【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种与安全关联相关并且由中央处理单元(cpu)执行的方法、cpu、计算机程序、以及对应的计算机程序产品。
技术介绍
1、防重放是在通信网络和许多消费电子产品中的一些协议中广泛实现的特征。在通信网络中,防重放被用于安全关联(sa),例如互联网协议安全(ipsec)sa、媒体访问控制安全(macsec)sa、以及数据报传输层安全(dtls)sa。ipsec是安全网络协议套件,其对数据分组进行认证和加密以通过互联网协议(ip)网络在两个计算机之间提供安全的加密通信,其中ip网络可以是可信的或不可信的。ipsec还被用于虚拟专用网络(vpn)。在第三代合作伙伴计划(3gpp)4g和5g移动网络中,除非网络可以是可信的,否则具有完整性和机密性性保护的ipsec对于所有用户面和控制面业务都是强制的。
2、最新技术是在常见现用(cots)硬件上的软件(sw)中实现ip协议栈。硬件(hw)通常是片上系统(soc),其包括具有用于分组处理的一个或多个硬件加速器的多核cpu。
3、如果吞吐量要求很高,则ipsec所需的...
【技术保护点】
1.一种与安全关联SA相关的由包括多个内核的中央处理单元CPU(110)执行的方法,所述方法包括:
2.根据权利要求1所述的方法,其中,所述服务是防重放服务。
3.根据权利要求1或2中任一项所述的方法,包括:在所述多个内核中的两个内核处分别接收所述第一分组和所述第二分组中的一个。
4.根据权利要求1至3中任一项所述的方法,包括:在所述多个内核中的一个内核处接收所述第一分组和所述第二分组。
5.根据权利要求1至4中任一项所述的方法,其中,子防重放窗口的数量小于或等于2^[数据长度(以位为单位)]。
6.根据权利...
【技术特征摘要】
【国外来华专利技术】
1.一种与安全关联sa相关的由包括多个内核的中央处理单元cpu(110)执行的方法,所述方法包括:
2.根据权利要求1所述的方法,其中,所述服务是防重放服务。
3.根据权利要求1或2中任一项所述的方法,包括:在所述多个内核中的两个内核处分别接收所述第一分组和所述第二分组中的一个。
4.根据权利要求1至3中任一项所述的方法,包括:在所述多个内核中的一个内核处接收所述第一分组和所述第二分组。
5.根据权利要求1至4中任一项所述的方法,其中,子防重放窗口的数量小于或等于2^[数据长度(以位为单位)]。
6.根据权利要求1至5中任一项所述的方法,包括:如果所述第一分组的序列号和所述第二分组的序列号相等,则将所述第一分组和所述第二分组分发到相同的子防重放窗口。
7.根据权利要求1至6中任一项所述的方法,包括:接收包括受完整性保护的部分的第三分组,并且如果所述第三分组的序列号与所述第一分组的序列号相同,则将所述第三分组分发到与所述第一分组相同的子防重放窗口。
8.根据权利要求1至6中任一项所述的方法,包括:接收包括受完整性保护的部分的第三分组,并且如果所述第三分组的序列号与所述第二分组的序列号相同,则将所述第三分组分发到与所述第二分组相同的子防重放窗口。
9.根据权利要求1至8中任一项所述的方法,包括:如果所述第一分组和所述第二分组的序列号不同,则将所述第一分组和所述第二分组分发到不同的子防重放窗口。
10.根据权利要求1至9中任一项所述的方法,包括:
11.根据权利要求2至10中任一项所述的方法,其中,对所述第一分组和所述第二分组执行所述防重放服务是使用所述第一分组和所述第二分组中除相应的安全参数索引spi值之外的其他字节完成的。
12.根据权利要求1至11中任一项所述的方法,其中,所述第一分组和所述第二分组属于第一业务流和第二业务流。
13.根据权利要求12所述的方法,包括:使用原子调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。
14.根据权利要求12或13中任一项所述的方法,其中,如果针对业务流标识选择的数据与针对确定所述子防重放窗口选择的数据相同,则当更新所述子防重放窗口时不需要同步。
15.根据权利要求12所述的方法,包括:使用有序调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。
16.根据权利要求15所述的方法,包括:基于子防重放窗口的数量,确定所述服务中的争用风险。
17.根据权利要求1至16中任一项所述的方法,其中,所述子防重放窗口包括右边缘和左边缘。
18.根据权利要求17所述的方法,包括:周期性地同步所述右边缘和所述左边缘。
19.根据权利要求1至18中任一项所述的方法,包括:基于每个内核,处理所述子防重放窗口。
20.根据权利要求1至19中任一项所述的方法,包括:并行地对所述第一分组和所述第二分组执行所述服务。
21.根据权利要求1至20中任一项所述的方法,其中,针对所述第一分组和所述第二分组中的每一个的所述散列计算对于所述第一分组和所述第二分组中的每一个始终产生相同的导出的子防重放窗口标识符。
22.根据权利要求1至21中任一项所述的方法,包括:在网络接口卡nic 410中执行所述散列计算。
23.根据权利要求1至22中任一项所述的方法,其中,所述第一分组和所述第二分组的所述受完整性保护的部分是所述第一分组和所述第二分组中的每一个中的封装安全有效载荷esp报头、有效载荷数据以及esp尾部。
24.根据权利要求1至23中任一项所述的方法,其中,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据被加密。
25.根据权利要求24所述的方法,其中,针对所述第一分组和所述第二分组中的每一个的所述散列计算包括:提取所述第一分组和所述第二分组中的每一个的加密位。
26.根据权利要求1至25中任一项所述的方法,其中,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据未被加密。
27.根据权利要求1至24中任一项所述的方法,其中,所述sa是互联网协议安全ipsecsa。
28.根据权利要求1至24中任一项所述的方法,其中,所述sa是媒体访问控制协议安全macsec sa。
29.根据权利要求1至24中任一项所述的方法,其中,所述sa是数据报传输层安全dtlssa。
30.一种包括多个内核的中央处理单元cpu(110),所述cpu被配置为:
31.根据权利要求30所述的cpu,其中,所述服务是防重放服务。
32.根据权利要求30或31中任一项所述的cpu,被配置为:在所述多个内核中的两个内核处分别接收所述第一分组...
【专利技术属性】
技术研发人员:M·罗恩布洛姆,O·奥尔森,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。