KR100680025B1 - Apparatus and method for high-speed distributing encryption and deencryption with multi-session - Google Patents
Apparatus and method for high-speed distributing encryption and deencryption with multi-session Download PDFInfo
- Publication number
- KR100680025B1 KR100680025B1 KR1020050060176A KR20050060176A KR100680025B1 KR 100680025 B1 KR100680025 B1 KR 100680025B1 KR 1020050060176 A KR1020050060176 A KR 1020050060176A KR 20050060176 A KR20050060176 A KR 20050060176A KR 100680025 B1 KR100680025 B1 KR 100680025B1
- Authority
- KR
- South Korea
- Prior art keywords
- header
- key
- encryption
- session
- decryption
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/04—Masking or blinding
- H04L2209/043—Masking or blinding of tables, e.g. lookup, substitution or mapping
Abstract
본 발명은 멀티세션 고속암복호화 처리 장치 및 방법에 관한 것으로서, 단일 암복호장치가 키공유 및 암복호화를 모두 수행하는 종래의 방식과 달리, 병렬 부하분산형 암복호 장치를 통해 전송처리율이 높은 고속 암복호화를 실현함과 아울러, 세션의 헤더를 제외한 페이로드를 암복호화함에 있어서 보다 고속 암복호처리가 가능하도록 하기 위한 멀티세션 부하부산형 병렬 암복호화 방법, 키교환 및 키공유를 위한 전용 키공유처리 방법; 멀티세션 암복호 수행을 위한 룩업테이블 구성 방법, 헤더 변환을 통한 병렬 암복호장치에 세션을 보내는 방법, 및 해당 암복호장치의 세션 수신을 위한 트래픽 버스 정의 등을 제공함으로써, 기가급, 테라급 세션 처리 및 이를 처리할 수 있는 장비 개발시 유용하게 활용 가능하다. The present invention relates to a multisession fast encryption / decryption processing apparatus and method. Unlike the conventional method in which a single encryption / decryption apparatus performs both key sharing and decryption, a high-throughput transmission rate is high through a parallel load distribution encryption / decryption apparatus. Multisession load-balancing parallel encryption / decryption method to realize encryption and decryption of payloads except session headers, and dedicated key sharing for key exchange and key sharing Processing method; Giga-class and tera-class sessions by providing a lookup table configuration method for performing multi-session encryption, a method for sending a session to a parallel encryption / decryption apparatus through header conversion, and defining a traffic bus for receiving the session of the encryption / decryption apparatus. It can be usefully used in the development of the processing and the equipment that can process it.
멀티세션, 헤더, 병렬 암복호장치, 키교환, 키공유, 룩업테이블, 암복호장치 ID, 키위치, 암호키, 복호키, 부하분산 Multisession, header, parallel encryption / decryption device, key exchange, key sharing, lookup table, encryption device ID, key position, encryption key, decryption key, load balancing
Description
도 1은 세션처리 흐름을 포함한 멀티세션 암복호 처리를 위한 장치 및 그 처리 과정을 나타낸 도면, 1 is a diagram illustrating an apparatus for multisession encryption and decryption processing including a session processing flow, and a process thereof;
도 2는 헤더변환부에서 세션 헤더 변환 과정을 나타낸 도면, 2 is a diagram illustrating a session header conversion process in a header conversion unit;
도 3은 트래픽 버스 송신시 신호 타이밍도(헤더변환부 -> 병렬암복호장치), 3 is a signal timing diagram at the time of traffic bus transmission (header conversion unit-> parallel encryption / decoding device),
도 4는 트래픽 버스 수신시 신호 타이밍도(병렬암복호장치 -> 헤더변환부), 4 is a signal timing diagram when receiving a traffic bus (parallel decoding device-> header conversion unit),
도 5는 키공유 및 세션의 페이로드 암복호화에 대한 절차 및 순서도이다. 5 is a procedure and flow chart for key sharing and payload decryption of a session.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
110 : 세션정합부 120 : 헤더변환부 110: session matching unit 120: header conversion unit
130 : 키공유처리부 140 : 룩업테이블전송부 130: key sharing processing unit 140: lookup table transmission unit
150 : 병렬암복호장치 150: parallel encryption decoder
본 발명은 멀티세션 고속암복호화 처리 장치 및 방법에 관한 것으로, 더욱 상세하게는 암복호장치를 병렬로 구성하여 멀티세션에 대한 부하분산형 암복호화를 실현하는 멀티세션 고속암복호화 처리 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for multi-session high speed encryption / decryption. More particularly, the present invention relates to a multi-session high-speed encryption / decryption apparatus and method for realizing load-distribution type encryption / decryption for multi-session by configuring an encryption / decoding device in parallel. It is about.
종래의 세션에 대한 보안 관련 기술에서는 비교적 고속 처리를 위해 하드웨어 암호칩을 암호장치에 탑재하여 세션의 페이로드를 암호화한다. 이 때 공개키 방식의 암호장비에서는 연결 설정된 대국 장비와의 암호화에 사용될 암호키 쌍을 생성하기 위해 키 교환 및 키 공유가 선행되어야 한다. 종래의 기술에서는 키공유를 위해 암호칩을 탑재한 암호장치로 키 교환을 수행한 후 생성된 암호키로 세션의 페이로드를 암호화하기 때문에 단일 암호장치에 부하가 많이 발생하는 문제점이 있었다. 즉, 단일 암호장치가 키공유 및 암복호화를 모두 수행하고 있었다. 이로 인해, 고속의 암복호 처리를 위해 성능이 우수한 고속의 암호칩 구현이 필수적으로 요구되었다. In the related art of security for a session, a hardware encryption chip is mounted in an encryption device for relatively high speed processing to encrypt the payload of the session. At this time, in the public key cryptographic device, key exchange and key sharing must be preceded to generate a cryptographic key pair to be used for encryption with the connected counterpart equipment. In the related art, since a payload of a session is encrypted using an encryption key generated after performing a key exchange with an encryption device equipped with an encryption chip for key sharing, a load occurs in a single encryption device. In other words, a single encryption device was performing both key sharing and decryption. For this reason, it is essential to implement a high-speed encryption chip having high performance for high-speed encryption and decryption processing.
한편, 고속의 암호칩을 탑재하여 요구되는 최대 전송량을 만족시키는 암호장비도 향후 그 속도의 향상이나 성능 개선시에는 새롭고 보다 고속처리가 가능한 암호칩이 필요하게 된다. 이는 기가급이나 테라급 최대 전송량을 만족시키는 암호장비 개발시에는 쉬운 문제가 아니다. 이를 해결하기 위한 대안으로, 다수의 암호장 비를 병렬로 구성하여 고속화하는 방법이 제안되어 있으나 이는 하나의 고속 회선을 사용하지 못하고 다수의 통신 회선이 필요하게 되고, 부가적으로 회선 정합기가 필요하게 된다. 이는 비용대비 효과면에서 속도 향상을 위해 여러 대의 암호장비의 구입에 따른 총비용의 증가와 회선정합기 비용의 추가를 야기하며, 또한 다수의 암호장비의 운용 및 유지보수에도 관리상 불편함이 발생하게 된다. On the other hand, even if the cryptographic equipment equipped with a high-speed encryption chip to meet the maximum amount of transmission required, in the future to improve the speed or performance, a new and faster processing encryption chip is required. This is not an easy problem when developing an encryption device that satisfies the giga- or tera-class maximum throughput. As an alternative to solve this problem, a method of speeding up by constructing a plurality of crypto devices in parallel has been proposed, but this does not use a single high-speed line and requires a plurality of communication lines, and additionally a circuit matcher. do. This increases the total cost of the purchase of several cryptographic devices and adds the cost of the circuit matcher to improve speed in terms of cost-effectiveness, and also causes administrative inconvenience in the operation and maintenance of multiple cryptographic devices. do.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 보다 효율적인 속도향상 및 성능 개선을 위해 기존의 암복호칩을 병렬로 구성하여 병렬 암복호장치를 갖추고 별도의 전용 키공유처리부를 두어 멀티세션의 암복호화 수행시 부하분산을 통해 실시간 고속 암복호 처리를 수행함과 아울러, 기존 암복호칩을 활용하여 하나의 암복호장치로 키공유만을 전담하도록 하고, 다수의 암복호장치를 병렬로 구성하여 암복호 처리 속도를 향상시켜 매 세션마다 키교환을 통한 암복호키를 생성하는데 발생하는 처리 지연 및 부하를 효과적으로 줄일 수 있는 멀티세션 고속암복호화 처리 장치 및 방법을 제공하는데 있다. Therefore, the present invention has been made to solve the above problems of the prior art, an object of the present invention is to provide a parallel encryption and decryption device by configuring a conventional encryption and decryption chip in parallel for more efficient speed improvement and performance improvement Dedicated key sharing processing unit performs real-time high-speed encryption / decryption processing through load balancing when performing encryption / decryption of multi-sessions, and utilizes existing encryption / decryption chip to dedicate only key sharing to one encryption / decryption device. To provide a multi-session high speed encryption / decryption processing apparatus and method that can effectively reduce the processing delay and load incurred in generating the encryption / decryption key through key exchange by improving the decryption processing by configuring the decryption apparatus in parallel. have.
상기와 같은 목적을 달성하기 위한 본 발명의 멀티세션 고속암복호화 처리 장치는, 세션정합부, 헤더변환부, 키공유처리부, 룩업테이블전송부 및 병렬암복호 장치를 포함하여 이루어진 것을 특징으로 한다. 각 구성의 기능을 살펴보면, 세션정합부는 매 세션마다 헤더 정보를 판독하여 키공유에 관련된 헤더는 키공유처리부로 보내고, 일반정보를 가지고 있는 헤더는 헤더변환부로 보낸다. 키공유처리부에서는 암복호 수행을 위한 암복호키를 생성하기 위해 설정된 상대 대국 장비와 키 교환을 수행하여 암복호키를 생성한다. 생성된 암복호키는 룩업테이블전송부에 저장된다. 룩업테이블전송부에서는 키공유처리부를 통해 얻어진 헤더, 암복호장치 ID, 키위치정보 및 암복호키를 룩업테이블 형태로 저장하고 해당 정보를 헤더변환부와 병렬로 구성된 각각의 암복호장치에 전송한다. 헤더변환부에서는 수신된 세션의 헤더를 룩업테이블전송부에서 전송한 해당 암복호장치 ID와 키위치 정보로 변환하여 트래픽 버스를 통해 병렬암복호장치로 보낸다. 병렬암복호장치에서는 암복호장치 ID에 해당되는 암복호장치가 트랙픽버스를 통해 수신된 세션에서 페이로드 부분을 키위치정보에 있는 암복호키로 암복호화하여 다시 헤더변환부에 전송한다. The multi-session fast encryption and decryption processing apparatus of the present invention for achieving the above object is characterized by comprising a session matching unit, a header conversion unit, a key sharing processing unit, a lookup table transmission unit and a parallel encryption decoding device. Looking at the function of each configuration, the session matching unit reads the header information for each session, the header related to key sharing is sent to the key sharing processing unit, and the header having general information is sent to the header conversion unit. The key sharing processor generates a decryption key by performing a key exchange with a counterpart counterpart device configured to generate an encryption decryption key for decryption. The generated encryption key is stored in the lookup table transmission unit. The lookup table transmitting unit stores the header, the encryption device ID, the key position information, and the encryption key obtained through the key sharing processing unit in the form of a lookup table, and transmits the information to each encryption / decoding device configured in parallel with the header conversion unit. . The header converting unit converts the header of the received session into the corresponding encryption / decryptor ID and key position information transmitted from the lookup table transmission unit and sends the header to the parallel encryption / decryption device through the traffic bus. In the parallel encryption / decryption apparatus, the encryption / decryption apparatus corresponding to the encryption / decryption apparatus ID decrypts the payload part with the encryption / decryption key in the key position information in the session received through the traffic bus and transmits it to the header conversion unit again.
한편, 본 발명의 멀티세션 고속암복호화 처리 방법은, 키교환 및 키공유를 위한 전용 키공유처리 방법, 멀티세션 암복호 수행을 위한 룩업테이블 구성 방법, 헤더 변환 방법, 헤더 변환을 통한 병렬암복호장치에 세션을 보내는 방법, 및 해당 암복호장치의 세션 수신을 위한 트래픽 버스 정의를 포함하여 이루어진 것을 특징으로 한다. 또한 본 발명의 멀티세션 고속암복호화 처리 방법은, 키 교환 및 키 공유 절차, 및 세션 수신 후 페이로드 암복호화 절차를 포함하고 있다. Meanwhile, the multisession fast encryption / decryption processing method of the present invention includes a dedicated key sharing processing method for key exchange and key sharing, a lookup table configuration method for performing multisession encryption and decryption, a header conversion method, and parallel encryption and decryption through header conversion. And a traffic bus definition for receiving a session of the encryption / decryption apparatus. In addition, the multisession fast encryption / decryption processing method of the present invention includes a key exchange and key sharing procedure, and a payload decryption procedure after receiving a session.
이하, 본 발명의 멀티세션 고속암복호화 처리 장치 및 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. Hereinafter, an apparatus and method for multisession high speed encryption and decryption according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 세션처리에 대한 개념적인 흐름과 부하분산 병렬암복호장치를 도시한 것이다. 1 illustrates a conceptual flow and load balancing parallel encryption / decryption apparatus for session processing.
도 1에 도시된 바와 같이, 본 발명의 멀티세션 고속암복호화 처리 장치는 세션정합부(110), 헤더변환부(120), 키공유처리부(130), 룩업테이블전송부(140), 및 병렬암복호장치(150)로 구성되어 있다. 이들 구성에서 세션 처리에 있어, 세션정합부(110)를 통해 수신된 세션은 헤더변환부(120)에서 헤더가 변환된 새로운 헤더로 대체되며, 트래픽버스를 통해 병렬암복호장치(150)로 전송된다. 병렬암복호장치(150)내에서는 해당 암복호장치가 페이로드 부분을 암복호화한다. 암복호화가 수행된 후 송수신 과정은 역으로 이루어진다. 상기한 본 발명의 구성요소들의 기능에 대해 상세히 설명하기로 한다. As shown in FIG. 1, the multisession fast encryption / decryption apparatus of the present invention includes a session matching
여기서, 도 1에 도시된 바와 같이 암호화 세션 처리방향의 반대방향으로 복호화 세션 처리가 이루어지게 되며, 암호화에는 암호키가 이용되고 복호화에는 복호키가 이용되게 된다. 그리고, 암호화에는 암호장치(#1, #2, …, #N)가 이용되게 되며, 복호화에는 복호장치(#1, #2, …, #N)가 이용되게 된다. 여기서, 상기 암호장치와 복호장치에 동일한 참조부호 #1, #2, …, #N를 부여하고 있으나, 실제적으로 상이함은 물론이다. Here, as shown in FIG. 1, decryption session processing is performed in a direction opposite to the encryption session processing direction, an encryption key is used for encryption, and a decryption key is used for decryption. The
이와 같이 복호화에 있어, 암호키가 복호키로 대체되고 암호장치가 복호장치로 대체될 뿐 실제적인 동작은 동일하므로 설명의 편의를 위해 도 1에 대해 이하에서는 암호화에 대해서 설명하기로 한다. As described above, since the encryption key is replaced with the decryption key and the encryption device is replaced with the decryption device in the decryption, the actual operation is the same. For convenience of description, encryption will be described below with reference to FIG. 1.
상기 세션정합부(110)에서는 수신된 세션의 헤더 정보를 판독하여 키공유 관련 헤더인 경우에는 키공유처리부로 내 보내고, 정보 데이터를 담고 있는 헤더인 경우에는 헤더변환부로 내보낸다. The session matching
상기 헤더변환부(120)에서는 원래의 헤더를 ID와 키위치 정보로 대체한다. 변환하는 이유는 원래의 헤더 정보 사이즈를 줄여 메모리 저장 공간을 줄이는 효과를 얻고, 헤더를 판독하는데 걸리는 처리 계산량을 줄일 수 있기 때문이다. 또한 병렬암호장치의 해당 암호장치가 트래픽버스를 통해 세션을 수신할 경우 자기가 처리해야 될 세션인지를 판단할 수 있도록 하는 것이며, 키위치 정보를 통해 해당 암호키를 손쉽게 활용하기 위함이다. 예를 들면 암호키를 직접 보낼 경우에는 256비트의 정보가 필요하지만 키위치 정보로 보내면 1,024 개의 멀티 세션을 처리할 수 있다고 가정할 경우 10비트의 키위치만 보내면 된다. 여기서 트래픽버스에 대한 송수신 정의 상세 내용은 도 3 및 도 4에서 기술한다. The
상기 키공유처리부(130)은 키 교환 및 키 공유를 통해 암호키를 생성하는 역할을 담당하는 곳으로 연결 설정된 상대 대국과의 키 교환을 통해 암호키를 생성한다. 얻어진 암호키 정보는 룩업테이블에 원래의 헤더, 암호장치 ID, 키위치와 함께 메모리에 저장된다. 또한 키공유처리부는 부하분산의 역할을 담당한다. ATM 헤더를 예를 들어 설명하면, VPI/VCI 값이 1/33인 헤더는 암호장비 #1로 할당하고, 1/34인 헤더는 암호장비 #2로 할당하는 식으로 하여 부하를 분산시키는 방식이다. 단 하나의 해당 암호장치의 최대전송량 이하로 할당하여야 한다. The
상기 룩업테이블전송부(140)은 키공유처리부에서 전송한 헤더 및 암호키 관 련 정보를 룩업테이블에 저장 및 관리하며, 헤더변환부와 병렬암호장치의 각각의 암호장치에 할당된 정보를 전송한다. 헤더변환부에는 헤더, ID, 키위치 정보를 전송하고, 해당 암호장치에는 키위치와 암호키를 전송한다. The lookup
상기 병렬암호장치(150)는 n개의 암호장치(#1, #2, …, #N)로 병렬 구성되며, 트래픽버스를 통해 암호화할 세션을 수신한다. 사전에 룩업테이블전송부를 통해 전송된 키위치 정보와 암호키를 가지고 있기 때문에 해당 암호장치는 자기의 ID를 갖고 수신된 세션을 받아 페이로드를 암호화한다. 하나의 암호장치가 세션의 페이로드를 암호화 처리하는 동안 나머지 암호장치는 트래픽버스를 통해 다음 세션 수신에 대기한다. The
본 발명에서는 병렬암호장치 구성시 암호장치의 개수를 n개로 규정하여 보다 유연하게 구성할 수 있음을 주지의 사실이다. In the present invention, it is well known that the configuration of the parallel encryption device can be made more flexible by defining the number of encryption devices to n.
이와 같이, 본 발명은 멀티세션을 수신하여 고속 암복호화를 수행하기 위해, 암복호장치를 병렬로 구성하여 고속 암복호화 처리가 가능하도록 하고 있다. 즉, 멀티세션을 수신하여 암복호화를 수행하기 전에, 전용의 키공유처리부를 두어 네트워크로 연결 설정된 회선마다 사용할 암복호키 값을 미리 생성한 후 매 세션 수신시 헤더를 판독하여 해당 암복호장비로 부하를 분산하여 보낼 수 있다. 이를 통해 멀티세션에 대한 실시간 고속 암복호화가 가능하다. As described above, in the present invention, in order to perform multi-session and high-speed encryption / decryption, the encryption / decryption apparatus is configured in parallel to enable high-speed encryption / decryption processing. In other words, before performing multi-session encryption and decryption, a dedicated key-sharing processing unit is provided to generate a decryption key value to be used for each network-connected line, and the header is read at each session reception. You can distribute the load. This enables real-time high speed encryption and decryption for multisessions.
본 발명에서 언급하고 있는 세션은 망에서 경로를 포함하고 있는 헤더와 정보를 담고 있는 페이로드로 구성된다. 따라서 라우터나 스위치를 통과하여 상대 대 국으로 전송하는 통신망에서 세션 정보를 보안하기 위한 방법은 통신망에서 경로 정보를 포함하고 있는 헤더를 제외한 페이로드를 암복호화하여 전송하는 것이다. 세션의 일례로 53 바이트로 구성된 ATM 셀을 들 수 있으며, 여기서 ATM 헤더의 VPI/VCI값이 통신망에서의 이동 경로를 나타내며, 페이로드는 보호 대상인 정보 데이터 값이다. The session referred to in the present invention consists of a header including a path in the network and a payload containing information. Therefore, a method for securing session information in a communication network transmitted through a router or a switch to a counterpart station is to encrypt and transmit a payload except for a header including path information in the communication network. An example of a session is an ATM cell consisting of 53 bytes, where the VPI / VCI value of the ATM header represents the movement path in the communication network, and the payload is the information data value to be protected.
도 2는 헤더변환부에서 헤더를 변환하는 방법을 도시한 것이다. 세션정합부를 통해 수신된 정상 세션의 헤더를 보고 원래의 헤더를 암복호장치 ID와 키위치로 대체하여 트래픽버스를 통해 병렬암복호장치로 내보낸다. 헤더 변환시 ID는 병렬암복호장치의 해당 암복호장치의 ID이며, 키위치는 암복호키가 저장된 위치를 의미한다. 헤더 변환을 통해 원래의 헤더 사이즈를 줄일 수 있으며, 이를 통해 헤더 판독에 걸리는 처리시간을 줄일 수 있다. 2 illustrates a method of converting a header in a header converter. After seeing the header of the normal session received through the session matching unit, the original header is replaced with the encryption device ID and the key position and exported to the parallel encryption device through the traffic bus. When converting the header, ID is the ID of the corresponding encryption / decryption device of the parallel encryption / decryption device, and the key position means the location where the encryption / decryption key is stored. Header conversion reduces the original header size, which reduces the processing time for header reads.
도 3은 트래픽버스 송신시 타이밍도를 도시한 것이다. 헤더변환부에서 병렬암복호장치로 세션을 전송할 때의 타이밍도를 나타낸 것이다. 여기서 RCLK은 수신 데이터 클럭을 의미하며, DI는 16비트 데이터를, RDA는 수신 어드레스 정보를, CS는 칩 셀렉트를, WREN은 쓰기 인에이블 신호로 페이로드 경계를 각각 의미한다. 본 발명에서는 트래픽버스를 통해 세션을 전송할 때 해당 암복호장치가 자기의 세션인지를 알 수 있는 방법으로 CS 신호가 0일 때 RDA를 보고 자기 ID인지를 여부를 판정하는 방법을 제공한다. RDA 신호는 ID 0 이거나 ID 1 값을 표시하는 데 예를 들 면, 3번째 암복호장치의 키위치 정보일 경우 011 0 으로 표시하며, 페이로드 일 경우 011 1 로 각각 정의하여 사용한다. 3 is a timing diagram for traffic bus transmission. The timing diagram of the session transfer from the header converter to the parallel encryption / decryption apparatus is shown. In this case, RCLK denotes a receive data clock, DI denotes 16-bit data, RDA denotes receive address information, CS denotes chip select, and WREN denotes a payload boundary as a write enable signal. The present invention provides a method for determining whether the encryption / decryption apparatus is its own ID when the CS signal is 0 when transmitting the session through the traffic bus, when the CS signal is 0. RDA signal is
도 4는 트래픽버스 수신시 타이밍도를 나타낸 것이다. 병렬암복호장치에서 암복호화 후 헤더변환부로 세션을 전송할 때의 타이밍도를 나타낸 것이다. 여기서 TCLK은 송신 데이터 클럭을 의미하며, Ready ID는 해당 암복호장치가 암복호화가 완료되어 세션 전송이 준비가 됐음을 알리는 신호이며, TDA 송신 어드레스 정보는 해당 암복호장비의 ID이며, RDEN 신호는 읽기 인에이블 신호로 보내는 세션의 페이로드 경계를, DO 신호는 16비트 송신 데이터를 각각 의미한다. 4 is a timing diagram when receiving a traffic bus. The following diagram shows a timing diagram when a session is transmitted to the header converter after encryption and decryption in the parallel encryption / decryption apparatus. In this case, TCLK means a transmission data clock, and Ready ID is a signal indicating that the encryption / decryption device is finished decrypting and the session is ready. TDA transmission address information is the ID of the encryption / decryption device. The payload boundary of the session sent as the read enable signal, and the DO signal means 16-bit transmission data, respectively.
본 발명의 트래픽버스에 대한 정의는 도 3과 도 4로 나타낸 바와 같이 정의하였으며, 이를 통해 버스 형태로 세션을 송수신할 수 있도록 하였다. The definition of the traffic bus of the present invention is defined as shown in Figs. 3 and 4, through which the session can be transmitted and received in the form of a bus.
도 5는 키 공유 및 세션 암복호화 절차를 도시한 것이다. 먼저 키공유 시작에서는 연결 설정된 대국들과의 키 교환 및 키 공유를 수행한다(501). 모든 연결 설정과 키 공유가 완료되면 헤더를 포함한 키 공유 정보를 룩업테이블에 저장하고 해당 저장 정보를 헤더변환부에 전송한다(502). 위의 모든 과정이 완료되면 세션에 대한 암복호 과정을 수행하는데, 세션 수신 후 헤더변환부에서는 수신 세션에서 헤더를 검출한다(503). 검출된 헤더를 판독하여 키 공유 수행 여부를 판정한다(504). 키 공유를 수행하지 않은 헤더로 판정할 경우에는 키 교환 및 키 공유 과정을 요청하며, 키 공유를 수행한 헤더이면 헤더를 ID와 키위치로 정보를 변환한다(505). 변 환된 세션을 해당 암복호장치로 전송한다(506). 해당 암복호장치는 트래픽버스를 통해 수신된 해당 세션의 페이로드를 암복호화한다(507). 매 세션마다 위의 과정을 수행하며, 암복호화가 끝난 세션은 역으로 세션을 전송하여 헤더변환부를 통해 원래의 헤더로 치환하여 세션정합부를 통해 내 보낸다. 5 illustrates a key sharing and session decryption procedure. First, in the key sharing start, key exchange and key sharing with the connected stations are performed (501). When all connection settings and key sharing are completed, key sharing information including a header is stored in a lookup table, and the corresponding storage information is transmitted to the header converting unit (502). When all the above processes are completed, the encryption / decryption process for the session is performed. After receiving the session, the header converter detects the header in the receiving session (503). The detected header is read to determine whether key sharing is performed (504). If it is determined that the header has not been shared, a key exchange and key sharing process is requested. If the header has been shared, the header is converted into an ID and a key position (505). The converted session is transmitted to the encryption / decryption apparatus (506). The encryption / decryption apparatus decrypts the payload of the corresponding session received through the traffic bus (507). The above process is performed for each session, and the session after decryption and decryption transmits the session in reverse, and replaces the original header through the header conversion unit, and sends it out through the session matching unit.
본 발명에 의하면, 일례로서 하나의 암복호장치가 최대 전송량이 30Mbps 라면 5개의 암복호장치를 병렬로 구성할 경우 150Mbps 최대 전송량을 갖는 암복호장비를 개발할 수 있다. According to the present invention, as an example, if one encryption / decryption device has a maximum transmission amount of 30 Mbps, the encryption / decryption device having a maximum transmission amount of 150 Mbps can be developed when five encryption / decryption devices are configured in parallel.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다. Although the present invention has been described in more detail with reference to some embodiments, the present invention is not necessarily limited to these embodiments, and various modifications can be made without departing from the spirit of the present invention.
상술한 바와 같이, 본 발명에 의한 멀티세션 고속암복호화 처리 장치 및 방법은, 전용 키공유처리부와 병렬암복호장치를 이용하여 부하분산을 통한 고속 멀티세션에 대한 암복호화를 수행함과 아울러 부하분산 처리를 위해 트래픽버스를 새롭게 정의하여 병렬로 구성된 해당 암복호장치와의 통신 방법을 제공함으로써, 기가급, 테라급 세션 처리용 장비 개발에 활용 가능한 하나의 부하분산 기술을 제공할 수 있다. As described above, the multisession fast encryption / decryption processing apparatus and method according to the present invention performs a load distribution processing while performing encryption / decryption for a high speed multisession through load distribution using a dedicated key sharing processing unit and a parallel encryption / decryption device. By defining a new traffic bus and providing a communication method with the corresponding encryption / decryption device configured in parallel, it is possible to provide one load balancing technology that can be utilized for the development of giga- and tera-class session processing equipment.
Claims (18)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050060176A KR100680025B1 (en) | 2005-07-05 | 2005-07-05 | Apparatus and method for high-speed distributing encryption and deencryption with multi-session |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050060176A KR100680025B1 (en) | 2005-07-05 | 2005-07-05 | Apparatus and method for high-speed distributing encryption and deencryption with multi-session |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070005073A KR20070005073A (en) | 2007-01-10 |
KR100680025B1 true KR100680025B1 (en) | 2007-02-07 |
Family
ID=37870769
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050060176A KR100680025B1 (en) | 2005-07-05 | 2005-07-05 | Apparatus and method for high-speed distributing encryption and deencryption with multi-session |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100680025B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9843440B2 (en) | 2014-10-20 | 2017-12-12 | Samsung Electronics Co., Ltd. | Encryptor/decryptor, electronic device including encryptor/decryptor, and method of operating encryptor/decryptor |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101141919B1 (en) * | 2010-10-26 | 2012-05-07 | 주식회사 윈스테크넷 | High performance network equipment with a fuction of multi-decryption in ssl/tls sessions' traffic and data processing method of the same |
CN114338023B (en) * | 2022-03-10 | 2022-06-07 | 山东云海国创云计算装备产业创新中心有限公司 | Image encryption method, image decryption method, image processing apparatus, and storage medium |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5128996A (en) | 1988-12-09 | 1992-07-07 | The Exchange System Limited Partnership | Multichannel data encryption device |
JP2002247032A (en) | 2001-02-19 | 2002-08-30 | Hitachi Ltd | Cipher communication device and its method |
KR20030062422A (en) * | 2000-12-13 | 2003-07-25 | 인피네온 테크놀로지스 아게 | Cryptography processor |
KR20030062914A (en) * | 2002-01-21 | 2003-07-28 | 주식회사 엘지이아이 | Multi level scramble/descramble system |
JP2005100085A (en) | 2003-09-25 | 2005-04-14 | Toshiba Corp | Arithmetic unit and encryption/decoding arithmetic unit |
-
2005
- 2005-07-05 KR KR1020050060176A patent/KR100680025B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5128996A (en) | 1988-12-09 | 1992-07-07 | The Exchange System Limited Partnership | Multichannel data encryption device |
KR20030062422A (en) * | 2000-12-13 | 2003-07-25 | 인피네온 테크놀로지스 아게 | Cryptography processor |
JP2002247032A (en) | 2001-02-19 | 2002-08-30 | Hitachi Ltd | Cipher communication device and its method |
KR20030062914A (en) * | 2002-01-21 | 2003-07-28 | 주식회사 엘지이아이 | Multi level scramble/descramble system |
JP2005100085A (en) | 2003-09-25 | 2005-04-14 | Toshiba Corp | Arithmetic unit and encryption/decoding arithmetic unit |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9843440B2 (en) | 2014-10-20 | 2017-12-12 | Samsung Electronics Co., Ltd. | Encryptor/decryptor, electronic device including encryptor/decryptor, and method of operating encryptor/decryptor |
Also Published As
Publication number | Publication date |
---|---|
KR20070005073A (en) | 2007-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7869597B2 (en) | Method and system for secure packet communication | |
US7336783B2 (en) | Cryptographic systems and methods supporting multiple modes | |
US6289451B1 (en) | System and method for efficiently implementing an authenticated communications channel that facilitates tamper detection | |
US7574571B2 (en) | Hardware-based encryption/decryption employing dual ported memory and fast table initialization | |
CA2466704A1 (en) | Method and system for securely storing and transmitting data by applying a one-time pad | |
CN1336053B (en) | Information transmission system and method, transmitter and receiver | |
ES2266099T3 (en) | POINTS FOR DATA ENCRYPTED IN THE HEAD OF PROTOCOL IN REAL TIME (RTP). | |
JP2007522764A (en) | Method and apparatus for cryptographically processing data | |
US20030039354A1 (en) | FIFO architecture with in-place cryptographic service | |
US7552344B2 (en) | Hardware-based encryption/decryption employing dual ported key storage | |
WO1996033564A1 (en) | Method and apparatus for high speed block ciphering of packet data | |
KR101683051B1 (en) | BLOCK CIPHERING METHOD USING SYMMETRIC KEY IN IoT NETWORK AND DATA TRANSFERRING METHOD FROM CLIENT APPARATUS TO SERVER IN IoT NETWORK | |
CN110620762A (en) | RDMA (remote direct memory Access) -based data transmission method, network card, server and medium | |
CN102664729A (en) | Field programmable gate array (FPGA)-based advanced encryption standard (AES) encryption and decryption network communication device and implementation method thereof | |
CN108809642A (en) | A kind of encryption certification high-speed transfer implementation method of multi-channel data 10,000,000,000 based on FPGA | |
US20140281488A1 (en) | System and Method for Offloading Cryptographic Functions to Support a Large Number of Clients in a Wireless Access Point | |
CN101283554B (en) | Relay unit, communication terminal and communication method | |
KR100680025B1 (en) | Apparatus and method for high-speed distributing encryption and deencryption with multi-session | |
JPH0637750A (en) | Information transfer system | |
CN101621661B (en) | Audio-video encryption and decryption transmission system | |
JP3630874B2 (en) | Communication apparatus and system and method | |
Takahashi et al. | A high-speed key management method for quantum key distribution network | |
JP4277833B2 (en) | Content encryption apparatus and content encryption method | |
CN109861974A (en) | A kind of Data Encryption Transmission device and method | |
JPH0646052A (en) | Encipherment system in high speed transport mechanism |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130111 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140103 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20141224 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20151224 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20161227 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20180102 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20181226 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20200129 Year of fee payment: 14 |