JP2004343731A - Encrypted packet processing device, method, program, and program recording medium - Google Patents
Encrypted packet processing device, method, program, and program recording medium Download PDFInfo
- Publication number
- JP2004343731A JP2004343731A JP2004122650A JP2004122650A JP2004343731A JP 2004343731 A JP2004343731 A JP 2004343731A JP 2004122650 A JP2004122650 A JP 2004122650A JP 2004122650 A JP2004122650 A JP 2004122650A JP 2004343731 A JP2004343731 A JP 2004343731A
- Authority
- JP
- Japan
- Prior art keywords
- block
- encrypted
- packet
- unit
- processing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体に関し、より特定的には、暗号化されたパケットの種別を判断して所定の分類処理を行う暗号化パケット処理装置、及び暗号化パケット処理方法、並びにその方法を実行するためのコンピュータプログラム及びプログラム記録媒体に関する。 The present invention relates to an encrypted packet processing device, a method, a program, and a program recording medium, and more particularly, to an encrypted packet processing device that determines a type of an encrypted packet and performs a predetermined classification process, and an encryption device. The present invention relates to an encrypted packet processing method, and a computer program and a program recording medium for executing the method.
近年、インターネット環境の普及により、インターネットを介してサーバ装置とユーザ端末装置との間で様々なデータが簡単に通信されるようになってきた。このデータには、大きく分けて、アプリケーションプログラムや電子メール等のリアルタイム処理を要しないデータ(以下、非リアルタイムデータと記す)と、映像や音声等のリアルタイム処理を要するデータ(以下、リアルタイムデータと記す)の、2種類が存在する。この2種類のデータを混在してして処理する場合、リアルタイムデータの処理が遅延すると映像/音声の停止や欠落等が発生する恐れがある。このため、ユーザ端末装置等は、入力データをリアルタイムデータと非リアルタイムデータとに分類して、リアルタイムデータが非リアルタイムデータよりも優先して処理することが好ましい。この分類処理は、一般にデータの種別等が示された特定情報に基づいて判断される。 In recent years, with the spread of the Internet environment, various data has been easily communicated between a server device and a user terminal device via the Internet. This data is roughly divided into data that does not require real-time processing such as application programs and e-mails (hereinafter referred to as non-real-time data) and data that requires real-time processing such as video and audio (hereinafter referred to as real-time data). ) Exists. In the case where the two types of data are mixed and processed, if the processing of the real-time data is delayed, there is a possibility that video / audio may be stopped or missing. For this reason, it is preferable that the user terminal device and the like classify the input data into real-time data and non-real-time data, and process the real-time data in preference to the non-real-time data. This classification process is generally determined based on specific information indicating the type of data and the like.
一方、サーバ装置とユーザ端末装置との間で様々なデータが簡単に通信されるようになってきたことに伴って、特に重要な情報を含む通信や、個人のプライバシーに関わる情報の通信には、専用線並みのセキュリティ確保が求められている。例えば、電子商取引や電子決済等の分野である。このセキュリティ確保の技術には、様々な方式が提案されているが(例えば、特許文献1及び2を参照)、セキュリティを確保する代表的な技術の1つとしてIPsec(Internet Protocol Security)技術が挙げられる。
On the other hand, along with the fact that various data has been easily communicated between the server device and the user terminal device, communication including particularly important information and communication of information relating to personal privacy are required. Therefore, security as high as that of a dedicated line is required. For example, there are fields such as electronic commerce and electronic settlement. Various techniques have been proposed as a technique for securing the security (for example, see
このIPsecとは、ネットワーク層(OSI参照モデルの第3層)で暗号化及び認証を行うセキュリティプロトコルであって、インターネット技術標準委員会(IETF)で標準化されている。詳細は、標準仕様書RFC2401〜2412及び2451を参照。このIPsec機能を搭載したユーザ端末装置をインターネットに接続する、又はIPsec機能を搭載したネットワーク接続装置(モデム、ルータ等)を介してユーザ端末装置をインターネットに接続することで、インターネットのような広域ネットワーク上に仮想私設網(Virtual Private Network;VPN)を構築できる。つまり、ユーザが暗号化等の特別な処理を実施することなく、安全にインターネットを利用することができる。 IPsec is a security protocol that performs encryption and authentication at the network layer (third layer of the OSI reference model), and is standardized by the Internet Engineering Task Force (IETF). For details, refer to the standard specifications RFC2401 to 2412 and 2451. By connecting the user terminal device equipped with the IPsec function to the Internet, or connecting the user terminal device to the Internet via a network connection device (modem, router, etc.) equipped with the IPsec function, a wide area network such as the Internet can be obtained. A virtual private network (VPN) can be constructed on the virtual private network. That is, the user can safely use the Internet without performing special processing such as encryption.
IPsecを利用した通信を行うにあたっては、通信に使用する暗号化アルゴリズム、認証アルゴリズム、暗号鍵及び認証鍵等の情報を、送信側及び受信側のIPsec機能を搭載した装置間で事前に一致させておく必要がある。この情報は、セキュリティパラメータと呼ばれ、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、SPI値(Security Parameter Index)、プロトコル(暗号化に関するESPや認証に関するAH)、モード(トランスポート又はトンネル)等から構成される。通常、送信側装置と受信側装置との間でこのセキュリティパラメータを一致させるために、IKE(Internet Key Exchange)と呼ばれるアプリケーションによって装置間の相互通信が行われる。相互通信の結果、送信側と受信側とで一致させたセキュリティパラメータは、SA(Security Associsation)と呼ばれる枠組みによって保持され、各装置内のIPsec処理部に通知される。IPsec処理部は、SAで規定された暗号化アルゴリズム、認証アルゴリズム、暗号鍵及び認証鍵等に基づいて、送信するIPパケットをIPsecパケットに変換したり、受信したIPsecパケットをIPパケットに復元することを行う。 When performing communication using IPsec, information such as an encryption algorithm, an authentication algorithm, an encryption key, and an authentication key to be used for communication is previously matched between devices equipped with the IPsec function on the transmission side and the reception side. Need to be kept. This information is called a security parameter, and includes an encryption algorithm, an encryption key, an authentication algorithm, an authentication key, an SPI value (Security Parameter Index), a protocol (ESP for encryption and AH for authentication), a mode (transport or tunnel), and the like. Consists of Normally, in order to match the security parameters between the transmitting apparatus and the receiving apparatus, mutual communication between the apparatuses is performed by an application called IKE (Internet Key Exchange). As a result of the mutual communication, the security parameters matched between the transmission side and the reception side are held by a framework called SA (Security Association) and notified to the IPsec processing unit in each device. The IPsec processing unit converts an IP packet to be transmitted into an IPsec packet or restores a received IPsec packet into an IP packet based on an encryption algorithm, an authentication algorithm, an encryption key, an authentication key, and the like defined by SA. I do.
IPsecでは、トランスポートモードとトンネルモードという2つのモードが用意されている。トランスポートモードでは、図16に示すように、暗号化対象のIPパケットのうち、IPプロトコルより上位層、つまりTCPやUDP等の第4層以上に相当するプロトコルヘッダやデータが暗号化される。また、トンネルモードでは、図17に示すように、暗号化対象のIPパケットの全てが暗号化され、新しいIPパケットによってカプセル化される。従って、トンネルモードでは、元のIPパケット(第4層以上のプロトコルヘッダやデータを含む)が全て暗号化される。 In IPsec, two modes, a transport mode and a tunnel mode, are prepared. In the transport mode, as shown in FIG. 16, among the IP packets to be encrypted, a protocol header or data corresponding to a layer higher than the IP protocol, that is, a fourth or higher layer such as TCP or UDP is encrypted. In the tunnel mode, as shown in FIG. 17, all the IP packets to be encrypted are encrypted and encapsulated by a new IP packet. Therefore, in the tunnel mode, all original IP packets (including protocol headers and data of the fourth and higher layers) are all encrypted.
ここで、いずれかのモードによって暗号化されたIPパケット、すなわちIPsecパケットについて、上述した分類処理を行う場合を考える。この場合、データの種別を判断するために必要な特定情報は、暗号化されたプロトコルヘッダやデータに該当する。従って、データ種別を判断するためには、IPsecパケットを一旦全て復号する処理が必須となる。以下に、IPsecパケットをデータ種別に基づいて分類し、この分類に応じて優先処理を行う従来の装置を説明する。図18は、この従来の処理装置200の構成例を示すブロック図である。
Here, a case is considered in which the above-described classification processing is performed on an IP packet encrypted in one of the modes, that is, an IPsec packet. In this case, the specific information necessary to determine the type of data corresponds to an encrypted protocol header or data. Therefore, in order to determine the data type, a process of once decoding all the IPsec packets is essential. Hereinafter, a conventional apparatus that classifies IPsec packets based on a data type and performs priority processing according to the classification will be described. FIG. 18 is a block diagram showing a configuration example of the
図18において、従来の処理装置200は、入力処理部201と、暗号化判定部202と、復号処理部203と、SAD204と、優先度決定部205と、優先度情報DB206と、出力処理部207とを備える。SAD204は、様々なSAのセキュリティパラメータに関する情報が格納されたデータベースである。優先度情報DB206は、特定情報と予め定めた優先度との組が格納されたデータベースである。
18, a
入力処理部201は、例えばネットワークインタフェースであり、外部からIPパケットを入力する。暗号化判定部202は、入力処理部201が入力したIPパケットのヘッダ情報を参照し、IPパケットが暗号化されているか否か、すなわちIPsecパケットか否かを判定する。復号処理部203は、暗号化判定部202で判定されたIPsecパケットについて、ヘッダ情報からパケットに施された暗号のSAに関する情報を抽出する。次に、復号処理部203は、この抽出した情報をキーとしてSAD204を検索して、抽出した情報に対応するセキュリティパラメータを取得する。そして、復号処理部203は、取得したセキュリティパラメータに基づいて、IPsecパケットに施されている全ての暗号を復号する。優先度決定部205は、復号処理部203で復号されたIPsecパケットに含まれる特定情報に従ってIPsecパケットの種別を確認し、この種別をキーとして優先度情報DB206を検索して、このIPsecパケットの分類、すなわち優先度を決定する。出力処理部207は、優先度決定部205で決定された優先度に従って、所定の出力処理を実行する。例えば、出力処理部207を優先度毎に設けられた複数の処理キューで構成し、決定された優先度に従ってキューイングする処理キューを変更させることを行うことが考えられる。
The
以上の処理によって、リアルタイムデータが含まれたパケットと、非リアルタイムデータが含まれたパケットとが、暗号化されて混在している通信環境においても、データ種別に応じた優先処理を実現することができる。
通常、パケットの暗号化や復号化には、多大な処理時間を必要とする。このため、上述した従来装置のようにパケットに施されている全ての暗号を復号する方法であると、処理装置に膨大な時間的負担を強いることになり、暗号化されたパケットが連続する場合等には、パケット処理の遅延が発生してしまうという問題がある。このような処理遅延は、優先処理を有名無実化してしまうことになる。 Usually, a great deal of processing time is required for encrypting and decrypting a packet. For this reason, the method of decrypting all ciphers applied to a packet as in the above-described conventional apparatus imposes an enormous time burden on the processing apparatus, and when the encrypted packets are continuous. However, there is a problem that a delay in packet processing occurs. Such a processing delay makes the priority processing famous and innocent.
それ故に、本発明の目的は、データ種別が異なる暗号化されたパケットが混在している通信環境において、処理装置への負荷を低減しつつデータ種別に応じた所定の分類処理を実現できる、暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体を提供することである。 Therefore, an object of the present invention is to realize a predetermined classification process according to the data type while reducing the load on the processing device in a communication environment in which encrypted packets having different data types are mixed. It is an object of the present invention to provide a packetized packet processing device, method, program and program recording medium.
本発明は、データの少なくとも一部がブロック単位で暗号化されたパケットに、所定の分類処理を施す暗号化パケット処理装置に向けられている。そして、上記目的を達成させるために、本発明の暗号化パケット処理装置は、ブロック特定部、特定ブロック復号部及び分類処理部を備えている。 The present invention is directed to an encrypted packet processing device that performs a predetermined classification process on a packet in which at least a part of data is encrypted in block units. In order to achieve the above object, an encrypted packet processing device according to the present invention includes a block specifying unit, a specific block decrypting unit, and a classification processing unit.
ブロック特定部は、入力パケット内における、所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定する。特定ブロック復号部は、ブロック特定部で特定された暗号化ブロックを復号する。分類処理部は、特定ブロック復号部で復号されたブロックに含まれる特定情報に基づいて、入力パケットの分類を行う。 The block identifying unit identifies one or a plurality of encrypted blocks in the input packet that include identification information necessary for a predetermined classification process. The specific block decryption unit decrypts the encrypted block specified by the block specification unit. The classification processing unit classifies the input packet based on the specific information included in the block decoded by the specific block decoding unit.
このブロック特定部は、入力パケット内における暗号化されていないブロックに含まれる情報から、所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定してもよい。例えば、入力パケットがIPsecプロトコルに従って暗号化されたパケットである場合には、暗号化されていないブロックに含まれる情報として、IPヘッダに含まれるプロトコル番号を利用することができる。 The block specifying unit may specify a part or all of the encrypted block including the specific information necessary for the predetermined classification process from the information included in the unencrypted block in the input packet. For example, when the input packet is a packet encrypted according to the IPsec protocol, a protocol number included in an IP header can be used as information included in an unencrypted block.
又は、ブロック特定部は、所定の分類処理に必要な特定情報を含む暗号化ブロックを特定するための情報が含まれた他の暗号化ブロックをまず特定し、特定ブロック復号部によって復号された他のブロックに含まれる情報から、所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定してもよい。例えば、入力パケットがIPsecプロトコルに従って暗号化されたパケットである場合には、特定情報を含む暗号化ブロックを特定するための情報として、IPヘッダに含まれるIPヘッダ長、サービスタイプ又はプロトコル番号の少なくとも1つを利用することができる。また、このパケットがESPトランスポートモードパケットである場合には、所定の分類処理に必要な特定情報として、ESPトレーラに含まれる次ヘッダ、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つを利用することができる。また、このパケットがESPトンネルモードパケットである場合には、所定の分類処理に必要な特定情報として、カプセル化されたIPヘッダに含まれる送信元IPアドレス、宛先IPアドレス、又はサービスタイプ、プロトコル番号、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つを利用することができる。 Alternatively, the block specifying unit first specifies another encrypted block including information for specifying the encrypted block including the specific information necessary for the predetermined classification process, and the other block decrypted by the specific block decrypting unit. A part or all of the encrypted block including the specific information necessary for the predetermined classification processing may be specified from the information included in the block. For example, when the input packet is a packet encrypted according to the IPsec protocol, at least the IP header length, the service type, or the protocol number included in the IP header is used as information for specifying the encrypted block including the specific information. One can be used. If this packet is an ESP transport mode packet, the next header included in the ESP trailer, the source port number included in the fourth layer header, or the fourth At least one of the destination port numbers included in the layer header can be used. If the packet is an ESP tunnel mode packet, the source IP address, the destination IP address, or the service type and the protocol number included in the encapsulated IP header are specified information necessary for the predetermined classification process. , At least one of the source port number included in the fourth layer header or the destination port number included in the fourth layer header can be used.
あるいは、パケットに適用可能な暗号化と、所定の分類処理に必要な特定情報を含む暗号化ブロックとの、対応に関する情報を記憶するデータベースを予め備えておけば、ブロック特定部に、入力パケットに適用されている暗号化とデータベースに記憶された情報から、所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定させることも可能である。ここで、入力パケットがIPsecプロトコルに従って暗号化されたパケットである場合には、データベースを、暗号鍵を含むセキュリティパラメータを記憶するセキュリティアソシエーションデータベース(SAD)とすることができる。 Alternatively, if a database that stores information relating to correspondence between encryption applicable to a packet and an encryption block including specific information necessary for a predetermined classification process is provided in advance, the block identification unit includes From the applied encryption and the information stored in the database, it is also possible to specify a part or all of the encrypted block including the specific information necessary for the predetermined classification processing. Here, when the input packet is a packet encrypted according to the IPsec protocol, the database can be a security association database (SAD) that stores security parameters including an encryption key.
典型的な分類処理部として、特定情報と優先度とを対応付けた情報を記憶する優先度情報データベースと、復号されたブロックに含まれている特定情報及び優先度情報データベースに記憶された情報に基づいて入力パケットの優先度を決定する優先度決定部とを備える構成がある。
又は、他の分類処理部として、特定情報と分配先とを対応付けた情報を記憶する分配先情報データベースと、復号されたブロックに含まれている特定情報及び分配先情報データベースに記憶された情報に基づいて入力パケットの分配先を決定する分配先決定部とを備える構成にしてもよい。
As a typical classification processing unit, a priority information database that stores information in which specific information and priorities are associated with each other, and a specific information included in a decoded block and information stored in the priority information database. There is a configuration including a priority determining unit that determines the priority of the input packet based on the priority.
Alternatively, as another classification processing unit, a distribution destination information database storing information in which specific information is associated with a distribution destination, and specific information included in a decrypted block and information stored in the distribution destination information database And a distribution destination determining unit that determines the distribution destination of the input packet based on
これらの構成において、優先度又は分配先に一意に対応した複数のキューと、所定の規則に基づいて複数のキューからパケットを順に取り出して復号処理を行う復号処理部又は分配先にそれぞれ送出する分配処理部とをさらに備えれば、優先度決定部又は分配先決定部に、決定した優先度又は分配先に対応したキューに入力パケットをキューイングさせることもできる。 In these configurations, a plurality of queues uniquely corresponding to priorities or distribution destinations, and a distribution processing unit that sequentially extracts packets from the plurality of queues based on a predetermined rule and performs decoding processing, or a distribution unit that transmits packets to the distribution destinations If the processing unit is further provided, the priority determining unit or the distribution destination determining unit can cause the input packet to be queued in a queue corresponding to the determined priority or distribution destination.
このとき、優先度決定部又は分配先決定部が、決定した優先度又は分配先に対応したキューに、入力パケット及び特定ブロック復号部によって復号されたブロックをキューイングし、復号処理部又は分配処理部が、入力パケットの復号されたブロック以外のブロックについて復号処理を行う又は入力パケットと共に復号されたブロックを分配先に送出することが好ましい。 At this time, the priority determining unit or the distribution destination determining unit queues the input packet and the block decoded by the specific block decoding unit in the queue corresponding to the determined priority or the distribution destination, and executes the decoding processing unit or the distribution processing. Preferably, the unit performs a decoding process on a block other than the decoded block of the input packet, or sends the decoded block together with the input packet to the distribution destination.
また、本発明は、データの少なくとも一部がブロック単位で暗号化されたパケットに、所定の分類処理を施す暗号化パケット処理方法にも向けられている。そして、上記目的を達成させるために、本発明の暗号化パケット処理方法は、入力パケット内における、所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップ、ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップ、及び特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、入力パケットの分類を行う分類処理ステップを備えている。 The present invention is also directed to an encrypted packet processing method for performing a predetermined classification process on a packet in which at least a part of data is encrypted in block units. In order to achieve the above object, an encrypted packet processing method according to the present invention includes a block specifying step of specifying one or a plurality of encrypted blocks including specific information necessary for a predetermined classification process in an input packet. A specific block decoding step of decoding the encrypted block specified in the block specifying step, and a classification processing step of classifying the input packet based on the specific information included in the block decoded in the specific block decoding step. Have.
上述した暗号化パケット処理装置を構成する機能ブロックは、集積回路であるLSIとして実現されてもよい。また、暗号化パケット処理方法は、一連の処理手順をコンピュータに実行させるためのプログラムの形式で提供される。このプログラムは、コンピュータ読み取り可能な記録媒体に記録された形態で、コンピュータに導入されてもよい。 The functional blocks constituting the above-described encrypted packet processing device may be realized as an LSI which is an integrated circuit. The encrypted packet processing method is provided in the form of a program for causing a computer to execute a series of processing procedures. This program may be introduced into a computer in a form recorded on a computer-readable recording medium.
上記のように、本発明によれば、パケットの分類処理を実行する際、暗号化されたパケットの中から分類処理の判断に必要な特定情報が格納された位置(ブロック)を特定し、その位置のデータ(ブロック)だけを復号する。これにより、復号処理に必要な装置の負荷を最小限に留めることができ、後段で行う優先度処理や分配処理の実効を高めることができる。また、特定情報を含むブロックの位置が変動するような場合でも、このブロックを指し示す他の暗号化ブロックを特定及び復号することで対応可能である。 As described above, according to the present invention, when performing the packet classification process, the position (block) where the specific information necessary for the determination of the classification process is stored is specified from among the encrypted packets. Decode only the position data (block). This makes it possible to minimize the load on the device required for the decoding process, and to increase the effectiveness of the priority process and distribution process performed in the subsequent stage. Further, even when the position of the block including the specific information changes, it can be dealt with by specifying and decrypting another encrypted block indicating the block.
本発明の暗号化パケット処理装置及び方法は、パケットに含まれる情報のうち所定の分類処理に必要な情報(以下、特定情報と称する)が、暗号化されてパケット通信されるセキュリティプロトコルを用いた様々なシステムに適用可能である。以下の実施形態では、上記従来技術で説明したIPsecによるセキュリティプロトコルを用いたシステムを一例に挙げて、本発明の暗号化パケット処理装置及び方法を説明する。 The encrypted packet processing apparatus and method of the present invention use a security protocol in which information necessary for a predetermined classification process (hereinafter, referred to as specific information) among information included in a packet is encrypted and packet-communicated. Applicable to various systems. In the following embodiments, an encrypted packet processing apparatus and method of the present invention will be described by taking, as an example, a system using a security protocol based on IPsec described in the above-described related art.
(1)IPsecのトランスポートモード
図1は、本発明の一実施形態に係る暗号化パケット処理装置を含む暗号通信システムのネットワーク構成例を示す図である。図1において、この暗号通信システムは、暗号化パケット処理装置10、ネットワーク接続装置20及びサーバ装置30で構成される。暗号化パケット処理装置10は、本発明の特徴的な機能部分である。この暗号化パケット処理装置10は、パソコン等のユーザ端末装置内に組み込まれてもよいし、中継装置のようにユーザ端末装置とは別に構成されてもよい。ネットワーク接続装置20は、モデムやルータ等であり、図1のように単体で構成されてもよいし、暗号化パケット処理装置10と一体的に構成されてもよい。サーバ装置30は、映像や音声等のリアルタイムデータを含むパケットと、電子メール等の非リアルタイムデータを含むパケットとを、暗号化して送信する。
(1) Transport Mode of IPsec FIG. 1 is a diagram illustrating an example of a network configuration of an encryption communication system including an encryption packet processing device according to an embodiment of the present invention. In FIG. 1, the encryption communication system includes an encrypted
暗号化パケット処理装置10とサーバ装置30との間には予めSAが設定されており、IPsecによって通信が行われる。以下の説明では、暗号化パケット処理装置10のIPアドレスが「132.182.2.2」、サーバ装置30のIPアドレスが「132.182.1.2」であるものとする。また、暗号化パケット処理装置10とサーバ装置30との間で設定されたSAを「SA1」と記し、このSA1の情報がそれぞれ、プロトコル「ESP」、モード「トランスポート」、暗号アルゴリズム「DES−CBC」、及び認証アルゴリズム「HMAC−MD5」であるものとする。よって、サーバ装置30が、ネットワーク接続装置20を介して暗号化パケット処理装置10に送信するパケットは、ESPトランスポートモードによってIPパケットが暗号化されたIPsecとなる。
An SA is set in advance between the encrypted
まず、本発明の暗号化パケット処理装置10を説明する前に、各種のパケット構造及びプロトコルフォーマットについて説明する。
ESPトランスポートモードによるIPsecパケットの構成は、図16に示したとおりである。このIPsecパケットは、IPヘッダ、ESP(Encapsulated Security Payload)ヘッダ、IV(Initial Vector)、第4層ヘッダ、データ、ESPトレーラ、及びICV(認証データ)から構成される。
First, before describing the encrypted
The configuration of the IPsec packet in the ESP transport mode is as shown in FIG. This IPsec packet is composed of an IP header, an ESP (Encapsulated Security Payload) header, an IV (Initial Vector), a fourth layer header, data, an ESP trailer, and an ICV (authentication data).
IPヘッダには、暗号化前のIPパケットに付加されているIPヘッダがそのまま用いられる。IPヘッダの構成を図2に示す。この構成中、本発明で利用するフィールドは、プロトコル、送信元IPアドレス及び宛先IPアドレスである。プロトコルフィールドには、IPヘッダに続くパケットデータ領域の先頭に位置するプロトコルの番号が格納される。暗号化前のIPパケットでは、IPヘッダに続いて第4層ヘッダが付加されるので(図16の左図参照)、プロトコルフィールドには第4層プロトコルを示す番号が格納される。ESPトランスポートモードによるIPsecパケットでは、IPヘッダに続いてESPヘッダが付加されるので(図16の右図参照)、プロトコルフィールドにはESPプロトコルを示す番号が格納される。よって、このプロトコルフィールドの番号を確認することで、暗号化されたIPsecパケットか、暗号化されていないIPパケットかを、直ちに判定することができる。 As the IP header, the IP header added to the IP packet before encryption is used as it is. FIG. 2 shows the configuration of the IP header. In this configuration, the fields used in the present invention are a protocol, a source IP address, and a destination IP address. The protocol field stores the number of the protocol located at the beginning of the packet data area following the IP header. In the IP packet before encryption, since a fourth layer header is added following the IP header (see the left diagram in FIG. 16), a number indicating the fourth layer protocol is stored in the protocol field. In an IPsec packet in the ESP transport mode, an ESP header is added after the IP header (see the right diagram in FIG. 16), and thus a number indicating the ESP protocol is stored in the protocol field. Therefore, by confirming the number of the protocol field, it is possible to immediately determine whether the packet is an encrypted IPsec packet or an unencrypted IP packet.
図3は、IPヘッダ以降のESPプロトコルのフォーマットを示す図である。図3において、SPI及びシーケンス番号の領域がESPヘッダである。IVは、データをブロック暗号化するための初期ベクトルである。ペイロードデータには、暗号化前のIPパケットの第4層ヘッダ及びデータが、暗号化されて格納される。ペイロード部分の長さを調整するパディングから次ヘッダまでの領域が、ESPトレーラである。次ヘッダフィールドには、ペイロードデータの先頭に位置するプロトコルの番号が格納される。例えば、暗号化前の第4層プロトコルが、UDPである場合にはUDPを示す番号が、TCPである場合にはTCPを示す番号が格納される。このESPトレーラは、ペイロードデータと同様に暗号化される。ICVは、ESPヘッダからESPトレーラまでの領域に対する認証データである。このフォーマット中、SPI、IV、ペイロードデータの一部及び次ヘッダが本発明で利用され、ペイロードデータの一部及び次ヘッダが特定情報に相当する。 FIG. 3 is a diagram showing the format of the ESP protocol after the IP header. In FIG. 3, the area of the SPI and the sequence number is the ESP header. IV is an initial vector for block-encrypting data. In the payload data, the fourth layer header and data of the IP packet before encryption are encrypted and stored. The area from padding for adjusting the length of the payload portion to the next header is the ESP trailer. The next header field stores the number of the protocol located at the beginning of the payload data. For example, when the fourth layer protocol before encryption is UDP, a number indicating UDP is stored, and when the fourth layer protocol is TCP, a number indicating TCP is stored. This ESP trailer is encrypted like the payload data. ICV is authentication data for an area from the ESP header to the ESP trailer. In this format, the SPI, IV, part of the payload data and the next header are used in the present invention, and the part of the payload data and the next header correspond to the specific information.
図3に示すペイロードデータ部分に格納されるパケットのフォーマットを説明する。図4は、UDPパケットのフォーマットを示す図である。UDPパケットは、UDPヘッダとペイロードデータとで構成される。UDPヘッダは、8バイトの固定長であり、先頭の4バイトには送信元ポート番号及び宛先ポート番号が、次の4バイトにはパケット長及びチェックサムが、それぞれ格納される。図5は、TCPパケットのフォーマットを示す図である。TCPパケットは、TCPヘッダとペイロードデータとで構成される。TCPヘッダは、24バイトの固定長であり、先頭の4バイトには送信元ポート番号及び宛先ポート番号が、残りの20バイトには図示した通りのデータが格納されている。このフォーマット中では、送信元ポート番号及び宛先ポート番号(上述したペイロードデータの一部)が、特定情報に相当する。 The format of the packet stored in the payload data portion shown in FIG. 3 will be described. FIG. 4 is a diagram showing a format of a UDP packet. A UDP packet is composed of a UDP header and payload data. The UDP header has a fixed length of 8 bytes. The first 4 bytes store a source port number and a destination port number, and the next 4 bytes store a packet length and a checksum. FIG. 5 is a diagram showing a format of a TCP packet. A TCP packet is composed of a TCP header and payload data. The TCP header has a fixed length of 24 bytes. The first four bytes store the source port number and the destination port number, and the remaining 20 bytes store the data as shown. In this format, the source port number and the destination port number (part of the payload data described above) correspond to the specific information.
次に、本発明の暗号化パケット処理装置10の構成を説明する。
図6は、本発明の一実施形態に係る暗号化パケット処理装置10の構成を示すブロック図である。図6において、暗号化パケット処理装置10は、入力処理部11と、暗号化判定部12と、ブロック特定部13と、特定ブロック復号部14と、SAD15と、分類処理部16と、出力処理部17とを備える。分類処理部16は、入力パケットをその種別に応じて分類する機能部分であり、この分類は様々な目的に利用することが可能である。以下の実施形態では、分類処理部16を優先度決定部161及び優先度情報DB162で構成して、分類結果を優先度処理に利用させた場合を説明する。また、図6では、入力処理部11及び出力処理部17を暗号化パケット処理装置10の構成に含めて記載しているが、これらの構成は必須ではなく、例えば暗号化パケット処理装置10の前段又は後段に接続される装置内に構成されても構わない。
Next, the configuration of the encrypted
FIG. 6 is a block diagram showing the configuration of the encrypted
SAD15は、様々なSAのセキュリティパラメータに関する情報が格納されたデータベースである。図7は、SAD15の一例を示す図である。
SAD15には、サーバ装置との間に設定されたSA毎に、SPI値、プロトコル、モード、暗号アルゴリズム、暗号鍵、認証アルゴリズム、及び認証鍵等のセキュリティパラメータが登録されている。上述した暗号化パケット処理装置10とサーバ装置30との間で設定されたSA1は、SPI値を「5000」として図7の1番目のレコードに登録されている。このSAD15に格納されたデータベースは、SPI値をキーに検索可能になっている。
The
In the
優先度情報DB162は、特定情報と予め定めた優先度との組が格納されたデータベースである。図8は、優先度情報DB162の一例を示す図である。
優先度情報DB162には、IPヘッダの情報、第4層ヘッダの情報、及び優先度等からなるエントリが複数登録されている。IPヘッダの情報は、サーバ装置のIPアドレスである送信元IPアドレス、及び自己(暗号化パケット処理装置)のIPアドレスである宛先IPアドレスから構成される。第4層ヘッダの情報は、プロトコル種別、送信元ポート番号、及び宛先ポート番号から構成される。図8中「*」で示している部分は、情報が任意であることを示している。優先度は、出力処理部17で実行される処理の順番等に利用される情報である。この優先度は、分類番号と同義であり、その数は処理目的に応じて任意に設定することができる。
The
In the
次に、本発明の暗号化パケット処理装置10の動作を説明する。
本実施形態では、サーバ装置30が、SA1に基づいて暗号化された以下に示す3種類のパケットA1〜A3を送信する場合を例に挙げて説明する。パケットA1は、送信元ポート番号「1000」及び宛先ポート番号「2000」に設定され、リアルタイムデータを格納したUDPパケットを含んだ、IPsecパケットである。パケットA2は、送信元ポート番号「1001」及び宛先ポート番号「2000」に設定され、非リアルタイムデータを格納したUDPパケットを含んだ、IPsecパケットである。パケットA3は、送信元ポート番号「1000」及び宛先ポート番号「2000」に設定され、非リアルタイムデータを格納したTCPパケットを含んだ、IPsecパケットである。各パケットA1〜A3共、ESPヘッダのSPI値は「5000」に設定される。
Next, the operation of the encrypted
In the present embodiment, a case where the
図9は、本発明の暗号化パケット処理装置10が行う暗号化パケット処理方法の手順を示すフローチャートである。
入力処理部11は、例えばネットワークインタフェースであり、外部からパケットを入力する。暗号化判定部12は、入力処理部11が入力したパケットのプロトコルフィールドを参照し(図2)、パケットが暗号化されているか否かを判定する(ステップS901)。具体的には、暗号化判定部12は、プロトコルフィールドに、IPsecによって暗号化されたIPsecパケットであることを示すESPプロトコルの番号が格納されているか、暗号化されていないIPパケットであることを示す第4層プロトコルの番号が格納されているか、を判定する。暗号化判定部12は、ESPプロトコルの番号が格納されている場合にはパケット(IPsecパケット)をブロック特定部13へ、それ以外の場合にはパケット(IPパケット)を優先度決定部161へ、それぞれ出力する。
FIG. 9 is a flowchart illustrating a procedure of an encrypted packet processing method performed by the encrypted
The
ブロック特定部13は、暗号化判定部12で判定されたIPsecパケットのESPヘッダ内のSPI値を抽出し(図3)、このSPI値をキーにSAD15(図7)を検索してIPsecパケットに用いられたSAのセキュリティパラメータを取得する(ステップS902)。例えば、SPI値が「5000」である場合、ブロック特定部13は、SAD15からSPI値が「5000」であるセキュリティパラメータ、すなわちSA1のセキュリティパラメータ(暗号アルゴリズム「DES−CBC」、暗号鍵「abcdefgh」、認証アルゴリズム「HMAC−MD5」及び認証鍵「QRSTU」等)を取得する。そして、ブロック特定部13は、取得したセキュリティパラメータに基づいて、暗号化されたデータの中から、優先度決定部161における優先度決定処理に必要な情報が格納されている位置を特定する(ステップS903)。この実施例では、第4層プロトコルの種別、送信元ポート番号及び宛先ポート番号が、必要な情報となる。
The
ここで、暗号アルゴリズム「DES−CBC」は、8バイト長のデータを1ブロックとしてブロック単位で暗号化及び復号化する方式である(標準仕様書RFC2405を参照)。図10に示すように、暗号化処理では、平文の第1ブロックP1とIVとでXOR演算した結果を暗号鍵で暗号化することで、暗号化された第1ブロックb1が生成される。以後、暗号化された第nブロックbnは(n=2以上の整数)、平文の第nブロックPnと暗号化された第(n−1)ブロックb(n−1)とでXOR演算した結果を暗号鍵で暗号化することで生成される。また、図11に示すように、復号化処理では、暗号化された第1ブロックb1を暗号鍵で復号した結果をIVでXOR演算することで、平文の第1ブロックP1が再生される。以後、平文の第nブロックPnは、暗号化された第nブロックbnを暗号鍵で復号した結果を暗号化された第(n−1)ブロックb(n−1)でXOR演算することで再生される。このように、暗号アルゴリズム「DES−CBC」では、1ブロック単位で簡単に復号することができる。なお、暗号アルゴリズム「3DES−CBC」の場合には、1ブロック単位が16バイト長のデータに代わるだけでその他は同じである。よって、優先度決定処理に必要な情報が格納されている位置は、このブロック単位で特定すればよい。このブロックの特定については、後述する。 Here, the encryption algorithm “DES-CBC” is a method of encrypting and decrypting data of 8-byte length as one block in block units (refer to the standard specification RFC2405). As shown in FIG. 10, in the encryption process, the result of the XOR operation between the first blocks P1 and IV of the plaintext is encrypted with the encryption key, thereby generating the encrypted first block b1. Thereafter, the encrypted n-th block bn (n = an integer equal to or greater than 2) is the result of XOR operation of the plaintext n-th block Pn and the encrypted (n-1) -th block b (n-1) Is generated by encrypting with an encryption key. Also, as shown in FIG. 11, in the decryption processing, the result of decrypting the encrypted first block b1 with the encryption key is XORed with IV to reproduce the plaintext first block P1. Thereafter, the n-th block Pn of the plain text is reproduced by performing XOR operation on the result of decrypting the encrypted n-th block bn with the encryption key using the encrypted (n-1) -th block b (n-1). Is done. As described above, the encryption algorithm “DES-CBC” can easily decrypt data in units of one block. In the case of the encryption algorithm “3DES-CBC”, the other units are the same except that one block unit is replaced with 16-byte data. Therefore, the position where the information necessary for the priority determination processing is stored may be specified in units of this block. The specification of this block will be described later.
特定ブロック復号部14は、ブロック特定部13で特定されたブロックを復号し、復号されたデータから優先度決定部161における優先度決定処理に必要な情報を抽出する(ステップS904)。なお、1度のブロック特定及びブロック復号によって必要な情報が抽出されない場合、例えば特定したブロックの復号結果によって次に復号すべきブロックが示される場合等には、ステップS903及びS904が必要な回数だけ繰り返して行われる(ステップS905)。
The specific
優先度決定処理に必要な情報を抽出するために、ブロック特定部13で行われるブロック特定及び特定ブロック復号部14で行われるブロック復号について、詳細に説明する。
まず、暗号アルゴリズムのブロック単位に基づいて、暗号化されているデータ領域が、先頭から順に8バイトデータ長ずつブロックb1、ブロックb2、…、ブロックbmと複数に分割される。なお、変数mは暗号化されているデータ領域のサイズによって変動し、ブロックbmは暗号化されている最終ブロックを示す。図3で説明したように、第4層プロトコルの種別は、IPsec仕様(標準仕様書RFC2406を参照)によって、ESPトレーラの最後の1バイトである次ヘッダフィールドに格納されていることから、最後のブロックbmに含まれていることが分かる。よって、ブロックbmが特定及び復号されて、まず第4層プロトコルの種別が抽出される。
The block specification performed by the
First, based on the block unit of the encryption algorithm, the encrypted data area is divided into a plurality of blocks b1, b2,. Note that the variable m varies depending on the size of the encrypted data area, and the block bm indicates the last block to be encrypted. As described with reference to FIG. 3, the type of the fourth layer protocol is stored in the next header field, which is the last byte of the ESP trailer, according to the IPsec specification (refer to the standard specification RFC2406). It can be seen that it is included in the block bm. Therefore, the block bm is specified and decoded, and first, the type of the fourth layer protocol is extracted.
抽出された第4層プロトコルの種別が、TCP又はUDPである場合には、TCP及びUDPの仕様(標準仕様書RFC793及びRFC768)によって、送信元ポート番号及び宛先ポート番号が、各ヘッダの最初の2バイト及びそれに続く2バイトに格納されていることが分かる(図4及び図5を参照)。また、IPsec仕様によって第4層ヘッダは、IVの直後に位置している(図16を参照)。このことから、送信元ポート番号及び宛先ポート番号が、先頭のブロックb1に含まれていることが分かる。よって、ブロックb1が特定及び復号されて、最初の2バイト及びそれに続く2バイトから、送信元ポート番号及び宛先ポート番号が抽出される。 When the type of the extracted fourth-layer protocol is TCP or UDP, the source port number and the destination port number are set to the first header of each header according to the TCP and UDP specifications (standard specifications RFC793 and RFC768). It can be seen that it is stored in two bytes and the following two bytes (see FIGS. 4 and 5). Also, the fourth layer header is located immediately after the IV according to the IPsec specification (see FIG. 16). This indicates that the source port number and the destination port number are included in the first block b1. Therefore, the block b1 is specified and decoded, and the source port number and the destination port number are extracted from the first two bytes and the following two bytes.
以上のように、ブロック特定部13によって、多くのブロックの中からブロックb1及びブロックbmだけが特定され、特定ブロック復号部14によって、この特定されたブロックのみが復号されることで、優先度決定処理に必要な第4層プロトコルの種別、送信元ポート番号、及び宛先ポート番号を抽出することができる。これらの情報は、復号化されていないオリジナルのIPsecパケットと共に、優先度決定部161へ出力される。
As described above, only the blocks b1 and bm are specified from many blocks by the
優先度決定部161は、特定ブロック復号部14から、第4層プロトコルの種別、送信元ポート番号、宛先ポート番号、及びIPsecパケットを入力し、IPsecパケットのIPヘッダ部分から送信元IPアドレス及び宛先IPアドレスを抽出する。そして、優先度決定部161は、送信元IPアドレス、宛先IPアドレス、第4層プロトコルの種別、送信元ポート番号及び宛先ポート番号をキーとして、優先度情報DB162を検索し、パケットの優先度を決定する(ステップS906)。暗号化判定部12から暗号化されていないIPパケットを入力する場合には、優先度決定部161は、IPパケットのIPヘッダ及び第4層ヘッダ部分から上記全ての情報を抽出し、抽出結果に基づいてパケットの優先度を決定する。例えば、送信元IPアドレス「132.182.1.2」、宛先IPアドレス「132.182.2.2」、プロトコル種別「UDP」、送信元ポート番号「1000」、及び宛先ポート番号「2000」であるパケットA1の優先度は、図8に従って「1」となる。パケットA2及びA3の優先度は、図8に従って「2」となる。なお、宛先IPアドレスは、暗号化パケット処理装置10自身のIPアドレスであるから、優先度情報DB162から省略しても構わない。
The
出力処理部17は、優先度決定部161で決定された優先度に従って、所定の出力処理を実行する。例えば、図12に示すように、出力処理部17を、優先度「1」に対応した第1キュー及び優先度「2」に対応した第2キューを備えたキュー処理部171と、復号処理部172とで構成する。この構成によって、キュー処理部171は、優先度に基づいて、パケットA1を第1キューに、パケットA2及びA3を第2キューに、それぞれキューイングすることができる。そして、復号処理部172は、第2キューに格納されたパケットよりも第1キューに格納されたパケットの復号処理を優先的に実行することができる。なお、復号処理部172でパケットの復号に必要なセキュリティパラメータの情報は、図12のようにSAD15から獲得してもよいし、パケットに付随させて優先度決定部161から受け取るようにしてもよい。後者の場合、例えば、パケットの最後尾に、パケットに対応するSAを指し示すポインタ情報、及び復号した特定のブロックとそのブロック識別子を示す情報を、予め定めた形式で付加することが考えられる。これにより、復号処理部172において、特定ブロック復号部14と重複した無駄な復号処理を省くことができる。
The
また、例えば、キュー処理部171に代えて、優先度とパケットとを組にして領域の先頭から順に格納することが可能なテーブルを用いても構わない。この場合、復号処理部172は、テーブルに登録された最も優先度が高くかつ最も先頭にあるパケットを1つ取り出して復号処理を行う。
また、例えば、出力処理部17を、他のユーザ端末装置等へパケットをそれぞれ分配する分配処理部で構成してもよい。この場合には、優先度情報DB162及び優先度決定部161の構成が、それぞれ特定情報と予め定めた分配先との組が格納された分配先情報DB、及び特定情報と分配先情報DBとに基づいて分配先を決定する分配先決定部に代わることになる。
Further, for example, instead of the
Further, for example, the
(2)IPsecのトンネルモード
トンネルモードの場合も、トランスポートモードと基本的に処理は同じであるが、IPsecパケットの構成が少し異なる。以下、この異なる部分を中心に説明する。
図13は、本発明の一実施形態に係る暗号化パケット処理装置を含む他の暗号通信システムのネットワーク構成例を示す図である。図13において、この暗号通信システムは、暗号化パケット処理装置10、ネットワーク接続装置20、SGW40、端末50及び60で構成される。SGW40は、端末50が端末60に向けて送信するパケットを暗号化して送信するセキュリティゲートウエイである。
(2) IPsec Tunnel Mode In the tunnel mode, the processing is basically the same as in the transport mode, but the configuration of the IPsec packet is slightly different. Hereinafter, the different parts will be mainly described.
FIG. 13 is a diagram illustrating a network configuration example of another cryptographic communication system including the encrypted packet processing device according to the embodiment of the present invention. In FIG. 13, the encryption communication system includes an encrypted
暗号化パケット処理装置10とSGW40との間には予めSAが設定されており、IPsecによって通信が行われる。暗号化パケット処理装置10とSGW40との間で設定されたSAの情報は、プロトコル「ESP」、モード「トンネル」、暗号アルゴリズム「DES−CBC」、及び認証アルゴリズム「HMAC−MD5」であるものとする。SGW40は、LAN(端末50)向けに「192.168.1.1」のIPアドレスを、WAN(ネットワーク接続装置20)向けに「132.182.1.2」のIPアドレスを保有する。また、暗号化パケット処理装置10は、LAN(端末60)向けに「192.168.2.1」のIPアドレスを、WAN(ネットワーク接続装置20)向けに「132.182.2.2」のIPアドレスを保有する。
An SA is set in advance between the encrypted
ESPトンネルモードによるIPsecパケットの構成は、図17に示した通りである。このIPsecパケットは、IPヘッダ、ESPヘッダ、IV、IPヘッダ、第4層ヘッダ、データ、ESPトレーラ、及びICVから構成される。トンネルモードの場合は、元のIPパケット全体が暗号化されている。よって、元のIPパケットのIPヘッダに格納されている送信元IPアドレス、宛先IPアドレス及びTOSや、元のIPパケットに含まれる第4層以上のプロトコルヘッダを、優先度を決定するために復号が必要な特定情報としてもよい。TOSは、IPパケットのサービスタイプを表す情報であり、特定情報としての利用が可能である。よって、IPパケットを丸ごと暗号化するトンネルモードでは、このTOSを含むブロックを特定して復号することも考えられる。 The configuration of the IPsec packet in the ESP tunnel mode is as shown in FIG. This IPsec packet includes an IP header, an ESP header, an IV, an IP header, a fourth layer header, data, an ESP trailer, and an ICV. In the case of the tunnel mode, the entire original IP packet is encrypted. Therefore, the source IP address, destination IP address, and TOS stored in the IP header of the original IP packet, and the protocol headers of the fourth and higher layers included in the original IP packet are decoded in order to determine the priority. May be necessary specific information. TOS is information indicating a service type of an IP packet, and can be used as specific information. Therefore, in the tunnel mode in which the entire IP packet is encrypted, it is conceivable to identify and decrypt the block including the TOS.
IPヘッダのサイズは可変長であるため、トンネルモードではカプセル化されたIPパケットの上位層プロトコルの開始位置は、IPヘッダのサイズによって決まる。よって、カプセル化されたIPヘッダのIHL(IPヘッダ長を示すフィールド)を含むブロックを特定して復号し、IHL値を参照して上位層であるTCPプロトコルやUDPプロトコルの開始位置を特定する。これにより、TCPプロトコルやUDPプロトコルに含まれる送信元ポート番号及び宛先ポート番号を含むブロックを特定するができる。
このように、特定情報を含むブロック位置を特定するために、特定情報を含むブロック位置を特定するために必要なヘッダ長やパケット長の情報等を用いてもよい。これにより、特定情報の位置がパケット毎に変動する場合も対応することができる。
Since the size of the IP header is variable, the start position of the upper layer protocol of the encapsulated IP packet in the tunnel mode is determined by the size of the IP header. Therefore, a block including the IHL (field indicating the IP header length) of the encapsulated IP header is identified and decoded, and the start position of the upper layer TCP protocol or UDP protocol is identified with reference to the IHL value. As a result, a block including the source port number and the destination port number included in the TCP protocol and the UDP protocol can be specified.
As described above, in order to specify the block position including the specific information, information on the header length and the packet length necessary for specifying the block position including the specific information may be used. Accordingly, it is possible to cope with a case where the position of the specific information changes for each packet.
このようなパケットに対する優先度情報DB162の一例を、図14に示す。図14に示すように、この優先度情報DB162には、図8に示した登録項目にトンネル内側用のIPヘッダ情報が追加されている。このトンネル内側用のIPヘッダ情報も、IPヘッダ情報と同様に送信元IPアドレス及び宛先IPアドレスから構成される。なお、IPヘッダに含まれる上記以外の項目を、トンネル内側用のIPヘッダ情報に含んでも構わない。また、図14に示した全ての項目は必須ではない。よって、必要としない項目については、図14の表から削除しても構わない。
FIG. 14 shows an example of the
トンネルモードの場合、IP仕様により、IPヘッダの13バイト目から16バイト目に送信元IPアドレスが、17バイト目から20バイト目に宛先IPアドレスが格納されている。従って、ブロックb2及びブロックb3を復号し、ブロックb2の後半4バイトとブロックb3の前半4バイトとから、送信元IPアドレス及び宛先IPアドレスを獲得できる。第4層プロトコルの種別は、IPヘッダの10バイト目に格納されている。従って、ブロックb2を復号し、ブロックb2の2バイト目を参照することで、第4層プロトコルの種別を獲得できる。第4層の送信元ポート番号及び宛先ポート番号は、トランスポートモードと同様に、TCPヘッダ及びUDPヘッダの先頭から8バイトに格納されている。しかし、IPヘッダ長が可変長であるため、まずIPヘッダ長を求め、第4層ヘッダが開始する位置を特定する必要がある。IPヘッダ長(IHL)は、IPヘッダの2バイト目に格納されている。よって、ブロックb1を復号し、ブロックb1の2バイト目を参照することで、IPヘッダ長を得ることができる。この例では、IHL=5(20バイトを示す値)が獲得でき、送信元ポート番号及び宛先ポート番号は、暗号化されたデータ領域の先頭から21〜24バイト目に格納されていることがわかる。よって、ブロックb3を復号し、ブロックb3の後半4バイトから送信元ポート番号及び宛先ポート番号を獲得する。 In the case of the tunnel mode, the source IP address is stored in the 13th to 16th bytes and the destination IP address is stored in the 17th to 20th bytes according to the IP specification. Therefore, the block b2 and the block b3 are decoded, and the source IP address and the destination IP address can be obtained from the last four bytes of the block b2 and the first four bytes of the block b3. The type of the fourth layer protocol is stored in the tenth byte of the IP header. Therefore, by decoding the block b2 and referring to the second byte of the block b2, the type of the fourth layer protocol can be obtained. The source port number and the destination port number of the fourth layer are stored in the first eight bytes of the TCP header and the UDP header, as in the transport mode. However, since the IP header length is variable, it is necessary to first determine the IP header length and specify the position where the fourth layer header starts. The IP header length (IHL) is stored in the second byte of the IP header. Therefore, the IP header length can be obtained by decoding the block b1 and referring to the second byte of the block b1. In this example, IHL = 5 (a value indicating 20 bytes) can be obtained, and it can be seen that the source port number and the destination port number are stored in the 21st to 24th bytes from the head of the encrypted data area. . Therefore, the block b3 is decoded, and the source port number and the destination port number are obtained from the last four bytes of the block b3.
このブロック特定処理及びブロック復号処理によって得られたIPヘッダ情報、トンネル内側用のIPヘッダ情報、及び第4層ヘッダ情報をキーに、優先度情報DB162を検索する。結果、上記IPsecパケットについて、優先度「1」を取得できる。
The
以上のように、本発明の一実施形態に係る暗号化パケット処理装置は、パケットの分類処理を実行する際、暗号化されたパケットの中から分類処理の判断に必要な特定情報が格納された位置(ブロック)を特定し、その位置のデータ(ブロック)だけを復号する。これにより、復号処理に必要な装置の負荷を最小限に留めることができ、後段で行う優先度処理や分配処理の実効を高めることができる。 As described above, when performing the packet classification process, the encrypted packet processing device according to the embodiment of the present invention stores the specific information necessary to determine the classification process from among the encrypted packets. The position (block) is specified, and only the data (block) at that position is decoded. This makes it possible to minimize the load on the device required for the decoding process, and to increase the effectiveness of the priority process and distribution process performed in the subsequent stage.
なお、本実施形態では、特定情報として第4層プロトコルのヘッダ情報を用いた場合を説明したが、第4層以上のプロトコルヘッダや、ヘッダ情報等に基づいて位置を特定できる情報であれば構わない。
また、本実施形態では、ESPプロトコルによって暗号化されたIPsecパケットと、暗号化されていないIPパケットとが混在して入力される場合を想定して説明した。しかし、IPsecパケットだけが入力されるのであれば、暗号化判定部12の構成を省略することができる。
In this embodiment, the case where header information of the fourth layer protocol is used as the specific information has been described. However, any information can be used as long as the position can be specified based on the protocol header of the fourth layer or higher, header information, or the like. Absent.
Further, the present embodiment has been described on the assumption that the IPsec packet encrypted by the ESP protocol and the non-encrypted IP packet are mixed and input. However, if only an IPsec packet is input, the configuration of the
また、本実施形態では、SAD15に設定される暗号アルゴリズム及び暗号鍵が1つだけである場合には、ブロック特定部13及び特定ブロック復号部14は、SAD15を検索せずに、予め保持する唯一の暗号アルゴリズム及び暗号鍵を用いて復号処理するように構成してもよい。また、暗号鍵は管理者等によって手動で登録された鍵であっても、IKE等の鍵交換プログラムによって取得された鍵であっても構わない。また、本実施形態では、暗号アルゴリズムが「DES−CBC」である場合について説明したが、ブロック暗号でありかつあるブロックの復号処理に他の復号されたブロックを必要としない方式であれば、DES−CBC以外の暗号アルゴリズムであっても構わない。
Further, in the present embodiment, when only one encryption algorithm and one encryption key are set in the
さらに、本実施形態では、図8や図14に示した優先度情報DB162のように宛先ポート番号を任意の値として、プロトコル種別と送信元ポート番号とに基づいて優先度を決定するように説明したが、決定方法はこれに限られるものではない。送信元ポート番号を任意の値として、プロトコル種別と宛先ポート番号とに基づいて優先度を決定してもよいし、任意の値を用いずに、プロトコル種別、送信元ポート番号及び宛先ポート番号の全てに基づいて優先度を決定してもよい。
Further, in the present embodiment, the priority is determined based on the protocol type and the source port number, with the destination port number being an arbitrary value as in the
(3)IPsec以外のセキュリティプロトコルについて
以上の実施形態では、IPsecパケットに本発明の手法を適用させる場合を説明した。次に、標準仕様書RFC2246で規定されているTLS_ver.1によって暗号化されたパケットに、本発明の手法を適用させる場合を説明する。なお、TLS暗号方式では、ストリーム暗号とブロック暗号との2通りが規定されているが、ここではブロック暗号の場合について説明する。
(3) Security Protocols Other Than IPsec In the above embodiments, the case where the method of the present invention is applied to IPsec packets has been described. Next, TLS_ver. Stipulated in the standard specification RFC2246. A case where the method of the present invention is applied to a packet encrypted by No. 1 will be described. In the TLS encryption method, two types, a stream encryption and a block encryption, are defined. Here, the case of the block encryption will be described.
図15に、TLS暗号方式を用いて送受信されるパケットフォーマットを示す。図15において、IPヘッダ及びTCPヘッダは、それぞれ図2及び図5に示した通りである。typeは、TLS内でのプロトコル種別であり、アプリケーションが扱うデータを送受信する際には、0x17(application_data)が設定されている。content以下は、暗号化された領域である。contentは、アプリケーションが使用するヘッダ及びデータが格納されている。MACは、使用するアルゴリズムによってcontentから求められるハッシュ値である。パディングは、暗号化された領域が所定ブロックの整数倍となるように調整するためのフィールドである。パディング長は、パディングの長さを示す。 FIG. 15 shows a packet format transmitted and received using the TLS encryption method. In FIG. 15, an IP header and a TCP header are as shown in FIGS. 2 and 5, respectively. The type is a protocol type in the TLS, and 0x17 (application_data) is set when data handled by the application is transmitted / received. The area below content is an encrypted area. “content” stores a header and data used by the application. MAC is a hash value obtained from content by an algorithm to be used. Padding is a field for adjusting an encrypted area to be an integral multiple of a predetermined block. Padding length indicates the length of padding.
よって、TLSに対応した優先度情報DBを構築する場合には、IPヘッダ情報として送信元IPアドレス及び宛先IPアドレス、第4層ヘッダ情報(TLSは必ずTCPを使用するため、TCPに限られる)として送信元ポート番号及び宛先ポート番号、アプリケーションが使用するヘッダの内で着目するフィールド値、及び優先度を少なくとも含むことになる。この着目するフィールドを含むブロックは、IPsecの場合と同様に、アプリケーション毎に固定的に特定される。 Therefore, when constructing the priority information DB corresponding to the TLS, the source IP address, the destination IP address, and the fourth layer header information as the IP header information (TLS is always limited to TCP because TLS always uses TCP). At least the source port number and destination port number, the field value of interest in the header used by the application, and the priority. The block including the field of interest is fixedly specified for each application as in the case of IPsec.
なお、本発明の暗号化パケット処理装置におけるブロック特定部13、特定ブロック復号部14、SAD15、及び分類処理部16等の各機能ブロックは、典型的には集積回路であるLSI(集積度の違いにより、IC、システムLSI、スーパーLSI、又はウルトラLSI等と称される)として実現される。これらは、個別に1チップ化されてもよいし、一部又は全部を含むように1チップ化されてもよい。
また、集積回路化の手法は、LSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。また、LSI製造後にプログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別の技術により、LSIに置き換わる集積回路化の技術が登場すれば、当然その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適応等が可能性としてあり得る。
Note that the functional blocks such as the
Further, the method of circuit integration is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor. Further, an FPGA (Field Programmable Gate Array) that can be programmed after the LSI is manufactured, or a reconfigurable processor that can reconfigure connection and setting of circuit cells inside the LSI may be used.
Further, if a technology for forming an integrated circuit that replaces the LSI appears due to the progress of the semiconductor technology or another derived technology, the functional blocks may be naturally integrated using the technology. Adaptation of biotechnology is possible.
また、本発明の暗号化パケット処理方法は、記憶装置(ROM、RAM、ハードディスク等)に格納された上述した処理手順を実行可能な所定のプログラムデータが、CPUによって解釈実行されることで実現されてもよい。この場合、プログラムデータは、CD−ROMやフレキシブルディスク等の記録媒体を介して記憶装置内に導入されてもよいし、記録媒体上から直接実行されてもよい。 Further, the encrypted packet processing method of the present invention is realized by the CPU interpreting and executing predetermined program data stored in a storage device (ROM, RAM, hard disk, etc.) capable of executing the above-described processing procedure. You may. In this case, the program data may be introduced into the storage device via a recording medium such as a CD-ROM or a flexible disk, or may be executed directly from the recording medium.
本発明の暗号化パケット処理装置及び方法は、データ種別が異なる暗号化されたパケットが混在している通信環境等において利用可能であり、特に、処理装置への負荷を低減しつつデータ種別に応じた所定の分類処理を実現する場合等に適している。 INDUSTRIAL APPLICABILITY The encrypted packet processing device and method of the present invention can be used in a communication environment or the like in which encrypted packets having different data types coexist, and in particular, according to the data type while reducing the load on the processing device This is suitable for implementing a predetermined classification process.
10 暗号化パケット処理装置
11、201 入力処理部
12、202 暗号化判定部
13 ブロック特定部
14 特定ブロック復号部
15、204 SAD
16 分類処理部
17、207 出力処理部
20 ネットワーク接続装置
30 サーバ装置
40 セキュリティゲートウエイ(SGW)
50、60 端末
161、205 優先度決定部
162、206 優先度情報DB
171 キュー処理部
172、203 復号処理部
16
50, 60
171
Claims (20)
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定部と、
前記ブロック特定部で特定された暗号化ブロックを復号する特定ブロック復号部と、
前記特定ブロック復号部で復号されたブロックに含まれる特定情報に基づいて、前記入力パケットの分類を行う分類処理部とを備える、暗号化パケット処理装置。 An encrypted packet processing device that performs a predetermined classification process on a packet in which at least a part of data is encrypted in block units,
A block identification unit that identifies one or a plurality of encrypted blocks including identification information necessary for the predetermined classification process in the input packet;
A specific block decryption unit that decrypts the encrypted block specified by the block specification unit,
A classification processing unit that classifies the input packet based on specific information included in the block decoded by the specific block decoding unit.
前記ブロック特定部は、前記入力パケットに適用されている暗号化と前記データベースに記憶された情報から、前記所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定することを特徴とする、請求項1に記載の暗号化パケット処理装置。 A database that stores information on correspondence between encryption applicable to the packet and an encryption block including specific information necessary for the predetermined classification processing,
The block specifying unit specifies, from the encryption applied to the input packet and information stored in the database, a part or all of an encrypted block including specific information necessary for the predetermined classification process. The encrypted packet processing device according to claim 1, wherein:
特定情報と優先度とを対応付けた情報を記憶する優先度情報データベースと、
前記復号されたブロックに含まれている特定情報及び前記優先度情報データベースに記憶された情報に基づいて、前記入力パケットの優先度を決定する優先度決定部とを備える、請求項1に記載の暗号化パケット処理装置。 The classification processing unit,
A priority information database that stores information in which the specific information and the priority are associated with each other;
The device according to claim 1, further comprising: a priority determination unit configured to determine a priority of the input packet based on specific information included in the decoded block and information stored in the priority information database. Encrypted packet processing device.
特定情報と分配先とを対応付けた情報を記憶する分配先情報データベースと、
前記復号されたブロックに含まれている特定情報及び前記分配先情報データベースに記憶された情報に基づいて、前記入力パケットの分配先を決定する分配先決定部とを備える、請求項1に記載の暗号化パケット処理装置。 The classification processing unit,
A distribution destination information database that stores information in which specific information and distribution destinations are associated with each other;
The distribution destination determining unit according to claim 1, further comprising: a distribution destination determination unit that determines a distribution destination of the input packet based on specific information included in the decoded block and information stored in the distribution destination information database. Encrypted packet processing device.
所定の規則に基づいて、前記複数のキューからパケットを順に取り出して復号処理を行う復号処理部とをさらに備え、
前記優先度決定部は、決定した優先度に対応した前記キューに、前記入力パケットをキューイングすることを特徴とする、請求項5に記載の暗号化パケット処理装置。 Multiple queues that uniquely correspond to priorities,
A decoding processing unit that sequentially extracts packets from the plurality of queues and performs a decoding process based on a predetermined rule,
The encrypted packet processing device according to claim 5, wherein the priority determining unit queues the input packet in the queue corresponding to the determined priority.
前記複数のキューからパケットを取り出して分配先にそれぞれ送出する分配処理部とをさらに備え、
前記分配先決定部は、決定した分配先に対応した前記キューに、前記入力パケットをキューイングすることを特徴とする、請求項6に記載の暗号化パケット処理装置。 Multiple queues uniquely corresponding to distribution destinations,
A distribution processing unit that retrieves packets from the plurality of queues and sends the packets to distribution destinations,
The encrypted packet processing device according to claim 6, wherein the distribution destination determination unit queues the input packet in the queue corresponding to the determined distribution destination.
前記復号処理部は、前記入力パケットの前記復号されたブロック以外のブロックについて復号処理を行うことを特徴とする、請求項7に記載の暗号化パケット処理装置。 The priority determination unit, in the queue corresponding to the determined priority, queue the input packet and the block decoded by the specific block decoding unit,
The encrypted packet processing device according to claim 7, wherein the decryption processing unit performs decryption processing on blocks other than the decrypted blocks of the input packet.
前記分配処理部は、前記入力パケットと共に前記復号されたブロックを分配先に送出することを特徴とする、請求項8に記載の暗号化パケット処理装置。 The distribution destination determination unit queues the input packet and the block decoded by the specific block decoding unit in the queue corresponding to the determined distribution destination,
The encrypted packet processing device according to claim 8, wherein the distribution processing unit sends the decrypted block together with the input packet to a distribution destination.
前記暗号化されていないブロックに含まれる情報が、少なくともIPヘッダに含まれるプロトコル番号であることを特徴とする、請求項2に記載の暗号化パケット処理装置。 The input packet is a packet encrypted according to the IPsec protocol,
3. The encrypted packet processing device according to claim 2, wherein the information included in the unencrypted block is at least a protocol number included in an IP header.
前記特定情報を含む暗号化ブロックを特定するための情報が、IPヘッダに含まれるIPヘッダ長、サービスタイプ又はプロトコル番号の少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 The input packet is a packet encrypted according to the IPsec protocol,
4. The encryption according to claim 3, wherein the information for specifying the encrypted block including the specific information is at least one of an IP header length, a service type, and a protocol number included in an IP header. Packet processing device.
前記所定の分類処理に必要な特定情報が、ESPトレーラに含まれる次ヘッダ、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 The input packet is an ESP transport mode packet encrypted according to the IPsec protocol,
The specific information required for the predetermined classification processing is at least one of a next header included in an ESP trailer, a source port number included in a fourth layer header, or a destination port number included in a fourth layer header. The encrypted packet processing device according to claim 3, wherein:
前記所定の分類処理に必要な特定情報が、カプセル化されたIPヘッダに含まれる送信元IPアドレス、宛先IPアドレス又はサービスタイプの少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 The input packet is an ESP tunnel mode packet encrypted according to the IPsec protocol;
4. The method according to claim 3, wherein the specific information required for the predetermined classification processing is at least one of a source IP address, a destination IP address, and a service type included in the encapsulated IP header. Encrypted packet processing device.
前記所定の分類処理に必要な特定情報が、カプセル化されたIPヘッダに含まれるプロトコル番号、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 The input packet is an ESP tunnel mode packet encrypted according to the IPsec protocol;
The specific information required for the predetermined classification processing is at least one of a protocol number included in the encapsulated IP header, a source port number included in the fourth layer header, or a destination port number included in the fourth layer header. 4. The encrypted packet processing device according to claim 3, wherein:
前記データベースが、暗号鍵を含むセキュリティパラメータを記憶するセキュリティアソシエーションデータベース(SAD)であることを特徴とする、請求項4に記載の暗号化パケット処理装置。 The input packet is a packet encrypted according to the IPsec protocol,
The encrypted packet processing device according to claim 4, wherein the database is a security association database (SAD) that stores security parameters including an encryption key.
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップと、
前記ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップと、
前記特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理ステップとを備える、暗号化パケット処理方法。 An encrypted packet processing method for performing a predetermined classification process on a packet in which at least a part of data is encrypted in block units,
A block specifying step of specifying one or a plurality of encrypted blocks including specific information necessary for the predetermined classification process in the input packet;
A specific block decryption step of decrypting the encrypted block identified in the block identification step,
A classification processing step of classifying the input packet based on the specific information included in the block decrypted in the specific block decrypting step.
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップと、
前記ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップと、
前記特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理ステップとを含む、プログラム。 A computer-readable program for causing a computer to execute a method of performing a predetermined classification process on a packet in which at least a part of data is encrypted in block units,
A block specifying step of specifying one or a plurality of encrypted blocks including specific information necessary for the predetermined classification process in the input packet;
A specific block decryption step of decrypting the encrypted block identified in the block identification step,
A classification processing step of classifying the input packet based on the specific information included in the block decoded in the specific block decoding step.
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップと、
前記ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップと、
前記特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理ステップとを含むプログラムを記録した、記録媒体。 A method for performing a predetermined classification process on a packet in which at least a part of data is encrypted in block units, a recording medium recording a computer-readable program for causing a computer to execute,
A block specifying step of specifying one or a plurality of encrypted blocks including specific information necessary for the predetermined classification process in the input packet;
A specific block decryption step of decrypting the encrypted block identified in the block identification step,
And a classification processing step of classifying the input packet based on the specific information included in the block decoded in the specific block decoding step.
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定部と、
前記ブロック特定部で特定された暗号化ブロックを復号する特定ブロック復号部と、
前記特定ブロック復号部で復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理部とを集積した、集積回路。 An integrated circuit of an encrypted packet processing device that performs a predetermined classification process on a packet in which at least a part of data is encrypted in block units,
A block identification unit that identifies one or a plurality of encrypted blocks including identification information necessary for the predetermined classification process in the input packet;
A specific block decryption unit that decrypts the encrypted block specified by the block specification unit,
An integrated circuit, comprising: a classification processing unit configured to classify the input packet based on specific information included in a block decoded by the specific block decoding unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004122650A JP4551112B2 (en) | 2003-04-24 | 2004-04-19 | ENCRYPTED PACKET PROCESSING DEVICE, METHOD, PROGRAM, AND PROGRAM RECORDING MEDIUM |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003119974 | 2003-04-24 | ||
| JP2004122650A JP4551112B2 (en) | 2003-04-24 | 2004-04-19 | ENCRYPTED PACKET PROCESSING DEVICE, METHOD, PROGRAM, AND PROGRAM RECORDING MEDIUM |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004343731A true JP2004343731A (en) | 2004-12-02 |
| JP4551112B2 JP4551112B2 (en) | 2010-09-22 |
Family
ID=33543212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004122650A Expired - Fee Related JP4551112B2 (en) | 2003-04-24 | 2004-04-19 | ENCRYPTED PACKET PROCESSING DEVICE, METHOD, PROGRAM, AND PROGRAM RECORDING MEDIUM |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4551112B2 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007027937A (en) * | 2005-07-13 | 2007-02-01 | Renesas Technology Corp | Encryption/decryption circuit |
| JP2007166279A (en) * | 2005-12-14 | 2007-06-28 | Nippon Telegr & Teleph Corp <Ntt> | IPsec CIRCUIT AND IPsec PROCESSING METHOD |
| WO2009022422A1 (en) * | 2007-08-16 | 2009-02-19 | Panasonic Corporation | Cipher communication device |
| JP2011193055A (en) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | Communication device and communication method |
| JP2012208876A (en) * | 2011-03-30 | 2012-10-25 | Azbil Corp | Priority control method and communication system using multiple communication ports |
| JP2013009276A (en) * | 2011-06-27 | 2013-01-10 | Canon Inc | Encryption processing device |
| JP2018196132A (en) * | 2013-09-06 | 2018-12-06 | 日本放送協会 | Transmitter, receiver, and conditional access system |
| CN114615001A (en) * | 2020-12-04 | 2022-06-10 | 千寻位置网络有限公司 | Data frame encryption method, data frame decryption method and related equipment |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH114249A (en) * | 1997-06-12 | 1999-01-06 | Nec Corp | Connection device between data ciphering/decoding lan |
| JP2000315997A (en) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | Encryption communication method and node unit |
| JP2001007849A (en) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mpls packet processing method and mpls packet processor |
| JP2001344228A (en) * | 2000-05-31 | 2001-12-14 | Nippon Telegr & Teleph Corp <Ntt> | Service quality control method for encryption communication, and storage medium service quality control program stored thereon |
| JP2005507614A (en) * | 2001-10-30 | 2005-03-17 | エイチアイ/エフエヌ,インコーポレイテッド | Method, system and computer program product for parallel packet translation processing for packet sequencing |
-
2004
- 2004-04-19 JP JP2004122650A patent/JP4551112B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH114249A (en) * | 1997-06-12 | 1999-01-06 | Nec Corp | Connection device between data ciphering/decoding lan |
| JP2000315997A (en) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | Encryption communication method and node unit |
| JP2001007849A (en) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mpls packet processing method and mpls packet processor |
| JP2001344228A (en) * | 2000-05-31 | 2001-12-14 | Nippon Telegr & Teleph Corp <Ntt> | Service quality control method for encryption communication, and storage medium service quality control program stored thereon |
| JP2005507614A (en) * | 2001-10-30 | 2005-03-17 | エイチアイ/エフエヌ,インコーポレイテッド | Method, system and computer program product for parallel packet translation processing for packet sequencing |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007027937A (en) * | 2005-07-13 | 2007-02-01 | Renesas Technology Corp | Encryption/decryption circuit |
| US8559634B2 (en) | 2005-07-13 | 2013-10-15 | Renesas Electronics Corporation | Encoding/decoding circuit |
| US8619991B2 (en) | 2005-07-13 | 2013-12-31 | Renesas Electronics Corporation | Encoding/decoding circuit |
| JP2007166279A (en) * | 2005-12-14 | 2007-06-28 | Nippon Telegr & Teleph Corp <Ntt> | IPsec CIRCUIT AND IPsec PROCESSING METHOD |
| JP4647479B2 (en) * | 2005-12-14 | 2011-03-09 | 日本電信電話株式会社 | IPsec circuit and IPsec processing method |
| WO2009022422A1 (en) * | 2007-08-16 | 2009-02-19 | Panasonic Corporation | Cipher communication device |
| JP2011193055A (en) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | Communication device and communication method |
| JP2012208876A (en) * | 2011-03-30 | 2012-10-25 | Azbil Corp | Priority control method and communication system using multiple communication ports |
| JP2013009276A (en) * | 2011-06-27 | 2013-01-10 | Canon Inc | Encryption processing device |
| JP2018196132A (en) * | 2013-09-06 | 2018-12-06 | 日本放送協会 | Transmitter, receiver, and conditional access system |
| CN114615001A (en) * | 2020-12-04 | 2022-06-10 | 千寻位置网络有限公司 | Data frame encryption method, data frame decryption method and related equipment |
| CN114615001B (en) * | 2020-12-04 | 2024-05-10 | 千寻位置网络有限公司 | Data frame encryption method, data frame decryption method and related equipment |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4551112B2 (en) | 2010-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7774593B2 (en) | Encrypted packet, processing device, method, program, and program recording medium | |
| TWI499342B (en) | Tunnel acceleration for wireless access points | |
| JP5074558B2 (en) | Network processing using IPSec | |
| JP4482630B2 (en) | Communication apparatus and communication method | |
| US8379638B2 (en) | Security encapsulation of ethernet frames | |
| US8468337B2 (en) | Secure data transfer over a network | |
| US7961882B2 (en) | Methods and apparatus for initialization vector pressing | |
| US7082477B1 (en) | Virtual application of features to electronic messages | |
| JP5640226B2 (en) | Apparatus, method and program for establishing a secure communication channel between a client in a first domain and a server in a second domain | |
| JP2009246801A (en) | Method of encrypting divided packet, method of decrypting encrypted divided packet, encryption apparatus and program | |
| EP2244416A1 (en) | Encryption processing method and encryption processing device | |
| US20080162922A1 (en) | Fragmenting security encapsulated ethernet frames | |
| US8281122B2 (en) | Generation and/or reception, at least in part, of packet including encrypted payload | |
| US20060050889A1 (en) | Decrypting block encrypted data | |
| US20080028210A1 (en) | Packet cipher processor and method | |
| WO2016165277A1 (en) | Ipsec diversion implementing method and apparatus | |
| JP4551112B2 (en) | ENCRYPTED PACKET PROCESSING DEVICE, METHOD, PROGRAM, AND PROGRAM RECORDING MEDIUM | |
| CN111835613B (en) | Data transmission method of VPN server and VPN server | |
| JP4933286B2 (en) | Encrypted packet communication system | |
| JP7080024B2 (en) | Communication device | |
| JP5119184B2 (en) | Relay device, terminal device, and secret communication system | |
| JP2004180234A (en) | Encrypted packet processing system | |
| CN113765878B (en) | Selective transport layer security encryption | |
| JP2006005425A (en) | Reception method of encrypted packet and reception processor | |
| JP4647479B2 (en) | IPsec circuit and IPsec processing method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070322 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100618 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4551112 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |