JP2003110603A - Packet processing apparatus and its packet processing method - Google Patents
Packet processing apparatus and its packet processing methodInfo
- Publication number
- JP2003110603A JP2003110603A JP2001301373A JP2001301373A JP2003110603A JP 2003110603 A JP2003110603 A JP 2003110603A JP 2001301373 A JP2001301373 A JP 2001301373A JP 2001301373 A JP2001301373 A JP 2001301373A JP 2003110603 A JP2003110603 A JP 2003110603A
- Authority
- JP
- Japan
- Prior art keywords
- packet processing
- information
- communication protocol
- connection
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、パケットを処理す
るパケット処理装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a packet processing device that processes a packet.
【0002】[0002]
【従来の技術】近年、インターネット上に公開されるホ
ームページによって、容易でしかも安価に情報提供や情
報収集をすることが可能になった。また、インターネッ
トを介した電子メールの交換や、インターネットを利用
した電子商取引も一般化しつつある。2. Description of the Related Art In recent years, it has become possible to provide information and collect information easily and at low cost by using a home page published on the Internet. Also, exchange of electronic mails via the Internet and electronic commerce using the Internet are becoming popular.
【0003】ここで、電子商取引のように重要な情報を
通信する場合はセキュリティを確保しなければならな
い。そこで、最近、IPSec(Internet Protocol Se
curityProtocol)が注目されている。このIPSecと
は、OSI参照モデル(OpenSystem Interconnection r
eference model)の第3層であるネットワーク層におい
て認証・暗号化を行うセキュリティ・プロトコルをい
う。Here, when communicating important information such as electronic commerce, security must be ensured. Therefore, recently, IPSec (Internet Protocol Se
curityProtocol) is attracting attention. This IPSec is an OSI reference model (Open System Interconnection r
This is a security protocol that performs authentication / encryption at the network layer, which is the third layer of the eference model).
【0004】上記IPSec機能を搭載したコンピュー
タやルータなど(以下、これらを一括して単に「パケッ
ト処理装置」という)を介してインターネットに接続す
れば、VPN(Virtual Private Network)を構築する
ことができる。すなわち、上記パケット処理装置のユー
ザは、ネットワークの種類(公衆網であるか専用網であ
るか)を意識することなく、安全にインターネットを利
用することができるようになった。A VPN (Virtual Private Network) can be constructed by connecting to the Internet via a computer or a router equipped with the above-mentioned IPSec function (hereinafter, these are collectively referred to simply as "packet processing device"). . That is, the user of the packet processing device can safely use the Internet without being aware of the type of network (whether it is a public network or a dedicated network).
【0005】[0005]
【発明が解決しようとする課題】ところで、上記IPS
ecでは、どのような認証アルゴリズムや暗号化アルゴ
リズムを使用するかといった情報や、どのような暗号化
鍵を使用するかといった情報などを管理する必要があ
り、これらパラメータは、SA(Security Associatio
n)と呼ばれる論理的な接続を構成する一部になってい
る。このSAは、セキュリティをかける必要がある論理
的な接続ごとに必要な情報であり、以下その構成を図1
0にしたがって説明する。By the way, the above IPS
In ec, it is necessary to manage information such as what kind of authentication algorithm or encryption algorithm is used and what kind of encryption key is used. These parameters are SA (Security Associatio).
n) has become part of the logical connection. This SA is information required for each logical connection that needs security, and its configuration is shown in FIG.
It will be described according to 0.
【0006】すなわち、SA(以下「パケット処理情
報」という)31としてパケット処理情報データベース
30に格納される情報は、通信プロトコルに依存しない
通信プロトコル非依存情報31−1と、通信プロトコル
に依存する通信プロトコル依存情報31−2〜4とに大
別される。さらに、この通信プロトコル依存情報31−
2〜4は、通信プロトコルAに依存する通信プロトコル
A依存情報31−2、通信プロトコルBに依存する通信
プロトコルB依存情報31−3、通信プロトコルCに依
存する通信プロトコルC依存情報31−4というよう
に、通信プロトコルの種類によって異なる。なお、これ
ら情報の詳細については後述する。That is, the information stored in the packet processing information database 30 as the SA (hereinafter referred to as "packet processing information") 31 is the communication protocol independent information 31-1 which does not depend on the communication protocol and the communication which depends on the communication protocol. It is roughly divided into protocol-dependent information 31-2 to 4-4. Furthermore, this communication protocol dependent information 31-
2 to 4 are referred to as communication protocol A dependence information 31-2 depending on communication protocol A, communication protocol B dependence information 31-3 depending on communication protocol B, and communication protocol C dependence information 31-4 depending on communication protocol C. As such, it depends on the type of communication protocol. Details of these pieces of information will be described later.
【0007】しかしながら、従来は、現に使用する通信
プロトコルの有無やその種類にかかわらず常に全ての通
信プロトコル依存情報31−2〜4を備えておくことと
し、その中から必要な通信プロトコル依存情報を選択的
に使用するという方法を採用していた。However, conventionally, all the communication protocol dependence information 31-2 to 4 are always provided regardless of the presence or type of the communication protocol actually used, and the necessary communication protocol dependence information is included from among them. The method of using selectively was adopted.
【0008】このような方法を採用すると、例えば、現
に使用する通信プロトコルが通信プロトコルAのみであ
る場合でも、通信プロトコルBのみで使用する通信プロ
トコルB依存情報31−3や通信プロトコルCのみで使
用する通信プロトコルC依存情報31−4までもパケッ
ト処理情報データベース30に格納することになる。す
なわち、上記従来の方法によると、現に使用することの
ない通信プロトコル依存情報を格納するために、不要な
メモリ領域が確保されてしまうという問題があった。If such a method is adopted, for example, even when the communication protocol currently used is only the communication protocol A, it is used only by the communication protocol B dependent information 31-3 and the communication protocol C used only by the communication protocol B. The communication protocol C dependent information 31-4 to be stored is also stored in the packet processing information database 30. That is, according to the above-mentioned conventional method, there is a problem that an unnecessary memory area is secured in order to store the communication protocol dependence information which is not actually used.
【0009】また、パケットを処理する際には、そのパ
ケット処理情報を当該装置内の各手段間で転送すること
になる。したがって、上記従来の方法では、現に使用す
ることのない通信プロトコル依存情報までも転送される
ことになり、効率が悪いという問題もあった。Further, when processing a packet, the packet processing information is transferred between each means in the device. Therefore, in the above-mentioned conventional method, even communication protocol-dependent information that is not actually used is transferred, and there is a problem that efficiency is poor.
【0010】本発明は、上記従来の事情に基づいて提案
されたものであって、必要最小限のメモリ領域を確保す
ることが可能であり、且つ、当該装置内の各手段間でパ
ケット処理情報を効率よく転送することが可能なパケッ
ト処理装置を提供することを目的とする。The present invention has been proposed based on the above conventional circumstances, and it is possible to secure a minimum required memory area, and packet processing information is provided between each means in the device. It is an object of the present invention to provide a packet processing device capable of efficiently transferring packets.
【0011】[0011]
【課題を解決するための手段】本発明は、上記目的を達
成するために以下の手段を採用している。すなわち、本
発明は、パケット処理情報管理部が管理するパケット処
理情報に基づいて暗号処理・復号処理・認証処理のうち
の少なくとも1つの処理を暗号認証処理部が施したパケ
ットを、ネットワークを介して接続された対向装置との
間でパケット処理部が送受信するパケット処理装置を前
提としている。The present invention employs the following means in order to achieve the above object. That is, according to the present invention, a packet in which at least one of encryption processing, decryption processing, and authentication processing is performed by the encryption authentication processing unit based on the packet processing information managed by the packet processing information management unit is transmitted via a network. It is premised on a packet processing device in which a packet processing unit transmits / receives to / from a connected opposite device.
【0012】ここで、上記パケット処理情報管理部は、
通信プロトコルに依存しない通信プロトコル非依存情報
と、現に使用する通信プロトコルのみに依存する通信プ
ロトコル依存情報とからなるパケット処理情報を管理す
る。Here, the packet processing information management unit is
Packet management information consisting of communication protocol-independent information that does not depend on the communication protocol and communication protocol-dependent information that depends only on the communication protocol that is currently used is managed.
【0013】このようにすれば、現に使用することのな
いパケット処理情報を格納するために、不要なメモリ領
域が確保されてしまうという問題は生じない。また、現
に使用することのないパケット処理情報を当該装置内の
各手段間で転送することもなくなるので、その処理速度
が高速化するという効果もある。With this configuration, there is no problem that an unnecessary memory area is reserved for storing the packet processing information that is not actually used. Further, since the packet processing information which is not actually used is not transferred between the respective means in the device, the processing speed can be increased.
【0014】なお、上記通信プロトコル依存情報は、暗
号通信プロトコルに依存する暗号通信プロトコル依存情
報と、認証通信プロトコルに依存する認証通信プロトコ
ル依存情報と、通信モードに依存する通信モード依存情
報とからなる。The communication protocol dependent information includes cryptographic communication protocol dependent information that depends on the cryptographic communication protocol, authentication communication protocol dependent information that depends on the authentication communication protocol, and communication mode dependent information that depends on the communication mode. .
【0015】[0015]
【発明の実施の形態】以下、本発明の実施の形態を図面
にしたがって詳細に説明する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described in detail below with reference to the drawings.
【0016】なお、以下にいう「パケット処理装置」
「パケット処理情報」「パケット処理情報データベー
ス」等の用語は上記従来技術の欄で説明した通りである
ため、ここでは詳しい説明を省略する。また、以下の説
明では、送信側と受信側の一方のパケット処理装置に着
目した場合は、他方のパケット処理装置のことを「対向
装置」という。
(実施の形態1)図1は、本発明を適用したパケット処
理装置のブロック図であり、以下その構成を動作ととも
に説明する。The "packet processing device" referred to below
Terms such as “packet processing information” and “packet processing information database” are as described in the above-mentioned section of the prior art, and therefore detailed description thereof is omitted here. Further, in the following description, when focusing on one of the packet processing devices on the transmission side and the reception side, the other packet processing device is referred to as an “opposite device”. (Embodiment 1) FIG. 1 is a block diagram of a packet processing device to which the present invention is applied, and its configuration will be described below together with its operation.
【0017】まず、パケット処理部1は、通信路11か
らパケットが到着すると、このパケットに対応するパケ
ット処理情報の取得要求をパケット処理情報管理部3に
出す。First, when a packet arrives from the communication path 11, the packet processing unit 1 issues an acquisition request for packet processing information corresponding to this packet to the packet processing information management unit 3.
【0018】これによって、パケット処理情報管理部3
は、その内部に備えたパケット処理情報データベース3
0(詳細は後述する)から上記パケットに対応するパケ
ット処理情報を検索し、このように検索したパケット処
理情報をパケット処理部1に返す。As a result, the packet processing information management unit 3
Is a packet processing information database 3 provided therein.
The packet processing information corresponding to the packet is searched from 0 (details will be described later), and the packet processing information thus searched is returned to the packet processing unit 1.
【0019】次いで、パケット処理部1は、上記パケッ
ト処理情報に基づいてパケットを処理する。そして、こ
のとき、暗号あるいは復号処理、認証処理、又はその両
方の処理(以下、単に「暗号認証処理」という場合があ
る)をする必要があれば、このパケットとパケット処理
情報とを暗号認証処理部2に渡す。Next, the packet processing unit 1 processes the packet based on the packet processing information. At this time, if it is necessary to perform encryption or decryption processing, authentication processing, or both of them (hereinafter, may be simply referred to as “encryption authentication processing”), this packet and packet processing information are subjected to encryption authentication processing. Deliver to Part 2.
【0020】一方、暗号認証処理をする必要がなけれ
ば、パケット処理部1は、このパケットを対向装置へ通
信路11を通じて送信する。なお、暗号認証処理をする
必要があるかどうかは、暗号認証処理に関係する情報が
上記パケット処理情報中に含まれているかどうかで決ま
るのはいうまでもない。On the other hand, if it is not necessary to perform the cryptographic authentication process, the packet processing unit 1 transmits this packet to the opposite device through the communication path 11. Needless to say, whether or not the cryptographic authentication process is required depends on whether or not the information related to the cryptographic authentication process is included in the packet processing information.
【0021】これによって、暗号認証処理部2は、上記
パケット処理情報に基づいてパケットに暗号認証処理を
施した後、この処理後のパケットをパケット処理部1へ
返す。そして、このようにパケット処理部1へ返された
パケットは、通信路11を通じ、パケット処理部1によ
って対向装置へ送信されるようになっている。As a result, the cryptographic authentication processing section 2 performs cryptographic authentication processing on the packet based on the packet processing information, and then returns the processed packet to the packet processing section 1. The packet thus returned to the packet processing unit 1 is transmitted to the opposite device by the packet processing unit 1 through the communication path 11.
【0022】ところで、図10を用いて説明したよう
に、従来は、現に使用する通信プロトコルの有無やその
種類にかかわらず常に全ての通信プロトコル依存情報3
1−2〜4を備えておくこととし、その中から必要な通
信プロトコル依存情報を選択的に使用するという方法を
採用していた。By the way, as described with reference to FIG. 10, conventionally, all the communication protocol dependent information 3 is always irrespective of the presence or absence of the communication protocol currently used and its type.
1-2 to 4 are provided, and a method of selectively using necessary communication protocol dependent information from among them is adopted.
【0023】このような方法を採用すると、現に使用す
る通信プロトコルが通信プロトコルAのみである場合で
も、通信プロトコルBのみで使用する通信プロトコルB
依存情報31−3や通信プロトコルCのみで使用する通
信プロトコルC依存情報31−4までもパケット処理情
報データベース30に格納することになる。すなわち、
上記従来の方法によると、現に使用することのない通信
プロトコル依存情報を格納するために、不要なメモリ領
域が確保されてしまうという問題があった。If such a method is adopted, even if the communication protocol currently used is only the communication protocol A, the communication protocol B used only by the communication protocol B is used.
The dependency information 31-3 and the communication protocol C dependency information 31-4 used only in the communication protocol C are also stored in the packet processing information database 30. That is,
According to the above-mentioned conventional method, there is a problem that an unnecessary memory area is secured in order to store the communication protocol dependence information which is not actually used.
【0024】以下、この点をより詳細に説明するため
に、通信プロトコル非依存情報31−1が64単位、通
信プロトコルA依存情報31−2が16単位、通信プロ
トコルB依存情報31−3が32単位、通信プロトコル
C依存情報31−4が48単位である場合を例示する。
なお、ここでいう単位とは、例えばバイトなど、情報の
サイズを表すための単位をいう。In order to explain this point in more detail, the communication protocol independent information 31-1 is 64 units, the communication protocol A dependent information 31-2 is 16 units, and the communication protocol B dependent information 31-3 is 32 units. A case where the unit and the communication protocol C dependence information 31-4 are 48 units will be exemplified.
It should be noted that the unit referred to here is a unit for indicating the size of information, such as bytes.
【0025】まず、上記従来の方法によると、現に使用
することのない32単位の通信プロトコルB依存情報3
1−3と48単位の通信プロトコルC依存情報31−4
とを格納するために、32+48=80単位の不要なメ
モリ領域が確保されてしまう。First, according to the above-mentioned conventional method, 32 units of communication protocol B dependence information 3 which are not actually used are used.
Communication protocol C dependency information 31-4 in units of 1-3 and 48
An unnecessary memory area of 32 + 48 = 80 units is reserved for storing and.
【0026】また、パケットを処理する際には、そのパ
ケット処理情報をパケット処理情報管理部3からパケッ
ト処理部1へ、さらにパケット処理部1から暗号認証処
理部2へ転送することになる。したがって、上記従来の
方法では、現に使用することのない80単位の通信プロ
トコル依存情報31−3及び31−4までも転送される
ことになり、効率が悪いという問題もあった。When processing a packet, the packet processing information is transferred from the packet processing information management section 3 to the packet processing section 1, and further from the packet processing section 1 to the cryptographic authentication processing section 2. Therefore, in the above-mentioned conventional method, even 80 units of the communication protocol dependent information 31-3 and 31-4 which are not actually used are transferred, and there is a problem that the efficiency is low.
【0027】そこで、本発明では、上記問題を解決する
ために以下の手法を採用している。Therefore, in the present invention, the following method is adopted to solve the above problem.
【0028】すなわち、上記と同様、現に使用する通信
プロトコルが通信プロトコルAのみであれば、通信プロ
トコルB依存情報31−3と通信プロトコルC依存情報
31−4とは不要である。したがって、このような場
合、本発明におけるパケット処理情報管理部3は、64
単位の通信プロトコル非依存情報31−1と16単位の
通信プロトコルA依存情報31−4とからなる80単位
のパケット処理情報(図5中の32)を構成するように
なっている。That is, similar to the above, if the currently used communication protocol is only the communication protocol A, the communication protocol B dependence information 31-3 and the communication protocol C dependence information 31-4 are unnecessary. Therefore, in such a case, the packet processing information management unit 3 according to the present invention has 64
The packet processing information (32 in FIG. 5) of 80 units is constituted by the communication protocol independent information 31-1 of unit and the communication protocol A dependent information 31-4 of 16 unit.
【0029】このようにすれば、現に使用することのな
い32単位の通信プロトコルB依存情報31−3と48
単位の通信プロトコルC依存情報31−4とを格納する
ために、不要なメモリ領域が確保されてしまうという問
題は生じない。また、これら通信プロトコル依存情報3
1−3及び31−4をパケット処理情報管理部3からパ
ケット処理部1へ、さらにパケット処理部1から暗号認
証処理部2へ転送することもなくなるので、その処理速
度が高速化するという効果もある。In this way, 32 units of communication protocol B dependence information 31-3 and 48 which are not actually used are used.
There is no problem that an unnecessary memory area is reserved for storing the unit communication protocol C dependence information 31-4. Also, these communication protocol dependent information 3
There is no need to transfer 1-3 and 31-4 from the packet processing information management unit 3 to the packet processing unit 1 and further from the packet processing unit 1 to the cryptographic authentication processing unit 2, so that the processing speed can be increased. is there.
【0030】以上のように、本発明では、通信プロトコ
ルに依存しない通信プロトコル非依存情報と、現に使用
する通信プロトコルのみに依存する通信プロトコル依存
情報とからパケット処理情報を構成するようにしている
ので、必要最小限のメモリ領域を確保することができる
とともに、当該装置内の各手段間でパケット処理情報を
効率よく転送することができる。As described above, according to the present invention, the packet processing information is composed of the communication protocol independent information that does not depend on the communication protocol and the communication protocol dependent information that depends only on the communication protocol that is actually used. The required minimum memory area can be secured, and the packet processing information can be efficiently transferred between the respective means in the device.
【0031】なお、上記の説明では、単に「パケット処
理部1はパケット処理情報を暗号認証処理部2に渡す」
という表現を用いているが、パケット処理部1が暗号認
証処理部2に渡すパケット処理情報は、その全部でなく
てもかまわない。すなわち、パケット処理情報のうち暗
号認証処理に関係する箇所のみを渡すようにしても、上
記と同様の効果が得られる。In the above description, simply "the packet processing unit 1 passes the packet processing information to the cryptographic authentication processing unit 2".
However, the packet processing information passed from the packet processing unit 1 to the cryptographic authentication processing unit 2 need not be the entire packet processing information. That is, even if only the portion of the packet processing information related to the cryptographic authentication processing is passed, the same effect as above can be obtained.
【0032】また、上記の説明では特に言及していない
が、上記通信プロトコル依存情報は、図6に示すよう
に、暗号通信プロトコルに依存する暗号通信プロトコル
依存情報と、認証通信プロトコルに依存する認証通信プ
ロトコル依存情報と、通信モードに依存する通信モード
依存情報とに分類することができる。Although not particularly mentioned in the above description, the communication protocol dependent information is, as shown in FIG. 6, encrypted communication protocol dependent information dependent on the encrypted communication protocol and authentication dependent on the authentication communication protocol. It can be classified into communication protocol dependent information and communication mode dependent information depending on the communication mode.
【0033】なお、上記暗号通信プロトコル依存情報と
は、暗号鍵・暗号鍵サイズ・暗号処理ブロックサイズ等
を表した情報をいい、上記認証処理プロトコル依存情報
とは、認証鍵・認証鍵サイズ・認証処理ブロックサイズ
等を表した情報いい、上記通信モード依存情報とは、例
えば、トランスポートモードあるいはトンネルモードで
あることを表した情報や、それに付随する情報(例え
ば、トンネルを張る相手端末のアドレス)等をいう。ま
た、上記通信プロトコル非依存情報とは、パケットの発
信元アドレスや宛先アドレス、さらには当該パケット処
理情報の有効期限などを表した情報をいう。
(実施の形態2)ところで、同じ接続に係るパケットを
処理する際には、同じパケット処理情報を何度も使用す
ることになるのが通常である。したがって、上記実施の
形態1のように、パケットを処理する度に、それに対応
するパケット処理情報をパケット処理情報データベース
30から検索する手順は効率が悪い。そこで、本実施の
形態(図2参照)では、このような不具合を回避するた
めに以下の手法を採用している。The cryptographic communication protocol dependent information is information representing the cryptographic key, the cryptographic key size, the cryptographic processing block size, etc. The authentication processing protocol dependent information is the authentication key, the authentication key size, and the authentication. Information indicating a processing block size or the like, and the communication mode-dependent information is, for example, information indicating a transport mode or a tunnel mode, or information accompanying it (for example, an address of a partner terminal that establishes a tunnel). Etc. Further, the communication protocol-independent information is information indicating a source address and a destination address of a packet, and an expiration date of the packet processing information. (Embodiment 2) By the way, when processing packets related to the same connection, it is usual to use the same packet processing information many times. Therefore, the procedure of searching the packet processing information database 30 for the corresponding packet processing information every time a packet is processed as in the first embodiment is inefficient. Therefore, in the present embodiment (see FIG. 2), the following method is adopted in order to avoid such a problem.
【0034】まず、パケット処理部1は、通信路11か
らパケットが到着すると、このパケットに対応するパケ
ット処理情報の取得要求を検索優先度情報管理部4に出
す。First, when a packet arrives from the communication path 11, the packet processing unit 1 issues a request for acquiring packet processing information corresponding to this packet to the search priority information management unit 4.
【0035】これによって、検索優先度情報管理部4
は、その内部に備えた検索優先度情報データベース41
に格納されている検索優先度情報に基づいて、パケット
処理情報の取得要求をパケット処理情報管理部3に出
す。As a result, the search priority information management unit 4
Is a search priority information database 41 provided therein.
A packet processing information acquisition request is issued to the packet processing information management unit 3 based on the search priority information stored in.
【0036】すなわち、検索優先度情報データベース4
1には、図7に示すように、パケット処理情報管理部3
が管理するパケット処理情報の検索優先度情報が格納さ
れている。したがって、この場合の検索優先度情報管理
部4は、最も検索優先度の高いパケット処理情報33の
取得要求をパケット処理情報管理部3に出すことにな
る。That is, the retrieval priority information database 4
1, the packet processing information management unit 3
Stores the search priority information of the packet processing information managed by. Therefore, the search priority information management unit 4 in this case issues a request to acquire the packet processing information 33 having the highest search priority to the packet processing information management unit 3.
【0037】なお、検索優先度情報管理部4は、LRU
(Least Recently Used)アルゴリズムなどを用いて、
最近使用されたパケット処理情報から順に、高い検索優
先度情報を動的に設定するようになっている。もちろ
ん、検索優先度情報の決定方法はこれに限定されるもの
ではない。例えば、使用頻度が高いパケット処理情報を
特定するためのアルゴリズムを用いれば、使用頻度が高
いパケット処理情報から順に、高い検索優先度情報を動
的に設定することが可能である。The search priority information management unit 4 uses the LRU
(Least Recently Used) algorithm, etc.
Higher search priority information is dynamically set in order from the packet processing information used recently. Of course, the method of determining the search priority information is not limited to this. For example, if an algorithm for identifying frequently used packet processing information is used, it is possible to dynamically set high search priority information in order from the most frequently used packet processing information.
【0038】その後、パケット処理情報管理部3は、上
記実施の形態1と同様の手順でパケット処理情報データ
ベース30からパケット処理情報を検索し、このように
検索したパケット処理情報を検索優先度情報管理部4に
返す。そして、このように返されたパケット処理情報
は、検索優先度情報管理部4によってパケット処理部1
に渡され、上記実施の形態1と同様の手順で当該パケッ
トが処理されるようになっている。After that, the packet processing information management unit 3 retrieves the packet processing information from the packet processing information database 30 in the same procedure as in the first embodiment, and manages the retrieved packet processing information in the retrieval priority information. Return to Part 4. The packet processing information returned in this way is sent to the packet processing unit 1 by the search priority information management unit 4.
The packet is processed according to the same procedure as in the first embodiment.
【0039】以上のように、本実施の形態ではパケット
処理情報の検索優先度情報を管理するようにしているた
め、同じパケット処理情報を何度もパケット処理情報デ
ータベース30から検索するという不具合を回避でき
る。このようにすれば、不要な検索をしなくてよい分、
パケットの処理が高速化されることになるのはいうまで
もない。As described above, in the present embodiment, since the search priority information of the packet processing information is managed, the trouble of repeatedly searching the packet processing information database 30 for the same packet processing information is avoided. it can. This way, you don't have to do unnecessary searches,
It goes without saying that packet processing will be speeded up.
【0040】なお、上記検索優先度情報データベース4
1と、このデータベース41によって管理されているパ
ケット処理情報とを図示しないCPUキャッシュメモリ
上に保持しておくようにしてもよい。このようにすれ
ば、パケット処理情報データベース30から検索すべき
パケット処理情報を上記CPUキャッシュメモリ上で検
索優先度情報管理部4が特定することも可能になるた
め、パケットの処理をより高速化することができる。
(実施の形態3)ところで、同じ接続に係るパケットを
処理する際には、同じパケット処理情報を何度も使用す
ることになるのが通常である。したがって、上記実施の
形態1のように、パケットを処理する度に、それに対応
するパケット処理情報をパケット処理部1が暗号認証処
理部2へ渡す手順は効率が悪い。そこで、本実施の形態
(図3参照)では、このような不具合を回避するために
以下の手法を採用している。The above-mentioned search priority information database 4
1 and the packet processing information managed by the database 41 may be held in a CPU cache memory (not shown). In this way, the packet processing information to be searched from the packet processing information database 30 can be specified by the search priority information management unit 4 in the CPU cache memory, so that the packet processing can be speeded up. be able to. (Embodiment 3) By the way, when processing packets relating to the same connection, it is usual to use the same packet processing information many times. Therefore, the procedure in which the packet processing unit 1 passes the corresponding packet processing information to the cryptographic authentication processing unit 2 every time a packet is processed as in the first embodiment is inefficient. Therefore, in the present embodiment (see FIG. 3), the following method is adopted in order to avoid such a problem.
【0041】まず、パケット処理情報を獲得したパケッ
ト処理部1が、このパケット処理情報に基づいてパケッ
トを処理するまでの手順は上記実施の形態1と同じであ
る。First, the procedure until the packet processing unit 1 that has acquired the packet processing information processes a packet based on this packet processing information is the same as in the first embodiment.
【0042】すなわち、パケット処理部1は、通信路1
1からパケットが到着すると、このパケットに対応する
パケット処理情報の取得要求をパケット処理情報管理部
3に出す。そこで、パケット処理情報管理部3は、その
内部に備えたパケット処理情報データベース30から上
記パケットに対応するパケット処理情報を検索し、この
ように検索したパケット処理情報をパケット処理部1に
返す。これによって、パケット処理部1は、このように
獲得したパケット処理情報に基づいてパケットを処理す
る。In other words, the packet processing unit 1 uses the communication path 1
When the packet arrives from 1, the packet processing information management unit 3 issues an acquisition request for the packet processing information corresponding to this packet. Therefore, the packet processing information management unit 3 searches the packet processing information database 30 provided therein for packet processing information corresponding to the packet, and returns the packet processing information thus searched to the packet processing unit 1. Thereby, the packet processing unit 1 processes the packet based on the packet processing information acquired in this way.
【0043】ここで、パケット処理部1は、上記のよう
に獲得したパケット処理情報にパケット処理情報識別子
を与える。このパケット処理情報識別子は、パケット処
理情報を一意に識別するための情報であり、その具体的
態様は特に限定されるものではない。Here, the packet processing unit 1 gives the packet processing information identifier to the packet processing information acquired as described above. The packet processing information identifier is information for uniquely identifying the packet processing information, and its specific mode is not particularly limited.
【0044】次いで、パケット処理部1は、暗号認証処
理をする必要があれば、このパケットとそのパケット処
理情報識別子とを暗号認証処理部2に渡す。これによっ
て、暗号認証処理部2は、上記パケット処理情報識別子
をパケット処理情報キャッシュ部5に渡す。Next, the packet processing unit 1 passes this packet and its packet processing information identifier to the encryption authentication processing unit 2 if it is necessary to perform the encryption authentication process. As a result, the cryptographic authentication processing unit 2 passes the packet processing information identifier to the packet processing information cache unit 5.
【0045】そして、パケット処理情報キャッシュ部5
は、その内部に備えたパケット処理情報キャッシュデー
タベース(図8参照)から上記パケット処理情報識別子
に対応するパケット処理情報を検索して暗号認証処理部
2に返す。これによって、暗号認証処理部2は、上記パ
ケット処理情報に基づいてパケットに暗号認証処理を施
した後、この処理後のパケットをパケット処理部1へ返
す。Then, the packet processing information cache unit 5
Retrieves the packet processing information corresponding to the packet processing information identifier from the packet processing information cache database (see FIG. 8) provided therein and returns it to the cryptographic authentication processing unit 2. As a result, the cryptographic authentication processing unit 2 performs cryptographic authentication processing on the packet based on the packet processing information, and then returns the processed packet to the packet processing unit 1.
【0046】以上のように、本実施の形態ではパケット
処理情報キャッシュ部5を備えるようにしているため、
同じパケット処理情報を何度もパケット処理部1が暗号
認証処理部2へ渡すという不具合を回避できる。すなわ
ち、パケット処理部1から暗号認証処理部2へはパケッ
ト処理情報を渡さなくてもよい(パケット処理情報識別
子のみ渡せばよい)ので、その分の転送時間を削減でき
る結果、パケットの処理を高速化することができるここ
で、パケット処理情報データベース31に格納されてい
るパケット処理情報はユーザによって削除されることが
ある。また、パケット処理情報データベース31に格納
されているパケット処理情報の中には、そのパケットの
処理可能数・処理可能データ量・有効期限のいずれかが
超過したことから削除すべきものがある。As described above, since the packet processing information cache unit 5 is provided in this embodiment,
It is possible to avoid the problem that the same packet processing information is repeatedly passed by the packet processing unit 1 to the cryptographic authentication processing unit 2. That is, since the packet processing information does not have to be passed from the packet processing unit 1 to the cryptographic authentication processing unit 2 (only the packet processing information identifier needs to be passed), the transfer time can be reduced accordingly, resulting in high-speed packet processing. The packet processing information stored in the packet processing information database 31 may be deleted by the user. Some of the packet processing information stored in the packet processing information database 31 may be deleted because one of the number of packets that can be processed, the amount of data that can be processed, and the expiration date is exceeded.
【0047】そこで、このような事象が発生した場合、
それを検知したパケット処理情報管理部3は、当該パケ
ット処理情報を削除するようパケット処理部1に指示を
出す。そして、この指示をパケット処理部1・暗号認証
処理部2を介して受け取ったパケット処理情報キャッシ
ュ部5は、当該指示にしたがってパケット処理情報キャ
ッシュデータベース51からパケット処理情報を削除す
るようになっている。Therefore, when such an event occurs,
Upon detecting this, the packet processing information management unit 3 gives an instruction to the packet processing unit 1 to delete the packet processing information. Then, the packet processing information cache unit 5 that has received this instruction via the packet processing unit 1 and the cryptographic authentication processing unit 2 deletes the packet processing information from the packet processing information cache database 51 according to the instruction. .
【0048】このようにすれば、パケット処理情報デー
タベース31とパケット処理情報キャッシュデータベー
ス51とで一貫性を保つことができる。もっとも、パケ
ット処理情報データベース31に格納されているパケッ
ト処理情報の内容が変更された場合は、それに応じてパ
ケット処理情報キャッシュデータベース51に格納され
ているパケット処理情報の内容も変更あるいは削除され
ることになるし、また、パケット処理情報データベース
31に新たなパケット処理情報が格納された場合は、こ
の新たなパケット処理情報がパケット処理情報キャッシ
ュデータベース51に格納されることになる。In this way, the packet processing information database 31 and the packet processing information cache database 51 can be kept consistent. However, when the content of the packet processing information stored in the packet processing information database 31 is changed, the content of the packet processing information stored in the packet processing information cache database 51 is also changed or deleted accordingly. In addition, when new packet processing information is stored in the packet processing information database 31, this new packet processing information is stored in the packet processing information cache database 51.
【0049】ただし、このように新たなパケット処理情
報がパケット処理情報キャッシュデータベース51に格
納される点は必須要件でない。すなわち、パケット処理
情報データベース31に新たなパケット処理情報が格納
されても、何もしない(つまり、上記新たなパケット処
理情報をパケット処理情報キャッシュデータベース51
に格納しない)ようにしてもかまわない。
(実施の形態4)ところで、上記の説明では特に言及し
なかったが、パケット処理情報データベース30を検索
するためには、それに先立ってSPD(Security Polic
y Database)からセキュリティポリシー情報を獲得して
おく必要がある。すなわち、上記パケット処理部は、こ
のセキュリティポリシー情報に基づいてパケットの処理
方法を決定するようになっている。However, the point that new packet processing information is stored in the packet processing information cache database 51 is not an essential requirement. That is, even if new packet processing information is stored in the packet processing information database 31, nothing is done (that is, the new packet processing information is stored in the packet processing information cache database 51).
Do not store it in). (Fourth Embodiment) Incidentally, although not particularly mentioned in the above description, in order to search the packet processing information database 30, SPD (Security Policy
y Database) to obtain the security policy information in advance. That is, the packet processing unit determines the packet processing method based on the security policy information.
【0050】なお、上記SPD(公知であるため内部構
成は図示しない)とは、セキュリティポリシーを構成す
るデータベースのことをいう。また、セキュリティポリ
シーとは、セキュリティが確保されたシステムへのアク
セス規制のことをいう。The SPD (an internal structure is not shown because it is publicly known) means a database which constitutes a security policy. Further, the security policy is a regulation of access to a system in which security is ensured.
【0051】以下、従来の一般的な処理手順を説明す
る。The conventional general processing procedure will be described below.
【0052】まず、パケット処理手段1は、通信路11
からパケットが到着すると、このパケットに基づいて接
続条件を生成して接続情報管理部に渡す。なお、接続条
件を生成する技術は本発明と直接関係しないので、ここ
では詳しい説明を省略する。First, the packet processing means 1 uses the communication path 11
When the packet arrives from, the connection condition is generated based on this packet and is passed to the connection information management unit. Since the technique of generating the connection condition is not directly related to the present invention, detailed description will be omitted here.
【0053】そして、上記接続情報管理部が、その内部
に備えたSPD(以下「接続情報データベース」とい
う)から、上記接続条件を満たすセキュリティポリシー
情報(以下、セキュリティポリシー情報を「接続情報」
という)を検索してパケット処理部1に返すというのが
一般的な手順であった。なお、このように接続情報デー
タベースから検索される接続情報は単に接続条件を満た
す情報であるため、その数は1つとは限らない。Then, the connection information management unit uses the SPD (hereinafter referred to as "connection information database") provided therein to provide security policy information satisfying the connection conditions (hereinafter, the security policy information will be referred to as "connection information").
It was a general procedure to search for and return it to the packet processing unit 1. The number of pieces of connection information retrieved from the connection information database in this way is not limited to one, because the connection information simply satisfies the connection conditions.
【0054】しかしながら、同じ接続に係るパケットを
処理する際には、同じ接続情報を何度も使用することに
なるのが通常である。したがって、上記のように、パケ
ットを処理する度に接続情報データベースから接続情報
を検索する手順は効率が悪い。そこで、本実施の形態
(図4参照)では、このような不具合を回避するために
以下の手法を採用している。However, when processing packets related to the same connection, the same connection information is usually used many times. Therefore, as described above, the procedure of retrieving connection information from the connection information database every time a packet is processed is inefficient. Therefore, in the present embodiment (see FIG. 4), the following method is adopted to avoid such a problem.
【0055】まず、パケット処理部1は、通信路11か
らパケットが到着すると、このパケットに基づいて接続
条件を生成して対接続条件接続情報管理部6に渡す。First, when a packet arrives from the communication path 11, the packet processing section 1 generates a connection condition based on this packet and passes it to the connection condition connection information management section 6.
【0056】これによって、対接続条件接続情報管理部
6は、その内部に備えた対接続条件接続情報データベー
ス61に格納されている検索優先度情報に基づいて、接
続情報の取得要求を接続情報管理部7に出す。As a result, the connection condition connection information management unit 6 manages the connection information acquisition request based on the search priority information stored in the connection condition connection information database 61 provided therein. Issue to Part 7.
【0057】すなわち、対接続条件接続情報データベー
ス61には、図9に示すように、接続情報管理部7が管
理する接続情報の検索優先度情報(61→62→・・・
→6Nの順に高い)が格納されている。したがって、こ
の場合の対接続条件接続情報管理部6は、最も検索優先
度の高い接続条件61を満たす接続情報61−1及び6
1−2の取得要求を接続情報管理部7に出すことにな
る。That is, in the connection information connection information database 61, as shown in FIG. 9, search priority information (61 → 62 → ...) Of connection information managed by the connection information management unit 7.
→ Higher in order of 6N) is stored. Therefore, in this case, the connection condition connection information management unit 6 determines that the connection information 61-1 and 6 satisfy the connection condition 61 with the highest search priority.
The acquisition request 1-2 is issued to the connection information management unit 7.
【0058】また、上記したように、接続情報データベ
ースから検索される接続情報は単に接続条件を満たす情
報であるため、その数は1つとは限らない。したがっ
て、上記対接続条件接続情報データベース61では、図
9にも示したように、接続条件と接続情報とを1対1で
管理するのではなく、1対多で(すなわち、接続条件を
満たす接続情報の全てを接続条件ごとに)管理しておく
のが好ましい。Further, as described above, the number of pieces of connection information retrieved from the connection information database is not limited to one, because the connection information simply satisfies the connection conditions. Therefore, as shown in FIG. 9, the connection condition connection information database 61 does not manage connection conditions and connection information on a one-to-one basis, but on a one-to-many basis (that is, a connection condition that satisfies connection conditions). It is preferable to manage all the information (for each connection condition).
【0059】なお、対接続条件接続情報管理部6は、L
RU(Least Recently Used)アルゴリズムなどを用い
て、最近使用された接続情報から順に、高い検索優先度
情報を動的に設定するようになっている。もちろん、検
索優先度情報の決定方法はこれに限定されるものではな
い。例えば、使用頻度が高い接続情報を特定するための
アルゴリズムを用いれば、使用頻度が高い接続情報から
順に、高い検索優先度情報を動的に設定することが可能
である。The connection condition connection information management unit 6 is L
By using a RU (Least Recently Used) algorithm or the like, high search priority information is dynamically set in order from the recently used connection information. Of course, the method of determining the search priority information is not limited to this. For example, if an algorithm for identifying frequently used connection information is used, it is possible to dynamically set high search priority information in order from the most frequently used connection information.
【0060】その後、接続情報管理部7は、その内部に
備えた接続情報データベース70から上記接続情報61
−1及び61−2を検索して対接続条件接続情報管理部
6に返す。そして、このように返された接続情報61−
1及び61−2は、対接続条件接続情報管理部6によっ
てパケット処理部1に渡され、上記実施の形態1と同様
の手順でパケット処理情報データベース30が検索され
るようになっている。After that, the connection information management section 7 uses the connection information database 70 provided therein to read the connection information 61.
-1 and 61-2 are retrieved and returned to the connection condition connection information management unit 6. Then, the connection information 61- returned in this way
1 and 61-2 are passed to the packet processing unit 1 by the connection condition connection information management unit 6, and the packet processing information database 30 is searched by the same procedure as in the first embodiment.
【0061】以上のように、本実施の形態では接続情報
の検索優先度情報を管理するようにしているため、同じ
接続情報を何度も接続情報データベースから検索すると
いう不具合を回避できる。このようにすれば、不要な検
索をしなくてよい分、パケットの処理が高速化されるこ
とになるのはいうまでもない。As described above, in this embodiment, since the search priority information of the connection information is managed, it is possible to avoid the problem that the same connection information is repeatedly searched from the connection information database. Needless to say, this makes it possible to speed up packet processing because unnecessary searches are not required.
【0062】ここで、接続情報データベース70に格納
されている接続情報がユーザによって削除された場合、
それを検知した接続情報管理部7は、当該接続情報を削
除するよう対接続条件接続情報管理部6に指示を出す。
そして、この指示を受け取った対接続条件接続情報管理
部6は、当該指示にしたがって対接続条件接続情報デー
タベース61から接続情報を削除するようになってい
る。なお、このように削除する接続情報は、上記ユーザ
によって削除された接続情報だけでなく、この接続情報
と同じ接続条件の接続情報すべてとするのが好ましい。Here, when the connection information stored in the connection information database 70 is deleted by the user,
Upon detecting this, the connection information management unit 7 gives an instruction to the connection condition connection information management unit 6 to delete the connection information.
Then, the connection condition connection information management unit 6 that has received this instruction deletes the connection information from the connection condition connection information database 61 in accordance with the instruction. It is preferable that the connection information to be deleted in this way is not only the connection information deleted by the user but all connection information having the same connection condition as this connection information.
【0063】このようにすれば、対接続条件接続情報デ
ータベース61と接続情報データベース70とで一貫性
を保つことができる。もっとも、接続情報データベース
70に格納されている接続情報の内容が変更された場合
は、それに応じて対接続条件接続情報データベース61
に格納されている接続情報の内容も変更あるいは削除さ
れることになるし、また、接続情報データベース70に
新たな接続情報が格納された場合は、この新たな接続情
報が対接続条件接続情報データベース61に格納される
ことになる。By doing so, it is possible to maintain consistency between the connection condition connection information database 61 and the connection information database 70. However, when the content of the connection information stored in the connection information database 70 is changed, the connection condition connection information database 61 is accordingly changed.
If the connection information database 70 stores new connection information, the new connection information will be changed to the connection information connection information database. It will be stored in 61.
【0064】なお、上記対接続条件接続情報データベー
ス61と、このデータベース61によって管理されてい
る接続情報とをCPUキャッシュメモリ上に保持してお
くようにしてもよい。このようにすれば、接続情報デー
タベース70から検索すべき接続情報を上記CPUキャ
ッシュメモリ上で対接続条件接続情報管理部6が特定す
ることも可能になるため、パケットの処理をより高速化
することができる。The connection condition connection information database 61 and the connection information managed by the database 61 may be held in the CPU cache memory. By doing so, the connection information to be searched from the connection information database 70 can be specified by the connection condition connection information management unit 6 on the CPU cache memory, so that the packet processing can be further speeded up. You can
【0065】[0065]
【発明の効果】以上のように、本発明では、通信プロト
コルに依存しない通信プロトコル非依存情報と、現に使
用する通信プロトコルのみに依存する通信プロトコル依
存情報とからパケット処理情報を構成するようにしてい
るので、必要最小限のメモリ領域を確保することができ
るとともに、当該装置内の各手段間でパケット処理情報
を効率よく転送することができる。As described above, according to the present invention, the packet processing information is constructed from the communication protocol independent information that does not depend on the communication protocol and the communication protocol dependent information that depends only on the communication protocol that is actually used. Therefore, the minimum necessary memory area can be secured, and the packet processing information can be efficiently transferred between the respective means in the device.
【0066】また、パケット処理情報の検索優先度情報
を管理するようにしているため、同じパケット処理情報
を何度もパケット処理情報データベースから検索すると
いう不具合を回避できる。このようにすれば、不要な検
索をしなくてよい分、パケットの処理が高速化されるこ
とになるのはいうまでもない。Further, since the search priority information of the packet processing information is managed, it is possible to avoid the trouble that the same packet processing information is repeatedly searched from the packet processing information database. Needless to say, this makes it possible to speed up packet processing because unnecessary searches are not required.
【0067】さらに、パケット処理情報キャッシュ部を
備えるようにしているため、同じパケット処理情報を何
度もパケット処理部が暗号認証処理部へ渡すという不具
合を回避できる。すなわち、パケット処理部から暗号認
証処理部へはパケット処理情報を渡さなくてもよい(パ
ケット処理情報識別子のみ渡せばよい)ので、その分の
転送時間を削減できる結果、パケットの処理を高速化す
ることができる。Furthermore, since the packet processing information cache unit is provided, it is possible to avoid the problem that the same packet processing information is repeatedly passed to the encryption authentication processing unit by the packet processing unit. That is, since the packet processing information does not have to be passed from the packet processing unit to the cryptographic authentication processing unit (only the packet processing information identifier needs to be passed), the transfer time can be reduced accordingly, resulting in faster packet processing. be able to.
【0068】加えて、接続情報の検索優先度情報を管理
するようにしているため、同じ接続情報を何度も接続情
報データベースから検索するという不具合を回避でき
る。このようにすれば、不要な検索をしなくてよい分、
パケットの処理が高速化されることになるのはいうまで
もない。In addition, since the search priority information of the connection information is managed, it is possible to avoid the problem that the same connection information is repeatedly searched from the connection information database. This way, you don't have to do unnecessary searches,
It goes without saying that packet processing will be speeded up.
【図1】実施の形態1に係るパケット処理装置のブロッ
ク図FIG. 1 is a block diagram of a packet processing device according to a first embodiment.
【図2】実施の形態2に係るパケット処理装置のブロッ
ク図FIG. 2 is a block diagram of a packet processing device according to a second embodiment.
【図3】実施の形態3に係るパケット処理装置のブロッ
ク図FIG. 3 is a block diagram of a packet processing device according to a third embodiment.
【図4】実施の形態4に係るパケット処理装置のブロッ
ク図FIG. 4 is a block diagram of a packet processing device according to a fourth embodiment.
【図5】本発明におけるパケット処理情報データベース
の内部構成例を示す図FIG. 5 is a diagram showing an internal configuration example of a packet processing information database according to the present invention.
【図6】本発明におけるパケット処理情報データベース
の内部構成例を示す図FIG. 6 is a diagram showing an internal configuration example of a packet processing information database according to the present invention.
【図7】本発明における検索優先度情報データベースの
内部構成例を示す図FIG. 7 is a diagram showing an internal configuration example of a search priority information database according to the present invention.
【図8】本発明におけるパケット処理情報キャッシュデ
ータベースの内部構成例を示す図FIG. 8 is a diagram showing an internal configuration example of a packet processing information cache database according to the present invention.
【図9】本発明における対接続条件接続情報データベー
スの内部構成例を示す図FIG. 9 is a diagram showing an internal configuration example of a connection information connection information database according to the present invention.
【図10】従来におけるパケット処理情報データベース
の内部構成例を示す図FIG. 10 is a diagram showing an example of the internal configuration of a conventional packet processing information database.
1 パケット処理部 2 暗号認証処理部 3 パケット処理情報管理部 4 検索優先度情報管理部 5 パケット処理情報キャッシュ部 6 対接続条件接続情報管理部 7 接続情報管理部 11 通信路 30 パケット処理情報データベース 40 検索優先度情報データベース 50 パケット処理情報キャッシュデータベース 60 対接続条件接続情報データベース 70 接続情報データベース 1 Packet processing unit 2 Cryptographic authentication processing unit 3 Packet processing information management unit 4 Search Priority Information Management Department 5 Packet processing information cache unit 6 Pair connection condition Connection information management unit 7 Connection Information Management Department 11 communication channels 30 Packet processing information database 40 Search Priority Information Database 50 Packet processing information cache database 60 pair connection condition connection information database 70 Connection information database
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5K030 GA01 GA06 HA08 HC01 JT03 KA02 LD19 5K034 AA05 EE11 FF01 FF02 HH63 JJ24 MM21 ─────────────────────────────────────────────────── ─── Continued front page F-term (reference) 5K030 GA01 GA06 HA08 HC01 JT03 KA02 LD19 5K034 AA05 EE11 FF01 FF02 HH63 JJ24 MM21
Claims (8)
ット処理情報に基づいて暗号処理・復号処理・認証処理
のうちの少なくとも1つの処理を暗号認証処理部が施し
たパケットを、ネットワークを介して接続された対向装
置との間でパケット処理部が送受信するパケット処理装
置において、 上記パケット処理情報管理部が、通信プロトコルに依存
しない通信プロトコル非依存情報と、現に使用する通信
プロトコルのみに依存する通信プロトコル依存情報とか
らなるパケット処理情報を管理することを特徴とするパ
ケット処理装置。1. A packet, to which a cryptographic authentication processing unit has performed at least one of encryption processing, decryption processing, and authentication processing based on packet processing information managed by a packet processing information management unit, is connected via a network. In the packet processing device that the packet processing unit transmits / receives to / from the opposite device, the packet processing information management unit is a communication protocol independent information that does not depend on the communication protocol and a communication protocol that depends only on the communication protocol that is actually used. A packet processing device characterized by managing packet processing information including dependency information.
信プロトコルに依存する暗号通信プロトコル依存情報
と、認証通信プロトコルに依存する認証通信プロトコル
依存情報と、通信モードに依存する通信モード依存情報
とからなる請求項1に記載のパケット処理装置。2. The communication protocol dependent information comprises cryptographic communication protocol dependent information dependent on the cryptographic communication protocol, authentication communication protocol dependent information dependent on the authentication communication protocol, and communication mode dependent information dependent on the communication mode. The packet processing device according to claim 1.
管理するパケット処理情報の検索優先度情報を管理する
検索優先度情報管理部を備え、 上記パケット処理部が、上記検索優先度情報管理部が管
理する検索優先度情報に基づいて上記パケット処理情報
管理部からパケット処理情報を獲得する請求項1又は2
に記載のパケット処理装置。3. A search priority information management unit for managing search priority information of packet processing information managed by the packet processing information management unit, wherein the packet processing unit is the search priority information management unit. 3. The packet processing information is acquired from the packet processing information management unit based on the search priority information to be managed.
The packet processing device according to 1.
管理するパケット処理情報を保持するパケット処理情報
キャッシュ部を備え、 上記暗号認証処理部が、上記パケット処理情報キャッシ
ュ部が保持するパケット処理情報に基づいて暗号処理・
復号処理・認証処理のうちの少なくとも1つの処理をパ
ケットに施す請求項1又は2に記載のパケット処理装
置。4. A packet processing information cache unit that holds packet processing information managed by the packet processing information management unit, wherein the cryptographic authentication processing unit stores the packet processing information in the packet processing information cache unit. Cryptographic processing based on
The packet processing device according to claim 1, wherein at least one of the decryption process and the authentication process is performed on the packet.
パケット処理情報が、削除、変更、あるいは追加された
場合、又は、上記パケット処理情報管理部が管理するパ
ケット処理情報に対応するパケットの処理可能数・処理
可能データ量・有効期限のいずれかが超過した場合、そ
れに応じて上記パケット処理情報キャッシュ部が保持す
るパケット処理情報を、削除、変更、あるいは追加する
請求項4に記載のパケット処理装置。5. A packet processing information managed by the packet processing information management unit can be deleted, changed, or added, or a packet corresponding to the packet processing information managed by the packet processing information management unit can be processed. The packet processing device according to claim 4, wherein when any of the number, the amount of processable data, and the expiration date is exceeded, the packet processing information held by the packet processing information cache unit is deleted, changed, or added according to the excess. .
続条件ごとに管理する接続情報管理部と、該接続情報管
理部が管理する接続情報の検索優先度情報とともに接続
条件を満たす接続情報の全てを接続条件ごとに管理する
対接続条件接続情報管理部とを備え、 上記パケット処理部が、上記対接続条件接続情報管理部
が管理する接続情報に基づいてパケットの処理方法を決
定する請求項1又は2に記載のパケット処理装置。6. A connection information management unit that manages connection information satisfying the connection conditions for each connection condition, and search priority information of the connection information managed by the connection information management unit, as well as all connection information satisfying the connection conditions. And a connection condition connection information management unit that manages the connection condition for each connection condition, wherein the packet processing unit determines a packet processing method based on connection information managed by the connection condition connection information management unit. Alternatively, the packet processing device according to item 2.
が、削除、変更、あるいは追加された場合、それに応じ
て上記対接続条件接続情報管理部が管理する接続情報
を、削除、変更、あるいは追加する請求項6に記載のパ
ケット処理装置。7. When the connection information managed by the connection information management section is deleted, changed, or added, the connection information managed by the connection condition connection information management section is deleted, changed, or The packet processing device according to claim 6, which is added.
復号処理・認証処理のうちの少なくとも1つの処理を施
したパケットを、ネットワークを介して接続された対向
装置との間で送受信するパケット処理装置のパケット処
理方法において、 通信プロトコルに依存しない通信プロトコル非依存情報
と、現に使用する通信プロトコルのみに依存する通信プ
ロトコル依存情報とからなるパケット処理情報を管理す
ることを特徴とするパケット処理方法。8. Cryptographic processing based on packet processing information
In a packet processing method of a packet processing device for transmitting / receiving a packet, which has been subjected to at least one of decryption / authentication processing, to / from an opposite device connected via a network, a communication protocol non-dependent on a communication protocol A packet processing method comprising: managing packet processing information including dependency information and communication protocol dependency information that depends only on a communication protocol that is currently used.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001301373A JP2003110603A (en) | 2001-09-28 | 2001-09-28 | Packet processing apparatus and its packet processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001301373A JP2003110603A (en) | 2001-09-28 | 2001-09-28 | Packet processing apparatus and its packet processing method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003110603A true JP2003110603A (en) | 2003-04-11 |
Family
ID=19121798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001301373A Pending JP2003110603A (en) | 2001-09-28 | 2001-09-28 | Packet processing apparatus and its packet processing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003110603A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006222787A (en) * | 2005-02-10 | 2006-08-24 | Felica Networks Inc | Radio communication system, reader/writer device, key management method, and computer program |
| JP2007529039A (en) * | 2003-10-22 | 2007-10-18 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Connection management method, system, and program product |
| US8244880B2 (en) | 2003-10-22 | 2012-08-14 | International Business Machines Corporation | Connection management method, system, and program product |
-
2001
- 2001-09-28 JP JP2001301373A patent/JP2003110603A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007529039A (en) * | 2003-10-22 | 2007-10-18 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Connection management method, system, and program product |
| JP4646002B2 (en) * | 2003-10-22 | 2011-03-09 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Connection management method, system, and program product |
| US8244880B2 (en) | 2003-10-22 | 2012-08-14 | International Business Machines Corporation | Connection management method, system, and program product |
| JP2006222787A (en) * | 2005-02-10 | 2006-08-24 | Felica Networks Inc | Radio communication system, reader/writer device, key management method, and computer program |
| JP4681314B2 (en) * | 2005-02-10 | 2011-05-11 | フェリカネットワークス株式会社 | Wireless communication system, reader / writer device, key management method, and computer program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7197643B2 (en) | Key exchange proxy network system | |
| JP4707992B2 (en) | Encrypted communication system | |
| US7383348B2 (en) | Data transfer scheme using caching technique for reducing network load | |
| JP3449326B2 (en) | Data search system, packet processing apparatus, and control method | |
| RU2493677C2 (en) | Method and router for implementing mirroring | |
| JP6619894B2 (en) | Access control | |
| US20040202319A1 (en) | Apparatus and method for allocating resources within a security processor | |
| EP3609291A1 (en) | Method for restoring session, device and computer storage medium | |
| WO2009021428A1 (en) | Secure protection device and method for message transfer | |
| CN108173769B (en) | Message transmission method and device and computer readable storage medium | |
| US7937592B2 (en) | Network communication security processor and data processing method | |
| CN112118167B (en) | Method for quickly transmitting cross-network tunnel data | |
| CN106657079B (en) | Privacy protection method based on content-centric network | |
| US7203195B2 (en) | Method for packet transferring and apparatus for packet transferring | |
| JP2003288261A (en) | Data transferring device, data transferring method, and program | |
| CN108712391B (en) | Method for coping with naming attack and time analysis attack in content-centric network | |
| CN111641592B (en) | Data transmission method and device based on middleware and computer equipment | |
| JPH06318939A (en) | Cipher communication system | |
| CN111669374B (en) | Encryption and decryption performance expansion method for single tunnel software of IPsec VPN | |
| JP2003110603A (en) | Packet processing apparatus and its packet processing method | |
| JP3265242B2 (en) | Continuous data access method | |
| JP3263879B2 (en) | Cryptographic communication system | |
| JP4013920B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, ITS OPERATION CONTROL METHOD, AND PROGRAM | |
| US8036218B2 (en) | Technique for achieving connectivity between telecommunication stations | |
| KR100641655B1 (en) | System and method for load balancing |