JP5294761B2 - セキュア通信装置、セキュア通信方法及びプログラム - Google Patents
セキュア通信装置、セキュア通信方法及びプログラム Download PDFInfo
- Publication number
- JP5294761B2 JP5294761B2 JP2008222554A JP2008222554A JP5294761B2 JP 5294761 B2 JP5294761 B2 JP 5294761B2 JP 2008222554 A JP2008222554 A JP 2008222554A JP 2008222554 A JP2008222554 A JP 2008222554A JP 5294761 B2 JP5294761 B2 JP 5294761B2
- Authority
- JP
- Japan
- Prior art keywords
- processing
- encryption
- decryption authentication
- network protocol
- decryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Description
まず、本発明の基本的な考え方について説明する。
(ii)暗復号認証後半処理
(iii)暗復号認証前半処理
(iv)ネットワークプロトコルの後半処理
上記各処理の並べ替えを具体的に説明すると、図3(c)の場合、図3(b)のパケット「1」とパケット「2」は以下の並べ替え処理となる。
(ii)1番目のパケット「1」のHW後半処理
(iii)2番目のパケット「2」のHW前半処理
(iv)1番目のパケット「1」のレイヤ2以降の処理
HW暗復号処理が終わってから実際に後半処理が開始されるまでには若干のロス(余分な処理)がある。なにか別の処理が入ってきたり、またカーネルの処理が含まれる。図3(c)の方式Bは、各処理の並び替えにより1つのシーケンスで、上記(i)ネットワークプロトコル前半処理の直後に、上記(ii)暗復号認証後半処理を行う。続いて、上記上記(iii)暗復号認証前半処理の直後に、上記(iv)ネットワークプロトコルの後半処理を連続して行うことで、番号151のHW割込みコンテキストに基づく遅延処理開始指示が削減される。すなわち、上位プログラムによる関数呼び出しがあると、上記(i)−(iv)をロスなしで連続で実行するので、番号151の遅延処理開始指示が必要なくなる。図3(a)の負荷の平準化では、HW割り込みが発生して後半処理を開始するために、番号151の遅延処理開始指示が出される。しかし実際には、それよりも前に次のパケットが到着することも有りうる。このような場合、図3(c)の方式Bでは、開始指示を待つ前に開始できるようになるので、その分速度改善につながる。パケットの送信指示が先かHW処理完了(割り込みHW割り込み)が先かの競争が行われ、早い方で処理を開始するものである。このように、各処理を並び替えることで、HW/SWの並行処理を実現することができる。
図4は、上記基本的な考え方に基づく本発明の実施の形態1に係る暗号化情報通信システムのセキュア通信装置の構成を示す図である。
図6は、本発明の実施の形態2に係る暗号化情報通信システムのセキュア通信装置の構成を示すブロック図である。
実施の形態3は、セキュア通信装置の別の動作例について説明する。
110 IPセキュアプロトコル
120 クリプトマネージャ
130 HW暗復号認証エンジン
210 通信スタック部
220 バッファ
230 暗号認証処理部
231 リクエスト制御部
232 HW前後処理部
233 キュー
240 HW暗復号認証処理部
310 上位プログラム
320 ネットワークプロトコル処理部
330 通信部
340 暗復号認証処理制御部
350 暗復号認証処理部
360 暗復号認証リクエスト蓄積部
Claims (14)
- 通信パケットを送受信する通信手段と、
ネットワークプロトコルの前半処理及び後半処理を行うネットワークプロトコル処理手段と、
暗号化処理、復号化処理、又は認証処理のうち少なくとも一つを行う暗復号認証処理手段と、
前記暗復号認証処理手段から、暗号化処理、復号化処理、又は認証処理のうち一つの処理が完了しているパケットの処理結果を取得し、前記パケットのネットワークプロトコルの後半処理と次のパケットのネットワークプロトコルの前半処理とを連続して行うように前記ネットワークプロトコル処理手段を制御する暗復号認証処理制御手段と、
を備えるセキュア通信装置。 - 前記暗復号認証処理制御手段は、前記ネットワークプロトコル処理手段から、ネットワークプロトコルの前半処理を終えた次のパケットの暗復号認証処理を依頼された際、同じCPUコンテキストにより、直前に暗復号認証処理が完了している1つ前のパケットの処理結果を前記暗復号認証処理手段から取得し、1つ前のパケットのネットワークプロトコルの後半処理を前記ネットワークプロトコル処理手段が処理するように制御する請求項1記載のセキュア通信装置。
- 前記暗復号認証処理制御手段は、1つ前のパケットの処理結果を前記暗復号認証処理手段から取得した後、1つ前のパケットのネットワークプロトコル後半処理を前記ネットワークプロトコル処理手段において処理する前に、同じCPUコンテキストにより、次のパケットの暗復号認証処理を前記暗復号認証処理手段に対して依頼する請求項1記載のセキュア通信装置。
