JP5302360B2 - 信号処理装置 - Google Patents

信号処理装置 Download PDF

Info

Publication number
JP5302360B2
JP5302360B2 JP2011147016A JP2011147016A JP5302360B2 JP 5302360 B2 JP5302360 B2 JP 5302360B2 JP 2011147016 A JP2011147016 A JP 2011147016A JP 2011147016 A JP2011147016 A JP 2011147016A JP 5302360 B2 JP5302360 B2 JP 5302360B2
Authority
JP
Japan
Prior art keywords
frame
conversion
signal processing
generated
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011147016A
Other languages
English (en)
Other versions
JP2013015605A (ja
Inventor
禎之 安田
孝裕 羽田野
啓樹 首藤
正美 浦野
衛 中西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011147016A priority Critical patent/JP5302360B2/ja
Publication of JP2013015605A publication Critical patent/JP2013015605A/ja
Application granted granted Critical
Publication of JP5302360B2 publication Critical patent/JP5302360B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、信号の全てまたは一部を変換処理(例えば暗号処理)する信号処理装置に係り、特にネットワーク機器における暗号方式のように、相互接続性を確保するために変換方式が標準仕様または要求仕様として定められていて、複数の変換方式を実装する場合の信号処理装置に関するものである。
イーサネット(登録商標)フレームの暗号方式の標準仕様では、(a)演算方法、の他に(b)暗号化するフレーム種類や、(c)ネットワーク制御等の他の機能との処理順序の前後関係やレイヤ構成、が定義される場合がある。装置化に際しては、所定の暗号処理機能を、暗号化する対象フレームの種類や他の機能との処理の前後関係を満たす位置に実装する。仕様が標準化されている場合には、フレームを授受する装置がともに標準仕様に準拠するように仕様を合わせることによって相互接続性を確保している。装置に搭載される複数の異なる暗号方式(例えば暗号方式Aと暗号方式B)のうち、Aを規定する標準仕様(例えば非特許文献1に開示された標準仕様(I))では、暗号機能をネットワーク制御レイヤよりも上位に定義しネットワーク制御レイヤで生成する制御フレームを暗号化対象外とする。これに対して、Bを規定する標準仕様(例えば非特許文献2に開示された標準仕様(II))では、レイヤに関する定義は規定されないものの、暗号方式Bの仕様として暗号化するフレーム種別は全てのユニキャストフレーム(即ち制御フレームを含む)としているためにネットワーク制御機能の後段(下位レイヤ側)に暗号機能を配置することが必要となる例がある。
これら暗号方式Aと暗号方式Bの両方を標準仕様に準拠して実装する装置の形態の一つは、ネットワーク制御レイヤよりも上位側に暗号方式Aの処理部を実装し、下位側に暗号方式Bの処理部を実装する形態である。つまり、フレームを暗号化してネットワークを介して受信側装置に向けて送信する送信側装置においては、ネットワーク制御処理ブロックの前段に暗号方式Aの処理部を実装し、後段に暗号方式Bの処理部を実装することになる。このような装置形態から一般的に想定される従来の信号処理装置の構成を図7に示し、非特許文献1に開示された標準仕様(I)における暗号機能の論理配置を示すプロトコルスタックを図8に示す。
信号処理装置100の暗号処理回路101は、受信フレームと信号処理装置100内で生成された生成フレーム(ネットワーク制御フレームを除く)とのうち、暗号化対象指定情報で暗号化対象に指定されたフレームを暗号方式Aで暗号化する。多重化回路102は、受信フレームと生成フレームに対して暗号方式Bの処理を行うための回路で、受信フレームと生成フレームとを多重化して後段に送る。選択回路103は、暗号方式Aの処理を行う場合、暗号処理回路101の出力フレームを選択して出力し、暗号方式Bの処理を行う場合、多重化回路102の出力フレームを選択して出力する。
ネットワーク制御機能部104は、ネットワーク制御フレームを生成し、ネットワーク制御機能部104内の選択回路105は、選択回路103の出力フレームとネットワーク制御フレームとを多重して後段に送る。暗号処理回路106は、暗号方式Bの処理を行うための回路で、ネットワーク制御フレームを含む全てのユニキャストフレームを暗号化する。選択回路107は、暗号方式Aの処理を行う場合、ネットワーク制御機能部104の出力フレームを選択して出力し、暗号方式Bの処理を行う場合、暗号処理回路106の出力フレームを選択して出力する。
IEEE802.1AE,"Media Access Control (MAC) Security",2006 NIST 800-38A(AES-CTR),"Advanced Encryption Standard (AES)",2001
図7に示した従来の信号処理装置では、暗号方式Aの暗号化対象とするフレーム種別を全てのユニキャストフレームに拡張して暗号方式Bと同等のセキュリティを確保しようとしても、暗号方式Aの暗号処理回路101がネットワーク制御機能部104の前段に実装されているため、ネットワーク制御機能部104により生成されるフレームを暗号化することができないという問題点があった。
また、図7に示した従来の信号処理装置では、暗号処理回路101と暗号処理回路106の実装位置がネットワーク制御機能部104の前段と後段の2箇所に分かれる結果、暗号方式が異なっていても暗号化処理で同様に行う演算(例えばAES−128など)があるにもかかわらず、暗号方式Aと暗号方式Bで暗号処理回路を共用することが難しく、2箇所の実装位置に同じ回路を搭載する必要がある。したがって、回路が重複しハードウェアが増大するという問題点があった。
なお、以上のような問題点は、暗号処理に限らず、他の変換処理においても発生する。
本発明は、上記課題を解決するためになされたもので、複数の変換方式に準拠しつつ変換処理対象フレームを全てのユニキャストフレームに拡張することができ、ハードウェアの増大を防ぐことができる信号処理装置を提供することを目的とする。
本発明の信号処理装置は、信号処理装置が外部から受信した受信フレームまたは信号処理装置内で生成した生成フレームを受けて、特定のフィールドの値をチェックする必要のあるフレームか否かを示す区分情報を生成し、この区分情報を前記受信フレームまたは前記生成フレームに付随して出力する区分情報生成手段と、この区分情報生成手段が出力したフレームと区分情報を受けて、区分情報とチェック対象のフィールドの値に基づいて変換処理対象のフレームか否かを示す変換処理オン/オフ指定情報を生成し、この変換処理オン/オフ指定情報を前記区分情報生成手段が出力したフレームに付随して出力する変換オン/オフ判定手段と、前記変換処理オン/オフ指定情報に基づいて、前記変換オン/オフ判定手段が出力したフレームの全部または一部を変換処理する変換処理手段とを有することを特徴とするものである。
また、本発明の信号処理装置の1構成例において、前記区分情報生成手段は、区分対象のフレームが信号処理装置が外部から受信した受信フレームの場合には、特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報を生成し、区分対象のフレームが信号処理装置内で生成した生成フレームで且つ変換処理対象の場合には、特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報を生成し、区分対象のフレームが信号処理装置内で生成した生成フレームで且つ変換処理対象外の場合には、特定のフィールドの値をチェックする必要のないフレームであることを示す区分情報を生成し、前記変換オン/オフ判定手段は、前記区分情報生成手段が出力したフレームが特定のフィールドの値をチェックする必要のあるフレームで且つチェック対象のフィールドの値が変換処理対象の値の場合には、変換処理オンを指定する変換処理オン/オフ指定情報を生成し、前記区分情報生成手段が出力したフレームが特定のフィールドの値をチェックする必要のあるフレームで且つチェック対象のフィールドの値が変換処理対象外の値の場合には、変換処理オフを指定する変換処理オン/オフ指定情報を生成し、前記区分情報生成手段が出力したフレームが特定のフィールドの値をチェックする必要のないフレームの場合には、変換処理オフを指定する変換処理オン/オフ指定情報を生成することを特徴とするものである。
また、本発明の信号処理装置の1構成例において、前記区分情報生成手段は、信号処理装置内で生成した生成フレームを受ける場合、このフレームが変換処理対象のフレームか否かを示す変換処理対象指定情報をフレームと共に受けることを特徴とするものである。
また、本発明の信号処理装置の1構成例において、前記区分情報生成手段は、生成した区分情報を、信号処理装置が外部から受信した受信フレームまたは信号処理装置内で生成した生成フレームに格納して出力し、前記変換オン/オフ判定手段は、生成した変換処理オン/オフ指定情報を、前記区分情報生成手段が出力したフレームに格納して出力することを特徴とするものである。
また、本発明の信号処理装置の1構成例において、前記変換処理手段は、複数の方式の変換処理に対応し、前記変換オン/オフ判定手段が出力したフレームの送信速度を検出し、フレームの送信速度と変換方式との所定の対応関係に基づいて、前記検出した送信速度に対応する変換方式を決定し、この変換方式に則ってフレームを変換処理することを特徴とするものである。
また、本発明の信号処理装置の1構成例において、前記変換処理手段は、複数の方式の変換処理に対応し、前記変換オン/オフ判定手段が出力したフレームの送信先MACアドレスを検出し、フレームの送信先MACアドレスと変換方式との所定の対応関係に基づいて、前記検出した送信先MACアドレスに対応する変換方式を決定し、この変換方式に則ってフレームを変換処理することを特徴とするものである。
また、本発明の信号処理装置の1構成例は、さらに、前記区分情報生成手段と前記変換オン/オフ判定手段との間に、前記区分情報生成手段が出力したフレームと、信号処理装置内で生成され前記区分情報を持っているフレームとを受けて、これらのフレームを多重化して前記変換オン/オフ判定手段に送る第1の多重化手段を有することを特徴とするものである。
また、本発明の信号処理装置の1構成例において、さらに、前記変換オン/オフ判定手段と前記変換処理手段との間に、前記変換オン/オフ判定手段が出力したフレームと、信号処理装置内で生成され前記変換処理オン/オフ指定情報を持っているフレームとを受けて、これらのフレームを多重化して前記変換処理手段に送る第2の多重化手段を有することを特徴とするものである。
本発明によれば、区分情報生成手段と、変換オン/オフ判定手段と、変換処理手段とを設けることにより、複数の変換方式に準拠しつつ、変換処理対象フレームを全てのユニキャストフレームに拡張することができる。また、本発明では、変換処理手段を1つにまとめることができるので、複数の変換方式で同様に行う演算(例えばAES−128など)の回路の共用化が可能となり、ハードウェアの増大を防ぐことができる。
また、本発明では、第1の多重化手段を設けることにより、信号処理装置内で生成されたフレームを区分情報生成手段を経ずに変換オン/オフ判定手段に入力することができる。
また、本発明では、第2の多重化手段を設けることにより、信号処理装置内で生成されたフレームを区分情報生成手段と変換オン/オフ判定手段を経ずに変換処理手段に入力することができる。
本発明の第1の実施の形態に係る信号処理装置の構成を示すブロック図である。 本発明の第1の実施の形態においてフレーム内の特定のビット位置に区分情報を格納する例を示す図である。 本発明の第1の実施の形態においてフレーム内の特定のビット位置に変換処理オン/オフ指定情報を格納する例を示す図である。 本発明の第1の実施の形態におけるフレーム構造の例を示す図である。 本発明の第2の実施の形態に係る信号処理装置の構成を示すブロック図である。 本発明の第3の実施の形態に係る信号処理装置の構成を示すブロック図である。 従来の信号処理装置の構成を示すブロック図である。 標準仕様(I)における暗号機能の論理配置を示すプロトコルスタックを説明する図である。
[発明の原理]
本発明では、ネットワーク制御機能部により生成されるフレームも暗号方式Aで暗号化できるように、暗号方式Aの暗号処理回路を暗号方式Bと同様にネットワーク制御機能部の後段に実装する。このとき、暗号処理対象を標準仕様(I)が規定するフレームに限定することもできるようにするため、ネットワーク制御機能よりも上位レイヤ側に暗号処理対象のフレームと暗号処理対象外のフレームとを区別する機能を残し、その区分情報を基に暗号処理回路をオン/オフすることで、暗号処理するフレームの種類も暗号演算の方式も標準仕様(I)と等価とすることを可能にする。これにより、暗号方式Aの処理として、標準仕様(I)に準拠した処理と全てのユニキャストフレームを対象とする拡張処理の両方が可能となる。また、暗号方式Aも暗号方式Bも暗号処理回路の実装位置を同じ位置、すなわちネットワーク制御機能部の後段にしたことによりAES−128演算など共通の処理回路を暗号方式Aと暗号方式Bで共用することが可能となり、回路の重複を回避しハードウェアの増大を防ぐことができる。
[第1の実施の形態]
以下、本発明の実施の形態について図面を参照して説明する。図1は本発明の第1の実施の形態に係る信号処理装置の構成を示すブロック図である。
信号処理装置1は、フレームを受信する受信端子2と、フレームを送信する送信端子3と、変換制御機能部4と、変換処理手段となる暗号処理回路5とを有する。変換制御機能部4は、区分情報生成機能部6と、変換オン/オフ判定機能部7とを有する。
区分情報生成機能部6は、信号処理装置1が受信したフレームを受ける入力端子60と、信号処理装置1内で生成された生成フレームを受ける入力端子61と、この生成フレームが変換処理対象のフレームか否かを示す変換処理対象指定情報(本実施の形態では暗号化対象指定情報)を生成フレームとともに受ける入力端子62と、変換オン/オフ判定機能部7にフレームおよびフレームに付随する区分情報を送る出力端子63とを有する。区分情報生成機能部6は、変換オン/オフ判定を一括して行う前処理として、(1)フレームチェックが不要な生成フレームと、(2)フレームチェックが必要な生成フレームと、(3)フレームチェックが必要な受信フレームの区分を行う。
変換オン/オフ判定機能部7は、区分情報生成機能部6からフレームおよびフレームに付随する区分情報を受ける入力端子70と、暗号処理回路5にフレームおよびフレームに付随する変換処理オン/オフ情報を送る出力端子71とを有する。変換オン/オフ判定機能部7は、暗号処理回路5の前処理として、変換処理(本実施の形態では暗号処理)を行うか/行わないかを指定する。
暗号処理回路5は、変換オン/オフ判定機能部7からフレームおよびフレームに付随する変換処理オン/オフ情報を受ける入力端子50と、フレームを送る出力端子51とを有する。暗号処理回路5は、暗号処理を行うか/行わないかの指定に基づいて動作する。
以下、本実施の形態の動作を図1を用いて説明する。区分情報生成機能部6は、フレームを受信したとき、このフレームが信号処理装置1が受信したフレームの場合には、変換オン/オフ判定において特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報“0”を生成し、受信したフレームに区分情報“0”を格納して変換オン/オフ判定機能部7に送る。図2は区分情報をフレームの先頭から2byte目のbit[2]に格納する例を示している。
また、区分情報生成機能部6は、フレームを受信したとき、このフレームが信号処理装置1が生成したフレームの場合には、暗号化対象であるか暗号化対象外であるかを示す暗号化対象指定情報をフレームと共に受信するが、受信したフレームが信号処理装置1が生成したフレームで且つ暗号化対象であれば、変換オン/オフ判定において特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報“0”を生成し、受信したフレームに区分情報“0”を格納して変換オン/オフ判定機能部7に送る。
また、区分情報生成機能部6は、フレームを受信したとき、このフレームが信号処理装置1が生成したフレームで且つ暗号化対象外であれば、変換オン/オフ判定において特定のフィールドの値をチェックする必要のないフレームであることを示す区分情報“1”を生成し、受信したフレームに区分情報“1”を格納して変換オン/オフ判定機能部7に送る。信号処理装置1が生成したフレームが暗号化対象であるか暗号化対象外であるかに関係なく、区分情報の格納位置は、信号処理装置1が受信したフレームの場合と同じフレームの先頭から2byte目のbit[2]である。
また、区分情報生成機能部6は、信号処理装置1が生成したフレームが暗号鍵管理フレームのとき、このフレームと共に暗号化対象外であることを示す暗号化対象指定情報を受ける。そして、区分情報生成機能部6は、変換オン/オフ判定において特定のフィールドの値をチェックする必要のないフレームであることを示す区分情報“1”を生成し、暗号鍵管理フレームに区分情報“1”を格納して変換オン/オフ判定機能部7に送る。
本実施の形態では、EPON(Ethernet Passive Optical Network)の送信フレームの信号処理を行うことを想定しており、信号処理装置1が生成したフレームと信号処理装置1が受信したフレームのうち、少なくとも一方がイーサネットフレームであることを想定している。この場合、チェック対象の特定のフィールドは、フレームの送信先MACアドレス、長さ/タイプ(Length/Type)フィールド、およびサブタイプ(Subtype)フィールドである。
変換オン/オフ判定機能部7は、区分情報生成機能部6からフレームを受信すると、このフレームの先頭から2byte目のbit[2]を確認する。変換オン/オフ判定機能部7は、フレーム先頭から2byte目のbit[2]が特定のフィールドの値をチェックする必要のないフレームであることを示す区分情報“1”であれば、受信したフレームの送信先MACアドレス、長さ/タイプフィールド、およびサブタイプフィールドの値のいかんによらず、このフレームに変換処理オフ(暗号処理オフ)を指定する変換処理オン/オフ指定情報“0”を格納して暗号処理回路5に送る。
図3は変換処理オン/オフ指定情報をフレームの先頭から2byte目のbit[7]に格納する例を示している。
前記のとおり、信号処理装置1が生成したフレームが暗号鍵管理フレームのとき、フレームの2byte目のbit[2]は区分情報“1”であるから、変換オン/オフ判定機能部7は、このフレームに変換処理オフを指定する変換処理オン/オフ指定情報“0”を格納して暗号処理回路5に送る。
また、変換オン/オフ判定機能部7は、受信したフレームの先頭から2byte目のbit[2]が特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報“0”であれば、このフレームの送信先MACアドレス、長さ/タイプフィールド、およびサブタイプフィールドの値をチェックする。変換オン/オフ判定機能部7は、これらのフィールドの値が変換処理対象(暗号化対象)の値であれば、このフレームに変換処理オン(暗号処理オン)を指定する変換処理オン/オフ指定情報“1”を格納して暗号処理回路5に送る。
図4はフレーム構造の例を示す図であり、変換オン/オフ判定機能部7がチェックするフィールドの位置の例を示す図である。ここでは、OAMPDU(OAM Protocol Data Unit)フレームの例を示している。前記のとおり、変換オン/オフ判定機能部7は、送信先アドレス(Destination Address)、長さ/タイプ(Length/Type)フィールド、およびサブタイプ(Subtype)フィールドをチェックする。
また、変換オン/オフ判定機能部7は、受信したフレームの先頭から2byte目のbit[2]が特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報“0”で、このフレームの送信先MACアドレス、長さ/タイプフィールド、およびサブタイプフィールドの値をチェックした結果、これらのフィールドの値が変換処理対象外(暗号化対象外)の値であれば、このフレームに変換処理オフを指定する変換処理オン/オフ指定情報“0”を格納して暗号処理回路5に送る。受信したフレームが暗号化対象であるか暗号化対象外であるかに関係なく、変換処理オン/オフ指定情報の格納位置は、特定のフィールドの値をチェックする必要のないフレームの場合と同じフレーム先頭から2byte目のbit[7]である。
暗号処理回路5は、変換オン/オフ判定機能部7からフレームを受信すると、このフレームの送信速度を検出すると共に、このフレームの先頭から2byte目のbit[7]を確認する。フレームの送信速度を検出する方法としては、例えば暗号処理回路5にフレームの送信速度ごとに入力端子50を設けておき、変換オン/オフ判定機能部7から送信速度の異なるフレームをそれぞれ別の入力端子50を介して暗号処理回路5に入力する構成とし、どの入力端子50からフレームが入力されたかで暗号処理回路5がフレーム送信速度を検出する方法がある。なお、送信速度の検出方法は、このような方法に限るものではなく、フレーム送信速度を検出できるものであれば、他の一般的な方法であってもよい。
続いて、暗号処理回路5は、検出したフレームの送信速度に対応する暗号方式(例えば暗号方式Aあるいは暗号方式B)を決定する。暗号処理回路5は、フレームの送信速度と変換方式(暗号方式)との対応関係が登録されたテーブル(不図示)を予め記憶している。したがって、暗号処理回路5は、このテーブルを参照して、フレームの送信速度に対応する暗号方式を決定することができる。そして、暗号処理回路5は、変換オン/オフ判定機能部7から受信したフレームの先頭から2byte目のbit[7]が変換処理オンを指定する変換処理オン/オフ指定情報“1”であれば、このフレームに対して、先に決定した暗号方式に則って暗号処理を実施して、暗号処理したフレームを出力する。
また、暗号処理回路5は、変換オン/オフ判定機能部7から受信したフレームの先頭から2byte目のbit[7]が変換処理オフを指定する変換処理オン/オフ指定情報“0”であれば、暗号処理を実施せずに、このフレームを出力する。
前記のとおり、信号処理装置1が生成したフレームが暗号鍵管理フレームのとき、フレームの2byte目のbit[7]は変換処理オフを指定する変換処理オン/オフ指定情報“0”であるから、暗号処理回路5は、暗号処理を実施せずにフレームを出力する。
以上のように、本実施の形態によれば、標準仕様(I)と標準仕様(II)の両方に準拠しつつ、暗号化対象フレームを全てのユニキャストフレームに拡張することができる。また、本実施の形態では、暗号処理回路を1つにまとめることができるので、標準仕様(I)と標準仕様(II)の両方で同様に行う演算(例えばAES−128など)の回路の共用化が可能となり、ハードウェアに無駄が生じるのを回避することができる。
なお、図2、図3には、区分情報および変換処理オン/オフ指定情報をフレームに格納する例を示したが、これらの情報は必ずしもフレームに格納されなくてもよい。例えばフレームを伝送する信号線とは別に、区分情報および変換処理オン/オフ指定情報を伝送する信号線を設け、この信号線を使って区分情報および変換処理オン/オフ指定情報をフレームとは別に送ることにより、区分情報および変換処理オン/オフ指定情報をフレームに格納する場合と同様の動作を実現可能である。
また、本実施の形態では、区分情報と変換処理オン/オフ指定情報とを格納するビット位置が異なる例を示したが、区分情報と同じビット位置に変換処理オン/オフ指定情報を上書きするようにしてもよい。
また、本実施の形態では、フレームの送信速度と変換方式(暗号方式)との対応関係を予め保持しておき、フレームの送信速度を検出することにより変換方式(暗号方式)を決定する例を示したが、これに限るものではなく、フレームの送信先MACアドレスに応じて変換方式(暗号方式)を決定するようにしてもよい。この場合、暗号処理回路5は、送信先MACアドレスと変換方式(暗号方式)との対応関係が登録されたテーブル(不図示)を予め記憶している。暗号処理回路5は、このテーブルを参照することにより、フレームの送信先MACアドレスに対応する変換方式(暗号方式)を決定する。
[第2の実施の形態]
次に、本発明の第2の実施の形態について説明する。図5は本発明の第2の実施の形態に係る信号処理装置の構成を示すブロック図であり、図1と同一の構成には同一の符号を付してある。
本実施の形態の信号処理装置1aは、受信端子2と、送信端子3と、変換制御機能部4aと、暗号処理回路5とを有する。変換制御機能部4aは、区分情報生成機能部6と、変換オン/オフ判定機能部7と、多重化回路8とを有する。
第1の実施の形態との違いは、信号処理装置1aで生成された生成フレームの一部を区分情報生成機能部6を経ずに変換オン/オフ判定機能部7に入力する点にある。第1の実施の形態では、信号処理装置1が受信したフレームと信号処理装置1が生成したフレームとを一括して変換オン/オフ判定するために、変換オン/オフ判定機能部7の前段に区分情報生成機能部6を配し、区分情報生成機能部6で区分情報を生成した上で、変換オン/オフ判定機能部7で送信先MACアドレス、長さ/タイプフィールド、およびサブタイプフィールドの値をチェックすることにより変換オン/オフを一括して判定するようにしていた。
これに対して、本実施の形態では、機能配置の上で、特定のフィールドの値をチェックする必要のあるフレームであるか否かが予め決まっているために区分情報生成機能部6で区分情報を生成する必要がない場合には、信号処理装置1aでフレームを生成する際に区分情報を当該フレームに格納しておくことによって、このフレームを変換オン/オフ判定機能部7で区分情報生成機能部6を経た他のフレームと同様に処理することができる。
多重化回路8は、区分情報生成機能部6からフレームを受信したときに受信したフレームを出力すると共に、信号処理装置1aで生成され区分情報生成機能部6を経ずに入力されたフレームを受信したときに受信したフレームを出力することにより、区分情報生成機能部6を経たフレームと区分情報生成機能部6を経ないフレームとを多重化して変換オン/オフ判定機能部7に送る。
区分情報生成機能部6、変換オン/オフ判定機能部7および暗号処理回路5の動作は、第1の実施の形態と同じである。
以上のように、本実施の形態は、信号処理装置1aで生成されたフレームを区分情報生成機能部6を経ずに変換オン/オフ判定機能部7に入力することを可能としたものである。信号処理装置1a内の図示しないフレーム生成手段のうち、多重化回路8にフレームを送信するフレーム生成手段は、生成したフレームに区分情報を格納する。当該フレーム生成手段は、生成したフレームが変換処理対象(暗号化対象)であれば、特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報“0”をフレームに格納し、フレームが変換処理対象外(暗号化対象外)であれば、特定のフィールドの値をチェックする必要のないフレームであることを示す区分情報“1”をフレームに格納する。区分情報生成機能部6を経ないフレームの例としては、ネットワーク制御フレームがある。ネットワーク制御フレームを生成するフレーム生成手段は、図示しないネットワーク制御機能部である。
なお、第1の実施の形態と同様に、区分情報をフレームに格納しなくてもよい。第1の実施の形態と同様に、図示しないフレーム生成手段から多重化回路8へフレームを伝送する信号線とは別に、区分情報を伝送する信号線を設け、この信号線を使って区分情報をフレームとは別に多重化回路8に送ることにより、区分情報をフレームに格納する場合と同様の動作を実現可能である。
[第3の実施の形態]
次に、本発明の第3の実施の形態について説明する。図6は本発明の第3の実施の形態に係る信号処理装置の構成を示すブロック図であり、図1と同一の構成には同一の符号を付してある。
本実施の形態の信号処理装置1bは、受信端子2と、送信端子3と、変換制御機能部4と、暗号処理回路5と、多重化回路9とを有する。
第1の実施の形態との違いは、信号処理装置1bで生成された生成フレームの一部を区分情報生成機能部6および変換オン/オフ判定機能部7を経ずに暗号処理回路5に入力する点にある。第1の実施の形態では、信号処理装置1が受信したフレームと信号処理装置1が生成したフレームとを一括して変換オン/オフ判定するために、変換オン/オフ判定機能部7の前段に区分情報生成機能部6を配し、区分情報生成機能部6で区分情報を生成した上で、変換オン/オフ判定機能部7で送信先MACアドレス、長さ/タイプフィールド、およびサブタイプフィールドの値をチェックすることにより変換オン/オフを一括して判定するようにしていた。
これに対して、本実施の形態では、機能配置の上で、変換オン/オフ判定をする必要がないために区分情報が不要で、かつフレームを生成する時点で変換オン/オフが決まっているために送信先MACアドレス、長さ/タイプフィールド、およびサブタイプフィールドの値のチェックも不要な場合には、信号処理装置1bでフレームを生成する際に変換処理オン/オフ指定情報を当該フレームに格納しておくことによって、このフレームを暗号処理回路5で区分情報生成機能部6および変換オン/オフ判定機能部7を経た他のフレームと同様に処理することができる。
多重化回路9は、変換オン/オフ判定機能部7からフレームを受信したときに受信したフレームを出力すると共に、信号処理装置1bで生成され区分情報生成機能部6および変換オン/オフ判定機能部7を経ずに入力されたフレームを受信したときに受信したフレームを出力することにより、区分情報生成機能部6および変換オン/オフ判定機能部7を経たフレームと区分情報生成機能部6および変換オン/オフ判定機能部7を経ないフレームとを多重化して暗号処理回路5に送る。
区分情報生成機能部6、変換オン/オフ判定機能部7および暗号処理回路5の動作は、第1の実施の形態と同じである。
以上のように、本実施の形態は、信号処理装置1bで生成されたフレームを区分情報生成機能部6および変換オン/オフ判定機能部7を経ずに暗号処理回路5に入力することを可能としたものである。信号処理装置1b内の図示しないフレーム生成手段のうち、多重化回路9にフレームを送信するフレーム生成手段は、生成したフレームに変換処理オン/オフ指定情報を格納する。当該フレーム生成手段は、生成したフレームが変換処理対象(暗号化対象)であれば、変換処理オン(暗号処理オン)を指定する変換処理オン/オフ指定情報“1”をフレームに格納し、フレームが変換処理対象外(暗号化対象外)であれば、変換処理オフ(暗号処理オフ)を指定する変換処理オン/オフ指定情報“0”をフレームに格納する。
なお、第1の実施の形態と同様に、変換処理オン/オフ指定情報をフレームに格納しなくてもよい。第1の実施の形態と同様に、図示しないフレーム生成手段から多重化回路9へフレームを伝送する信号線とは別に、変換処理オン/オフ指定情報を伝送する信号線を設け、この信号線を使って変換処理オン/オフ指定情報をフレームとは別に多重化回路9に送ることにより、変換処理オン/オフ指定情報をフレームに格納する場合と同様の動作を実現可能である。
なお、信号処理装置が生成したフレームを区分情報生成機能部6と変換オン/オフ判定機能部7が受ける例を第2の実施の形態に示し、生成フレームを区分情報生成機能部6と暗号処理回路5が受ける例を第3の実施の形態に示したが、生成フレームを区分情報生成機能部6と変換オン/オフ判定機能部7と暗号処理回路5が受ける構成、すなわち第2の実施の形態と第3の実施の形態を組み合わせた構成としても同様に動作することは言うまでもない。
また、第1〜第3の実施の形態では、変換処理の1例として暗号処理を例に挙げて説明しているが、本発明は他の変換処理に適用することも可能である。
第1〜第3の実施の形態で説明した信号処理装置1,1a,1bは、ハードウェアで実現することもできるし、CPUと記憶装置とからなるコンピュータを用いてソフトウェアで実現することもできる。コンピュータを用いる場合、CPUは記憶装置に格納されたプログラムに従って第1〜第3の実施の形態で説明した処理を実行する。
本発明は、イーサネットフレーム等を変換処理する技術に適用することができる。
1,1a,1b…信号処理装置、2…受信端子、3…送信端子、4,4a…変換制御機能部、5…暗号処理回路、6…区分情報生成機能部、7…変換オン/オフ判定機能部、8,9…多重化回路、50,60,61、62,70…入力端子、51,63,71…出力端子。

Claims (8)

  1. 信号処理装置が外部から受信した受信フレームまたは信号処理装置内で生成した生成フレームを受けて、特定のフィールドの値をチェックする必要のあるフレームか否かを示す区分情報を生成し、この区分情報を前記受信フレームまたは前記生成フレームに付随して出力する区分情報生成手段と、
    この区分情報生成手段が出力したフレームと区分情報を受けて、区分情報とチェック対象のフィールドの値に基づいて変換処理対象のフレームか否かを示す変換処理オン/オフ指定情報を生成し、この変換処理オン/オフ指定情報を前記区分情報生成手段が出力したフレームに付随して出力する変換オン/オフ判定手段と、
    前記変換処理オン/オフ指定情報に基づいて、前記変換オン/オフ判定手段が出力したフレームの全部または一部を変換処理する変換処理手段とを有することを特徴とする信号処理装置。
  2. 請求項1に記載の信号処理装置において、
    前記区分情報生成手段は、区分対象のフレームが信号処理装置が外部から受信した受信フレームの場合には、特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報を生成し、区分対象のフレームが信号処理装置内で生成した生成フレームで且つ変換処理対象の場合には、特定のフィールドの値をチェックする必要のあるフレームであることを示す区分情報を生成し、区分対象のフレームが信号処理装置内で生成した生成フレームで且つ変換処理対象外の場合には、特定のフィールドの値をチェックする必要のないフレームであることを示す区分情報を生成し、
    前記変換オン/オフ判定手段は、前記区分情報生成手段が出力したフレームが特定のフィールドの値をチェックする必要のあるフレームで且つチェック対象のフィールドの値が変換処理対象の値の場合には、変換処理オンを指定する変換処理オン/オフ指定情報を生成し、前記区分情報生成手段が出力したフレームが特定のフィールドの値をチェックする必要のあるフレームで且つチェック対象のフィールドの値が変換処理対象外の値の場合には、変換処理オフを指定する変換処理オン/オフ指定情報を生成し、前記区分情報生成手段が出力したフレームが特定のフィールドの値をチェックする必要のないフレームの場合には、変換処理オフを指定する変換処理オン/オフ指定情報を生成することを特徴とする信号処理装置。
  3. 請求項2に記載の信号処理装置において、
    前記区分情報生成手段は、信号処理装置内で生成した生成フレームを受ける場合、このフレームが変換処理対象のフレームか否かを示す変換処理対象指定情報をフレームと共に受けることを特徴とする信号処理装置。
  4. 請求項1乃至3のいずれか1項に記載の信号処理装置において、
    前記区分情報生成手段は、生成した区分情報を、信号処理装置が外部から受信した受信フレームまたは信号処理装置内で生成した生成フレームに格納して出力し、
    前記変換オン/オフ判定手段は、生成した変換処理オン/オフ指定情報を、前記区分情報生成手段が出力したフレームに格納して出力することを特徴とする信号処理装置。
  5. 請求項1乃至4のいずれか1項に記載の信号処理装置において、
    前記変換処理手段は、複数の方式の変換処理に対応し、前記変換オン/オフ判定手段が出力したフレームの送信速度を検出し、フレームの送信速度と変換方式との所定の対応関係に基づいて、前記検出した送信速度に対応する変換方式を決定し、この変換方式に則ってフレームを変換処理することを特徴とする信号処理装置。
  6. 請求項1乃至4のいずれか1項に記載の信号処理装置において、
    前記変換処理手段は、複数の方式の変換処理に対応し、前記変換オン/オフ判定手段が出力したフレームの送信先MACアドレスを検出し、フレームの送信先MACアドレスと変換方式との所定の対応関係に基づいて、前記検出した送信先MACアドレスに対応する変換方式を決定し、この変換方式に則ってフレームを変換処理することを特徴とする信号処理装置。
  7. 請求項1乃至6のいずれか1項に記載の信号処理装置において、
    さらに、前記区分情報生成手段と前記変換オン/オフ判定手段との間に、前記区分情報生成手段が出力したフレームと、信号処理装置内で生成され前記区分情報を持っているフレームとを受けて、これらのフレームを多重化して前記変換オン/オフ判定手段に送る第1の多重化手段を有することを特徴とする信号処理装置。
  8. 請求項1乃至7のいずれか1項に記載の信号処理装置において、
    さらに、前記変換オン/オフ判定手段と前記変換処理手段との間に、前記変換オン/オフ判定手段が出力したフレームと、信号処理装置内で生成され前記変換処理オン/オフ指定情報を持っているフレームとを受けて、これらのフレームを多重化して前記変換処理手段に送る第2の多重化手段を有することを特徴とする信号処理装置。
JP2011147016A 2011-07-01 2011-07-01 信号処理装置 Active JP5302360B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011147016A JP5302360B2 (ja) 2011-07-01 2011-07-01 信号処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011147016A JP5302360B2 (ja) 2011-07-01 2011-07-01 信号処理装置

Publications (2)

Publication Number Publication Date
JP2013015605A JP2013015605A (ja) 2013-01-24
JP5302360B2 true JP5302360B2 (ja) 2013-10-02

Family

ID=47688355

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011147016A Active JP5302360B2 (ja) 2011-07-01 2011-07-01 信号処理装置

Country Status (1)

Country Link
JP (1) JP5302360B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013179551A1 (ja) * 2012-05-29 2013-12-05 パナソニック株式会社 送信装置、受信装置、通信システム、送信方法、及び受信方法
JP5994936B2 (ja) * 2013-05-16 2016-09-21 富士通株式会社 端末装置、通信システム及び通信制御プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07245606A (ja) * 1994-03-02 1995-09-19 Nec Corp インタフェース変換装置
JPH11205309A (ja) * 1998-01-16 1999-07-30 Mitsubishi Electric Corp ネットワークセキュリティシステム
JP2007036834A (ja) * 2005-07-28 2007-02-08 Canon Inc 暗号装置、プログラム、記録媒体、および方法
KR100737527B1 (ko) * 2005-12-08 2007-07-10 한국전자통신연구원 이더넷 폰에서 보안 채널 제어 방법 및 장치
JP2008219150A (ja) * 2007-02-28 2008-09-18 Hitachi Ltd 移動体通信システム、ゲートウェイ装置及び移動端末

Also Published As

Publication number Publication date
JP2013015605A (ja) 2013-01-24

Similar Documents

Publication Publication Date Title
CN104935593B (zh) 数据报文的传输方法及装置
US11804967B2 (en) Systems and methods for verifying a route taken by a communication
CN107567704B (zh) 使用带内元数据的网络路径通过验证
US9923874B2 (en) Packet obfuscation and packet forwarding
WO2015120783A1 (en) System and method for securing source routing using public key based digital signature
US9374222B2 (en) Secure communication of data between devices
US10699031B2 (en) Secure transactions in a memory fabric
US10715332B2 (en) Encryption for transactions in a memory fabric
US10097443B2 (en) System and method for secure communications between a computer test tool and a cloud-based server
EP3451577A1 (en) Computing device, authentication system, and authentication method
EP3293933A1 (en) Communication content protection
JP7247365B2 (ja) ヘテロジニアスオペレーティングシステムに基づくメッセージ伝送システム、方法及び車両
CN106209401B (zh) 一种传输方法及装置
EP3442195A1 (en) Method and device for parsing packet
JP2020506627A (ja) プログラマブル・ハードウェア・セキュリティ・モジュール及びプログラマブル・ハードウェア・セキュリティ・モジュールに用いられる方法
JP5302360B2 (ja) 信号処理装置
US20150086015A1 (en) Cryptographically Protected Redundant Data Packets
US10715325B2 (en) Secure, real-time based data transfer
CN106027455A (zh) 提供关于现有通信信道的策略信息
KR102356152B1 (ko) 양자보안 통신장치 통합형 지능형 교통신호 제어 시스템 및 방법
US11463879B2 (en) Communication device, information processing system and non-transitory computer readable storage medium
US20240146538A1 (en) Systems and methods for verifying a route taken by a communication
KR102073552B1 (ko) 근거리 통신에 있어 암호화가 필요한 데이터 패킷의 생성방법 및 장치
WO2023036395A1 (en) Devices and methods for lightweight privacy preserving exchange of a key reference
CN115695278A (zh) 报文转发方法、控制器及报文转发系统

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130620

R150 Certificate of patent or registration of utility model

Ref document number: 5302360

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350