2. 专利查询
  3. 与安全关联相关的CPU和方法与流程

与安全关联相关的CPU和方法与流程

专利查询2月前  26

本发明涉及一种与安全关联相关并且由中央处理单元(cpu)执行的方法、cpu、计算机程序、以及对应的计算机程序产品。


背景技术:

1、防重放是在通信网络和许多消费电子产品中的一些协议中广泛实现的特征。在通信网络中,防重放被用于安全关联(sa),例如互联网协议安全(ipsec)sa、媒体访问控制安全(macsec)sa、以及数据报传输层安全(dtls)sa。ipsec是安全网络协议套件,其对数据分组进行认证和加密以通过互联网协议(ip)网络在两个计算机之间提供安全的加密通信,其中ip网络可以是可信的或不可信的。ipsec还被用于虚拟专用网络(vpn)。在第三代合作伙伴计划(3gpp)4g和5g移动网络中,除非网络可以是可信的,否则具有完整性和机密性性保护的ipsec对于所有用户面和控制面业务都是强制的。

2、最新技术是在常见现用(cots)硬件上的软件(sw)中实现ip协议栈。硬件(hw)通常是片上系统(soc),其包括具有用于分组处理的一个或多个硬件加速器的多核cpu。

3、如果吞吐量要求很高,则ipsec所需的加密和完整性功能通常被卸载到硬件加速器。对于云原生ipsec实现,cpu内核被用于加密和完整性操作。一些ipsec硬件加速器是“自包含的”,这意味着完整的ipsec协议处理是在硬件加速器中实现的。其他硬件加速器仅实现对加密/解密和完整性检查功能的支持。对于后一种情况,ipsec协议处理在软件中实现。

4、防重放是ipsec的特征,其中接收机维护经认证的接收分组的序列号的“滑动窗口”记录。接收机拒绝序列号(sn)低于滑动窗口起始点的所有分组(即,太旧的分组),或者拒绝已经在滑动窗口内出现的所有分组(即,重复的分组或被重放的分组)。防重放可以与ipsec的封装安全有效载荷(esp)协议和认证报头(ah)协议两者一起使用。因此,防重放还可以与由ipsec提供的两种封装模式(即,隧道模式和传输模式)一起使用。

5、ip协议栈的部分通常在用户空间中实现,也就是说,出于性能原因,不在操作系统的网络栈中实现。ip协议栈的这一部分被称为“快速路径”。诸如数据面开发工具包(dpdk)之类的编程框架通常被用于快速路径开发。快速路径编程框架可以支持事件驱动的编程模型,该编程模型可被用于构建具有多个级的分组处理流水线。这些分组处理流水线中的级可以是原子的、有序的或并行的。队列上的原子调度确保单个业务流不同时存在于两个不同的cpu内核上。有序调度允许将所有流发送到任何cpu内核,但在这种情况下,调度器必须确保在出口上分组被返回到下游队列排队的入口顺序。并行调度允许将所有业务流发送到所有cpu内核,而在接收机处的接收期间没有任何分组排序保证。

6、us2016277358 a1公开了一种方法,其用于检测重放攻击,同时使多核处理器中的多个内核管理建立的隧道会话。隧道会话包括多个流。一个内核被分配管理一个流,并且另一个内核被分配管理另一个流。

7、在多核soc中扩展防重放服务的现有解决方案和技术具有多个缺点。在许多通信网络中,单个ipsec sa可能携带大量业务。当前4g和5g网络中的常见配置是在一个sa中将所有用户面业务隧道传输到基站。可以使用多个sa,但大多数网络运营商偏向使用尽可能少的sa,以降低ipsec配置、维护和ipsec连接租赁的成本。每入站ipsec sa被执行的防重放服务被以串行方式指定。这意味着很难以可伸缩的方式实现防重放服务。此外,仅具有单个防重放窗口的当前防重放实现导致负载和存储争用增加,这最终导致cpu在处理传入分组或业务流期间中止。通常针对防重放使用专用的原子处理级。专用的原子处理级将单个ipsec sa吞吐量限制为单个cpu内核的容量。智能网络接口控制器(nic)之类的替代解决方案价格昂贵,并且因此增加了制造成本和软件成本两者。智能nic解决方案还将使软件的移植性降低。对于低端部署(没有智能nic的部署)和高端部署(具有智能nic的部署)需要单独的软件跟踪。一些现有解决方案不能被用于包括加密数据的分组。此外,一些解决方案引入了诸如互联网密钥交换(ike)之类的附加协议以在发送方系统与接收方系统之间执行协商,这导致开销增加和系统效率降低。此外,存在无锁防重放服务,但是它使用计算密集型原子比较和交换(cas)指令,这通常导致对保存防重放窗口状态的高速缓存行的高度争用。此外,一旦考虑高频cpu内核间同步,同步便成为处理密集型任务。


技术实现思路

1、本发明的一个目的是改进涉及多核cpu的安全性。

2、该目的和其他目的借助于由独立权利要求限定的本发明的不同方面来满足。

3、根据第一方面,提供了一种与安全关联sa相关的由包括多个内核的中央处理单元cpu执行的方法。所述方法包括:将用于所述sa的防重放窗口分成至少两个子防重放窗口,其中,每个所述子防重放窗口被分配子防重放窗口标识符。所述方法包括:接收第一分组和第二分组,所述第一分组和所述第二分组中的每一个包括受完整性保护的部分。所述方法包括:对于所述第一分组和所述第二分组中的每一个,基于散列计算,确定所述子防重放窗口之中的子防重放窗口,所述散列计算使用来自所述第一分组和所述第二分组的所述受完整性保护的部分中的数据作为唯一输入,以产生所述第一分组和所述第二分组中的每一个的导出的子防重放窗口标识符。所述方法包括:对照每个所述子防重放窗口的所述子防重放窗口标识符,使用所述第一分组和所述第二分组中的每一个的所述导出的子防重放窗口标识符来执行对所述子防重放窗口的查找。所述方法包括:执行服务,其中,所述服务使用所述第一分组和所述第二分组中的每一个的所述导出的子防重放窗口标识符以执行以下操作:如果所述第一分组和所述第二分组的序列号相同,则接受所述第一分组并且拒绝所述第二分组,以及如果所述第一分组和所述第二分组的序列号不同,则接受所述第一分组和所述第二分组。

4、因此,实现了减少对计算密集型任务(例如高频cpu内核间同步)的需求。另一个显著优点是,本发明允许更好的性能、提高的效率和改进的可伸缩性,因为更多的cpu内核可以参与涉及给定ipsec sa的分组的处理。此外,每个子防重放窗口是基于所计算的散列值,所计算的散列值又完全/仅基于从特定分组中获得的数据,因此对于潜在攻击者来说,子防重放窗口实际上是不可变的。因此,确保或至少改进了对防重放攻击的保护。多个优点之一在于,多个子防重放窗口将减少负载和存储争用,这导致cpu中止减少。

5、根据一个实施例,所述服务是防重放服务。

6、根据一个实施例,所述方法包括:在所述多个内核中的两个内核处分别接收所述第一分组和所述第二分组中的一个。

7、根据一个实施例,所述方法包括:在所述多个内核中的一个内核处接收所述第一分组和所述第二分组。

8、根据一个实施例,子防重放窗口的数量小于或等于2^[数据长度(以位为单位)]。

9、根据一个实施例,所述方法包括:如果所述第一分组的序列号和所述第二分组的序列号相等,则将所述第一分组和所述第二分组分发到相同的子防重放窗口。

10、根据一个实施例,所述方法包括:接收第三分组,并且如果所述第三分组的序列号与所述第一分组的序列号相同,则将所述第三分组分发到与所述第一分组相同的子防重放窗口。

11、根据一个实施例,所述方法包括:接收第三分组,并且如果所述第三分组的序列号与所述第二分组的序列号相同,则将所述第三分组分发到与所述第二分组相同的子防重放窗口。

12、根据一个实施例,所述方法包括:如果所述第一分组和所述第二分组的序列号不同,则将所述第一分组和所述第二分组分发到不同的子防重放窗口。

13、根据一个实施例,所述方法包括:接收第三分组,并且如果所述第三分组的序列号与所述第一分组的序列号相同,则将所述第三分组分发到与第一分组相同的子防重放窗口。

14、根据一个实施例,所述方法包括:接收第三分组,并且如果所述第三分组的序列号与所述第二分组的序列号相同,则将所述第三分组分发到与所述第二数据分组相同的子防重放窗口。

15、根据一个实施例,所述方法包括:如果所述第一分组和所述第二分组的序列号不同,则将所述第一分组和所述第二分组分发到不同的子防重放窗口。

16、根据一个实施例,对所述第一分组和所述第二分组执行所述防重放服务是使用所述第一分组和所述第二分组中除相应的安全参数索引spi值之外的其他字节完成的。

17、根据一个实施例,所述第一分组和所述第二分组属于第一业务流和第二业务流。

18、根据一个实施例,所述方法包括:使用原子调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。由此,实现了减少对跨核cpu同步的需求。

19、根据一个实施例,如果针对业务流标识选择的数据与针对确定所述子防重放窗口选择的数据相同,则当更新所述子防重放窗口时不需要同步。

20、根据一个实施例,所述方法包括:使用有序调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。

21、根据一个实施例,所述方法包括:基于子防重放窗口的数量,确定所述服务中的争用风险。

22、根据一个实施例,所述子防重放窗口包括右边缘和左边缘。

23、根据一个实施例,所述方法包括:周期性地同步所述右边缘和所述左边缘。由此,实现了防止接受sn低于左边缘的旧分组。

24、根据一个实施例,所述方法包括:基于每个内核,处理所述子防重放窗口。

25、根据一个实施例,所述方法包括:并行地对所述第一分组和所述第二分组执行所述服务。

26、根据所述方法的一个实施例,针对所述第一分组和所述第二分组中的每一个的所述散列计算对于所述第一分组和所述第二分组中的每一个始终产生相同的导出的子防重放窗口标识符。

27、根据一个实施例,所述方法包括:在网络接口卡nic中执行所述散列计算。

28、根据所述方法的一个实施例,所述第一分组和所述第二分组的所述受完整性保护的部分是所述第一分组和所述第二分组中的每一个中的封装安全有效载荷esp报头、有效载荷数据以及esp尾部。

29、根据所述方法的一个实施例,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据被加密。

30、根据一个实施例,针对所述第一分组和所述第二分组中的每一个的所述散列计算包括:提取所述第一分组和所述第二分组中的每一个的加密位。

31、根据一个实施例,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据未被加密。

32、根据一个实施例,所述sa是互联网协议安全ipsec sa。

33、根据一个实施例,所述sa是媒体访问控制协议安全macsec sa。

34、根据一个实施例,所述sa是数据报传输层安全dtls sa。

35、根据第二方面,提供了一种包括多个内核的cpu。所述cpu被配置为:将用于sa的防重放窗口分成至少两个子防重放窗口,其中,每个所述子防重放窗口被分配子防重放窗口标识符。所述cpu被配置为:接收第一分组和第二分组,所述第一分组和所述第二分组中的每一个包括受完整性保护的部分。所述cpu被配置为:对于所述第一分组和所述第二分组中的每一个,基于散列计算,确定所述子防重放窗口之中的子防重放窗口,所述散列计算使用来自所述第一分组和所述第二分组的所述受完整性保护的部分中的数据作为唯一输入,以产生所述第一分组和所述第二分组中的每一个的导出的子防重放窗口标识符。所述cpu还被配置为:对照每个所述子防重放窗口的所述子防重放窗口标识符,使用所述第一分组和所述第二分组中的每一个的所述导出的子防重放窗口标识符来执行对所述子防重放窗口的查找。所述cpu被配置为:执行服务,其中,所述服务使用所述第一分组和所述第二分组中的每一个的所述导出的子防重放窗口标识符以执行以下操作:如果所述第一分组和所述第二分组的序列号相同,则接受所述第一分组并且拒绝所述第二分组,以及如果所述第一分组和所述第二分组的序列号不同,则接受所述第一分组和所述第二分组。

36、根据一个实施例,所述服务是防重放服务。

37、根据一个实施例,所述cpu被配置为:在所述多个内核中的两个内核处分别接收所述第一分组和所述第二分组中的一个。

38、根据一个实施例,所述cpu被配置为:在所述多个内核中的一个内核处接收所述第一分组和所述第二分组。

39、根据一个实施例,子防重放窗口的数量小于或等于2^[数据长度(以位为单位)]。

40、根据一个实施例,所述cpu被配置为:如果所述第一分组的序列号和所述第二分组的序列号相同,则将所述第一分组和所述第二分组分发到相同的子防重放窗口。

41、根据一个实施例,所述cpu被配置为:接收第三分组,并且如果所述第三分组的序列号与所述第一分组的序列号相同,则将所述第三分组分发到与所述第一分组相同的子防重放窗口。

42、根据一个实施例,所述cpu被配置为:接收第三分组,并且如果所述第三分组的序列号与所述第二分组的序列号相同,则将所述第三分组分发到与所述第二分组相同的子防重放窗口。

43、根据一个实施例,所述cpu被配置为:如果所述第一分组和所述第二分组的序列号不同,则将所述第一分组和所述第二分组分发到不同的子防重放窗口。

44、根据一个实施例,针对所述第一分组和所述第二分组的所述防重放服务是使用所述第一分组和所述第二分组中除相应的spi值之外的其他字节执行的。

45、根据一个实施例,所述第一分组和所述第二分组属于第一业务流和第二业务流。

46、根据一个实施例,所述cpu被配置为:使用原子调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。

47、根据一个实施例,如果针对业务流标识选择的数据与针对确定所述子防重放窗口选择的数据相同,则当更新所述子防重放窗口时不需要同步。由此,实现了不需要添加“额外的”处理级,并且将不再需要内核间防重放窗口同步。

48、根据一个实施例,所述cpu被配置为:使用有序调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。

49、根据一个实施例,所述cpu被配置为:基于子防重放窗口的数量,确定所述服务中的争用风险。

50、根据一个实施例,所述子防重放窗口包括右边缘和左边缘。

51、根据一个实施例,所述cpu被配置为:周期性地同步所述右边缘和所述左边缘。

52、根据一个实施例,所述cpu被配置为:基于每个内核,处理所述子防重放窗口。

53、根据一个实施例,所述cpu被配置为:并行地对所述第一分组和所述第二分组执行所述服务。

54、根据一个实施例,针对所述第一分组和所述第二分组中的每一个的所述散列计算对于所述第一分组和所述第二分组中的每一个始终产生相同的导出的子防重放窗口标识符。

55、根据一个实施例,所述cpu被配置为:将所述散列计算委托给nic。

56、根据一个实施例,所述第一分组和所述第二分组的所述受完整性保护的部分是所述第一分组和所述第二分组中的每一个中的esp报头、有效载荷数据以及esp尾部。

57、根据一个实施例,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据被加密。

58、根据一个实施例,针对所述第一分组和所述第二分组中的每一个的所述散列计算包括:提取所述第一分组和所述第二分组中的每一个的加密位。

59、根据一个实施例,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据未被加密。

60、根据一个实施例,所述sa是ipsec sa。

61、根据一个实施例,所述sa是macsec sa。

62、根据一个实施例,所述sa是dtls sa。

63、第三方面涉及一种包括指令的计算机程序,所述指令当在处理电路上被执行时使得所述处理电路执行根据第一方面的任何一个实施例所述的方法。

64、根据第四方面,提供了一种计算机程序产品。所述计算机程序产品包括非暂时性计算机可读存储介质和存储在所述非暂时性计算机可读存储介质上的根据第三方面所述的计算机程序。

65、所述cpu、所述方法、所述计算机程序和所述计算机程序产品能够被用于各种应用,例如诸如无线电基站、路由器、网关、交换机之类的通信网络节点。所述cpu、所述方法、所述计算机程序和所述计算机程序产品的其他应用在计算系统中,例如边缘数据中心、边缘计算机、微型数据中心。


技术特征:

1.一种与安全关联sa相关的由包括多个内核的中央处理单元cpu(110)执行的方法,所述方法包括:

2.根据权利要求1所述的方法,其中,所述服务是防重放服务。

3.根据权利要求1或2中任一项所述的方法,包括:在所述多个内核中的两个内核处分别接收所述第一分组和所述第二分组中的一个。

4.根据权利要求1至3中任一项所述的方法,包括:在所述多个内核中的一个内核处接收所述第一分组和所述第二分组。

5.根据权利要求1至4中任一项所述的方法,其中,子防重放窗口的数量小于或等于2^[数据长度(以位为单位)]。

6.根据权利要求1至5中任一项所述的方法,包括:如果所述第一分组的序列号和所述第二分组的序列号相等,则将所述第一分组和所述第二分组分发到相同的子防重放窗口。

7.根据权利要求1至6中任一项所述的方法,包括:接收包括受完整性保护的部分的第三分组,并且如果所述第三分组的序列号与所述第一分组的序列号相同,则将所述第三分组分发到与所述第一分组相同的子防重放窗口。

8.根据权利要求1至6中任一项所述的方法,包括:接收包括受完整性保护的部分的第三分组,并且如果所述第三分组的序列号与所述第二分组的序列号相同,则将所述第三分组分发到与所述第二分组相同的子防重放窗口。

9.根据权利要求1至8中任一项所述的方法,包括:如果所述第一分组和所述第二分组的序列号不同,则将所述第一分组和所述第二分组分发到不同的子防重放窗口。

10.根据权利要求1至9中任一项所述的方法,包括:

11.根据权利要求2至10中任一项所述的方法,其中,对所述第一分组和所述第二分组执行所述防重放服务是使用所述第一分组和所述第二分组中除相应的安全参数索引spi值之外的其他字节完成的。

12.根据权利要求1至11中任一项所述的方法,其中,所述第一分组和所述第二分组属于第一业务流和第二业务流。

13.根据权利要求12所述的方法,包括:使用原子调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。

14.根据权利要求12或13中任一项所述的方法,其中,如果针对业务流标识选择的数据与针对确定所述子防重放窗口选择的数据相同,则当更新所述子防重放窗口时不需要同步。

15.根据权利要求12所述的方法,包括:使用有序调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。

16.根据权利要求15所述的方法,包括:基于子防重放窗口的数量,确定所述服务中的争用风险。

17.根据权利要求1至16中任一项所述的方法,其中,所述子防重放窗口包括右边缘和左边缘。

18.根据权利要求17所述的方法,包括:周期性地同步所述右边缘和所述左边缘。

19.根据权利要求1至18中任一项所述的方法,包括:基于每个内核,处理所述子防重放窗口。

20.根据权利要求1至19中任一项所述的方法,包括:并行地对所述第一分组和所述第二分组执行所述服务。

21.根据权利要求1至20中任一项所述的方法,其中,针对所述第一分组和所述第二分组中的每一个的所述散列计算对于所述第一分组和所述第二分组中的每一个始终产生相同的导出的子防重放窗口标识符。

22.根据权利要求1至21中任一项所述的方法,包括:在网络接口卡nic 410中执行所述散列计算。

23.根据权利要求1至22中任一项所述的方法,其中,所述第一分组和所述第二分组的所述受完整性保护的部分是所述第一分组和所述第二分组中的每一个中的封装安全有效载荷esp报头、有效载荷数据以及esp尾部。

24.根据权利要求1至23中任一项所述的方法,其中,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据被加密。

25.根据权利要求24所述的方法,其中,针对所述第一分组和所述第二分组中的每一个的所述散列计算包括:提取所述第一分组和所述第二分组中的每一个的加密位。

26.根据权利要求1至25中任一项所述的方法,其中,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据未被加密。

27.根据权利要求1至24中任一项所述的方法,其中,所述sa是互联网协议安全ipsecsa。

28.根据权利要求1至24中任一项所述的方法,其中,所述sa是媒体访问控制协议安全macsec sa。

29.根据权利要求1至24中任一项所述的方法,其中,所述sa是数据报传输层安全dtlssa。

30.一种包括多个内核的中央处理单元cpu(110),所述cpu被配置为:

31.根据权利要求30所述的cpu,其中,所述服务是防重放服务。

32.根据权利要求30或31中任一项所述的cpu,被配置为:在所述多个内核中的两个内核处分别接收所述第一分组和所述第二分组中的一个。

33.根据权利要求30至32中任一项所述的cpu,被配置为:在所述多个内核中的一个内核处接收所述第一分组和所述第二分组。

34.根据权利要求30至33中任一项所述的cpu,其中,子防重放窗口的数量小于或等于2^[数据长度(以位为单位)]。

35.根据权利要求30至34中任一项所述的cpu,被配置为:如果所述第一分组的序列号和所述第二分组的序列号相同,则将所述第一分组和所述第二分组分发到相同的子防重放窗口。

36.根据权利要求30至35中任一项所述的cpu,被配置为:接收包括受完整性保护的部分的第三分组,并且如果所述第三分组的序列号与所述第一分组的序列号相同,则将所述第三分组分发到与所述第一分组相同的子防重放窗口。

37.根据权利要求30至35中任一项所述的cpu,被配置为:接收包括受完整性保护的部分的第三分组,并且如果所述第三分组的序列号与所述第二分组的序列号相同,则将所述第三分组分发到与所述第二分组相同的子防重放窗口。

38.根据权利要求30至37中任一项所述的cpu,被配置为:如果所述第一分组和所述第二分组的序列号不同,则将所述第一分组和所述第二分组分发到不同的子防重放窗口。

39.根据权利要求30至38中任一项所述的cpu,被配置为:

40.根据权利要求31至39中任一项所述的cpu,其中,针对所述第一分组和所述第二分组的所述防重放服务是使用所述第一分组和所述第二分组中除相应的安全参数索引spi值之外的其他字节执行的。

41.根据权利要求30至40中任一项所述的cpu,其中,所述第一分组和所述第二分组属于第一业务流和第二业务流。

42.根据权利要求41所述的cpu,被配置为:使用原子调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。

43.根据权利要求41或42中任一项所述的cpu,其中,如果针对业务流标识选择的数据与针对确定所述子防重放窗口选择的数据相同,则当更新所述子防重放窗口时不需要同步。

44.根据权利要求41所述的cpu,被配置为:使用有序调度在所述多个内核中的两个内核处分别调度所述第一业务流和所述第二业务流中的一个。

45.根据权利要求44所述的cpu,被配置为:基于子防重放窗口的数量,确定所述服务中的争用风险。

46.根据权利要求30至45中任一项所述的cpu,其中,所述子防重放窗口包括右边缘和左边缘。

47.根据权利要求46所述的cpu,被配置为:周期性地同步所述右边缘和所述左边缘。

48.根据权利要求30至47中任一项所述的cpu,被配置为:基于每个内核,处理所述子防重放窗口。

49.根据权利要求30至48中任一项所述的cpu,被配置为:并行地对所述第一分组和所述第二分组执行所述服务。

50.根据权利要求30至49中任一项所述的cpu,其中,针对所述第一分组和所述第二分组中的每一个的所述散列计算对于所述第一分组和所述第二分组中的每一个始终产生相同的导出的子防重放窗口标识符。

51.根据权利要求30至50中任一项所述的cpu,被配置为:将所述散列计算委托给网络接口卡nic 410。

52.根据权利要求30至51中任一项所述的cpu,其中,所述第一分组和所述第二分组的所述受完整性保护的部分是所述第一分组和所述第二分组中的每一个中的封装安全有效载荷esp报头、有效载荷数据以及esp尾部。

53.根据权利要求30至52中任一项所述的cpu,其中,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据被加密。

54.根据权利要求53所述的cpu,其中,针对所述第一分组和所述第二分组中的每一个的所述散列计算包括:提取所述第一分组和所述第二分组中的每一个的加密位。

55.根据权利要求30至54中任一项所述的cpu,其中,来自所述第一分组和所述第二分组中的每一个的所述受完整性保护的部分中的所述数据未被加密。

56.根据权利要求30至53中任一项所述的cpu,其中,所述sa是互联网协议安全ipsecsa。

57.根据权利要求30至53中任一项所述的cpu,其中,所述sa是媒体访问控制协议安全macsec sa。

58.根据权利要求30至53中任一项所述的cpu,其中,所述sa是数据报传输层安全dtlssa。

59.一种包括指令的计算机程序(930),所述指令当在具有多个内核(820;821;822)的中央处理单元cpu(110)上被执行时使得所述cpu(110)执行根据权利要求1至29中任一项所述的方法。

60.一种包括非暂时性计算机可读存储介质(920)的计算机程序产品(910),所述非暂时性计算机可读存储介质(920)上存储根据权利要求59所述的计算机程序(930)。


技术总结
公开了与SA相关的包括多个内核的CPU(100)、方法、计算机程序和计算机程序产品。该CPU将用于SA的防重放窗口分成至少两个子防重放窗口,其中,每个子防重放窗口被分配子防重放窗口标识符;以及接收第一分组和第二分组,第一分组和第二分组中的每一个包括受完整性保护的部分。对于第一分组和第二分组中的每一个,该CPU确定子防重放窗口之中的子防重放窗口,以及产生导出的子防重放窗口标识符。该CPU对照每个子防重放窗口的子防重放窗口标识符,使用第一分组和第二分组中的每一个的导出的子防重放窗口标识符来执行对子防重放窗口的查找。然后,该CPU执行服务。

技术研发人员:M·罗恩布洛姆,O·奥尔森
受保护的技术使用者:瑞典爱立信有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)