KR20080043215A - 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPsec암호화 장치 및 방법 - Google Patents
소형 패킷 데이터를 고속으로 암호화할 수 있는 IPsec암호화 장치 및 방법 Download PDFInfo
- Publication number
- KR20080043215A KR20080043215A KR1020070081303A KR20070081303A KR20080043215A KR 20080043215 A KR20080043215 A KR 20080043215A KR 1020070081303 A KR1020070081303 A KR 1020070081303A KR 20070081303 A KR20070081303 A KR 20070081303A KR 20080043215 A KR20080043215 A KR 20080043215A
- Authority
- KR
- South Korea
- Prior art keywords
- command
- data
- encryption
- session
- transmitted
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Claims (8)
- 호스트 버스를 통해 외부 호스트 장비와 내부 버스간 정합 기능을 수행하며, 입출력 장치의 정합 기능을 수행하는 호스트 정합부와;암호화 장치 내의 하드웨어를 제어하고 상기 호스트 장비의 명령을 전송받아 상기 명령 실행에 따른 응답 데이터를 상기 호스트 정합부를 통해 상기 호스트 장비로 출력하는 CPU와;상기 CPU의 프로그램 및 데이터들이 저장되는 메모리인 CPU 메모리와;블록암호 알고리즘 처리동작과 MAC 알고리즘 처리동작을 수행하는 암호 알고리즘 처리엔진과;상기 호스트 장비의 데이터를 명령어와 암호처리용 데이터로 구분하고 명령 해석 결과와 암호 처리결과 데이터를 조합하여 상기 호스트 장비로 전송될 데이터를 구성하며 상기 암호 알고리즘 처리엔진으로 전송되는 암호처리용 데이터의 입출력 동작을 제어하는 명령분리 및 응답 생성기와;상기 명령분리 및 응답 생성기로 전송될 호스트 장비 데이터를 임시 저장하는 버퍼인 DIB_FIFO와, 상기 호스트 정합부를 통해 상기 호스트 장비로 전송될 상기 명령분리 및 응답 생성기의 출력 데이터를 임시 저장하는 버퍼인 DOB_FIFO와, 상기 CPU로 전송될 상기 호스트 장비 데이터를 임시 저장하는 버퍼인 CIB_FIFO와, 호스트 장비로 전송될 CPU의 응답 데이터를 임시 저장하는 버퍼인 COB_FIFO를 포함하는 어드레스 값을 달리하는 최소 4개의 버퍼를 갖는 내부 버스 중재부와;암호 알고리즘 처리엔진의 암호 처리동작에 필요한 세션 정보를 저장하는 세션 메모리와;상기 명령분리 및 응답 생성기로부터 상기 명령을 수신하고 상기 명령을 해석하여 명령 해석 결과에 따라 상기 세션 메모리의 세션 정보로 상기 암호 알고리즘 처리엔진을 초기화한 후 암호 처리동작의 시작을 명령하며 상기 암호 알고리즘 처리엔진의 암호 처리결과로 상기 세션 메모리를 갱신하는 명령 실행 및 세션 메모리 정합부를 포함하여 이루어지는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 장치.
- 제1항에 있어서,상기 명령분리 및 응답 생성기는,DIB_FIFO를 통해 전송되는 상기 호스트 장비의 데이터를 명령어와 암호처리용 데이터로 구분하고 상기 암호처리용 데이터는 상기 암호 알고리즘 처리엔진으로 전송하는 명령/데이터 구분회로와;상기 명령/데이터 구분회로로부터 명령어 코드, 세션 ID, 데이터 길이, ESP 오프셋 길이, 메시지 인증코드의 명령어를 수신하여 저장하며, 상기 명령어 코드, 상기 세션 ID 및 상기 데이터 길이, 상기 ESP 오프셋 길이는 명령 실행 및 세션 메모리 정합부로 전송되도록 하는 명령어 버퍼와;명령어 버퍼에 저장된 명령 데이터와 상기 명령 실행 및 세션 메모리 정합부로부터 전송된 명령 해석 결과 및 상기 암호 알고리즘 처리엔진으로부터 전송된 암 호처리 결과 데이터를 조합하여 상기 호스트 장비로 전송될 상기 응답 데이터를 구성하는 응답 데이터 생성회로로 이루어지는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 장치.
- 제1항 또는 제2항에 있어서,상기 명령분리 및 응답 생성기는 상기 호스트 장비로부터의 명령에서 ‘PE’ 플래그를 확인하면, 마지막 패킷 데이터에 대해서는 상기 내부 버스 중재부로 하여금 상기 호스트 정합부에게 packet_end 신호를 출력하도록 하여 상기 호스트 정합부가 상기 packet_end 신호가 출력될 시점까지 모아두었던 암호 처리 결과 데이터를 상기 호스트 장비로 전송하도록 하는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 장치.
- 제1항에 있어서,상기 명령 실행 및 세션 메모리 정합부는,상기 CPU 또는 명령분리 및 응답 생성기로부터 전송된 명령 데이터를 저장하는 명령 레지스터와;상기 명령 레지스터에 저장된 상기 데이터를 수신하여 CPU 버스 정합 기능을 제공하며 상기 호스트 장비가 상기 CPU에게 암호 함수 초기화 동작을 명령하면 상기 CPU가 상기 세션 메모리로의 액세스를 가능하도록 하는 세션 메모리 정합 회로와;상기 명령 레지스터에 저장된 상기 명령 데이터를 수신하여 상기 세션 메모리 정합회로의 세션 초기화 정보가 정상적으로 초기화되었음을 나타내면 상기 명령 레지스터의 명령어 코드를 해석하여 그 결과에 따라 암호 알고리즘 처리엔진으로 동작 시작을 명령하는 명령 해석/실행 회로로 구성되는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 장치.
- 제4항에 있어서,상기 세션 메모리 정합회로는,명령 레지스터의 명령어 코드와 세션 ID를 참조하여 상기 세션 메모리로부터 암호 함수 초기화 플래그를 나타내는 Enc Init OK와, 복호함수 초기화 플래그를 나타내는 Dec Init OK와, 생성 함수 초기화 플래그를 나타내는 Sign Init OK와 및 검증함수 초기화 플래그를 나타내는 Ver Init OK로 구성된 세션 초기화 정보를 읽어와 상기 명령분리 및 응답 생성기에게 전송하여 응답 데이터를 출력할 수 있게 하고 암호화가 정상으로 초기화되면, 상기 세션 메모리에 저장된 암호 함수용 세션 정보, 복호 함수용 세션 정보, MAC 생성 함수용 세션 정보, MAC 검증 함수용 세션정보로 구성된 세션 정보를 읽어와 암호 알고리즘 처리엔진으로 전송하는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 장치.
- 제4항에 있어서,상기 명령은,암호 세션 초기화 명령인 암호 초기화 명령, 복호 초기화 명령, MAC 생성 초기화 명령, MAC 검증 초기화 명령과, 암호 알고리즘 처리 명령인 암호화 명령, 복호화 명령, MAC 생성 명령, MAC 검증 명령, 암호화 및 MAC 생성 명령, MAC 검증 및 복호화 명령으로 구분되며,상기 암호 알고리즘 처리 명령 중 MAC 생성 명령과 MAC 검증 명령은 IPSec AH 처리동작을 지원하기 위한 명령이며 암호화 및 MAC 생성 명령과 MAC 검증 및 복호화 명령은 IPSec의 ESP 처리 동작을 지원하되,상기 각각의 명령은 명령어 구분을 위한 명령어 코드, 마지막 패킷 데이터임을 알리는 PE 플래그, 암호 세션 구분을 위한 세션 ID, 데이터 길이, 명령 인자 및 암호 처리용 입력 데이터로 이루어지며, 상기 명령에 대응하는 응답 데이터는 명령어 구분을 위한 명령어 코드, 마지막 패킷 데이터임을 알리는 PE 플래그, 암호 세션 구분을 위한 세션 ID, 데이터 길이, 결과 데이터 및 응답 인자로 이루어지는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 장치.
- 제4항에 있어서,상기 명령분리 및 응답 생성기는,내부에 상기 ESP 오프셋 길이 값을 초기값으로 설정하며, 상기 ESP 오프셋 길이만큼의 데이터가 입력되었는지를 확인하는 다운 카운터와;상기 다운 카운터 값이 ‘0’이 되기 전까진 MAC을 제어하는 신호 출력 타이밍 신호인 dordy_mac 신호만 ‘1’이 되도록 하여 입력 데이터가 MAC 처리엔진(215)으로만 전송되도록 하고 ‘0’이 된 후에는 dordy_mac 신호와 블록 암호를 제어하는 신호 출력 타이밍 신호인 dordy_bc 신호를 모두 ‘1’이 되도록 하여 입력 데이터가 블록암호 처리엔진과 MAC 처리엔진 모두에게 전송되도록 하는 데이터 입/출력 제어회로를 더 포함하는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 장치.
- 호스트 장비로부터 호스트 장비 명령 데이터를 호스트 정합부를 통해 내부 버스 중재부로 전송하는 제1 전송단계와;입력된 명령 데이터를 명령분리 및 응답 생성기로 전송하는 제2 전송단계와;상기 명령 데이터에서 명령어 코드, 데이터 길이, 세션 ID, PE 플래그, 명령 인자 등을 구분하여 명령어 버퍼에 저장하고 이중 명령어 코드, 데이터 길이 및 세션 ID 정보를 명령 실행 및 세션 메모리 정합부로 전송하는 제3 전송단계와;전송된 데이터를 내부의 명령 레지스터에 저장하는 저장단계와;상기 세션 메모리 정합부는 명령 레지스터의 명령어 코드와 세션 ID를 참조하여 세션 메모리로부터 세션 정보를 읽어오는 판독단계와;명령 해석/실행 회로는 상기 세션 정보에서 암호 세션 초기화 플래그를 확인하여 지정된 세션의 암호함수가 정상적으로 초기화되었는지 여부를 확인하는 확인단계와;상기 세션 정보와 함께 암호 처리해야 할 데이터 길이 정보를 암호 알고리즘 처리엔진으로 전송하는 제4 전송단계와;명령 해석/실행 회로는 Init OK 정보를 명령분리 및 응답 생성기로 전송하고, 알고리즘 처리엔진의 암호 처리동작의 시작을 명령하는 명령단계와;암호 알고리즘 처리엔진은 상기 데이터 길이만큼의 입력 데이터에 대해 암호처리 동작을 수행하는 수행단계와;암호 알고리즘 처리엔진에서 처리된 처리 결과 데이터를 명령분리 및 응답 생성기로 전송하는 제5 전송단계와;명령분리 및 응답 생성기는 명령어 버퍼에 저장되어 있는 명령 데이터와 명령 실행 및 세션 메모리 정합부로부터 전송된 데이터 그리고 암호 알고리즘 처리엔진으로부터 출력된 처리 결과 데이터를 조합하여 응답 데이터를 구성하는 구성단계와;상기 응답 데이터를 상기 외부 호스트 장비로 출력하는 출력단계로 구성되는 것을 특징으로 하는 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPSec 암호화 방법.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20060111859 | 2006-11-13 | ||
KR1020060111859 | 2006-11-13 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080043215A true KR20080043215A (ko) | 2008-05-16 |
KR100946697B1 KR100946697B1 (ko) | 2010-03-12 |
Family
ID=39661716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070081303A KR100946697B1 (ko) | 2006-11-13 | 2007-08-13 | 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPsec암호화 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100946697B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190200231A1 (en) * | 2013-10-31 | 2019-06-27 | Nec Corporation | Apparatus, system, and method for mobile communication |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7194766B2 (en) | 2001-06-12 | 2007-03-20 | Corrent Corporation | Method and system for high-speed processing IPSec security protocol packets |
US7685434B2 (en) | 2004-03-02 | 2010-03-23 | Advanced Micro Devices, Inc. | Two parallel engines for high speed transmit IPsec processing |
KR100628320B1 (ko) * | 2004-12-09 | 2006-09-27 | 한국전자통신연구원 | VPN IPsec 가속 장치 |
-
2007
- 2007-08-13 KR KR1020070081303A patent/KR100946697B1/ko active IP Right Grant
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190200231A1 (en) * | 2013-10-31 | 2019-06-27 | Nec Corporation | Apparatus, system, and method for mobile communication |
US10681553B2 (en) * | 2013-10-31 | 2020-06-09 | Nec Corporation | Apparatus, system, and method for mobile communication |
US11601790B2 (en) | 2013-10-31 | 2023-03-07 | Nec Corporation | Apparatus, system and method for mobile communication |
Also Published As
Publication number | Publication date |
---|---|
KR100946697B1 (ko) | 2010-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107851161B (zh) | 对具有dma能力的i/o控制器的i/o数据进行密码保护 | |
US7925024B2 (en) | Method and system for data encryption/decryption key generation and distribution | |
TW201917623A (zh) | 演算法的卸載方法、裝置和系統 | |
US9003202B2 (en) | Memory control device, semiconductor memory device, memory system, and memory control method | |
CN112329038B (zh) | 一种基于usb接口的数据加密控制系统及芯片 | |
EP3211824B1 (en) | Analysis system, analysis method, and analysis program | |
EP3751781A1 (en) | Overhead reduction for link protection | |
CN209803788U (zh) | 一种pcie可信密码卡 | |
US20080028210A1 (en) | Packet cipher processor and method | |
CN104156677A (zh) | 一种基于fpga的硬盘加密、解密系统 | |
US11722467B2 (en) | Secured communication from within non-volatile memory device | |
CN112740217A (zh) | 密码系统 | |
CN117640256B (zh) | 一种无线网卡的数据加密方法、推荐装置和存储介质 | |
EP3200390B1 (en) | Analysis system, analysis device, analysis method, and storage medium having analysis program recorded therein | |
US7006634B1 (en) | Hardware-based encryption/decryption employing dual ported key storage | |
KR100946697B1 (ko) | 소형 패킷 데이터를 고속으로 암호화할 수 있는 IPsec암호화 장치 및 방법 | |
US8316431B2 (en) | Concurrent IPsec processing system and method | |
US10057054B2 (en) | Method and system for remotely keyed encrypting/decrypting data with prior checking a token | |
CN107277591A (zh) | 一种通过otg方式对融合型机顶盒进行加密的方法 | |
US8412956B2 (en) | Electronic unit provided in a microcircuit card and including cryptographic means for high-speed data processing | |
US20110026707A1 (en) | Communication apparatus | |
JP2002207713A (ja) | Cpu間データ通信方法および装置 | |
CN113158203A (zh) | 一种soc芯片、电路和soc芯片的外部数据读写方法 | |
EP1460796A2 (en) | Encryption-decryption key generation and distribution | |
KR102218715B1 (ko) | 채널별로 데이터를 보호할 수 있는 반도체 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130304 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140103 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20141224 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20151224 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20161227 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180102 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20181226 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20200129 Year of fee payment: 11 |