JP2018182400A - 情報処理装置、情報処理方法およびコンピュータプログラム - Google Patents
情報処理装置、情報処理方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2018182400A JP2018182400A JP2017074831A JP2017074831A JP2018182400A JP 2018182400 A JP2018182400 A JP 2018182400A JP 2017074831 A JP2017074831 A JP 2017074831A JP 2017074831 A JP2017074831 A JP 2017074831A JP 2018182400 A JP2018182400 A JP 2018182400A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- padding
- information processing
- output
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 23
- 238000003672 processing method Methods 0.000 title claims description 3
- 238000004590 computer program Methods 0.000 title description 3
- 238000000034 method Methods 0.000 description 26
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 3
- 239000012634 fragment Substances 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- LFERELMXERXKKQ-NYTQINMXSA-N cpad Chemical compound NC(=O)C1=CC=CC([C@H]2[C@@H]([C@@H](O)[C@H](COP([O-])(=O)O[P@@](O)(=O)OC[C@H]3[C@@H]([C@@H](O)[C@@H](O3)N3C4=NC=NC(N)=C4N=C3)O)O2)O)=[NH+]1 LFERELMXERXKKQ-NYTQINMXSA-N 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/36—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with means for detecting characters not meant for transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/34—Encoding or coding, e.g. Huffman coding or error correction
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
【課題】 本発明は、TLSの規格による暗号化されたパケットを復号する情報処理装置において、必要なバッファメモリを抑えつつ、外部の装置への転送効率を向上させることを目的とする。【解決手段】 本発明に係る情報処理装置は、TLS(Transport Layer Security)の規格による暗号化されたパケットを復号する情報処理装置であって、暗号化されたパケットを取得する取得手段と、前記暗号化されたパケットを復号する復号手段と、前記復号手段で復号されたパケットを外部の装置に出力する出力手段と、前記復号手段で復号されたパケットにパディングパターンが含まれていた場合、前記出力手段による出力を制限する制御手段と、を有することを特徴とする。【選択図】 図2
Description
本発明は、暗号化されたパケットを復号する情報処理装置、情報処理方法およびコンピュータプログラムに関する。
インターネット上のデータを暗号化し、セキュアに伝送するためのプロトコルが広く使用されている。代表的なものに、非特許文献1で開示されているSSL(Secure Socket Layer)及び、その後継の非特許文献2で開示されているTLS(Transport Layer Security)がある。近年、インターネット通信におけるセキュア通信の占める割合は増加の一途をたどっており、5年で14倍にも増加している。一方、プロトコルの脆弱性をついた攻撃手法も、近年増加している。例えば、2014年にGoogleは非特許文献3で開示されているPOODLE(Padding Oracle On Downgraded Legacy Encryption)という攻撃手法を発表した。本攻撃手法では、攻撃者が、脆弱性のあるSSL3.0にバージョンを落とし、通信させることが可能である。
セキュリティを向上させる一つの手法として、Paddingを付加する手法がある。Paddingは、通信で送受信したいContentに、付加されるダミーデータである。ダミーデータを付加することで、Content長を秘匿することが可能になる。TLS1.2においては、Padding長は最大で256Byteであり、パケット内にフィールドとして定義されている。Paddingはダミーデータであり、TLSパケットの復号後には不要となるデータである。一方、機器で扱うデータ量は増加の一歩をたどり、DRAM(Dynamic Random Memory)への転送帯域がひっ迫してきているため、DRAMへのデータ転送を効率化することが求められている。そこで、特許文献1には、TLSパケットの復号処理を行う装置において、実際の処理に不要なPaddingをDRAMに転送しないことにより、転送帯域を下げることが開示されている。特許文献1で開示されている技術では、パケットに含まれるPadding長のフィールドを使って、不要なPaddingの削除を行っている。
A.Freier,P.Karlton,P.Kocher:"The Secure Sockets Layer(SSL)Protocol Version 3.0",RFC 6101,1996.
T.Dierks,E.Rescorla:"The Transport Layer Security(TLS)Protocol Version 1.2",RFC 5246,2008.
Bodo Moller,Thai Duong,Krzysztof Kotowicz:"This POODLE Bites: Exploiting The SSL3.0 Fallback"
E.Reacorla RTEM,Inc.:"The Transport Layer Security(TLS)Protocol Version 1.3",draft−ietf−tls−tls13−18,2016
しかし、非特許文献4に開示されているTLS1.3においては、通信のセキュリティ性を向上させるために、Paddingの規格が変更されており、特許文献1で開示されている技術を採用することが困難になっている。すなわち、通信パケットの種類やContent長を秘匿するために、最大Padding長が2^14−1Byteに拡張され、かつPadding長はランダム値をとることが可能になっている。さらに、パケット内からPadding長を示すフィールドが削除されている。
従って、TLS1.3においては、パケット内にPadding長を示すフィールドがなく、暗号化されたパケットを全て復号しなければ、実際のContentがどこからどこまでで、Paddingがどこからどこまでなのかが分からなくなっている。そのため、特許文献1で開示されている技術では、Paddingを削除することが出来ない。また、パケットを全て復号して不要なPaddingを除去した後にContextのみをDRAMへ転送するという手法が考えらえる。しかし、この場合、暗号復号装置内に1パケット分のデータ(最大2^14−1Byte)を保持できるバッファメモリを持つ必要が生じてしまう。
本発明は、TLSの規格による暗号化されたパケットを復号する情報処理装置において、必要なバッファメモリを抑えつつ、外部の装置への転送効率を向上させることを目的とする。
本発明に係る情報処理装置は、TLS(Transport Layer Security)の規格による暗号化されたパケットを復号する情報処理装置であって、暗号化されたパケットを取得する取得手段と、前記暗号化されたパケットを復号する復号手段と、前記復号手段で復号されたパケットを外部の装置に出力する出力手段と、前記復号手段で復号されたパケットにパディングパターンが含まれていた場合、前記出力手段による出力を制限する制御手段と、を有することを特徴とする。
本発明によれば、TLSの規格による暗号化されたパケットを復号する情報処理装置において、必要なバッファメモリを抑えつつ、外部の装置への転送効率を向上させることが出来る。
(第1の実施形態)
以下に、図面を参照して、本形態を詳しく説明する。なお、以下の実施の形態はあくまで例示であり、本発明の範囲を限定する趣旨のものではない。
以下に、図面を参照して、本形態を詳しく説明する。なお、以下の実施の形態はあくまで例示であり、本発明の範囲を限定する趣旨のものではない。
図1は通信処理用の集積回路の構成を示すブロック図である。通信処理用の集積回路において、CPU10、暗号復号処理装置20、DRAMコントローラ30、通信処理装置40、SRAM60は、バスシステム50に接続され、相互にデータ転送を行う。この構成はSystem―On―A―Chip とよばれる集積回路で代表的な構成である。尚、当該構成の一部またはすべては、コンピュータプログラムで動作する一般的なパーソナルコンピュータによって実現してもよい。
図2は、本実施形態に係る暗号復号処理装置の構成図を示す。暗号復号処理装置20は、データ入力部200、暗号処理部201、パディング処理部202、データ出力部203、全体制御部204で構成される情報処理装置である。尚、暗号復号処理装置20は、暗号処理および復号処理を行うことが可能であるが、本実施形態においては、主に復号処理を行うものとする。暗号復号処理装置20におけるレコードレイヤーパケットの典型的な復号処理の流れを説明する。データ入力部200は、SRAM60または外部のDRAM2などの外部の装置から、バスシステム50を経由して暗号化されたレコードレイヤーパケットを分割して読むことにより、暗号化されたパケットを取得する。本実施形態におけるレコードレイヤーパケットはTLS1.3の規格に基づくものである。尚、必要に応じて、TLS1.3以外のTLSに適用することも可能である。図3は、TLS1.3のレコードレイヤーパケットのフォーマットを示したものである。レコードレイヤーは5ByteのHeadderとCiphertextLength ByteのCiphertextFragmentからなる。ヘッダーは1ByteのOpaqueTypeと2ByteのVersionと2ByteのCiphertextLengthからなる。OpequeTypeは固定値23、Versionは固定値3.1である。CiphertextLengthはCiphertextFragmentのサイズを示す。CiphertextFragmentは、暗号化された領域であり、MSGLEN ByteのContentと、1ByteのTypeとCpadlength ByteのPaddingとMACLEN ByteのMACからなる。Contentは暗号化通信で転送される実データである。Typeは転送されるレコードレイヤーパケットの種類を示し、パケットの種類に応じた非0の値をとる。Paddingは、固定値0で、任意のランダムなサイズである。MACはCiphertextFragmentのMAC値である。データ入力部200は、任意の処理単位で、レコードレイヤーパケットを分割して受信する。データ入力部200は、まずHeadderを受信し、全体制御部204に送信する。その後、CiphertextFragmentを処理単位で分割して受信し、暗号処理部201に送信する。全体制御部204は、CPU10から、暗号処理か復号処理かを示すモードや、暗号処理やMAC処理で使用するアルゴリズムなどが設定される。また、データ入力部200から受信したヘッダー情報から、CiphertextLengthを受信する。全体制御部204は、これらの設定値を、データ入力部200、暗号処理部201、パディング処理部202、データ出力部203に出力する。また、全体制御部204は、処理の終了時には、後述するパディング処理部202から受信したTypeやMSGLENの値をCPUに通知する。暗号処理部201はCiphertextFragmentの暗号処理、復号処理及びMAC処理の演算を行う。暗号処理、復号処理及びMAC処理で使用するアルゴリズムは、全体制御部204で指定されたアルゴリズムを使用する。復号されたCiphertextFragmentのうち、MACを除く復号データは、パディング処理部に出力する。パディング処理部は、復号データを取得する。一方、MACは暗号処理部201におけるMAC演算で生成されたMACと比較され、改竄検知が行われる。パディング処理部202は、暗号処理部201から入力される復号された分割データに対し、ContentかTypeかPaddingかの判断を行うとともに、MSGLENのカウントを行う。パディング処理部202において、Contentと判断された分割データは、データ出力部203から、バスシステム50を経由して、SRAM60または、DRAM2に出力される。パディング処理部202において、Typeと判断されたデータ及びMSGLENは、全体制御部204に出力され、CPUへ通知される。パディング処理部202において、Paddingと判断されたデータは不要なデータなのでパディング処理部202で破棄する。以上で説明した通り、パディング処理部202に基づきデータ出力部203による出力を制限することにより、不要なデータがSRAM60または、DRAM2に出力されてしまうことを防止することが出来る。
図4は、パディング処理部202の処理フローを示したものである。S100では、パケット処理を開始する際に、パケット長カウンタを0に、S101でパディングカウンタを0にクリアする。パケット長カウンタは、処理済みのパケット長をカウントするカウンタであり、パディングカウンタは、パディングパターン(Type+Padding)を検出後、Padding長をカウントするカウンタである。続いて、S102でパケットを処理単位に分割した、単位データをデータ入力部200から読み込む。続いて、S103において単位データのバイトカウンタiを0に設定する。続いて、S104において、パディングカウンタが0か否かの判断を行う。パディングカウンタが0の場合は、パディングパターン未検出の状態である。パディングパターンが未検出の場合、S109において、単位データのiバイト目の要素がTYPEかどうかの判定を行う。TYPEが検出された場合には、単位データのiバイト目の要素に後続するデータはPaddingである可能性があると判断する。よって、S110において、パディングカウンタを1にセットした上で、S111において、単位データのiバイト目の要素をデータ出力部へ転送する。尚、パディングカウンタに1がセットされた状態は、後続するデータはPaddingである可能性があると判断されている状態なので、データ出力部への転送は一時的に制限される。S109において、TYPEが検出されなかった場合には、単位データのiバイト目の要素は、Contentと判断し、S111において、単位データのiバイト目の要素をデータ出力部へ転送する。S104においてパディングカウンタが0以外だった場合には、S105において、単位データのiバイト目の要素が、0かどうかの判断を行う。単位データのiバイト目の要素が0の場合は、Paddingの可能性があると判断し、S106でパディングカウンタを1インクリメントする。S105において、0以外が検出された場合には、これまでPaddingの可能性があると判断されていたパターンは、PaddingではなくContentと判断される。従って、一時的に制限されていたデータ出力部への転送は許可される。そのため、S107において、パディングカウンタのカウント値―1バイト分のデータを0埋めして、データ出力部に転送する。さらに、S108において、パディングカウンタを0にクリアする。続いて、S112でパケット長カウンタと、iをそれぞれ1インクリメントする。続いてS113でiが単位データ長‐1か否かの判定を行い、単位データの処理の終了判定を行う。iが単位データ長‐1であった場合には、S114でパケット長カウンタが、CiphertextLength−MACLENか判定を行う。パケット長カウンタが、CiphertextLength−MACLENでない場合には、後続の単位データを処理する必要があるため、S102に戻り、後続の単位データをデータ入力部200から読み込み、処理を継続する。一方、パケット長カウンタが、CiphertextLength−MACLENである場合には、パケットの最後まで処理が完了したことになるため、処理を終了する。
図5は、従来例による暗号復号処理のサイクル数を示したものである。Dxは、ContentをPxはパディングデータを示す。従来例では、t0で入力データD0を読み込み、t1でD0の復号処理を実施する。t2で復号後のD0をDRAMなどに出力する。従来例では、PaddingであるP0やP1もt7及びt8サイクルでDRAM上に転送されてしまう。Paddingは本来不要であるので、これによって、帯域を無駄にしてしまっている。
図6は、本実施形態における暗号復号処理のサイクル数を示したものである。本実施形態においては、暗号復号処理を実施したのち、パディング処理部において、パディングの判定及び除去が行われる。そのため、PaddingP0やP1は、暗号復号処理装置の外に出力されない。これによって、バスやDRAMの帯域を無駄にすることがなくなり、t7及びt8サイクルの転送を削減することができる。本実施形態による無駄な転送の削減効果は、パケットに含まれるContentとPaddingとの割合に依存する。Paddingのサイズはセキュリティの観点からランダムであることが望ましい。また、取りうるサイズの最大値が大きければ大きいほど、分散が大きくなるため、データ長をより秘匿することが可能であり、セキュリティの観点からはよりセキュアであると考えられる。本発明によって削減できるメモリアクセスの割合は、パケット中に含まれる、Padding長の平均割合で決まる。例えば、パケットに占めるPaddingの平均の割合が25%だとすると、本発明により、メモリアクセスを25%削減できる。
図7は、本実施形態における、Content中に疑似パディングパターンD2が含まれる場合の暗号復号処理のサイクル数を示したものである。パディング処理部は、疑似パディングパターンD2を検出し、t4サイクルにおいて、データ出力部にデータ転送を行わない。しかし、後続のContentD3において非0のデータが検出され、パディングと判断されていたデータD2が、Contentと判断される。その際、D2を暗号復号処理装置外部に出力する必要があるため、復号処理がt5サイクルでストールし、t5で疑似パディングパターンD2を出力する。データ中にPaddingに類似するパターンが含まれている場合、一旦誤検出したパディングデータを外部メモリに書き出すのに、パケット処理を停止させる必要があるため、処理速度が低下する。低下の度合いは、データ中に含まれるパディングパターンの割合に依存し、データ中に含まれるパディングパターンの割合だけ処理のオーバヘッドがかかる。例えば、データ中に5%のパディングパターンが含まれている場合、5%のパディングデータをDRAMに書き出すために、5%程度、余分な処理サイクルがかかってしまう。しかし、通常、パディングパターンと同一のパターンがデータ中に含まれる割合は非常に少ないと考えられるため、無視できるものと考えられる。
(第2の実施形態)
図8は、第2の実施形態におけるパディング処理部202の処理フローを示したものである。第1の実施形態における図4の処理フローに対して、S115が追加されている。S115では、パディングカウンタの値が閾値より大きいか否かの判定を行う。閾値よりも小さければ、S111において、単位データのiバイト目の要素を出力する。一方、閾値よりも大きければ、単位データのiバイト目の要素を出力しない。閾値は、全体制御部204にあらかじめCPUから設定されている設定値である。閾値との比較を行うことで、疑似パディングパターンがあった場合における、性能低下を防ぐことができる。図9の本実施形態による処理サイクル数を示す。図7においては、疑似パディングパターンD2を検出して、出力しなかったために、t5において処理のストールが発生し、性能が低下してしまっていた。一方、図9の本実施形態における処理サイクルでは、閾値以下長さの疑似パディングパターンは、通常のContentとみなされ、出力されるため、ストールの発生を削減することによって、誤検出を削減し、性能向上を図ることができる。
図8は、第2の実施形態におけるパディング処理部202の処理フローを示したものである。第1の実施形態における図4の処理フローに対して、S115が追加されている。S115では、パディングカウンタの値が閾値より大きいか否かの判定を行う。閾値よりも小さければ、S111において、単位データのiバイト目の要素を出力する。一方、閾値よりも大きければ、単位データのiバイト目の要素を出力しない。閾値は、全体制御部204にあらかじめCPUから設定されている設定値である。閾値との比較を行うことで、疑似パディングパターンがあった場合における、性能低下を防ぐことができる。図9の本実施形態による処理サイクル数を示す。図7においては、疑似パディングパターンD2を検出して、出力しなかったために、t5において処理のストールが発生し、性能が低下してしまっていた。一方、図9の本実施形態における処理サイクルでは、閾値以下長さの疑似パディングパターンは、通常のContentとみなされ、出力されるため、ストールの発生を削減することによって、誤検出を削減し、性能向上を図ることができる。
(その他の実施例)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
20 暗号復号処理装置
200 データ入力部
201 暗号処理部
202 パディング処理部
203 データ出力部
204 全体制御部
200 データ入力部
201 暗号処理部
202 パディング処理部
203 データ出力部
204 全体制御部
Claims (11)
- TLS(Transport Layer Security)の規格による暗号化されたパケットを復号する情報処理装置であって、
暗号化されたパケットを取得する取得手段と、
前記暗号化されたパケットを復号する復号手段と、
前記復号手段で復号されたパケットを外部の装置に出力する出力手段と、
前記復号手段で復号されたパケットにパディングパターンが含まれていた場合、前記出力手段による出力を制限する制御手段と、を有することを特徴とする情報処理装置。 - 前記制御手段は、
前記復号手段で復号されたパケットを取得し、取得された前記復号手段で復号されたパケットを前記出力手段に転送する転送手段を有し、
前記復号手段で復号されたパケットにパディングパターンが含まれていた場合、前記転送手段による転送を制限することにより前記出力手段による出力を制限することを特徴とする請求項1に記載の情報処理装置。 - 前記制御手段は、前記復号手段で復号されたパケットにパディングパターンが含まれていた場合であって、当該パディングパターンの後に、前記復号手段で復号されたパケットにパディングパターンとは異なるパターンが含まれていた場合、前記転送手段による転送を許可することを特徴とする請求項2に記載の情報処理装置。
- 前記制御手段は、前記復号手段で復号されたパケットにパディングパターンが含まれていた場合であって、当該パディングパターンの後に含まれていたパディングパターンのサイズが閾値を超えた場合には、前記転送手段による転送を行わないことを特徴とする請求項2に記載の情報処理装置。
- 前記パディングパターンは、0の値の繰り返しであることを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。
- 前記パディングパターンは、パケットの種類を示す値に後続するパターンであることを特徴とする請求項5に記載の情報処理装置。
- 前記パディングパターンは、規格で定義されたパディングパターンであることを特徴とする請求項1乃至6のいずれか1項に記載の情報処理装置。
- 前記パディングパターンは、TLSの規格で定義されたパディングパターンであることを特徴とする請求項7記載の情報処理装置。
- 前記パディングパターンは、固定値の繰り返しであることを特徴とする請求項1乃至8のいずれか1項に記載の情報処理装置。
- TLS(Transport Layer Security)の規格による暗号化されたパケットを復号する情報処理方法であって、
取得手段が、暗号化されたパケットを取得する取得工程と、
復号手段が、前記暗号化されたパケットを復号する復号工程と、
出力手段が、前記復号手段で復号されたパケットを外部の装置に出力する出力工程と、
制御手段が、前記復号手段で復号されたパケットにパディングパターンが含まれていた場合、前記出力手段による出力を制限する制御工程と、を有することを特徴とする情報処理方法。 - コンピュータを、
TLS(Transport Layer Security)の規格による暗号化されたパケットを復号する情報処理装置であって、
暗号化されたパケットを取得する取得手段と、
前記暗号化されたパケットを復号する復号手段と、
前記復号手段で復号されたパケットを外部の装置に出力する出力手段と、
前記復号手段で復号されたパケットにパディングパターンが含まれていた場合、前記出力手段による出力を制限する制御手段と、を有することを特徴とする情報処理装置として機能させるためのコンピュータプログラム。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017074831A JP6818618B2 (ja) | 2017-04-04 | 2017-04-04 | 情報処理装置、情報処理方法およびコンピュータプログラム |
| EP18780476.0A EP3609126B1 (en) | 2017-04-04 | 2018-03-27 | Information processing device, information processing method, and computer program |
| CN202310288234.XA CN116319012A (zh) | 2017-04-04 | 2018-03-27 | 信息处理装置、信息处理方法和存储介质 |
| PCT/JP2018/012510 WO2018186238A1 (ja) | 2017-04-04 | 2018-03-27 | 情報処理装置、情報処理方法およびコンピュータプログラム |
| CN201880021964.0A CN110521167B (zh) | 2017-04-04 | 2018-03-27 | 信息处理装置、信息处理方法和存储介质 |
| US16/591,348 US11444789B2 (en) | 2017-04-04 | 2019-10-02 | Decrypted packet padding removal |
| US17/820,075 US11973888B2 (en) | 2017-04-04 | 2022-08-16 | Decrypted packet padding processing or decyrypted packet padding removal |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017074831A JP6818618B2 (ja) | 2017-04-04 | 2017-04-04 | 情報処理装置、情報処理方法およびコンピュータプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018182400A true JP2018182400A (ja) | 2018-11-15 |
| JP6818618B2 JP6818618B2 (ja) | 2021-01-20 |
Family
ID=63712205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017074831A Active JP6818618B2 (ja) | 2017-04-04 | 2017-04-04 | 情報処理装置、情報処理方法およびコンピュータプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11444789B2 (ja) |
| EP (1) | EP3609126B1 (ja) |
| JP (1) | JP6818618B2 (ja) |
| CN (2) | CN110521167B (ja) |
| WO (1) | WO2018186238A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020178169A (ja) * | 2019-04-15 | 2020-10-29 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009506664A (ja) * | 2005-08-24 | 2009-02-12 | クゥアルコム・インコーポレイテッド | 物理層パケットにおける多重化プロトコルデータユニットの送信 |
| JP2009205410A (ja) * | 2008-02-27 | 2009-09-10 | Toshiba Corp | メモリコントローラおよびメモリシステム |
| JP2017011392A (ja) * | 2015-06-18 | 2017-01-12 | 株式会社リコー | 復号回路、これを用いた通信装置、及び通信システム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0564113A (ja) | 1991-09-03 | 1993-03-12 | Koudo Eizou Gijutsu Kenkyusho:Kk | 液晶投写型映像表示装置の信号処理回路 |
| US6704871B1 (en) * | 1997-09-16 | 2004-03-09 | Safenet, Inc. | Cryptographic co-processor |
| JP5321895B2 (ja) * | 2009-05-27 | 2013-10-23 | ソニー株式会社 | 情報処理装置および方法 |
| JP5641133B2 (ja) | 2011-03-25 | 2014-12-17 | 富士通株式会社 | 情報処理装置、改ざん検出装置、情報処理方法、改ざん検出方法、情報処理プログラムおよび改ざん検出プログラム |
| CN103428204B (zh) * | 2013-07-29 | 2016-08-10 | 杭州华三通信技术有限公司 | 一种可抵御计时攻击的数据安全实现方法及设备 |
| US10063590B1 (en) * | 2015-04-23 | 2018-08-28 | Amazon Technologies, Inc. | Secure message protocol |
| JP6477405B2 (ja) | 2015-10-14 | 2019-03-06 | トヨタ自動車株式会社 | トレーリングアーム |
| US9921986B2 (en) * | 2015-10-27 | 2018-03-20 | International Business Machines Corporation | Suspend and resume in a time shared coprocessor |
| US9639935B1 (en) * | 2016-05-25 | 2017-05-02 | Gopro, Inc. | Apparatus and methods for camera alignment model calibration |
| US10225239B2 (en) * | 2016-09-29 | 2019-03-05 | Chelsio Communications, Inc. | Method for in-line TLS/SSL cleartext encryption and authentication |
-
2017
- 2017-04-04 JP JP2017074831A patent/JP6818618B2/ja active Active
-
2018
- 2018-03-27 CN CN201880021964.0A patent/CN110521167B/zh active Active
- 2018-03-27 CN CN202310288234.XA patent/CN116319012A/zh active Pending
- 2018-03-27 WO PCT/JP2018/012510 patent/WO2018186238A1/ja unknown
- 2018-03-27 EP EP18780476.0A patent/EP3609126B1/en active Active
-
2019
- 2019-10-02 US US16/591,348 patent/US11444789B2/en active Active
-
2022
- 2022-08-16 US US17/820,075 patent/US11973888B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009506664A (ja) * | 2005-08-24 | 2009-02-12 | クゥアルコム・インコーポレイテッド | 物理層パケットにおける多重化プロトコルデータユニットの送信 |
| JP2009205410A (ja) * | 2008-02-27 | 2009-09-10 | Toshiba Corp | メモリコントローラおよびメモリシステム |
| JP2017011392A (ja) * | 2015-06-18 | 2017-01-12 | 株式会社リコー | 復号回路、これを用いた通信装置、及び通信システム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020178169A (ja) * | 2019-04-15 | 2020-10-29 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
| JP7289709B2 (ja) | 2019-04-15 | 2023-06-12 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US11973888B2 (en) | 2024-04-30 |
| CN110521167B (zh) | 2023-04-04 |
| WO2018186238A1 (ja) | 2018-10-11 |
| US20220393889A1 (en) | 2022-12-08 |
| EP3609126A1 (en) | 2020-02-12 |
| EP3609126B1 (en) | 2021-12-22 |
| US20200036540A1 (en) | 2020-01-30 |
| CN110521167A (zh) | 2019-11-29 |
| CN116319012A (zh) | 2023-06-23 |
| US11444789B2 (en) | 2022-09-13 |
| JP6818618B2 (ja) | 2021-01-20 |
| EP3609126A4 (en) | 2020-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7822797B2 (en) | System and method for generating initial vectors | |
| JP2018529271A (ja) | 二重暗号化を用いたキー生成方法および装置 | |
| WO2019023505A1 (en) | ACCELERATION OF SECURE COMMUNICATION USING A SYSTEM ARCHITECTURE ON CHIP (SOC) | |
| JP5205075B2 (ja) | 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 | |
| US11973888B2 (en) | Decrypted packet padding processing or decyrypted packet padding removal | |
| US9002010B2 (en) | Secure communication of information over a wireless link | |
| US11082411B2 (en) | RDMA-based data transmission method, network interface card, server and medium | |
| CN112738037A (zh) | 一种数据加密通信方法 | |
| EP2558946B1 (en) | Method and system for cryptographic processing core | |
| US10708279B2 (en) | Method and apparatus for transmitting data | |
| KR102510000B1 (ko) | 데이터를 전송하는 방법 및 장치 | |
| JP7289709B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| WO2010023950A1 (ja) | 暗号処理装置、暗号処理方法及びプログラム | |
| KR101653956B1 (ko) | 암호화된 트래픽을 모니터링하는 방법 및 장치 | |
| JP2018205505A (ja) | 暗号処理装置およびその制御方法 | |
| CN109450824B (zh) | 一种交换机配置map的方法及交换机 | |
| JP5112028B2 (ja) | 暗復号化装置、および暗復号化プログラムが格納されたコンピュータで読み取り可能な記憶媒体。 | |
| US11652571B1 (en) | Incremental cyclic redundancy (CRC) process | |
| JP2017060083A (ja) | 通信装置および暗号通信方法 | |
| JP2006245733A (ja) | 暗号化通信方法、送信端末および受信端末 | |
| JP2004015305A (ja) | 暗号化通信方式、および通信装置 | |
| CN116781307A (zh) | 支持用于密码/认证实现的可调谐对准的方法和装置 | |
| CN118138275A (zh) | 远程直接内存访问方法、装置、设备及存储介质 | |
| JP2007089028A (ja) | 通信インタフェース装置 | |
| CN114338176A (zh) | 数据传输的方法、装置以及网卡 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200327 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200526 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200722 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201201 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201228 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6818618 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |