JP2003198530A - Packet communication device and encryption algorithm setting method - Google Patents
Packet communication device and encryption algorithm setting methodInfo
- Publication number
- JP2003198530A JP2003198530A JP2001390165A JP2001390165A JP2003198530A JP 2003198530 A JP2003198530 A JP 2003198530A JP 2001390165 A JP2001390165 A JP 2001390165A JP 2001390165 A JP2001390165 A JP 2001390165A JP 2003198530 A JP2003198530 A JP 2003198530A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- communication device
- circuit
- algorithm
- packet communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、暗号アルゴリズ
ムの追加や変更を行うことができるパケット通信装置及
び暗号アルゴリズム設定方法に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a packet communication device and a cryptographic algorithm setting method capable of adding or changing a cryptographic algorithm.
【0002】[0002]
【従来の技術】インターネット等の通信インフラの発達
により、企業内や企業間等の専用線による通信に代わっ
て、VPN(Virtual Private Net
work)が注目されている。VPNは暗号化技術によ
り、インターネットを仮想的な専用線として利用可能に
する技術であり、IPSEC(Security Ar
chitecture for Internet P
rotocol)が現在の標準となっている。IPSE
Cでは、使用する暗号アルゴリズムが固定されておら
ず、必須の暗号アルゴリズムDES(Data Enc
ryption Standard)などに加えて任意
のアルゴリズムのサポートが可能である。2. Description of the Related Art With the development of communication infrastructures such as the Internet, VPN (Virtual Private Net) has been used in place of private line communication within a company or between companies.
work) is drawing attention. VPN is a technology that enables the Internet to be used as a virtual leased line by means of encryption technology. IPSEC (Security Ar)
story for Internet P
rotocol) has become the current standard. IPSE
In C, the cryptographic algorithm used is not fixed, and the required cryptographic algorithm DES (Data Enc)
It is possible to support an arbitrary algorithm in addition to the configuration standard.
【0003】図9は従来のパケット通信装置を示す構成
図であり、図において、1は例えばネットワークセキュ
リティLSIであるパケット通信装置、11は通信相手
が実行可能な暗号アルゴリズムを示す情報等を格納する
SAD(SecurityAssociation D
atabase)、12はパケットの送受信を実行する
とともに、暗号処理回路13,14を制御する制御部、
13は暗号アルゴリズムAを実行して、パケットに対す
る暗号化処理又は復号化処理を実行する暗号処理回路、
14は暗号アルゴリズムBを実行して、パケットに対す
る暗号化処理又は復号化処理を実行する暗号処理回路で
ある。なお、図9の例では、パケット通信装置が2つの
暗号処理回路を内蔵するものについて示しているが、こ
れに限るものではなく、1つの暗号処理回路のみを内蔵
していてもよいし、3以上の暗号処理回路を内蔵してい
てもよい。FIG. 9 is a block diagram showing a conventional packet communication device. In FIG. 9, 1 is a packet communication device which is, for example, a network security LSI, and 11 is a storage device for storing information indicating an encryption algorithm executable by a communication partner. SAD (Security Association D)
and a controller 12 for transmitting and receiving packets and controlling the cryptographic processing circuits 13 and 14,
13 is a cryptographic processing circuit that executes the cryptographic algorithm A to perform encryption processing or decryption processing on the packet;
Reference numeral 14 is a cryptographic processing circuit that executes the cryptographic algorithm B to execute encryption processing or decryption processing for the packet. Note that, in the example of FIG. 9, the packet communication device has two cryptographic processing circuits, but the present invention is not limited to this, and only one cryptographic processing circuit may be built in, or 3 The above cryptographic processing circuit may be incorporated.
【0004】次に動作について説明する。ここでは、図
10に示すように、暗号アルゴリズムA,Bの実行が可
能なパケット通信装置1aがパケットを暗号化して送信
し、暗号アルゴリズムAの実行が可能なパケット通信装
置1bがパケットを受信して復号化するものについて説
明する。Next, the operation will be described. Here, as shown in FIG. 10, the packet communication device 1a capable of executing the encryption algorithms A and B encrypts and transmits the packet, and the packet communication device 1b capable of executing the encryption algorithm A receives the packet. What is decrypted will be described.
【0005】まず、パケット通信装置1aの制御部12
は、パケットの暗号化通信を開始するに際して、実行が
可能な暗号アルゴリズムを受信側のパケット通信装置1
bに認識させるため、暗号アルゴリズムA,Bにそれぞ
れ割り当てられている識別子をパケット通信装置1bに
送信する。First, the control unit 12 of the packet communication device 1a
Is a packet communication device 1 on the receiving side that is capable of executing an encryption algorithm when starting the packet encrypted communication.
The identifiers assigned to the encryption algorithms A and B are transmitted to the packet communication device 1b in order to be recognized by b.
【0006】パケット通信装置1bの制御部12は、パ
ケット通信装置1aから暗号アルゴリズムAの識別子と
暗号アルゴリズムBの識別子を受信すると、パケット通
信装置1aが実行可能な暗号アルゴリズムが暗号アルゴ
リズムA,Bであると認識する。そして、パケット通信
装置1bの制御部12は、暗号アルゴリズムA,Bのう
ち、自己が実行可能な暗号アルゴリズムが暗号アルゴリ
ズムAであるので、暗号アルゴリズムAの使用を許可す
る決定情報をパケット通信装置1aに送信するととも
に、パケット通信装置1aのアドレス等と関連付けて当
該決定情報をSAD11に格納する。When the control unit 12 of the packet communication device 1b receives the identifier of the cryptographic algorithm A and the identifier of the cryptographic algorithm B from the packet communication device 1a, the cryptographic algorithms that can be executed by the packet communication device 1a are the cryptographic algorithms A and B. Recognize that there is. Then, the control unit 12 of the packet communication device 1b sends the determination information for permitting the use of the cryptographic algorithm A to the packet communication device 1a because the cryptographic algorithm that can be executed by the control unit 12 is the cryptographic algorithm A. And the decision information is stored in the SAD 11 in association with the address of the packet communication device 1a.
【0007】パケット通信装置1aの制御部12は、パ
ケット通信装置1bから暗号アルゴリズムAの使用を許
可する決定情報を受信すると、パケット通信装置1bの
アドレス等と関連付けて当該決定情報をSAD11に格
納する。そして、パケット通信装置1aの制御部12
は、パケット通信装置1bに送信する平文のパケットを
入力すると、そのパケットに付加されているアドレス等
をキーにしてSAD11から決定情報を取得し、その決
定情報から使用する暗号アルゴリズムを認識する。この
例では、暗号アルゴリズムAを使用するものと認識す
る。When the control unit 12 of the packet communication device 1a receives the decision information permitting the use of the cryptographic algorithm A from the packet communication device 1b, the control unit 12 stores the decision information in the SAD 11 in association with the address of the packet communication device 1b. . Then, the control unit 12 of the packet communication device 1a
When a plaintext packet to be transmitted to the packet communication device 1b is input, the key acquires the decision information from the SAD 11 using the address or the like added to the packet as a key, and recognizes the encryption algorithm to be used from the decision information. In this example, it is recognized that the encryption algorithm A is used.
【0008】パケット通信装置1aの制御部12は、使
用する暗号アルゴリズムが暗号アルゴリズムAであるの
で、暗号アルゴリズムAを内蔵している暗号処理回路1
3に対して平文のパケットを出力する。これにより、暗
号処理回路13は、暗号アルゴリズムAを実行して、平
文のパケットに対する暗号化処理を実施し、暗号化後の
パケットを制御部12に出力する。パケット通信装置1
aの制御部12は、暗号化後のパケットをパケット通信
装置1bに送信する。The control unit 12 of the packet communication device 1a uses the encryption algorithm A as the encryption algorithm to be used, and therefore the encryption processing circuit 1 incorporating the encryption algorithm A is used.
A plaintext packet is output to 3. As a result, the cryptographic processing circuit 13 executes the cryptographic algorithm A, performs the cryptographic processing on the plaintext packet, and outputs the encrypted packet to the control unit 12. Packet communication device 1
The control unit 12 of a transmits the encrypted packet to the packet communication device 1b.
【0009】パケット通信装置1bの制御部12は、パ
ケット通信装置1aから暗号化後のパケットを受信する
と、そのパケットに付加されているアドレス等をキーに
してSAD11から決定情報を取得し、その決定情報か
ら使用する暗号アルゴリズムを認識する。この例では、
暗号アルゴリズムAを使用するものと認識する。When the encrypted packet is received from the packet communication device 1a, the control unit 12 of the packet communication device 1b acquires the decision information from the SAD 11 using the address added to the packet as a key and makes the decision. Recognize the cryptographic algorithm used from the information. In this example,
It is recognized that the cryptographic algorithm A is used.
【0010】パケット通信装置1bの制御部12は、使
用する暗号アルゴリズムが暗号アルゴリズムAであるの
で、暗号アルゴリズムAを内蔵している暗号処理回路1
3に対して暗号化後のパケットを出力する。これによ
り、暗号処理回路13は、暗号アルゴリズムAを実行し
て、暗号化後のパケットに対する復号化処理を実施し、
平文のパケットを制御部12に出力する。パケット通信
装置1bの制御部12は、平文のパケットを外部出力す
る。The control unit 12 of the packet communication device 1b uses the cryptographic algorithm A as the cryptographic algorithm to be used. Therefore, the cryptographic processing circuit 1 incorporating the cryptographic algorithm A is used.
The encrypted packet is output to No. 3. As a result, the cryptographic processing circuit 13 executes the cryptographic algorithm A to perform the decryption process on the encrypted packet,
The plaintext packet is output to the control unit 12. The control unit 12 of the packet communication device 1b outputs a plaintext packet to the outside.
【0011】[0011]
【発明が解決しようとする課題】従来のパケット通信装
置は以上のように構成されているので、送信側と受信側
が共に内蔵している暗号アルゴリズム以外は使用するこ
とができず、より強力な暗号アルゴリズムが新たに考案
されても、新たにハードウェアであるLSIを設計・製
造しない限り、使用することができない課題があった。Since the conventional packet communication apparatus is constructed as described above, it is impossible to use any encryption algorithm other than the built-in encryption algorithm on both the transmitting side and the receiving side, and a stronger encryption is possible. Even if the algorithm is newly devised, there is a problem that it cannot be used unless a new LSI, which is hardware, is designed and manufactured.
【0012】なお、特開平10−257120号公報に
は、パケット通信装置がパケットの暗号化通信を実行す
る際、ネットワークに接続されているデータベースから
暗号アルゴリズムに相当するスクリプトを取得し、パケ
ット通信装置のスクリプト実行エンジンが当該スクリプ
トを実行する技術が開示されている。しかし、この場
合、特定のパケット通信装置間でのみ使用されるべき秘
匿性の高い暗号アルゴリズムがデータベースに登録され
るため、サーバ管理組織の高いモラルが求められると同
時に、内部犯罪等により暗号アルゴリズムが流出する可
能性があるなどの問題がある。また、スクリプト実行エ
ンジンがスクリプトの意味を解釈しながら暗号化処理等
を実施する必要があるため、ハードウェアが実装された
パケット通信装置と比べて暗号化処理等の速度が遅くな
る問題もある。In Japanese Patent Laid-Open No. 10-257120, when a packet communication device executes packet encrypted communication, a script corresponding to an encryption algorithm is acquired from a database connected to a network, and the packet communication device is acquired. The technology of executing the script by the script execution engine of is disclosed. However, in this case, since a highly confidential encryption algorithm that should be used only between specific packet communication devices is registered in the database, a high morale of the server management organization is required, and at the same time, the encryption algorithm may be changed due to an internal crime. There are problems such as possible leakage. In addition, since the script execution engine needs to perform the encryption process and the like while interpreting the meaning of the script, there is a problem that the speed of the encryption process and the like becomes slower than that of the packet communication device in which the hardware is mounted.
【0013】この発明は上記のような課題を解決するた
めになされたもので、暗号アルゴリズムの追加や変更を
簡単に行うことができるパケット通信装置及び暗号アル
ゴリズム設定方法を得ることを目的とする。The present invention has been made to solve the above problems, and an object of the present invention is to obtain a packet communication device and a cryptographic algorithm setting method that can easily add or change a cryptographic algorithm.
【0014】[0014]
【課題を解決するための手段】この発明に係るパケット
通信装置は、パケットを暗号化して送信するに際して、
リコンフィギャラブル回路の回路構成データを設定する
設定手段を設けたものである。A packet communication apparatus according to the present invention, when encrypting and transmitting a packet,
A setting means for setting the circuit configuration data of the reconfigurable circuit is provided.
【0015】この発明に係るパケット通信装置は、パケ
ットを受信して復号化するに際して、リコンフィギャラ
ブル回路の回路構成データを設定する設定手段を設けた
ものである。The packet communication apparatus according to the present invention is provided with setting means for setting the circuit configuration data of the reconfigurable circuit when receiving and decoding the packet.
【0016】この発明に係るパケット通信装置は、リコ
ンフィギャラブル回路の回路構成データを設定する際、
暗号鍵のキー長及び暗号化又は復号化ブロックのビット
数を登録するようにしたものである。In the packet communication device according to the present invention, when setting the circuit configuration data of the reconfigurable circuit,
The key length of the encryption key and the number of bits of the encryption or decryption block are registered.
【0017】この発明に係るパケット通信装置は、リコ
ンフィギャラブル回路から構成された処理実行手段の他
に、所定の暗号アルゴリズムを実行する固定ハードウェ
ア回路から構成された処理実行手段を備えるようにした
ものである。The packet communication apparatus according to the present invention is provided with a process executing means composed of a fixed hardware circuit for executing a predetermined cryptographic algorithm, in addition to the process executing means composed of a reconfigurable circuit. It is a thing.
【0018】この発明に係るパケット通信装置は、処理
実行手段が複数のリコンフィギャラブル回路から構成さ
れている場合、未実行中のリコンフィギャラブル回路を
選択して回路構成データを設定するようにしたものであ
る。In the packet communication device according to the present invention, when the processing execution means is composed of a plurality of reconfigurable circuits, the unconfigured reconfigurable circuit is selected to set the circuit configuration data. It is a thing.
【0019】この発明に係るパケット通信装置は、パケ
ットの通信相手と暗号アルゴリズムに関する情報を交換
して、実行する暗号アルゴリズムに対応する回路構成デ
ータをリコンフィギャラブル回路に設定するようにした
ものである。The packet communication device according to the present invention exchanges information regarding a cryptographic algorithm with a communication partner of a packet and sets circuit configuration data corresponding to the cryptographic algorithm to be executed in the reconfigurable circuit. .
【0020】この発明に係るパケット通信装置は、パケ
ット送信側の設定手段がリコンフィギャラブル回路を備
えている旨を示す識別子をパケット受信側の設定手段に
送信し、そのパケット受信側の設定手段からリコンフィ
ギャラブル回路を備えている旨の通知を受けると、実行
する暗号アルゴリズムに対応する回路構成データをパケ
ット受信側の設定手段に送信するようにしたものであ
る。In the packet communication device according to the present invention, an identifier indicating that the setting means on the packet transmitting side has a reconfigurable circuit is transmitted to the setting means on the packet receiving side, and the setting means on the packet receiving side transmits the identifier. Upon receiving the notification that the reconfigurable circuit is provided, the circuit configuration data corresponding to the encryption algorithm to be executed is transmitted to the setting means on the packet receiving side.
【0021】この発明に係るパケット通信装置は、パケ
ット受信側の設定手段が、パケット送信側の設定手段か
ら送信された回路構成データを受信し、その回路構成デ
ータをリコンフィギャラブル回路に設定するようにした
ものである。In the packet communication device according to the present invention, the setting means on the packet receiving side receives the circuit configuration data transmitted from the setting means on the packet transmitting side and sets the circuit configuration data in the reconfigurable circuit. It is the one.
【0022】この発明に係る暗号アルゴリズム設定方法
は、パケット送信側がリコンフィギャラブル回路を備え
ている旨を示す識別子をパケット受信側に送信する一
方、そのパケット受信側が当該識別子を受信してリコン
フィギャラブル回路を備えている旨の通知を返信する
と、パケット送信側が実行する暗号アルゴリズムに対応
する回路構成データをパケット受信側に送信し、そのパ
ケット受信側が当該回路構成データを受信してリコンフ
ィギャラブル回路に設定するようにしたものである。In the cryptographic algorithm setting method according to the present invention, the packet transmitting side transmits an identifier indicating that the packet transmitting side is provided with the reconfigurable circuit to the packet receiving side, and the packet receiving side receives the identifier and reconfigurable. When the notification that the circuit is provided is returned, the circuit configuration data corresponding to the encryption algorithm executed by the packet transmission side is transmitted to the packet reception side, and the packet reception side receives the circuit configuration data and sends it to the reconfigurable circuit. This is set.
【0023】この発明に係る暗号アルゴリズム設定方法
は、パケット送信側がリコンフィギャラブル暗号を示す
識別子をパケット受信側に送信する一方、そのパケット
受信側が当該識別子を受信してリコンフィギャラブル暗
号の使用が可能である旨の通知を返信すると、パケット
送信側が実行する暗号アルゴリズムをパケット受信側に
送信し、そのパケット受信側が当該暗号アルゴリズムを
受信して設定するようにしたものである。In the encryption algorithm setting method according to the present invention, the packet transmitting side transmits the identifier indicating the reconfigurable cipher to the packet receiving side, while the packet receiving side receives the identifier and can use the reconfigurable cipher. When the notification indicating that is sent back, the encryption algorithm executed by the packet transmission side is transmitted to the packet reception side, and the packet reception side receives and sets the encryption algorithm.
【0024】この発明に係る暗号アルゴリズム設定方法
は、パケット送信側から送信される暗号アルゴリズム
が、パケット受信側のスクリプト実行エンジンにより実
行されるスクリプトであるようにしたものである。In the encryption algorithm setting method according to the present invention, the encryption algorithm transmitted from the packet transmitting side is a script executed by the script executing engine on the packet receiving side.
【0025】この発明に係る暗号アルゴリズム設定方法
は、パケット送信側から送信される暗号アルゴリズム
が、パケット受信側のマイクロプロセッサにより実行さ
れるソフトウェアであるようにしたものである。The cryptographic algorithm setting method according to the present invention is such that the cryptographic algorithm transmitted from the packet transmitting side is software executed by the microprocessor on the packet receiving side.
【0026】[0026]
【発明の実施の形態】以下、この発明の実施の一形態を
説明する。
実施の形態1.図1はこの発明の実施の形態1によるパ
ケット通信装置を示す構成図であり、図において、21
は例えばネットワークセキュリティLSIであるパケッ
ト通信装置、31は通信相手が実行可能な暗号アルゴリ
ズムを示す情報等を格納するSAD、32はパケットの
送受信を実行するとともに、パケットの宛先又は送信元
を確認し、その宛先又は送信元に応じて暗号アルゴリズ
ムを決定する制御部(送信手段、受信手段)である。な
お、SAD31及び制御部32からアルゴリズム決定手
段が構成されている。BEST MODE FOR CARRYING OUT THE INVENTION An embodiment of the present invention will be described below. Embodiment 1. 1 is a block diagram showing a packet communication device according to a first embodiment of the present invention. In FIG.
Is a packet communication device which is, for example, a network security LSI, 31 is a SAD that stores information indicating an encryption algorithm that can be executed by a communication partner, 32 is a packet that is transmitted and received, and the destination or source of the packet is confirmed. A control unit (transmitting means, receiving means) that determines an encryption algorithm according to the destination or the sender. The SAD 31 and the control unit 32 constitute an algorithm determining means.
【0027】33,34は制御部32により決定された
暗号アルゴリズムを実行して、そのパケットに対する暗
号化処理又は復号化処理を行うリコンフィギャラブル回
路(処理実行手段)であり、リコンフィギャラブル回路
33,34は例えばFPGAやCPLDなどの技術を使
用して構成される。35,36は暗号鍵のキー長及び暗
号化ブロックのビット数やリコンフィギャラブル回路3
3,34の回路構成データを格納するメモリ、37はリ
コンフィギャラブル回路33,34の回路構成データを
設定する設定部(設定手段)、38は制御部32とリコ
ンフィギュラブル回路33,34間を接続し、暗号化の
対象となるパケットを伝送する暗号化回路バス、39は
制御部32、リコンフィギュラブル回路33,34、設
定部37及びメモリ35,36間を接続し、リコンフィ
ギャラブル回路33,34の回路構成データ等を伝送す
る設定バスである。Reference numerals 33 and 34 denote reconfigurable circuits (processing execution means) that execute the encryption algorithm determined by the control unit 32 to perform encryption processing or decryption processing on the packet. , 34 are configured using a technique such as FPGA or CPLD. Reference numerals 35 and 36 denote the key length of the encryption key, the number of bits of the encryption block, and the reconfigurable circuit 3.
A memory for storing the circuit configuration data of 3, 34, 37 is a setting unit (setting means) for setting the circuit configuration data of the reconfigurable circuits 33, 34, and 38 is between the control unit 32 and the reconfigurable circuits 33, 34. An encryption circuit bus for connecting and transmitting a packet to be encrypted, 39 is connected between the control unit 32, the reconfigurable circuits 33, 34, the setting unit 37, and the memories 35, 36, and the reconfigurable circuit 33 is connected. , 34 for transmitting circuit configuration data and the like.
【0028】なお、メモリ35,36としては、例え
ば、フラッシュメモリ、EEPROM、マスクROMな
どの不揮発性メモリや、RAMなどの揮発性メモリが使
用可能である。省面積化のためにメモリ35のようにL
SIに内蔵してもよいし、多くの暗号アルゴリズムを選
択して実装可能にするために、メモリ36のように外付
けとしてもよい。また、その両方を実装することによ
り、例えば、標準の暗号アルゴリズムを内部マスクRO
Mで固定的に保持し、オプションの暗号アルゴリズムを
外付けフラッシュメモリやコンパクトフラッシュ(R)
などのメモリカードで提供することも可能である。ま
た、図1の例では、パケット通信装置が2つのリコンフ
ィギャラブル回路を内蔵するものについて示している
が、これに限るものではなく、1つのリコンフィギャラ
ブル回路のみを内蔵していてもよいし、3以上のリコン
フィギャラブル回路を内蔵していてもよい。As the memories 35 and 36, for example, a non-volatile memory such as a flash memory, an EEPROM or a mask ROM, or a volatile memory such as a RAM can be used. L like memory 35 to save area
It may be built in the SI or may be externally attached like the memory 36 in order to select and implement many encryption algorithms. Further, by implementing both of them, for example, a standard cryptographic algorithm can be used as an internal mask RO.
It is fixedly held by M and the optional encryption algorithm is attached to external flash memory or compact flash (R).
It is also possible to provide with a memory card such as. Further, in the example of FIG. 1, the packet communication device includes two reconfigurable circuits. However, the packet communication device is not limited to this, and may include only one reconfigurable circuit. Three or more reconfigurable circuits may be incorporated.
【0029】次に動作について説明する。まず、パケッ
ト通信装置21が実行する暗号アルゴリズムの変更や追
加を行う場合、設定部37は、LSIがリセットされる
と、メモリ35又はメモリ36に格納されているリコン
フィギャラブル回路の回路構成データを取得する。な
お、回路構成データは、図2に示すように、対応する暗
号アルゴリズムを示す識別子、暗号鍵のキー長、暗号化
ブロックのビット数などの属性情報と一緒に格納されて
いる。Next, the operation will be described. First, when the encryption algorithm executed by the packet communication device 21 is changed or added, the setting unit 37 sets the circuit configuration data of the reconfigurable circuit stored in the memory 35 or the memory 36 when the LSI is reset. get. As shown in FIG. 2, the circuit configuration data is stored together with attribute information such as an identifier indicating the corresponding encryption algorithm, the key length of the encryption key, and the number of bits of the encrypted block.
【0030】そして、設定部37は、リコンフィギャラ
ブル回路の回路構成データを取得すると、その回路構成
データを例えばリコンフィギャラブル回路33に設定す
る。これにより、その回路構成データが例えば暗号アル
ゴリズムBの回路構成データであれば、以後、リコンフ
ィギャラブル回路33は、暗号アルゴリズムBの実行が
可能になる。When the setting unit 37 acquires the circuit configuration data of the reconfigurable circuit, it sets the circuit configuration data in the reconfigurable circuit 33, for example. As a result, if the circuit configuration data is, for example, the circuit configuration data of the encryption algorithm B, the reconfigurable circuit 33 can thereafter execute the encryption algorithm B.
【0031】なお、パケット通信装置21の制御部32
が通信動作を実行している場合、設定部37は、メモリ
35又はメモリ36から回路構成データを取得すると、
リコンフィギャラブル回路33,34のうち、現在実行
していない方のリコンフィギャラブル回路を選択し、そ
のリコンフィギャラブル回路に対して回路構成データを
設定する。The control unit 32 of the packet communication device 21
Is performing the communication operation, when the setting unit 37 acquires the circuit configuration data from the memory 35 or the memory 36,
Of the reconfigurable circuits 33 and 34, the reconfigurable circuit that is not being executed at present is selected, and the circuit configuration data is set for the reconfigurable circuit.
【0032】ここで、制御部32は、リコンフィギャラ
ブル回路33に対してパケットの暗号化処理や復号化処
理を依頼する際、暗号化回路バス38を介して、パケッ
トをリコンフィギャラブル回路33に転送するが、メモ
リ35又はメモリ36に格納されている暗号鍵のキー長
や暗号化ブロックのビット数の読み込みを行う。そし
て、仮に、暗号鍵のキー長や暗号化ブロックのビット数
が暗号化回路バス38のビット幅よりも大きいときに
は、複数回に分けて転送を行う。例えば、暗号化回路バ
ス38のビット幅が64ビットで、キー長が128ビッ
トの場合、暗号鍵を2回に分けて転送する。このことに
より、キー長やブロックのビット数が異なる任意の暗号
アルゴリズムをリコンフィギュラブル回路に実装するこ
とができる。Here, when the control unit 32 requests the reconfigurable circuit 33 to perform the encryption process or the decryption process of the packet, the control unit 32 sends the packet to the reconfigurable circuit 33 via the encryption circuit bus 38. Although transferred, the key length of the encryption key and the number of bits of the encrypted block stored in the memory 35 or the memory 36 are read. Then, if the key length of the encryption key or the number of bits of the encryption block is larger than the bit width of the encryption circuit bus 38, the transfer is performed in plural times. For example, if the bit width of the encryption circuit bus 38 is 64 bits and the key length is 128 bits, the encryption key is transferred twice. As a result, it is possible to implement an arbitrary cryptographic algorithm having a different key length or block bit number in the reconfigurable circuit.
【0033】次に、図3に示すように、標準的な暗号ア
ルゴリズムA(例えば、DES)の実行が可能なパケッ
ト通信装置21aが、暗号アルゴリズムAの実行が可能
なパケット通信装置21bにパケットを送信する場合の
動作を説明する(以下、動作例1と称する)。Next, as shown in FIG. 3, the packet communication device 21a capable of executing the standard encryption algorithm A (for example, DES) sends the packet to the packet communication device 21b capable of executing the encryption algorithm A. The operation of transmitting will be described (hereinafter, referred to as operation example 1).
【0034】まず、パケット通信装置21aの制御部3
2は、実行が可能な暗号アルゴリズムを受信側のパケッ
ト通信装置21bに認識させるため、暗号アルゴリズム
Aに割り当てられている識別子Aをパケット通信装置2
1bに送信する。パケット通信装置21bの制御部32
は、パケット通信装置21aから暗号アルゴリズムAの
識別子Aを受信すると、自身が暗号アルゴリズムAの実
行が可能であるため、暗号アルゴリズムAの使用を許可
する決定情報をパケット通信装置21aに送信するとと
もに、パケット通信装置21aのアドレス等と関連付け
て当該決定情報をSAD31に格納する。First, the control unit 3 of the packet communication device 21a
The packet communication device 2 uses the identifier A assigned to the encryption algorithm A in order to make the packet communication device 21b on the reception side recognize an executable encryption algorithm.
Send to 1b. Control unit 32 of packet communication device 21b
When receiving the identifier A of the cryptographic algorithm A from the packet communication device 21a, the device itself can execute the cryptographic algorithm A, and therefore transmits the determination information permitting the use of the cryptographic algorithm A to the packet communication device 21a. The determination information is stored in the SAD 31 in association with the address of the packet communication device 21a.
【0035】パケット通信装置21aの制御部32は、
パケット通信装置21bから暗号アルゴリズムAの使用
を許可する決定情報を受信すると、パケット通信装置2
1bのアドレス等と関連付けて当該決定情報をSAD3
1に格納する。そして、パケット通信装置21aの制御
部32は、パケット通信装置21bに送信する平文のパ
ケットを入力すると、そのパケットに付加されているア
ドレス等をキーにしてSAD31から決定情報を取得
し、その決定情報から使用する暗号アルゴリズムを認識
する。この例では、暗号アルゴリズムAを使用するもの
と認識する。The control unit 32 of the packet communication device 21a is
When the decision information for permitting the use of the encryption algorithm A is received from the packet communication device 21b, the packet communication device 2
SAD3 of the decision information in association with the address etc. of 1b.
Store in 1. Then, when the plaintext packet to be transmitted to the packet communication device 21b is input, the control unit 32 of the packet communication device 21a acquires the decision information from the SAD 31 using the address or the like added to the packet as a key, and the decision information Recognize the cryptographic algorithm used from. In this example, it is recognized that the encryption algorithm A is used.
【0036】パケット通信装置21aの制御部32は、
使用する暗号アルゴリズムが暗号アルゴリズムAである
ので、暗号アルゴリズムAの実行が可能なリコンフィギ
ュラブル回路(ここでは、説明の便宜上、リコンフィギ
ュラブル回路33が暗号アルゴリズムAを実行すること
ができるものとする)に対して平文のパケットを出力す
る。これにより、リコンフィギュラブル回路33は、暗
号アルゴリズムAを実行して、平文のパケットに対する
暗号化処理を実施し、暗号化後のパケットを制御部32
に出力する。パケット通信装置21aの制御部32は、
暗号化後のパケットをパケット通信装置21bに送信す
る。The control unit 32 of the packet communication device 21a is
Since the cryptographic algorithm used is the cryptographic algorithm A, the reconfigurable circuit capable of executing the cryptographic algorithm A (here, for convenience of description, the reconfigurable circuit 33 can execute the cryptographic algorithm A). ) To a plaintext packet. As a result, the reconfigurable circuit 33 executes the encryption algorithm A to perform the encryption process on the plaintext packet, and the encrypted packet is transferred to the control unit 32.
Output to. The control unit 32 of the packet communication device 21a
The encrypted packet is transmitted to the packet communication device 21b.
【0037】パケット通信装置21bの制御部32は、
パケット通信装置21aから暗号化後のパケットを受信
すると、そのパケットに付加されているアドレス等をキ
ーにしてSAD31から決定情報を取得し、その決定情
報から使用する暗号アルゴリズムを認識する。この例で
は、暗号アルゴリズムAを使用するものと認識する。The control unit 32 of the packet communication device 21b is
When the encrypted packet is received from the packet communication device 21a, the decision information is acquired from the SAD 31 using the address or the like added to the packet as a key, and the encryption algorithm to be used is recognized from the decision information. In this example, it is recognized that the encryption algorithm A is used.
【0038】パケット通信装置21bの制御部32は、
使用する暗号アルゴリズムが暗号アルゴリズムAである
ので、暗号アルゴリズムAの実行が可能なリコンフィギ
ュラブル回路(ここでは、説明の便宜上、リコンフィギ
ュラブル回路33が暗号アルゴリズムAを実行すること
ができるものとする)に対して暗号化後のパケットを出
力する。これにより、リコンフィギュラブル回路33
は、暗号アルゴリズムAを実行して、暗号化後のパケッ
トに対する復号化処理を実施し、平文のパケットを制御
部32に出力する。パケット通信装置21bの制御部3
2は、平文のパケットを外部出力する。The control unit 32 of the packet communication device 21b is
Since the cryptographic algorithm used is the cryptographic algorithm A, the reconfigurable circuit capable of executing the cryptographic algorithm A (here, for convenience of description, the reconfigurable circuit 33 can execute the cryptographic algorithm A). ) Output the encrypted packet. As a result, the reconfigurable circuit 33
Executes the encryption algorithm A, performs the decryption process on the encrypted packet, and outputs the plaintext packet to the control unit 32. Control unit 3 of packet communication device 21b
2 outputs a plaintext packet to the outside.
【0039】次に、図4に示すように、標準的な暗号ア
ルゴリズムAの実行が可能なパケット通信装置21a
が、暗号アルゴリズムAの回路構成データがリコンフィ
ギュラブル回路に対して未設定のパケット通信装置21
bにパケットを送信する場合の動作を説明する(以下、
動作例2と称する)。ただし、暗号アルゴリズムAは、
標準的な暗号(例えば、DES)であるため、メモリ3
5には予め暗号アルゴリズムAの回路構成データが格納
されているものとする。Next, as shown in FIG. 4, the packet communication device 21a capable of executing the standard cryptographic algorithm A.
However, the packet communication device 21 in which the circuit configuration data of the encryption algorithm A is not set in the reconfigurable circuit 21
The operation when a packet is transmitted to b will be described (hereinafter,
Operation example 2). However, the encryption algorithm A is
Memory 3 as standard encryption (eg DES)
It is assumed that the circuit configuration data of the encryption algorithm A is stored in advance in 5.
【0040】まず、パケット通信装置21aの制御部3
2は、実行が可能な暗号アルゴリズムを受信側のパケッ
ト通信装置21bに認識させるため、暗号アルゴリズム
Aに割り当てられている識別子Aをパケット通信装置2
1bに送信する。パケット通信装置21bの制御部32
は、パケット通信装置21aから暗号アルゴリズムAの
識別子Aを受信すると、内蔵するリコンフィギュラブル
回路33に暗号アルゴリズムAの回路構成データが設定
されていないため、暗号アルゴリズムAの回路構成デー
タの設定を設定部37に要求する。First, the control unit 3 of the packet communication device 21a
The packet communication device 2 uses the identifier A assigned to the encryption algorithm A in order to make the packet communication device 21b on the reception side recognize an executable encryption algorithm.
Send to 1b. Control unit 32 of packet communication device 21b
When the identifier A of the encryption algorithm A is received from the packet communication device 21a, the circuit configuration data of the encryption algorithm A is not set in the built-in reconfigurable circuit 33. Therefore, the setting of the circuit configuration data of the encryption algorithm A is set. Request to section 37.
【0041】これにより、パケット通信装置21bの設
定部37は、メモリ35から暗号アルゴリズムAの回路
構成データを取得し、その回路構成データをリコンフィ
ギュラブル回路33に設定する。パケット通信装置21
bの制御部32は、設定部37による回路構成データの
設定が完了すると、暗号アルゴリズムAの使用を許可す
る決定情報をパケット通信装置21aに送信するととも
に、パケット通信装置21aのアドレス等と関連付けて
当該決定情報をSAD31に格納する。As a result, the setting unit 37 of the packet communication device 21b acquires the circuit configuration data of the encryption algorithm A from the memory 35 and sets the circuit configuration data in the reconfigurable circuit 33. Packet communication device 21
When the setting of the circuit configuration data by the setting unit 37 is completed, the control unit 32 of b transmits the determination information permitting the use of the encryption algorithm A to the packet communication device 21a, and associates it with the address of the packet communication device 21a. The decision information is stored in the SAD 31.
【0042】パケット通信装置21aの制御部32は、
パケット通信装置21bから暗号アルゴリズムAの使用
を許可する決定情報を受信すると、パケット通信装置2
1bのアドレス等と関連付けて当該決定情報をSAD3
1に格納する。以下の通信動作は、上記の動作例1と同
様であるため説明を省略する。The control unit 32 of the packet communication device 21a is
When the decision information for permitting the use of the encryption algorithm A is received from the packet communication device 21b, the packet communication device 2
SAD3 of the decision information in association with the address etc. of 1b.
Store in 1. The subsequent communication operation is the same as that of the operation example 1 described above, and thus the description thereof is omitted.
【0043】次に、図5に示すように、標準的な暗号ア
ルゴリズムAと新たに考案された暗号アルゴリズムBの
実行が可能なパケット通信装置21aが、暗号アルゴリ
ズムAの実行が可能なパケット通信装置21bにパケッ
トを送信する場合の動作を説明する(以下、動作例3と
称する)。ただし、暗号アルゴリズムBは、新たに考案
された暗号であるため、メモリ35には暗号アルゴリズ
ムBの回路構成データが格納されていないものとする。Next, as shown in FIG. 5, the packet communication device 21a capable of executing the standard encryption algorithm A and the newly devised encryption algorithm B is a packet communication device capable of executing the encryption algorithm A. The operation of transmitting a packet to 21b will be described (hereinafter, referred to as operation example 3). However, since the encryption algorithm B is a newly devised encryption, it is assumed that the circuit configuration data of the encryption algorithm B is not stored in the memory 35.
【0044】まず、パケット通信装置21aの制御部3
2は、実行が可能な暗号アルゴリズムを受信側のパケッ
ト通信装置21bに認識させるため、暗号アルゴリズム
Aに割り当てられている識別子Aと、自身がリコンフィ
ギュラブル回路を備えている旨を示す識別子R(また
は、リコンフィギュラブル暗号の使用が可能である旨を
示す識別子)をパケット通信装置21bに送信する。パ
ケット通信装置21bの制御部32は、パケット通信装
置21aから暗号アルゴリズムAの識別子Aの他に識別
子Rを受信すると、自身もリコンフィギュラブル回路を
備えている旨の応答R(または、自身もリコンフィギュ
ラブル暗号の使用が可能である旨の応答)をパケット通
信装置21aに送信する。First, the control unit 3 of the packet communication device 21a
In order to make the packet communication device 21b on the receiving side recognize an executable cryptographic algorithm, the identifier 2 assigns the identifier A assigned to the cryptographic algorithm A and the identifier R (indicating that the self-configurable circuit is provided. Alternatively, an identifier indicating that the reconfigurable encryption can be used is transmitted to the packet communication device 21b. Upon receiving the identifier R in addition to the identifier A of the cryptographic algorithm A from the packet communication device 21a, the control unit 32 of the packet communication device 21b responds to the fact that the control unit 32 itself also includes the reconfigurable circuit (or the reconfigurable circuit itself). A response indicating that the figurable cipher can be used) is transmitted to the packet communication device 21a.
【0045】ただし、パケット通信装置21bがリコン
フィギュラブル回路を備えていない場合には、暗号アル
ゴリズムAの使用を許可する決定情報をパケット通信装
置21aに送信する。この場合、以下の通信動作は、上
記の動作例1と同様であるため説明を省略する。However, if the packet communication device 21b does not have a reconfigurable circuit, the decision information permitting the use of the encryption algorithm A is transmitted to the packet communication device 21a. In this case, the following communication operation is the same as that of the operation example 1 described above, and thus the description thereof is omitted.
【0046】パケット通信装置21aの制御部32は、
パケット通信装置21bから自身もリコンフィギュラブ
ル回路を備えている旨の応答Rを受信すると、新たに考
案された暗号の使用を可能にするため、暗号アルゴリズ
ムBの回路構成データをパケット通信装置21bに送信
する。パケット通信装置21bの制御部32は、パケッ
ト通信装置21aから暗号アルゴリズムBの回路構成デ
ータを受信すると、暗号アルゴリズムBの回路構成デー
タを空いているリコンフィギュラブル回路(例えば、リ
コンフィギュラブル回路34)に設定する。The control unit 32 of the packet communication device 21a is
When receiving a response R from the packet communication device 21b indicating that the packet communication device 21b itself has a reconfigurable circuit, the circuit configuration data of the encryption algorithm B is sent to the packet communication device 21b to enable the use of the newly devised cipher. Send. When the control unit 32 of the packet communication device 21b receives the circuit configuration data of the encryption algorithm B from the packet communication device 21a, the reconfigurable circuit that has the circuit configuration data of the encryption algorithm B empty (for example, the reconfigurable circuit 34). Set to.
【0047】なお、空いているリコンフィギュラブル回
路が無い場合には、例えば、最も使用頻度の低い暗号ア
ルゴリズムの回路構成データを実装するリコンフィギュ
ラブル回路を無効化するなど、一般的に考えられる無効
化アルゴリズムに従って、いずれか一つのリコンフィギ
ュラブル回路を強制的に空きにして使用できるようにす
る。When there is no free reconfigurable circuit, it is generally considered that the reconfigurable circuit that implements the circuit configuration data of the cryptographic algorithm that is least frequently used is invalidated. One of the reconfigurable circuits is forcibly emptied to be used according to the conversion algorithm.
【0048】パケット通信装置21bの制御部32は、
回路構成データの設定が完了すると、暗号アルゴリズム
Bの使用を許可する決定情報をパケット通信装置21a
に送信するとともに、パケット通信装置21aのアドレ
ス等と関連付けて当該決定情報をSAD31に格納す
る。The control unit 32 of the packet communication device 21b is
When the setting of the circuit configuration data is completed, the decision information for permitting the use of the encryption algorithm B is sent to the packet communication device 21a
And the decision information is stored in the SAD 31 in association with the address of the packet communication device 21a and the like.
【0049】パケット通信装置21aの制御部32は、
パケット通信装置21bから暗号アルゴリズムBの使用
を許可する決定情報を受信すると、パケット通信装置2
1bのアドレス等と関連付けて当該決定情報をSAD3
1に格納する。以下の通信動作は、上記の動作例1と同
様であるため説明を省略する。The control unit 32 of the packet communication device 21a is
When the decision information for permitting the use of the encryption algorithm B is received from the packet communication device 21b, the packet communication device 2
SAD3 of the decision information in association with the address etc. of 1b.
Store in 1. The subsequent communication operation is the same as that of the operation example 1 described above, and thus the description thereof is omitted.
【0050】以上で明らかなように、この実施の形態1
によれば、リコンフィギャラブル回路33,34の回路
構成データを設定する設定部37を設けるように構成し
たので、暗号アルゴリズムの追加や変更を簡単に行うこ
とができる効果がある。また、送信側と受信側が一対一
の通信によって暗号アルゴリズムの回路構成データを伝
送し、従来例のようにデータベースに暗号アルゴリズム
を登録する必要がないので、暗号アルゴリズムの秘匿性
を確保することができる効果がある。なお、リコンフィ
ギャラブル回路33,34はハードウェアであるので、
従来のスクリプト実行エンジンのような処理速度の遅延
が問題になることはない。As is clear from the above, the first embodiment
According to this configuration, since the setting unit 37 for setting the circuit configuration data of the reconfigurable circuits 33 and 34 is provided, there is an effect that the encryption algorithm can be easily added or changed. Further, since the transmitting side and the receiving side transmit the circuit configuration data of the cryptographic algorithm by one-to-one communication and do not need to register the cryptographic algorithm in the database as in the conventional example, the confidentiality of the cryptographic algorithm can be secured. effective. Since the reconfigurable circuits 33 and 34 are hardware,
The delay in processing speed unlike the conventional script execution engine does not pose a problem.
【0051】この実施の形態1では、特に言及していな
いが、複数のパケット通信装置がネットワークに接続さ
れているような場合には、複数のパケット通信装置に対
してIPアドレスを割り振り、送信側がパケットにIP
アドレスを付加して送信する際、そのパケットに暗号ア
ルゴリズムの回路構成データを含めて送信し、受信側が
当該回路構成データをメモリ35に格納するようにす
る。これにより、あるパケット通信装置が他のパケット
通信装置に対して、暗号アルゴリズムの追加を行うこと
ができる。In the first embodiment, although not particularly mentioned, if a plurality of packet communication devices are connected to the network, IP addresses are assigned to the plurality of packet communication devices and the transmitting side IP to packet
When an address is added and transmitted, the packet includes the circuit configuration data of the encryption algorithm and is transmitted, and the receiving side stores the circuit configuration data in the memory 35. This allows one packet communication device to add an encryption algorithm to another packet communication device.
【0052】実施の形態2.上記実施の形態1では、特
に言及していないが、実行可能な暗号アルゴリズムを示
す識別子や暗号アルゴリズムの回路構成データ等を伝送
する際、その識別子や回路構成データを例えば標準的な
暗号化アルゴリズムによって暗号化して伝送するように
してもよい。また、上記実施の形態1では、暗号アルゴ
リズムの回路構成データを設定するものについて示した
が、送信側が暗号鍵のキー長や暗号化ブロックのビット
数等の属性情報を受信側に送信し、その属性情報を受信
側のメモリ35に格納するようにしてもよい。これによ
り、暗号鍵のキー長や暗号化ブロックのビット数等も変
更することができる。Embodiment 2. Although not particularly mentioned in the first embodiment, when transmitting the identifier indicating the executable encryption algorithm or the circuit configuration data of the encryption algorithm, the identifier and the circuit configuration data are transmitted by, for example, a standard encryption algorithm. It may be encrypted and transmitted. In the first embodiment, the circuit configuration data of the encryption algorithm is set. However, the transmitting side transmits attribute information such as the key length of the encryption key and the number of bits of the encrypted block to the receiving side, The attribute information may be stored in the memory 35 on the receiving side. As a result, the key length of the encryption key, the number of bits of the encryption block, etc. can be changed.
【0053】実施の形態3.図6はこの発明の実施の形
態3によるパケット通信装置を示す構成図であり、図に
おいて、図1と同一符号は同一または相当部分を示すの
で説明を省略する。40は所定の暗号アルゴリズムを実
行する固定ハードウェア回路である暗号処理回路(処理
実行手段)である。Embodiment 3. 6 is a configuration diagram showing a packet communication device according to a third embodiment of the present invention. In the figure, the same reference numerals as those in FIG. Reference numeral 40 denotes a cryptographic processing circuit (processing executing means) that is a fixed hardware circuit that executes a predetermined cryptographic algorithm.
【0054】次に動作について説明する。上記実施の形
態1では、複数のリコンフィギャラブル回路を搭載する
ものについて示したが、図6に示すように、リコンフィ
ギャラブル回路34の他に暗号処理回路40を搭載する
ようにしてもよい。これにより、IPSEC等の規格に
て実装することが必須となっている暗号アルゴリズムを
最小のハードウェア量で実装することが可能となり(当
該暗号アルゴリズムを暗号処理回路40に実装する)、
低コスト化を実現することができる効果を奏する。Next, the operation will be described. In the above-described first embodiment, the case where a plurality of reconfigurable circuits are mounted has been described, but as shown in FIG. 6, the cryptographic processing circuit 40 may be mounted in addition to the reconfigurable circuit 34. As a result, it becomes possible to implement the cryptographic algorithm that is essential to be implemented in the standard such as IPSEC with the minimum amount of hardware (implement the cryptographic algorithm in the cryptographic processing circuit 40).
This has the effect of realizing cost reduction.
【0055】実施の形態4.上記実施の形態1では、暗
号アルゴリズムの回路構成データを送信するものについ
て示したが、図7に示すように、受信側であるパケット
通信装置21bのスクリプト実行エンジンが暗号アルゴ
リズムを実行する場合には、送信側であるパケット通信
装置21aから送信される暗号アルゴリズムが、そのス
クリプト実行エンジンにより実行されるスクリプトであ
るようにしてもよい。これにより、スクリプト方式のパ
ケット通信装置においても、上記実施の形態1と同様の
効果を奏することができる。Fourth Embodiment In the first embodiment, the circuit configuration data of the cryptographic algorithm is transmitted, but as shown in FIG. 7, when the script execution engine of the packet communication device 21b on the receiving side executes the cryptographic algorithm. The encryption algorithm transmitted from the packet communication device 21a on the transmission side may be a script executed by the script execution engine. As a result, the same effect as that of the first embodiment can be achieved in the script-based packet communication device.
【0056】実施の形態5.上記実施の形態1では、暗
号アルゴリズムの回路構成データを送信するものについ
て示したが、図8に示すように、受信側であるパケット
通信装置21bのマイクロプロセッサが暗号アルゴリズ
ムを実行する場合には、送信側であるパケット通信装置
21aから送信される暗号アルゴリズムが、そのマイク
ロプロセッサにより実行されるソフトウェアであるよう
にしてもよい。これにより、マイクロプロセッサによる
ソフトウェア方式のパケット通信装置においても、上記
実施の形態1と同様の効果を奏することができる。Embodiment 5. In the first embodiment, the circuit configuration data of the cryptographic algorithm is transmitted. However, as shown in FIG. 8, when the microprocessor of the packet communication device 21b on the receiving side executes the cryptographic algorithm, The cryptographic algorithm transmitted from the packet communication device 21a on the transmission side may be software executed by the microprocessor. As a result, even in a software-based packet communication device using a microprocessor, the same effects as those of the first embodiment can be obtained.
【0057】[0057]
【発明の効果】以上のように、この発明によれば、パケ
ットを暗号化して送信するに際して、リコンフィギャラ
ブル回路の回路構成データを設定する設定手段を設ける
ように構成したので、暗号アルゴリズムの追加や変更を
簡単に行うことができる効果がある。As described above, according to the present invention, when the packet is encrypted and transmitted, the setting means for setting the circuit configuration data of the reconfigurable circuit is provided, so that the encryption algorithm is added. The effect is that you can easily make changes.
【0058】この発明によれば、パケットを受信して復
号化するに際して、リコンフィギャラブル回路の回路構
成データを設定する設定手段を設けるように構成したの
で、暗号アルゴリズムの追加や変更を簡単に行うことが
できる効果がある。According to the present invention, when the packet is received and decrypted, the setting means for setting the circuit configuration data of the reconfigurable circuit is provided, so that the encryption algorithm can be easily added or changed. There is an effect that can be.
【0059】この発明によれば、リコンフィギャラブル
回路の回路構成データを設定する際、暗号鍵のキー長及
び暗号化又は復号化ブロックのビット数を登録するよう
に構成したので、暗号鍵のキー長や暗号化又は復号化ブ
ロックのビット数についても簡単に追加や変更を行うこ
とができる効果がある。According to the present invention, when the circuit configuration data of the reconfigurable circuit is set, the key length of the encryption key and the number of bits of the encryption or decryption block are registered, so that the key of the encryption key is registered. There is an effect that the length and the number of bits of the encryption or decryption block can be easily added or changed.
【0060】この発明によれば、リコンフィギャラブル
回路から構成された処理実行手段の他に、所定の暗号ア
ルゴリズムを実行する固定ハードウェア回路から構成さ
れた処理実行手段を備えるように構成したので、低コス
ト化を実現することができる効果がある。According to the present invention, in addition to the processing executing means composed of the reconfigurable circuit, the processing executing means composed of a fixed hardware circuit for executing a predetermined encryption algorithm is provided. There is an effect that the cost can be reduced.
【0061】この発明によれば、処理実行手段が複数の
リコンフィギャラブル回路から構成されている場合、未
実行中のリコンフィギャラブル回路を選択して回路構成
データを設定するように構成したので、パケットの通信
動作中であっても、リコンフィギャラブル回路の回路構
成データを設定することができる効果がある。According to the present invention, when the processing executing means is composed of a plurality of reconfigurable circuits, the reconfigurable circuit that has not been executed is selected and the circuit configuration data is set. Even during the packet communication operation, the circuit configuration data of the reconfigurable circuit can be set.
【0062】この発明によれば、パケットの通信相手と
暗号アルゴリズムに関する情報を交換して、実行する暗
号アルゴリズムに対応する回路構成データをリコンフィ
ギャラブル回路に設定するように構成したので、通信相
手と合意の上で新たな暗号アルゴリズムの実行を可能に
することができる効果がある。According to the present invention, the information about the encryption algorithm is exchanged with the communication partner of the packet, and the circuit configuration data corresponding to the encryption algorithm to be executed is set in the reconfigurable circuit. There is an effect that it is possible to execute a new cryptographic algorithm consensually.
【0063】この発明によれば、パケット送信側の設定
手段がリコンフィギャラブル回路を備えている旨を示す
識別子をパケット受信側の設定手段に送信し、そのパケ
ット受信側の設定手段からリコンフィギャラブル回路を
備えている旨の通知を受けると、実行する暗号アルゴリ
ズムに対応する回路構成データをパケット受信側の設定
手段に送信するように構成したので、新たな暗号アルゴ
リズムの実行を可能にすることができる効果がある。According to the present invention, the identifier indicating that the setting means on the packet transmitting side has the reconfigurable circuit is transmitted to the setting means on the packet receiving side, and the setting means on the packet receiving side reconfigurable. When the notification that the circuit is provided is received, the circuit configuration data corresponding to the encryption algorithm to be executed is transmitted to the setting means on the packet receiving side, so that the new encryption algorithm can be executed. There is an effect that can be done.
【0064】この発明によれば、パケット受信側の設定
手段が、パケット送信側の設定手段から送信された回路
構成データを受信し、その回路構成データをリコンフィ
ギャラブル回路に設定するように構成したので、新たな
暗号アルゴリズムの実行を可能にすることができる効果
がある。According to the present invention, the setting means on the packet receiving side receives the circuit configuration data transmitted from the setting means on the packet transmitting side and sets the circuit configuration data in the reconfigurable circuit. Therefore, there is an effect that a new cryptographic algorithm can be executed.
【0065】この発明によれば、パケット送信側がリコ
ンフィギャラブル回路を備えている旨を示す識別子をパ
ケット受信側に送信する一方、そのパケット受信側が当
該識別子を受信してリコンフィギャラブル回路を備えて
いる旨の通知を返信すると、パケット送信側が実行する
暗号アルゴリズムに対応する回路構成データをパケット
受信側に送信し、そのパケット受信側が当該回路構成デ
ータを受信してリコンフィギャラブル回路に設定するよ
うに構成したので、暗号アルゴリズムの追加や変更を簡
単に行うことができる効果がある。According to the present invention, while the packet transmitting side transmits the identifier indicating that the packet transmitting side has the reconfigurable circuit to the packet receiving side, the packet receiving side receives the identifier and has the reconfigurable circuit. When the notification indicating that the packet is transmitted is returned, the circuit configuration data corresponding to the encryption algorithm executed by the packet transmission side is transmitted to the packet reception side, and the packet reception side receives the circuit configuration data and sets it in the reconfigurable circuit. Since it is configured, there is an effect that the encryption algorithm can be easily added or changed.
【0066】この発明によれば、パケット送信側がリコ
ンフィギャラブル暗号を示す識別子をパケット受信側に
送信する一方、そのパケット受信側が当該識別子を受信
してリコンフィギャラブル暗号の使用が可能である旨の
通知を返信すると、パケット送信側が実行する暗号アル
ゴリズムをパケット受信側に送信し、そのパケット受信
側が当該暗号アルゴリズムを受信して設定するように構
成したので、暗号アルゴリズムの追加や変更を簡単に行
うことができる効果がある。According to the present invention, the packet transmitting side transmits the identifier indicating the reconfigurable cipher to the packet receiving side, while the packet receiving side receives the identifier and can use the reconfigurable cipher. When the notification is sent back, the encryption algorithm executed by the packet sender is sent to the packet receiver, and the packet receiver receives and sets the encryption algorithm, so it is easy to add or change the encryption algorithm. There is an effect that can be.
【0067】この発明によれば、パケット送信側から送
信される暗号アルゴリズムが、パケット受信側のスクリ
プト実行エンジンにより実行されるスクリプトであるよ
うに構成したので、スクリプト方式のパケット通信装置
においても、暗号アルゴリズムの追加や変更を簡単に行
うことができる効果がある。According to the present invention, the encryption algorithm transmitted from the packet transmitting side is configured to be a script executed by the script executing engine on the packet receiving side. This has the effect of easily adding or changing the algorithm.
【0068】この発明によれば、パケット送信側から送
信される暗号アルゴリズムが、パケット受信側のマイク
ロプロセッサにより実行されるソフトウェアであるよう
に構成したので、マイクロプロセッサによるソフトウェ
ア方式のパケット通信装置においても、暗号アルゴリズ
ムの追加や変更を簡単に行うことができる効果がある。According to the present invention, since the encryption algorithm transmitted from the packet transmitting side is software executed by the microprocessor on the packet receiving side, even in the software type packet communication device by the microprocessor. , It is effective to easily add or change the encryption algorithm.
【図1】 この発明の実施の形態1によるパケット通信
装置を示す構成図である。FIG. 1 is a configuration diagram showing a packet communication device according to a first embodiment of the present invention.
【図2】 メモリの格納内容を示す説明図である。FIG. 2 is an explanatory diagram showing storage contents of a memory.
【図3】 パケット通信装置間のプロトコルを示す処理
フロー図である。FIG. 3 is a process flow diagram showing a protocol between packet communication devices.
【図4】 パケット通信装置間のプロトコルを示す処理
フロー図である。FIG. 4 is a process flow diagram showing a protocol between packet communication devices.
【図5】 パケット通信装置間のプロトコルを示す処理
フロー図である。FIG. 5 is a process flow diagram showing a protocol between packet communication devices.
【図6】 この発明の実施の形態3によるパケット通信
装置を示す構成図である。FIG. 6 is a configuration diagram showing a packet communication device according to a third embodiment of the present invention.
【図7】 パケット通信装置間のプロトコルを示す処理
フロー図である。FIG. 7 is a process flow diagram showing a protocol between packet communication devices.
【図8】 パケット通信装置間のプロトコルを示す処理
フロー図である。FIG. 8 is a process flow diagram showing a protocol between packet communication devices.
【図9】 従来のパケット通信装置を示す構成図であ
る。FIG. 9 is a configuration diagram showing a conventional packet communication device.
【図10】 パケット通信装置間のプロトコルを示す処
理フロー図である。FIG. 10 is a process flow diagram showing a protocol between packet communication devices.
1 パケット通信装置、11 SAD、12 制御部、
13 暗号処理回路、14 暗号処理回路、21,21
a,21b パケット通信装置、31 SAD(アルゴ
リズム決定手段)、32 制御部(送信手段、受信手
段、アルゴリズム決定手段)、33,34 リコンフィ
ギャラブル回路(処理実行手段)、35,36 メモ
リ、37 設定部(設定手段)、38 暗号化回路バ
ス、39 設定バス、40 暗号処理回路(処理実行手
段)。1 packet communication device, 11 SAD, 12 control unit,
13 cryptographic processing circuit, 14 cryptographic processing circuit, 21, 21
a, 21b Packet communication device, 31 SAD (algorithm determining means), 32 Control unit (transmitting means, receiving means, algorithm determining means), 33, 34 Reconfigurable circuit (processing executing means), 35, 36 memory, 37 Setting Part (setting means), 38 encryption circuit bus, 39 setting bus, 40 encryption processing circuit (processing execution means).
Claims (12)
じて暗号アルゴリズムを決定するアルゴリズム決定手段
と、上記アルゴリズム決定手段により決定された暗号ア
ルゴリズムを実行して、そのパケットに対する暗号化処
理を行う処理実行手段と、上記処理実行手段による暗号
化後のパケットを送信する送信手段とを備えたパケット
通信装置において、リコンフィギャラブル回路を用いて
上記処理実行手段を構成し、上記リコンフィギャラブル
回路の回路構成データを設定する設定手段を設けたこと
を特徴とするパケット通信装置。1. An encryption processing for a packet is performed by confirming a destination of a packet and executing an algorithm determining means for determining an encryption algorithm according to the destination, and an encryption algorithm determined by the algorithm determining means. In a packet communication device comprising a processing execution means and a transmission means for transmitting a packet after being encrypted by the processing execution means, the processing execution means is configured by using a reconfigurable circuit, and the reconfigurable circuit A packet communication device comprising a setting means for setting circuit configuration data.
段と、上記受信手段により受信されたパケットの送信元
を確認し、その送信元に応じて暗号アルゴリズムを決定
するアルゴリズム決定手段と、上記アルゴリズム決定手
段により決定された暗号アルゴリズムを実行して、その
パケットに対する復号化処理を行う処理実行手段とを備
えたパケット通信装置において、リコンフィギャラブル
回路を用いて上記処理実行手段を構成し、上記リコンフ
ィギャラブル回路の回路構成データを設定する設定手段
を設けたことを特徴とするパケット通信装置。2. A receiving means for receiving an encrypted packet, an algorithm determining means for confirming a sender of the packet received by the receiving means, and determining an encryption algorithm according to the sender, and the algorithm. In a packet communication device including a process executing unit that executes the encryption algorithm determined by the determining unit and performs a decryption process for the packet, the process executing unit is configured by using a reconfigurable circuit, and the reconfigurable unit is configured. A packet communication device comprising a setting means for setting circuit configuration data of a figurable circuit.
の回路構成データを設定する際、暗号鍵のキー長及び暗
号化又は復号化ブロックのビット数を登録することを特
徴とする請求項1または請求項2記載のパケット通信装
置。3. The setting means registers the key length of the encryption key and the number of bits of the encryption or decryption block when setting the circuit configuration data of the reconfigurable circuit. Item 2. The packet communication device according to item 2.
た処理実行手段の他に、所定の暗号アルゴリズムを実行
する固定ハードウェア回路から構成された処理実行手段
を備えていることを特徴とする請求項1または請求項2
記載のパケット通信装置。4. A process executing means composed of a fixed hardware circuit for executing a predetermined cryptographic algorithm in addition to the process executing means composed of a reconfigurable circuit. Or claim 2
The packet communication device described.
ンフィギャラブル回路から構成されている場合、未実行
中のリコンフィギャラブル回路を選択して回路構成デー
タを設定することを特徴とする請求項1または請求項2
記載のパケット通信装置。5. The setting means sets the circuit configuration data by selecting an unexecuted reconfigurable circuit when the processing execution means is composed of a plurality of reconfigurable circuits. Item 1 or claim 2
The packet communication device described.
アルゴリズムに関する情報を交換して、実行する暗号ア
ルゴリズムに対応する回路構成データをリコンフィギャ
ラブル回路に設定することを特徴とする請求項1から請
求項5のうちのいずれか1項記載のパケット通信装置。6. The setting means exchanges information about a cryptographic algorithm with a communication partner of a packet, and sets circuit configuration data corresponding to the cryptographic algorithm to be executed in the reconfigurable circuit. The packet communication device according to claim 5.
ィギャラブル回路を備えている旨を示す識別子をパケッ
ト受信側の設定手段に送信し、そのパケット受信側の設
定手段からリコンフィギャラブル回路を備えている旨の
通知を受けると、実行する暗号アルゴリズムに対応する
回路構成データをパケット受信側の設定手段に送信する
ことを特徴とする請求項6記載のパケット通信装置。7. The setting means on the packet transmitting side transmits an identifier indicating that the reconfigurable circuit is provided to the setting means on the packet receiving side, and the setting means on the packet receiving side is provided with the reconfigurable circuit. 7. The packet communication device according to claim 6, wherein when the notification indicating that the packet is transmitted is received, the circuit configuration data corresponding to the encryption algorithm to be executed is transmitted to the setting means on the packet receiving side.
送信側の設定手段から送信された回路構成データを受信
し、その回路構成データをリコンフィギャラブル回路に
設定することを特徴とする請求項7記載のパケット通信
装置。8. The setting means on the packet receiving side receives the circuit configuration data transmitted from the setting means on the packet transmitting side, and sets the circuit configuration data in the reconfigurable circuit. The packet communication device described.
回路を備えている旨を示す識別子をパケット受信側に送
信する一方、そのパケット受信側が当該識別子を受信し
てリコンフィギャラブル回路を備えている旨の通知を返
信すると、上記パケット送信側が実行する暗号アルゴリ
ズムに対応する回路構成データを上記パケット受信側に
送信し、そのパケット受信側が当該回路構成データを受
信してリコンフィギャラブル回路に設定する暗号アルゴ
リズム設定方法。9. A notification that a packet transmitting side transmits an identifier indicating that it has a reconfigurable circuit to the packet receiving side, while the packet receiving side receives the identifier and has a reconfigurable circuit. In response to the above, the circuit configuration data corresponding to the encryption algorithm executed by the packet transmission side is transmitted to the packet reception side, and the packet reception side receives the circuit configuration data and sets it in the reconfigurable circuit. .
ル暗号を示す識別子をパケット受信側に送信する一方、
そのパケット受信側が当該識別子を受信してリコンフィ
ギャラブル暗号の使用が可能である旨の通知を返信する
と、上記パケット送信側が実行する暗号アルゴリズムを
上記パケット受信側に送信し、そのパケット受信側が当
該暗号アルゴリズムを受信して設定する暗号アルゴリズ
ム設定方法。10. The packet transmitting side transmits an identifier indicating the reconfigurable cipher to the packet receiving side,
When the packet receiver receives the identifier and returns a notification that the reconfigurable cipher can be used, it sends the encryption algorithm executed by the packet sender to the packet receiver, and the packet receiver receives the cipher. Cryptographic algorithm setting method that receives and sets the algorithm.
ルゴリズムが、パケット受信側のスクリプト実行エンジ
ンにより実行されるスクリプトであることを特徴とする
請求項10記載の暗号アルゴリズム設定方法。11. The cryptographic algorithm setting method according to claim 10, wherein the cryptographic algorithm transmitted from the packet transmission side is a script executed by a script execution engine on the packet reception side.
ルゴリズムが、パケット受信側のマイクロプロセッサに
より実行されるソフトウェアであることを特徴とする請
求項10記載の暗号アルゴリズム設定方法。12. The cryptographic algorithm setting method according to claim 10, wherein the cryptographic algorithm transmitted from the packet transmitting side is software executed by a microprocessor on the packet receiving side.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001390165A JP2003198530A (en) | 2001-12-21 | 2001-12-21 | Packet communication device and encryption algorithm setting method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001390165A JP2003198530A (en) | 2001-12-21 | 2001-12-21 | Packet communication device and encryption algorithm setting method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003198530A true JP2003198530A (en) | 2003-07-11 |
Family
ID=27598173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001390165A Abandoned JP2003198530A (en) | 2001-12-21 | 2001-12-21 | Packet communication device and encryption algorithm setting method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003198530A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005067199A1 (en) * | 2003-12-26 | 2005-07-21 | Mitsubishi Denki Kabushiki Kaisha | Authenticatee device, authenticator device, and authentication method |
| JP2006196988A (en) * | 2005-01-11 | 2006-07-27 | National Institute Of Advanced Industrial & Technology | Electronic media communication device |
| WO2006109738A1 (en) * | 2005-04-07 | 2006-10-19 | Matsushita Electric Industrial Co., Ltd. | Circuit building device |
| JP2007013856A (en) * | 2005-07-04 | 2007-01-18 | Mitsubishi Electric Corp | Table device and address search device using it |
| WO2009075336A1 (en) * | 2007-12-12 | 2009-06-18 | National University Corporation Tokyo University Of Agriculture And Technology | Information processor, communication card and information processing method |
| US7958353B2 (en) | 2005-04-25 | 2011-06-07 | Panasonic Corporation | Information security device |
-
2001
- 2001-12-21 JP JP2001390165A patent/JP2003198530A/en not_active Abandoned
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005067199A1 (en) * | 2003-12-26 | 2005-07-21 | Mitsubishi Denki Kabushiki Kaisha | Authenticatee device, authenticator device, and authentication method |
| JPWO2005067199A1 (en) * | 2003-12-26 | 2007-07-26 | 三菱電機株式会社 | Authentication device, authentication device, and authentication method |
| JP4567603B2 (en) * | 2003-12-26 | 2010-10-20 | 三菱電機株式会社 | Authentication device, authentication device, and authentication method |
| US8422672B2 (en) | 2003-12-26 | 2013-04-16 | Mitsubishi Electric Corporation | Authenticated device, authenticating device and authenticating method |
| JP2006196988A (en) * | 2005-01-11 | 2006-07-27 | National Institute Of Advanced Industrial & Technology | Electronic media communication device |
| JP4665159B2 (en) * | 2005-01-11 | 2011-04-06 | 独立行政法人産業技術総合研究所 | Electronic media communication device |
| WO2006109738A1 (en) * | 2005-04-07 | 2006-10-19 | Matsushita Electric Industrial Co., Ltd. | Circuit building device |
| US8452985B2 (en) | 2005-04-07 | 2013-05-28 | Panasonic Corporation | Circuit building device |
| US7958353B2 (en) | 2005-04-25 | 2011-06-07 | Panasonic Corporation | Information security device |
| JP2007013856A (en) * | 2005-07-04 | 2007-01-18 | Mitsubishi Electric Corp | Table device and address search device using it |
| JP4588560B2 (en) * | 2005-07-04 | 2010-12-01 | 三菱電機株式会社 | Table device and address search device using the same |
| WO2009075336A1 (en) * | 2007-12-12 | 2009-06-18 | National University Corporation Tokyo University Of Agriculture And Technology | Information processor, communication card and information processing method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3992579B2 (en) | Key exchange proxy network system | |
| CN101299665B (en) | Message processing method, system and apparatus | |
| Lu et al. | Ipsec implementation on xilinx virtex-ii pro fpga and its application | |
| JP5933371B2 (en) | Network relay device and program | |
| CN106209401B (en) | A kind of transmission method and device | |
| JP2002312146A (en) | Client device and network printing system | |
| CN109905310B (en) | Data transmission method and device and electronic equipment | |
| JP5601067B2 (en) | Relay device | |
| JP2003198530A (en) | Packet communication device and encryption algorithm setting method | |
| CN113206815B (en) | Method for encryption and decryption, programmable switch and computer readable storage medium | |
| JP4933286B2 (en) | Encrypted packet communication system | |
| JP2006041726A (en) | Shared key replacing system, shared key replacing method and method program | |
| US11677727B2 (en) | Low-latency MACsec authentication | |
| JP2004328359A (en) | Packet processor | |
| JP2010081108A (en) | Communication relay device, information processor, program and communication system | |
| WO2021029173A1 (en) | Communication system | |
| JP6636964B2 (en) | Gateway device and gateway system | |
| JPH11239184A (en) | Switching hub | |
| JPH11243388A (en) | Cipher communication system | |
| CN117254976B (en) | National standard IPsec VPN realization method, device and system based on VPP and electronic equipment | |
| CN114553633B (en) | Tunnel negotiation method and device | |
| US20230403137A1 (en) | Computer and Network Interface Controller Securely Offloading Encryption Keys and WireGuard Encryption Processing to the Network Interface Controller | |
| US11882029B2 (en) | Securing multiprotocol label switching (MPLS) payloads | |
| WO2022185984A1 (en) | Information processing device and information processing system | |
| CN114785536A (en) | Message processing method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070227 |
|
| A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20070410 |