CN1852310A - 一种提高安全联盟访问效率的方法 - Google Patents
一种提高安全联盟访问效率的方法 Download PDFInfo
- Publication number
- CN1852310A CN1852310A CN 200510117772 CN200510117772A CN1852310A CN 1852310 A CN1852310 A CN 1852310A CN 200510117772 CN200510117772 CN 200510117772 CN 200510117772 A CN200510117772 A CN 200510117772A CN 1852310 A CN1852310 A CN 1852310A
- Authority
- CN
- China
- Prior art keywords
- security association
- memory device
- stored
- ipsec
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000001360 synchronised effect Effects 0.000 claims description 12
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000003068 static effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000015654 memory Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种提高安全联盟访问效率的方法,包括:将各个安全联盟所包含的内容域划分成至少两个安全联盟部分,并分别存储于至少两个存储设备中;IPSec实体根据从所接收的数据包中提取的三元组,同时索引分别存储所述安全联盟部分的存储设备,同时分别从所述存储设备中读取所述安全联盟的各个部分,从而可以缩短IPSec实体访问SA的时间,提高IPSec实体的处理性能。
Description
技术领域
本发明涉及到因特网(Internet)安全技术,特别涉及到一种提高在安全联盟数据库(SAD)中访问安全联盟(SA)效率的方法。
背景技术
针对Internet的安全需要,Internet工程任务组(IETF)颁布了IP层的安全标准IPSec。IPSec协议族在IP层对数据包进行高强度的安全处理,可以提供包括访问控制、无连接的完整性控制、数据源认证、抗重播保护以及保密性等等服务,这些服务可以提供对IP协议以及上层协议的保护。IPSec是在网络层实现数据的加密和验证,提供端到端的网络安全方案,由于加密后的数据包仍然是一般的IP数据包,因此这种结构可以很好的应用在Internet上。
其中,SA是构成IPSec的基础,是两个IPSec实体之间经过协商建立起来的一种协定,其内容包括:在两个IPSec实体之间采用何种IPSec协议,具体是安全协议验证头(AH)协议还是封装安全载荷(ESP)协议;IPSec的运行模式是采用传输模式还是隧道模式;所采用的验证算法、加密算法、加密密钥、密钥生成期、抗重播窗口、计数器等等信息。这些信息决定了在两个IPSec实体之间建立的安全联盟用于保护什么、如何保护以及由谁来保护等问题。对于任何IPSec实施方案,IPSec实体均会构建一个记录SA的数据库,称为SAD,由它来维护IPSec协议用来保障数据包安全的SA记录。
SAD是将所有的SA以某种数据结构集中存储的一个列表。SAD中包含已经建立的SA条目,其中,在SAD中存储的每个SA以由安全参数索引(SPI)、源/目的IP地址以及IPSec协议构成的三元组为索引。在IPSec实体进行IPSec处理时,首先从所接收IP包中得到所述三元组,利用这个三元组在SAD中查找到对应的SA,从SAD中读出所需要的SA,并获取相关信息,然后分解所获得的相关信息对所接收IP包进行相应的安全处理。
从上述过程可以看出,能否快速从SAD中获取SA信息是影响IPSec处理性能的一个重要因素。在实现过程中,为了提高SAD的访问效率通常采用双倍数据速率(Double Data Rate)同步动态随机存储器(SDRAM)作为SAD的物理载体。现有的存储方法如图1所示,在所述DDR SDRAM中存储了许多已经建立的SA条目,如图1中的SA(0)、SA(1)......,每一个SA条目包含进行通信的两个IPSec实体之间协商建立起来的协定内容。在进行IPSec处理时,IPSec实体根据从所接收IP包中获得的三元组对存储SA的DDR SDRAM进行索引,读取对应的SA条目,获取进行IPSec处理所必需的信息,IPSec实体利用上述信息对所接收IP包进行安全处理后,还需要对上述信息进行动态更新,然后再写回到所述DDR SDRAM的相应位置,完成一次IPSec处理。
采用上述SA存储方式,在从DDR SDRAM中读取SA时,只能串行的获取SA所包含的各种信息。假设SA的长度为40个双字,采用一个32比特的DDR SDRAM存放SA,从DDR SDRAM读取一个SA需要20个时钟周期,再加上读DDR SDRAM时发送命令和等待的时间,读取一个SA需要占有的DDR SDRAM总线时间将大于20个时钟周期,设为M个时钟周期,同理设定写回一个SA需要N个时钟周期,这样,在一次IPSec处理过程中,访问SA的时间就将达到(M+N)个时钟周期,并且在用IP包中获得的三元组索引DDR SDRAM中对应的SA时只有等M个周期过后才能获取一个完整的SA,导致访问SA的速度过慢,降低了IPSec实体的处理性能。
发明内容
为了解决上述技术问题,本发明提供了一种提高安全联盟访问效率的方法,可以缩短IPSec实体对SAD读写SA的时间,从而提高IPSec实体的处理性能,提高SA的访问效率。
本发明所述提高安全联盟访问效率的方法包括:
A、将每个安全联盟所包含的内容域划分成至少两个的安全联盟部分,并分别存储于至少两个存储设备中;
B、IPSec实体根据从所接收的数据包中提取的三元组,同时索引分别存储所述安全联盟部分的存储设备,并分别从所述存储设备中同时读取同一安全联盟的不同安全联盟部分。
本发明所述方法进一步包括:C、IPSec实体在根据读取的安全联盟对所接收的数据包进行安全处理后,动态更新需要进行动态更新的内容域,并将更新后的各个安全联盟部分分别写回到所述存储设备中。
步骤A所述划分为:将每个安全联盟所包含的内容域按照在IPSec处理过程中是否需要动态更新划分为在IPSec处理过程中需要动态更新的第一安全联盟部分,以及在IPSec处理过程中保持不变的第二安全联盟部分。
本发明所述第一安全联盟部分包括:序列号计数器、抗重播窗口、SA生存期。
步骤A所述将所述至少两个安全联盟部分分别存储于至少两个存储设备中为:将所述两个安全联盟部分分别存储在两个存储设备中,包括:
将所述第一安全联盟部分存储在第一存储设备中,将所述第二安全联盟部分存储在第二存储设备中;
步骤C所述将更新后的各个安全联盟部分分别写回到所述存储设备中为:将更新后的第一安全联盟部分写回到所述第一存储设备中。
步骤A所述将所述至少两个安全联盟部分分别存储于至少两个存储设备中为:将所述两个安全联盟部分分别存储在两个以上的存储设备中,包括:
将所述两个以上的存储设备划分成两组;
将所述第一安全联盟部分划分为一个或一个以上部分,分别存储在第一组存储设备中;
将所述第二安全联盟部分划分为一个或一个以上部分,分别存储在第二组存储设备中;
步骤C所述将更新后的各个安全联盟部分分别写回到所述存储设备中为:将更新后的第一安全联盟部分写回到所述第一组存储设备中。
本发明所述存储设备为双倍数据速率同步动态随机存储器、或单倍数据速率同步动态随机存储器、或双倍数据速率II同步动态随机存储器、或零总线转换同步静态随机存储器、或四倍数据速率II同步静态随机存储器、或双倍数据速率II同步静态随机存储器、或低延迟动态随机存储器。
由此可以看出,本发明所述的方法通过同时从两个存储设备同时读取同一SA的不同部分,减少IPSec实体读取SA的时间,使得IPSec实体可以较快获取SA内容,尽早对所接收IP包进行处理。另外,由于由一个存储设备保存的SA部分在IPSec处理过程中是保持不变的,因此在IPSec处理完成后,不需要将这部分信息再写回到该存储设备中,进一步减少了IPSec实体写回SA的时间。这样一来,就可以大大地缩短IPSec实体访问SA所需的时间,提高SA的访问效率,同时,也提高了单位时间内IPSec实体处理IP包的个数,也就是提高了IPSec的处理效率。
附图说明
图1为现有技术中在DDR SDRAM中存储SA的方法示意图;
图2为本发明优选实施例所述提高SA访问效率的方法流程图;
图3A和图3B为本发明优选实施例所述在两个DDR SDRAM中存储SA的方法示意图。
具体实施方式
为使发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
一般地,SAD中存储的一个SA条目的所有内容域包括:序列号计数器,序列号溢出、抗重播窗口、AH认证密码算法和密钥、ESP认证密码算法和密钥、ESP加密算法和密钥、IV和IV模式、IPSec协议操作模式、路径最大传输单元(PMTU)、SA生存期。考虑到这些内容域中一部分需要在IPSec的处理过程中进行动态更新,例如序列号计数器、抗重播窗口、SA生存期等;而剩余的内容域在IPSec的处理过程中是保持不变的。基于SA的上述特点,本发明的一个优选实施例给出了一种提高SA访问效率的方法,如图2所示,主要包括以下步骤:
A、将SA所包含的内容域划分为两部分,一部分包括在IPSec处理过程中需要动态更新的内容域,称为第一SA部分,另一部分则包括在IPSec处理过程中保持不变的内容域,称为第二SA部分。
B、将在步骤A划分的两个部分分别存储在两个存储设备中,其中,一个存储设备用于存储各个SA的内容域中需要动态更新的第一SA部分,另一个存储设备用于存储各个SA的内容域中不需要动态更新的第二SA部分。
其中,该步骤所述的存储设备可以是DDR SDRAM、单倍数据速率(SDR)SDRAM、DDR II SDRAM、零总线转换(ZBT)同步静态随机存储器(SSRAM)、四倍数据速率(QDR)II SSRAM、DDR II SSRAM或低延迟动态随机存储器(RLDRAM)等现有的各种高、低速存储设备。当然,随着存储技术的发展,还可以使用各种新型的高性能存储器来实现本发明所述方法,而不会超出本发明意欲保护的范围。
图3A和图3B显示了使用两个DDR SDRAM存储SA的示意图。如图3A和图3B所示,在第一DDR SDRAM,即DDR SDRAM 0中存储需要动态更新的SA内容域,即第一SA部分,该DDR SDRAM存储的所有SA用SA(i)_0表示,其中,i=0、1、2......;在第二DDR SDRAM,即DDR SDRAM1中存储不需要动态更新的SA内容域,即第二SA部分,该DDR SDRAM存储的所有SA用SA(i)_1表示,其中,i=0、1、2......。DDR SDRAM 0和DDR SDRAM 1中对应相同序号i的SA(i)_0和SA(i)_1将构成一条完整的SA。
C、在进行IPSec处理时,IPSec实体根据从所接收的IP数据包中提取的三元组,同时索引分别存储SA两部分的两个存储设备,分别从这两个存储设备中同时读取所需SA的两个部分。
在该步骤中,通过从两个存储设备同时读取同一SA的不同部分,可以大大减少IPSec实体读取SA的时间。
D、IPSec实体根据读取的SA对所接收的IP数据包进行安全处理,同时动态更新需要进行动态更新的内容域,并将更新后的SA部分写回到保存需要动态修改的内容域部分的存储设备,即将更新后的第一SA部分写回到保存该SA部分的第一存储设备中。
在该步骤中,由于另一个存储设备存储的SA部分在IPSec的处理过程中是保持不变的,因此,就不需要IPSec实体再将这部分信息写回到相应的存储设备中了。这样做,可以进一步减少IPSec实体向存储设备写回SA的时间。
下面同样以长度为40双字的SA为例结合图3详细说明本发明的方法。
假设图3中DDR SDRAM 0和DDR SDRAM 1都采用32bit DDRSDRAM,且由DDR SDRAM 0存储的SA(i)_0的长度为8个双字,由DDRSDRAM 1存储的SA(i)_1的长度为40-8=32双字。
在这种情况下,由于从DDR SDRAM 0读取SA(i)_0的时间要小于从DDR SDRAM 1读取SA(i)_1的时间,因此,从DDR SDRAM 0和DDRSDRAM 1同时读取同一SA的时间就应当是从DDR SDRAM 1读取SA(i)_1的时间,为M-4个时钟周期,即比读取40个双字时少用了4个时钟周期;而向DDR SDRAM 0写回SA(i)_0的时间为N-16个时钟周期,即比写回40个双字时少用了16个时钟周期;这样,在一次IPSec处理过程中,访问SA的时间就将为M-4+N-16=M+N-20个时钟周期。很显然,采用上述方法,在一次IPSec处理过程中访问SA的时间比现有技术要少20个时钟周期,大大提高了SA的访问效率,同时使得IPSec实体可以较快获取SA内容,尽早对所接收IP包进行处理,从而提高了IPSec的处理效率。
熟悉本领域的技术人员可以理解,为了进一步缩短从SAD读取和写回SA的时间可以使用两个以上的存储设备,例如三个或四个存储设备,并将这些存储设备也划分成两组,第一组存储设备用于存储在IPSec处理过程中需要动态修改的SA内容域,而第二组存储设备用于存储在IPSec处理过程中保持不变的SA内容域,从而将串行地向一个存储设备访问SA的过程变成并行地向多个存储设备访问同一SA的过程,进一步提高了SA的访问效率以及IPSec的处理效率。
另外,还可以不考虑SA内容域是否需要动态更新,直接将SA内容域划分成为若干部分,而将划分的每个SA内容域部分使用两个或两个以上的存储设备进行存储,从而也可以将串行向一个存储设备访问SA的过程变成并行向多个存储设备访问同一SA的过程,提高SA的访问效率。
Claims (7)
1、一种提高安全联盟访问效率的方法,其特征在于,所述方法包括:
A、将每个安全联盟所包含的内容域划分成至少两个的安全联盟部分,并将所述至少两个安全联盟部分分别存储于至少两个存储设备中;
B、IPSec实体根据从所接收的数据包中提取的三元组,同时索引分别存储所述安全联盟部分的存储设备,并分别从所述存储设备中同时读取同一安全联盟的不同安全联盟部分。
2、如权利要求1所述的方法,其特征在于,所述方法进一步包括:C、IPSec实体在根据读取的安全联盟对所接收的数据包进行安全处理后,动态更新需要进行动态更新的内容域,并将更新后的各个安全联盟部分分别写回到所述存储设备中。
3、如权利要求2所述的方法,其特征在于,步骤A所述划分为:将每个安全联盟所包含的内容域按照在IPSec处理过程中是否需要动态更新进行划分,在IPSec处理过程中需要动态更新的内容域划分为第一安全联盟部分,以及在IPSec处理过程中保持不变的内容域划分为第二安全联盟部分。
4、如权利要求3所述的方法,其特征在于,所述第一安全联盟部分包括:序列号计数器、抗重播窗口、SA生存期。
5、如权利要求3所述的方法,其特征在于,步骤A所述将所述至少两个安全联盟部分分别存储于至少两个存储设备中为:将所述两个安全联盟部分分别存储在两个存储设备中,包括:
将所述第一安全联盟部分存储在第一存储设备中,将所述第二安全联盟部分存储在第二存储设备中;
步骤C所述将更新后的各个安全联盟部分分别写回到所述存储设备中为:将更新后的第一安全联盟部分写回到所述第一存储设备中。
6、如权利要求3所述的方法,其特征在于,步骤A所述将所述至少两个安全联盟部分分别存储于至少两个存储设备中为:将所述两个安全联盟部分分别存储在两个以上的存储设备中,包括:
将所述两个以上的存储设备划分成两组;
将所述第一安全联盟部分划分为一个或一个以上部分,分别存储在第一组存储设备中;
将所述第二安全联盟部分划分为一个或一个以上部分,分别存储在第二组存储设备中;
步骤C所述将更新后的各个安全联盟部分分别写回到所述存储设备中为:将更新后的第一安全联盟部分写回到所述第一组存储设备中。
7、如权利要求1、2、5或6所述的方法,其特征在于,所述存储设备为双倍数据速率同步动态随机存储器、或单倍数据速率同步动态随机存储器、或双倍数据速率II同步动态随机存储器、或零总线转换同步静态随机存储器、或四倍数据速率II同步静态随机存储器、或双倍数据速率II同步静态随机存储器、或低延迟动态随机存储器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101177724A CN100512296C (zh) | 2005-11-10 | 2005-11-10 | 一种提高安全联盟访问效率的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005101177724A CN100512296C (zh) | 2005-11-10 | 2005-11-10 | 一种提高安全联盟访问效率的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1852310A true CN1852310A (zh) | 2006-10-25 |
| CN100512296C CN100512296C (zh) | 2009-07-08 |
Family
ID=37133778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101177724A Expired - Fee Related CN100512296C (zh) | 2005-11-10 | 2005-11-10 | 一种提高安全联盟访问效率的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100512296C (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8392701B2 (en) | 2007-08-16 | 2013-03-05 | Hangzhou H3C Technologies Co., Ltd. | Method and apparatus for ensuring packet transmission security |
| WO2018059278A1 (en) * | 2016-09-29 | 2018-04-05 | Huawei Technologies Co., Ltd. | System and method for packet classification using multiple security databases |
| CN111541658A (zh) * | 2020-04-14 | 2020-08-14 | 许艺明 | 一种pcie防火墙 |
-
2005
- 2005-11-10 CN CNB2005101177724A patent/CN100512296C/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8392701B2 (en) | 2007-08-16 | 2013-03-05 | Hangzhou H3C Technologies Co., Ltd. | Method and apparatus for ensuring packet transmission security |
| WO2018059278A1 (en) * | 2016-09-29 | 2018-04-05 | Huawei Technologies Co., Ltd. | System and method for packet classification using multiple security databases |
| CN111541658A (zh) * | 2020-04-14 | 2020-08-14 | 许艺明 | 一种pcie防火墙 |
| CN111541658B (zh) * | 2020-04-14 | 2024-05-31 | 许艺明 | 一种pcie防火墙 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100512296C (zh) | 2009-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11574073B2 (en) | Encrypted search cloud service with cryptographic sharing | |
| US7058769B1 (en) | Method and system of improving disk access time by compression | |
| FI121487B (fi) | Tiedon hajauttamista hyödyntävä salausmenetelmä | |
| US9646176B2 (en) | Method for encrypting database | |
| US7065619B1 (en) | Efficient data storage system | |
| US8850127B2 (en) | Managing concurrent accesses to a cache | |
| US20160285623A1 (en) | Method, server and computer program for security management in database | |
| CA2459750C (en) | Techniques for offloading cryptographic processing for multiple network traffic streams | |
| US6928526B1 (en) | Efficient data storage system | |
| US20030161327A1 (en) | Distributing tasks in data communications | |
| US20180024942A1 (en) | Using encryption keys to manage data retention | |
| US9672351B2 (en) | Authenticated control stacks | |
| US9305017B2 (en) | Database virtualization | |
| WO2017034642A9 (en) | Optimizable full-path encryption in a virtualization environment | |
| CN101841473B (zh) | Mac地址表更新方法及装置 | |
| US8375161B2 (en) | Flash memory hash table | |
| CN104679816B (zh) | 一种嵌入式系统下的sqlite数据库应用方法 | |
| CN103605630B (zh) | 一种虚拟服务器系统及其数据读写方法 | |
| US20220100372A1 (en) | Method, electronic device, and computer program product for storing and accessing data | |
| US20220207173A1 (en) | Selectively encrypting commit log entries | |
| CN100512296C (zh) | 一种提高安全联盟访问效率的方法 | |
| US9152589B2 (en) | Memory data transfer method and system | |
| US8352726B2 (en) | Data storage and/or retrieval | |
| CN107632781A (zh) | 一种分布式存储多副本快速校验一致性的方法及存储架构 | |
| CN104298616B (zh) | 数据块初始化方法、高速缓冲存储器和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090708 |