JP4551112B2 - 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 - Google Patents
暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 Download PDFInfo
- Publication number
- JP4551112B2 JP4551112B2 JP2004122650A JP2004122650A JP4551112B2 JP 4551112 B2 JP4551112 B2 JP 4551112B2 JP 2004122650 A JP2004122650 A JP 2004122650A JP 2004122650 A JP2004122650 A JP 2004122650A JP 4551112 B2 JP4551112 B2 JP 4551112B2
- Authority
- JP
- Japan
- Prior art keywords
- block
- encrypted
- packet
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体に関し、より特定的には、暗号化されたパケットの種別を判断して所定の分類処理を行う暗号化パケット処理装置、及び暗号化パケット処理方法、並びにその方法を実行するためのコンピュータプログラム及びプログラム記録媒体に関する。
近年、インターネット環境の普及により、インターネットを介してサーバ装置とユーザ端末装置との間で様々なデータが簡単に通信されるようになってきた。このデータには、大きく分けて、アプリケーションプログラムや電子メール等のリアルタイム処理を要しないデータ(以下、非リアルタイムデータと記す)と、映像や音声等のリアルタイム処理を要するデータ(以下、リアルタイムデータと記す)の、2種類が存在する。この2種類のデータを混在してして処理する場合、リアルタイムデータの処理が遅延すると映像/音声の停止や欠落等が発生する恐れがある。このため、ユーザ端末装置等は、入力データをリアルタイムデータと非リアルタイムデータとに分類して、リアルタイムデータが非リアルタイムデータよりも優先して処理することが好ましい。この分類処理は、一般にデータの種別等が示された特定情報に基づいて判断される。
一方、サーバ装置とユーザ端末装置との間で様々なデータが簡単に通信されるようになってきたことに伴って、特に重要な情報を含む通信や、個人のプライバシーに関わる情報の通信には、専用線並みのセキュリティ確保が求められている。例えば、電子商取引や電子決済等の分野である。このセキュリティ確保の技術には、様々な方式が提案されているが(例えば、特許文献1及び2を参照)、セキュリティを確保する代表的な技術の1つとしてIPsec(Internet Protocol Security)技術が挙げられる。
このIPsecとは、ネットワーク層(OSI参照モデルの第3層)で暗号化及び認証を行うセキュリティプロトコルであって、インターネット技術標準委員会(IETF)で標準化されている。詳細は、標準仕様書RFC2401〜2412及び2451を参照。このIPsec機能を搭載したユーザ端末装置をインターネットに接続する、又はIPsec機能を搭載したネットワーク接続装置(モデム、ルータ等)を介してユーザ端末装置をインターネットに接続することで、インターネットのような広域ネットワーク上に仮想私設網(Virtual Private Network;VPN)を構築できる。つまり、ユーザが暗号化等の特別な処理を実施することなく、安全にインターネットを利用することができる。
IPsecを利用した通信を行うにあたっては、通信に使用する暗号化アルゴリズム、認証アルゴリズム、暗号鍵及び認証鍵等の情報を、送信側及び受信側のIPsec機能を搭載した装置間で事前に一致させておく必要がある。この情報は、セキュリティパラメータと呼ばれ、暗号アルゴリズム、暗号鍵、認証アルゴリズム、認証鍵、SPI値(Security Parameter Index)、プロトコル(暗号化に関するESPや認証に関するAH)、モード(トランスポート又はトンネル)等から構成される。通常、送信側装置と受信側装置との間でこのセキュリティパラメータを一致させるために、IKE(Internet Key Exchange)と呼ばれるアプリケーションによって装置間の相互通信が行われる。相互通信の結果、送信側と受信側とで一致させたセキュリティパラメータは、SA(Security Associsation)と呼ばれる枠組みによって保持され、各装置内のIPsec処理部に通知される。IPsec処理部は、SAで規定された暗号化アルゴリズム、認証アルゴリズム、暗号鍵及び認証鍵等に基づいて、送信するIPパケットをIPsecパケットに変換したり、受信したIPsecパケットをIPパケットに復元することを行う。
IPsecでは、トランスポートモードとトンネルモードという2つのモードが用意されている。トランスポートモードでは、図16に示すように、暗号化対象のIPパケットのうち、IPプロトコルより上位層、つまりTCPやUDP等の第4層以上に相当するプロトコルヘッダやデータが暗号化される。また、トンネルモードでは、図17に示すように、暗号化対象のIPパケットの全てが暗号化され、新しいIPパケットによってカプセル化される。従って、トンネルモードでは、元のIPパケット(第4層以上のプロトコルヘッダやデータを含む)が全て暗号化される。
ここで、いずれかのモードによって暗号化されたIPパケット、すなわちIPsecパケットについて、上述した分類処理を行う場合を考える。この場合、データの種別を判断するために必要な特定情報は、暗号化されたプロトコルヘッダやデータに該当する。従って、データ種別を判断するためには、IPsecパケットを一旦全て復号する処理が必須となる。以下に、IPsecパケットをデータ種別に基づいて分類し、この分類に応じて優先処理を行う従来の装置を説明する。図18は、この従来の処理装置200の構成例を示すブロック図である。
図18において、従来の処理装置200は、入力処理部201と、暗号化判定部202と、復号処理部203と、SAD204と、優先度決定部205と、優先度情報DB206と、出力処理部207とを備える。SAD204は、様々なSAのセキュリティパラメータに関する情報が格納されたデータベースである。優先度情報DB206は、特定情報と予め定めた優先度との組が格納されたデータベースである。
入力処理部201は、例えばネットワークインタフェースであり、外部からIPパケットを入力する。暗号化判定部202は、入力処理部201が入力したIPパケットのヘッダ情報を参照し、IPパケットが暗号化されているか否か、すなわちIPsecパケットか否かを判定する。復号処理部203は、暗号化判定部202で判定されたIPsecパケットについて、ヘッダ情報からパケットに施された暗号のSAに関する情報を抽出する。次に、復号処理部203は、この抽出した情報をキーとしてSAD204を検索して、抽出した情報に対応するセキュリティパラメータを取得する。そして、復号処理部203は、取得したセキュリティパラメータに基づいて、IPsecパケットに施されている全ての暗号を復号する。優先度決定部205は、復号処理部203で復号されたIPsecパケットに含まれる特定情報に従ってIPsecパケットの種別を確認し、この種別をキーとして優先度情報DB206を検索して、このIPsecパケットの分類、すなわち優先度を決定する。出力処理部207は、優先度決定部205で決定された優先度に従って、所定の出力処理を実行する。例えば、出力処理部207を優先度毎に設けられた複数の処理キューで構成し、決定された優先度に従ってキューイングする処理キューを変更させることを行うことが考えられる。
以上の処理によって、リアルタイムデータが含まれたパケットと、非リアルタイムデータが含まれたパケットとが、暗号化されて混在している通信環境においても、データ種別に応じた優先処理を実現することができる。
特開2002−182560号公報
特開2001−344228号公報
通常、パケットの暗号化や復号化には、多大な処理時間を必要とする。このため、上述した従来装置のようにパケットに施されている全ての暗号を復号する方法であると、処理装置に膨大な時間的負担を強いることになり、暗号化されたパケットが連続する場合等には、パケット処理の遅延が発生してしまうという問題がある。このような処理遅延は、優先処理を有名無実化してしまうことになる。
それ故に、本発明の目的は、データ種別が異なる暗号化されたパケットが混在している通信環境において、処理装置への負荷を低減しつつデータ種別に応じた所定の分類処理を実現できる、暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体を提供することである。
本発明は、データの少なくとも一部がブロック単位で暗号化されたパケットに、所定の分類処理を施す暗号化パケット処理装置に向けられている。そして、上記目的を達成させるために、本発明の暗号化パケット処理装置は、ブロック特定部、特定ブロック復号部及び分類処理部を備えている。
ブロック特定部は、入力パケット内における、所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定する。特定ブロック復号部は、ブロック特定部で特定された暗号化ブロックを復号する。分類処理部は、特定ブロック復号部で復号されたブロックに含まれる特定情報に基づいて、入力パケットの分類を行う。
このブロック特定部は、入力パケット内における暗号化されていないブロックに含まれる情報から、所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定してもよい。例えば、入力パケットがIPsecプロトコルに従って暗号化されたパケットである場合には、暗号化されていないブロックに含まれる情報として、IPヘッダに含まれるプロトコル番号を利用することができる。
又は、ブロック特定部は、所定の分類処理に必要な特定情報を含む暗号化ブロックを特定するための情報が含まれた他の暗号化ブロックをまず特定し、特定ブロック復号部によって復号された他のブロックに含まれる情報から、所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定してもよい。例えば、入力パケットがIPsecプロトコルに従って暗号化されたパケットである場合には、特定情報を含む暗号化ブロックを特定するための情報として、IPヘッダに含まれるIPヘッダ長、サービスタイプ又はプロトコル番号の少なくとも1つを利用することができる。また、このパケットがESPトランスポートモードパケットである場合には、所定の分類処理に必要な特定情報として、ESPトレーラに含まれる次ヘッダ、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つを利用することができる。また、このパケットがESPトンネルモードパケットである場合には、所定の分類処理に必要な特定情報として、カプセル化されたIPヘッダに含まれる送信元IPアドレス、宛先IPアドレス、又はサービスタイプ、プロトコル番号、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つを利用することができる。
あるいは、パケットに適用可能な暗号化と、所定の分類処理に必要な特定情報を含む暗号化ブロックとの、対応に関する情報を記憶するデータベースを予め備えておけば、ブロック特定部に、入力パケットに適用されている暗号化とデータベースに記憶された情報から、所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定させることも可能である。ここで、入力パケットがIPsecプロトコルに従って暗号化されたパケットである場合には、データベースを、暗号鍵を含むセキュリティパラメータを記憶するセキュリティアソシエーションデータベース(SAD)とすることができる。
典型的な分類処理部として、特定情報と優先度とを対応付けた情報を記憶する優先度情報データベースと、復号されたブロックに含まれている特定情報及び優先度情報データベースに記憶された情報に基づいて入力パケットの優先度を決定する優先度決定部とを備える構成がある。
又は、他の分類処理部として、特定情報と分配先とを対応付けた情報を記憶する分配先情報データベースと、復号されたブロックに含まれている特定情報及び分配先情報データベースに記憶された情報に基づいて入力パケットの分配先を決定する分配先決定部とを備える構成にしてもよい。
又は、他の分類処理部として、特定情報と分配先とを対応付けた情報を記憶する分配先情報データベースと、復号されたブロックに含まれている特定情報及び分配先情報データベースに記憶された情報に基づいて入力パケットの分配先を決定する分配先決定部とを備える構成にしてもよい。
これらの構成において、優先度又は分配先に一意に対応した複数のキューと、所定の規則に基づいて複数のキューからパケットを順に取り出して復号処理を行う復号処理部又は分配先にそれぞれ送出する分配処理部とをさらに備えれば、優先度決定部又は分配先決定部に、決定した優先度又は分配先に対応したキューに入力パケットをキューイングさせることもできる。
このとき、優先度決定部又は分配先決定部が、決定した優先度又は分配先に対応したキューに、入力パケット及び特定ブロック復号部によって復号されたブロックをキューイングし、復号処理部又は分配処理部が、入力パケットの復号されたブロック以外のブロックについて復号処理を行う又は入力パケットと共に復号されたブロックを分配先に送出することが好ましい。
また、本発明は、データの少なくとも一部がブロック単位で暗号化されたパケットに、所定の分類処理を施す暗号化パケット処理方法にも向けられている。そして、上記目的を達成させるために、本発明の暗号化パケット処理方法は、入力パケット内における、所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップ、ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップ、及び特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、入力パケットの分類を行う分類処理ステップを備えている。
上述した暗号化パケット処理装置を構成する機能ブロックは、集積回路であるLSIとして実現されてもよい。また、暗号化パケット処理方法は、一連の処理手順をコンピュータに実行させるためのプログラムの形式で提供される。このプログラムは、コンピュータ読み取り可能な記録媒体に記録された形態で、コンピュータに導入されてもよい。
上記のように、本発明によれば、パケットの分類処理を実行する際、暗号化されたパケットの中から分類処理の判断に必要な特定情報が格納された位置(ブロック)を特定し、その位置のデータ(ブロック)だけを復号する。これにより、復号処理に必要な装置の負荷を最小限に留めることができ、後段で行う優先度処理や分配処理の実効を高めることができる。また、特定情報を含むブロックの位置が変動するような場合でも、このブロックを指し示す他の暗号化ブロックを特定及び復号することで対応可能である。
本発明の暗号化パケット処理装置及び方法は、パケットに含まれる情報のうち所定の分類処理に必要な情報(以下、特定情報と称する)が、暗号化されてパケット通信されるセキュリティプロトコルを用いた様々なシステムに適用可能である。以下の実施形態では、上記従来技術で説明したIPsecによるセキュリティプロトコルを用いたシステムを一例に挙げて、本発明の暗号化パケット処理装置及び方法を説明する。
(1)IPsecのトランスポートモード
図1は、本発明の一実施形態に係る暗号化パケット処理装置を含む暗号通信システムのネットワーク構成例を示す図である。図1において、この暗号通信システムは、暗号化パケット処理装置10、ネットワーク接続装置20及びサーバ装置30で構成される。暗号化パケット処理装置10は、本発明の特徴的な機能部分である。この暗号化パケット処理装置10は、パソコン等のユーザ端末装置内に組み込まれてもよいし、中継装置のようにユーザ端末装置とは別に構成されてもよい。ネットワーク接続装置20は、モデムやルータ等であり、図1のように単体で構成されてもよいし、暗号化パケット処理装置10と一体的に構成されてもよい。サーバ装置30は、映像や音声等のリアルタイムデータを含むパケットと、電子メール等の非リアルタイムデータを含むパケットとを、暗号化して送信する。
図1は、本発明の一実施形態に係る暗号化パケット処理装置を含む暗号通信システムのネットワーク構成例を示す図である。図1において、この暗号通信システムは、暗号化パケット処理装置10、ネットワーク接続装置20及びサーバ装置30で構成される。暗号化パケット処理装置10は、本発明の特徴的な機能部分である。この暗号化パケット処理装置10は、パソコン等のユーザ端末装置内に組み込まれてもよいし、中継装置のようにユーザ端末装置とは別に構成されてもよい。ネットワーク接続装置20は、モデムやルータ等であり、図1のように単体で構成されてもよいし、暗号化パケット処理装置10と一体的に構成されてもよい。サーバ装置30は、映像や音声等のリアルタイムデータを含むパケットと、電子メール等の非リアルタイムデータを含むパケットとを、暗号化して送信する。
暗号化パケット処理装置10とサーバ装置30との間には予めSAが設定されており、IPsecによって通信が行われる。以下の説明では、暗号化パケット処理装置10のIPアドレスが「132.182.2.2」、サーバ装置30のIPアドレスが「132.182.1.2」であるものとする。また、暗号化パケット処理装置10とサーバ装置30との間で設定されたSAを「SA1」と記し、このSA1の情報がそれぞれ、プロトコル「ESP」、モード「トランスポート」、暗号アルゴリズム「DES−CBC」、及び認証アルゴリズム「HMAC−MD5」であるものとする。よって、サーバ装置30が、ネットワーク接続装置20を介して暗号化パケット処理装置10に送信するパケットは、ESPトランスポートモードによってIPパケットが暗号化されたIPsecとなる。
まず、本発明の暗号化パケット処理装置10を説明する前に、各種のパケット構造及びプロトコルフォーマットについて説明する。
ESPトランスポートモードによるIPsecパケットの構成は、図16に示したとおりである。このIPsecパケットは、IPヘッダ、ESP(Encapsulated Security Payload)ヘッダ、IV(Initial Vector)、第4層ヘッダ、データ、ESPトレーラ、及びICV(認証データ)から構成される。
ESPトランスポートモードによるIPsecパケットの構成は、図16に示したとおりである。このIPsecパケットは、IPヘッダ、ESP(Encapsulated Security Payload)ヘッダ、IV(Initial Vector)、第4層ヘッダ、データ、ESPトレーラ、及びICV(認証データ)から構成される。
IPヘッダには、暗号化前のIPパケットに付加されているIPヘッダがそのまま用いられる。IPヘッダの構成を図2に示す。この構成中、本発明で利用するフィールドは、プロトコル、送信元IPアドレス及び宛先IPアドレスである。プロトコルフィールドには、IPヘッダに続くパケットデータ領域の先頭に位置するプロトコルの番号が格納される。暗号化前のIPパケットでは、IPヘッダに続いて第4層ヘッダが付加されるので(図16の左図参照)、プロトコルフィールドには第4層プロトコルを示す番号が格納される。ESPトランスポートモードによるIPsecパケットでは、IPヘッダに続いてESPヘッダが付加されるので(図16の右図参照)、プロトコルフィールドにはESPプロトコルを示す番号が格納される。よって、このプロトコルフィールドの番号を確認することで、暗号化されたIPsecパケットか、暗号化されていないIPパケットかを、直ちに判定することができる。
図3は、IPヘッダ以降のESPプロトコルのフォーマットを示す図である。図3において、SPI及びシーケンス番号の領域がESPヘッダである。IVは、データをブロック暗号化するための初期ベクトルである。ペイロードデータには、暗号化前のIPパケットの第4層ヘッダ及びデータが、暗号化されて格納される。ペイロード部分の長さを調整するパディングから次ヘッダまでの領域が、ESPトレーラである。次ヘッダフィールドには、ペイロードデータの先頭に位置するプロトコルの番号が格納される。例えば、暗号化前の第4層プロトコルが、UDPである場合にはUDPを示す番号が、TCPである場合にはTCPを示す番号が格納される。このESPトレーラは、ペイロードデータと同様に暗号化される。ICVは、ESPヘッダからESPトレーラまでの領域に対する認証データである。このフォーマット中、SPI、IV、ペイロードデータの一部及び次ヘッダが本発明で利用され、ペイロードデータの一部及び次ヘッダが特定情報に相当する。
図3に示すペイロードデータ部分に格納されるパケットのフォーマットを説明する。図4は、UDPパケットのフォーマットを示す図である。UDPパケットは、UDPヘッダとペイロードデータとで構成される。UDPヘッダは、8バイトの固定長であり、先頭の4バイトには送信元ポート番号及び宛先ポート番号が、次の4バイトにはパケット長及びチェックサムが、それぞれ格納される。図5は、TCPパケットのフォーマットを示す図である。TCPパケットは、TCPヘッダとペイロードデータとで構成される。TCPヘッダは、24バイトの固定長であり、先頭の4バイトには送信元ポート番号及び宛先ポート番号が、残りの20バイトには図示した通りのデータが格納されている。このフォーマット中では、送信元ポート番号及び宛先ポート番号(上述したペイロードデータの一部)が、特定情報に相当する。
次に、本発明の暗号化パケット処理装置10の構成を説明する。
図6は、本発明の一実施形態に係る暗号化パケット処理装置10の構成を示すブロック図である。図6において、暗号化パケット処理装置10は、入力処理部11と、暗号化判定部12と、ブロック特定部13と、特定ブロック復号部14と、SAD15と、分類処理部16と、出力処理部17とを備える。分類処理部16は、入力パケットをその種別に応じて分類する機能部分であり、この分類は様々な目的に利用することが可能である。以下の実施形態では、分類処理部16を優先度決定部161及び優先度情報DB162で構成して、分類結果を優先度処理に利用させた場合を説明する。また、図6では、入力処理部11及び出力処理部17を暗号化パケット処理装置10の構成に含めて記載しているが、これらの構成は必須ではなく、例えば暗号化パケット処理装置10の前段又は後段に接続される装置内に構成されても構わない。
図6は、本発明の一実施形態に係る暗号化パケット処理装置10の構成を示すブロック図である。図6において、暗号化パケット処理装置10は、入力処理部11と、暗号化判定部12と、ブロック特定部13と、特定ブロック復号部14と、SAD15と、分類処理部16と、出力処理部17とを備える。分類処理部16は、入力パケットをその種別に応じて分類する機能部分であり、この分類は様々な目的に利用することが可能である。以下の実施形態では、分類処理部16を優先度決定部161及び優先度情報DB162で構成して、分類結果を優先度処理に利用させた場合を説明する。また、図6では、入力処理部11及び出力処理部17を暗号化パケット処理装置10の構成に含めて記載しているが、これらの構成は必須ではなく、例えば暗号化パケット処理装置10の前段又は後段に接続される装置内に構成されても構わない。
SAD15は、様々なSAのセキュリティパラメータに関する情報が格納されたデータベースである。図7は、SAD15の一例を示す図である。
SAD15には、サーバ装置との間に設定されたSA毎に、SPI値、プロトコル、モード、暗号アルゴリズム、暗号鍵、認証アルゴリズム、及び認証鍵等のセキュリティパラメータが登録されている。上述した暗号化パケット処理装置10とサーバ装置30との間で設定されたSA1は、SPI値を「5000」として図7の1番目のレコードに登録されている。このSAD15に格納されたデータベースは、SPI値をキーに検索可能になっている。
SAD15には、サーバ装置との間に設定されたSA毎に、SPI値、プロトコル、モード、暗号アルゴリズム、暗号鍵、認証アルゴリズム、及び認証鍵等のセキュリティパラメータが登録されている。上述した暗号化パケット処理装置10とサーバ装置30との間で設定されたSA1は、SPI値を「5000」として図7の1番目のレコードに登録されている。このSAD15に格納されたデータベースは、SPI値をキーに検索可能になっている。
優先度情報DB162は、特定情報と予め定めた優先度との組が格納されたデータベースである。図8は、優先度情報DB162の一例を示す図である。
優先度情報DB162には、IPヘッダの情報、第4層ヘッダの情報、及び優先度等からなるエントリが複数登録されている。IPヘッダの情報は、サーバ装置のIPアドレスである送信元IPアドレス、及び自己(暗号化パケット処理装置)のIPアドレスである宛先IPアドレスから構成される。第4層ヘッダの情報は、プロトコル種別、送信元ポート番号、及び宛先ポート番号から構成される。図8中「*」で示している部分は、情報が任意であることを示している。優先度は、出力処理部17で実行される処理の順番等に利用される情報である。この優先度は、分類番号と同義であり、その数は処理目的に応じて任意に設定することができる。
優先度情報DB162には、IPヘッダの情報、第4層ヘッダの情報、及び優先度等からなるエントリが複数登録されている。IPヘッダの情報は、サーバ装置のIPアドレスである送信元IPアドレス、及び自己(暗号化パケット処理装置)のIPアドレスである宛先IPアドレスから構成される。第4層ヘッダの情報は、プロトコル種別、送信元ポート番号、及び宛先ポート番号から構成される。図8中「*」で示している部分は、情報が任意であることを示している。優先度は、出力処理部17で実行される処理の順番等に利用される情報である。この優先度は、分類番号と同義であり、その数は処理目的に応じて任意に設定することができる。
次に、本発明の暗号化パケット処理装置10の動作を説明する。
本実施形態では、サーバ装置30が、SA1に基づいて暗号化された以下に示す3種類のパケットA1〜A3を送信する場合を例に挙げて説明する。パケットA1は、送信元ポート番号「1000」及び宛先ポート番号「2000」に設定され、リアルタイムデータを格納したUDPパケットを含んだ、IPsecパケットである。パケットA2は、送信元ポート番号「1001」及び宛先ポート番号「2000」に設定され、非リアルタイムデータを格納したUDPパケットを含んだ、IPsecパケットである。パケットA3は、送信元ポート番号「1000」及び宛先ポート番号「2000」に設定され、非リアルタイムデータを格納したTCPパケットを含んだ、IPsecパケットである。各パケットA1〜A3共、ESPヘッダのSPI値は「5000」に設定される。
本実施形態では、サーバ装置30が、SA1に基づいて暗号化された以下に示す3種類のパケットA1〜A3を送信する場合を例に挙げて説明する。パケットA1は、送信元ポート番号「1000」及び宛先ポート番号「2000」に設定され、リアルタイムデータを格納したUDPパケットを含んだ、IPsecパケットである。パケットA2は、送信元ポート番号「1001」及び宛先ポート番号「2000」に設定され、非リアルタイムデータを格納したUDPパケットを含んだ、IPsecパケットである。パケットA3は、送信元ポート番号「1000」及び宛先ポート番号「2000」に設定され、非リアルタイムデータを格納したTCPパケットを含んだ、IPsecパケットである。各パケットA1〜A3共、ESPヘッダのSPI値は「5000」に設定される。
図9は、本発明の暗号化パケット処理装置10が行う暗号化パケット処理方法の手順を示すフローチャートである。
入力処理部11は、例えばネットワークインタフェースであり、外部からパケットを入力する。暗号化判定部12は、入力処理部11が入力したパケットのプロトコルフィールドを参照し(図2)、パケットが暗号化されているか否かを判定する(ステップS901)。具体的には、暗号化判定部12は、プロトコルフィールドに、IPsecによって暗号化されたIPsecパケットであることを示すESPプロトコルの番号が格納されているか、暗号化されていないIPパケットであることを示す第4層プロトコルの番号が格納されているか、を判定する。暗号化判定部12は、ESPプロトコルの番号が格納されている場合にはパケット(IPsecパケット)をブロック特定部13へ、それ以外の場合にはパケット(IPパケット)を優先度決定部161へ、それぞれ出力する。
入力処理部11は、例えばネットワークインタフェースであり、外部からパケットを入力する。暗号化判定部12は、入力処理部11が入力したパケットのプロトコルフィールドを参照し(図2)、パケットが暗号化されているか否かを判定する(ステップS901)。具体的には、暗号化判定部12は、プロトコルフィールドに、IPsecによって暗号化されたIPsecパケットであることを示すESPプロトコルの番号が格納されているか、暗号化されていないIPパケットであることを示す第4層プロトコルの番号が格納されているか、を判定する。暗号化判定部12は、ESPプロトコルの番号が格納されている場合にはパケット(IPsecパケット)をブロック特定部13へ、それ以外の場合にはパケット(IPパケット)を優先度決定部161へ、それぞれ出力する。
ブロック特定部13は、暗号化判定部12で判定されたIPsecパケットのESPヘッダ内のSPI値を抽出し(図3)、このSPI値をキーにSAD15(図7)を検索してIPsecパケットに用いられたSAのセキュリティパラメータを取得する(ステップS902)。例えば、SPI値が「5000」である場合、ブロック特定部13は、SAD15からSPI値が「5000」であるセキュリティパラメータ、すなわちSA1のセキュリティパラメータ(暗号アルゴリズム「DES−CBC」、暗号鍵「abcdefgh」、認証アルゴリズム「HMAC−MD5」及び認証鍵「QRSTU」等)を取得する。そして、ブロック特定部13は、取得したセキュリティパラメータに基づいて、暗号化されたデータの中から、優先度決定部161における優先度決定処理に必要な情報が格納されている位置を特定する(ステップS903)。この実施例では、第4層プロトコルの種別、送信元ポート番号及び宛先ポート番号が、必要な情報となる。
ここで、暗号アルゴリズム「DES−CBC」は、8バイト長のデータを1ブロックとしてブロック単位で暗号化及び復号化する方式である(標準仕様書RFC2405を参照)。図10に示すように、暗号化処理では、平文の第1ブロックP1とIVとでXOR演算した結果を暗号鍵で暗号化することで、暗号化された第1ブロックb1が生成される。以後、暗号化された第nブロックbnは(n=2以上の整数)、平文の第nブロックPnと暗号化された第(n−1)ブロックb(n−1)とでXOR演算した結果を暗号鍵で暗号化することで生成される。また、図11に示すように、復号化処理では、暗号化された第1ブロックb1を暗号鍵で復号した結果をIVでXOR演算することで、平文の第1ブロックP1が再生される。以後、平文の第nブロックPnは、暗号化された第nブロックbnを暗号鍵で復号した結果を暗号化された第(n−1)ブロックb(n−1)でXOR演算することで再生される。このように、暗号アルゴリズム「DES−CBC」では、1ブロック単位で簡単に復号することができる。なお、暗号アルゴリズム「3DES−CBC」の場合には、1ブロック単位が16バイト長のデータに代わるだけでその他は同じである。よって、優先度決定処理に必要な情報が格納されている位置は、このブロック単位で特定すればよい。このブロックの特定については、後述する。
特定ブロック復号部14は、ブロック特定部13で特定されたブロックを復号し、復号されたデータから優先度決定部161における優先度決定処理に必要な情報を抽出する(ステップS904)。なお、1度のブロック特定及びブロック復号によって必要な情報が抽出されない場合、例えば特定したブロックの復号結果によって次に復号すべきブロックが示される場合等には、ステップS903及びS904が必要な回数だけ繰り返して行われる(ステップS905)。
優先度決定処理に必要な情報を抽出するために、ブロック特定部13で行われるブロック特定及び特定ブロック復号部14で行われるブロック復号について、詳細に説明する。
まず、暗号アルゴリズムのブロック単位に基づいて、暗号化されているデータ領域が、先頭から順に8バイトデータ長ずつブロックb1、ブロックb2、…、ブロックbmと複数に分割される。なお、変数mは暗号化されているデータ領域のサイズによって変動し、ブロックbmは暗号化されている最終ブロックを示す。図3で説明したように、第4層プロトコルの種別は、IPsec仕様(標準仕様書RFC2406を参照)によって、ESPトレーラの最後の1バイトである次ヘッダフィールドに格納されていることから、最後のブロックbmに含まれていることが分かる。よって、ブロックbmが特定及び復号されて、まず第4層プロトコルの種別が抽出される。
まず、暗号アルゴリズムのブロック単位に基づいて、暗号化されているデータ領域が、先頭から順に8バイトデータ長ずつブロックb1、ブロックb2、…、ブロックbmと複数に分割される。なお、変数mは暗号化されているデータ領域のサイズによって変動し、ブロックbmは暗号化されている最終ブロックを示す。図3で説明したように、第4層プロトコルの種別は、IPsec仕様(標準仕様書RFC2406を参照)によって、ESPトレーラの最後の1バイトである次ヘッダフィールドに格納されていることから、最後のブロックbmに含まれていることが分かる。よって、ブロックbmが特定及び復号されて、まず第4層プロトコルの種別が抽出される。
抽出された第4層プロトコルの種別が、TCP又はUDPである場合には、TCP及びUDPの仕様(標準仕様書RFC793及びRFC768)によって、送信元ポート番号及び宛先ポート番号が、各ヘッダの最初の2バイト及びそれに続く2バイトに格納されていることが分かる(図4及び図5を参照)。また、IPsec仕様によって第4層ヘッダは、IVの直後に位置している(図16を参照)。このことから、送信元ポート番号及び宛先ポート番号が、先頭のブロックb1に含まれていることが分かる。よって、ブロックb1が特定及び復号されて、最初の2バイト及びそれに続く2バイトから、送信元ポート番号及び宛先ポート番号が抽出される。
以上のように、ブロック特定部13によって、多くのブロックの中からブロックb1及びブロックbmだけが特定され、特定ブロック復号部14によって、この特定されたブロックのみが復号されることで、優先度決定処理に必要な第4層プロトコルの種別、送信元ポート番号、及び宛先ポート番号を抽出することができる。これらの情報は、復号化されていないオリジナルのIPsecパケットと共に、優先度決定部161へ出力される。
優先度決定部161は、特定ブロック復号部14から、第4層プロトコルの種別、送信元ポート番号、宛先ポート番号、及びIPsecパケットを入力し、IPsecパケットのIPヘッダ部分から送信元IPアドレス及び宛先IPアドレスを抽出する。そして、優先度決定部161は、送信元IPアドレス、宛先IPアドレス、第4層プロトコルの種別、送信元ポート番号及び宛先ポート番号をキーとして、優先度情報DB162を検索し、パケットの優先度を決定する(ステップS906)。暗号化判定部12から暗号化されていないIPパケットを入力する場合には、優先度決定部161は、IPパケットのIPヘッダ及び第4層ヘッダ部分から上記全ての情報を抽出し、抽出結果に基づいてパケットの優先度を決定する。例えば、送信元IPアドレス「132.182.1.2」、宛先IPアドレス「132.182.2.2」、プロトコル種別「UDP」、送信元ポート番号「1000」、及び宛先ポート番号「2000」であるパケットA1の優先度は、図8に従って「1」となる。パケットA2及びA3の優先度は、図8に従って「2」となる。なお、宛先IPアドレスは、暗号化パケット処理装置10自身のIPアドレスであるから、優先度情報DB162から省略しても構わない。
出力処理部17は、優先度決定部161で決定された優先度に従って、所定の出力処理を実行する。例えば、図12に示すように、出力処理部17を、優先度「1」に対応した第1キュー及び優先度「2」に対応した第2キューを備えたキュー処理部171と、復号処理部172とで構成する。この構成によって、キュー処理部171は、優先度に基づいて、パケットA1を第1キューに、パケットA2及びA3を第2キューに、それぞれキューイングすることができる。そして、復号処理部172は、第2キューに格納されたパケットよりも第1キューに格納されたパケットの復号処理を優先的に実行することができる。なお、復号処理部172でパケットの復号に必要なセキュリティパラメータの情報は、図12のようにSAD15から獲得してもよいし、パケットに付随させて優先度決定部161から受け取るようにしてもよい。後者の場合、例えば、パケットの最後尾に、パケットに対応するSAを指し示すポインタ情報、及び復号した特定のブロックとそのブロック識別子を示す情報を、予め定めた形式で付加することが考えられる。これにより、復号処理部172において、特定ブロック復号部14と重複した無駄な復号処理を省くことができる。
また、例えば、キュー処理部171に代えて、優先度とパケットとを組にして領域の先頭から順に格納することが可能なテーブルを用いても構わない。この場合、復号処理部172は、テーブルに登録された最も優先度が高くかつ最も先頭にあるパケットを1つ取り出して復号処理を行う。
また、例えば、出力処理部17を、他のユーザ端末装置等へパケットをそれぞれ分配する分配処理部で構成してもよい。この場合には、優先度情報DB162及び優先度決定部161の構成が、それぞれ特定情報と予め定めた分配先との組が格納された分配先情報DB、及び特定情報と分配先情報DBとに基づいて分配先を決定する分配先決定部に代わることになる。
また、例えば、出力処理部17を、他のユーザ端末装置等へパケットをそれぞれ分配する分配処理部で構成してもよい。この場合には、優先度情報DB162及び優先度決定部161の構成が、それぞれ特定情報と予め定めた分配先との組が格納された分配先情報DB、及び特定情報と分配先情報DBとに基づいて分配先を決定する分配先決定部に代わることになる。
(2)IPsecのトンネルモード
トンネルモードの場合も、トランスポートモードと基本的に処理は同じであるが、IPsecパケットの構成が少し異なる。以下、この異なる部分を中心に説明する。
図13は、本発明の一実施形態に係る暗号化パケット処理装置を含む他の暗号通信システムのネットワーク構成例を示す図である。図13において、この暗号通信システムは、暗号化パケット処理装置10、ネットワーク接続装置20、SGW40、端末50及び60で構成される。SGW40は、端末50が端末60に向けて送信するパケットを暗号化して送信するセキュリティゲートウエイである。
トンネルモードの場合も、トランスポートモードと基本的に処理は同じであるが、IPsecパケットの構成が少し異なる。以下、この異なる部分を中心に説明する。
図13は、本発明の一実施形態に係る暗号化パケット処理装置を含む他の暗号通信システムのネットワーク構成例を示す図である。図13において、この暗号通信システムは、暗号化パケット処理装置10、ネットワーク接続装置20、SGW40、端末50及び60で構成される。SGW40は、端末50が端末60に向けて送信するパケットを暗号化して送信するセキュリティゲートウエイである。
暗号化パケット処理装置10とSGW40との間には予めSAが設定されており、IPsecによって通信が行われる。暗号化パケット処理装置10とSGW40との間で設定されたSAの情報は、プロトコル「ESP」、モード「トンネル」、暗号アルゴリズム「DES−CBC」、及び認証アルゴリズム「HMAC−MD5」であるものとする。SGW40は、LAN(端末50)向けに「192.168.1.1」のIPアドレスを、WAN(ネットワーク接続装置20)向けに「132.182.1.2」のIPアドレスを保有する。また、暗号化パケット処理装置10は、LAN(端末60)向けに「192.168.2.1」のIPアドレスを、WAN(ネットワーク接続装置20)向けに「132.182.2.2」のIPアドレスを保有する。
ESPトンネルモードによるIPsecパケットの構成は、図17に示した通りである。このIPsecパケットは、IPヘッダ、ESPヘッダ、IV、IPヘッダ、第4層ヘッダ、データ、ESPトレーラ、及びICVから構成される。トンネルモードの場合は、元のIPパケット全体が暗号化されている。よって、元のIPパケットのIPヘッダに格納されている送信元IPアドレス、宛先IPアドレス及びTOSや、元のIPパケットに含まれる第4層以上のプロトコルヘッダを、優先度を決定するために復号が必要な特定情報としてもよい。TOSは、IPパケットのサービスタイプを表す情報であり、特定情報としての利用が可能である。よって、IPパケットを丸ごと暗号化するトンネルモードでは、このTOSを含むブロックを特定して復号することも考えられる。
IPヘッダのサイズは可変長であるため、トンネルモードではカプセル化されたIPパケットの上位層プロトコルの開始位置は、IPヘッダのサイズによって決まる。よって、カプセル化されたIPヘッダのIHL(IPヘッダ長を示すフィールド)を含むブロックを特定して復号し、IHL値を参照して上位層であるTCPプロトコルやUDPプロトコルの開始位置を特定する。これにより、TCPプロトコルやUDPプロトコルに含まれる送信元ポート番号及び宛先ポート番号を含むブロックを特定するができる。
このように、特定情報を含むブロック位置を特定するために、特定情報を含むブロック位置を特定するために必要なヘッダ長やパケット長の情報等を用いてもよい。これにより、特定情報の位置がパケット毎に変動する場合も対応することができる。
このように、特定情報を含むブロック位置を特定するために、特定情報を含むブロック位置を特定するために必要なヘッダ長やパケット長の情報等を用いてもよい。これにより、特定情報の位置がパケット毎に変動する場合も対応することができる。
このようなパケットに対する優先度情報DB162の一例を、図14に示す。図14に示すように、この優先度情報DB162には、図8に示した登録項目にトンネル内側用のIPヘッダ情報が追加されている。このトンネル内側用のIPヘッダ情報も、IPヘッダ情報と同様に送信元IPアドレス及び宛先IPアドレスから構成される。なお、IPヘッダに含まれる上記以外の項目を、トンネル内側用のIPヘッダ情報に含んでも構わない。また、図14に示した全ての項目は必須ではない。よって、必要としない項目については、図14の表から削除しても構わない。
トンネルモードの場合、IP仕様により、IPヘッダの13バイト目から16バイト目に送信元IPアドレスが、17バイト目から20バイト目に宛先IPアドレスが格納されている。従って、ブロックb2及びブロックb3を復号し、ブロックb2の後半4バイトとブロックb3の前半4バイトとから、送信元IPアドレス及び宛先IPアドレスを獲得できる。第4層プロトコルの種別は、IPヘッダの10バイト目に格納されている。従って、ブロックb2を復号し、ブロックb2の2バイト目を参照することで、第4層プロトコルの種別を獲得できる。第4層の送信元ポート番号及び宛先ポート番号は、トランスポートモードと同様に、TCPヘッダ及びUDPヘッダの先頭から8バイトに格納されている。しかし、IPヘッダ長が可変長であるため、まずIPヘッダ長を求め、第4層ヘッダが開始する位置を特定する必要がある。IPヘッダ長(IHL)は、IPヘッダの2バイト目に格納されている。よって、ブロックb1を復号し、ブロックb1の2バイト目を参照することで、IPヘッダ長を得ることができる。この例では、IHL=5(20バイトを示す値)が獲得でき、送信元ポート番号及び宛先ポート番号は、暗号化されたデータ領域の先頭から21〜24バイト目に格納されていることがわかる。よって、ブロックb3を復号し、ブロックb3の後半4バイトから送信元ポート番号及び宛先ポート番号を獲得する。
このブロック特定処理及びブロック復号処理によって得られたIPヘッダ情報、トンネル内側用のIPヘッダ情報、及び第4層ヘッダ情報をキーに、優先度情報DB162を検索する。結果、上記IPsecパケットについて、優先度「1」を取得できる。
以上のように、本発明の一実施形態に係る暗号化パケット処理装置は、パケットの分類処理を実行する際、暗号化されたパケットの中から分類処理の判断に必要な特定情報が格納された位置(ブロック)を特定し、その位置のデータ(ブロック)だけを復号する。これにより、復号処理に必要な装置の負荷を最小限に留めることができ、後段で行う優先度処理や分配処理の実効を高めることができる。
なお、本実施形態では、特定情報として第4層プロトコルのヘッダ情報を用いた場合を説明したが、第4層以上のプロトコルヘッダや、ヘッダ情報等に基づいて位置を特定できる情報であれば構わない。
また、本実施形態では、ESPプロトコルによって暗号化されたIPsecパケットと、暗号化されていないIPパケットとが混在して入力される場合を想定して説明した。しかし、IPsecパケットだけが入力されるのであれば、暗号化判定部12の構成を省略することができる。
また、本実施形態では、ESPプロトコルによって暗号化されたIPsecパケットと、暗号化されていないIPパケットとが混在して入力される場合を想定して説明した。しかし、IPsecパケットだけが入力されるのであれば、暗号化判定部12の構成を省略することができる。
また、本実施形態では、SAD15に設定される暗号アルゴリズム及び暗号鍵が1つだけである場合には、ブロック特定部13及び特定ブロック復号部14は、SAD15を検索せずに、予め保持する唯一の暗号アルゴリズム及び暗号鍵を用いて復号処理するように構成してもよい。また、暗号鍵は管理者等によって手動で登録された鍵であっても、IKE等の鍵交換プログラムによって取得された鍵であっても構わない。また、本実施形態では、暗号アルゴリズムが「DES−CBC」である場合について説明したが、ブロック暗号でありかつあるブロックの復号処理に他の復号されたブロックを必要としない方式であれば、DES−CBC以外の暗号アルゴリズムであっても構わない。
さらに、本実施形態では、図8や図14に示した優先度情報DB162のように宛先ポート番号を任意の値として、プロトコル種別と送信元ポート番号とに基づいて優先度を決定するように説明したが、決定方法はこれに限られるものではない。送信元ポート番号を任意の値として、プロトコル種別と宛先ポート番号とに基づいて優先度を決定してもよいし、任意の値を用いずに、プロトコル種別、送信元ポート番号及び宛先ポート番号の全てに基づいて優先度を決定してもよい。
(3)IPsec以外のセキュリティプロトコルについて
以上の実施形態では、IPsecパケットに本発明の手法を適用させる場合を説明した。次に、標準仕様書RFC2246で規定されているTLS_ver.1によって暗号化されたパケットに、本発明の手法を適用させる場合を説明する。なお、TLS暗号方式では、ストリーム暗号とブロック暗号との2通りが規定されているが、ここではブロック暗号の場合について説明する。
以上の実施形態では、IPsecパケットに本発明の手法を適用させる場合を説明した。次に、標準仕様書RFC2246で規定されているTLS_ver.1によって暗号化されたパケットに、本発明の手法を適用させる場合を説明する。なお、TLS暗号方式では、ストリーム暗号とブロック暗号との2通りが規定されているが、ここではブロック暗号の場合について説明する。
図15に、TLS暗号方式を用いて送受信されるパケットフォーマットを示す。図15において、IPヘッダ及びTCPヘッダは、それぞれ図2及び図5に示した通りである。typeは、TLS内でのプロトコル種別であり、アプリケーションが扱うデータを送受信する際には、0x17(application_data)が設定されている。content以下は、暗号化された領域である。contentは、アプリケーションが使用するヘッダ及びデータが格納されている。MACは、使用するアルゴリズムによってcontentから求められるハッシュ値である。パディングは、暗号化された領域が所定ブロックの整数倍となるように調整するためのフィールドである。パディング長は、パディングの長さを示す。
よって、TLSに対応した優先度情報DBを構築する場合には、IPヘッダ情報として送信元IPアドレス及び宛先IPアドレス、第4層ヘッダ情報(TLSは必ずTCPを使用するため、TCPに限られる)として送信元ポート番号及び宛先ポート番号、アプリケーションが使用するヘッダの内で着目するフィールド値、及び優先度を少なくとも含むことになる。この着目するフィールドを含むブロックは、IPsecの場合と同様に、アプリケーション毎に固定的に特定される。
なお、本発明の暗号化パケット処理装置におけるブロック特定部13、特定ブロック復号部14、SAD15、及び分類処理部16等の各機能ブロックは、典型的には集積回路であるLSI(集積度の違いにより、IC、システムLSI、スーパーLSI、又はウルトラLSI等と称される)として実現される。これらは、個別に1チップ化されてもよいし、一部又は全部を含むように1チップ化されてもよい。
また、集積回路化の手法は、LSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。また、LSI製造後にプログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別の技術により、LSIに置き換わる集積回路化の技術が登場すれば、当然その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適応等が可能性としてあり得る。
また、集積回路化の手法は、LSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。また、LSI製造後にプログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。
さらには、半導体技術の進歩又は派生する別の技術により、LSIに置き換わる集積回路化の技術が登場すれば、当然その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適応等が可能性としてあり得る。
また、本発明の暗号化パケット処理方法は、記憶装置(ROM、RAM、ハードディスク等)に格納された上述した処理手順を実行可能な所定のプログラムデータが、CPUによって解釈実行されることで実現されてもよい。この場合、プログラムデータは、CD−ROMやフレキシブルディスク等の記録媒体を介して記憶装置内に導入されてもよいし、記録媒体上から直接実行されてもよい。
本発明の暗号化パケット処理装置及び方法は、データ種別が異なる暗号化されたパケットが混在している通信環境等において利用可能であり、特に、処理装置への負荷を低減しつつデータ種別に応じた所定の分類処理を実現する場合等に適している。
10 暗号化パケット処理装置
11、201 入力処理部
12、202 暗号化判定部
13 ブロック特定部
14 特定ブロック復号部
15、204 SAD
16 分類処理部
17、207 出力処理部
20 ネットワーク接続装置
30 サーバ装置
40 セキュリティゲートウエイ(SGW)
50、60 端末
161、205 優先度決定部
162、206 優先度情報DB
171 キュー処理部
172、203 復号処理部
11、201 入力処理部
12、202 暗号化判定部
13 ブロック特定部
14 特定ブロック復号部
15、204 SAD
16 分類処理部
17、207 出力処理部
20 ネットワーク接続装置
30 サーバ装置
40 セキュリティゲートウエイ(SGW)
50、60 端末
161、205 優先度決定部
162、206 優先度情報DB
171 キュー処理部
172、203 復号処理部
Claims (20)
- データの少なくとも一部がブロック単位で暗号化されたパケットに、所定の分類処理を施す暗号化パケット処理装置であって、
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定部と、
前記ブロック特定部で特定された暗号化ブロックを復号する特定ブロック復号部と、
前記特定ブロック復号部で復号されたブロックに含まれる特定情報に基づいて、前記入力パケットの分類を行う分類処理部とを備える、暗号化パケット処理装置。 - 前記ブロック特定部は、前記入力パケット内における暗号化されていないブロックに含まれる情報から、前記所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定することを特徴とする、請求項1に記載の暗号化パケット処理装置。
- 前記ブロック特定部は、前記所定の分類処理に必要な特定情報を含む暗号化ブロックを特定するための情報が含まれた他の暗号化ブロックをまず特定し、前記特定ブロック復号部によって復号された他のブロックに含まれる情報から、前記所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定することを特徴とする、請求項1に記載の暗号化パケット処理装置。
- パケットに適用可能な暗号化と、前記所定の分類処理に必要な特定情報を含む暗号化ブロックとの、対応に関する情報を記憶するデータベースをさらに備え、
前記ブロック特定部は、前記入力パケットに適用されている暗号化と前記データベースに記憶された情報から、前記所定の分類処理に必要な特定情報を含む暗号化ブロックの一部又は全部を特定することを特徴とする、請求項1に記載の暗号化パケット処理装置。 - 前記分類処理部は、
特定情報と優先度とを対応付けた情報を記憶する優先度情報データベースと、
前記復号されたブロックに含まれている特定情報及び前記優先度情報データベースに記憶された情報に基づいて、前記入力パケットの優先度を決定する優先度決定部とを備える、請求項1に記載の暗号化パケット処理装置。 - 前記分類処理部は、
特定情報と分配先とを対応付けた情報を記憶する分配先情報データベースと、
前記復号されたブロックに含まれている特定情報及び前記分配先情報データベースに記憶された情報に基づいて、前記入力パケットの分配先を決定する分配先決定部とを備える、請求項1に記載の暗号化パケット処理装置。 - 優先度に一意に対応した複数のキューと、
所定の規則に基づいて、前記複数のキューからパケットを順に取り出して復号処理を行う復号処理部とをさらに備え、
前記優先度決定部は、決定した優先度に対応した前記キューに、前記入力パケットをキューイングすることを特徴とする、請求項5に記載の暗号化パケット処理装置。 - 分配先に一意に対応した複数のキューと、
前記複数のキューからパケットを取り出して分配先にそれぞれ送出する分配処理部とをさらに備え、
前記分配先決定部は、決定した分配先に対応した前記キューに、前記入力パケットをキューイングすることを特徴とする、請求項6に記載の暗号化パケット処理装置。 - 前記優先度決定部は、決定した優先度に対応した前記キューに、前記入力パケット及び前記特定ブロック復号部によって復号されたブロックをキューイングし、
前記復号処理部は、前記入力パケットの前記復号されたブロック以外のブロックについて復号処理を行うことを特徴とする、請求項7に記載の暗号化パケット処理装置。 - 前記分配先決定部は、決定した分配先に対応した前記キューに、前記入力パケット及び前記特定ブロック復号部によって復号されたブロックをキューイングし、
前記分配処理部は、前記入力パケットと共に前記復号されたブロックを分配先に送出することを特徴とする、請求項8に記載の暗号化パケット処理装置。 - 前記入力パケットが、IPsecプロトコルに従って暗号化されたパケットであり、
前記暗号化されていないブロックに含まれる情報が、少なくともIPヘッダに含まれるプロトコル番号であることを特徴とする、請求項2に記載の暗号化パケット処理装置。 - 前記入力パケットが、IPsecプロトコルに従って暗号化されたパケットであり、
前記特定情報を含む暗号化ブロックを特定するための情報が、IPヘッダに含まれるIPヘッダ長、サービスタイプ又はプロトコル番号の少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 - 前記入力パケットが、IPsecプロトコルに従って暗号化されたESPトランスポートモードパケットであり、
前記所定の分類処理に必要な特定情報が、ESPトレーラに含まれる次ヘッダ、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 - 前記入力パケットが、IPsecプロトコルに従って暗号化されたESPトンネルモードパケットであり、
前記所定の分類処理に必要な特定情報が、カプセル化されたIPヘッダに含まれる送信元IPアドレス、宛先IPアドレス又はサービスタイプの少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 - 前記入力パケットが、IPsecプロトコルに従って暗号化されたESPトンネルモードパケットであり、
前記所定の分類処理に必要な特定情報が、カプセル化されたIPヘッダに含まれるプロトコル番号、第4層ヘッダに含まれる送信元ポート番号、又は第4層ヘッダに含まれる宛先ポート番号の少なくとも1つであることを特徴とする、請求項3に記載の暗号化パケット処理装置。 - 前記入力パケットが、IPsecプロトコルに従って暗号化されたパケットであり、
前記データベースが、暗号鍵を含むセキュリティパラメータを記憶するセキュリティアソシエーションデータベース(SAD)であることを特徴とする、請求項4に記載の暗号化パケット処理装置。 - データの少なくとも一部がブロック単位で暗号化されたパケットに、所定の分類処理を施す暗号化パケット処理方法であって、
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップと、
前記ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップと、
前記特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理ステップとを備える、暗号化パケット処理方法。 - データの少なくとも一部がブロック単位で暗号化されたパケットに所定の分類処理を施す方法を、コンピュータに実行させるためのコンピュータ読み取り可能なプログラムであって、
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップと、
前記ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップと、
前記特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理ステップとを含む、プログラム。 - データの少なくとも一部がブロック単位で暗号化されたパケットに所定の分類処理を施す方法を、コンピュータに実行させるためのコンピュータ読み取り可能なプログラムを記録した記録媒体であって、
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定ステップと、
前記ブロック特定ステップで特定された暗号化ブロックを復号する特定ブロック復号ステップと、
前記特定ブロック復号ステップで復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理ステップとを含むプログラムを記録した、記録媒体。 - データの少なくとも一部がブロック単位で暗号化されたパケットに、所定の分類処理を施す暗号化パケット処理装置の集積回路であって、
入力パケット内における、前記所定の分類処理に必要な特定情報を含む1つ又は複数の暗号化ブロックを特定するブロック特定部と、
前記ブロック特定部で特定された暗号化ブロックを復号する特定ブロック復号部と、
前記特定ブロック復号部で復号されたブロックに含まれている特定情報に基づいて、前記入力パケットの分類を行う分類処理部とを集積した、集積回路。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004122650A JP4551112B2 (ja) | 2003-04-24 | 2004-04-19 | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003119974 | 2003-04-24 | ||
| JP2004122650A JP4551112B2 (ja) | 2003-04-24 | 2004-04-19 | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004343731A JP2004343731A (ja) | 2004-12-02 |
| JP4551112B2 true JP4551112B2 (ja) | 2010-09-22 |
Family
ID=33543212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004122650A Expired - Fee Related JP4551112B2 (ja) | 2003-04-24 | 2004-04-19 | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4551112B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4818651B2 (ja) * | 2005-07-13 | 2011-11-16 | ルネサスエレクトロニクス株式会社 | 暗号化・復号化回路 |
| JP4647479B2 (ja) * | 2005-12-14 | 2011-03-09 | 日本電信電話株式会社 | IPsec回路及びIPsec処理方法 |
| WO2009022422A1 (ja) * | 2007-08-16 | 2009-02-19 | Panasonic Corporation | 暗号通信装置 |
| JP2011193055A (ja) * | 2010-03-11 | 2011-09-29 | Fujitsu Ltd | 通信装置および通信方法 |
| JP5669647B2 (ja) * | 2011-03-30 | 2015-02-12 | アズビル株式会社 | 複数通信ポートを使用する優先度制御方法及び通信システム |
| JP5930619B2 (ja) * | 2011-06-27 | 2016-06-08 | キヤノン株式会社 | 暗号処理装置 |
| JP6400992B2 (ja) * | 2013-09-06 | 2018-10-03 | 日本放送協会 | 送信装置、受信装置および限定受信システム |
| CN114615001A (zh) * | 2020-12-04 | 2022-06-10 | 千寻位置网络有限公司 | 数据帧加密方法、数据帧解密方法及相关设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
| JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
| JP2001344228A (ja) * | 2000-05-31 | 2001-12-14 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 |
| JP2005507614A (ja) * | 2001-10-30 | 2005-03-17 | エイチアイ/エフエヌ,インコーポレイテッド | パケットの順序付けを行う並列パケット変換処理のための方法、システムおよびコンピュータプログラム製品 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3259660B2 (ja) * | 1997-06-12 | 2002-02-25 | 日本電気株式会社 | データ暗号化/復号化lan間接続装置 |
-
2004
- 2004-04-19 JP JP2004122650A patent/JP4551112B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
| JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
| JP2001344228A (ja) * | 2000-05-31 | 2001-12-14 | Nippon Telegr & Teleph Corp <Ntt> | 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 |
| JP2005507614A (ja) * | 2001-10-30 | 2005-03-17 | エイチアイ/エフエヌ,インコーポレイテッド | パケットの順序付けを行う並列パケット変換処理のための方法、システムおよびコンピュータプログラム製品 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004343731A (ja) | 2004-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7774593B2 (en) | Encrypted packet, processing device, method, program, and program recording medium | |
| US7398386B2 (en) | Transparent IPSec processing inline between a framer and a network component | |
| US8468337B2 (en) | Secure data transfer over a network | |
| TWI499342B (zh) | 網路卸載方法與系統 | |
| US9832015B2 (en) | Efficient key derivation for end-to-end network security with traffic visibility | |
| US8300822B2 (en) | System for secure packet communication | |
| EP2742665B1 (en) | Method and apparatus for coordinating compression information through key establishment protocols | |
| US20060050889A1 (en) | Decrypting block encrypted data | |
| JP2007135035A (ja) | 通信装置及びパケット処理方法 | |
| JP2009246801A (ja) | 分割されたパケットの暗号化方法、分割暗号化パケットの復号方法、暗号化装置及びプログラム | |
| CN103139222A (zh) | 一种ipsec隧道数据传输方法及装置 | |
| EP2244416A1 (en) | Encryption processing method and encryption processing device | |
| JP2005507614A (ja) | パケットの順序付けを行う並列パケット変換処理のための方法、システムおよびコンピュータプログラム製品 | |
| US8281122B2 (en) | Generation and/or reception, at least in part, of packet including encrypted payload | |
| US20080028210A1 (en) | Packet cipher processor and method | |
| US20050198498A1 (en) | System and method for performing cryptographic operations on network data | |
| JP4551112B2 (ja) | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| US7564976B2 (en) | System and method for performing security operations on network data | |
| JP7080024B2 (ja) | 通信装置 | |
| JP5119184B2 (ja) | 中継装置、端末装置及び秘密通信システム | |
| JP4647479B2 (ja) | IPsec回路及びIPsec処理方法 | |
| JP2006005425A (ja) | 暗号化パケットの受信方法ならびに受信処理装置 | |
| JP2004180234A (ja) | 暗号パケット処理装置 | |
| KR100434379B1 (ko) | 블록 암호화 알고리즘을 이용한 인터넷 프로토콜 패킷암호화 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070322 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100618 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100709 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4551112 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |