專利名稱:更新用于安全記錄的緩存的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域����,具體地說,涉及更新用于存儲(chǔ)安全記錄的緩存��。
背景技術(shù):
執(zhí)行安全相關(guān)任務(wù)的數(shù)字信息處理設(shè)備���,例如計(jì)算機(jī)���、路由器、交換機(jī)��、網(wǎng)絡(luò)設(shè)備���、機(jī)頂盒等可以包括用于完成至少一部分安全相關(guān)任務(wù)的硬件卸載設(shè)備(HardwareOffloading Devices��,“HOD”)�����。HOD通?����?梢择v留在網(wǎng)絡(luò)設(shè)備上�����,或者作為獨(dú)立的設(shè)備駐留在主機(jī)上���。這樣一種體系結(jié)構(gòu)的一個(gè)優(yōu)點(diǎn)就是減輕了其他資源上的處理負(fù)擔(dān)。另外�,一個(gè)具體的硬件卸載設(shè)備可被設(shè)計(jì)來更有效率地完成某些任務(wù)。
一些安全相關(guān)任務(wù)的執(zhí)行可能會(huì)涉及安全記錄����。安全記錄是包括在執(zhí)行某些安全相關(guān)任務(wù)時(shí)可能有用的信息的數(shù)據(jù)結(jié)構(gòu)。例如���,IPSEC協(xié)議(到2003為止在IETF RFC1825和RFC2401等當(dāng)中定義��,但仍在演變中)使用安全關(guān)聯(lián)(Security Association����,SA)。安全關(guān)聯(lián)(SA)是一組安全參數(shù)�,它們至少部分確定對(duì)IPSEC分組施加何種變換,以及應(yīng)當(dāng)如何施加該變換����。例如,SA可以包括對(duì)完成加密����、解密和/或認(rèn)證有用的密碼密鑰。
在一些情形中����,除非安全記錄位于硬件上或位于硬件附近,例如在硬件表中�,否則硬件卸載設(shè)備可能不是那么有效率。術(shù)語“緩存(cache)”用在本專利中是指可位于硬件上或硬件附近的存儲(chǔ)�。即,如果安全記錄不在緩存中����,那么硬件卸載設(shè)備可能不得不等待安全記錄從某個(gè)其他地方轉(zhuǎn)移過來,這可能引入相當(dāng)大的或者難以接受的延遲量���。當(dāng)被請(qǐng)求的安全記錄位于硬件上時(shí)�,被稱為“命中(hit)”,當(dāng)它不在硬件上時(shí)����,則被稱為“缺失(miss)”。
希望有盡可能多的命中�����。此外�����,可能硬件表的大小有限�。如果是這樣的話�,硬件卸載設(shè)備的效率可能至少部分取決于哪些安全記錄被實(shí)際存儲(chǔ)在硬件表中。即��,命中的數(shù)量可能取決于用來確定哪些安全記錄將被存儲(chǔ)在硬件表中的方法���。用于確定哪些安全記錄被存儲(chǔ)在硬件表上的改進(jìn)處理可導(dǎo)致命中數(shù)量相對(duì)于缺失數(shù)量的提高��。
因此���,需要一種改進(jìn)的方法及相應(yīng)的裝置��,用于確定哪些安全記錄被存儲(chǔ)在硬件卸載設(shè)備上或其附近����。
在本申請(qǐng)的權(quán)利要求書部分具體指出并特別要求了保護(hù)本公開的主題��。然而�����,結(jié)合附圖參考以下詳細(xì)的描述可以最好地理解所述主題的組織和方法或操作��,及其目的�����、特征和優(yōu)點(diǎn)�,在附圖中圖1是與所要求保護(hù)主題的實(shí)施方案一致的、耦合到網(wǎng)絡(luò)的主機(jī)系統(tǒng)的框圖��。
圖2是與所要求保擴(kuò)主題的實(shí)施方案一致的主機(jī)系統(tǒng)的框圖����。
圖3是示出當(dāng)發(fā)生緩存缺失時(shí)����,與發(fā)生在所要求保護(hù)主題的一個(gè)實(shí)施方案中的操作一致的操作的流程圖��。
圖4示出了實(shí)現(xiàn)與所要求保護(hù)主題的實(shí)施方案一致的過程的偽碼�。
具體實(shí)施例方式
在以下詳細(xì)的描述中,闡述了很多具體的細(xì)節(jié)����,以提供對(duì)所要求保護(hù)的主題的徹底理解。然而�����,本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到�,沒有這些具體的細(xì)節(jié),也可以實(shí)現(xiàn)所要求保護(hù)的主題���。此外,沒有詳細(xì)描述公知的方法���、過程�、組件和電路���,以免模糊了所要求保護(hù)的主題��。
圖1示出了與所要求保護(hù)主題的實(shí)施方案一致的�����、耦合到網(wǎng)絡(luò)的主機(jī)系統(tǒng)的框圖���。例如可以包括服務(wù)器的主機(jī)系統(tǒng)200在這里包括操作系統(tǒng)210和硬件卸載設(shè)備(“HOD”)230�。操作系統(tǒng)210在這里包括用于包括在該系統(tǒng)中的各種設(shè)備的設(shè)備驅(qū)動(dòng)器�,所述設(shè)備例如是適配器10和硬件卸載設(shè)備(HOD)230。在該實(shí)施方案中�����,設(shè)備驅(qū)動(dòng)器215是用于適配器10的���,而設(shè)備驅(qū)動(dòng)器220是用于HOD230的��。此外�,HOD包括存儲(chǔ)器235(這里也被稱為“緩存”)�。該存儲(chǔ)器可以包括非易失性存儲(chǔ)器,例如ROM、EEPROM�����、閃存或電池支持的RAM����,以允許安全記錄即使在主機(jī)系統(tǒng)200不加電的時(shí)候也能夠保持。如果不需要具有持久性的特性����,那么普通的易失性存儲(chǔ)器也是適合的。所要求保護(hù)的主題在這方面并不受限���。另外��,存儲(chǔ)器235可以是片上(on-chip)或片外(off-chip)存儲(chǔ)器�����,只要能滿足所分配的時(shí)間預(yù)算���。
穿過圖1中所示系統(tǒng)的分組流如下所述。術(shù)語“分組(packet)”用來指分組或者幀或者信元(cell)����,只要它適合于實(shí)施方案中所使用的具體連網(wǎng)技術(shù)。分組是通過適配器10上的入口端口而從網(wǎng)絡(luò)100接收到的���。一旦分組從網(wǎng)絡(luò)上接收下來�,它就被處理��。適配器10對(duì)分組執(zhí)行某些處理任務(wù)��,然后將分組提供給主機(jī)系統(tǒng)200�,由主機(jī)系統(tǒng)200執(zhí)行進(jìn)一步的處理。由適配器執(zhí)行哪些任務(wù)���,由其他處理元件執(zhí)行哪些任務(wù)��,這些任務(wù)的選擇可以隨體系結(jié)構(gòu)的不同而不同���。所要求保護(hù)的主題在這方面并不受限。
在該實(shí)施方案中�,處理任務(wù)之一可以包括判斷分組是否包括IPSEC分組。當(dāng)然���,使用IPSEC協(xié)議只是該實(shí)施方案的一個(gè)特征����,并不是所要求保護(hù)的主題所必需的。在該實(shí)施方案中��,可以在主機(jī)系統(tǒng)200中完成這一判斷����。這一判斷可以根據(jù)前面提到的RFC,即RFC2401����。一旦確定分組使用IPSEC,則收集并存儲(chǔ)包括安全關(guān)聯(lián)(“SA”)的數(shù)據(jù)用于進(jìn)一步的處理�。如圖2所示,主機(jī)系統(tǒng)200在該實(shí)施方案中包括存儲(chǔ)在存儲(chǔ)器400中的SA數(shù)據(jù)庫300�����,它可以包括已流入主機(jī)系統(tǒng)200的IPSEC分組的大量SA����。
圖2是與所要求保護(hù)主題的實(shí)施方案一致的主機(jī)系統(tǒng)的框圖。硬件卸載設(shè)備230上的存儲(chǔ)器235在這里包括硬件表226��。在一個(gè)實(shí)施方案中����,由HOD230使用的安全記錄被存儲(chǔ)在硬件表226中以供快速訪問�。箭頭15指示了下面將要描述的一種方法�,HOD設(shè)備驅(qū)動(dòng)器220借助該方法來確定存儲(chǔ)在存儲(chǔ)器400中的哪些安全記錄可以被存儲(chǔ)在硬件表226中�。
在該實(shí)施方案中,IPSEC處理可以由HOD230來完成�。為了對(duì)IPSEC分組執(zhí)行加密和解密,HOD230使用適當(dāng)?shù)腟A����。在該實(shí)施方案中,HOD可以檢查存儲(chǔ)器235來尋找SA�。如果期望的安全關(guān)聯(lián)處在存儲(chǔ)器235中,則被稱為“命中”�,如果不在,則被稱為“缺失”�����。在命中時(shí)���,HOD可以取得SA并執(zhí)行相關(guān)的IPSEC處理��,例如加密和解密����。在該實(shí)施方案中,在缺失時(shí)����,HOD230一般不能在分配的時(shí)間預(yù)算內(nèi)處理IPSEC分組。
圖3是針對(duì)一個(gè)具體的實(shí)施方案描述了在缺失時(shí)所發(fā)生的操作的流程圖���。在菱形框500中����,判斷是否發(fā)生了缺失�����。如果是��,則判斷在HOD存儲(chǔ)器235上的硬件表(HardwareTable��,“HT”)226中是否存在可用的位置(slot)����。在該實(shí)施方案中,如下判斷一個(gè)位置是不是可用位置�����。以某一間隔,例如說每n秒�����,HT中的所有現(xiàn)存SA被標(biāo)記為替換的候選���。在一個(gè)實(shí)施方案中,所述間隔是固定的���。然而�,所要求保護(hù)的主題在這方面并不受限���。例如��,當(dāng)存在循環(huán)的表刷新時(shí)����,間隔可以變化��。在另一個(gè)實(shí)施方案中�����,間隔可以根據(jù)不同的網(wǎng)絡(luò)流量條件而變。在一個(gè)實(shí)施方案中���,除非存在對(duì)可用位置的請(qǐng)求�����,否則替換候選被留在硬件表中����。然而�,所要求保護(hù)的主題在這方面并不受限,例如SA一旦被確定為替換候選就可以被刪除����。
至少由于以下原因,參照所要求保護(hù)主題的實(shí)施方案來描述的方法是有利的�����。對(duì)于不在HT中的最常使用的SA�,發(fā)生缺失的概率將非常高。因此,當(dāng)存在可用的位置時(shí)��,這樣的SA將被加入HT中�����。
如果存在可用的位置���,那么在該實(shí)施方案中��,在菱形框530中判斷SA是否已在表中����。這一操作考慮到在該實(shí)施方案中��,發(fā)生缺失的原因可能不是因?yàn)镾A不在硬件表中��。然而�,所要求保護(hù)的主題在這方面并不受限���,在另一個(gè)實(shí)施方案中����,可以不進(jìn)行后面的判斷而將SA添加到表中�。然而�,在當(dāng)前實(shí)施方案中��,在框540中如果已確定SA還不在硬件表中����,那么它就被插入可用的位置之一中。
圖4示出了與所要求保護(hù)主題的實(shí)施方案一致的偽碼�����,但是所要求保護(hù)的主題在這方面并不受限�����。在行10中���,設(shè)置時(shí)間間隔來確定何時(shí)將現(xiàn)存的HT條目標(biāo)記為可替換的�����。在行20中����,基于指定時(shí)間間隔的流逝,現(xiàn)存的HT條目被標(biāo)記為可替換的�����。從行30開始����,示出了每分組的處理。在行40上��,如果確定分組是IPSEC并且發(fā)生缺失����,那么執(zhí)行行50。在行50上�,如果緩存不是滿的(例如,如果至少存在一個(gè)可替換的位置)���,并且SA還不在緩存中,那么執(zhí)行行60���。即����,所述SA被添加到緩存中。
雖然這里已經(jīng)圖示并描述了所要求保護(hù)的主題的某些特征����,但是本領(lǐng)域的技術(shù)人員將會(huì)做出很多修改、替換���、改變和等同物����。例如��,只要訪問時(shí)間足夠短�����,就可以用片外緩存來取代片上緩存��。因此����,可以理解,所附權(quán)利要求書意圖覆蓋所有這樣的修改和改變���。
權(quán)利要求
1.一種更新用于硬件卸載設(shè)備的緩存中的位置中的安全記錄條目的方法��,所述方法包括a.反復(fù)地使所述緩存中的安全記錄條目成為替換候選�����;b.如果發(fā)生安全記錄缺失�,則進(jìn)行檢查以確定在所述緩存中是否存在替換候選;c.如果存在替換候選�����,則用缺失的安全記錄來替換包含所述替換候選的位置中的安全記錄條目�。
2.如權(quán)利要求1所述的方法,還包括a.就算發(fā)生缺失��,仍檢查缺失的安全記錄是否在所述緩存中�����;以及b.只有在所述缺失的安全記錄不在所述緩存中時(shí)�,才將其添加到所述緩存中。
3.如權(quán)利要求1所述的方法����,其中����,所述安全記錄包括IPSEC安全關(guān)聯(lián)���。
4.如權(quán)利要求1所述的方法,還包括每N秒使一個(gè)安全記錄條目成為一個(gè)替換候選����。
5.如權(quán)利要求4所述的方法,還包括每N秒使一個(gè)安全記錄條目成為一個(gè)替換候選�����,其中N根據(jù)網(wǎng)絡(luò)流量模式而動(dòng)態(tài)改變�。
6.如權(quán)利要求1所述的方法,其中所述緩存包括16個(gè)存儲(chǔ)安全記錄的位置����。
7.如權(quán)利要求1所述的方法,其中不刪除成為替換候選的安全記錄條目���,除非存在將另一個(gè)安全記錄存儲(chǔ)在該位置中的請(qǐng)求���。
8.一種裝置,包括硬件卸載設(shè)備和緩存�����,所述緩存具有存儲(chǔ)安全記錄的位置;其中在安全記錄缺失后并且如果存在可用的位置�����,則所述裝置被調(diào)適來將缺失的安全記錄存儲(chǔ)在可用的位置中��。
9.如權(quán)利要求8所述的裝置�,其中所述裝置還被調(diào)適來使得至少一個(gè)位置變?yōu)榉磸?fù)可用的。
10.如權(quán)利要求8所述的裝置���,其中所述裝置還被調(diào)適來使得只有在為之發(fā)生缺失的安全記錄還不在所述緩存中時(shí)�����,才將該安全記錄添加到所述緩存中�。
11.如權(quán)利要求8所述的裝置���,其中所述裝置還被調(diào)適來使得安全記錄包括IPSEC安全關(guān)聯(lián)����。
12.如權(quán)利要求9所述的裝置�,其中所述裝置還被調(diào)適來使得反復(fù)的時(shí)間間隔根據(jù)網(wǎng)絡(luò)流量模式而動(dòng)態(tài)改變。
13.如權(quán)利要求8所述的裝置�����,其中所述裝置還被調(diào)適來使得所述緩存具有16個(gè)位置���。
14.如權(quán)利要求8所述的裝置�����,其中所述裝置還被調(diào)適來使得可用的安全記錄條目不被刪除��,除非該位置被請(qǐng)求存儲(chǔ)另一個(gè)安全記錄�����。
15.一種包括存儲(chǔ)介質(zhì)的制品�����,所述存儲(chǔ)介質(zhì)存儲(chǔ)有指令��,所述指令在被執(zhí)行時(shí)導(dǎo)致a.使緩存中的安全記錄條目成為替換候選�,以便提高命中/缺失比���;b.如果發(fā)生安全記錄缺失��,則檢查是否存在替換候選��;c.如果存在替換候選����,則將所述安全記錄添加到所述緩存中。
16.如權(quán)利要求15所述的制品�,還包括以下指令,這些指令在被執(zhí)行時(shí)導(dǎo)致a.如果發(fā)生缺失��,則檢查所述安全記錄是否在所述緩存中���;以及b.如果存在替換候選����,那么只有在所述安全記錄不在所述緩存中時(shí)����,才將所述安全記錄添加到硬件表中。
17.如權(quán)利要求15所述的制品�����,其中,所述安全記錄是IPSEC安全關(guān)聯(lián)�。
18.如權(quán)利要求15所述的制品,其中�,在根據(jù)不同的網(wǎng)絡(luò)流量模式而動(dòng)態(tài)改變的時(shí)間間隔���,使安全記錄條目成為替換候選��。
19.如權(quán)利要求15所述的制品�,其中���,所述緩存具有16個(gè)適于存儲(chǔ)安全記錄的位置�����。
20.如權(quán)利要求15所述的制品����,其中不刪除成為替換候選的安全記錄條目�,除非該位置被請(qǐng)求來存儲(chǔ)另一個(gè)安全記錄。
全文摘要
公開了一種用于緩存供硬件卸載設(shè)備訪問的安全記錄的方法�。
文檔編號(hào)H04L29/06GK1806232SQ200480016927
公開日2006年7月19日 申請(qǐng)日期2004年3月24日 優(yōu)先權(quán)日2003年4月21日
發(fā)明者阿維格多·埃爾達(dá), 費(fèi)邊·特朗普爾, 茲維·弗羅達(dá)維斯基, 阿里爾·羅森布拉特 申請(qǐng)人:英特爾公司