JPH05199220A - 単一の暗号エンジンを使用する通信回路網内の暗号処理方法及び装置 - Google Patents
単一の暗号エンジンを使用する通信回路網内の暗号処理方法及び装置Info
- Publication number
- JPH05199220A JPH05199220A JP4156793A JP15679392A JPH05199220A JP H05199220 A JPH05199220 A JP H05199220A JP 4156793 A JP4156793 A JP 4156793A JP 15679392 A JP15679392 A JP 15679392A JP H05199220 A JPH05199220 A JP H05199220A
- Authority
- JP
- Japan
- Prior art keywords
- customer interface
- packet
- data
- processing
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】 (修正有)
【目的】 “顧客”インタフェースと通信回路網間で両
方向に転送されるデータを単一の暗号エンジンを使用し
て暗号処理する簡便な装置を提供する。 【構成】 顧客インタフェース10から受信した出力デ
ータパケットは、暗号処理の要求の有無の決定のために
直ちにパーズ28され、要求されていればパケットを受
信した時にその適切な部分が暗号処理され、通信回路網
上へ転送されるまで送出バッファ記憶装置24内に記憶
される。通信回路網12からのデータパケットは直ちに
パーズされず、顧客インタフェースが使用可能になるま
で到来バッファ記憶装置24内に記憶される。到来パケ
ットのパージング及び必要暗号処理は、顧客インタフェ
ースが使用可能になり、転送のため到来バッファ記憶装
置から検索されるまで遂行されない。半二重顧客バッフ
ァは単一の暗号エンジンだけが要求される。
方向に転送されるデータを単一の暗号エンジンを使用し
て暗号処理する簡便な装置を提供する。 【構成】 顧客インタフェース10から受信した出力デ
ータパケットは、暗号処理の要求の有無の決定のために
直ちにパーズ28され、要求されていればパケットを受
信した時にその適切な部分が暗号処理され、通信回路網
上へ転送されるまで送出バッファ記憶装置24内に記憶
される。通信回路網12からのデータパケットは直ちに
パーズされず、顧客インタフェースが使用可能になるま
で到来バッファ記憶装置24内に記憶される。到来パケ
ットのパージング及び必要暗号処理は、顧客インタフェ
ースが使用可能になり、転送のため到来バッファ記憶装
置から検索されるまで遂行されない。半二重顧客バッフ
ァは単一の暗号エンジンだけが要求される。
Description
【0001】
【産業上の利用分野】本発明は、一般的には通信回路網
における暗号処理に関する。具体的には、通常は比較的
ローカルなコンピュータ及び他の装置の回路網であるユ
ーザまたは“顧客”インタフェースと、選択された宛先
へ顧客インタフェースからメッセージを伝送する通信回
路網との間に配置される暗号装置に関する。
における暗号処理に関する。具体的には、通常は比較的
ローカルなコンピュータ及び他の装置の回路網であるユ
ーザまたは“顧客”インタフェースと、選択された宛先
へ顧客インタフェースからメッセージを伝送する通信回
路網との間に配置される暗号装置に関する。
【0002】
【従来の技術】多くの他のシステム及び顧客が通信回路
網への合法的なアクセスを有しているから、これらの伝
送の安全性が屡々重要な問題となる。異なる回路網プロ
トコル層における動作のための種々の通信安全プロトコ
ルが開発されている。これらの安全プロトコルの本質の
詳細は、どのような所望の安全プロトコルを取り扱うこ
ともできる本発明にとっては重要ではない。
網への合法的なアクセスを有しているから、これらの伝
送の安全性が屡々重要な問題となる。異なる回路網プロ
トコル層における動作のための種々の通信安全プロトコ
ルが開発されている。これらの安全プロトコルの本質の
詳細は、どのような所望の安全プロトコルを取り扱うこ
ともできる本発明にとっては重要ではない。
【0003】本発明が関係する安全サービスの原理的な
型は、機密性のための暗号と、完全性のための暗号とを
含む。機密性とは、発信者から無許可の個人または構成
要素へ情報が伝送されないように保護することである。
この目的のために、情報は伝送される前に暗号化された
形状に変換され、宛先において受信されると“解読され
た本文”形状に解読される。完全性とは、受信したデー
タが伝送中に変更されたか否かを検出することを含む。
この目的のためには情報を暗号化する必要はなく、単に
伝送経路の各端において独特な暗号検査合計を発生させ
るような処理を行うに過ぎない。もし検査合計が整合し
なければ、当該データは変更されたものと見做される。
型は、機密性のための暗号と、完全性のための暗号とを
含む。機密性とは、発信者から無許可の個人または構成
要素へ情報が伝送されないように保護することである。
この目的のために、情報は伝送される前に暗号化された
形状に変換され、宛先において受信されると“解読され
た本文”形状に解読される。完全性とは、受信したデー
タが伝送中に変更されたか否かを検出することを含む。
この目的のためには情報を暗号化する必要はなく、単に
伝送経路の各端において独特な暗号検査合計を発生させ
るような処理を行うに過ぎない。もし検査合計が整合し
なければ、当該データは変更されたものと見做される。
【0004】理想的には、暗号処理はユーザまたは顧客
に対して“透明”にすべきである。そのようにすればメ
ッセージの送受信を、暗号処理の性質に、またはその存
在にさえ関係することなく遂行することができ、その使
用が“待ち時間”と呼ばれる伝送遅延時間を大幅に増大
させたり、または“処理能力”即ち顧客と回路網との間
のデータの流れのレートに重大な影響を与えたりするこ
とははなくなる。しかしながら完全に透明な暗号処理は
複雑でもあり、また費用もかかる。従って、顧客インタ
フェースに接続されている各関連装置が暗号処理のある
面に対する責を負っているような費用のかからない非透
明暗号処理技術が要望されている。
に対して“透明”にすべきである。そのようにすればメ
ッセージの送受信を、暗号処理の性質に、またはその存
在にさえ関係することなく遂行することができ、その使
用が“待ち時間”と呼ばれる伝送遅延時間を大幅に増大
させたり、または“処理能力”即ち顧客と回路網との間
のデータの流れのレートに重大な影響を与えたりするこ
とははなくなる。しかしながら完全に透明な暗号処理は
複雑でもあり、また費用もかかる。従って、顧客インタ
フェースに接続されている各関連装置が暗号処理のある
面に対する責を負っているような費用のかからない非透
明暗号処理技術が要望されている。
【0005】回路網に使用する暗号システムを設計する
場合の重要な目標は、データパケットが何れの方向に通
過しようとも重大な遅延をもたらさない“オンザフラ
イ”で処理を遂行できるように、暗号処理を顧客インタ
フェースと通信回路網との間に配置すべきことである。
若干の形態においては暗号処理を顧客インタフェース制
御装置内に組み入れることができるが、それでも暗号処
理は通信経路において遂行される。データは、暗号装置
を通して両方向に伝送しなければならないから、殆どの
従来装置は両方向のデータ流を同時に処理するために2
つの独立暗号エンジンを使用していた。単一の暗号エン
ジンを使用すると一方向の、まはた他の方向の処理に遅
延を生じさせることによって性能に悪影響を与えるもの
と広く信じられている。
場合の重要な目標は、データパケットが何れの方向に通
過しようとも重大な遅延をもたらさない“オンザフラ
イ”で処理を遂行できるように、暗号処理を顧客インタ
フェースと通信回路網との間に配置すべきことである。
若干の形態においては暗号処理を顧客インタフェース制
御装置内に組み入れることができるが、それでも暗号処
理は通信経路において遂行される。データは、暗号装置
を通して両方向に伝送しなければならないから、殆どの
従来装置は両方向のデータ流を同時に処理するために2
つの独立暗号エンジンを使用していた。単一の暗号エン
ジンを使用すると一方向の、まはた他の方向の処理に遅
延を生じさせることによって性能に悪影響を与えるもの
と広く信じられている。
【0006】従って、回路網通信の暗号処理の分野にお
ける改善が未だに要望され、特に、従来装置の性能を低
下させないような低価格装置、即ち単一の暗号エンジン
だけしか必要としない装置が要望されている。本発明は
この要望を満足させるものである。
ける改善が未だに要望され、特に、従来装置の性能を低
下させないような低価格装置、即ち単一の暗号エンジン
だけしか必要としない装置が要望されている。本発明は
この要望を満足させるものである。
【0007】
【発明の概要】本発明は、単一の暗号エンジンだけを使
用するが、2つの暗号エンジンを使用する装置に比して
通信の処理能力または待ち時間に何等の悪影響をもたら
さない暗号インタフェースを通信回路網と半二重顧客イ
ンタフェースとの間に設けた暗号処理装置、及び関連す
る方法を提供する。要約すれば、そして一般的に表現す
れば本発明の方法は、送出されるデータパケットを顧客
インタフェースから受信した時に、もし必要ならば、唯
一の暗号エンジンを使用して暗号処理する段階と、到来
データパケットが顧客インタフェースへ送信されて来た
時に、もし必要ならば、上記唯一の暗号エンジンを使用
して暗号処理する段階と、到来データパケットと送出デ
ータパケットとを転送する前に、必要に応じて、一時バ
ッファ記憶装置内に記憶する段階とからなる。殆どの場
合には、データパケットは“カットスルー”動作と呼ば
れる動作で直ちに転送されよう。顧客インタフェースが
送出パケットと到来パケットとを同時に処理することが
できないために、単一の暗号エンジンだけしか必要とし
ない。
用するが、2つの暗号エンジンを使用する装置に比して
通信の処理能力または待ち時間に何等の悪影響をもたら
さない暗号インタフェースを通信回路網と半二重顧客イ
ンタフェースとの間に設けた暗号処理装置、及び関連す
る方法を提供する。要約すれば、そして一般的に表現す
れば本発明の方法は、送出されるデータパケットを顧客
インタフェースから受信した時に、もし必要ならば、唯
一の暗号エンジンを使用して暗号処理する段階と、到来
データパケットが顧客インタフェースへ送信されて来た
時に、もし必要ならば、上記唯一の暗号エンジンを使用
して暗号処理する段階と、到来データパケットと送出デ
ータパケットとを転送する前に、必要に応じて、一時バ
ッファ記憶装置内に記憶する段階とからなる。殆どの場
合には、データパケットは“カットスルー”動作と呼ば
れる動作で直ちに転送されよう。顧客インタフェースが
送出パケットと到来パケットとを同時に処理することが
できないために、単一の暗号エンジンだけしか必要とし
ない。
【0008】本方法は、処理が必要か否かを決定し、ま
た遂行すべき処理の型を決定するために暗号処理の直前
に各送出データパケットをパーズ(または構文解析)す
る段階と、処理が必要か否かを決定し、また遂行すべき
処理の型を決定するために暗号処理の直前に各到来デー
タパケットをパーズする段階とをも含むことが好まし
い。到来パケットと送出パケットとを一時バッファ記憶
装置内に記憶する段階は、もし顧客インタフェースが使
用不能であれば到来パケットを記憶する段階と、もし通
信回路網が使用不能であれば送出パケットを記憶する段
階とを含む。
た遂行すべき処理の型を決定するために暗号処理の直前
に各送出データパケットをパーズ(または構文解析)す
る段階と、処理が必要か否かを決定し、また遂行すべき
処理の型を決定するために暗号処理の直前に各到来デー
タパケットをパーズする段階とをも含むことが好まし
い。到来パケットと送出パケットとを一時バッファ記憶
装置内に記憶する段階は、もし顧客インタフェースが使
用不能であれば到来パケットを記憶する段階と、もし通
信回路網が使用不能であれば送出パケットを記憶する段
階とを含む。
【0009】本発明の方法は、ループバックパケットを
顧客インタフェースから受信する段階と、ループバック
パケットを、もし必要ならば、直ちにパーズし、暗号処
理する段階と、もし顧客インタフェースが使用不能であ
ればループバックパケットをループバックバッファ記憶
装置内に記憶する段階とをも含むことができる。以下に
説明するように、本発明の好ましい実施例は、 通信回
路網から到来するデータパケットを受信する段階と、顧
客インタフェースが使用可能か否かを決定する段階と、
使用不能であれば、到来各データパケットを到来バッフ
ァ記憶装置内に記憶する段階を含む。次いで顧客インタ
フェースが使用可能になると、本方法は記憶されたデー
タパケットを検索する段階を含む。これに続くのは、デ
ータパケットを暗号処理すべきか否かを決定するために
パーズし、もし必要ならば、パケットを暗号処理し、そ
のパケットを顧客インタフェースへ送信する段階であ
る。他方向におけるトラフィックに対しては本方法は、
顧客インタフェースから送出されるデータパケットを受
信する段階と、顧客インタフェースから受信した各パケ
ットをパーズする段階と、もし処理が必要であると決定
されれていれば、顧客インタフェースから受信した各パ
ケットを暗号処理する段階と、通信回路網が使用可能で
あるか否かを決定する段階とを含む。もし通信回路網が
使用不能であれば本方法は、各送出されるデータパケッ
トを記憶する段階と、回路網が使用可能になるとデータ
パケットを検索する段階を含む。本方法の最終段階は、
送出されるパケットを通信回路網上に送信することであ
る。
顧客インタフェースから受信する段階と、ループバック
パケットを、もし必要ならば、直ちにパーズし、暗号処
理する段階と、もし顧客インタフェースが使用不能であ
ればループバックパケットをループバックバッファ記憶
装置内に記憶する段階とをも含むことができる。以下に
説明するように、本発明の好ましい実施例は、 通信回
路網から到来するデータパケットを受信する段階と、顧
客インタフェースが使用可能か否かを決定する段階と、
使用不能であれば、到来各データパケットを到来バッフ
ァ記憶装置内に記憶する段階を含む。次いで顧客インタ
フェースが使用可能になると、本方法は記憶されたデー
タパケットを検索する段階を含む。これに続くのは、デ
ータパケットを暗号処理すべきか否かを決定するために
パーズし、もし必要ならば、パケットを暗号処理し、そ
のパケットを顧客インタフェースへ送信する段階であ
る。他方向におけるトラフィックに対しては本方法は、
顧客インタフェースから送出されるデータパケットを受
信する段階と、顧客インタフェースから受信した各パケ
ットをパーズする段階と、もし処理が必要であると決定
されれていれば、顧客インタフェースから受信した各パ
ケットを暗号処理する段階と、通信回路網が使用可能で
あるか否かを決定する段階とを含む。もし通信回路網が
使用不能であれば本方法は、各送出されるデータパケッ
トを記憶する段階と、回路網が使用可能になるとデータ
パケットを検索する段階を含む。本方法の最終段階は、
送出されるパケットを通信回路網上に送信することであ
る。
【0010】送出パケットを顧客インタフェースから受
信した時に送出パケットの暗号処理が遂行され、また到
来パケットを顧客インタフェースへ送信する時に到来パ
ケットの暗号処理が遂行されるので、データの両暗号処
理段階を遂行するには単一の暗号エンジンで十分であ
る。顧客インタフェースの半二重動作が、これらの両機
構を同時に要求する可能性を妨げる。
信した時に送出パケットの暗号処理が遂行され、また到
来パケットを顧客インタフェースへ送信する時に到来パ
ケットの暗号処理が遂行されるので、データの両暗号処
理段階を遂行するには単一の暗号エンジンで十分であ
る。顧客インタフェースの半二重動作が、これらの両機
構を同時に要求する可能性を妨げる。
【0011】ループバックパケットを処理することに関
して本方法は、ループバックパケットを顧客インタフェ
ースから受信する段階と、ループバックパケットを、も
し必要ならば、直ちにパーズし、暗号処理する段階と、
もし顧客インタフェースが使用不能であればループバッ
クパケットを記憶する段階とを含む。本発明の別の面に
よれば、方法は更に、顧客インタフェースが使用可能に
なる前に到来データパケットの一部分をパーズする段階
と、パケットのパーズされた部分を先入れ先出しバッフ
ァ内に記憶して送信準備を整える段階と、顧客インタフ
ェースが使用可能になると先入れ先出しバッファからデ
ータを検索する段階と、同一パケットの付加的なデータ
を先入れ先出しバッファ内に記憶し、該バッファから検
索しながら、検索されたデータを顧客インタフェース上
へ送信開始する段階とをも含む。先入れ先出しバッファ
を使用することによって、インタフェースが使用可能に
なった直後に、遅延を伴わずに顧客インタフェース上へ
の送信が開始されるようになる。
して本方法は、ループバックパケットを顧客インタフェ
ースから受信する段階と、ループバックパケットを、も
し必要ならば、直ちにパーズし、暗号処理する段階と、
もし顧客インタフェースが使用不能であればループバッ
クパケットを記憶する段階とを含む。本発明の別の面に
よれば、方法は更に、顧客インタフェースが使用可能に
なる前に到来データパケットの一部分をパーズする段階
と、パケットのパーズされた部分を先入れ先出しバッフ
ァ内に記憶して送信準備を整える段階と、顧客インタフ
ェースが使用可能になると先入れ先出しバッファからデ
ータを検索する段階と、同一パケットの付加的なデータ
を先入れ先出しバッファ内に記憶し、該バッファから検
索しながら、検索されたデータを顧客インタフェース上
へ送信開始する段階とをも含む。先入れ先出しバッファ
を使用することによって、インタフェースが使用可能に
なった直後に、遅延を伴わずに顧客インタフェース上へ
の送信が開始されるようになる。
【0012】新しい装置に関しては本発明は、その最も
広義の表現では、送出データパケットを顧客インタフェ
ースから受信した時に、もし必要ならば、及び到来デー
タパケットが顧客インタフェースへ送信されて来た時
に、もし必要ならば、暗号処理する単一の暗号エンジン
と、到来データパケット及び送出データパケットを転送
する前に、必要に応じて、記憶するバッファ記憶装置手
段とを含む。前述のように、顧客インタフェースが送出
データパケットと到来データパケットとを同時に処理す
ることができないから、この目的のためには単一の暗号
エンジンで十分である。本発明の装置は、ループバック
データパケットを記憶する手段をも含むことができ、ま
た上述した種々の形状を有する本発明の方法の範囲に対
比できる他のより特定の表現によって限定することもで
きる。
広義の表現では、送出データパケットを顧客インタフェ
ースから受信した時に、もし必要ならば、及び到来デー
タパケットが顧客インタフェースへ送信されて来た時
に、もし必要ならば、暗号処理する単一の暗号エンジン
と、到来データパケット及び送出データパケットを転送
する前に、必要に応じて、記憶するバッファ記憶装置手
段とを含む。前述のように、顧客インタフェースが送出
データパケットと到来データパケットとを同時に処理す
ることができないから、この目的のためには単一の暗号
エンジンで十分である。本発明の装置は、ループバック
データパケットを記憶する手段をも含むことができ、ま
た上述した種々の形状を有する本発明の方法の範囲に対
比できる他のより特定の表現によって限定することもで
きる。
【0013】以上の説明から、本発明が回路網通信に使
用するための暗号処理の分野に重要な進歩をもたらして
いることが明白になったであろう。即ち本発明は、単一
の暗号エンジンを使用しながら2つの暗号エンジンを使
用する装置に比して処理能力または待ち時間を何等劣化
させることなく、通信回路網と顧客インタフェースとの
間の双方向暗号処理を提供する。
用するための暗号処理の分野に重要な進歩をもたらして
いることが明白になったであろう。即ち本発明は、単一
の暗号エンジンを使用しながら2つの暗号エンジンを使
用する装置に比して処理能力または待ち時間を何等劣化
させることなく、通信回路網と顧客インタフェースとの
間の双方向暗号処理を提供する。
【0014】以下に添付図面に基づいて本発明の好まし
い実施例を説明するが、この説明から本発明がより明白
になるであろう。
い実施例を説明するが、この説明から本発明がより明白
になるであろう。
【0015】
【実施例】例として添付図面に示すように、本発明は顧
客インタフェースと通信回路網との間を両方向に通過す
るデータパケットを暗号処理する装置に関する。従来
は、最小の遅延で両方向のトラフィックを効率的に処理
するためには、少なくとも2つの独立的に作動する暗号
エンジンを含む必要があるものと考えられていた。本発
明以前には、単一の暗号エンジンを使用すると必然的に
待ち時間または処理能力にある種の性能低下がもたらさ
れるものと考えられて来た。
客インタフェースと通信回路網との間を両方向に通過す
るデータパケットを暗号処理する装置に関する。従来
は、最小の遅延で両方向のトラフィックを効率的に処理
するためには、少なくとも2つの独立的に作動する暗号
エンジンを含む必要があるものと考えられていた。本発
明以前には、単一の暗号エンジンを使用すると必然的に
待ち時間または処理能力にある種の性能低下がもたらさ
れるものと考えられて来た。
【0016】本発明によれば、装置の待ち時間または処
理能力に重大な影響を与えることなく、顧客インタフェ
ースと通信回路網との間で両方向の暗号処理をするため
に単一の暗号エンジンを使用する。この目標を単一の暗
号エンジンを用いて達成することは不可能に見えるかも
知れないが、もし顧客インタフェース内の通信媒体への
アクセスのために使用されるプロトコルが、一般にキャ
リア検知多重アクセス/衝突検出(CSMA/CD)と
呼ばれるプロトコルを使用するイーサネットのような半
二重媒体であれば、可能である。回路網バスまたはケー
ブルへのアクセスのためのCSMA/CD規約の下で
は、送信を望んでいるどのステーションも、送信を開始
する前にそのケーブルが話し中でないことを確認するた
めに先ず“聴守”しなければならない。回路網上の全て
のステーションは平等のアクセス優先順位を有してお
り、ラインが話し中でなくなると直ちに、そして何等の
パケット間遅延も要求されることなく送信を開始するこ
とができる。しかしながら、もし送信を開始した第1の
ステーションが別のステーションからの送信との“衝
突”を検出すれば、第1のステーションは短い時間の間
にわたって送信を継続し、送信を望んでいる全ステーシ
ョンに衝突を検出させる。次いで第1のステーションは
ランダムな時間の後に送信を終了する。衝突に関与して
いる他のステーションは同じことはせず、送信の再開を
試みる前にランダムな、従って通常は異なる遅延時間を
選択する。
理能力に重大な影響を与えることなく、顧客インタフェ
ースと通信回路網との間で両方向の暗号処理をするため
に単一の暗号エンジンを使用する。この目標を単一の暗
号エンジンを用いて達成することは不可能に見えるかも
知れないが、もし顧客インタフェース内の通信媒体への
アクセスのために使用されるプロトコルが、一般にキャ
リア検知多重アクセス/衝突検出(CSMA/CD)と
呼ばれるプロトコルを使用するイーサネットのような半
二重媒体であれば、可能である。回路網バスまたはケー
ブルへのアクセスのためのCSMA/CD規約の下で
は、送信を望んでいるどのステーションも、送信を開始
する前にそのケーブルが話し中でないことを確認するた
めに先ず“聴守”しなければならない。回路網上の全て
のステーションは平等のアクセス優先順位を有してお
り、ラインが話し中でなくなると直ちに、そして何等の
パケット間遅延も要求されることなく送信を開始するこ
とができる。しかしながら、もし送信を開始した第1の
ステーションが別のステーションからの送信との“衝
突”を検出すれば、第1のステーションは短い時間の間
にわたって送信を継続し、送信を望んでいる全ステーシ
ョンに衝突を検出させる。次いで第1のステーションは
ランダムな時間の後に送信を終了する。衝突に関与して
いる他のステーションは同じことはせず、送信の再開を
試みる前にランダムな、従って通常は異なる遅延時間を
選択する。
【0017】回路網アクセスに関するCSMA/CD規
約は、全二重伝送を、即ち同時に送受信することを許容
しないようになっている。もしあるステーションがメッ
セージを受信中であれば回路網は話し中であり、このス
テーションまたは他のどのステーションからも送信を開
始することはできない。同様に、もしこのステーション
から送信が進行中であれば、このステーションがメッセ
ージを送っている間は他のステーションは回路網にアク
セスを得ることはできないので、同時にメッセージを受
信することはできない。従って、イーサネットまたは他
のCSMA/CDステーションの動作の性質は半二重、
即ちメッセージの送信及び受信の両方を同時に行うこと
はできないが、回路網アクセス規約の性質から、同時で
なければ可能である。イーサネット及びCSMA/CD
のこの特性が本発明に、特定的には顧客インタフェース
内に使用され、単一の暗号エンジンを通して、2つの暗
号エンジンを使用する装置に比して待ち時間または処理
能力に何等の劣化を与えることなく、メッセージの双方
向伝送を提供する。しかしながら、本発明はCSMA/
CDとの併用に限定されるものではなく、どのような半
二重通信媒体とも同じように動作することは明白であ
る。
約は、全二重伝送を、即ち同時に送受信することを許容
しないようになっている。もしあるステーションがメッ
セージを受信中であれば回路網は話し中であり、このス
テーションまたは他のどのステーションからも送信を開
始することはできない。同様に、もしこのステーション
から送信が進行中であれば、このステーションがメッセ
ージを送っている間は他のステーションは回路網にアク
セスを得ることはできないので、同時にメッセージを受
信することはできない。従って、イーサネットまたは他
のCSMA/CDステーションの動作の性質は半二重、
即ちメッセージの送信及び受信の両方を同時に行うこと
はできないが、回路網アクセス規約の性質から、同時で
なければ可能である。イーサネット及びCSMA/CD
のこの特性が本発明に、特定的には顧客インタフェース
内に使用され、単一の暗号エンジンを通して、2つの暗
号エンジンを使用する装置に比して待ち時間または処理
能力に何等の劣化を与えることなく、メッセージの双方
向伝送を提供する。しかしながら、本発明はCSMA/
CDとの併用に限定されるものではなく、どのような半
二重通信媒体とも同じように動作することは明白であ
る。
【0018】図1は顧客インタフェース10と通信回路
網12との間に接続されている実施例の装置を簡易ブロ
ック線図で示している。以下の説明では、顧客インタフ
ェースに関連する装置の面を装置の“顧客側”と呼ぶこ
とがあり、また通信回路網に関連する装置の面を装置の
“回路網側”と呼ぶことがある。装置の関連成分は、顧
客受信装置(RxC)14、顧客送信装置(TxC)1
6、回路網受信装置(RxN)18、回路網送信装置
(TxN)20、単一の暗号エンジン22、バッファ記
憶装置24、顧客送信FIFO記憶装置26、受信パー
ザ28及び送信パーザ30を含む。
網12との間に接続されている実施例の装置を簡易ブロ
ック線図で示している。以下の説明では、顧客インタフ
ェースに関連する装置の面を装置の“顧客側”と呼ぶこ
とがあり、また通信回路網に関連する装置の面を装置の
“回路網側”と呼ぶことがある。装置の関連成分は、顧
客受信装置(RxC)14、顧客送信装置(TxC)1
6、回路網受信装置(RxN)18、回路網送信装置
(TxN)20、単一の暗号エンジン22、バッファ記
憶装置24、顧客送信FIFO記憶装置26、受信パー
ザ28及び送信パーザ30を含む。
【0019】これらの成分は、特定の時点に処理するト
ラフィックの型に依存して種々の論理構成に接続され
る。説明する全ての経路はバッファ記憶装置24を通過
しているが、バッファ記憶装置をデータパケット記憶装
置としてではなく、各データ経路の一部として使用する
2つの直接論理経路が存在する。第1に、顧客インタフ
ェース10から回路網ケーブル12までの直接論理経路
が存在する。この経路は顧客インタフェース10から顧
客受信装置14までの線32と、顧客受信装置から(バ
ッファ記憶装置24を介して)回路網送信装置20まで
の線34と、回路網送信装置から回路網ケーブル12ま
での第3の線36とを含む。同様に、通信回路網12か
ら顧客インタフェース10までの別の直接論理経路は、
通信回路網から回路網受信装置18までの線38と、回
路網受信装置から(バッファ記憶装置24を介して)顧
客送信FIFO記憶装置26までの線40と、FIFO
記憶装置から顧客送信装置16までの別の線42と、顧
客送信装置から顧客インタフェース10までのさらなる
線44とを含む。実際には論理的に分離している3つの
記憶装置であるバッファ記憶装置24は、データバス4
6によって、線34に沿う“送出”データ経路と、線4
0に沿う“到来”データ経路とに接続されている。
ラフィックの型に依存して種々の論理構成に接続され
る。説明する全ての経路はバッファ記憶装置24を通過
しているが、バッファ記憶装置をデータパケット記憶装
置としてではなく、各データ経路の一部として使用する
2つの直接論理経路が存在する。第1に、顧客インタフ
ェース10から回路網ケーブル12までの直接論理経路
が存在する。この経路は顧客インタフェース10から顧
客受信装置14までの線32と、顧客受信装置から(バ
ッファ記憶装置24を介して)回路網送信装置20まで
の線34と、回路網送信装置から回路網ケーブル12ま
での第3の線36とを含む。同様に、通信回路網12か
ら顧客インタフェース10までの別の直接論理経路は、
通信回路網から回路網受信装置18までの線38と、回
路網受信装置から(バッファ記憶装置24を介して)顧
客送信FIFO記憶装置26までの線40と、FIFO
記憶装置から顧客送信装置16までの別の線42と、顧
客送信装置から顧客インタフェース10までのさらなる
線44とを含む。実際には論理的に分離している3つの
記憶装置であるバッファ記憶装置24は、データバス4
6によって、線34に沿う“送出”データ経路と、線4
0に沿う“到来”データ経路とに接続されている。
【0020】以上のデータ経路の説明からバッファ記憶
装置24は、データパケットを直ちに送信できない場合
にはそれらを記憶するように働き、また全パケットを記
憶することなくデータを直ちに転送するようにも働くこ
とが理解されよう。これらの両動作は、技術的には記憶
装置内にデータを“記憶”することを含むが、この説明
では“記憶”すると言う語は全データパケットが爾後に
通信回路網または顧客インタフェース上へ転送するため
に保持するような状況のために保留する。“カットスル
ー”動作モードにおいてデータパケットがバッファ記憶
装置を通過する場合には、あるパケットの一部分がまだ
記憶装置に到着しつつある間にもそのパケットは既に記
憶装置から送信されている。
装置24は、データパケットを直ちに送信できない場合
にはそれらを記憶するように働き、また全パケットを記
憶することなくデータを直ちに転送するようにも働くこ
とが理解されよう。これらの両動作は、技術的には記憶
装置内にデータを“記憶”することを含むが、この説明
では“記憶”すると言う語は全データパケットが爾後に
通信回路網または顧客インタフェース上へ転送するため
に保持するような状況のために保留する。“カットスル
ー”動作モードにおいてデータパケットがバッファ記憶
装置を通過する場合には、あるパケットの一部分がまだ
記憶装置に到着しつつある間にもそのパケットは既に記
憶装置から送信されている。
【0021】双方向トラフィックの見掛け上の同時処理
に対する鍵は、図2のデータ流れ図を参照すると理解し
易い。顧客インタフェース10から受信されるデータパ
ケットは、それが受信されると受信パーザ28によって
必ずパーズされ、受信パーザ28内におけるパージング
処理から暗号処理が必要であることが決定されると、エ
ンジン22によって暗号処理される。次いで暗号処理が
なされている、いないに拘わらず、データパケットは、
通信回路網12へのアクセスを待機する必要がある限り
バッファ記憶装置24内に記憶される。これに対して、
通信回路網12から受信したデータパケットは直ちにパ
ーズまたは暗号処理されることなく、先ず一時的に記憶
するためにバッファ記憶装置24に導かれる。通常は、
顧客インタフェースは使用可能であり、パケットは直ち
にバッファ記憶装から検索されよう。実際に通常はパケ
ットは、それがまだ通信回路網12から受信中でも顧客
インタフェースへ送信されることになろう。これは、も
し顧客インタフェースが使用不能であれば全パケットを
一時記憶装置内に保持する“蓄積転送”動作に対して、
“カットスルー”動作として知られている。何れの場合
も、顧客インタフェースが使用可能であるか、または後
刻使用可能になれば、パケットはバッファ記憶装24か
ら送給され、送信パーザ30によってパーズされ、もし
必要ならばエンジン22によって暗号処理され、そして
最後に顧客インタフェース10へ転送される。暗号エン
ジン22は、使用することが要求されると、顧客インタ
フェース10から受信されているデータパケットを処理
するか、または顧客インタフェース10へ送信されて来
たデータパケットを処理するの何れかを遂行する。もし
顧客インタフェースが既に話し中でデータパケットを装
置へ送給していれば送出パケットのパージング及び考え
得る暗号処理は開始されないから、エンジン22のこれ
ら2つの機能が同時に要求されることはあり得ない。
に対する鍵は、図2のデータ流れ図を参照すると理解し
易い。顧客インタフェース10から受信されるデータパ
ケットは、それが受信されると受信パーザ28によって
必ずパーズされ、受信パーザ28内におけるパージング
処理から暗号処理が必要であることが決定されると、エ
ンジン22によって暗号処理される。次いで暗号処理が
なされている、いないに拘わらず、データパケットは、
通信回路網12へのアクセスを待機する必要がある限り
バッファ記憶装置24内に記憶される。これに対して、
通信回路網12から受信したデータパケットは直ちにパ
ーズまたは暗号処理されることなく、先ず一時的に記憶
するためにバッファ記憶装置24に導かれる。通常は、
顧客インタフェースは使用可能であり、パケットは直ち
にバッファ記憶装から検索されよう。実際に通常はパケ
ットは、それがまだ通信回路網12から受信中でも顧客
インタフェースへ送信されることになろう。これは、も
し顧客インタフェースが使用不能であれば全パケットを
一時記憶装置内に保持する“蓄積転送”動作に対して、
“カットスルー”動作として知られている。何れの場合
も、顧客インタフェースが使用可能であるか、または後
刻使用可能になれば、パケットはバッファ記憶装24か
ら送給され、送信パーザ30によってパーズされ、もし
必要ならばエンジン22によって暗号処理され、そして
最後に顧客インタフェース10へ転送される。暗号エン
ジン22は、使用することが要求されると、顧客インタ
フェース10から受信されているデータパケットを処理
するか、または顧客インタフェース10へ送信されて来
たデータパケットを処理するの何れかを遂行する。もし
顧客インタフェースが既に話し中でデータパケットを装
置へ送給していれば送出パケットのパージング及び考え
得る暗号処理は開始されないから、エンジン22のこれ
ら2つの機能が同時に要求されることはあり得ない。
【0022】詳述すれば、回路網受信装置18によって
通信回路網12から受信されたデータパケットは直接バ
ッファ記憶装置24へ転送される。もし顧客インタフェ
ース10が現在パケットを送信または受信していなけれ
ば、そのパケットは顧客送信FIFO記憶装置26に転
送され、また並列に送信パーザ30によってパーズされ
る。もし必要ならば、パーザによって決定された適切な
バイトから、データは顧客送信FIFO記憶装置26に
転送される前に暗号エンジン22を通過させられる。最
後に、顧客送信装置16はデータを顧客送信FIFO記
憶装置26から引き出し、データパケットを顧客インタ
フェース10へ送信する。
通信回路網12から受信されたデータパケットは直接バ
ッファ記憶装置24へ転送される。もし顧客インタフェ
ース10が現在パケットを送信または受信していなけれ
ば、そのパケットは顧客送信FIFO記憶装置26に転
送され、また並列に送信パーザ30によってパーズされ
る。もし必要ならば、パーザによって決定された適切な
バイトから、データは顧客送信FIFO記憶装置26に
転送される前に暗号エンジン22を通過させられる。最
後に、顧客送信装置16はデータを顧客送信FIFO記
憶装置26から引き出し、データパケットを顧客インタ
フェース10へ送信する。
【0023】通信回路網12から受信されたパケットが
バッファ記憶装置24へ入った場合には、もし現在パケ
ットを顧客インタフェース10から受信してはいるが、
顧客インタフェースへ送信すべき未処理パケットが存在
していなければ、そのパケットの始めの部分は、あたか
もそれが送信されるもののように顧客送信FIFO記憶
装置26へ転送され、その始めの部分のパージングが遂
行される。しかし、顧客インタフェースはまだ話し中で
あると見られるから暗号処理が開始されることはなく、
また顧客送信装置16が顧客送信FIFO記憶装置26
からデータを引き出すこともない。顧客送信FIFO記
憶装置26が一杯になると、実際の送信が開始され顧客
送信装置16が顧客送信FIFO記憶装置26からデー
タを引き出し始めるまで、それ以上のデータは転送され
ない。FIFO記憶装置のこのプリローディングは、暗
号エンジン22が動作し始める時に、そしてそれがデー
タの第1ブロックを処理し、エンジンのデータの“パイ
プライン”が安定状態に達するまで、データの“アンダ
ーラン”が送信されないようにする。
バッファ記憶装置24へ入った場合には、もし現在パケ
ットを顧客インタフェース10から受信してはいるが、
顧客インタフェースへ送信すべき未処理パケットが存在
していなければ、そのパケットの始めの部分は、あたか
もそれが送信されるもののように顧客送信FIFO記憶
装置26へ転送され、その始めの部分のパージングが遂
行される。しかし、顧客インタフェースはまだ話し中で
あると見られるから暗号処理が開始されることはなく、
また顧客送信装置16が顧客送信FIFO記憶装置26
からデータを引き出すこともない。顧客送信FIFO記
憶装置26が一杯になると、実際の送信が開始され顧客
送信装置16が顧客送信FIFO記憶装置26からデー
タを引き出し始めるまで、それ以上のデータは転送され
ない。FIFO記憶装置のこのプリローディングは、暗
号エンジン22が動作し始める時に、そしてそれがデー
タの第1ブロックを処理し、エンジンのデータの“パイ
プライン”が安定状態に達するまで、データの“アンダ
ーラン”が送信されないようにする。
【0024】図3は、本発明の装置をより詳細に示す図
である。図3には示されているが、図1及び2の簡易図
には示されていない成分は、バッファ記憶装置24を制
御する記憶装置制御装置50と、顧客受信制御論理回路
(CRCTL)52と、顧客送信制御論理回路(CTC
TL)54と、パケット制御論理回路56と、4つの直
接メモリアクセスユニット(CRDMA 57、NTD
MA 58、CTDMA 60及びNRDMA 62)
と、3つの付加FIFO記憶装置(CRFIFO 6
4、NTFIFO 66及びNRFIFO 68)とを
含む。これらの付加的な成分の機能について以下に概要
を説明する。
である。図3には示されているが、図1及び2の簡易図
には示されていない成分は、バッファ記憶装置24を制
御する記憶装置制御装置50と、顧客受信制御論理回路
(CRCTL)52と、顧客送信制御論理回路(CTC
TL)54と、パケット制御論理回路56と、4つの直
接メモリアクセスユニット(CRDMA 57、NTD
MA 58、CTDMA 60及びNRDMA 62)
と、3つの付加FIFO記憶装置(CRFIFO 6
4、NTFIFO 66及びNRFIFO 68)とを
含む。これらの付加的な成分の機能について以下に概要
を説明する。
【0025】顧客受信制御論理回路(CRCTL)52
は装置の顧客側の受信動作(受信パーザ28及び暗号エ
ンジン22の動作の調整を含む)を制御する。顧客送信
制御論理回路(CTCTL)54は、装置の顧客側の送
信動作(送信パーザ30及び暗号エンジン22の動作の
調整を含む)を制御する。付加FIFO記憶装置64、
66、68は比較的小さい記憶装置であり、その主目的
はデータバス46の効率的な動作のためのバッファとな
ることである。DMAユニット57、58、60、62
はバッファ記憶装置24にアクセスするための普通のD
MA機能を提供する。記憶装置制御装置50は、バッフ
ァ記憶装置の動作とデータバス46上での関連動作とを
管理する。最後に、パケット制御論理回路56は、デー
タの緩衝要求を最小にするように、装置の顧客側及び回
路網側への、及びこれらの側からのデータ流を調整す
る。
は装置の顧客側の受信動作(受信パーザ28及び暗号エ
ンジン22の動作の調整を含む)を制御する。顧客送信
制御論理回路(CTCTL)54は、装置の顧客側の送
信動作(送信パーザ30及び暗号エンジン22の動作の
調整を含む)を制御する。付加FIFO記憶装置64、
66、68は比較的小さい記憶装置であり、その主目的
はデータバス46の効率的な動作のためのバッファとな
ることである。DMAユニット57、58、60、62
はバッファ記憶装置24にアクセスするための普通のD
MA機能を提供する。記憶装置制御装置50は、バッフ
ァ記憶装置の動作とデータバス46上での関連動作とを
管理する。最後に、パケット制御論理回路56は、デー
タの緩衝要求を最小にするように、装置の顧客側及び回
路網側への、及びこれらの側からのデータ流を調整す
る。
【0026】装置の顧客側から回路網側への送出データ
流の場合のパージングは、パケットがデータバス46を
通してバッファ記憶装置24へ転送されるのと同時に到
来データパケットに対して(受信パーザ28において)
遂行される。パケットに対して暗号処理が要求されてい
ることを受信パーザ28が検出すると、パーザ28はそ
れを顧客受信制御論理回路(CRCTL)52に通知
し、顧客受信制御論理回路52は適切な時点にデータを
顧客受信装置14から暗号エンジン22内へ導き始め
る。暗号処理の後に、データパケットはバッファ記憶装
置24内に記憶される。装置の回路網側がデータパケッ
トを受け入れ可能になると、回路網の可用性に依存し
て、パケット制御論理回路56は回路網送信装置に送信
を開始するように指令し、データをバッファ記憶装置2
4から回路網送信装置へ、次いで通信回路網上へ転送す
る。カットスルーと呼ばれるこの動作は、装置の顧客側
からのデータの連続受信と同時に遂行させることが可能
である。
流の場合のパージングは、パケットがデータバス46を
通してバッファ記憶装置24へ転送されるのと同時に到
来データパケットに対して(受信パーザ28において)
遂行される。パケットに対して暗号処理が要求されてい
ることを受信パーザ28が検出すると、パーザ28はそ
れを顧客受信制御論理回路(CRCTL)52に通知
し、顧客受信制御論理回路52は適切な時点にデータを
顧客受信装置14から暗号エンジン22内へ導き始め
る。暗号処理の後に、データパケットはバッファ記憶装
置24内に記憶される。装置の回路網側がデータパケッ
トを受け入れ可能になると、回路網の可用性に依存し
て、パケット制御論理回路56は回路網送信装置に送信
を開始するように指令し、データをバッファ記憶装置2
4から回路網送信装置へ、次いで通信回路網上へ転送す
る。カットスルーと呼ばれるこの動作は、装置の顧客側
からのデータの連続受信と同時に遂行させることが可能
である。
【0027】装置の回路網側から顧客側への到来データ
流は直ちにパーズされずに、回路網受信装置18からバ
ッファ記憶装置24へ直接転送される。装置の顧客側が
使用可能になると、パケット制御論理回路56はパケッ
ト制御論理回路56に指令して顧客側への転送を開始さ
せる。この動作は回路網側からのデータの受信と同時に
遂行させることが可能である。データのパケットが顧客
送信FIFO26へ送られ始めると、それは同時に送信
パーザ30によってパーズされる。暗号処理動作が要求
されていることを送信パーザ30が検出すると、それは
顧客送信制御論理回路(CTCTL)54に通知され、
顧客送信制御論理回路54は適切な時点にデータ流を顧
客受信装置14から暗号エンジン22内へ導き、データ
パケットは暗号エンジン22から顧客送信FIFO26
を通って顧客インタフェースへ流れる。
流は直ちにパーズされずに、回路網受信装置18からバ
ッファ記憶装置24へ直接転送される。装置の顧客側が
使用可能になると、パケット制御論理回路56はパケッ
ト制御論理回路56に指令して顧客側への転送を開始さ
せる。この動作は回路網側からのデータの受信と同時に
遂行させることが可能である。データのパケットが顧客
送信FIFO26へ送られ始めると、それは同時に送信
パーザ30によってパーズされる。暗号処理動作が要求
されていることを送信パーザ30が検出すると、それは
顧客送信制御論理回路(CTCTL)54に通知され、
顧客送信制御論理回路54は適切な時点にデータ流を顧
客受信装置14から暗号エンジン22内へ導き、データ
パケットは暗号エンジン22から顧客送信FIFO26
を通って顧客インタフェースへ流れる。
【0028】到来データパケット及び送出データパケッ
トの他に、装置はループバックデータパケットをも処理
する。ループバックデータパケットは、装置の顧客側か
ら受信され、通常は暗号処理後に顧客側に戻されるデー
タのパケットである。ループバック機能によって顧客装
置は、データパケットの“ローカル”暗号処理が可能に
なる。ループバック動作は、ファイル暗号文のような暗
号サービスを顧客に提供する。ループバック機能は、例
えばもし到来データパケットが、遂行されるべきではな
い時点に偶発的に解読されるか、または到来パケットを
解読すべきであるのに解読されていない場合にも必要で
ある。基本的には、ループバック機能は送出パケットで
はないデータパケットの暗号処理へのアクセスを顧客に
与える。装置の顧客側から受信したループバックパケッ
トは、送出パケットと殆ど同じようにして処理される。
それらはバッファ記憶装置24への途上でパーズされる
が、送出バッファの代わりに、バッファ記憶装置のルー
プバックバッファ内に記憶される。ループバックパケッ
トを顧客に送り返す時点、即ち顧客側が使用可能であり
ループバックパケットを送信する転機である時点になる
と、パケットは何等の付加的な処理も受けずに顧客に直
接送り返される。
トの他に、装置はループバックデータパケットをも処理
する。ループバックデータパケットは、装置の顧客側か
ら受信され、通常は暗号処理後に顧客側に戻されるデー
タのパケットである。ループバック機能によって顧客装
置は、データパケットの“ローカル”暗号処理が可能に
なる。ループバック動作は、ファイル暗号文のような暗
号サービスを顧客に提供する。ループバック機能は、例
えばもし到来データパケットが、遂行されるべきではな
い時点に偶発的に解読されるか、または到来パケットを
解読すべきであるのに解読されていない場合にも必要で
ある。基本的には、ループバック機能は送出パケットで
はないデータパケットの暗号処理へのアクセスを顧客に
与える。装置の顧客側から受信したループバックパケッ
トは、送出パケットと殆ど同じようにして処理される。
それらはバッファ記憶装置24への途上でパーズされる
が、送出バッファの代わりに、バッファ記憶装置のルー
プバックバッファ内に記憶される。ループバックパケッ
トを顧客に送り返す時点、即ち顧客側が使用可能であり
ループバックパケットを送信する転機である時点になる
と、パケットは何等の付加的な処理も受けずに顧客に直
接送り返される。
【0029】受信パーザ28及び送信パーザ30におい
て遂行される特定のパージング手順は、回路網プロトコ
ル及び使用する特定のデータパケットフォーマットに大
きく依存し、本発明の一部であるとは考えていない。パ
ージングは、あるデータパケットに対して暗号処理が必
要か否かを決定するために、単にそのパケット内の見出
し情報を走査するに過ぎない。顧客装置は、暗号処理を
要求するのか否かを見出し内に指示することを要求され
る。暗号処理を要求していることを指示している見出し
フィールドを受信パーザ28が検出すると、データパケ
ットは適切な部分が暗号エンジン22を通るように進路
変更される。パーザ28は1以上の異なるパケットフォ
ーマットを認識し、各フォーマット内の暗号処理を要求
していることを指示するコードを検出するように設計す
ることができる。パージングは、パケット内の暗号処理
を開始すべき開始点の決定をも含む。暗号処理は、例え
ばデータ暗号化標準によるデータフレームの指定された
部分の暗号化、またはデータパケットに追加するために
完全性検査値(ICV)と呼ばれるフレーム検査シーケ
ンス(または検査合計)の計算、または両者を含む。
て遂行される特定のパージング手順は、回路網プロトコ
ル及び使用する特定のデータパケットフォーマットに大
きく依存し、本発明の一部であるとは考えていない。パ
ージングは、あるデータパケットに対して暗号処理が必
要か否かを決定するために、単にそのパケット内の見出
し情報を走査するに過ぎない。顧客装置は、暗号処理を
要求するのか否かを見出し内に指示することを要求され
る。暗号処理を要求していることを指示している見出し
フィールドを受信パーザ28が検出すると、データパケ
ットは適切な部分が暗号エンジン22を通るように進路
変更される。パーザ28は1以上の異なるパケットフォ
ーマットを認識し、各フォーマット内の暗号処理を要求
していることを指示するコードを検出するように設計す
ることができる。パージングは、パケット内の暗号処理
を開始すべき開始点の決定をも含む。暗号処理は、例え
ばデータ暗号化標準によるデータフレームの指定された
部分の暗号化、またはデータパケットに追加するために
完全性検査値(ICV)と呼ばれるフレーム検査シーケ
ンス(または検査合計)の計算、または両者を含む。
【0030】送信パーザ30は、回路網側から到来する
どのパケットを暗号処理するのかを決定する。この場合
もパージング機能は、フレーム見出し情報を走査し、こ
の見出し情報に基づいて決定を行うのである。もしある
到来パケットに対して暗号処理が要求されていれば、そ
のパケットの適切な部分が暗号エンジン22に向けられ
る。通常、到来パケットの処理は解読、または単にデー
タの完全性を保証するためのフレーム検査シーケンスの
再計算を含む。
どのパケットを暗号処理するのかを決定する。この場合
もパージング機能は、フレーム見出し情報を走査し、こ
の見出し情報に基づいて決定を行うのである。もしある
到来パケットに対して暗号処理が要求されていれば、そ
のパケットの適切な部分が暗号エンジン22に向けられ
る。通常、到来パケットの処理は解読、または単にデー
タの完全性を保証するためのフレーム検査シーケンスの
再計算を含む。
【0031】以上の説明から、本発明が回路網通信の暗
号処理の分野に重要な前進を提供していることが理解さ
れたであろう。具体的には、本発明は単一の暗号エンジ
ンを使用してはいるが付加的な待ち時間を導入すること
なく、また処理能力に影響を与えることなく、回路網と
顧客装置との間に転送されるメッセージトラフィックの
暗号処理に、複雑さを逓減させた手法を提供しているの
である。例示の目的から、本発明の実施例の詳細を説明
したが、本発明の思想及び範囲から逸脱することなく種
々の変更を施すことができよう。従って、本発明は特許
請求の範囲を除いて上記説明に限定されるものではない
ことを理解されたい。
号処理の分野に重要な前進を提供していることが理解さ
れたであろう。具体的には、本発明は単一の暗号エンジ
ンを使用してはいるが付加的な待ち時間を導入すること
なく、また処理能力に影響を与えることなく、回路網と
顧客装置との間に転送されるメッセージトラフィックの
暗号処理に、複雑さを逓減させた手法を提供しているの
である。例示の目的から、本発明の実施例の詳細を説明
したが、本発明の思想及び範囲から逸脱することなく種
々の変更を施すことができよう。従って、本発明は特許
請求の範囲を除いて上記説明に限定されるものではない
ことを理解されたい。
【図1】顧客インタフェースと通信回路網との間に接続
され、単一の暗号エンジンだけを有する本発明の実施例
の暗号装置のブロック線図。
され、単一の暗号エンジンだけを有する本発明の実施例
の暗号装置のブロック線図。
【図2】図1に類似した簡易化ブロック線図。
【図3】図1及び2に類似したより詳細なブロック線
図。
図。
10 顧客インタフェース 12 通信回路網 14 顧客受信装置 16 顧客送信装置 18 回路網受信装置 20 回路網送信装置 22 暗号エンジン 24 バッファ記憶装置 26 顧客送信FIFO記憶装置 28 受信パーザ 30 送信パーザ 46 データバス 50 記憶装置制御装置 52 顧客受信制御論理回路 54 顧客送信制御論理回路 56 パケット制御論理回路 57、58、60、62 直接メモリアクセスユニット 64、66、68 付加FIFO記憶装置
Claims (15)
- 【請求項1】 半二重顧客インタフェースから通信回路
網へ送出されるデータと、通信回路網から顧客インタフ
ェースへ到来するデータとを暗号エンジン手段を使用し
て暗号処理する方法であって、 送出データパケットを顧客インタフェースから受信した
時に、もし必要ならば、唯一の暗号エンジンを使用して
暗号処理する段階と、 到来データパケットが顧客インタフェースへ送信されて
来た時に、もし必要ならば、上記唯一の暗号エンジンを
使用して暗号処理する段階と、 到来データパケットと送出データパケットとを転送する
前に、必要に応じて、一時バッファ記憶装置内に記憶す
る段階と、 を具備し、顧客インタフェースが送出データパケットと
到来データパケットとを同時に処理することができない
ために、単一の暗号エンジンだけしか必要としないこと
を特徴とする方法。 - 【請求項2】 処理が必要か否かを決定し、また遂行す
べき処理の型を決定するために暗号処理の直前に各送出
データパケットをパーズする段階と、 処理が必要か否かを決定し、また遂行すべき処理の型を
決定するために暗号処理の直前に各到来データパケット
をパーズする段階とをも具備する請求項1に記載の方
法。 - 【請求項3】 到来パケットと送出パケットとを一時バ
ッファ記憶装置内に記憶する段階が、 もし顧客インタフェースが使用不能であれば到来パケッ
トを記憶する段階と、 もし通信回路網が使用不能であれば送出パケットを記憶
する段階とを含む請求項1に記載の方法。 - 【請求項4】 ループバックパケットを顧客インタフェ
ースから受信する段階と、 ループバックパケットを、もし必要ならば、直ちにパー
ズし、暗号処理する段階と、 もし顧客インタフェースが使用不能であればループバッ
クパケットを記憶する段階とをも具備する請求項3に記
載の方法。 - 【請求項5】 半二重顧客インタフェースから通信回路
網へ送出されるデータと、通信回路網から顧客インタフ
ェースへ到来するデータとを単一の暗号エンジンだけを
使用して暗号処理する方法であって、 通信回路網から到来するデータパケットを受信する段階
と、 受信した各パケット毎に顧客インタフェースが使用可能
か否かを決定する段階と、 もし顧客インタフェースが使用不能であれば、顧客イン
タフェースが使用可能になるまで到来データパケットを
記憶し、次いでそのパケットを検索する段階と、 データパケットを暗号処理すべきか否かを決定するため
にパーズし、もし必要ならば、単一の暗号エンジンを使
用してそのパケットを暗号処理し、そのパケットを顧客
インタフェースへ送信する段階と、 顧客インタフェースから送出されるデータパケットを受
信する段階と、 顧客インタフェースから受信した各パケットをパーズす
る段階と、 もし先行パージング段階によって処理が必要であると決
定されていれば、顧客インタフェースから受信した各パ
ケット毎に上記単一の暗号エンジンを使用して暗号処理
する段階と、 通信回路網が使用可能であるか否かを決定する段階と、 もし通信回路網が使用不能であれば、通信回路網が使用
可能になるまで各送出データパケットを記憶し、次いで
その送出パケットを検索する段階と、 送出データパケットを通信回路網上に送信する段階とを
具備し、送出パケットの暗号処理をそれらのパケットが
顧客インタフェースから受信した時に遂行し、また到来
パケットの暗号処理をそれらのパケットが顧客インタフ
ェースへ送信する時に処理するが、顧客インタフェース
の半二重動作がこれらの両機能の同時発生の可能性を妨
げるために、データの暗号処理の諸段階を遂行するには
単一の暗号エンジンで十分であることを特徴とする方
法。 - 【請求項6】 ループバックパケットを顧客インタフェ
ースから受信する段階と、 ループバックパケットを、もし必要ならば、直ちにパー
ズし、暗号処理する段階と、 もし顧客インタフェースが使用不能であればループバッ
クパケットを記憶する段階とをも具備する請求項5に記
載の方法。 - 【請求項7】 パケットを顧客インタフェースへ送信す
るのに先立って、 顧客インタフェースが使用可能になる前にパケットの一
部分をパーズする段階と、 パケットのパーズされた部分を先入れ先出しバッファ内
に記憶して送信準備を整える段階と、 同一パケットの付加的なデータを先入れ先出しバッファ
内に記憶し、該バッファから検索しながら、検索された
データを顧客インタフェース上へ送信開始する段階とを
も具備する請求項5に記載の方法。 - 【請求項8】 半二重顧客インタフェースから通信回路
網へ送出されるデータと、通信回路網から顧客インタフ
ェースへ到来するデータとを単一の暗号エンジンだけを
使用して暗号処理する装置であって、 送出データパケットを顧客インタフェースから受信した
時に、もし必要ならば、及び到来データパケットが顧客
インタフェースへ送信されて来た時に、もし必要なら
ば、暗号処理する単一の暗号エンジンと、 到来データパケットと送出データパケットとを転送する
前に、必要に応じて、記憶するバッファ記憶装置手段
と、 を具備し、顧客インタフェースが送出データパケットと
到来データパケットとを同時に処理することができない
ために単一の暗号エンジンだけしか必要としないことを
特徴とする装置。 - 【請求項9】 処理が必要か否かを決定し、また遂行す
べき処理の型を決定するために暗号処理の直前に各送出
データパケットをパーズする手段と、 処理が必要か否かを決定し、また遂行すべき処理の型を
決定するために暗号処理の直前に各到来データパケット
をパーズする手段とをも具備する請求項8に記載の装
置。 - 【請求項10】 バッファ記憶装置手段が、 もし顧客インタフェースが使用不能であれば到来パケッ
トを記憶する手段と、 もし通信回路網が使用不能であれば送出パケットを記憶
する手段とを含む請求項9に記載の装置。 - 【請求項11】 顧客インタフェースが使用可能になる
まで顧客インタフェースから受信したループバックパケ
ットを記憶し、必要に応じて、暗号エンジン内において
暗号処理する手段をも具備する請求項10に記載の装
置。 - 【請求項12】 半二重顧客インタフェースから通信回
路網へ送出されるデータと、通信回路網から顧客インタ
フェースへ到来するデータとを単一の暗号エンジンだけ
を使用して暗号処理する装置であって、 通信回路網から到来データパケットを受信する手段と、 顧客インタフェースが使用可能か否かを決定する手段
と、 もし顧客インタフェースが使用不能であれば、各到来デ
ータパケットを記憶する手段と、 顧客インタフェースが使用可能になると作動可能にな
り、記憶されたデータパケットを検索する手段と、 到来データパケットを暗号処理すべきか否かを決定する
ためにそのデータパケットをパーズする手段と、 もし必要ならば、到来データパケットを暗号処理するよ
うに作動可能な暗号エンジンと、 到来データパケットを顧客インタフェースへ送信する手
段と、 顧客インタフェースから送出データパケットを受信する
段階と、 顧客インタフェースから受信した各パケットをパーズ
し、もし必要ならば、各パケットを処理するために暗号
エンジン内へ転送する手段と、 通信回路網が使用可能であるか否かを決定する手段と、 もし通信回路網が使用不能であれば、各送出データパケ
ットを記憶する手段と、 通信回路網が使用可能になると作動可能になり、記憶さ
れたデータパケットを検索し、それを通信回路網へ送信
する手段と、 を具備し、送出パケットの暗号処理をそれらのパケット
が顧客インタフェースから受信した時に遂行し、また到
来パケットの処理をそれらのパケットが顧客インタフェ
ースへ送信する時に処理するが、顧客インタフェースの
半二重動作がこれらの両機能の同時発生の可能性を妨げ
るためにデータの暗号処理を遂行するには単一の暗号エ
ンジンで十分であることを特徴とする装置。 - 【請求項13】 ループバックデータパケットを記憶す
る手段をも具備し、送出パケットを受信しパーズする手
段が、ループバックパケットを顧客インタフェースから
受信するとこれらのループバックパケットを受信しパー
ズするようにも働き、また暗号エンジンが、必要に応じ
て、ループバックパケットを暗号処理するようにも働く
請求項12に記載の装置。 - 【請求項14】 データパケットを記憶する手段に対す
る双方向アクセスを提供する高速データバスをも具備す
る請求項13に記載の装置。 - 【請求項15】 到来データパケットの一部分を、顧客
インタフェースへ送信する前に記憶する先入れ先出しバ
ッファと、 顧客インタフェースが使用可能になる前に先入れ先出し
バッファ内に記憶されているパケットの一部分のパージ
ングを開始して送信準備を整える手段と、 顧客インタフェースが使用可能になると先入れ先出しバ
ッファからデータを検索し、同一パケットの付加的なデ
ータを先入れ先出しバッファ内に記憶し、該バッファか
ら検索しながら、検索されたデータの顧客インタフェー
ス上への送信を開始する手段とをも具備する請求項12
に記載の装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US72274591A | 1991-06-28 | 1991-06-28 | |
| US07/722745 | 1991-06-28 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH05199220A true JPH05199220A (ja) | 1993-08-06 |
Family
ID=24903200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP4156793A Pending JPH05199220A (ja) | 1991-06-28 | 1992-06-16 | 単一の暗号エンジンを使用する通信回路網内の暗号処理方法及び装置 |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP0525968A3 (ja) |
| JP (1) | JPH05199220A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370348B1 (en) | 1999-07-30 | 2008-05-06 | Intel Corporation | Technique and apparatus for processing cryptographic services of data in a network system |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19910621C2 (de) | 1999-03-10 | 2001-01-25 | Thomas Poetter | Vorrichtung und Verfahren zum Verbergen von Informationen und Vorrichtung und Verfahren zum Extrahieren von Informationen |
| WO2001029652A2 (en) * | 1999-10-20 | 2001-04-26 | Accelerated Encryption Processing Limited | A cryptographic accelerator |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2929252C2 (de) * | 1979-07-19 | 1984-09-20 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zur verschlüsselten Datenübertragung im Halbduplexbetrieb zwischen Datenendeinrichtungen zweier Datenstationen |
| JPS63287882A (ja) * | 1987-05-20 | 1988-11-24 | 株式会社日立製作所 | 暗号装置 |
| US4881263A (en) * | 1987-09-25 | 1989-11-14 | Digital Equipment Corporation | Apparatus and method for secure transmission of data over an unsecure transmission channel |
-
1992
- 1992-06-16 JP JP4156793A patent/JPH05199220A/ja active Pending
- 1992-06-19 EP EP92305674A patent/EP0525968A3/en not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370348B1 (en) | 1999-07-30 | 2008-05-06 | Intel Corporation | Technique and apparatus for processing cryptographic services of data in a network system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP0525968A2 (en) | 1993-02-03 |
| EP0525968A3 (en) | 1995-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5228083A (en) | Cryptographic processing in a communication network, using a single cryptographic engine | |
| US5235644A (en) | Probabilistic cryptographic processing method | |
| US9001846B2 (en) | Physical layer device with dual medium access controller path | |
| US5070528A (en) | Generic encryption technique for communication networks | |
| US5161193A (en) | Pipelined cryptography processor and method for its use in communication networks | |
| US5594869A (en) | Method and apparatus for end-to-end encryption of a data packet in a computer network | |
| US5086469A (en) | Encryption with selective disclosure of protocol identifiers | |
| US5099517A (en) | Frame status encoding for communication networks | |
| US20050071628A1 (en) | Method and apparatus of communicating security/encryption information to a physical layer transceiver | |
| EP1687998B1 (en) | Method and apparatus to inline encryption and decryption for a wireless station | |
| US7580519B1 (en) | Triple DES gigabit/s performance using single DES engine | |
| JP2002040939A (ja) | 電文送信装置及び電文受信装置 | |
| US8339945B2 (en) | Data link control architecture for integrated circuit devices | |
| US6775274B1 (en) | Circuit and method for providing secure communication over data communication interconnects | |
| US7545928B1 (en) | Triple DES critical timing path improvement | |
| CN114731292B (zh) | 低延迟介质访问控制安全认证 | |
| US20020116606A1 (en) | Encryption and decryption system for multiple node network | |
| JPH05199220A (ja) | 単一の暗号エンジンを使用する通信回路網内の暗号処理方法及び装置 | |
| JP2693881B2 (ja) | 通信ネットワークで使用される暗号処理装置及び方法 | |
| CN115442305B (zh) | 具有中间介质访问控制安全设备的端到端流量控制 | |
| CN112637705B (zh) | 一种带内遥测报文的转发方法及设备 | |
| EP0464566B1 (en) | Abort processing in pipelined communication | |
| CN113992321A (zh) | 一种网络数据加密中继器 | |
| JP2001086114A (ja) | 通信制御装置および通信制御方法 | |
| JPH01152831A (ja) | 暗号通信処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |