软硬生命老化控制方法和相关装置、芯片、介质和程序制造方法及图纸

本申请实施例提供了一种软硬生命老化控制方法及相关装置、芯片、介质和程序。该方法包括：通过软件缓存预先配置的软硬生命老化阈值，再根据软硬生命老化阈值配置硬件寄存器中的软硬生命计数器值，每当硬件寄存器中的硬生命计数器值小于等于软生命计数器值或硬生命计数器值为0或软生命计数器值为0时，通过硬件向软件发送中断指令，通过软件接收到中断指令后，根据当前的软轮数以及硬轮数判断是软生命老化事件还是硬生命老化事件。上述方法在配置超过2

【技术实现步骤摘要】
软硬生命老化控制方法和相关装置、芯片、介质和程序


[0001]本申请涉及通信
，尤其涉及软硬生命老化控制方法和相关装置、芯片、介质和程序。

技术介绍

[0002]随着互联网技术的发展，为防止网络通信中的信息泄露，在数据发送者和接收者之间建立互联网安全协议(Internet Protocol Security，IPSec)隧道，数据发送者可以事先对网络传输中的数据包进行加密，即使数据包在传输过程中被拦截，也不易被破解篡改，数据接收者在接收到数据包后用双方协商好的秘钥信息进行解密和完整性的校验，从而保证数据包中的信息没有被泄露和篡改，提高了网络数据在公网上传输的安全性和完整性。
[0003]软生命老化是指当发送或者接收的IPSec包到达软生命老化阈值，软件通知上层重新进行IPSec隧道的协商生成新的秘钥；硬生命老化是指当发送或者接收的IPSec包到达硬生命老化阈值，则删除本条IPSec隧道。
[0004]在高速网络中，受IPSec序列号32比特(bit)的限制，每发送或者接收2
32
个包就要重新协商一次IPSec安全联盟(Security Associations，SA)信息，在大量数据报文的情况下，为解决这种问题引入扩展电子序列号(Electronic Serial Number，ESN)，即ESN支持64bit。在扩展ESN后，用户配置超过2
32
的软硬生命老化阈值时，硬件32bit的软硬生命计数器无法满足用户配置的软硬生命老化要求，因此可以通过软硬件配合的方式实现对IPSec SA软硬生命老化的控制。目前对于软生命老化事件的预判处理存在误差(提前或延迟软生命老化事件)，导致在IPSec SA的硬生命老化事件到期时，不能够完成IPSec SA秘钥等信息的重新协商，从而导致IPSec隧道断开带来数据或关键信息泄露或被篡改的风险。

技术实现思路

[0005]本申请实施例提供了一种软硬生命老化控制方法及相关装置、芯片、介质和程序，在配置超过2
32
的软硬生命老化阈值时，保证硬生命老化事件精准的前提下，精确地控制软生命老化事件，避免了由于硬生命老化事件到期后重新协商SA信息以致数据泄露等问题，提高了数据传输的安全性。
[0006]第一方面，本申请实施例提供了一种软硬生命老化控制方法，包括：
[0007]通过硬件获取当前硬件寄存器中的第一软硬生命计数器值，所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值；
[0008]当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时，通过所述硬件对所述第一硬生命计数器值自减得到第二硬生命计数器值；
[0009]当所述第二硬生命计数器值小于等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时，通过所述硬件向软件发送中断指令；
[0010]基于所述中断指令，通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数；
[0011]当所述第一软轮数为0时，通过所述软件确定所述SA为软生命老化事件；当所述第一软轮数为0且所述第一硬轮数为0时，通过所述软件确定所述SA为硬生命老化事件。
[0012]在上述方法中，通过软件缓存预先配置的软硬生命老化阈值，再根据硬生命老化阈值的范围给硬件寄存器配置不同的软硬生命计数器值，当通过IPSec隧道进行IPSec包的加解密认证成功后，通过硬件比较第二硬生命计数器值和第一软生命计数器值的大小，当符合预设大小关系时，硬件向软件发送中断指令，软件接收到中断指令后，确定IPSec SA是软生命老化事件到期还是硬生命老化事件到期，从而进行相应的处理。该方法保证硬生命老化事件精准的前提下，精确地控制软生命老化事件，避免了由于硬生命老化事件到期后重新协商SA信息以致数据泄露等问题，提高了数据传输的安全性。
[0013]在一种可能的实现方式中，所述方法还包括：
[0014]当所述第一软轮数不为0且所述第一硬轮数不为0时，通过所述软件对所述第一软轮数减1得到第二软轮数，对所述第一硬轮数减1得到第二硬轮数；
[0015]当所述第二硬轮数大于1时，通过所述软件将配置在所述硬件寄存器中的所述第二硬生命计数器值的最高位置为1得到第三硬生命计数器值，其中，所述第二硬生命计数器值为32位二进制数值；
[0016]当所述第二硬轮数等于1时，通过所述软件根据第一取模值以及第二取模值，对所述第一软生命计数器值进行操作，其中，所述第一取模值是通过所述软件对预先配置的软生命老化阈值进行取模得到的，所述第二取模值是通过所述软件对预先配置的硬生命老化阈值进行取模得到的。
[0017]在本申请实施例中，当第一软轮数和第一硬轮数都不为0时，通过软件确定IPSec SA不是软生命老化事件到期，也不是硬生命老化事件到期，此时，需要判断第二硬轮数是否为最后一轮，当第二硬轮数不为最后一轮(大于1)时，说明硬生命老化事件还没有将要到期，则对第二硬生命计数器值最高位置为1，当第二硬轮数为最后一轮(等于1)时，说明硬生命老化事件将要到期，则对第一软生命计数器值进行操作，从而保证软生命老化事件在硬生命老化事件之前到期。
[0018]在一种可能的实现方式中，所述通过所述软件根据所述第一取模值以及所述第二取模值，对所述第一软生命计数器值进行操作包括：
[0019]当所述第二取模值大于等于所述第一取模值时，通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值，所述第二软生命计数器值＝b
‑
a，其中，所述b为所述第二取模值，所述a为所述第一取模值；或
[0020]当所述第二取模值小于所述第一取模值时，通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值，所述第二软生命计数器值＝b
‑
a+2
31
，其中，所述b为所述第二取模值，所述a为所述第一取模值。
[0021]在本申请实施例中，当第二硬轮数为最后一轮(等于1)时，说明硬生命老化事件将要到期，则需要对第一软生命计数器值进行修改，从而使修改后的第二软生命计数器值对应的软生命老化事件在硬生命老化事件之前到期，从而实现精确地控制软生命老化事件，避免了由于硬生命老化事件到期后重新协商SA信息以致数据泄露等问题，提高了数据传输的安全性。
[0022]在一种可能的实现方式中，所述方法还包括：
[0023]当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时，通过所述硬件对所述第三硬生命计数器值自减得到第四硬生命计数器值；
[0024]当所述第四硬生命计数器值小于等于所述第一软生命计数器值时，通过所述硬件向所述软件发送所述中断指令；
[0025]基于所述中断指令，通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮数；
[0026]当所述第二软轮数为0时，通过所述软件确定所述SA为所述软生命老化事件；当所述第二软轮数为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种软硬生命老化控制方法，其特征在于，包括：通过硬件获取当前硬件寄存器中的第一软硬生命计数器值，所述第一软硬生命计数器值包括第一软生命计数器值以及第一硬生命计数器值；当通过所述硬件对第一互联网安全协议IPSec包进行成功处理时，通过所述硬件对所述第一硬生命计数器值自减以得到第二硬生命计数器值；当所述第二硬生命计数器值小于或等于所述第一软生命计数器值或所述第二硬生命计数器值为0或所述第一软生命计数器值为0时，通过所述硬件向软件发送中断指令；基于所述中断指令，通过所述软件获取当前IPSec安全联盟SA的第一软轮数以及第一硬轮数；当所述第一软轮数为0时，通过所述软件确定所述SA为软生命老化事件；当所述第一软轮数为0且所述第一硬轮数为0时，通过所述软件确定所述SA为硬生命老化事件。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述第一软轮数不为0且所述第一硬轮数不为0时，通过所述软件对所述第一软轮数减1得到第二软轮数，对所述第一硬轮数减1以得到第二硬轮数；当所述第二硬轮数大于1时，通过所述软件将配置在所述硬件寄存器中的所述第二硬生命计数器值的最高位置为1得到第三硬生命计数器值，其中，所述第二硬生命计数器值为32位二进制数值；当所述第二硬轮数等于1时，通过所述软件根据第一取模值以及第二取模值，对所述第一软生命计数器值进行操作，其中，所述第一取模值是通过所述软件对预先配置的软生命老化阈值进行取模得到的，所述第二取模值是通过所述软件对预先配置的硬生命老化阈值进行取模得到的。3.根据权利要求2所述的方法，其特征在于，所述通过所述软件根据所述第一取模值以及所述第二取模值，对所述第一软生命计数器值进行操作包括：当所述第二取模值大于或等于所述第一取模值时，通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值，所述第二软生命计数器值＝b
‑
a，其中，所述b为所述第二取模值，所述a为所述第一取模值；或当所述第二取模值小于所述第一取模值时，通过所述软件将所述第一软生命计数器值修改为第二软生命计数器值，所述第二软生命计数器值＝b
‑
a+2
31
，其中，所述b为所述第二取模值，所述a为所述第一取模值。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：当通过所述硬件对第二互联网安全协议IPSec包进行成功处理时，通过所述硬件对所述第三硬生命计数器值自减以得到第四硬生命计数器值；当所述第四硬生命计数器值小于或等于所述第一软生命计数器值时，通过所述硬件向所述软件发送所述中断指令；基于所述中断指令，通过所述软件获取当前所述SA的所述第二软轮数以及所述第二硬轮...

【专利技术属性】
技术研发人员：夏慧莉，王旭，孙路遥，
申请(专利权)人：深圳星云智联科技有限公司，
类型：发明
国别省市：