关联存储器中的因特网协议安全性匹配值制造技术

本发明专利技术公开了用于存储和搜索项目分层结构的机制，它可能尤其有益于实现安全性策略（３１２、３１４、３１９）和安全性关联（３１１、３１３、３１８），例如但不局限于因特网协议安全性（ＩＰｓｅｃ）。项目分层结构按照搜索优先级的顺序被存储。多个元素定义和元素群组被识别出。元素定义和元素的表示按照搜索优先级降低的顺序被存储在按优先级排列的可搜索数据结构（３１０）中，从而使每个特定元素定义的表示被存储在与所述特定元素定义相关联的一组特定元素的表示之后，并被存储在更低优先级元素定义及其相关元素的表示之前。元素定义可以包括因特网协议安全性策略（３１２、３１４、３１９），而元素可以包括因特网协议安全性关联（３１１、３１３、３１８）。可搜索的数据结构可以包括关联存储器或多个关联存储器条目。（*该技术在2024年保护过期，可自由使用*）

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的一个实施例尤其涉及通信和计算机系统；更具体而言，一个实施例涉及存储和搜索可能格外有益于实现安全性策略和安全性关联的项目分层结构，例如，但不局限于路由器、分组交换系统、计算机和/或其他设备中的因特网协议安全性(IPsec)。
技术介绍
通信工业正在迅速改变，以适应新兴技术和不断增长的客户需求。这种对新应用和提高现有应用性能的客户需求正在促使通信网络和系统供应商采用具有更高速度和更大容量(例如更大带宽)的网络和系统。在尝试实现这些目标的进程中，被很多通信供应商共同采用的一种方法是使用分组交换技术。越来越多地，公共和私有通信网络利用诸如因特网协议(IP)之类的各种分组技术而被建立和扩展。在1998年11月S.KENT和R.ATKINSON的RFC 2401“SecurityArchitecture for IP”中定义了用于因特网协议的安全性体系结构(IPsec)，因此通过参考将该文件结合于此。IPsec实现方式工作在主机或安全性网关环境中，以对IP流量提供保护。所提供的保护是基于由安全性策略数据库(SPD)限定的要求的，所述SPD是由用户或系统管理员，或在由上述两者之一建立的约束内操作的应用程序来建立和维护的。一般而言，分组基于与数据库中的条目相匹配的IP和传输层头部信息，而被选择用于三种处理模式之一。基于可应用的数据库策略，每个分组被给予IPsec安全性服务、被丢弃，或被允许绕过IPsec。IPsec通过使系统能够选择所需的安全性协议，确定将用于服务的算法，以及实施提供所请求的服务所需的任何密钥，而在IP层上提供安全性服务。IPsec可以被用于保护一对主机之间、一对安全性网关之间，或者一个安全性网关和一个主机之间的一个或多个“路径”。IPsec可以提供的安全性服务的集合包括访问控制、无连接完整性、数据来源认证、重放分组的拒绝(部分序列完整性的一种形式)、机密性(加密)和受限的流量流机密性。由于这些服务在IP层上提供，因此它们可以被任何更高层协议所使用，所述更高层协议例如是TCP、UDP、ICMP、BGP等。IPsec分组分类被指定为两层的分层结构必须首先从安全性策略(SP)的有序列表中找到相关的SP，然后在定位到的SP的上下文中，必须找到正确的安全性关联(SA)。安全性关联是一种单工“连接”，它向其运载的流量提供安全性服务。为了保护在两个主机或两个安全性网关之间的典型双向通信，需要两个安全性关联(每个方向上一个)。安全性关联由以下三元组来唯一标识，该三元组包括安全性参数索引(SPI)、IP目的地地址和安全性协议标识符。原则上，目的地地址可以是单播地址、IP广播地址或多播组地址。由SA提供的安全性服务的集合依赖于所选择的安全性协议、SA的模式、SA的端点以及协议内可选服务的选择。例如，一个安全性协议提供用于IP数据报的数据来源认证和无连接完整性。经由单独的SA传送的IP数据报由恰好一个安全性协议来提供保护。有时，一个安全性策略可能要求用于一个特定流量流的多个无法利用单个SA实现的服务的组合。在此情况下，将需要采用多个SA来实现所需的安全性策略。术语“安全性关联束”或“SA束”被用于必须通过它们处理流量以满足安全性策略的多个SA的序列。该序列的顺序由所述策略来限定。(注意，构成一个束的多个SA可以在不同的端点处终止。例如，一个SA可以在移动主机和安全性网关之间扩展，而另一个嵌套的SA可以扩展到网关后面的主机。)RFC 2401定义在IPsec的一般模型中存在两种名义上的数据库，这两种数据库是安全性策略数据库(SPD)和安全性关联数据库(SAD)。前者指定用于确定从主机流入或流出的所有IP流量的部署、安全性网关或者BITS或BITW IPsec实现方式的策略。后一数据库包含与每个(活动的)安全性关联相关的参数。该部分还定义了选择符的概念，即被安全性策略数据库用于将流量映射到策略(即SA(或SA束))的一组IP和更高层协议字段值。由于被用作选择符的很多字段都具有方向性，因此启用IPsec的每个接口在名义上都需要分离的流入与流出数据库(SAD和SPD)。通常对于一个主机或安全性网关(SG)，只存在一个这样的接口。注意，一个SG总是具有至少两个接口，但是用于企业网的那个“内部”接口通常不启用IPsec，因此只需要一对SAD和一对SPD。另一方面，如果一个主机具有多个接口，或一个SG具有多个外部接口，则每个接口可能需要具有分离的SAD和SPD对。最后，安全性关联是用于加强IPsec环境中的安全性策略的管理结构。因此，SA处理的本质元件是在下层的安全性策略数据库(SPD)，其指定哪些服务将以哪种方式被提供到IP数据报。数据库及其接口的形式不在RFC 2401的范围内。但是，RFC 2401确实指定了某个必须提供的最小管理功能，其用于允许用户或系统管理员控制IPsec如何被应用到由主机发送或接收或穿过安全性网关的流量。在包括非IPsec流量在内的所有流量(流入和流出)的处理期间，都必须参考SPD。为了支持这一点，SPD需要用于流入和流出流量的截然不同的条目。SPD包含了策略条目的有序列表。每个策略条目由限定该策略条目所包括的IP流量集合的一个或多个选择符来作为关键字。这可以被看作分离的SPD(流入与流出)。另外，对于每个启用了IPsec的接口，都必须提供名义上分离的SPD。SPD必须在被给予IPsec保护的流量和被允许绕过IPsec的流量之间进行区分。这适用于由发送者应用的IPsec保护以及必须出现在接收者处的IPsec保护。对于任何流出或流入的数据报，可能有以下三种处理选择丢弃、绕过IPsec或应用IPsec。第一种选择指的是完全不允许退出主机、穿越安全性网关，或被递送到应用程序的流量。第二种选择指的是允许在无附加的IPsec保护的情况下通过的流量。第三种选择指的是被给予IPsec保护的流量，对于这种流量，SPD必须指定将提供的安全性服务、将采用的协议、将使用的算法等等。在每个IPsec实现方式中，存在名义上的安全性关联数据库，在该数据库中，每个条目限定与一个SA相关联的参数。每个SA在SAD中具有一个条目。对于流出处理，条目被SPD中的条目所指向。注意，如果SPD条目当前未指向适用于该分组的SA，该实现方式则创建适当的SA(或SA束)，并将该SPD条目链接到该SAD条目。对于流入处理，SAD中的每个条目由目的地IP地址、IPsec协议类型和SPI来索引。以下参数与SAD中的每个条目相关联。该描述并不意指MIB，而仅仅意味着支持IPsec实现方式中的SA所需的最小数据项目的规范。图1示出了基于RFC 2401用于处理流出分组的现有技术实现方式。处理开始于进程块100，并前进至进程块102，在这里，基于分组在安全性策略数据库中执行数据库查找操作，以识别相应的安全性策略。如果在进程块104中确定未找到策略，则在进程块106中丢弃分组，并且如进程块108所指示的，处理完成。否则，在进程块110中，基于分组执行第二查找操作，这次查找是在与先前的查找操作识别出的安全性策略相对应的安全性关联数据库中执行的。如进程块112中确定的，如果未定位到相应的安全性关联，则在进程块114中，该安全性关联被添加到相本文档来自技高网...

【技术保护点】
一种用于按照搜索优先级的顺序存储项目分层结构的方法，该方法包括：识别出多个元素定义和多个元素群组；以及按照搜索优先级降低的顺序，将所述多个元素定义和所述多个元素群组的元素的表示存储在按优先级排列的可搜索数据结构中，从而使所述 多个元素定义中的每个特定元素定义的表示被存储在所述多个元素群组中与所述特定元素定义相关联的一组特定元素的表示之后，并被存储在所述多个元素定义中更低优先级元素定义及其在所述多个元素群组中的相关元素的表示之前。

【技术特征摘要】
【国外来华专利技术】US 2003-7-9 10/616,7371.一种用于按照搜索优先级的顺序存储项目分层结构的方法，该方法包括识别出多个元素定义和多个元素群组；以及按照搜索优先级降低的顺序，将所述多个元素定义和所述多个元素群组的元素的表示存储在按优先级排列的可搜索数据结构中，从而使所述多个元素定义中的每个特定元素定义的表示被存储在所述多个元素群组中与所述特定元素定义相关联的一组特定元素的表示之后，并被存储在所述多个元素定义中更低优先级元素定义及其在所述多个元素群组中的相关元素的表示之前。2.如权利要求1所述的方法，其中所述多个元素定义包括因特网协议安全性策略，而所述多个元素群组包括因特网协议安全性关联。3.如权利要求2所述的方法，其中所述可搜索的数据结构包括关联存储器或多个关联存储器条目。4.如权利要求1所述的方法，其中所述可搜索的数据结构包括关联存储器或多个关联存储器条目。5.一种用于维护数据结构的方法，该方法包括识别出因特网协议安全性策略的有序列表；对与所述因特网协议安全性策略的有序列表相关联的有序关联存储器条目编程；对与所述因特网协议安全性策略的有序列表相关联的相应上下文存储器条目编程；基于接收到的分组对所述有序关联存储器条目执行关联存储器查找操作，以识别出特定关联存储器条目位置；基于所述特定关联存储器条目位置对所述上下文存储器执行查找操作，以识别出所述因特网协议安全性策略的有序列表中的特定因特网协议安全性策略；以及将基于所述接收到的分组的特定安全性关联条目添加到所述有序关联存储器条目，所述特定安全性关联条目对应于所述特定因特网协议安全性策略，并且所述特定安全性关联条目被添加到所述有序关联存储器条目中的如下位置该位置在所述特定关联存储器条目位置之前，并在所述因特网协议安全性策略的有序列表中的位于所述特定关联存储器条目位置之前的其他安全性策略条目之后。6.如权利要求5所述的方法，其中所述添加特定安全性关联条目的步骤包括扩展为关联存储器中对应于所述特定因特网协议安全性策略及其相关安全性关联条目的条目所分配的分区。7.如权利要求6所述的方法，其中所述扩展分区的步骤包括将空闲空间重新分布到所述关联存储器中的多个分区。8.一种用于搜索关联存储器中的条目的装置，该装置包括所述关联存储器；耦合到所述关联存储器的编程机构；以及用于产生用于所述关联存储器的查找字的机构，其中所述关联存储器基于所述查找字来执行查找操作；其中所述编程机构被配置用于按照搜索优先级降低的顺序，在所述关联存储器中存储多个元素定义和多个元素群组的元素的表示，从而使所述多个元素定义中的每个特定元素定义的表示被存储在所述多个元素群组中与所述特定元素定义相关联的一组特定元素的表示之后，并被存储在所述多个元素定义中更低优先级元素定义及其在所述多个元素群组中的相关元素的表示之前。9.如权利要求8所述的装置，其中所述多个元素定义包括因特网协议安全性策略，而所述多个元素群组包括因特网协议安全性关联。10.如权利要求9所述的装置，其中所述编程机构包括用于利用与所述多个安全性策略相关联的新安全性关联来更新所述关联存储器的装置。11.如权利要求9所述的装置，其中所述编程机构包括用于利用与所述多个安全性策略相关联的新安全性关联来更新所述关联存储器的更新机构。12.一种用于按照搜索优先级顺序来存储项目分层结构的装置，所述装置包括用于识别出多个元素定义和多个元素群组的装置；以及用于按照搜索优先级降低的顺序，将所述多个元素定义和所述多个元素群组的元素的表示存储在按优先级排列的可搜索数据结构中，从而使所述多个元素定义中的每个特定元素定义的表示被存储在所述多个元素群组中与所述特定元素定义相关联的一组特定元素的表示之后，并被存储在所述多个元素定义中更低优先级元素定义及其在所述多个元素群组中的相关元素的表示之前的装置。13.如权利要求12所述的装置，其中所述多个元素定义包括因特网协议安全性策略，而所述多个元素群组包括因特网协议安全性关联。14.如权利要求13所述的装置，其中所述可搜索的数据结构包括关联存储器或多个关联存储器条目。15.如权利要求12所述的装置，其中所述可搜索的数据结构包括关联存储器或多个关联存储器条目。16.如权利要求15所述的装置，其中所述用于存储的装置包括用于将一个范围分裂成多个条目的装置。17.一种用于维护基于因特网协议安全性策略的有序列表的数据结构的装置，该装置包括用于对与所述因...

【专利技术属性】
技术研发人员：托马斯杰弗里安德维克，亨利肯纯克沃克，阿士瓦斯纳贾拉杰，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：US[美国]