- 前記暗復号認証処理制御手段は、前記暗復号認証処理手段からの完了ハードウェア割り込みコンテキスト、又は、ソフトウェア遅延割り込みコンテキストにより、処理が完了した1つ前のパケットの処理結果を前記暗復号認証処理手段から取得する暗復号認証後半処理を行い、ネットワークプロトコルの前半処理が完了した次のパケットがある場合は、同じCPUコンテキストにより、次のパケットの暗復号認証処理を前記暗復号認証処理手段に依頼する暗復号認証前半処理を行い、1つ前のパケットのネットワークプロトコル後半処理を前記ネットワークプロトコル処理手段が処理するように制御する請求項1記載のセキュア通信装置。
- 前記暗復号認証処理制御手段は、前記各処理を、(i)次のパケットのネットワークプロトコルの前半処理、(ii)1つ前のパケットの暗復号認証後半処理、(iii)次のパケットの暗復号認証前半処理、及び(iv)1つ前のパケットのネットワークプロトコルの後半処理、の順に並び替えて前記ネットワークプロトコル処理手段と前記暗復号認証処理手段とを並列処理させる請求項4記載のセキュア通信装置。
- ネットワークプロトコルの前半処理が完了したパケットを、パケット毎に優先度を設定し、暗復号認証処理に必要なパラメータとともに暗復号認証リクエストとして蓄積し、該暗復号認証リクエストを優先度順に前記暗復号認証処理手段に受け渡す暗復号認証リクエスト蓄積手段をさらに備える請求項1記載のセキュア通信装置。
- 前記ネットワークプロトコルの前半処理は、IPプロトコル処理の一部やそれ以下のレイヤ処理を含む下位レイヤ処理であり、前記ネットワークプロトコルの後半処理は、TCPプロトコル処理及びIPプロトコル処理の一部を含む上位レイヤ処理である請求項1記載のセキュア通信装置。
- 通信手段が、送受信パケットをネットワークデバイス、または上位レイヤから取得するステップと、
ネットワークプロトコル処理手段が、前記取得したパケットに対してネットワークプロトコルの前半処理を行うネットワークプロトコル処理ステップと、
暗復号認証処理手段が、前記ネットワークプロトコル処理されたパケットに対して、暗号化処理、復号化処理、又は認証処理のうち少なくとも一つを行う暗復号認証処理ステップと、
暗復号認証処理制御手段が、前記暗復号認証処理の処理結果パケットを取得し、処理結果パケットに対して前記パケットのネットワークプロトコルの後半処理と次のパケットのネットワークプロトコルの前半処理とを連続して行うように制御する制御ステップとを有するセキュア通信方法。 - 前記制御ステップでは、前記暗復号認証処理制御手段が、ネットワークプロトコルの前半処理を終えた次のパケットの暗復号認証処理を依頼された際、同じCPUコンテキストにより、直前に暗復号認証処理が完了している1つ前のパケットの処理結果を取得し、前記ネットワークプロトコル処理ステップでは、ネットワークプロトコル処理手段が、1つ前のパケットのネットワークプロトコルの後半処理を処理する請求項8記載のセキュア通信方法。
- 前記制御ステップでは、前記暗復号認証処理制御手段が、1つ前のパケットの処理結果を取得した後、1つ前のパケットのネットワークプロトコル後半処理を前記ネットワークプロトコル処理ステップにおいて処理する前に、同じCPUコンテキストにより、次のパケットの暗復号認証処理を前記暗復号認証処理手段に対して依頼する請求項8記載のセキュア通信方法。
- 前記制御ステップでは、前記暗復号認証処理制御手段が、前記暗復号認証処理ステップからの完了ハードウェア割り込みコンテキスト、又は、ソフトウェア遅延割り込みコンテキストにより、処理が完了した1つ前のパケットの処理結果を前記暗復号認証処理ステップから取得する暗復号認証後半処理を行い、ネットワークプロトコルの前半処理が完了した次のパケットがある場合は、同じCPUコンテキストにより、次のパケットの暗復号認証処理を前記暗復号認証処理手段に依頼する暗復号認証前半処理を行い、
前記ネットワークプロトコル処理ステップでは、前記ネットワークプロトコル処理手段が、1つ前のパケットのネットワークプロトコル後半処理を処理する請求項8記載のセキュア通信方法。 - 前記制御ステップでは、前記暗復号認証処理制御手段が、前記各処理を、(i)次のパケットのネットワークプロトコルの前半処理、(ii)1つ前のパケットの暗復号認証後半処理、(iii)次のパケットの暗復号認証前半処理、及び(iv)1つ前のパケットのネットワークプロトコルの後半処理、の順に並び替える請求項11記載のセキュア通信方法。
- 暗復号認証リクエスト蓄積手段が、ネットワークプロトコルの前半処理が完了したパケットを、パケット毎に優先度を設定し、暗復号認証処理に必要なパラメータとともに暗復号認証リクエストとして蓄積し、該暗復号認証リクエストを優先度順に前記暗復号認証処理ステップに受け渡すステップをさらに備える請求項8記載のセキュア通信方法。
- 請求項8記載のセキュア通信方法の各ステップをコンピュータに実行させるためのプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008222554A JP5294761B2 (ja) | 2008-08-29 | 2008-08-29 | セキュア通信装置、セキュア通信方法及びプログラム |
US13/060,791 US8719902B2 (en) | 2008-08-29 | 2009-08-28 | Secure communication device, secure communication method, and program |
PCT/JP2009/004239 WO2010023951A1 (ja) | 2008-08-29 | 2009-08-28 | セキュア通信装置、セキュア通信方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008222554A JP5294761B2 (ja) | 2008-08-29 | 2008-08-29 | セキュア通信装置、セキュア通信方法及びプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2010057122A JP2010057122A (ja) | 2010-03-11 |
JP2010057122A5 JP2010057122A5 (ja) | 2011-07-07 |
JP5294761B2 true JP5294761B2 (ja) | 2013-09-18 |
Family
ID=41721132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008222554A Expired - Fee Related JP5294761B2 (ja) | 2008-08-29 | 2008-08-29 | セキュア通信装置、セキュア通信方法及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US8719902B2 (ja) |
JP (1) | JP5294761B2 (ja) |
WO (1) | WO2010023951A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9317689B2 (en) * | 2012-06-15 | 2016-04-19 | Visa International Service Association | Method and apparatus for secure application execution |
US9894143B1 (en) * | 2013-11-06 | 2018-02-13 | Amazon Technologies, Inc. | Pre-processing and processing pipeline for queue client |
JP6399382B2 (ja) | 2014-01-08 | 2018-10-03 | パナソニックIpマネジメント株式会社 | 認証システム |
CN112003689A (zh) * | 2020-08-31 | 2020-11-27 | 北京三未信安科技发展有限公司 | 一种ssl数据包的快速处理方法、系统和电子设备 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4771458A (en) * | 1987-03-12 | 1988-09-13 | Zenith Electronics Corporation | Secure data packet transmission system and method |
US6253321B1 (en) | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
US6983366B1 (en) | 2000-02-14 | 2006-01-03 | Safenet, Inc. | Packet Processor |
JP2002164924A (ja) * | 2000-11-29 | 2002-06-07 | Nec Access Technica Ltd | パケット処理装置 |
JP4453205B2 (ja) * | 2001-01-15 | 2010-04-21 | ソニー株式会社 | 情報処理装置および方法、記録媒体、並びにプログラム |
JP2005503699A (ja) | 2001-08-31 | 2005-02-03 | アダプテック・インコーポレイテッド | コンピュータネットワークでホストベースのセキュリティを行うシステムおよび方法 |
US7409558B2 (en) * | 2004-09-02 | 2008-08-05 | International Business Machines Corporation | Low-latency data decryption interface |
US7895431B2 (en) | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
JP2008512786A (ja) | 2004-09-10 | 2008-04-24 | カビウム・ネットワークス | データ構造の選択的複製方法および装置 |
JP4912075B2 (ja) | 2006-08-11 | 2012-04-04 | パナソニック株式会社 | 復号装置 |
JP2008270870A (ja) * | 2007-04-16 | 2008-11-06 | Sony Corp | 通信システム、通信装置及び通信方法、並びにコンピュータ・プログラム |
JP2008310270A (ja) * | 2007-06-18 | 2008-12-25 | Panasonic Corp | 暗号装置及び暗号操作方法 |
-
2008
- 2008-08-29 JP JP2008222554A patent/JP5294761B2/ja not_active Expired - Fee Related
-
2009
- 2009-08-28 WO PCT/JP2009/004239 patent/WO2010023951A1/ja active Application Filing
- 2009-08-28 US US13/060,791 patent/US8719902B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US8719902B2 (en) | 2014-05-06 |
US20110162044A1 (en) | 2011-06-30 |
WO2010023951A1 (ja) | 2010-03-04 |
JP2010057122A (ja) | 2010-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11966355B2 (en) | Network adapter with a common queue for both networking and data manipulation work requests | |
US9632977B2 (en) | System and method for ordering packet transfers in a data processor | |
US20190124054A1 (en) | Method, device, and system for offloading algorithms | |
JP5372083B2 (ja) | クライアント側の加速技術を提供するシステムおよび方法 | |
US9742806B1 (en) | Accessing SSL connection data by a third-party | |
JP2019528604A (ja) | 仮想マルチパスデータトランスポートのためのシステム及び方法 | |
US7266703B2 (en) | Single-pass cryptographic processor and method | |
US7657618B1 (en) | Management of multiple client requests | |
US8171284B2 (en) | Encryption device, decryption device, encryption method, and decryption method | |
JP5450655B2 (ja) | 無線通信装置により受信され、暗号処理動作を少なくとも部分的に必要とする、データストリームを処理する方法および対応する装置 | |
JP5294761B2 (ja) | セキュア通信装置、セキュア通信方法及びプログラム | |
US8838782B2 (en) | Network protocol processing system and network protocol processing method | |
US20140281488A1 (en) | System and Method for Offloading Cryptographic Functions to Support a Large Number of Clients in a Wireless Access Point | |
JP5109748B2 (ja) | 仮想計算機システム及びパケット送信制御方法並びにそれに用いるネットワークインターフェースカード | |
CN111163102B (zh) | 数据处理方法及装置、网络设备、可读存储介质 | |
CN113810397B (zh) | 协议数据的处理方法及装置 | |
CN112015564B (zh) | 加解密处理方法及装置 | |
US20060013397A1 (en) | Channel adapter managed trusted queue pairs | |
JP2004364022A (ja) | 暗号化通信制御方式 | |
JP2004328359A (ja) | パケット処理装置 | |
JP2003069555A (ja) | 暗号装置および暗復号処理方法 | |
WO2010023950A1 (ja) | 暗号処理装置、暗号処理方法及びプログラム | |
Jungmaier et al. | RFC3436: Transport Layer Security over Stream Control Transmission Protocol | |
CN116436864B (zh) | 一种基于quic协议的部分可靠多路径传输方法 | |
JP2007329730A (ja) | 通信プロトコル処理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110524 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110524 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130521 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130611 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |