JP4734774B2 - 暗号・復号処理方法 - Google Patents
暗号・復号処理方法 Download PDFInfo
- Publication number
- JP4734774B2 JP4734774B2 JP2001180091A JP2001180091A JP4734774B2 JP 4734774 B2 JP4734774 B2 JP 4734774B2 JP 2001180091 A JP2001180091 A JP 2001180091A JP 2001180091 A JP2001180091 A JP 2001180091A JP 4734774 B2 JP4734774 B2 JP 4734774B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- encryption
- processing method
- network
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、開放型システムにより接続されたネットワーク機器間で、暗号化されたディジタル信号によってデータ通信を行うための暗号・復号処理方法に関し、特に、ネットワーク・インタフェース・コントローラ(Network Interface Controler:以下、単にNICという。)を搭載した機器、又はモジュール基板が通信路、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)を介して結合された開放型システムにおける暗号・復号処理方法に関する。
【0002】
【従来の技術】
コンピュータがインターネットなどのネットワークを介してデータ通信を行う際に、NICを搭載した機器や基板間で、暗号化されたデータ通信のための論理的な通信路(コネクション)を確立する機構については、これまでにも数多くの提案がなされている。
【0003】
ここで、暗号化されたデータ通信とは、ネットワークを通じて文書や画像などのディジタルデータをコンピュータ間でやり取りする際に、通信途中で第三者に盗み見られたり改ざんされたりしないように、決まった規則に従ってデータを変換することである。ネットワークを通じてやり取りされるディジタルデータは、送信時には暗号化され、受信時に復号化される。こうした暗号方法には、暗号表に当たる「鍵」を使うが、送受信側で対になる2つの鍵を使う公開鍵暗号方法と、送受信のどちらにも同じ鍵を用いる秘密鍵暗号方法とがある。
【0004】
また、開放型システムにより接続されたネットワーク機器間でのデータ通信を実現するためのネットワーク構造の設計方針として、コンピュータの持つべき通信機能を階層構造に分割したOSI参照モデル(Open Systems Interconnection reference model)が国際標準化機構(ISO)により制定されている。OSI参照モデルでは、通信機能を7階層に分け、各層ごとに標準的な機能モジュールを定義している。
【0005】
第1層の物理層では、データを通信回線に送出するための電気的な変換や機械的な作業を受け持つ。ピンの形状やケーブルの特性なども、この物理層で定められる。
【0006】
第2層のデータリンク層では、通信相手との物理的な通信路を確保し、通信路を流れるデータのエラー検出などを行う。
第3層のネットワーク層では、相手までデータを届けるための通信経路の選択や、通信経路内のアドレス(住所)の管理を行う。
【0007】
第4層のトランスポート層では、相手まで確実に効率よくデータを届けるためのデータ圧縮や誤り訂正、再送制御などを行う。ここまでは、OSI参照モデルの下位層を構成する。
【0008】
第5層のセッション層は、通信プログラム同士がデータの送受信を行うための仮想的な通信路(コネクション)の確立や、通信終了時の解放を行う。
第6層のプレゼンテーション層は、データの表現形式を管理している。ここでは、第5層から受け取ったデータをユーザが分かりやすい形式に変換したり、次の第7層から送られてくるデータを通信に適した形式に変換したりする。
【0009】
第7層(アプリケーション層)は、データ通信を利用した様々なサービスを人間や他のプログラムに提供する。
一般に、秘匿性を要するデータ通信を行う場合には、セッション層やトランスポート層に相当するユーザアプリケーションのレベルで暗号化処理が行われている。例えば、ネットワーク機器間で使用目的が異なる複数の暗号用の通信路が必要な場合には、最初に第6層のプレゼンテーション層でNICによるパケット送信・受信処理が行われる。つぎに第5層のセッション層で通信路別にコネクションを確立した後に、さらに上位のアプリケーション層で秘匿性を要求されるデータ部の暗号・復号処理を別途に行っている。
【0010】
【発明が解決しようとする課題】
このように、従来の暗号化されたデータ通信では、ネットワーク処理と暗号処理とが分離して行われていた。そのため、NICを搭載した送信側の機器、又はモジュールを備えたノードでメモリ資源とCPUでの処理が余分に必要になる。
【0011】
例えば、ノードがデータを処理し他のノードに転送できる速度を超えた速度でノードにデータが到着すると、そのネットワークのノードで輻輳が起きる。CPUの処理能力を超えたデータは、ノードのバッファ記憶部に蓄積され、到着速度と処理及び転送速度との差の速度で満たされる。また、輻輳が長期間にわたって、バッファ記憶部が最大容量にまで占有されると、さらなる追加データは廃棄される等の問題があった。
【0012】
この発明の目的は、送受信パケットの暗号・復号処理を高速化するとともに、ネットワーク処理と暗号処理とを一体化してデータ通信の秘匿性を向上できる暗号・復号処理方法を提供することにある。
【0013】
【課題を解決するための手段】
上記目的を達成するために、開放型システムにより接続されたネットワーク機器間で、暗号化されたディジタル信号によってデータ通信を行うための暗号・復号処理方法が提供される。
【0014】
この暗号・復号処理方法のネットワーク機器は、論理的なコネクションを確立するためのネットワーク・インタフェース・コントローラを備え、前記ネットワーク・インタフェース・コントローラにより、送受信されるディジタル信号を送受信パケットとしてコネクション別に整理統合する過程で暗号・復号処理を行うものである。また、ネットワーク・インタフェース・コントローラには、複数の暗号処理プロセッサと、受信されたディジタル信号に管理用バッファを付加するためのパケット管理構造体とが接続され、コネクション毎に受信パケットに異なる復号処理方法を指定するとともに、暗号処理プロセッサのいずれかを指定する。
【0016】
【発明の実施の形態】
以下、この発明の実施の形態について、図面を参照して説明する。
図1は、開放型システムに接続されたネットワーク機器の一例を示すブロック図である。図2は、TCP/IPパケットとパケット管理構造体の構成を示す図である。また図3は、TCP/IPパケットの各レイヤにおける処理内容を説明するための図である。
【0017】
最初に、図1に示すシステム構成について説明する。暗号・復号処理方法は、開放型システムに接続された複数のネットワーク機器間で、暗号化されたディジタル信号によってデータ通信を行うNIC(ネットワーク・インタフェース・コントローラ)1、CPU2、M個の暗号処理プロセッサ(Encryption/Decryption Engine)31〜3m、及びN+1個のメモリ4,41〜4nが内部バス5で結合された構成のネットワーク機器において実現される。このネットワーク機器は、NIC1を介して、例えばイーサネット(登録商標)等の外部通信媒体であるネットワーク6に接続されている。
【0018】
NIC1は、送受信されるディジタル信号を送受信パケットとしてコネクション別に整理統合するものであって、OSI参照モデルによる通信プロトコルを有している。CPU2は、所定のアプリケーションソフトを使ってネットワーク6に送信されるディジタル信号を生成し、受信されたディジタル信号を処理するものである。暗号処理プロセッサ31〜3mは、暗号処理情報、暗号鍵情報、パケットペイロード部の先頭アドレスに基づいて、生成したディジタル信号の暗号化と、受信したディジタル信号の復号化を行う。
【0019】
メモリ4はROM又はRAMによって構成されるもので、ネットワーク・インタフェース・コントローラ管理用データベース(NIC ManagementDatabase;以下、NIC管理用データベースという。)が格納されたNIC管理構造体を構成している。また、メモリ41〜4nは、N個のROM又はRAMによって構成されるもので、それぞれに論理的な通信路の確立に寄与するコネクション管理用データベース(Connection Management Database;以下、CONN管理用データベースという。)が格納されたCONN管理構造体を構成している。これらのメモリ4,41〜4nには、ネットワークプロトコル処理のためのプログラムコードが存在し、NIC管理構造体とCONN管理構造体へのアクセス(読み書き)を行って、ネットワーク層とトランスポート層に相当するレイヤでの受信パケットの復号処理、及び送信パケットの暗号処理を実行している。
【0020】
図2に示すTCP/IPパケット10は、パケットボディ(Cypher Packet Body)11とパケット管理ヘッダ(Packet Management Header)12とから構成されている。また、NIC1には、送信用・受信用のTCP/IPパケット1個ごとに、管理用バッファとして付加されるパケット管理構造体20が用意されている。
【0021】
パケットボディ11は、パケットのペイロード(Pay Load)部111、各種のヘッダ(TCP Header,IP Header,Ethernet Header)112、及びエラー検出コードなどを含むパケットテイラ(Packet Tailer)113から構成される。パケット管理ヘッダ12からは、パケット管理用データベース(Packet Management Database)が格納されたパケット管理構造体20に所定のデータを書き込むことができる。
【0022】
パケット管理構造体20は、つぎに処理するデータ位置を示す目印となるポインタ(Pointer to Next Header)21、バッファ管理ステータス(Buffer Management Status)22、パケット管理用データベース23、暗号処理情報(Encryption Method)24、暗号処理プロセッサの番号情報(Engine Number)25、及び暗号鍵情報(Encryption Key)26を含んでおり、送受信終了後に再利用可能な方法、例えばリングバッファ形式となっている。
【0023】
図3に示すように、OSI参照モデルでは通信機能が7階層に分けて実行されており、各レイヤにおいて、パケットに付随するヘッダと各管理構造体の処理が行われる。ここで、上向きの矢印は受信パケットの処理の流れを示し、下向きの矢印は送信パケットの処理の流れを示している。物理層、及びデータリンク層での送受信パケットの処理には、NIC管理構造体を利用している。また、ネットワーク層、及びトランスポート層での送受信パケットの処理には、CONN管理構造体を利用している。
【0024】
ここでは、パケット管理ヘッダ12のパケット管理用データベース23により、暗号処理プロセッサの指定が可能であるため、各レイヤの処理をパケット単位で行える。各レイヤでの処理とは、パケットへのヘッダの作成、付加に伴うネットワークプロトコル処理、データペイロード部分の暗号化、復号化処理、パケット管理構造体への書き込みなどである。
【0025】
つぎに、上記構成の暗号・復号処理システムの動作を説明する。
図4は、開放型システムにおけるコネクション開設パターンの一例を示す図である。図5は、NIC管理用データベースを構成するメモリの一例を示す図である。また、図6、及び図7は、いずれもCONN管理用データベースを構成するメモリの一例を示す図である。
【0026】
ここでは、図4に示すように、ホストH1とホストH3との間を論理的なコネクションAによって接続し、ホストH2とホストH3との間を論理的なコネクションBによって接続した場合について説明する。ホストH3は2個のCONN管理用データベースが格納されたメモリ41,42を備え、それぞれコネクションA用、コネクションB用のCONN管理構造体を構成している。
【0027】
図5に示すNIC管理用データベース50では、受信用パケットキュー(待ち行列)51と送信用パケットキュー(待ち行列)52に、それぞれ暗号化された3個の受信パケット511A,512B,513Bと、3個の送信パケット521A,522B,523Bがデータの発生順に接続された状態を示している。受信パケット511Aは、コネクションAによってホストH1からホストH3に到達した受信パケットであり、送信パケット521Aは、コネクションAによってホストH3からホストH1へ送出される送信パケットである。また、受信パケット512B,513Bは、コネクションBによってホストH2からホストH3に到達した受信パケットであり、送信パケット522B,523Bは、コネクションBによってホストH3からホストH2へ送出される送信パケットである。これらの受信パケット511A,512B,513B、送信パケット521A,522B,523Bは、いずれもパケットボディとバッファ管理ヘッダを備えている。
【0028】
つぎに、CONN管理用データベースを、一つのメモリ41内に格納された具体的なデータ内容に基づいて説明する。図6に示すCONN管理用データベースは、受信暗号文用パケットキュー61、復号化された平文パケットキュー62、送信暗号文用パケットキュー63、及び送信用平文パケットキュー64とともに、暗号処理情報65、暗号鍵情報66、及び暗号処理プロセッサの番号情報67を変数とするCONN管理構造体を構成している。
【0029】
図7に示すCONN管理用データベースは、図6と同様のCONN管理構造体が2つのメモリ41,42にそれぞれ格納され、ネットワーク内で確立されたコネクションA,B毎に送受信を管理するためのコネクション管理構造体として機能するものである。メモリ41に格納されたコネクションAの管理用データベースでは、受信暗号文用のパケットキュー71に1個の受信パケット611Aが接続され、その後に復号化された平文のパケットキュー72に受信パケット621Aとして繋ぎ替えられる。メモリ42に格納されたコネクションBの管理用データベースでは、受信暗号文用のパケットキュー81に2個の受信パケット612B,613Bが接続され、その後に復号化された平文のパケットキュー82にそれぞれ受信パケット622B,623Bとして繋ぎ替えられる。
【0030】
ここでは、送信暗号文用のパケットキュー、及び送信用平文のパケットキューについては、図示していない。また、これらの受信パケット611A,612B,613B、621A,622B,623Bは、いずれもパケットボディとバッファ管理ヘッダを備えている。
【0031】
つぎに、上記構成の暗号・復号処理システムにおける受信パケットの処理手順について説明する。
図8は、受信パケット処理手順を示すフローチャートである。
【0032】
ステップ81では、複数の受信パケットがコネクションA,BからホストH3のNIC1に到着する。
ステップ82では、到着した受信パケット511A,512B,513Bが、図5に示すようにパケット管理構造体とともに、NIC管理用データベース50の受信用パケットキュー51へ接続される。
【0033】
ステップ83では、セキュアな通信路がすでに確立済みである場合には、パケットのヘッダによって各受信パケットの論理コネクション番号を決定する。すなわち、図2に示すペイロード部111部分に格納されたデータ(TCP/IPであれば、各プロトコルヘッダを除いた実データ部分)は、ソケット内のデータ(例えばTCPヘッダに記述されたポート番号とIPアドレス)を基にして、対応するコネクション番号が判定できる。
【0034】
ステップ84では、該当する受信パケットをNIC管理用データベース50からメモリ41、又はメモリ42に格納された受信暗号文用パケットキュー71,81のいずれかへ接続する(図7)。ここでは、CONN管理用データベースは、論理的な通信路の個数(2個のコネクションA,B)分だけ用意されている。
【0035】
ステップ85では、コネクション毎の暗号処理方式、鍵情報、及びどの暗号処理プロセッサへ復号処理を依頼するかの情報が、図2に示すパケット管理構造体20へ書き込まれる。
【0036】
ステップ86では、特定の暗号処理プロセッサ31〜3mへ処理の開始が依頼される。こうしてCONN管理用データベースでは、メモリ41,42の受信パケットを受信暗号文用パケットキュー61から復号化された平文パケットキュー62へ繋ぎ替える際に、暗号処理プロセッサ31〜3mのいずれかによって、暗号方式、鍵情報、パケットペイロード部の先頭アドレスを基にして、順次に受信パケットの復号化が行われる。
【0037】
ステップ87では、暗号処理プロセッサ31〜3mでの復号化処理の終了後、暗号処理プロセッサ31〜3mによって、メモリ41の復号化された平文パケットキュー72に、受信パケットのペイロード部分のデータが復号化されたパケット621Aが繋ぎ替えられ、メモリ42の復号化された平文パケットキュー82に、すべての受信パケットのペイロード部分のデータが復号化された受信パケット622B,623Bが繋ぎ替えられる。
【0038】
最後に、ステップ88では、CONN管理用データベースの復号化された平文パケットキューを読み取る関数により、ネットワーク上位のユーザアプリケーション側では復号化されたデータをコネクション毎で受信することが可能になる。この関数(API)としては、例えばコネクション単位で送受信パケットの実データペイロード部を読み書きできる、セッション層以上の機能を有するソケット関数が用いられる。以下には、代表的なソケット関数を示す。
【0039】
SOCKET(*):ソケットの内部生成
BIND(*):ソケットの内部結合
LISTEN(*):他のネットワークホストからのコネクション待ち
ACCEPT(*):他のネットワークホストからのコネクション許可
READ(*):データの送信
WRITE(*):データの受信
SOCKET(*)以外のソケット関数では、コネクション管理データベースの番号(コネクション番号)に相当する返り値を指定する。
【0040】
つぎに、送信パケットの処理フローについて説明する。
図9は、送信パケットの処理手順を示すフローチャートである。
ステップ91では、ネットワーク上位のユーザアプリケーション側で暗号化前のデータが作成され、上位レベルのAPIによって送信パケットのペイロード部分に書き込まれる。
【0041】
ステップ92では、送信パケットは図6に示すCONN管理用データベースの送信用平文パケットキュー64に接続される。この接続は、例えば上述したソケット関数によって実行される。
【0042】
ステップ93では、コネクション毎の暗号処理方式、鍵情報、及びどの暗号処理プロセッサへ暗号化処理を依頼するのかといった情報が、図2に示すパケット管理構造体20に書き込まれる。
【0043】
ステップ94では、特定の暗号処理プロセッサへ処理の開始が依頼される。こうしてCONN管理用データベースでは、例えばメモリ40の送信パケットを送信用平文パケットキュー64から送信暗号文用のパケットキュー63に繋ぎ替える際に、暗号処理プロセッサ31〜3mのいずれかによって、暗号方式、鍵情報、パケットペイロード部の先頭アドレスを基にして、順次に送信パケットの暗号化が行われる。
【0044】
ステップ95では、暗号処理プロセッサ31〜3mでの暗号化処理の終了後、暗号処理プロセッサ31〜3mによって、CONN管理構造体の送信暗号文用のパケットキュー63には、すべての送信パケットのペイロード部分のデータが暗号化されたパケットが繋ぎ替えられる。
【0045】
ステップ96では、送信パケットをCONN管理用データベースからNIC管理データベース50の送信用パケットキュー52へ接続される。
最後に、ステップ97では、NIC1を介して該当パケットが通信媒体であるコネクションA,Bに送出される。
【0046】
【発明の効果】
以上に説明したように、暗号・復号処理システムによれば、OS内で高い優先度を持って実行されるトランスポート層やネットワーク層での処理と同時にパケット単位で暗号処理を分散して実行するようにしたので、従来の暗号・復号処理システムのセッション層、アプリケーション層での処理と比較して、高速な暗号化・復号化処理が実現可能である。また、ネットワーク・インタフェース・コントローラにより、送受信されるディジタル信号を送受信パケットとしてコネクション別に整理統合する過程で暗号・復号処理を行うようにしたので、同一のハードウェアモジュールにNICと暗号処理プロセッサを一体化することが可能となり、秘匿性の向上が期待できる。
【図面の簡単な説明】
【図1】ネットワーク機器のシステム構成を示すブロック図である。
【図2】TCP/IPパケットとパケット管理構造体の構成を示す図である。
【図3】TCP/IPパケットの各レイヤにおける処理内容を説明するための図である。
【図4】コネクション開設パターンの一例を示す図である。
【図5】NIC管理用データベースを構成するメモリの一例を示す図である。
【図6】CONN管理用データベースを構成するメモリの一例を示す図である。
【図7】CONN管理用データベースを構成するメモリの一例を示す図である。
【図8】受信パケットの処理フローを示す図である。
【図9】送信パケットの処理フローを示す図である。
【符号の説明】
1…NIC(ネットワーク・インタフェース・コントローラ)、2…CPU、31〜3m…暗号処理プロセッサ、4,41〜4n,40…メモリ、5…内部バス、6…ネットワーク、10…TCP/IPパケット、20…パケット管理構造体、50…NIC管理用データベース
【発明の属する技術分野】
この発明は、開放型システムにより接続されたネットワーク機器間で、暗号化されたディジタル信号によってデータ通信を行うための暗号・復号処理方法に関し、特に、ネットワーク・インタフェース・コントローラ(Network Interface Controler:以下、単にNICという。)を搭載した機器、又はモジュール基板が通信路、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)を介して結合された開放型システムにおける暗号・復号処理方法に関する。
【0002】
【従来の技術】
コンピュータがインターネットなどのネットワークを介してデータ通信を行う際に、NICを搭載した機器や基板間で、暗号化されたデータ通信のための論理的な通信路(コネクション)を確立する機構については、これまでにも数多くの提案がなされている。
【0003】
ここで、暗号化されたデータ通信とは、ネットワークを通じて文書や画像などのディジタルデータをコンピュータ間でやり取りする際に、通信途中で第三者に盗み見られたり改ざんされたりしないように、決まった規則に従ってデータを変換することである。ネットワークを通じてやり取りされるディジタルデータは、送信時には暗号化され、受信時に復号化される。こうした暗号方法には、暗号表に当たる「鍵」を使うが、送受信側で対になる2つの鍵を使う公開鍵暗号方法と、送受信のどちらにも同じ鍵を用いる秘密鍵暗号方法とがある。
【0004】
また、開放型システムにより接続されたネットワーク機器間でのデータ通信を実現するためのネットワーク構造の設計方針として、コンピュータの持つべき通信機能を階層構造に分割したOSI参照モデル(Open Systems Interconnection reference model)が国際標準化機構(ISO)により制定されている。OSI参照モデルでは、通信機能を7階層に分け、各層ごとに標準的な機能モジュールを定義している。
【0005】
第1層の物理層では、データを通信回線に送出するための電気的な変換や機械的な作業を受け持つ。ピンの形状やケーブルの特性なども、この物理層で定められる。
【0006】
第2層のデータリンク層では、通信相手との物理的な通信路を確保し、通信路を流れるデータのエラー検出などを行う。
第3層のネットワーク層では、相手までデータを届けるための通信経路の選択や、通信経路内のアドレス(住所)の管理を行う。
【0007】
第4層のトランスポート層では、相手まで確実に効率よくデータを届けるためのデータ圧縮や誤り訂正、再送制御などを行う。ここまでは、OSI参照モデルの下位層を構成する。
【0008】
第5層のセッション層は、通信プログラム同士がデータの送受信を行うための仮想的な通信路(コネクション)の確立や、通信終了時の解放を行う。
第6層のプレゼンテーション層は、データの表現形式を管理している。ここでは、第5層から受け取ったデータをユーザが分かりやすい形式に変換したり、次の第7層から送られてくるデータを通信に適した形式に変換したりする。
【0009】
第7層(アプリケーション層)は、データ通信を利用した様々なサービスを人間や他のプログラムに提供する。
一般に、秘匿性を要するデータ通信を行う場合には、セッション層やトランスポート層に相当するユーザアプリケーションのレベルで暗号化処理が行われている。例えば、ネットワーク機器間で使用目的が異なる複数の暗号用の通信路が必要な場合には、最初に第6層のプレゼンテーション層でNICによるパケット送信・受信処理が行われる。つぎに第5層のセッション層で通信路別にコネクションを確立した後に、さらに上位のアプリケーション層で秘匿性を要求されるデータ部の暗号・復号処理を別途に行っている。
【0010】
【発明が解決しようとする課題】
このように、従来の暗号化されたデータ通信では、ネットワーク処理と暗号処理とが分離して行われていた。そのため、NICを搭載した送信側の機器、又はモジュールを備えたノードでメモリ資源とCPUでの処理が余分に必要になる。
【0011】
例えば、ノードがデータを処理し他のノードに転送できる速度を超えた速度でノードにデータが到着すると、そのネットワークのノードで輻輳が起きる。CPUの処理能力を超えたデータは、ノードのバッファ記憶部に蓄積され、到着速度と処理及び転送速度との差の速度で満たされる。また、輻輳が長期間にわたって、バッファ記憶部が最大容量にまで占有されると、さらなる追加データは廃棄される等の問題があった。
【0012】
この発明の目的は、送受信パケットの暗号・復号処理を高速化するとともに、ネットワーク処理と暗号処理とを一体化してデータ通信の秘匿性を向上できる暗号・復号処理方法を提供することにある。
【0013】
【課題を解決するための手段】
上記目的を達成するために、開放型システムにより接続されたネットワーク機器間で、暗号化されたディジタル信号によってデータ通信を行うための暗号・復号処理方法が提供される。
【0014】
この暗号・復号処理方法のネットワーク機器は、論理的なコネクションを確立するためのネットワーク・インタフェース・コントローラを備え、前記ネットワーク・インタフェース・コントローラにより、送受信されるディジタル信号を送受信パケットとしてコネクション別に整理統合する過程で暗号・復号処理を行うものである。また、ネットワーク・インタフェース・コントローラには、複数の暗号処理プロセッサと、受信されたディジタル信号に管理用バッファを付加するためのパケット管理構造体とが接続され、コネクション毎に受信パケットに異なる復号処理方法を指定するとともに、暗号処理プロセッサのいずれかを指定する。
【0016】
【発明の実施の形態】
以下、この発明の実施の形態について、図面を参照して説明する。
図1は、開放型システムに接続されたネットワーク機器の一例を示すブロック図である。図2は、TCP/IPパケットとパケット管理構造体の構成を示す図である。また図3は、TCP/IPパケットの各レイヤにおける処理内容を説明するための図である。
【0017】
最初に、図1に示すシステム構成について説明する。暗号・復号処理方法は、開放型システムに接続された複数のネットワーク機器間で、暗号化されたディジタル信号によってデータ通信を行うNIC(ネットワーク・インタフェース・コントローラ)1、CPU2、M個の暗号処理プロセッサ(Encryption/Decryption Engine)31〜3m、及びN+1個のメモリ4,41〜4nが内部バス5で結合された構成のネットワーク機器において実現される。このネットワーク機器は、NIC1を介して、例えばイーサネット(登録商標)等の外部通信媒体であるネットワーク6に接続されている。
【0018】
NIC1は、送受信されるディジタル信号を送受信パケットとしてコネクション別に整理統合するものであって、OSI参照モデルによる通信プロトコルを有している。CPU2は、所定のアプリケーションソフトを使ってネットワーク6に送信されるディジタル信号を生成し、受信されたディジタル信号を処理するものである。暗号処理プロセッサ31〜3mは、暗号処理情報、暗号鍵情報、パケットペイロード部の先頭アドレスに基づいて、生成したディジタル信号の暗号化と、受信したディジタル信号の復号化を行う。
【0019】
メモリ4はROM又はRAMによって構成されるもので、ネットワーク・インタフェース・コントローラ管理用データベース(NIC ManagementDatabase;以下、NIC管理用データベースという。)が格納されたNIC管理構造体を構成している。また、メモリ41〜4nは、N個のROM又はRAMによって構成されるもので、それぞれに論理的な通信路の確立に寄与するコネクション管理用データベース(Connection Management Database;以下、CONN管理用データベースという。)が格納されたCONN管理構造体を構成している。これらのメモリ4,41〜4nには、ネットワークプロトコル処理のためのプログラムコードが存在し、NIC管理構造体とCONN管理構造体へのアクセス(読み書き)を行って、ネットワーク層とトランスポート層に相当するレイヤでの受信パケットの復号処理、及び送信パケットの暗号処理を実行している。
【0020】
図2に示すTCP/IPパケット10は、パケットボディ(Cypher Packet Body)11とパケット管理ヘッダ(Packet Management Header)12とから構成されている。また、NIC1には、送信用・受信用のTCP/IPパケット1個ごとに、管理用バッファとして付加されるパケット管理構造体20が用意されている。
【0021】
パケットボディ11は、パケットのペイロード(Pay Load)部111、各種のヘッダ(TCP Header,IP Header,Ethernet Header)112、及びエラー検出コードなどを含むパケットテイラ(Packet Tailer)113から構成される。パケット管理ヘッダ12からは、パケット管理用データベース(Packet Management Database)が格納されたパケット管理構造体20に所定のデータを書き込むことができる。
【0022】
パケット管理構造体20は、つぎに処理するデータ位置を示す目印となるポインタ(Pointer to Next Header)21、バッファ管理ステータス(Buffer Management Status)22、パケット管理用データベース23、暗号処理情報(Encryption Method)24、暗号処理プロセッサの番号情報(Engine Number)25、及び暗号鍵情報(Encryption Key)26を含んでおり、送受信終了後に再利用可能な方法、例えばリングバッファ形式となっている。
【0023】
図3に示すように、OSI参照モデルでは通信機能が7階層に分けて実行されており、各レイヤにおいて、パケットに付随するヘッダと各管理構造体の処理が行われる。ここで、上向きの矢印は受信パケットの処理の流れを示し、下向きの矢印は送信パケットの処理の流れを示している。物理層、及びデータリンク層での送受信パケットの処理には、NIC管理構造体を利用している。また、ネットワーク層、及びトランスポート層での送受信パケットの処理には、CONN管理構造体を利用している。
【0024】
ここでは、パケット管理ヘッダ12のパケット管理用データベース23により、暗号処理プロセッサの指定が可能であるため、各レイヤの処理をパケット単位で行える。各レイヤでの処理とは、パケットへのヘッダの作成、付加に伴うネットワークプロトコル処理、データペイロード部分の暗号化、復号化処理、パケット管理構造体への書き込みなどである。
【0025】
つぎに、上記構成の暗号・復号処理システムの動作を説明する。
図4は、開放型システムにおけるコネクション開設パターンの一例を示す図である。図5は、NIC管理用データベースを構成するメモリの一例を示す図である。また、図6、及び図7は、いずれもCONN管理用データベースを構成するメモリの一例を示す図である。
【0026】
ここでは、図4に示すように、ホストH1とホストH3との間を論理的なコネクションAによって接続し、ホストH2とホストH3との間を論理的なコネクションBによって接続した場合について説明する。ホストH3は2個のCONN管理用データベースが格納されたメモリ41,42を備え、それぞれコネクションA用、コネクションB用のCONN管理構造体を構成している。
【0027】
図5に示すNIC管理用データベース50では、受信用パケットキュー(待ち行列)51と送信用パケットキュー(待ち行列)52に、それぞれ暗号化された3個の受信パケット511A,512B,513Bと、3個の送信パケット521A,522B,523Bがデータの発生順に接続された状態を示している。受信パケット511Aは、コネクションAによってホストH1からホストH3に到達した受信パケットであり、送信パケット521Aは、コネクションAによってホストH3からホストH1へ送出される送信パケットである。また、受信パケット512B,513Bは、コネクションBによってホストH2からホストH3に到達した受信パケットであり、送信パケット522B,523Bは、コネクションBによってホストH3からホストH2へ送出される送信パケットである。これらの受信パケット511A,512B,513B、送信パケット521A,522B,523Bは、いずれもパケットボディとバッファ管理ヘッダを備えている。
【0028】
つぎに、CONN管理用データベースを、一つのメモリ41内に格納された具体的なデータ内容に基づいて説明する。図6に示すCONN管理用データベースは、受信暗号文用パケットキュー61、復号化された平文パケットキュー62、送信暗号文用パケットキュー63、及び送信用平文パケットキュー64とともに、暗号処理情報65、暗号鍵情報66、及び暗号処理プロセッサの番号情報67を変数とするCONN管理構造体を構成している。
【0029】
図7に示すCONN管理用データベースは、図6と同様のCONN管理構造体が2つのメモリ41,42にそれぞれ格納され、ネットワーク内で確立されたコネクションA,B毎に送受信を管理するためのコネクション管理構造体として機能するものである。メモリ41に格納されたコネクションAの管理用データベースでは、受信暗号文用のパケットキュー71に1個の受信パケット611Aが接続され、その後に復号化された平文のパケットキュー72に受信パケット621Aとして繋ぎ替えられる。メモリ42に格納されたコネクションBの管理用データベースでは、受信暗号文用のパケットキュー81に2個の受信パケット612B,613Bが接続され、その後に復号化された平文のパケットキュー82にそれぞれ受信パケット622B,623Bとして繋ぎ替えられる。
【0030】
ここでは、送信暗号文用のパケットキュー、及び送信用平文のパケットキューについては、図示していない。また、これらの受信パケット611A,612B,613B、621A,622B,623Bは、いずれもパケットボディとバッファ管理ヘッダを備えている。
【0031】
つぎに、上記構成の暗号・復号処理システムにおける受信パケットの処理手順について説明する。
図8は、受信パケット処理手順を示すフローチャートである。
【0032】
ステップ81では、複数の受信パケットがコネクションA,BからホストH3のNIC1に到着する。
ステップ82では、到着した受信パケット511A,512B,513Bが、図5に示すようにパケット管理構造体とともに、NIC管理用データベース50の受信用パケットキュー51へ接続される。
【0033】
ステップ83では、セキュアな通信路がすでに確立済みである場合には、パケットのヘッダによって各受信パケットの論理コネクション番号を決定する。すなわち、図2に示すペイロード部111部分に格納されたデータ(TCP/IPであれば、各プロトコルヘッダを除いた実データ部分)は、ソケット内のデータ(例えばTCPヘッダに記述されたポート番号とIPアドレス)を基にして、対応するコネクション番号が判定できる。
【0034】
ステップ84では、該当する受信パケットをNIC管理用データベース50からメモリ41、又はメモリ42に格納された受信暗号文用パケットキュー71,81のいずれかへ接続する(図7)。ここでは、CONN管理用データベースは、論理的な通信路の個数(2個のコネクションA,B)分だけ用意されている。
【0035】
ステップ85では、コネクション毎の暗号処理方式、鍵情報、及びどの暗号処理プロセッサへ復号処理を依頼するかの情報が、図2に示すパケット管理構造体20へ書き込まれる。
【0036】
ステップ86では、特定の暗号処理プロセッサ31〜3mへ処理の開始が依頼される。こうしてCONN管理用データベースでは、メモリ41,42の受信パケットを受信暗号文用パケットキュー61から復号化された平文パケットキュー62へ繋ぎ替える際に、暗号処理プロセッサ31〜3mのいずれかによって、暗号方式、鍵情報、パケットペイロード部の先頭アドレスを基にして、順次に受信パケットの復号化が行われる。
【0037】
ステップ87では、暗号処理プロセッサ31〜3mでの復号化処理の終了後、暗号処理プロセッサ31〜3mによって、メモリ41の復号化された平文パケットキュー72に、受信パケットのペイロード部分のデータが復号化されたパケット621Aが繋ぎ替えられ、メモリ42の復号化された平文パケットキュー82に、すべての受信パケットのペイロード部分のデータが復号化された受信パケット622B,623Bが繋ぎ替えられる。
【0038】
最後に、ステップ88では、CONN管理用データベースの復号化された平文パケットキューを読み取る関数により、ネットワーク上位のユーザアプリケーション側では復号化されたデータをコネクション毎で受信することが可能になる。この関数(API)としては、例えばコネクション単位で送受信パケットの実データペイロード部を読み書きできる、セッション層以上の機能を有するソケット関数が用いられる。以下には、代表的なソケット関数を示す。
【0039】
SOCKET(*):ソケットの内部生成
BIND(*):ソケットの内部結合
LISTEN(*):他のネットワークホストからのコネクション待ち
ACCEPT(*):他のネットワークホストからのコネクション許可
READ(*):データの送信
WRITE(*):データの受信
SOCKET(*)以外のソケット関数では、コネクション管理データベースの番号(コネクション番号)に相当する返り値を指定する。
【0040】
つぎに、送信パケットの処理フローについて説明する。
図9は、送信パケットの処理手順を示すフローチャートである。
ステップ91では、ネットワーク上位のユーザアプリケーション側で暗号化前のデータが作成され、上位レベルのAPIによって送信パケットのペイロード部分に書き込まれる。
【0041】
ステップ92では、送信パケットは図6に示すCONN管理用データベースの送信用平文パケットキュー64に接続される。この接続は、例えば上述したソケット関数によって実行される。
【0042】
ステップ93では、コネクション毎の暗号処理方式、鍵情報、及びどの暗号処理プロセッサへ暗号化処理を依頼するのかといった情報が、図2に示すパケット管理構造体20に書き込まれる。
【0043】
ステップ94では、特定の暗号処理プロセッサへ処理の開始が依頼される。こうしてCONN管理用データベースでは、例えばメモリ40の送信パケットを送信用平文パケットキュー64から送信暗号文用のパケットキュー63に繋ぎ替える際に、暗号処理プロセッサ31〜3mのいずれかによって、暗号方式、鍵情報、パケットペイロード部の先頭アドレスを基にして、順次に送信パケットの暗号化が行われる。
【0044】
ステップ95では、暗号処理プロセッサ31〜3mでの暗号化処理の終了後、暗号処理プロセッサ31〜3mによって、CONN管理構造体の送信暗号文用のパケットキュー63には、すべての送信パケットのペイロード部分のデータが暗号化されたパケットが繋ぎ替えられる。
【0045】
ステップ96では、送信パケットをCONN管理用データベースからNIC管理データベース50の送信用パケットキュー52へ接続される。
最後に、ステップ97では、NIC1を介して該当パケットが通信媒体であるコネクションA,Bに送出される。
【0046】
【発明の効果】
以上に説明したように、暗号・復号処理システムによれば、OS内で高い優先度を持って実行されるトランスポート層やネットワーク層での処理と同時にパケット単位で暗号処理を分散して実行するようにしたので、従来の暗号・復号処理システムのセッション層、アプリケーション層での処理と比較して、高速な暗号化・復号化処理が実現可能である。また、ネットワーク・インタフェース・コントローラにより、送受信されるディジタル信号を送受信パケットとしてコネクション別に整理統合する過程で暗号・復号処理を行うようにしたので、同一のハードウェアモジュールにNICと暗号処理プロセッサを一体化することが可能となり、秘匿性の向上が期待できる。
【図面の簡単な説明】
【図1】ネットワーク機器のシステム構成を示すブロック図である。
【図2】TCP/IPパケットとパケット管理構造体の構成を示す図である。
【図3】TCP/IPパケットの各レイヤにおける処理内容を説明するための図である。
【図4】コネクション開設パターンの一例を示す図である。
【図5】NIC管理用データベースを構成するメモリの一例を示す図である。
【図6】CONN管理用データベースを構成するメモリの一例を示す図である。
【図7】CONN管理用データベースを構成するメモリの一例を示す図である。
【図8】受信パケットの処理フローを示す図である。
【図9】送信パケットの処理フローを示す図である。
【符号の説明】
1…NIC(ネットワーク・インタフェース・コントローラ)、2…CPU、31〜3m…暗号処理プロセッサ、4,41〜4n,40…メモリ、5…内部バス、6…ネットワーク、10…TCP/IPパケット、20…パケット管理構造体、50…NIC管理用データベース
Claims (5)
- 開放型システムにより接続されたネットワーク機器間で、暗号化されたディジタル信号によってデータ通信を行うための暗号・復号処理方法において、
前記ネットワーク機器は、論理的なコネクションを確立するためのネットワーク・インタフェース・コントローラを備え、
前記ネットワーク・インタフェース・コントローラにより、送受信されるディジタル信号を送受信パケットとしてコネクション別に整理統合する過程で暗号・復号処理を行い、
前記ネットワーク・インタフェース・コントローラには、
複数の暗号処理プロセッサと、受信されたディジタル信号に管理用バッファを付加するためのパケット管理構造体とが接続され、
前記コネクション毎に受信パケットに異なる復号処理方法を指定するとともに、前記暗号処理プロセッサのいずれかを指定する、
ことを特徴とする暗号・復号処理方法。 - 前記ネットワーク・インタフェース・コントローラには、
複数の暗号処理プロセッサと、送信すべきディジタル信号に管理用バッファを付加するためのパケット管理構造体とが接続され、
前記コネクション毎に送信パケットに異なる暗号処理方法を指定するとともに、前記暗号処理プロセッサのいずれかを指定することを特徴とする請求項1記載の暗号・復号処理方法。 - 前記ネットワーク・インタフェース・コントローラは、OSI(Open System Interconnection)参照モデルによる通信プロトコルを有していることを特徴とする請求項1記載の暗号・復号処理方法。
- 前記ネットワーク機器によって確立される論理的なコネクションにおける暗号処理プロセスでは、
物理層・データリンク層に相当するネットワーク・インタフェース・コントローラでのパケット処理と、ネットワーク層とトランスポート層に相当するレイヤでの送信パケットの暗号化とが同時に行われることを特徴とする請求項3記載の暗号・復号処理方法。 - 前記ネットワーク機器によって確立される論理的なコネクションにおける復号処理プロセスでは、
物理層・データリンク層に相当するネットワーク・インタフェース・コントローラでのパケット処理と、ネットワーク層とトランスポート層に相当するレイヤでの受信パケットの復号化とが同時に行われることを特徴とする請求項3記載の暗号・復号処理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001180091A JP4734774B2 (ja) | 2001-06-14 | 2001-06-14 | 暗号・復号処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001180091A JP4734774B2 (ja) | 2001-06-14 | 2001-06-14 | 暗号・復号処理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002374245A JP2002374245A (ja) | 2002-12-26 |
| JP4734774B2 true JP4734774B2 (ja) | 2011-07-27 |
Family
ID=19020560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001180091A Expired - Lifetime JP4734774B2 (ja) | 2001-06-14 | 2001-06-14 | 暗号・復号処理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4734774B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7415723B2 (en) * | 2002-06-11 | 2008-08-19 | Pandya Ashish A | Distributed network security system and a hardware processor therefor |
| KR20120132708A (ko) * | 2011-05-26 | 2012-12-10 | 동국대학교 경주캠퍼스 산학협력단 | 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0916492A (ja) * | 1995-06-30 | 1997-01-17 | Canon Inc | コンピュータシステム、周辺装置特性供給方法およびコンピュータ使用可能媒体 |
| US6101608A (en) * | 1997-02-20 | 2000-08-08 | Compaq Computer Corporation | Method and apparatus for secure remote wake-up of a computer over a network |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS58213544A (ja) * | 1982-06-04 | 1983-12-12 | Fujitsu Ltd | 通信制御処理装置 |
| JPH0983562A (ja) * | 1995-09-13 | 1997-03-28 | Toshiba Corp | ネットワークのデータ中継システム及びネットワークシステムに適用されるデータ中継処理方法 |
| JP3196618B2 (ja) * | 1995-11-24 | 2001-08-06 | 株式会社日立製作所 | パーソナルコンピュータおよびそれを用いた通信システム |
| JPH09224066A (ja) * | 1996-02-14 | 1997-08-26 | Kokusai Denshin Denwa Co Ltd <Kdd> | 通信プロトコル並列処理装置 |
| JPH11298486A (ja) * | 1998-04-10 | 1999-10-29 | Hitachi Ltd | Atmスイッチ |
| JPH11328052A (ja) * | 1998-05-14 | 1999-11-30 | Nec Corp | ファイル転送装置 |
-
2001
- 2001-06-14 JP JP2001180091A patent/JP4734774B2/ja not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0916492A (ja) * | 1995-06-30 | 1997-01-17 | Canon Inc | コンピュータシステム、周辺装置特性供給方法およびコンピュータ使用可能媒体 |
| US6101608A (en) * | 1997-02-20 | 2000-08-08 | Compaq Computer Corporation | Method and apparatus for secure remote wake-up of a computer over a network |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002374245A (ja) | 2002-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| McAuley | Protocol design for high speed networks | |
| US7483423B2 (en) | Authenticity of communications traffic | |
| US7397797B2 (en) | Method and apparatus for performing network processing functions | |
| US7924868B1 (en) | Internet protocol (IP) router residing in a processor chipset | |
| US9049218B2 (en) | Stateless fibre channel sequence acceleration for fibre channel traffic over Ethernet | |
| US8176187B2 (en) | Method, system, and program for enabling communication between nodes | |
| US8094670B1 (en) | Method and apparatus for performing network processing functions | |
| US7966380B2 (en) | Method, system, and program for forwarding messages between nodes | |
| US7320071B1 (en) | Secure universal serial bus | |
| US20030115350A1 (en) | System and method for efficient handling of network data | |
| TW200409490A (en) | Network interface and protocol | |
| CN111966446B (zh) | 一种容器环境下rdma虚拟化方法 | |
| CN106790420A (zh) | 一种多会话通道建立方法和系统 | |
| US6983382B1 (en) | Method and circuit to accelerate secure socket layer (SSL) process | |
| US7188250B1 (en) | Method and apparatus for performing network processing functions | |
| Chadalapaka et al. | A study of iSCSI extensions for RDMA (iSER) | |
| JP4734774B2 (ja) | 暗号・復号処理方法 | |
| US20050141531A1 (en) | Communication relay method and relay device | |
| CN114553411B (zh) | 用于分布式内存加密装置和用于分布式内存解密装置 | |
| JP2002026927A (ja) | カプセリング方法及び装置並びにプログラム記録媒体 | |
| Jasud | The OSI Model: Overview on the Seven Layers of Computer Networks | |
| Anderson et al. | The DASH network communication architecture | |
| Traw | Applying architectural parallelism in high-performance network subsystems | |
| Rao et al. | Development of a Transport Layer using SMS | |
| CN117692415A (zh) | 数据包处理方法、装置、服务端设备、通信系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080306 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110204 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110307 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110329 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110411 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4734774 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |