后,判断是软生命老化事件还是硬生命老化事件。当第一软轮数为0时,通过软件确定当前IPSec SA发生了软生命老化事件,此时,软件通知上层strongwan重新进行IPSec隧道的协商生成新的SA信息,并重新配置新的SA信息,其中,SA信息包括互认策略、秘钥机制以及秘钥中的至少一项;当第一软轮数为0且第一硬轮数为0时,通过软件确定当前IPSec SA发生了硬生命老化事件,此时,通过软件删除SA信息对应的安全联盟数据库(Security Association Database,SAD)表项、安全策略数据库(Security Policy Database,SPD)表项等,即删除本条IPSec隧道。其中,SAD包括每个SA的参数信息等,SPD包括SA建立所需的安全需求和策略需求等。
进一步的,当第一软轮数不为0且第一硬轮数不为0时,通过软件对第一软轮数减1得到第二软轮数,对第一硬轮数减1得到第二硬轮数;当第二硬轮数大于1时,通过软件将配置在硬件寄存器中的第二硬生命计数器值的最高位置为1得到第三硬生命计数器值,其中,第二硬生命计数器值为32位二进制数值;当第二硬轮数等于1时,通过软件根据第一取模值以及第二取模值,对第一软生命计数器值进行操作。
在该实施例中,当第一软轮数和第一硬轮数都不为0时,通过软件确定IPSec SA不是软生命老化事件到期,也不是硬生命老化事件到期,此时,需要判断第二硬轮数是否为最后一轮,当第二硬轮数不为最后一轮(大于1)时,说明硬生命老化事件还没有将要到期,则对第二硬生命计数器值最高位置为1,当第二硬轮数为最后一轮(等于1)时,说明硬生命老化事件将要到期,则对第一软生命计数器值进行操作,从而保证软生命老化事件在硬生命老化事件之前到期。
在一些实施例中,通过软件根据第一取模值以及第二取模值,对第一软生命计数器值进行操作包括:
当第二取模值大于等于第一取模值时,通过软件将第一软生命计数器值修改为第二软生命计数器值,第二软生命计数器值=b-a,其中,b为第二取模值,a为第一取模值;或
当第二取模值小于第一取模值时,通过软件将第一软生命计数器值修改为第二软生命计数器值,第二软生命计数器值=b-a+231,其中,b为第二取模值,a为第一取模值。
在一些实施例中,当第二硬轮数大于1时,通过软件将配置在硬件寄存器中的第二硬生命计数器值的最高位置为1得到第三硬生命计数器值之后,还包括:
当通过硬件对第二IPSec包进行成功处理时,通过硬件对第三硬生命计数器值自减得到第四硬生命计数器值;
当第四硬生命计数器值小于等于第一软生命计数器值时,通过硬件向软件发送中断指令;
基于中断指令,通过软件获取当前SA的第二软轮数以及第二硬轮数;
当第二软轮数为0时,通过软件确定SA为软生命老化事件;当第二软轮数为0且第二硬轮数为0时,通过软件确定SA为硬生命老化事件。
在该实施例中,上一轮通过软件确定IPSec SA不是软生命老化事件到期,也不是硬生命老化事件到期,且硬生命老化事件还没有将要到期,当再一次通过IPSec隧道进行IPSec包的加解密认证成功后,通过硬件比较本轮第四硬生命计数器值和第一软生命计数器值的大小,当符合预设大小关系时,硬件向软件发送中断指令,软件接收到中断指令后,确定本轮IPSec SA是软生命老化事件到期还是硬生命老化事件到期,从而进行相应的处理。
在一些实施例中,当第二硬轮数等于1时,通过软件根据第一取模值以及第二取模值,对第一软生命计数器值进行操作之后,还包括:
当通过硬件对第二IPSec包进行成功处理时,通过硬件对第二硬生命计数器值自减得到第五硬生命计数器值;
当第五硬生命计数器值为0或第二软生命计数器值为0时,通过硬件向软件发送中断指令;
基于中断指令,通过软件获取当前SA的第二软轮数以及第二硬轮数;
当第二软轮数为0时,通过软件确定SA为软生命老化事件;当第二软轮数为0且第二硬轮数为0时,通过软件确定SA为硬生命老化事件。
在该实施例中,上一轮通过软件确定IPSec SA不是软生命老化事件到期,也不是硬生命老化事件到期,且硬生命老化事件将要到期,当再一次通过IPSec隧道进行IPSec包的加解密认证成功后,通过硬件判断本轮第五硬生命计数器值或第二软生命计数器值是否为0,当第五硬生命计数器值为0或第二软生命计数器值为0时,硬件向软件发送中断指令,软件接收到中断指令后,确定本轮IPSec SA是软生命老化事件到期还是硬生命老化事件到期,从而进行相应的处理。
请参见图3,图3是本申请实施例提供的一种软硬生命老化控制方法的流程图,该方法包括但不限于如下步骤:
S301:通过硬件获取当前硬件寄存器中的第一软硬生命计数器值。
S302:当通过硬件对第一IPSec包进行成功处理时,通过硬件对第一硬生命计数器值自减得到第二硬生命计数器值。
S303:当第二硬生命计数器值小于等于第一软生命计数器值或第二硬生命计数器值为0或第一软生命计数器值为0时,通过硬件向软件发送中断指令。
S304:基于中断指令,通过软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数。
S305:判断第一软轮数是否为0。若第一软轮数为0,则执行S306;若第一软轮数不为0,则执行S309。
S306:通过软件确定SA为软生命老化事件。
S307:判断第一硬轮数是否为0。若第一硬轮数为0,则执行S308;若第一硬轮数不为0,则执行S309。
S308:通过软件确定SA为硬生命老化事件。
S309:通过软件对第一软轮数减1得到第二软轮数,对第一硬轮数减1得到第二硬轮数。
S310:判断第二硬轮数是否大于1。若第二硬轮数大于1,则执行S311;若第二硬轮数不大于1,则执行S312。
S311:通过软件将配置在硬件寄存器中的第二硬生命计数器值的最高位置为1得到第三硬生命计数器值。
S312:判断第二硬轮数是否等于1。若第二硬轮数等于1,则执行S313。
S313:判断第二取模值是否大于等于第一取模值。若第二取模值大于等于第一取模值,则执行S314;若第二取模值小于第一取模值,则执行S315。
S314:通过软件将第一软生命计数器值修改为第二软生命计数器值,第二软生命计数器值=b-a。跳转到S301,执行S301。
其中,所述b为所述第二取模值,所述a为所述第一取模值。
S315:通过软件将第一软生命计数器值修改为第二软生命计数器值,第二软生命计数器值=b-a+231。跳转到S301,执行S301。
上述详细阐述了本申请实施例的方法,下面提供了本申请实施例的装置。
请参见图4,图4是本申请实施例提供的一种软硬生命老化控制装置400的结构示意图,该装置包括获取单元401,计算单元402,发送单元403,确定单元404,配置单元405和删除单元406,其中,各个单元的详细描述如下。
获取单元401,用于通过硬件获取当前硬件寄存器中的第一软硬生命计数器值,所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值;
计算单元402,用于当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第一硬生命计数器值自减得到第二硬生命计数器值;
发送单元403,用于当所述第二硬生命计数器值小于等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时,通过所述硬件向软件发送中断指令;
所述获取单元401,用于基于所述中断指令,通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数;
确定单元404,用于当所述第一软轮数为0时,通过所述软件确定所述SA为软生命老化事件;当所述第一软轮数为0且所述第一硬轮数为0时,通过所述软件确定所述SA为硬生命老化事件。
在一种可能的实现方式中,所述计算单元402还用于:
当所述第一软轮数不为0且所述第一硬轮数不为0时,通过所述软件对所述第一软轮数减1得到第二软轮数,对所述第一硬轮数减1得到第二硬轮数;
当所述第二硬轮数大于1时,通过所述软件将配置在所述硬件寄存器中的所述第二硬生命计数器值的最高位置为1得到第三硬生命计数器值,其中,所述第二硬生命计数器值为32位二进制数值;
当所述第二硬轮数等于1时,通过所述软件根据第一取模值以及第二取模值,对所述第一软生命计数器值进行操作,其中,所述第一取模值是通过所述软件对预先配置的软生命老化阈值进行取模得到的,所述第二取模值是通过所述软件对预先配置的硬生命老化阈值进行取模得到的。
在一种可能的实现方式中,所述计算单元402具体用于:
当所述第二取模值大于等于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a,其中,所述b为所述第二取模值,所述a为所述第一取模值;或
当所述第二取模值小于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a+231,其中,所述b为所述第二取模值,所述a为所述第一取模值。
在一种可能的实现方式中,所述计算单元402,还用于当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第三硬生命计数器值自减得到第四硬生命计数器值;
所述发送单元403,还用于当所述第四硬生命计数器值小于等于所述第一软生命计数器值时,通过所述硬件向所述软件发送所述中断指令;
所述获取单元401,还用于基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
所述确定单元404,还用于当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
在一种可能的实现方式中,所述计算单元402,还用于当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第二硬生命计数器值自减得到第五硬生命计数器值;
所述发送单元403,还用于当所述第五硬生命计数器值为0或所述第二软生命计数器值为0时,通过所述硬件向所述软件发送所述中断指令;
所述获取单元401,还用于基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
所述确定单元404,还用于当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
在一种可能的实现方式中,所述配置单元405,用于通过所述软件重新配置SA信息,其中,所述SA信息包括互认策略、秘钥机制以及秘钥中的至少一项。
在一种可能的实现方式中,所述删除单元406,用于通过所述软件删除SA信息对应的安全联盟数据库SAD表项。
需要说明的是,各个单元的实现及有益效果还可以对应参照图2或图3所示的方法实施例的相应描述。
请参见图5,图5是本申请实施例提供的一种软硬生命老化控制装置500的结构示意图,该装置500包括处理器501和收发器503,可选的,还包括存储器502,所述处理器501、存储器502和收发器503通过总线504相互连接。
存储器502包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmableread only memory,EPROM)、或便携式只读存储器(compact disc read-only memory,CD-ROM),该存储器502用于相关指令及数据。收发器503用于获取通过软件配置的报文分类规则和选路规则。
处理器501可以是一个或多个中央处理器(central processing unit,CPU),在处理器501是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该装置500中的处理器501读取所述存储器502中存储的程序代码,用于执行以下操作:
通过硬件获取当前硬件寄存器中的第一软硬生命计数器值,所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值;
当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第一硬生命计数器值自减得到第二硬生命计数器值;
当所述第二硬生命计数器值小于等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时,通过所述硬件向软件发送中断指令;
基于所述中断指令,通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数;
当所述第一软轮数为0时,通过所述软件确定所述SA为软生命老化事件;当所述第一软轮数为0且所述第一硬轮数为0时,通过所述软件确定所述SA为硬生命老化事件。
可选的,所述处理器501,还用于当所述第一软轮数不为0且所述第一硬轮数不为0时,通过所述软件对所述第一软轮数减1得到第二软轮数,对所述第一硬轮数减1得到第二硬轮数;当所述第二硬轮数大于1时,通过所述软件将配置在所述硬件寄存器中的所述第二硬生命计数器值的最高位置为1得到第三硬生命计数器值,其中,所述第二硬生命计数器值为32位二进制数值;当所述第二硬轮数等于1时,通过所述软件根据第一取模值以及第二取模值,对所述第一软生命计数器值进行操作,其中,所述第一取模值是通过所述软件对预先配置的软生命老化阈值进行取模得到的,所述第二取模值是通过所述软件对预先配置的硬生命老化阈值进行取模得到的。
可选的,所述处理器501,还用于当所述第二取模值大于等于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a,其中,所述b为所述第二取模值,所述a为所述第一取模值;或
当所述第二取模值小于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a+231,其中,所述b为所述第二取模值,所述a为所述第一取模值。
可选的,所述处理器501,还用于当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第三硬生命计数器值自减得到第四硬生命计数器值;当所述第四硬生命计数器值小于等于所述第一软生命计数器值时,通过所述硬件向所述软件发送所述中断指令;基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
可选的,所述处理器501,还用于当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第二硬生命计数器值自减得到第五硬生命计数器值;当所述第五硬生命计数器值为0或所述第二软生命计数器值为0时,通过所述硬件向所述软件发送所述中断指令;基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;当所述第二软轮数为0时,通过所述软件确定所述SA为所述软生命老化事件;当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
可选的,所述处理器501,还用于通过所述软件重新配置SA信息,其中,所述SA信息包括互认策略、秘钥机制以及秘钥中的至少一项。
可选的,所述处理器501,还用于通过所述软件删除SA信息对应的安全联盟数据库SAD表项。
需要说明的是,各个操作的实现及有益效果还可以对应参照图2或图3所示的方法实施例的相应描述。
本申请实施例还提供了一种芯片,该一种芯片为软硬生命老化控制装置内的硬件,用于支持网络设备以实现上述任一实施例中所涉及的功能。在一种可能的设计中,一种芯片还可以由芯片构成,也可以包含芯片和其他分立器件。
应理解,上述软硬生命老化控制装置中的一种芯片可以是现场可编程门阵列(field programmable gate array,FPGA),可以是专用集成芯片(applicationspecificiintegrated circuit,ASIC),还可以是系统芯片(system on chip,SoC),还可以是网络处理器(network processor,NP),或其他集成芯片。
本申请实施例还提供了一种软硬生命老化控制装置,包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
根据本申请实施例提供的方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序,当该计算机程序在计算机上运行时,使得该计算机执行图2或图3所示实施例中任意一个实施例的方法。
根据本申请实施例提供的方法,本申请还提供一种计算机可读介质,该计算机可读介质存储有计算机程序,当该计算机程序在计算机上运行时,使得该计算机执行图2或图3所示实施例中任意一个实施例的方法。
根据本申请实施例提供的方法,本申请还提供一种软硬生命老化控制系统,其包括前述的一个或多个服务器、一个或多个网络设备。
在上述实施例中,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disc,SSD))等。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step),能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种软硬生命老化控制方法,其特征在于,所述方法应用于网络设备,其中,所述方法包括:
通过硬件获取当前硬件寄存器中的第一软硬生命计数器值,所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值;
当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第一硬生命计数器值自减以得到第二硬生命计数器值;
当所述第二硬生命计数器值小于或等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时,通过所述硬件向软件发送中断指令;
基于所述中断指令,通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数;
当所述第一软轮数为0且所述第一硬轮数为0时,通过所述软件确定所述SA为硬生命老化事件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一软轮数不为0且所述第一硬轮数不为0时,通过所述软件对所述第一软轮数减1得到第二软轮数,对所述第一硬轮数减1以得到第二硬轮数;
当所述第二硬轮数大于1时,通过所述软件将配置在所述硬件寄存器中的所述第二硬生命计数器值的最高位置为1得到第三硬生命计数器值,其中,所述第二硬生命计数器值为32位二进制数值;
当所述第二硬轮数等于1时,通过所述软件根据第一取模值以及第二取模值,对所述第一软生命计数器值进行操作,其中,所述第一取模值是通过所述软件对预先配置的软生命老化阈值进行取模得到的,所述第二取模值是通过所述软件对预先配置的硬生命老化阈值进行取模得到的。
3.根据权利要求2所述的方法,其特征在于,所述通过所述软件根据所述第一取模值以及所述第二取模值,对所述第一软生命计数器值进行操作包括:
当所述第二取模值大于或等于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a,其中,所述b为所述第二取模值,所述a为所述第一取模值;或
当所述第二取模值小于所述第一取模值时,通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值,所述第二软生命计数器值=b-a+231,其中,所述b为所述第二取模值,所述a为所述第一取模值。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第三硬生命计数器值自减以得到第四硬生命计数器值;
当所述第四硬生命计数器值小于或等于所述第一软生命计数器值时,通过所述硬件向所述软件发送所述中断指令;
基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第二硬生命计数器值自减以得到第五硬生命计数器值;
当所述第五硬生命计数器值为0或所述第二软生命计数器值为0时,通过所述硬件向所述软件发送所述中断指令;
基于所述中断指令,通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数;
当所述第二软轮数为0且所述第二硬轮数为0时,通过所述软件确定所述SA为所述硬生命老化事件。
6.一种软硬生命老化控制装置,其特征在于,所述软硬生命老化控制装置应用于网络设备中,所述软硬生命老化控制装置包括:
获取单元,用于通过硬件获取当前硬件寄存器中的第一软硬生命计数器值,所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值;
计算单元,用于当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时,通过所述硬件对所述第一硬生命计数器值自减得到第二硬生命计数器值;
发送单元,用于当所述第二硬生命计数器值小于等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时,通过所述硬件向软件发送中断指令;
所述获取单元,用于基于所述中断指令,通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数;
确定单元,用于当所述第一软轮数为0且所述第一硬轮数为0时,通过所述软件确定所述SA为硬生命老化事件。
7.一种软硬生命老化控制装置,其特征在于,所述装置包括处理器和存储器,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,执行如权利要求1-5任一项所述的方法。
8.一种芯片,其特征在于,所述芯片为软硬生命老化控制装置内的硬件,当所述芯片在所述软硬生命老化控制装置上运行时,所述权利要求1-5中任一项所述的方法被执行。
9.一种计算机可读存储介质,其特征在于,用于存储计算机程序,当所述计算机程序在计算机上运行时,使所述计算机执行权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210821813.1A CN115150179B (zh) | 2022-04-25 | 2022-04-25 | 软硬生命老化控制方法和相关装置、芯片、介质和程序 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210821813.1A CN115150179B (zh) | 2022-04-25 | 2022-04-25 | 软硬生命老化控制方法和相关装置、芯片、介质和程序 |
CN202210437397.5A CN114553602B (zh) | 2022-04-25 | 2022-04-25 | 一种软硬生命老化控制方法及装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210437397.5A Division CN114553602B (zh) | 2022-04-25 | 2022-04-25 | 一种软硬生命老化控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115150179A CN115150179A (zh) | 2022-10-04 |
CN115150179B true CN115150179B (zh) | 2024-01-02 |
Family
ID=81666692
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210821813.1A Active CN115150179B (zh) | 2022-04-25 | 2022-04-25 | 软硬生命老化控制方法和相关装置、芯片、介质和程序 |
CN202210437397.5A Active CN114553602B (zh) | 2022-04-25 | 2022-04-25 | 一种软硬生命老化控制方法及装置 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210437397.5A Active CN114553602B (zh) | 2022-04-25 | 2022-04-25 | 一种软硬生命老化控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN115150179B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355570A (zh) * | 2008-09-19 | 2009-01-28 | 杭州华三通信技术有限公司 | 老化消息上报的控制方法和控制装置 |
CN103415840A (zh) * | 2011-02-28 | 2013-11-27 | 英特尔公司 | 跨硬件层和软件层的错误管理 |
CN108989107A (zh) * | 2018-07-17 | 2018-12-11 | 北京中科网威信息技术有限公司 | 一种基于申威架构的网卡收发报文的统计调试方法及装置 |
CN109271306A (zh) * | 2018-09-30 | 2019-01-25 | 深圳中广核工程设计有限公司 | 基于故障注入的寿命试验方法、装置、设备及介质 |
CN112463183A (zh) * | 2019-09-06 | 2021-03-09 | 西安诺瓦星云科技股份有限公司 | 显示控制卡老化检测方法、装置及系统和计算机可读介质 |
CN113051082A (zh) * | 2021-03-02 | 2021-06-29 | 长沙景嘉微电子股份有限公司 | 软件硬件数据同步方法、装置、电子设备和存储介质 |
CN113507415A (zh) * | 2021-05-31 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种表项处理方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8260708B2 (en) * | 2009-04-17 | 2012-09-04 | Empire Technology Development Llc | Usage metering based upon hardware aging |
US8599845B2 (en) * | 2010-04-07 | 2013-12-03 | Fujitsu Limited | Software-assisted VLAN aging timer scheme for distributed switching systems |
CN105407073A (zh) * | 2014-09-10 | 2016-03-16 | 中兴通讯股份有限公司 | 一种基于开放流OpenFlow协议的流表老化方法、设备和系统 |
CN113438094B (zh) * | 2020-03-23 | 2022-12-13 | 华为技术有限公司 | 一种自动更新手工配置IPSec SA的方法和设备 |
-
2022
- 2022-04-25 CN CN202210821813.1A patent/CN115150179B/zh active Active
- 2022-04-25 CN CN202210437397.5A patent/CN114553602B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355570A (zh) * | 2008-09-19 | 2009-01-28 | 杭州华三通信技术有限公司 | 老化消息上报的控制方法和控制装置 |
CN103415840A (zh) * | 2011-02-28 | 2013-11-27 | 英特尔公司 | 跨硬件层和软件层的错误管理 |
CN108989107A (zh) * | 2018-07-17 | 2018-12-11 | 北京中科网威信息技术有限公司 | 一种基于申威架构的网卡收发报文的统计调试方法及装置 |
CN109271306A (zh) * | 2018-09-30 | 2019-01-25 | 深圳中广核工程设计有限公司 | 基于故障注入的寿命试验方法、装置、设备及介质 |
CN112463183A (zh) * | 2019-09-06 | 2021-03-09 | 西安诺瓦星云科技股份有限公司 | 显示控制卡老化检测方法、装置及系统和计算机可读介质 |
CN113051082A (zh) * | 2021-03-02 | 2021-06-29 | 长沙景嘉微电子股份有限公司 | 软件硬件数据同步方法、装置、电子设备和存储介质 |
CN113507415A (zh) * | 2021-05-31 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种表项处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114553602A (zh) | 2022-05-27 |
CN115150179A (zh) | 2022-10-04 |
CN114553602B (zh) | 2022-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7917758B2 (en) | TLS tunneling | |
EP2850776B1 (en) | Tls abbreviated session identifier protocol | |
US20190268764A1 (en) | Data transmission method, apparatus, and system | |
US11736304B2 (en) | Secure authentication of remote equipment | |
US8873746B2 (en) | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes | |
US20150156025A1 (en) | Message sending and receiving method, apparatus, and system | |
US20070150946A1 (en) | Method and apparatus for providing remote access to an enterprise network | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
US9516065B2 (en) | Secure communication device and method | |
EP3905623A1 (en) | Data transmission method and apparatus, related device, and storage medium | |
US9185130B2 (en) | Transmission apparatus, reception apparatus, communication system, transmission method, and reception method | |
CN109040059B (zh) | 受保护的tcp通信方法、通信装置及存储介质 | |
CN111756528A (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
WO2021227254A1 (zh) | 路由访问方法、装置、电子设备及存储介质 | |
US11652910B2 (en) | Data transmission method, device, and system | |
CN115150179B (zh) | 软硬生命老化控制方法和相关装置、芯片、介质和程序 | |
CN113783868B (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
EP3552367B1 (en) | Method and intermediate network node for managing tcp segment | |
CN113051548A (zh) | 一种轻量无扰式的工业安全控制系统 | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
CN115314262B (zh) | 一种可信网卡的设计方法及其组网方法 | |
WO2023067400A1 (en) | Key replacement during datagram transport layer security (dtls) connections over stream control transmission protocol (sctp) | |
CN117857065A (zh) | 保密通信处理方法、第一终端、第二终端及存储介质 | |
CN116782208A (zh) | 一种加密传输方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |