JP3990565B2 - セキュリティ通信パケット処理装置及びその方法 - Google Patents

セキュリティ通信パケット処理装置及びその方法 Download PDF

Info

Publication number
JP3990565B2
JP3990565B2 JP2001376424A JP2001376424A JP3990565B2 JP 3990565 B2 JP3990565 B2 JP 3990565B2 JP 2001376424 A JP2001376424 A JP 2001376424A JP 2001376424 A JP2001376424 A JP 2001376424A JP 3990565 B2 JP3990565 B2 JP 3990565B2
Authority
JP
Japan
Prior art keywords
processing
unit
packet
authentication
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001376424A
Other languages
English (en)
Other versions
JP2002287620A (ja
Inventor
雄策 太田
雅史 山口
弘貴 山内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Holdings Corp
Original Assignee
Panasonic Corp
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Industrial Co Ltd filed Critical Panasonic Corp
Priority to JP2001376424A priority Critical patent/JP3990565B2/ja
Publication of JP2002287620A publication Critical patent/JP2002287620A/ja
Application granted granted Critical
Publication of JP3990565B2 publication Critical patent/JP3990565B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、データパケットによる秘密通信のためのセキュリティ通信パケット処理装置及びその方法に関し、特に、安全性を確保するための処理の高速化及び遅延の低減化技術に関する。
【0002】
【従来の技術】
近年、インターネットに代表されるTCP/IPネットワークが急速に普及しており、これに伴い電子音楽配信やWeb上での商品の売買など、様々な形態のネットビジネスが脚光を浴び、次々に展開されつつある。このようなネットビジネスはサービス提供者側とユーザ側との間で信頼のおける安全な取引が行われることが大前提であるが、インターネットは常にクラッカーによる盗聴やなりすましなどからの危険にさらされており、一般に安全でないネットワークと考えられている。そこで重要になってくるのが、電子認証や通信データの暗号化、ファイアウォールなどに代表されるネットワークセキュリティ技術である。これらは主にソフトウェアによる処理としてなされてきたが、将来的なTCP/IPインフラストラクチャの広帯域化に備え、暗号処理チップや暗号ボードなどのハードウェアによる高速処理の需要が高まりつつある。
【0003】
従来、IPSec(IP Security Protocol Suite)に代表されるようなセキュリティ通信機能を有するコンピュータ又はネットワーク接続機器において、暗号処理と認証処理の両方を必要とするパケットに対しその処理を行う場合、図18のフローチャートに示される暗号及び認証処理のように、暗号処理が必要なパケット(IPパケット等)に対しては(ステップ701)、まず平文パケットを暗号処理用データブロックに分割し(ステップ702)、これを暗号処理した後(ステップ703)、暗号化パケットとして再構築し(ステップ704)、続いて認証処理が必要な場合には(ステップ705)、この暗号化パケットを認証処理用データブロックとして分割し(ステップ706)、これを認証処理した後(ステップ707)、認証処理済パケットとしてパケットの再構築を行っている(ステップ708)。
【0004】
【発明が解決しようとする課題】
しかしながら、上述の方法では、暗号処理と認証処理の両方を必要とするパケットに対しては、2回のパケット構築処理(図18のステップ704及び708)が必要となり、そのために、暗号及び認証の両処理を行う場合の処理の低速化、スループットの低減、暗号処理部又は認証処理部の非効率的な使用につながるという問題点がある。また、このような方法では、あるパケットを暗号処理中に別の優先処理すべき平文パケットがある場合であっても、これを優先処理できないという問題点がある。さらに、暗号処理部と認証処理部を各1つずつしか実装していないケースでは、複数のパケットの同時処理による高速スループットの実現が不可能になるという問題もある。
【0005】
そこで、本発明は、上記事情を考慮してなされたもので、暗号処理及び認証処理の両方を行う場合の高速化、低遅延化、スループットの向上及び暗号処理部と認証処理部の効率的な使用を図ることができるセキュリティ通信パケット処理装置を提供することを第1の目的とする。
【0006】
また、本発明は、複数のパケットに対して、暗号(又は復号)処理及び認証処理の少なくとも1つを同時・並行に実行することが可能なセキュリティ通信パケット処理装置を提供することを第2の目的とする。
【0007】
また、本発明は、1以上の暗号処理部及び認証処理部の中から、パケットの種類に応じた必要な処理部だけを用いて実行させることが可能な処理効率の高いセキュリティ通信パケット処理装置を提供することを第3の目的とする。
【0008】
また、本発明は、暗号(復号を含む)処理及び認証処理について、パケットの優先処理制御が可能なセキュリティ通信パケット処理装置を提供することを第4の目的とする。
【0009】
【課題を解決するための手段】
上記第1の目的を達成するために、本発明に係るセキュリティ通信パケット処理装置は、暗号処理用データブロックを処理するための暗号処理部と、認証処理用データブロックを処理するための認証処理部と、前記暗号処理用データブロックと暗号処理に必要な情報とを前記暗号処理部に出力し、前記認証処理用データブロックと認証処理に必要な情報とを前記認証処理部に出力し、前記暗号処理部と前記認証処理部とを制御するための暗号認証処理制御部とを含むセキュリティ通信機能を有するネットワーク接続装置又は前記セキュリティ通信機能を有するコンピュータにおいて、前記暗号処理部において処理されたデータブロックを認証処理用の最小データブロックサイズに等しくなるまで逐次的に蓄積し、前記認証処理用の最小データブロックサイズに等しくなるとこれを前記認証処理部に出力するデータブロック蓄積部を具備し、前記データブロック蓄積部の出力したデータブロックを前記認証処理部が処理している間に、前記暗号処理部は次の暗号処理用データブロックを処理し、前記データブロック蓄積部は次の認証処理用暗号処理済データブロックを蓄積することを特徴とするセキュリティ通信パケット処理装置である。
【0010】
また、上記第2の目的を達成するために、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号処理部と認証処理部の少なくともどちらか一方は2個以上設け、前記暗号処理部の数と等しいデータブロック蓄積部とを設けることを特徴とする。
【0011】
また、上記第3の目的を達成するために、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号認証処理制御部の処理命令により、前記暗号認証処理制御部より出力するデータブロックが暗号処理用データブロックであれば前記暗号認証処理制御部の出力部と暗号処理部の入力部を接続し、前記暗号認証処理制御部より出力するデータブロックが認証処理用データブロックであれば前記暗号認証処理制御部の出力部と認証処理部の入力部を接続し、前記暗号処理部で処理したデータブロックが更に認証処理も必要であれば前記暗号処理部の出力部とデータブロック蓄積部の入力部とを接続し、前記データブロック蓄積部で蓄積されたデータが出力できる状態になれば前記データブロック蓄積部の出力部と前記認証処理部の入力部とを接続するデータパス接続切替部を設けることを特徴とする。
【0012】
また、上記第4の目的を達成するために、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号処理部又は認証処理部において処理されているデータブロック及びデータブロック蓄積部に蓄積されているデータブロックを、暗号認証処理処理制御部の指示によりそのデータブロックに関する情報と共に一時的に退避させる処理データ退避部を、暗号処理部、認証処理部及びデータブロック蓄積部の一部、又は全てに対して個別に設けることを特徴とする。
【0013】
また、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号処理部又は認証処理部において処理されているデータブロック及びデータブロック蓄積部に蓄積されているデータブロックを、暗号認証処理制御部の指示によりそのデータブロックに関する情報と共に一時的に退避させる処理データ退避部を、暗号処理部、認証処理部、データブロック蓄積部の任意の組み合わせで共通に設けた構成とすることもできる。
【0014】
ここで、上記セキュリティ通信パケット処理装置において、暗号処理用データブロックと64ビットとし、認証処理用データブロックを512ビットとすることができる。
【0015】
なお、本発明は、上記セキュリティ通信パケット処理装置が備える特徴的な処理部を処理ステップとするセキュリティ通信パケット処理方法として実現したり、それらの処理ステップをコンピュータに実行させるためのプログラムとして実現したりすることもできる。そして、そのプログラムは、CD−ROM等の記録媒体や通信ネットワーク等の伝送媒体を介して流通させることができるのは言うまでもない。
【0016】
【発明の実施の形態】
以下、本発明の実施の形態について、図面を参照しながら詳細に説明する。
(実施の形態1)
まず、本発明の実施の形態1に係るセキュリティ通信パケット処理装置について説明する。
図1は、本発明の実施の形態1におけるセキュリティ通信パケット処理装置100の構成を示すブロック図である。本実施の形態におけるセキュリティ通信パケット処理装置100は、入力されたIPパケット等のパケットに対して必要な暗号(復号を含む)処理及び認証処理をブロック単位で施した後にパケットとして再構築し、出力する装置であり、わずか1回のパケット再構築処理だけで暗号(又は復号)処理と認証処理の両方を完遂することが可能な必要最低限の基本構成を有する点に特徴を有し、接続形態が固定された4つの回路ブロック、即ち、暗号認証処理制御部101、暗号処理部102、データブロック蓄積部103、認証処理部104及びパケット構築部105から構成される。
【0017】
なお、本実施の形態においては、暗号認証処理制御部101に入力されるパケットは、そのパケットに対して施すべき処理内容から、4つの種類に分類される。すなわち1種類目として暗号処理と認証処理の両方が必要なパケット(送信パケット)、2種類目として復号処理と認証処理の両方が必要なパケット(受信パケット)、3種類目として暗号処理又は復号処理のみが必要なパケット、そして最後に4種類目として認証処理のみが必要なパケットである。
【0018】
暗号認証処理制御部101は、外部から処理すべきパケットとそのパケットに施すべき処理に必要な情報(以下、「処理情報」という。)とを受け取り、その処理情報に基づいて、他の構成要素102〜105を制御(動作のON/OFFなどを制御)したり、データの経路を決定する制御をしたり、パケットを暗号処理部102の処理単位であるB1(例えば、64)ビット長の暗号処理用(又は復号処理用)データブロックに分割し、その処理情報を含めた形で暗号処理部102に出力したり、パケットを認証処理部104の処理単位であるB2(例えば、512)ビット長の認証処理用データブロックに分割し、その処理情報を含めた形で認証処理部104に出力したりする。
【0019】
ここで「処理情報」とは、暗号処理の是非、認証処理の是非、暗号処理を行うのであれば、そのアルゴリズム、鍵情報、IV(Initial Vector)、暗号処理を行うのか復号処理を行うのかという情報、認証処理を行うのであればそのアルゴリズムや必要に応じてその鍵情報、認証値などを含む。なお、暗号アルゴリズムとしてはDES(Data Encryption Standard)や3DESを含む。また認証アルゴリズムとしてはHMAC−MD5−96やHMAC−SHA−1−96を含む。また、パケットとその処理情報は識別番号などで対応づけられており、複数のパケットが連続的に暗号認証処理制御部101に入力されてもそれらを混同しないような仕組みが保証されている。
【0020】
図2は、暗号認証処理制御部101によるデータの経路制御を説明する図である。暗号認証処理制御部101は、処理情報に基づいて、対応するパケットが上述の1種類目の送信パケット、即ち、暗号処理と認証処理の両方を必要とするパケットであると判断すると、図2のデータ経路図111に示されるようなデータの流れが形成されるように、各構成要素102〜105を制御する。つまり、このとき、パケットは、データブロックの単位で、暗号処理部102による暗号処理と認証処理部104による認証処理とが順次に施され、その結果(認証値)がパケット構築部105に入力されるとともに、暗号処理部102による暗号処理の結果(暗号処理済みデータブロック)がパケット構築部105に入力される。
【0021】
また、暗号認証処理制御部101は、パケットが上述の2種類目の受信パケット、即ち、復号処理と認証処理の両方を必要とするパケットであると判断すると、図2のデータ経路図112に示されるようなデータの流れが形成されるように、各構成要素102〜105を制御する。つまり、このとき、パケットは、データブロックの単位で、暗号処理部102による復号処理と認証処理部104による認証処理とが並行して施され、それぞれの結果(復号処理済みデータブロック及び認証値)がパケット構築部105に入力される。
【0022】
また、暗号認証処理制御部101は、パケットが上述の3種類目のパケット、即ち、暗号処理又は復号処理のみが必要なパケットであると判断すると、図2のデータ経路図113に示されるようなデータの流れが形成されるように、各構成要素102〜105を制御する。つまり、このとき、パケットは、データブロックの単位で、暗号処理部102による暗号処理又は復号処理と認証処理部104による認証処理とが並行して施され、それぞれの結果(復号処理済みデータブロック及び認証値)がパケット構築部105に入力される。
【0023】
また、暗号認証処理制御部101は、パケットが上述の4種類目のパケット、即ち、認証処理のみが必要なパケットであると判断すると、図2のデータ経路図114に示されるようなデータの流れが形成されるように、各構成要素102〜105を制御する。つまり、このとき、パケットは、パケット構築部105に転送されるとともに、データブロックの単位で、認証処理部104による認証処理が施され、その結果(認証値)がパケット構築部105に入力される。
【0024】
暗号処理部102は、DESや3DES等の暗号アルゴリズムに従ったブロック暗号及び復号を実行する回路等であり、暗号認証処理制御部101から送られてくるB1ビットの暗号(又は復号)処理用データブロックを所定のステップ(クロックサイクル)で暗号(又は復号)処理し、その結果を暗号(又は復号)処理済みデータブロックとして、データブロック蓄積部103又はパケット構築部105に出力する。
【0025】
図3(a)は、暗号処理部102の詳細な構成例を示すブロック図である。暗号処理部102は、入力されたB1ビットの暗号(又は復号)処理用データブロックを保持する入力ブロックバッファ121と、ブロック暗号(及び復号)とその暗号(又は復号)に用いられる鍵の処理を実行するブロック暗号器122と、暗号(又は復号)処理の結果(B1ビットの暗号(又は復号)処理済みデータブロック)を保持する出力ブロックバッファ123とから構成される。
【0026】
図3(b)は、図3(a)に示されたブロック暗号器122での暗号(又は復号)処理の一例を示す図である。入力ブロックバッファ121から出力されたB1ビットのデータブロックは、固定的なビット置換(初期置換)を経た後に、鍵によって定まる16ラウンドのスクランブル処理を受け、最後に固定的なビット置換(最終置換)を受ける。暗号認証処理制御部101から送られてくる処理情報に含まれるK1ビットの秘密鍵は、スケジュール鍵生成のための一定の処理を受けてK2ビットの16個の部分鍵に分離され、対応する各スクランブル処理においてデータブロックと排他的論理和がとられたり、ビット置換の処理内容を決定するのに用いられる。
【0027】
データブロック蓄積部103は、暗号処理部102から出力される暗号処理済みデータブロックを蓄積し、その蓄積量が認証処理部104による認証処理が可能なデータブロック(B2ビット)に達したときに、そのB2ビットのデータを認証処理用データブロックとして認証処理部104に出力するキューバッファ等である。
【0028】
図4(a)は、データブロック蓄積部103の機能を示すデータフロー図である。ここでは、認証処理部104に入力される認証処理用データブロックのビット長B2は、暗号処理部102から出力される暗号処理済みデータブロックのビット長B1のn倍となっている。図4(b)は、データブロック蓄積部103の処理手順を示すフローチャートである。データブロック蓄積部103は、例えば、カウンタ付きのB1ビット幅のレジスタファイル等で実現され、カウンタをリセットした後に(ステップ131)、暗号処理部102から出力される暗号処理済みデータブロックを蓄積し(ステップ132、133)、その数がnに達したときに(ステップ133)、それらn個の暗号処理済みデータブロックを、例えば、B2ビットの並列データとして、認証処理部104に出力する(ステップ134)という処理を繰り返す(ステップ131〜134)。
【0029】
認証処理部104は、HMAC−MD5−96やHMAC−SHA−1−96等の認証アルゴリズムに従った認証処理(ICV(Integrity Check Value)の算出及びその整合性の検証を含む処理)を実行する回路等であり、暗号認証処理制御部101又はデータブロック蓄積部103から送られてくるB2ビットの認証処理用データブロックを所定数のステップ(クロックサイクル)で認証処理し、その結果を認証値として、パケット構築部105に出力する。
【0030】
図5(a)は、認証処理部104の詳細な構成例を示すブロック図である。認証処理部104は、入力されたB2ビットの認証処理用データブロックを保持する入力ブロックバッファ141と、その入力ブロックバッファ141から送られてくる認証処理用データブロックに対して一定のハッシュ処理を施すことによって、1個のパケットを構成するm個の認証処理用データブロックに対するA(例えば、96)ビットのハッシュ値を算出するハッシュ回路142と、算出されたハッシュ値を認証値として保持する認証値出力バッファ143とから構成される。
【0031】
図5(b)は、図5(a)に示されたハッシュ回路142でのハッシュ処理の概要を示す図である。入力ブロックバッファ141に入力されたB2ビットのデータブロックは、その時にハッシュ回路142が保持するA1ビットの認証値を元に所定の処理を受け、このA1ビットの認証値を更新する。次に入力されたB2ビットのデータブロックは、直前に更新されたA1ビットのハッシュ値を元に所定の処理を受け、ハッシュ回路が保持するA1ビットの認証値をさらに更新する。この処理を繰り返し、最後のB2ビットのデータブロックに対して更新されたA1ビットのハッシュ値の一部がこのパケットに対するA2ビットの認証値として使用されることになる。
【0032】
パケット構築部105は、暗号認証処理制御部101から通知される処理情報等に従って、暗号処理部102から出力される暗号(又は復号)処理済みデータブロックを一定順序で並べながら蓄積するとともに、認証処理部104から出力される認証値を所定位置に組み込むことによって、暗号認証処理制御部101に入力された1つのパケットに対応する処理済みパケットを構築する。具体的には、上述の第1の種類の送信パケットに対しては、暗号処理部102から出力される暗号処理済みデータブロックを蓄積するとともに、認証処理部104から出力される認証値を組み入れることによって所定フォーマットの暗号及び認証処理済みパケットを再構築し、上述の第2の種類の受信パケットに対しては、暗号処理部102から出力される復号処理済みデータブロックを蓄積し、所定のフォーマットにしたがって復号及び認証処理済みパケットを再構築し、上述の第3の種類のパケットに対しては、暗号処理部102から出力される暗号(又は復号)処理済みデータブロックを蓄積することによって所定フォーマットの暗号(又は復号)処理済みパケットを再構築し、上述の第4の種類のパケットに対しては、このセキュリティ通信パケット処理装置100に入力されたパケットを所定のフォーマットにしたがって認証処理済みパケットとして構築する。
【0033】
なお、暗号処理済みデータブロックについては、IPSecで規定される暗号ペイロード(ESP : Encapsulating Security Payload)に対するトンネルモードとトランスポートモードに対応するフォーマットでの再構築化が含まれる。同様に、認証値についても、IPSecで規定される認証ヘッダ(AH : Authentication Header)に対するトンネルモードとトランスポートモードに対応するフォーマットでの再構築化が含まれる。パケットの種類としては、例えば、IPv4とIPv6等が含まれる。
【0034】
次に、以上のように構成された本実施の形態におけるセキュリティ通信パケット処理装置100の動作について、上述の4種類のパケットが入力された場合それぞれに分けて説明する。
【0035】
まず、第1の種類のパケット、すなわち暗号処理と認証処理の両方が必要な送信パケットがセキュリティ通信パケット処理装置100に入力された場合の処理過程(図2のデータ経路図111に相当する処理過程)について説明する。
【0036】
第1のステップとして、暗号認証処理制御部101は処理すべきパケットとその処理情報を受け取る。暗号認証処理制御部101は、その処理情報から、そのパケットが暗号処理と認証処理の両方が必要な送信パケットであると判断し、そのパケットを暗号処理用データブロックに分割し、そのパケットの処理情報を含めた形で順次、暗号処理部102に送る。
【0037】
第2のステップとして、暗号処理部102は、処理情報と暗号処理用データブロックを暗号認証処理制御部101から受け取ると、処理情報から、そのブロックに対して適用すべき暗号アルゴリズム、鍵、IV、暗号化の処理方法などを判断し、その処理方法にしたがって暗号処理用データブロックを暗号化する。なお、暗号処理部102では複数の暗号アルゴリズムの処理が可能なように実現されていてもよい。処理された暗号処理済データブロックは、パケット構築部105に出力されると同時に、続く認証処理のために、認証処理に必要な処理情報と共にデータブロック蓄積部103にも出力される。なお、暗号処理部102は、次の暗号処理用データブロックが入力される度に、このような処理を繰り返して実行する。
【0038】
第3のステップとして、データブロック蓄積部103は、暗号処理部102より出力された暗号処理済データブロックを認証処理に必要なデータブロックサイズに等しくなるまで逐次的に蓄積し、認証処理に必要なデータブロックサイズに等しくなると、その処理情報とともに認証処理部104に出力する。データブロック蓄積部103は、蓄積された暗号処理済データブロックの蓄積量が認証用データブロックのサイズに等しいか否かの蓄積状況を、データブロック蓄積部103が持つ蓄積ブロックカウンタ等によりカウントすることで判断する。なお、別の方法としては、蓄積ブロックカウンタを暗号認証処理制御部101が持つという方法で実現してもよい。
【0039】
データブロック蓄積部103は、次の暗号処理済みデータブロックが入力される度に、それを蓄積し、n個に達しているか否かの判断を繰返し、n個に達している場合には、それまでのデータブロックを認証処理部104に出力する。
【0040】
第4のステップとして、認証処理部104は、データブロック蓄積部103から暗号処理済の認証処理用データブロックとその処理情報を受け取り、その処理情報に従って認証処理を行い、その認証値を計算する。認証処理部104は現在処理中のパケットに対する認証値をその出力値とする。
【0041】
以上の第1〜第4のステップは、この暗号処理と認証処理の両方が必要な送信パケットのうち暗号処理と認証処理が必要な全てのデータブロックについて繰り返し適用される。
【0042】
最後に、第5のステップとして、パケット構築部105は、暗号認証処理制御部101から通知される処理情報等に従って、暗号処理部102から出力される暗号処理済みデータブロックを所定順序で並べながら蓄積するとともに、認証処理部104から出力される認証値を所定位置に組み込むことによって、暗号認証処理制御部101に入力された1つのパケットに対応する暗号及び認証処理済みパケットを構築する。
【0043】
図6は、暗号処理部102での暗号処理と認証処理部104での認証処理の動作タイミングを示す図である。ここでは、1つのパケットは、m*n個の暗号処理用データブロックに分割され、n個の暗号処理用データブロック(暗号処理済みデータブロック)が1個の認証処理用データブロックに相当する。したがって、1つのパケットは、m個の認証処理用データブロックに分割される。
【0044】
本図に示されるように、暗号処理部102での暗号処理が施された暗号処理済みデータブロックは、逐次、データブロック蓄積部103に蓄積されていく。データブロック蓄積部103にn個の暗号処理済みデータブロックが蓄積されると、それらn個の暗号処理済みデータブロックは、データブロック蓄積部103から取り出されて認証処理部104に転送され、認証処理部104において、第1番目の認証処理用データブロックとして認証処理が施される。このような暗号処理と認証処理とは、並行して繰り返されていく。その結果、この1つの送信パケットに対して、暗号処理については、m*n回実行され、認証処理については、m回実行されることになる。なお、このセキュリティ通信パケット処理装置100に入力される送信パケットの長さや暗号及び認証アルゴリズム等は固定されていないので、そのパケットに付随する処理情報に基づいて、暗号処理及び認証処理の回数は動的に決定され得る。
【0045】
次に、上述の第2の種類のパケット、すなわち復号処理と認証処理の両方が必要な受信パケットがセキュリティ通信パケット処理装置100に入力された場合の処理過程(図2のデータ経路図112に相当する処理過程)について説明する。
【0046】
第1のステップとして、暗号認証処理制御部101は処理すべきパケットとその処理情報を受け取り、その処理情報から復号処理と認証処理の両方が必要な受信パケットであることを判断すると、このパケットを複製し、1つは復号処理用のパケットとして復号処理用のデータブロックに分割し、暗号処理部102にその処理情報と共に出力する。もう1つのパケットは、認証処理用のパケットとして認証処理用のデータブロックに分割し、認証処理部104にその処理情報と共に出力する。
【0047】
第2のステップとして、以下の2つの処理を並行して行う。すなわち1つ目として、暗号処理部102は受け取った復号処理用のデータブロックを、その処理情報に基づいて復号し、パケット構築部105に出力する。2つ目として認証処理部104は受け取った認証処理用のデータブロックを認証処理し、その認証値を計算する。
【0048】
以上の第1及び第2のステップは、この復号処理と認証処理の両方が必要な受信パケットのうち復号処理と認証処理が必要な全てのデータブロックについて繰り返し適用される。
【0049】
最後に、第3のステップとして、パケット構築部105は、暗号認証処理制御部101から通知される処理情報等に従って、暗号処理部102から出力される復号処理済みデータブロックを所定順序で並べながら蓄積するとともに、認証処理部104から出力される認証値を所定位置に組み込むことによって、暗号認証処理制御部101に入力された1つのパケットに対応する復号及び認証処理済みパケットを構築する。
【0050】
次に、上述の第3の種類のパケット、すなわち暗号処理又は復号処理の必要なパケットがセキュリティ通信パケット処理装置100に入力された場合の処理過程(図2のデータ経路図113に相当する処理過程)についてその詳細を説明する。
【0051】
第1のステップとして、暗号認証処理制御部101は処理すべきパケットとその処理情報を受け取り、その処理情報から暗号処理又は復号処理のみが必要なパケットであることを判断すると、これを暗号処理用データブロックに分割し、その処理情報と共に暗号処理部102に出力する。
【0052】
第2のステップとして暗号処理用データブロックとその処理情報を受け取った暗号処理部102は、その処理情報に従って、暗号処理又は復号処理を行い、パケット構築部105に処理済データブロックとして出力する。
【0053】
以上の第1及び第2のステップは、この暗号処理又は復号処理のみが必要なパケットのうち暗号処理あるいは復号処理が必要な全てのデータブロックについて繰り返し適用される。
【0054】
最後に、第3のステップとして、パケット構築部105は、暗号認証処理制御部101から通知される処理情報等に従って、暗号処理部102から出力される暗号(又は復号)処理済みデータブロックを所定順序で並べながら蓄積することによって、暗号認証処理制御部101に入力された1つのパケットに対応する暗号(又は復号)処理済みパケットを構築する。
【0055】
次に、上述の第4の種類のパケット、すなわち認証処理のみが必要なパケットがセキュリティ通信パケット処理装置100に入力された場合の処理過程(図2のデータ経路図114に相当する処理過程)について説明する。
【0056】
第1のステップとして、暗号認証処理制御部101は処理すべきパケットとその処理情報を受け取り、その処理情報から認証処理のみが必要なパケットであることを判断すると、これを認証処理用データブロックに分割し、その処理情報と共に認証処理部104に出力する。
【0057】
第2のステップとして認証処理用データブロックとその処理情報を受け取った認証処理部104はその処理情報に従って認証処理を行い、認証値を計算する。以上の第1及び第2のステップは、この認証処理のみが必要なパケットのうち認証処理が必要な全てのデータブロックについて繰り返し適用される。
【0058】
最後に、第3のステップとして、パケット構築部105は、暗号認証処理制御部101から通知される処理情報等に従って、認証処理部104から出力される認証値をこのセキュリティ通信パケット処理装置100に入力されたパケットに組み入れることによって、暗号認証処理制御部101に入力された1つのパケットに対応する認証処理済みパケットを構築する。
【0059】
以上のように、本実施の形態におけるセキュリティ通信パケット処理装置100によれば、セキュリティ通信パケット処理装置100に入力されたパケットは、4種類のいずれのタイプであるか判断され、必要なサイズのデータブロックに分割された後に必要な暗号(又は復号)処理及び認証処理が施され、わずか1回のパケット再構築によって処理済みパケットに復元される。
【0060】
つまり、従来では、暗号処理と認証処理の両方が必要な送信パケットに対して、まず暗号処理を行い、暗号処理済のパケットとして一度構築した後に再度認証処理用のデータブロックに分割し認証処理を行っているので、暗号処理後と認証処理後の2回パケットを構築する必要があり、認証処理部104は暗号処理済データブロックがパケットとして再構築されるまで待つ必要があるが、本実施の形態では、暗号処理部102と認証処理部104の間にデータブロック蓄積部103が設けられ、暗号処理部102及び認証処理部104には常にその処理に必要十分なサイズのデータブロックが入力される仕組みになっており、分割されたパケットの再構築はどのようなセキュリティ処理に対しても1回で済んでいる。つまり、データブロック蓄積部103は、暗号処理済データブロックを、認証処理に必要なデータブロックのサイズに等しくなるまで蓄積すると、これらを認証処理部に出力するため、認証処理部104での入力待ち時間が従来の方法に比べ大幅に短縮される。したがって、パケットのセキュリティ処理のスループットの向上、低遅延化、高速化及び暗号処理部と認証処理部の効率的な使用が可能となる。
【0061】
図7は、本実施の形態におけるセキュリティ通信パケット処理装置100の製品への適用の一例を説明するための図であり、ここでは、ルータやファイヤフォールとして機能するセキュリティゲートウェイ160の外観が示されている。このセキュリティゲートウェイ160は、インターネット等の公衆通信網であるWAN161と、企業等の内部で使用される複数のコンピュータ等を接続する非公開な通信網であるLAN162とを安全に相互接続する通信装置である。具体的には、このセキュリティゲートウェイ160は、例えば、IETF(Internet Engineering Task Force)が発行するRequest For Comments 2401〜2410で公開されているIPSecの仕様に対応したIPレベルでのゲートウェイであり、LAN162からWAN161に出ていくIPパケットについては、必要に応じて、暗号処理と認証処理、暗号処理だけ、又は、認証処理だけを施し、一方、WAN161からLAN162に入ってくるIPパケットについては、必要に応じて、復号処理と認証処理、復号処理だけ、又は、認証処理だけを施すことによって、WAN161を介した複数の通信装置を、第3者による盗聴やなりすましによる不正行為を排除することが可能な安全な通信路で接続する。
【0062】
図8(a)は、図7に示されたセキュリティゲートウェイ160の構成を示す機能ブロック図であり、図8(b)は、そのセキュリティゲートウェイ160の通信機能を示すプロトコルスタックを示す。このセキュリティゲートウェイ160は、LSI等で実現した本実施の形態におけるセキュリティ通信パケット処理装置100と、WAN161に接続される通信インターフェースであるWANインターフェース165と、LAN162に接続される通信インターフェースであるLANインターフェース166と、それら2つのインターフェース165及び166を介して入出力されるデータを図8(b)に示されるプロトコルスタックに従って変換したり、IPパケットに対する暗号(又は復号)処理及び認証処理をセキュリティ通信パケット処理装置100に実行させる制御を行うネットワークコントローラ167とから構成される。
【0063】
このようなセキュリティゲートウェイ160によって、インターネットを介した秘密通信等は高速化され、例えば、リアルタイム性の要求されるインターネット電話、電子決済等の双方向の対話型通信、動画像等のデジタル著作物の配信等における通信速度と安全性とが飛躍的に向上される。
【0064】
なお、本実施の形態におけるセキュリティ通信パケット処理装置100では、各構成要素間のデータの受け渡しやデータ経路については、暗号認証処理制御部101による制御の下で決定・制御されたが、これに代えて、あるいは、これに加えて、暗号認証処理制御部101、暗号処理部102、データブロック蓄積部103及び認証処理部104の間のデータの受け渡し方法については、例えば各処理部間での2WAYハンドシェイクによって実現してもよい。
【0065】
また、本実施の形態におけるセキュリティ通信パケット処理装置100は、LSIやFPGA(Field Programmable Gate-Array)により実現されても良いし、暗号処理部102や認証処理部104がDSP(Digital Signal Processor)により実現されてもよい。
また、本実施の形態においては、データブロック蓄積部103は認証処理部104と独立な構成として設けられたが、本発明は必ずしもこのような構成に限定されるものではなく、データブロック蓄積部103が認証処理部104に含まれる形で実現されてもよい。
【0066】
(実施の形態2)
次に、本発明の実施の形態2に係るセキュリティ通信パケット処理装置について説明する。
図9は、本発明の実施の形態2におけるセキュリティ通信パケット処理装置200の構成を示すブロック図である。本実施の形態におけるセキュリティ通信パケット処理装置200は、実施の形態1における暗号処理部又は認証処理部の少なくとも一方が2つ以上であり、かつ、暗号処理部と等しい数のデータブロック蓄積部を有する装置の一例であり、ここでは、1つの暗号処理部、1つのデータブロック蓄積部及び1つの認証処理部を組み合わせたもの(以下、これらの組み合わせを「パケット処理モジュール」という。)を2組並列に並べた構成、即ち、実施の形態1おけるセキュリティ通信パケット処理装置100の2台に相当する構成を有する。具体的には、このセキュリティ通信パケット処理装置200は、暗号処理部202a、データブロック蓄積部203a、認証処理部204a及びパケット構築部205aからなるパケット処理モジュールと、暗号処理部202b、データブロック蓄積部203b、認証処理部204b及びパケット構築部205bからなるパケット処理モジュールと、暗号認証処理制御部201とから構成される。
【0067】
なお、暗号処理部202a及び202b、データブロック蓄積部203a及び203b、認証処理部204a及び204b、パケット構築部205a及び205bは、それぞれ、実施の形態1における暗号処理部102、データブロック蓄積部103、認証処理部104、パケット構築部105と同一の機能を有する。また、これら各暗号処理部202a及び202b、各認証処理部204a及び204b、各データブロック蓄積部203a及び203bには、それぞれを一意に識別するためのID番号が割り当てられている。以下、本実施の形態について、実施の形態1と異なる部分を中心に説明する。
【0068】
暗号認証処理制御部201は、実施の形態1における暗号認証処理制御部101の機能に加えて、2組のパケット処理モジュールをリソースとして効率的に使用する制御機能を有する。具体的には、暗号認証処理制御部201は、各処理部202a〜205a、202b〜205bが処理中(BUSY)であるか処理可能状態(READY)であるかといった処理状況を、例えば処理中であることを意味するBUSY信号や処理可能状態であることを意味するREADY信号を各処理部から受け取ることにより把握している。ここで、例えば2つの暗号処理部202a及び202bがいずれも処理可能状態(READY)にある場合、デフォールトとして、ID番号の小さい暗号処理部を優先して使用することにしている。2つの認証処理部が同時に処理可能状態にある場合についても同様である。
【0069】
ただし、暗号認証処理制御部201は、暗号処理と認証処理の両方が必要な送信パケットについては、暗号処理が例えば暗号処理部202bで行われた場合には、そこから出力される暗号処理済データブロックがデータブロック蓄積部203bに蓄積された後に、認証処理部204bに入力され、パケット構築部205bにおいて再構築されるように制御する。即ち、暗号処理と認証処理の両方が必要な送信パケットについては、対象となるデータブロック蓄積部、認証処理部及びパケット構築部は、どの暗号処理部に処理されたかに依存して自ずと決定される。つまり、同一パケット処理モジュールの処理部によって、暗号(又は復号)処理、データブロックの蓄積、認証処理及びパケットの再構築が行われる。
【0070】
図10は、本実施の形態におけるセキュリティ通信パケット処理装置200の動作手順を示すフローチャートである。暗号認証処理制御部201は、暗号処理、認証処理、又はその両方の処理が必要なパケットとそのパケットに対する処理情報を受け取ると、そのパケットが暗号処理の必要なパケットであれば、処理可能状態にある暗号処理部202a又は202bを特定し、その暗号処理部202a又は202bにその処理情報とパケット(分割したデータブロック)を出力し、一方、認証処理のみが必要であれば処理可能状態にある認証処理部204a又は204bを特定し、その認証処理部204a又は204bにその処理情報とパケット(分割したデータブロック)を出力する(ステップ211)。以降の処理は実施の形態1で述べた方法、つまり、パケットの種類に応じた4種類のいずれかのデータ経路に従った手順に沿って、暗号(又は復号)処理や認証処理が行われる(ステップ212)。
【0071】
以上のように、本実施の形態におけるセキュリティ通信パケット処理装置200によれば、暗号処理部又は認証処理部の少なくともどちらか一方が2つ以上設けられ、暗号認証処理制御部によって、複数のパケットがアイドル状態の暗号処理部又は認証処理部に振り分けられ、複数のパケットに対する暗号処理及び認証処理が並列に実行される。したがって、暗号処理又は認証処理の必要なパケットが連続して入力されたために1つのパケット処理モジュールであればパケットが処理可能状態となって伝送遅延が生じてしまうという不具合が回避され、秘密通信の伝送速度が向上する。
【0072】
なお、本実施の形態では1組の暗号処理部、認証処理部、データブロック蓄積部を2つ並列に並べた構成について説明したが、必ずしも上記の構成に限定されるものではなく、例えば、暗号処理部の処理性能の和と認証処理部の処理性能の和が等しくなるように暗号処理部と認証処理部を設けるような構成が挙げられる。この場合、暗号処理部と認証処理部それぞれの数の比は、暗号処理用データブロックのサイズをB1、認証処理用データブロックのサイズをB2(=nB1)、暗号処理部の1ブロックあたりの処理ステップ数をT1、認証処理部の1ブロックあたりの処理ステップ数をT2とすると、暗号処理部の数:認証処理部の数=nT1:T2として求められる。なお、B、n、T1、T2は全て自然数である。
【0073】
(実施の形態3)
次に、本発明の実施の形態3に係るセキュリティ通信パケット処理装置について説明する。
図11は、本発明の実施の形態3におけるセキュリティ通信パケット処理装置300の構成を示すブロック図である。本実施の形態におけるセキュリティ通信パケット処理装置300は、接続形態が固定されないで動的に決定することが可能な複数の暗号処理部、複数のデータブロック蓄積部及び複数の認証処理部を有する点に特徴を有する装置の一例であり、1つの暗号認証処理制御部301と、1つのデータパス接続切替部302と、2つの暗号処理部303a及び303bと、2つのデータブロック蓄積部304a及び304bと、2つの認証処理部305a及び305bと、1つのパケット構築部306とから構成される。
【0074】
なお、暗号処理部303a及び303b、データブロック蓄積部304a及び304b、認証処理部305a及び305b、パケット構築部306は、それぞれ、実施の形態1における暗号処理部102、データブロック蓄積部103、認証処理部104、パケット構築部105と同一の機能を有する。また、これら各暗号処理部303a及び303b、各認証処理部305a及び305b、各データブロック蓄積部304a及び304bには、それぞれを一意に識別するためのID番号が割り当てられている。以下、本実施の形態について、実施の形態1と異なる部分を中心に説明する。
【0075】
データパス接続切替部302は、暗号認証処理制御部301からの制御に従って、暗号認証処理制御部301の出力部と暗号処理部303a又は303bの入力部、暗号認証処理制御部301の出力部と認証処理部305a又は305bの入力部、暗号処理部303aの出力部とデータブロック蓄積部304a又は304bの入力部、暗号処理部303bの出力部とデータブロック蓄積部304a又は304bの入力部、データブロック蓄積部304aの出力部と認証処理部305a又は305bの入力部、データブロック蓄積部304bの出力部と認証処理部305a又は305bの入力部とをそれぞれ独立して接続する(又は、接続しないでおく)ことが可能なセレクタ回路等である。
【0076】
暗号認証処理制御部301は、実施の形態1における暗号認証処理制御部101の機能に加えて、6つの構成要素303a、303b、304a、304b、305a及び305bをリソースとして効率的に使用するために、それらの構成要素の中から必要なものだけを動的に接続するようにデータパス接続切替部302を制御する機能を有する。
【0077】
図12は、このセキュリティ通信パケット処理装置300による動作手順を示すフローチャートである。まず、暗号認証処理制御部301は、処理すべきパケットとその処理情報を外部から受け取り、処理情報の内容から、パケットの種類、即ち、暗号(又は復号)処理及び認証処理それぞれの必要性を判断し、必要な処理を実行することが可能な(処理可能状態となっている)暗号処理部303a又は303b、データブロック蓄積部304a又は304b、認証処理部305a及び305bを特定する(ステップ311)。
【0078】
そして、暗号認証処理制御部301は、特定した各処理部がパケットの種類に応じた接続形態となるように、データパス接続切替部302に対して接続命令を発する(ステップ312)。ここで「接続命令」とは、接続すべき各処理部のID番号により表されたものや、セレクタの制御信号のようなものであっても良い。例えば、パケットが第1の種類の送信パケットであると判断した場合には、暗号認証処理制御部301は、データパス接続切替部302に対して、暗号認証処理制御部301の出力部と暗号処理部303bの入力部を接続する命令、暗号処理部303bの出力部とデータブロック蓄積部304bの入力部を接続する命令及びデータブロック蓄積部304bの出力部と認証処理部305bの入力部を接続する命令を出す。
【0079】
それに対して、データパス接続切替部302は、接続が完了すると、暗号認証処理制御部301に接続完了の意味を表すREADY信号を出力する(ステップ313)。
【0080】
READY信号を受け取った暗号認証処理制御部301は、処理すべきパケットを必要なデータブロックに分割し、データパス接続切替部302を介して、各処理部303a、303b、305a及び305bにその処理情報と共に出力する。これによって、実施の形態1で述べた処理手順に従った方法で必要な暗号(又は復号)処理、必要な認証処理及びパケットの再構築が行われる(ステップ314)。
【0081】
次に、実施の形態1で述べた4種類のパケットがこのセキュリティ通信パケット処理装置300に入力された場合それぞれに分けて具体的な動作を説明する。まず、第1の種類のパケットとして、暗号処理と認証処理の両方が必要な送信パケットがセキュリティ通信パケット処理装置300に入力された場合の処理過程について説明する。まず、第1のステップとしてまず暗号認証処理制御部301は処理すべきパケットとその処理情報を受け取り、処理情報の内容から、暗号処理と認証処理の両方が必要な送信パケットであることを判断すると、どの暗号処理部、データブロック蓄積部、認証処理部が処理可能状態にあるかを実施の形態2で述べた方法により判断する。
【0082】
ここで例えば暗号処理部303b、データブロック蓄積部304b及び認証処理部305bが処理可能状態にあったとすると、第2のステップとして暗号認証処理制御部301は、データパス接続切替部302に対し、暗号認証処理制御部301の出力部と暗号処理部303bの入力部を接続する命令、暗号処理部303bの出力部とデータブロック蓄積部304bの入力部を接続する命令及びデータブロック蓄積部304bの出力部と認証処理部305bの入力部を接続する命令を出す。
【0083】
これに対し、第3のステップとして、データパス接続切替部302は、指示された接続命令に従って各処理部を接続し、その接続が完了すると暗号認証処理制御部301に接続完了の意味を表すREADY信号を出力する。
【0084】
第4のステップとして、暗号認証処理制御部301は、データパス接続切替部302からREADY信号を受け取ると処理すべきパケットを暗号処理用データブロックに分割し、これを接続された暗号処理部303bにその処理情報と共に出力する。以降の処理は実施の形態1で述べた第1の種類の送信パケットに対する処理方法にしたがって行われる。
【0085】
次に第2の種類のパケット、つまり復号処理と認証処理の両方が必要な受信パケットがセキュリティ通信パケット処理装置300に入力された場合について、その処理過程を説明する。まず、第1のステップとしてまず暗号認証処理制御部301は処理すべきパケットとその処理情報を受け取り、処理情報の内容から、復号処理と認証処理の両方が必要な受信パケットであることを判断すると、どの暗号処理部、認証処理部が処理可能状態にあるかを判断する。
【0086】
ここで例えば暗号処理部303b及び認証処理部305bが処理可能状態にあったとすると、第2のステップとして暗号認証処理制御部301は、データパス接続切替部302に対し、暗号認証処理制御部301の出力部と暗号処理部303bの入力部を接続する命令、暗号認証処理制御部301の出力部と認証処理部305bの入力部を接続する命令を出す。
【0087】
第3のステップとして、命令を受けたデータパス接続切替部302は命令情報を元に暗号認証処理制御部301と暗号処理部303bを接続し、また暗号認証処理制御部301と認証処理部305bを接続し、接続完了後に、暗号認証処理制御部301に対し、READY信号を出力する。
【0088】
第4のステップとして、暗号認証処理制御部301は実施の形態1で述べた方法と同様にパットを複製して、1つは暗号処理用データブロックに分割し暗号処理部303bへ、もう1つは認証処理用データブロックに分割して認証処理部305bへ出力する。以降の処理は実施の形態1で述べた第2の種類のパケットに対する処理方法にしたがって行われる。
【0089】
次に第3の種類のパケット、つまり暗号又は復号処理の必要なパケットがセキュリティ通信パケット処理装置300に入力された場合について、その処理過程を説明する。まず、第1のステップとしてまず暗号認証処理制御部301は処理すべきパケットとその処理情報を受け取り、処理情報の内容から、暗号処理又は復号処理の必要なパケットであることを判断すると、どの暗号処理部が処理可能状態にあるかを判断する。
【0090】
ここで例えば暗号処理部303bが処理可能状態にあったとすると、第2のステップとして暗号認証処理制御部301は、データパス接続切替部302に対し、暗号認証処理制御部301の出力部と暗号処理部303bの入力部を接続する命令を出す。
【0091】
第3のステップとして、命令を受けたデータパス接続切替部302は命令情報を元に暗号認証処理制御部301と暗号処理部303bを接続し、接続完了後に、暗号認証処理制御部301に対し、READY信号を出力する。
【0092】
第4のステップとして、暗号認証処理制御部301はパケットを暗号処理用データブロックに分割してこれを暗号処理部303bに出力する。以降の処理は実施の形態1で述べた第3の種類のパケットに対する処理方法にしたがって行われる。
【0093】
最後に第4の種類のパケット、つまり認証処理の必要なパケットがセキュリティ通信パケット処理装置300に入力された場合について、その処理過程を説明する。まず、第1のステップとしてまず暗号認証処理制御部301は処理すべきパケットとその処理情報を受け取り、処理情報の内容から、認証処理の必要なパケットであることを判断すると、どの認証処理部が処理可能状態にあるかを判断する。
【0094】
ここで例えば認証処理部305bが処理可能状態にあったとすると、第2のステップとして暗号認証処理制御部301は、データパス接続切替部302に対し、暗号認証処理制御部301の出力部と認証処理部305bの入力部を接続する命令を出す。
【0095】
第3のステップとして、命令を受けたデータパス接続切替部302は命令情報を元に暗号認証処理制御部301と認証処理部305bを接続し、接続完了後に、暗号認証処理制御部301に対し、READY信号を出力する。
【0096】
第4のステップとして、暗号認証処理制御部301はパケットを暗号処理用データブロックに分割してこれを認証処理部305bに出力する。以降の処理は実施の形態1で述べた第4の種類のパケットに対する処理方法にしたがって行われる。
【0097】
以上のように、本実施の形態におけるセキュリティ通信パケット処理装置300によれば、各処理部を様々な経路で接続する接続データパス接続切替部302が設けられ、これによって、必ずしも1つの暗号処理部と1つのデータブロック蓄積部及び1つの認証処理部がセットとなって固定的に占有されることなく、ある暗号処理部の出力は処理可能状態にある任意のデータブロック蓄積部へと出力でき、またデータブロック蓄積部の出力は処理可能状態にある任意の認証処理部へと入力することが可能な柔軟性の高い構成になっており、暗号処理部、データブロック蓄積部及び認証処理部の組合わせの自由度が高く、効率的な使用が可能となっている。また、暗号処理部や、認証処理部を複数設けたり、ある暗号アルゴリズムを実装した暗号処理部を別の暗号アルゴリズムを実装した暗号処理部で置き換えるなどの操作も容易に実現される。
【0098】
(実施の形態4)
次に、本発明の実施の形態4に係るセキュリティ通信パケット処理装置について説明する。
図13は、本発明の実施の形態4におけるセキュリティ通信パケット処理装置400の構成を示すブロック図である。本実施の形態におけるセキュリティ通信パケット処理装置400は、実施の形態3のセキュリティ通信パケット処理装置300において、2つの暗号処理部、2つのデータブロック蓄積部及び2つの認証処理部それぞれに接続される6個のデータ退避領域(処理データ退避部)を追加した構成を備える。つまり、セキュリティ通信パケット処理装置400は、1つの暗号認証処理制御部401と、1つのデータパス接続切替部402と、2つの暗号処理部403a及び403bと、2つのデータブロック蓄積部404a及び404bと、2つの認証処理部405a及び405bと、6つの処理データ退避部406a、406b、406c、406d、406e及び406fと、1つのパケット構築部407とから構成される。以下、本実施の形態について、実施の形態3と異なる部分を中心に説明する。
【0099】
6つの処理データ退避部406a、406b、406c、406d、406e及び406fは、それぞれ、対応する暗号処理部403a、403b、データブロック蓄積部404a、404b、認証処理部405a、405bにおいて処理中の全てのデータを一時的に保存するだけの記憶領域を有するメモリ等である。
【0100】
なお、本実施の形態では、暗号認証処理制御部401は、実施の形態1で述べた4種類のパケットと、その処理情報を受け取るが、その処理情報にはそのパケットの処理の優先度に関する情報が含められているものとする。「優先度に関する情報」とは、例えば数字で表現される。この数字は、例えばIPヘッダに含まれるType of Service(ToS)ビットの情報に対応づけて割り当てられる。
【0101】
暗号認証処理制御部401は、実施の形態3における暗号認証処理制御部301の機能に加えて、入力されたパケットが持つ優先度に応じたリソース(暗号処理部、データブロック蓄積部及び認証処理部)の割り当て処理を行う。具体的には、パケットが入力されたときに、暗号(又は復号)処理及び認証処理に必要な全てのリソースが処理中であった場合には、その中で最も優先度の低いパケットを処理しているリソースを特定し、処理中のデータを処理データ退避部に退避させることによってそのリソースを開放させ、いま入力された、より優先度の高いパケットの処理を先に実行させるという制御を行う。
【0102】
図14は、このセキュリティ通信パケット処理装置400による動作手順を示すフローチャートである。
まず、暗号認証処理制御部401は、処理すべきパケットとその処理情報を受け取ると、その処理情報からパケットの処理に必要な処理部が処理可能状態にあるか否か判断する(ステップ411)。その結果、必要な処理部が処理可能状態にある場合には(ステップ411でYes)、その処理部にデータブロックとその処理情報を出力し、以降、実施の形態3の処理過程(図12のステップ311〜314)に従って処理を進めさせる(ステップ412)。
【0103】
一方、パケットの処理に必要な処理部がすべて処理中である場合(ステップ411でNo)、暗号認証処理制御部401は、最も優先度の低いパケットを処理している処理部に対し、現在処理中のデータをその処理部に接続された処理データ退避部に退避させる命令を出す(ステップ413)。その退避命令を受けた処理部は、現在処理中のデータとその処理情報を処理データ退避部に退避させ、退避処理完了後に、暗号認証処理制御部401にREADY信号を出力する(ステップ414)。
【0104】
そのREADY信号を受け取った暗号認証処理制御部401は、その処理部にデータブロックとその処理情報を出力し、以降、実施の形態3の処理過程(図12のステップ311〜314)に従って処理を進めさせる(ステップ415)。優先したパケットに対する全ての処理が完了した後には、その処理部は、退避していた処理中のデータを処理データ退避部から読み出し、中断していたパケットに対する処理を再開する(ステップ416)。
【0105】
以上のように、本実施の形態におけるセキュリティ通信パケット処理装置400によれば、実施の形態3の構成に加えて、処理データ退避部406a、406b、406c、406d、406e、406fが設けられ、これによって、実施の形態3で述べた効果に加え、パケットの優先処理制御が可能となる。
【0106】
なお、本実施の形態では、全ての暗号処理部、データブロック蓄積部及び認証処理部にそれぞれ処理データ退避部を設けた構成となっているが、本発明は、必ずしも上記の構成に限定されるものではなく、例えば全ての暗号処理部のみにそれぞれ処理データ退避部を設けるなど、任意の処理部にそれぞれ処理データ退避部を設けても良い。また、本実施の形態は実施の形態2におけるセキュリティ通信パケット処理装置200にも適用できる。この場合の処理方法については上記と同様の方法によって可能である。
【0107】
また、本実施の形態では、暗号認証処理制御部301にパケットが入力されたときに、必要な全ての処理部が処理中である場合に、入力されたパケットの優先度とは無関係に、処理中のパケットの中で最も優先度の低いパケットを処理している処理部が強制的に開放されたが、入力されたパケットの優先度との関係を条件に加えてもよい。つまり、入力されたパケットの優先度よりも低く、かつ、処理中のパケットの中で最も優先度の低いパケットを処理している処理部を強制的に開放することにしてもよい。
【0108】
また、強制的に開放させる処理部を決定するパラメータとして、パケットの優先度だけでなく、パケットの大きさ、処理に要するステップ数、処理中のパケットの処理が完了するまでの残りステップ数等を用いてもよい。
【0109】
(実施の形態5)
次に、本発明の実施の形態5に係るセキュリティ通信パケット処理装置について説明する。
図15は、本発明の実施の形態5におけるセキュリティ通信パケット処理装置500の構成を示すブロック図である。本実施の形態におけるセキュリティ通信パケット処理装置500は、実施の形態2のセキュリティ通信パケット処理装置200において、2つの暗号処理部、2つのデータブロック蓄積部及び2つの認証処理部に共通のデータ退避領域(処理データ退避部)を追加した構成を備える。つまり、セキュリティ通信パケット処理装置500は、暗号処理部502a、データブロック蓄積部503a、認証処理部504a及びパケット構築部506aからなるパケット処理モジュールと、暗号処理部502b、データブロック蓄積部503b、認証処理部504b及びパケット構築部506bからなるパケット処理モジュールと、暗号認証処理制御部501と、処理データ退避部505とから構成される。
【0110】
処理データ退避部505は、暗号処理部502a及び502b、データブロック蓄積部503a及び503b、認証処理部504a及び504bと接続され、それらの処理部において処理中の全てのデータを一時的に保存するだけの記憶領域を有するメモリ等である。
【0111】
なお、本実施の形態では、実施の形態4と同様に、暗号認証処理制御部501は、実施の形態1で述べた4種類のパケットと、その処理情報を受け取るが、その処理情報にはそのパケットの処理の優先度に関する情報が含められているものとする。
【0112】
暗号認証処理制御部501は、実施の形態2における暗号認証処理制御部201の機能に加えて、入力されたパケットが持つ優先度に応じたリソース(パケット処理モジュール)の割り当て処理を行う。具体的には、パケットが入力されたときに、暗号(又は復号)処理及び認証処理に必要な全てのリソースが処理中であった場合には、その中で最も優先度の低いパケットを処理しているリソースを特定し、処理中のデータを処理データ退避部505に退避させることによってそのリソースを開放させ、いま入力された、より優先度の高いパケットの処理を先に実行させるという制御を行う。
【0113】
図16は、このセキュリティ通信パケット処理装置500による動作手順を示すフローチャートである。まず、暗号認証処理制御部501は、処理すべきパケットとその処理情報を受け取ると、その処理情報からパケットの処理に必要な処理部が処理可能状態にあるか否か判断する(ステップ511)。その結果、必要な処理部が処理可能状態にある場合には(ステップ511でYes)、その処理部にデータブロックとその処理情報を出力し、以降、実施の形態2の処理過程(図10のステップ211〜212)に従って処理を進めさせる(ステップ512)。
【0114】
一方、パケットの処理に必要な処理部がすべて処理中である場合(ステップ511でNo)、暗号認証処理制御部501は、最も優先度の低いパケットを処理している処理部に対し、現在処理中のデータを処理データ退避部505に退避させる命令を退避先のアドレスを含めた形で出す(ステップ513)。その退避命令を受けた処理部は、現在処理中のデータとその処理情報を処理データ退避部505の指定されたアドレスに退避させ、退避処理完了後に、暗号認証処理制御部501にREADY信号を出力する(ステップ514)。
【0115】
そのREADY信号を受け取った暗号認証処理制御部501は、その処理部にデータブロックとその処理情報を出力し、以降、実施の形態2の処理過程(図10のステップ211〜212)に従って処理を進めさせる(ステップ515)。優先したパケットに対する全ての処理が完了した後、あるいは、他の処理部が処理可能状態に至った場合には、その処理部は、退避されていた処理中のデータを処理データ退避部505から読み出し、中断していたパケットに対する処理を再開する(ステップ516)。
【0116】
以上のように、本実施の形態におけるセキュリティ通信パケット処理装置500によれば、実施の形態2の構成に加えて、暗号処理部502a及び502b、データブロック蓄積部503a及び503b、認証処理部504a及び504bが共通に使用できる処理データ退避部505が設けられ、これによって、実施の形態2で述べた効果に加え、パケットの優先処理制御が可能になるとともに、各処理部それぞれに専用の処理データ退避部を設けた実施の形態4に比べ、処理データ退避部の効率的な使用が可能となる。
【0117】
なお、本実施の形態では、全ての暗号処理部、データブロック蓄積部及び認証処理部に共通に処理データ退避部を設けた構成となっているが、必ずしも上記の構成に限定されるものではなく、例えば全ての暗号処理部のみに共通に処理データ退避部を設けるなど、任意の組み合わせの処理部で処理データ退避部を共通に設けても良い。
【0118】
また、本実施の形態におけるデータ退避領域の共通化という技術は、実施の形態3におけるセキュリティ通信パケット処理装置300にも適用することができる。具体的には、図17に示されるセキュリティ通信パケット処理装置600のように、暗号処理部603a及び603b、データブロック蓄積部604a及び604b、認証処理部605a及び605bに共通のデータ退避領域(処理データ退避部606)を追加した構成とすることができる。この場合、暗号認証処理制御部601がデータパス接続切替部602に、処理中のデータを退避させる対象となる処理部と処理データ退避部606とを接続する命令を出すことにより、データの退避が可能となる。
【0119】
以上のように、本発明の5つの実施の形態から分かるように、本発明によれば、暗号処理と認証処理の両方の処理を行う場合の処理単位を、その処理を行うのに必要十分なデータブロックサイズとすることにより、同処理単位をパケットとしていた従来技術と比べ、暗号及び認証処理の高速化及び低遅延化が実現できる。
【0120】
また、本発明によれば、暗号処理と認証処理の両方の処理を行う場合、暗号処理後のデータブロックは認証処理に必要十分なデータブロックサイズになるまで蓄積され、認証処理用のデータブロックに等しくなるとこれを認証処理するため、暗号処理後に一度パケットとして組み直していた従来技術と比べ、暗号処理後のデータブロックをバッファリングするためのメモリ資源の節約にも寄与できる。
【0121】
また、本発明によれば、暗号処理部及び認証処理部の少なくともどちらか一方を2つ以上設けることにより、複数のパケットの同時処理を可能にし、パケットのセキュリティ処理のスループット向上を実現できる。
【0122】
また、本発明によれば、データパス接続切替部を設けることにより、暗号処理部又は認証処理部又はその両方が複数個ある場合でも、必ずしも暗号処理部とデータブロック蓄積部と認証処理部それぞれは固定的に対応させる必要はなく、暗号処理後に認証処理の必要なデータブロックは、任意のデータブロック蓄積部へと出力することができ、データブロック蓄積部の出力は任意の認証処理部へと出力できるため、暗号処理部とデータブロック蓄積部と認証処理部のより効率的な使用が可能となり、また暗号処理部と認証処理部の拡張、入替が容易になるという効果がある。
【0123】
また、本発明によれば、処理データ退避部を設けることにより、パケット処理は必ずしもセキュリティ通信パケット処理装置に入力された順に処理されるわけではなく、パケットの優先度などに応じ、その処理順序を操作することができる。
【0124】
また、本発明によれば、処理データ退避部を暗号処理部、認証処理部及びデータブロック蓄積部の任意の組み合わせで共有することにより、処理データ退避部を共有する処理可能状態にある任意の暗号処理部あるいは認証処理部は、処理データ退避部に処理すべきデータブロックがあればこれを処理することが可能なため、暗号処理部及び認証処理部のより効率的な利用が可能となる。
【0125】
以上、本発明に係るセキュリティ通信パケット処理装置について、5つの実施の形態に基づいて説明したが、本発明は、これらの実施の形態に限定されるものではない。
【0126】
つまり、5つの実施の形態における特徴を組み合わせることによって、様々な態様の他の実施の形態を実現することができる。例えば、実施の形態4における特徴(各処理部ごとに処理データ退避部を設けること)を実施の形態2に適用することによって、図9に示されたセキュリティ通信パケット処理装置200の各処理部202a、202b、203a、203b、204a及び204bそれぞれに専用の処理データ退避部が接続されたセキュリティ通信パケット処理装置を実現することができる。
【0127】
また、実施の形態2〜5のセキュリティ通信パケット処理装置についても、実施の形態1と同様に、製品への適用として、セキュリティゲートウェイ等の通信装置やコンピュータ装置に組み入れることができるのは言うまでもない。
【0128】
なお、本発明の産業上の利用可能性は以下の通りである。つまり、本発明に係るセキュリティ通信パケット処理装置は、各種通信網を接続する中継装置として、また、ルータやファイヤフォールとして機能するセキュリティゲートウェイとして、さらに、インターネット等の公衆通信網であるWANと企業等の内部で使用される複数のコンピュータ等を接続する非公開な通信網であるLANとを安全に相互接続する通信装置として用いるのに適している。
【0129】
【発明の効果】
以上の説明から明らかなように、本発明に係るセキュリティ通信パケット処理装置は、暗号処理用データブロックを処理するための暗号処理部と、認証処理用データブロックを処理するための認証処理部と、前記暗号処理用データブロックと暗号処理に必要な情報とを前記暗号処理部に出力し、前記認証処理用データブロックと認証処理に必要な情報とを前記認証処理部に出力し、前記暗号処理部と前記認証処理部とを制御するための暗号認証処理制御部とを含むセキュリティ通信機能を有するネットワーク接続装置又は前記セキュリティ通信機能を有するコンピュータにおいて、前記暗号処理部において処理されたデータブロックを認証処理用の最小データブロックサイズに等しくなるまで逐次的に蓄積し、前記認証処理用の最小データブロックサイズに等しくなるとこれを前記認証処理部に出力するデータブロック蓄積部を具備し、前記データブロック蓄積部の出力したデータブロックを前記認証処理部が処理している間に、前記暗号処理部は次の暗号処理用データブロックを処理し、前記データブロック蓄積部は次の認証処理用暗号処理済データブロックを蓄積することを特徴とするセキュリティ通信パケット処理装置である。これによって、暗号処理と認証処理が必要なパケットに対してもその処理単位を暗号処理又は認証処理に必要十分なデータブロックを処理単位とすることにより、低遅延、スループットの向上が図られ、かつ暗号処理部と認証処理部の効率的な使用が可能となる。
【0130】
また、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号処理部と認証処理部の少なくともどちらか一方は2個以上設け、前記暗号処理部の数と等しいデータブロック蓄積部とを設けることを特徴とする。これによって、複数のパケットの並列処理が可能となり、スループットの高いセキュリティ処理が実現される。
【0131】
また、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号認証処理制御部の処理命令により、前記暗号認証処理制御部より出力するデータブロックが暗号処理用データブロックであれば前記暗号認証処理制御部の出力部と暗号処理部の入力部を接続し、前記暗号認証処理制御部より出力するデータブロックが認証処理用データブロックであれば前記暗号認証処理制御部の出力部と認証処理部の入力部を接続し、前記暗号処理部で処理したデータブロックが更に認証処理も必要であれば前記暗号処理部の出力部とデータブロック蓄積部の入力部とを接続し、前記データブロック蓄積部で蓄積されたデータが出力できる状態になれば前記データブロック蓄積部の出力部と前記認証処理部の入力部とを接続するデータパス接続切替部を設けることを特徴とする。これによって、暗号処理部又は認証処理部又はその両方が複数個ある場合でも、必ずしも暗号処理部とデータブロック蓄積部と認証処理部はそれぞれ1対1に対応する必要はなく、暗号処理後に認証処理の必要なデータブロックは、任意のデータブロック蓄積部へと出力することができ、データブロック蓄積部の出力は任意の認証処理部へと出力できるため、暗号処理部とデータブロック蓄積部と認証処理部のより効率的な使用が可能となり、また暗号処理部と認証処理部の拡張、入替が容易となる。
【0132】
また、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号処理部又は認証処理部において処理されているデータブロック及びデータブロック蓄積部に蓄積されているデータブロックを、暗号認証処理処理制御部の指示によりそのデータブロックに関する情報と共に一時的に退避させる処理データ退避部を、暗号処理部、認証処理部及びデータブロック蓄積部の一部、又は全てに対して個別に設けることを特徴とする。これによって、パケットの優先処理が可能となる。
【0133】
また、本発明に係るセキュリティ通信パケット処理装置は、上記セキュリティ通信パケット処理装置において、暗号処理部又は認証処理部において処理されているデータブロック及びデータブロック蓄積部に蓄積されているデータブロックを、暗号認証処理制御部の指示によりそのデータブロックに関する情報と共に一時的に退避させる処理データ退避部を、暗号処理部、認証処理部、データブロック蓄積部の任意の組み合わせで共通に設けた構成とすることもできる。これによって、処理データ退避部に接続された任意の暗号処理部、認証処理部又はデータブロック蓄積部は1つの処理データ退避部を利用することができ、また処理データ退避部にある処理途中のデータブロックは処理データ退避部に接続された任意の暗号処理部、認証処理部又はデータブロック蓄積部によって処理を再開できることが可能となり、上記セキュリティ通信パケット処理装置とは異なる構成で、パケットの優先処理が可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態1におけるセキュリティ通信パケット処理装置の構成を示すブロック図である。
【図2】暗号認証処理制御部によるデータの経路制御を説明する図である。
【図3】(a)は、暗号処理部の詳細な構成例を示すブロック図である。(b)は、(a)に示されたブロック暗号器での暗号(又は復号)処理の一例を示す図である。
【図4】(a)は、データブロック蓄積部の機能を示すデータフロー図である。(b)は、データブロック蓄積部の処理手順を示すフローチャートである。
【図5】(a)は、認証処理部の詳細な構成例を示すブロック図である。(b)は、(a)に示されたハッシュ回路でのハッシュ処理の概要を示す図である。
【図6】暗号処理部での暗号処理と認証処理部での認証処理の動作タイミングを示す図である。
【図7】本発明のセキュリティ通信パケット処理装置の製品への適用の一例を示す図である。
【図8】(a)は、図7に示されたセキュリティゲートウェイの構成を示す機能ブロック図であり、(b)は、そのセキュリティゲートウェイの通信機能を示すプロトコルスタックを示す。
【図9】本発明の実施の形態2におけるセキュリティ通信パケット処理装置の構成を示すブロック図である。
【図10】同セキュリティ通信パケット処理装置の動作手順を示すフローチャートである。
【図11】本発明の実施の形態3におけるセキュリティ通信パケット処理装置の構成を示すブロック図である。
【図12】同セキュリティ通信パケット処理装置による動作手順を示すフローチャートである。
【図13】本発明の実施の形態4におけるセキュリティ通信パケット処理装置の構成を示すブロック図である。
【図14】同セキュリティ通信パケット処理装置による動作手順を示すフローチャートである。
【図15】本発明の実施の形態5におけるセキュリティ通信パケット処理装置の構成を示すブロック図である。
【図16】同セキュリティ通信パケット処理装置による動作手順を示すフローチャートである。
【図17】変形例に係るセキュリティ通信パケット処理装置のブロック図である。
【図18】暗号処理と認証処理の両方を必要とするパケットに対する従来の処理手順を示すフローチャートである。
【符号の説明】
100 セキュリティ通信パケット処理装置
101 暗号認証処理制御部
102 暗号処理部
103 データブロック蓄積部
104 認証処理部
105 パケット構築部
121 入力ブロックバッファ
122 ブロック暗号器
123 出力ブロックバッファ
141 入力ブロックバッファ
142 ハッシュ回路
143 認証値出力バッファ
160 セキュリティゲートウェイ
161 WAN
162 LAN
165 WANインターフェース
165 インターフェース
166 LANインターフェース
167 ネットワークコントローラ
200 セキュリティ通信パケット処理装置
201 暗号認証処理制御部
202a、202b 暗号処理部
203a、203b データブロック蓄積部
204a、204b 認証処理部
205a、205b パケット構築部
300 セキュリティ通信パケット処理装置
301 暗号認証処理制御部
302 データパス接続切替部
303a、303b 暗号処理部
304a、304b データブロック蓄積部
305a、305b 認証処理部
306 パケット構築部
400 セキュリティ通信パケット処理装置
401 暗号認証処理制御部
402 データパス接続切替部
403a、403b 暗号処理部
404a、404b データブロック蓄積部
405a、405b 認証処理部
406a〜406f 処理データ退避部
407 パケット構築部
500 セキュリティ通信パケット処理装置
501 暗号認証処理制御部
502a、502b 暗号処理部
503a、503b データブロック蓄積部
504a、504b 認証処理部
505 処理データ退避部
506a、506b パケット構築部
600 セキュリティ通信パケット処理装置
601 暗号認証処理制御部
602 データパス接続切替部
603a、603b 暗号処理部
604a、604b データブロック蓄積部
605a、605b 認証処理部
606 処理データ退避部

Claims (19)

  1. パケットに対して暗号処理、復号処理及び認証処理の少なくとも1つを施すセキュリティ通信パケット処理装置であって、
    B1ビットのデータブロックの単位で暗号処理又は復号処理をする1以上の暗号処理手段と、
    前記暗号処理手段による暗号処理又は復号処理と並行して、B2(=n×B1)ビットのデータブロックの単位で認証処理をし、認証処理の結果を示す認証値を出力する1以上の認証処理手段と、
    前記暗号処理手段による暗号処理が施されたデータブロックを蓄積し、その蓄積量がB2ビットに等しくなると、それらのデータブロックを前記認証処理手段に出力する1以上のデータブロック蓄積手段と、
    前記暗号処理手段から暗号処理又は復号処理が施されたデータブロックを受け取り、前記認証処理手段から認証値を受け取り、受け取ったデータブロック及び認証値を含むパケットを構築するパケット構築手段と、
    入力されたパケットをB1ビットのデータブロックに分割し、順次、前記暗号処理手段に出力する制御手段と
    を備えることを特徴とするセキュリティ通信パケット処理装置。
  2. 前記制御手段は、入力されたパケットが、暗号処理及び認証処理が必要な第1タイプのパケット、復号処理及び認証処理が必要な第2タイプのパケット、暗号処理又は復号処理だけが必要な第3タイプのパケット、並びに、認証処理だけが必要な第4タイプのパケットのいずれであるかを判断し、
    前記第1タイプのパケットであると判断した場合には、そのパケットをB1ビットのデータブロックに分割し、順次、前記暗号処理手段に出力し、
    前記第2タイプのパケットであると判断した場合には、そのパケットをB1ビットのデータブロックに分割し、順次、前記暗号処理手段に出力するとともに、前記パケット又は前記パケットの複製をB2ビットのデータブロックに分割し、順次、前記認証処理手段に出力し、
    前記第3タイプのパケットであると判断した場合には、そのパケットをB1ビットのデータブロックに分割し、順次、前記暗号処理手段に出力し、
    前記第4タイプのパケットであると判断した場合には、そのパケットをB2ビットのデータブロックに分割し、順次、前記認証処理手段に出力する
    ことを特徴とする請求項1記載のセキュリティ通信パケット処理装置。
  3. 前記暗号処理手段及び前記認証処理手段の少なくとも一方の数は、2以上であり、
    前記データブロック蓄積手段の数は、前記暗号処理手段の数と等しい
    ことを特徴とする請求項1記載のセキュリティ通信パケット処理装置。
  4. 前記制御手段は、2以上の暗号処理手段又は2以上の認証処理手段の中から、処理可能状態となっている暗号処理手段又は認証処理手段を特定し、特定した暗号処理手段又は認証処理手段に前記データブロックを出力する
    ことを特徴とする請求項3記載のセキュリティ通信パケット処理装置。
  5. 前記セキュリティ通信パケット処理装置は、さらに、
    前記制御手段の出力部と前記暗号処理手段の入力部、前記制御手段の出力部と前記認証処理手段の入力部、前記暗号処理手段の出力部と前記データブロック蓄積手段の入力部、前記データブロック蓄積手段の出力部と前記認証処理手段の入力部とをそれぞれ独立して接続することが可能なデータパス接続切替手段を備える
    ことを特徴とする請求項1記載のセキュリティ通信パケット処理装置。
  6. 前記制御手段は、入力されたパケットが、暗号処理及び認証処理が必要な第1タイプのパケット、復号処理及び認証処理が必要な第2タイプのパケット、暗号処理又は復号処理だけが必要な第3タイプのパケット、並びに、認証処理だけが必要な第4タイプのパケットのいずれであるかを判断し、
    前記第1タイプのパケットであると判断した場合には、前記データパス接続切替手段を制御することにより、前記制御手段の出力部と前記暗号処理手段の入力部、前記暗号処理手段の出力部と前記データブロック蓄積手段の入力部、及び、前記データブロック蓄積手段の出力部と前記認証処理手段の入力部とを接続させ、
    前記第2タイプのパケットであると判断した場合には、前記データパス接続切替手段を制御することにより、前記制御手段の出力部と前記暗号処理手段の入力部、及び、前記制御手段の出力部と前記認証処理手段の入力部とを接続させ、
    前記第3タイプのパケットであると判断した場合には、前記データパス接続切替手段を制御することにより、前記制御手段の出力部と前記暗号処理手段の入力部とを接続させ、
    前記第4タイプのパケットであると判断した場合には、前記データパス接続切替手段を制御することにより、前記制御手段の出力部と前記認証処理手段の入力部とを接続させる
    ことを特徴とする請求項5記載のセキュリティ通信パケット処理装置。
  7. 前記暗号処理手段及び前記認証処理手段の少なくとも一方の数は、2以上であり、
    前記データブロック蓄積手段の数は、前記暗号処理手段の数と等しい
    ことを特徴とする請求項6記載のセキュリティ通信パケット処理装置。
  8. 前記制御手段は、2以上の暗号処理手段又は2以上の認証処理手段の中から、処理可能状態となっている暗号処理手段又は認証処理手段を特定し、特定した暗号処理手段又は認証処理手段を前記データパス接続切替手段によって接続させる
    ことを特徴とする請求項7記載のセキュリティ通信パケット処理装置。
  9. 前記セキュリティ通信パケット処理装置は、さらに、
    前記暗号処理手段、前記認証処理手段及び前記データブロック蓄積手段の少なくとも1つの処理部について、その処理部で処理されているデータブロックを一時的に退避させるための記憶領域をその処理部に対応させて個別に有する処理データ退避手段を前記処理部ごとに対応させて備える
    ことを特徴とする請求項1記載のセキュリティ通信パケット処理装置。
  10. 前記制御手段は、新たにパケットが入力されると、パケットのデータブロックを処理中の前記処理部の中から、最も優先度の低いパケットのデータブロックを処理している処理部を特定し、その処理部で処理されているデータブロックを前記処理データ退避手段に退避させた後に、その処理部に、新たに入力された前記パケットのデータブロックを処理させる
    ことを特徴とする請求項9記載のセキュリティ通信パケット処理装置。
  11. 前記セキュリティ通信パケット処理装置は、さらに、
    前記制御手段の出力部と前記暗号処理手段の入力部、前記制御手段の出力部と前記認証処理手段の入力部、前記暗号処理手段の出力部と前記データブロック蓄積手段の入力部、前記データブロック蓄積手段の出力部と前記認証処理手段の入力部とをそれぞれ独立して接続することが可能なデータパス接続切替手段を備える
    ことを特徴とする請求項10記載のセキュリティ通信パケット処理装置。
  12. 前記暗号処理手段及び前記認証処理手段の少なくとも一方の数は、2以上であり、
    前記データブロック蓄積手段の数は、前記暗号処理手段の数と等しい
    ことを特徴とする請求項11記載のセキュリティ通信パケット処理装置。
  13. 前記セキュリティ通信パケット処理装置は、さらに、
    前記暗号処理手段、前記認証処理手段及び前記データブロック蓄積手段の少なくとも2つの処理部について、それらの処理部で処理されているデータブロックを一時的に退避させるための共通の記憶領域を有する処理データ退避手段を備える
    ことを特徴とする請求項1記載のセキュリティ通信パケット処理装置。
  14. 前記制御手段は、新たにパケットが入力されると、パケットのデータブロックを処理中の前記処理部の中から、最も優先度の低いパケットのデータブロックを処理している処理部を特定し、その処理部で処理されているデータブロックを前記処理データ退避手段に退避させた後に、その処理部に、新たに入力された前記パケットのデータブロックを処理させる
    ことを特徴とする請求項13記載のセキュリティ通信パケット処理装置。
  15. 前記セキュリティ通信パケット処理装置は、さらに、
    前記制御手段の出力部と前記暗号処理手段の入力部、前記制御手段の出力部と前記認証処理手段の入力部、前記暗号処理手段の出力部と前記データブロック蓄積手段の入力部、前記データブロック蓄積手段の出力部と前記認証処理手段の入力部とをそれぞれ独立して接続することが可能なデータパス接続切替手段を備える
    ことを特徴とする請求項14記載のセキュリティ通信パケット処理装置。
  16. 前記暗号処理手段及び前記認証処理手段の少なくとも一方の数は、2以上であり、
    前記データブロック蓄積手段の数は、前記暗号処理手段の数と等しい
    ことを特徴とする請求項15記載のセキュリティ通信パケット処理装置。
  17. 前記B1は、64であり、
    前記B2は、512である
    ことを特徴とする請求項1記載のセキュリティ通信パケット処理装置。
  18. 制御手段と暗号処理手段とデータブロック蓄積手段と認証処理手段とパケット構築手段とを備えるセキュリティ通信パケット処理装置によって、パケットに対して暗号処理、復号処理及び認証処理の少なくとも1つを施すセキュリティ通信パケット処理方法であって、
    制御手段により、入力されたパケットをB1ビットのデータブロックに分割する分割ステップと、
    暗号処理手段により、分割されたB1ビットのデータブロックに対して暗号処理又は復号処理をする暗号処理ステップと、
    データブロック蓄積手段により、前記暗号処理が施されたデータブロックを蓄積し、その蓄積量がB2(=n×B1)ビットに等しくなると、それらのデータブロックを出力するデータブロック蓄積ステップと、
    認証処理手段により、前記暗号処理又は復号処理と並行して、前記B2ビットのデータブロックに対して認証処理をし、認証処理の結果を示す認証値を出力する認証処理ステップと、
    パケット構築手段により、前記暗号処理又は復号処理が施されたデータブロックを受け取り、前記認証値を受け取り、受け取ったデータブロック及び認証値を含むパケットを構築するパケット構築ステップと
    を含むことを特徴とするセキュリティ通信パケット処理方法。
  19. 前記セキュリティ通信パケット処理方法は、さらに、
    前記制御手段により、入力されたパケットが、暗号処理及び認証処理が必要な第1タイプのパケット、復号処理及び認証処理が必要な第2タイプのパケット、暗号処理又は復号処理だけが必要な第3タイプのパケット、並びに、認証処理だけが必要な第4タイプのパケットのいずれであるかを判断し、前記第1タイプのパケットであると判断した場合に、前記制御手段による前記分割ステップでの分割、前記暗号処理手段による前記暗号処理ステップでの暗号処理、前記データブロック蓄積手段による前記データブロック蓄積ステップでの蓄積、前記認証処理手段による前記認証処理ステップでの認証処理、及び、前記パケット構築手段による前記パケット構築ステップでの構築を実行させる制御ステップを含む
    ことを特徴とする請求項18記載のセキュリティ通信パケット処理方法
JP2001376424A 2000-12-25 2001-12-10 セキュリティ通信パケット処理装置及びその方法 Expired - Fee Related JP3990565B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001376424A JP3990565B2 (ja) 2000-12-25 2001-12-10 セキュリティ通信パケット処理装置及びその方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000391938 2000-12-25
JP2000-391938 2000-12-25
JP2001376424A JP3990565B2 (ja) 2000-12-25 2001-12-10 セキュリティ通信パケット処理装置及びその方法

Publications (2)

Publication Number Publication Date
JP2002287620A JP2002287620A (ja) 2002-10-04
JP3990565B2 true JP3990565B2 (ja) 2007-10-17

Family

ID=18858006

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001376424A Expired - Fee Related JP3990565B2 (ja) 2000-12-25 2001-12-10 セキュリティ通信パケット処理装置及びその方法

Country Status (6)

Country Link
US (1) US7158637B2 (ja)
EP (1) EP1364509B1 (ja)
JP (1) JP3990565B2 (ja)
CN (1) CN100428751C (ja)
DE (1) DE60128007T2 (ja)
WO (1) WO2002052765A2 (ja)

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE20003469U1 (de) * 2000-02-23 2000-08-17 Medical Communications Soft- und Hardware GmbH, 76131 Karlsruhe Hand-Held-Computer
US20020116333A1 (en) * 2001-02-20 2002-08-22 Mcdonnell Joseph A. Method of authenticating a payment account user
US7151831B2 (en) 2001-06-06 2006-12-19 Sony Corporation Partial encryption and PID mapping
US7895616B2 (en) 2001-06-06 2011-02-22 Sony Corporation Reconstitution of program streams split across multiple packet identifiers
US7292691B2 (en) * 2002-01-02 2007-11-06 Sony Corporation Progressive video refresh slice detection
US7155012B2 (en) * 2002-01-02 2006-12-26 Sony Corporation Slice mask and moat pattern partial encryption
US7218738B2 (en) * 2002-01-02 2007-05-15 Sony Corporation Encryption and content control in a digital broadcast system
US7765567B2 (en) 2002-01-02 2010-07-27 Sony Corporation Content replacement by PID mapping
US7292690B2 (en) * 2002-01-02 2007-11-06 Sony Corporation Video scene change detection
US7823174B2 (en) 2002-01-02 2010-10-26 Sony Corporation Macro-block based content replacement by PID mapping
US7082534B2 (en) * 2002-05-31 2006-07-25 Broadcom Corporation Method and apparatus for performing accelerated authentication and decryption using data blocks
JP4326189B2 (ja) * 2002-06-10 2009-09-02 健 坂村 自律型icカード及び通信システム
US7334124B2 (en) * 2002-07-22 2008-02-19 Vormetric, Inc. Logical access block processing protocol for transparent secure file storage
US8818896B2 (en) 2002-09-09 2014-08-26 Sony Corporation Selective encryption with coverage encryption
JP2004126323A (ja) * 2002-10-04 2004-04-22 Sony Corp ブロック暗号方法、ブロック暗号回路、暗号装置、ブロック復号方法、ブロック復号回路および復号装置
CA2508526A1 (en) * 2002-12-03 2004-06-17 Funk Software, Inc. Tunneled authentication protocol for preventing man-in-the-middle attacks
JP4891521B2 (ja) * 2003-03-28 2012-03-07 三洋電機株式会社 データ入出力方法、およびその方法を利用可能な記憶装置およびホスト装置
US20040193763A1 (en) 2003-03-28 2004-09-30 Fujitsu Limited Inter-bus communication interface device and data security device
US7774593B2 (en) * 2003-04-24 2010-08-10 Panasonic Corporation Encrypted packet, processing device, method, program, and program recording medium
US7600108B2 (en) * 2003-06-17 2009-10-06 Wms Gaming Inc. Gaming machine having reduced-read software authentication
US7853980B2 (en) 2003-10-31 2010-12-14 Sony Corporation Bi-directional indices for trick mode video-on-demand
US7327686B2 (en) * 2003-11-12 2008-02-05 Ixia Generating processed traffic
US8060743B2 (en) * 2003-11-14 2011-11-15 Certicom Corp. Cryptographic method and apparatus
US7543142B2 (en) * 2003-12-19 2009-06-02 Intel Corporation Method and apparatus for performing an authentication after cipher operation in a network processor
US20050149744A1 (en) * 2003-12-29 2005-07-07 Intel Corporation Network processor having cryptographic processing including an authentication buffer
US7512945B2 (en) 2003-12-29 2009-03-31 Intel Corporation Method and apparatus for scheduling the processing of commands for execution by cryptographic algorithm cores in a programmable network processor
US7529924B2 (en) * 2003-12-30 2009-05-05 Intel Corporation Method and apparatus for aligning ciphered data
JP2005259111A (ja) * 2004-01-26 2005-09-22 Ricoh Co Ltd ユーザ情報取扱い装置、ユーザ情報取扱いプログラム及び記録媒体
JP2005278009A (ja) * 2004-03-26 2005-10-06 Mitsubishi Electric Corp 暗号認証パケット通信装置、暗号認証パケット通信方法及び暗号認証パケット通信方法をコンピュータに実行させるプログラム
US7502925B2 (en) * 2004-04-19 2009-03-10 Nvidia Corporation Method and apparatus for reducing TCP frame transmit latency
EP1610490A1 (fr) * 2004-06-21 2005-12-28 France Telecom Procédé et dispositif de chiffrement ou déchiffrement de données
JP4447977B2 (ja) 2004-06-30 2010-04-07 富士通マイクロエレクトロニクス株式会社 セキュアプロセッサ、およびセキュアプロセッサ用プログラム。
JP2006041684A (ja) * 2004-07-23 2006-02-09 Sony Corp 暗号処理装置および暗号処理方法
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network
US7895617B2 (en) 2004-12-15 2011-02-22 Sony Corporation Content substitution editor
US8041190B2 (en) 2004-12-15 2011-10-18 Sony Corporation System and method for the creation, synchronization and delivery of alternate content
US7600125B1 (en) * 2004-12-23 2009-10-06 Symantec Corporation Hash-based data block processing with intermittently-connected systems
JP2007013506A (ja) * 2005-06-29 2007-01-18 N-Crypt Inc 暗号化処理装置、暗号化方法、復号化処理装置、復号化方法、及びデータ構造
JP4818651B2 (ja) 2005-07-13 2011-11-16 ルネサスエレクトロニクス株式会社 暗号化・復号化回路
JP4596538B2 (ja) * 2005-09-05 2010-12-08 京セラミタ株式会社 情報処理装置、記録媒体、およびプログラム
JP4647479B2 (ja) * 2005-12-14 2011-03-09 日本電信電話株式会社 IPsec回路及びIPsec処理方法
US8185921B2 (en) * 2006-02-28 2012-05-22 Sony Corporation Parental control of displayed content using closed captioning
JP4778361B2 (ja) * 2006-05-19 2011-09-21 日立オムロンターミナルソリューションズ株式会社 認証装置及び認証システム及び認証装置の装置確認方法
JP4347350B2 (ja) * 2007-02-15 2009-10-21 富士通株式会社 データ暗号転送装置、データ復号転送装置、データ暗号転送方法およびデータ復号転送方法
US7923341B2 (en) * 2007-08-13 2011-04-12 United Solar Ovonic Llc Higher selectivity, method for passivating short circuit current paths in semiconductor devices
JP2008118706A (ja) * 2008-01-10 2008-05-22 Nec Corp 暗号化通信制御方式
US8595504B2 (en) * 2008-08-12 2013-11-26 Industrial Technology Research Institute Light weight authentication and secret retrieval
JP5500923B2 (ja) * 2008-11-27 2014-05-21 キヤノン株式会社 情報処理装置
FR2941584B1 (fr) * 2009-01-27 2011-04-01 St Nxp Wireless France Procede de traitement de flux de donnees recues par un appareil de communication sans fil et necessitant au moins en partie des traitements cryptographiques et appareil correspondant
US10133883B2 (en) * 2009-02-09 2018-11-20 International Business Machines Corporation Rapid safeguarding of NVS data during power loss event
KR101601790B1 (ko) * 2009-09-22 2016-03-21 삼성전자주식회사 암호키 선택장치를 구비하는 스토리지 시스템 및 암호 키 선택방법
CN102780685B (zh) * 2011-05-12 2015-11-25 国际商业机器公司 用于对数据进行压缩和加密的方法及系统
US8627097B2 (en) 2012-03-27 2014-01-07 Igt System and method enabling parallel processing of hash functions using authentication checkpoint hashes
US8942379B2 (en) * 2012-10-17 2015-01-27 Cisco Technology, Inc. Timeslot encryption in an optical transport network
KR20140052243A (ko) * 2012-10-23 2014-05-07 한국전자통신연구원 네트워크 데이터 서비스 장치 및 방법, 네트워크 데이터 서비스를 위한 클라이언트 단말 장치
US9355279B1 (en) 2013-03-29 2016-05-31 Secturion Systems, Inc. Multi-tenancy architecture
US9317718B1 (en) 2013-03-29 2016-04-19 Secturion Systems, Inc. Security device with programmable systolic-matrix cryptographic module and programmable input/output interface
US9524399B1 (en) 2013-04-01 2016-12-20 Secturion Systems, Inc. Multi-level independent security architecture
RU2647685C2 (ru) * 2013-08-02 2018-03-16 Нек Корпорейшн Устройство аутентифицированного шифрования, способ аутентифицированного шифрования и программа для аутентифицированного шифрования
US9143327B2 (en) * 2013-10-04 2015-09-22 Texas Instruments Incorporated Power line communication (PLC) network nodes using cipher then segment security
CN103634113B (zh) * 2013-11-26 2017-02-15 成都卫士通信息产业股份有限公司 一种带用户/设备身份认证的加解密方法及装置
JP2015125533A (ja) * 2013-12-26 2015-07-06 株式会社メガチップス 情報処理システム、通信装置、及び記憶装置
CN106714075B (zh) * 2015-08-10 2020-06-26 华为技术有限公司 一种处理授权的方法和设备
US11283774B2 (en) 2015-09-17 2022-03-22 Secturion Systems, Inc. Cloud storage using encryption gateway with certificate authority identification
US10708236B2 (en) 2015-10-26 2020-07-07 Secturion Systems, Inc. Multi-independent level secure (MILS) storage encryption
CN107171800B (zh) * 2017-03-30 2020-07-17 山东超越数控电子股份有限公司 一种多通道密码算法的调度系统
JP6987571B2 (ja) * 2017-08-25 2022-01-05 東芝テック株式会社 制御装置
CN108227579A (zh) * 2017-12-29 2018-06-29 深圳市元征科技股份有限公司 一种车辆诊断信息的处理方法及装置、电子设备
US11394702B2 (en) 2019-09-23 2022-07-19 T-Mobile Usa, Inc. Authentication system when authentication is not functioning
DE102019126341B4 (de) * 2019-09-30 2022-01-20 Perinet GmbH Internet-of-Things Modul

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI109254B (fi) * 1998-04-29 2002-06-14 Ericsson Telefon Ab L M Menetelmä, järjestelmä ja laite todentamiseen
FI105966B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
US6275588B1 (en) * 1998-11-12 2001-08-14 I-Data International A/S Apparatus and method for performing and controlling encryption/decryption for data to be transmitted on local area network
EP1171957A2 (en) * 1998-11-12 2002-01-16 I-Data International A/S Apparatus and method for performing and controlling encryption/decryption for data to be transmitted on local area network
US20020078342A1 (en) * 2000-09-25 2002-06-20 Broadcom Corporation E-commerce security processor alignment logic

Also Published As

Publication number Publication date
CN100428751C (zh) 2008-10-22
US20020083317A1 (en) 2002-06-27
US7158637B2 (en) 2007-01-02
EP1364509B1 (en) 2007-04-18
JP2002287620A (ja) 2002-10-04
WO2002052765A2 (en) 2002-07-04
DE60128007T2 (de) 2007-12-27
EP1364509A2 (en) 2003-11-26
CN1483271A (zh) 2004-03-17
DE60128007D1 (de) 2007-05-31
WO2002052765A3 (en) 2003-09-25

Similar Documents

Publication Publication Date Title
JP3990565B2 (ja) セキュリティ通信パケット処理装置及びその方法
EP3603001B1 (en) Hardware-accelerated payload filtering in secure communication
US7685436B2 (en) System and method for a secure I/O interface
US8037518B2 (en) Data processing hash algorithm and policy management
US8468337B2 (en) Secure data transfer over a network
US7266703B2 (en) Single-pass cryptographic processor and method
EP1791060B1 (en) Apparatus performing network processing functions
US7017042B1 (en) Method and circuit to accelerate IPSec processing
CN111371798B (zh) 数据安全传输方法、系统、装置及存储介质
US20140013101A1 (en) Communication device, key generating device, and computer readable medium
US6983382B1 (en) Method and circuit to accelerate secure socket layer (SSL) process
JP2008035300A (ja) パケット暗号処理装置及びパケット暗号処理方法
JP2004064652A (ja) 通信機器
US20050198498A1 (en) System and method for performing cryptographic operations on network data
Seggelmann et al. SSH over SCTP—Optimizing a multi-channel protocol by adapting it to SCTP
US11677727B2 (en) Low-latency MACsec authentication
US8719902B2 (en) Secure communication device, secure communication method, and program
US7564976B2 (en) System and method for performing security operations on network data
CN116232944B (zh) 用于传输层安全协议报文业务的方法、设备及介质
JP4036199B2 (ja) 秘匿通信方式
JP2004328359A (ja) パケット処理装置
JP2004180234A (ja) 暗号パケット処理装置
JP2003198530A (ja) パケット通信装置及び暗号アルゴリズム設定方法
CN110601950B (zh) 一种基于dtls协议的vpn网关系统和实现方法
WO2023175705A1 (ja) 通信制御装置、通信装置、通信制御システム、通信制御方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040805

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070606

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070626

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070720

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100727

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110727

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110727

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120727

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120727

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130727

Year of fee payment: 6

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees