專利名稱:通信裝置、接收控制方法以及發送控制方法
技術領域:
本發明涉及對包含加密數據的數據包(packet)進行發送接收的通信裝置、接收控制方法以及發送控制方法。
背景技術:
熟知如下情況在數據包通信中,為了防止數據的泄漏,在發送側將數據包內的數據加密進行發送,在接收側將該接收數據包的加密數據解密。作為在互聯網的數據包通信中所使用的加密協議,有 IPsec (Security Architecture for Internet Protocol)。目前,作為利用了 IPsec的通信裝置,一般是后備(Lookaside)型。如圖1所示,后備型是如下結構發送接收部I和安全部2經由系統總線4連接到控制部3。在專利文獻I以及2中示出了具有這樣結構的現有裝置。發送接收部I對網絡5發送接收數據包,安全部2進行所發送的數據的加密以及所接收的加密數據的解密。控制部3分別控制發送接收部I以及安全部2。在發送數據包時將數據加密來發送的情況下,控制部3將應該被發送的數據經由系統總線4提供給安全部2,安全部2將所提供的數據加密,并且,經由系統總線4將該加密數據返回到控制部3。之后,控制部3經由系統總線4將包含加密數據以及報頭(header)的發送數據提供給發送接收部I,發送接收部I將所提供的發送數據形成為數據包并向網絡5內的發送目的地的地址發送。在接收數據包時將接收數據解密的情況下,經由系統總線4將由發送接收部I所接收的數據包內的接收數據提供給控制部3,如果接收數據是包含加密數據的數據,則控制部3將該加密數據經由系統總線4提供到安全部2。安全部2對所提供的加密數據進行解密,將該解密了的數據即明文數據經由系統總線4返回到控制部3。現 有技術文獻 專利文獻
專利文獻1:日本特開2004-349775號公報;
專利文獻2 :日本特開2007-135035號公報。但是,在現有的后備型的通信裝置中,關于發送包含加密數據的數據包的情況以及接收包含加密數據的數據包的情況,需要分別利用控制部3與發送接收部I以及安全部2之間的系統總線4多次進行數據的交換,所以存在如下問題系統總線4的帶寬限制通信裝置的數據發送接收的處理量(處理能力),難以謀求包含加密數據的數據包的通信的高速化。
發明內容
因此,本發明是鑒于這一點而提出的,其目的在于提供能夠謀求包含加密數據的數據包的通信的高速化的后備型的通信裝置、接收控制方法以及發送控制方法。本發明提供一種通信裝置,具備發送接收部,在接收時,從網絡接收數據包,根據所述數據包生成包含報頭部和數據主體的接收數據,在發送時,將包含所述報頭部和所述數據主體的發送數據數據包化,發送到所述網絡;安全部,至少能夠進行由所述接收數據內的加密數據構成的所述數據主體的解密;控制部,經由系統總線分別與所述發送接收部以及所述安全部連接,其特征在于,包括加密數據處理部,與所述系統總線連接;第二總線,將所述加密數據處理部和所述安全部之間連接,所述加密數據處理部在所述接收時由所述發送接收部所生成的所述接收數據內的所述數據主體是加密數據時,經由所述第二總線將所述接收數據提供給所述安全部,并且,經由所述系統總線將所述接收數據提供給所述控制部,所述控制部在判別了從所述加密數據處理部提供的所述接收數據是包含加密數據的接收數據時,經由所述系統總線將解密指令與對所述數據主體的數據量進行了削減的所述接收數據一起提供給所述安全部,所述安全部根據所述解密指令對從所述加密數據處理部經由所述第二總線提供的所述接收數據內的所述數據主體的所述加密數據進行解密而作成明文數據,作為針對所述解密指令的響應,經由所述系統總線將所述明文數據提供給所述控制部。 本發明提供一種通信裝置,具備發送接收部,在接收時,從網絡接收數據包,根據所述數據包生成包含報頭部和數據主體的接收數據,在發送時,對包含所述報頭部和所述數據主體的發送數據進行數據包化,發送到所述網絡;安全部,至少能夠進行由所述發送數據內的明文數據構成的所述數據主體的加密;控制部,經由系統總線分別與所述發送接收部以及所述安全部連接,其特征在于,包括加密數據處理部,與所述系統總線連接;第二總線,將所述加密數據處理部和所述安全部之間連接,所述控制部在所述發送時生成所述發送數據,將所述明文數據的加密指令與所述發送數據一起經由所述系統總線提供給所述安全部,所述安全部根據所述加密指令對從所述控制部提供的所述發送數據內的所述數據主體的所述明文數據進行加密而作成加密數據,在加密后,經由所述第二總線向所述加密數據處理部提供將所述加密數據作為所述數據主體的所述發送數據,作為針對所述加密指令的響應,將所述發送數據經由所述系統總線提供給所述控制部,所述控制部將根據針對所述加密指令的響應而削減了所述數據主體的數據量的所述發送數據與發送指令一起經由所述系統總線提供給所述加密數據處理部,所述加密數據處理部根據從所述控制部提供的削減了所述數據主體的數據量的所述發送數據與所述發送指令,將從所述安全部經由所述第二總線提供的所述發送數據提供給所述發送接收部以進行數據包發送。本發明提供一種通信裝置的接收控制方法,該通信裝置具備發送接收部,在接收時,從網絡接收數據包,根據所述數據包生成包含報頭部和數據主體的接收數據,在發送時,將包含所述報頭部和所述數據主體的發送數據數據包化,發送到所述網絡;安全部,至少能夠進行由所述接收數據內的加密數據構成的所述數據主體的解密;控制部,經由系統總線分別與所述發送接收部以及所述安全部連接;加密數據處理部,與所述系統總線連接;第二總線,將所述加密數據處理部和所述安全部之間連接,其特征在于,包括接收數據提供步驟,在所述接收時由所述發送接收部所生成的所述接收數據內的所述數據主體是加密數據時,從所述加密數據處理部經由所述第二總線將所述接收數據提供給所述安全部,并且,從所述加密數據處理部經由所述系統總線將所述接收數據提供給所述控制部;解密指令步驟,在判別了提供給所述控制部的所述接收數據是包含加密數據的接收數據時,從所述控制部經由所述系統總線將解密指令與對所述數據主體的數據量進行了削減的所述接收數據一起提供給所述安全部;解密步驟,根據所述解密指令對從所述加密數據處理部經由所述第二總線提供給所述安全部的所述接收數據內的所述數據主體的所述加密數據進行解密而作成明文數據,作為針對所述解密指令的響應,從所述安全部經由所述系統總線將所述明文數據提供給所述控制部。本發明提供一種通信裝置的發送控制方法,該通信裝置具備發送接收部,在接收時,從網絡接收數據包,根據所述數據包生成包含報頭部和數據主體的接收數據,在發送時,將包含所述報頭部和所述數據主體的發送數據數據包化,發送到所述網絡;安全部,至少能夠進行由所述發送數據內的明文數據構成的所述數據主體的加密;控制部,經由系統總線分別與所述發送接收部以及所述安全部連接;加密數據處理部,與所述系統總線連接;第二總線,將所述加密數據處理部和所述安全部之間連接,其特征在于,包括加密指令步驟,在所述發送時,在所述控制部中生成所述發送數據,將所述明文數據的加密指令與所述發送數據一起經由所述系統總線提供給所述安全部;加密步驟,根據所述加密指令對從所述控制部提供給所述安全部的所述發送數據內的所述數據主體的所述明文數據進行加密而作成加密數據,在加密后,從所述安全部經由所述第二總線向加密數據處理部提供將所述加密數據作為所述數據主體的所述發送數據,作為針對所述加密指令的響應,將所述發送數據經由所述系統總線提供給所述控制部·;發送指令步驟,從所述控制部經由所述系統總線將根據針對所述加密指令的響應而削減了所述數據主體的數據量的所述發送數據與發送指令一起提供給所述加密數據處理部;發送數據提供步驟,根據從所述控制部提供給所述加密數據處理部的削減了所述數據主體的數據量的所述發送數據以及所述發送指令,將從所述安全部經由所述第二總線提供的所述發送數據從所述加密數據處理部提供給所述發送接收部以進行數據包發送。 根據本發明的通信裝置以及接收控制方法,在接收包含加密數據的數據包時,加密數據的接收數據從發送接收部提供到加密數據處理部、并且經由第二總線被提供給安全部,加密數據在安全部中被作成明文數據,經由系統總線將該明文數據提供給控制部。此時,應該被解密的加密數據例如被除去而不從控制部經由系統總線向安全部提供,將用于對應該被解密的加密數據進行特別指定的接收數據的報頭部與解密指令一起從控制部經由系統總線向安全部提供。因此,與現有裝置相比,在接收數據包時,能夠使通過系統總線的數據量減少,所以,能夠提高數據接收的處理量,由此,能夠謀求包含加密數據的數據包的接收的高速化。此外,根據本發明的通信裝置以及發送控制方法,在發送包含加密數據的數據包時,在數據主體中包含應該被加密的明文數據的發送數據從控制部經由系統總線被提供給安全部,明文數據在安全部被作成加密數據,具有將該加密數據置換為明文數據的數據主體的發送數據經由第二總線被提供給加密數據處理部,進而,利用發送接收部作為數據包被發送。在該發送時,加密數據例如被除去而不從控制部經由系統總線向加密數據處理部提供,將用于對應該被發送的加密數據進行特別指定的發送數據的報頭部與發送命令一起從控制部經由系統總線向加密數據處理部提供。因此,與現有裝置相比,在發送數據包時,也能夠減少通過系統總線的數據量,所以,能夠提高數據發送的處理量,由此,能夠謀求包含加密數據的數據包的發送的高速化。
圖1是示出現有的后備型的通信裝置的結構的框圖。圖2是示出作為本發明的實施例1的后備型的通信裝置的結構的框圖。圖3是示出圖2的通信裝置發送接收的數據包的數據結構的圖。圖4是示出圖2的通信裝置的接收時的加密數據處理部的動作的流程圖。圖5是示出圖2的通信裝置的接收時的安全部的動作的流程圖。圖6是示出圖2的通信裝置的發送時的安全部的動作的流程圖。圖7是示出圖2的通信裝置的發送時的加密數據處理部的動作的流程圖。圖8是示出作為本發明的實施例2的圖2的通信裝置的接收時的加密數據處理部的動作的流程圖。圖9是示出作為本發明的實施例3的圖2的通信裝置的發送時的安全部的動作的流程圖。
具體實施例方式以下,參照附圖詳細地對本發明的實施例進行說明。圖2示出作為本發明的實施例1的后備型的通信裝置。該通信裝置具備發送接收部11、加密數據處理部12、安全部13以及控制部14。發送接收部11與以太網(Ethernet 注冊商標)的網絡15連接,加密數據處理部12、安全部13以及控制部14分別與系統總線16連接。系統總線16是例如PCI `Express BUS。此外,發送接收部11與加密數據處理部12連接,加密數據處理部12利用內部總線17 (第二總線)連接于安全部13。發送接收部11對網絡15發送接收數據包,在接收數據包時,將數據包的接收數據提供給加密數據處理部12,在發送數據包時,將從加密數據處理部12提供的發送數據形成為數據包進行發送。為了作成能夠在本通信裝置內處理網絡15上的數據的形式,發送接收部11基于接收數據包生成接收數據。加密數據處理部12連接于發送接收部11,在接收數據包時,判別接收數據是否包含加密數據,在其判別結果是明文數據(未加密的數據)的情況下,將接收數據經由系統總線16提供給控制部14。在判別結果是加密數據的情況下,經由系統總線16將數據包中的除了 FCS的部分提供給控制部14,并且,經由內部總線17提供給安全部13。此外,加密數據處理部12在數據包發送時判別從控制部14與發送指令一起提供的數據包是否是發送加密數據的數據包,在判別結果為明文數據的數據包的情況下,將該數據包原封不動地發送到發送接收部11。在判別結果為加密數據的數據包的情況下,該數據包在數據區域不包含加密數據,所以,將從安全部13經由內部總線17提供的加密了的數據插入到數據包中,將其提供給發送接收部11。在發送接收部11接收了包含加密數據的數據包時,將數據包從加密數據處理部12經由內部總線17提供給安全部13,此外,從控制部14經由系統總線16將在數據區域沒有數據的數據包和解密指令一起提供提供給安全部13。安全部13根據解密指令對從加密數據處理部12提供的數據包中所包含的加密數據進行解密,將明文數據經由系統總線16提供給控制部14。此外,在包含加密數據的數據包的發送時,從控制部14經由系統總線16將包含應該被加密的明文數據的數據包和加密指令一起提供給安全部13。安全部13根據加密指令對所提供的明文數據進行加密,經由系統總線16將加密數據提供給控制部14。控制部14由CPU構成,如圖2所示,包含OS (操作系統)部21、發送接收驅動器22以及安全驅動器23。OS (操作系統)部21根據未圖示的應用程序使操作系統進行工作,產生各種指令,并且,將應該發送的數據提供給發送接收驅動器22以及安全驅動器23,此外,從發送接收驅動器22接受接收數據,從安全驅動器23接受加密數據或解密了的明文數據。發送接收驅動器22進行如下動作經由系統總線16將來自OS部21的針對發送接收部11或加密數據處理部12的指令以及發送數據提供給加密數據處理部12 ;經由系統總線16接受來自加密數據處理部12的接收數據。安全驅動器23進行如下動作經由系統總線16將來自OS部21的針對安全部13的指令以及發送數據提供給安全部13 ;經由系統總線16接受來自安全部13的加密數據或明文數據。發送接收驅動器22以及安全驅動器23通過上述的應用程序的執行而形成。關于在這樣的通信裝置中發送接收的數據包,在以太網中使用互聯網協議的情況下,具有圖3所示的數據結構。從數據包的前頭開始依次是以太網報頭、IP報頭、IPsec報頭、數據主體以及FCS。以太網報頭包含發送目的地MAC地址、發送源MAC地址以及以太網類型。以太網類型表示在以太網中使用的協議的種類,以太網類型的號碼為0X800或0X86DD時,表示協議為IP (互聯網協議)。IP報頭包括發送源IP地址、發送目的地IP地址以及協議類型。協議類型表示數據的加密協議的種類,協議類型的號碼為50或51時,加密協議為IPsec。FCS是幀校驗序列的略稱,是用于調查發送接收的數據是否正確的校驗和。此外,在本說明書中,各個發送數據以及接收數據稱作由以太網報頭、IP報頭、IPsec報頭以及數據主體(加密數據或明文 數據)構成的數據塊(data block),數據包稱作在以太網報頭、IP報頭、IPsec報頭以及數據主體中包含FCS的數據塊。此外,各個發送數據以及接收數據的報頭部稱作為以太網報頭、IP報頭以及IPsec報頭。接著,對這樣的通信裝置的數據包發送接收時的處理動作進行說明。首先,在數據包的接收處理中,發送接收部11若從網絡15接收數據包,則在內部存儲器(未圖示)中展開接收數據。加密數據處理部12若從發送接收部11接受表示數據包的接收的信號,則如圖4所示,搜出內部存儲器的接收數據中的以太網報頭的以太網類型(步驟SI),判別以太網類型是否是IP (步驟S2)。如果是IP,則搜出IP報頭的協議類型(步驟S3),判別協議類型是否是IPsec (步驟S4)。例如,在以太網報頭為0X800時是IPv4,搜出存在于該IP報頭的第十個八位字節(octet)的協議類型。此外,在以太網報頭為0X86DD時是IPv6,搜出存在于該IP報頭的第七個八位字節的協議類型。可知如果協議類型是例如50或51,則利用IPsec協議加密了的數據是數據主體。加密數據處理部12在協議類型是IPsec的情況下,讀出內部存儲器的接收數據,經由系統總線16將其提供給控制部14的發送接收驅動器22 (步驟S5),經由內部總線17將該讀出的接收數據提供給安全部13 (步驟S6)。步驟S5以及S6相當于接收數據提供步驟。此外,加密數據處理部12在協議類型不是IPsec的情況下,讀出內部存儲器的接收數據,經由系統總線16將其提供給控制部14的發送接收驅動器22 (步驟S7)。對于發送接收驅動器22來說,若從加密數據處理部12經由系統總線16提供了接收數據,則將該接收數據交給OS部21。OS部21根據接收數據的協議類型判別為不是IPsec的情況下,由于接收數據的數據主體是明文數據,所以,接受該明文數據。另一方面,在根據接收數據的協議類型判別為是IPsec的情況下,由于接收數據的數據主體是加密數據,所以,將接收數據提供給安全驅動器23。安全驅動器23除去從OS部21接受的接收數據中的加密數據的數據主體,將由接收數據中的以太網報頭、IP報頭以及IPsec報頭構成的報頭部分與解密指令經由系統總線16提供給安全部13。該安全驅動器23的動作相當于解密指令步驟。此外,安全驅動器23不除去接收數據中的加密數據的數據主體而利用變換等的削減處理將該數據主體的數據量削減、并且將削減了數據主體的數據量的接收數據與解密指令一起經由系統總線16提供給安全部13也可以。若安全部13接受解密指令,則如圖5所示那樣,將從加密數據處理部12經由內部總線17提供的接收數據的報頭部和利用解密指令所接受的報頭部進行對照,判別是否相同(步驟S11),若確認相同,則對接收數據的數據主體的加密數據進行解密,生成明文數據(步驟S12)。并且,將該明文數據經由系統總線16向安全驅動器23輸出(步驟S13)。該步驟S12以及S13相當于解密步驟。此外,若安全驅動器23從安全部13接受明文數據,則將為了解密而從OS部21接受的接收數據的數據主體更換為明文數據,將該更換后的接收數據返回到OS部21。由此,通信裝置的接收處理結束。此外,安全部13對安全驅動器23也可以不是僅返回明文數據而是在將接收數據的數據主體更換為明文數據之后經由系統總線16將接收數據返回。接著,在數據包的發送處理中,若產生將明文數據加密并進行發送的情況,則OS部21制成在數據主體中包含該明文數據的發送數據,將該發送數據提供給安全驅動器23。安全驅動器23經由系統總線16將加密指令與從OS部21接受的發送數據一起提供給安全部13。該安全驅動器23的動作相當于加密指令步驟。
若安全部13接受加密指令以及發送數據,則如圖6所示那樣,對發送數據中的數據主體的明文數據進行加密,生成加密數據(步驟S15)。并且,經由系統總線16將該加密數據輸出到安全驅動器23 (步驟S16)。此外,安全部13將從安全驅動器23與加密指令一起接受的發送數據的數據主體更換為加密數據(步驟S17),經由內部總線17將更換后的發送數據提供給加密數據處理部12 (步驟S18)。該步驟S15 S18相當于加密步驟。此外,安全驅動器23若從安全部13接受加密數據,則將為了加密而從OS部21接受的發送數據的數據主體更換為該加密數據,將該更換后的發送數據返回到OS部21。此夕卜,安全部13也可以經由系統總線16將更換為加密數據的發送數據返回到安全驅動器23。OS部21若接受數據主體變為加密數據的發送數據,則將該發送數據提供給發送接收驅動器22。發送接收驅動器22將發送數據中的加密數據的數據主體去掉,僅將由以太網報頭、IP報頭以及IPsec報頭構成的報頭部的發送數據和發送指令一起經由系統總線16提供給加密數據處理部12。該發送接收驅動器22的動作相當于發送指令步驟。此外,發送接收驅動器22不除去發送數據中的加密數據的數據主體而利用變換等的削減處理將數據主體的數據量削減且將對數據主體的數據量進行了削減的發送數據與發送指令一起經由系統總線16提供給加密數據處理部12也可以。加密數據處理部12若從發送接收驅動器22接受發送指令以及發送數據,則如圖7所示那樣,判別該發送數據的協議類型是否是IPsec(步驟S21)。若發送數據的協議類型是IPsec,則將從安全部13經由內部總線17所提供的發送數據的報頭部和利用發送指令所接受的發送數據的報頭部進行對照,判別是否相同(步驟S22)。若相同,則將從安全部13經由內部總線17所提供的發送數據提供給發送接收部11 (步驟S23)。若報頭部互相不同,則發送數據不被提供到發送接收部11。步驟S22以及S23相當于發送數據提供步驟。對于加密數據處理部12來說,在步驟S21的判別中,如果發送數據的協議類型不是IPsec,則將該發送數據提供給發送接收部11 (步驟S24)。發送接收部11在從加密數據處理部12提供的發送數據中附加FCS,形成數據包,將該數據包向網絡15送出。這樣,在接收包含加密數據的數據包時,該加密數據的接收數據從發送接收部11提供給加密數據處理部12、并且經由內部總線17提供給安全部13,加密數據在安全部13中被作成明文數據,經由系統總線16將該明文數據提供給控制部14的安全驅動器23。此時,應該被解密的加密數據不從控制部14的安全驅動器23經由系統總線16向安全部13提供,僅將用于對應該被解密的加密數據進行特別指定的接收數據的報頭部與解密指令一起從控制部14的安全驅動器23經由系統總線16向安全部13提供。因此,與現有裝置相t匕,在接收數據包時能夠減少通過系統總線16的數據量。此外,在發送包含加密數據的數據包時,將包含應該被加密的明文數據的發送數據從控制部14的安全驅動器23經由系統總線16提供給安全部13,明文數據在安全部13中被作成加密數據,將該加密數據置換為明文數據的發送數據經由內部總線17被提供給加密數據處理部12,進而,利用發送接收部11作為數據包進行發送。在該發送時,不從控制部14的發送接收驅動器22經由系統總線16向加密數據處理部12提供加密數據,僅將用于對應該發送的加密數據進行特別指定的發送數據的報頭部和發送命令一起從控制部14的發送接收驅動器22經由系統總線16向加密數據處理部12提供。因此,與現有裝置相比,在發送數據包時也能夠減少通過系統總線16的數據量。其結果是,由于發送接收數據包時通過系統總線16的數據量的減少,能夠提高數據發送接收的處理量,由此,能夠謀求包含加密數據的數據包的通信的高速化。圖8示出作為本發明的實施例2的加密數據處理部12的接收時動作。在該接收時動作中,加密數據處理部12若從發送接收部11接受表示數據包的接收的信號,則搜出內部存儲器的接收數據中的以太網報頭的以太網類型(步驟S31),判別以太網類型是否是IP(步驟S32)。如果是IP,則搜出IP報頭的協議類型(步驟S33),判別協議類型是否是IPsec(步驟S34)。步驟S31 S34與上述的步驟SI S4相同。加密數據處理部12在協議類型是IPsec的情況下讀出內部存儲器的接收數據,將該讀出的接收數據中的加密數據的數據主體去掉,經由系統總線16僅將由以太網報頭、IP報頭以及IPsec報頭構成的報頭部的接收數據(沒有加密數據的接收數據)提供給發送接收驅動器22 (步驟S35)。此外,經由內部總線17將所讀出的接收數據(有加密數據的接收數據)提供給安全部13 (步驟S36)。此外,加密數據處理部12在協議類型不是IPsec的情況下讀出內部存儲器的接收數據并且將其經由系統總線16提供給控制部14的發送接收驅動器22 (步驟S37) 。對于發送接收驅動器22來說,在接受利用步驟S35的動作從加密數據處理部12發送的沒有加密數據的接收數據的情況下,也與接受利用上述的步驟S5的動作從加密數據處理部12發送的有加密數據的接收數據的情況同樣地進行動作,將該接收數據交給OS部21。這樣,在執行圖8的接收時動作的通信裝置中,在接收包含加密數據的數據包時,該加密數據的接收數據從發送接收部11被提供給加密數據處理部12、并且經由內部總線17被提供給安全部13,加密數據在安全部13中被作成明文數據,該明文數據經由系統總線16被提供給控制部14的安全驅動器23,另一方面,從加密數據處理部12經由系統總線16向控制部14的發送接收驅動器22不提供加密數據而是僅提供用于對所接收的加密數據進行特別指定的接收數據的報頭部。因此,從控制部14的安全驅動器23經由系統總線16向安全部13僅提供該報頭部。因此,在接收數據包時,通過系統總線16的數據主體僅是從安全部13提供給安全驅動器23的解密了的明文數據,與現有裝置相比,能夠進一步減少通過系統總線16的數據量。圖9示出作為本發明的實施例3的安全部13的發送時動作。在該發送時動作中,安全部13若從安全驅動器23經由系統總線16接受加密指令以及發送數據,則將發送數據中的數據主體的明文數據加密,生成加密數據(步驟S41)。并且,將從安全驅動器23與加密指令一起接受的發送數據僅作成由以太網報頭、IP報頭以及IPsec報頭構成的報頭部,經由系統總線16將沒有加密數據的發送數據輸出到安全驅動器23 (步驟S42)。此外,安全部13將與該加密指令一起接受的發送數據的數據主體更換為加密數據(步驟S43),將更換后的發送數據(有加密數據的發送數據)經由內部總線17提供給加密數據處理部12 (步驟S44)。此外,安全驅動器23若從安全部13接受沒有加密數據的發送數據,則將為了加密而從OS部21接受的明文數據的原樣的發送數據返回給OS部21。OS部21根據明文數據的原樣的發送數據返回,判斷為制成了有加密數據的發送數據,將該明文數據的原樣的發送數據提供給發送接收驅動器22。之后的發送接收驅動器22、加密數據處理部12以及發送接收部11的各動作與實施例1的數據包的發送時的動作相同。這樣,在執行圖9的發送時動作的通信裝置中,在發送包含加密數據的數據包時,包含應該被加密的明文數據的發送數據從控制部14的安全驅動器23經由系統總線16被提供給安全部13,明文數據在安全部13中被作成加密數據,將該加密數據置換為明文數據的發送數據經由內部總線17被提供給加密數據處理部12。并且,為了將加密結束的情況通知給OS部21而將沒有加密數據的發送數據從安全部13經由系統總線16提供給安全驅動器23,此外,與發送命令一起僅將用于對應該被發送的加密數據進行特別指定的發送數據的報頭部從發送接收驅動器22經由系統總線16向加密數據處理部12提供。因此,在發送數據包時,通過系統總線16的數據主體僅是從安全驅動器23提供給安全部13的應該被加密的明文數據,與現有裝置相比,能夠使通過系統總線16的數據量進一步減少。此外,在上述的實施例中,說明了網路15是以太網的情況,但是,本發明也能夠應用于與以太網以外的網路連接的情況。在上述的實施例中,加密數據處理部12獨立于發送接收部11而形成,但是,也可以形成在發送接收部11內。并且,在上述的實施例中,與現有裝置相比,能夠使在發送數據包時通過系統總線的數據量以及在接收數據包時通過系統總線的數據量分別減少,但是,對于本發明來說,為了即使僅在發送數據包以及接收數據包的任意一種情況時使通過系統總線的數據量減少而應用也可以。附圖標記說明
1、11發送接收部
2、13安全部
3、14控制部
4、16系統總線
5、15網絡
12 加密數據處理部 17內部總線。
權利要求
1.一種通信裝置,具備發送接收部,在接收時,從網絡接收數據包,根據所述數據包生成包含報頭部和數據主體的接收數據,在發送時,將包含所述報頭部和所述數據主體的發送數據數據包化,發送到所述網絡;安全部,至少能夠進行由所述接收數據內的加密數據構成的所述數據主體的解密;控制部,經由系統總線分別與所述發送接收部以及所述安全部連接,其特征在于,包括加密數據處理部,與所述系統總線連接;第二總線,將所述加密數據處理部和所述安全部之間連接,所述加密數據處理部在所述接收時由所述發送接收部所生成的所述接收數據內的所述數據主體是加密數據時,經由所述第二總線將所述接收數據提供給所述安全部,并且,經由所述系統總線將所述接收數據提供給所述控制部,所述控制部在判別了從所述加密數據處理部提供的所述接收數據是包含加密數據的接收數據時,經由所述系統總線將解密指令與對所述數據主體的數據量進行了削減的所述接收數據一起提供給所述安全部,所述安全部根據所述解密指令對從所述加密數據處理部經由所述第二總線提供的所述接收數據內的所述數據主體的所述加密數據進行解密而作成明文數據,作為針對所述解密指令的響應,經由所述系統總線將所述明文數據提供給所述控制部。
2.如權利要求1所述的通信裝置,其特征在于,所述接收數據的所述報頭部包含表示所述接收數據的所述數據主體是否是加密數據的信息,所述控制部包括發送接收驅動器,能夠接受從所述加密數據處理部經由所述系統總線提供的所述接收數據;OS部,能夠根據所述接受的所述接收數據內的所述報頭部判別利用所述發送接收驅動器接受的所述接收數據是否包含加密數據;安全驅動器,在利用所述OS部判別為所述接收數據包含加密數據時,將所述解密指令與不包含所述數據主體的所述接收數據一起經由所述系統總線提供給所述安全部,作為針對所述解密指令的響應,從所述安全部經由所述系統總線接受所述明文數據。
3.如權利要求2所述的通信裝置,其特征在于,根據所述OS部具備的應用程序來執行所述發送接收驅動器以及所述安全驅動器的動作。
4.如權利要求2所述的通信裝置,其特征在于,所述加密數據處理部根據所述接收數據內的報頭部判別在所述接收時由所述發送接收部生成的所述接收數據內的所述數據主體是否是加密數據,在所述數據主體是加密數據時,將除去了所述數據主體的所述接收數據經由所述系統總線提供給所述發送接收驅動器。
5.如權利要求2所述的通信裝置,其特征在于,所述安全部對從所述安全驅動器與所述解密指令一起提供的所述接收數據內的所述報頭部和從所述加密數據處理部提供的所述接收數據內的所述報頭部進行對照,確認雙方的所述報頭部相同之后,進行所述加密數據向所述明文數據的解密。
6.一種通信裝置,具備發送接收部,在接收時,從網絡接收數據包,根據所述數據包生成包含報頭部和數據主體的接收數據,在發送時,對包含所述報頭部和所述數據主體的發送數據進行數據包化,發送到所述網絡;安全部,至少能夠進行由所述發送數據內的明文數據構成的所述數據主體的加密;控制部,經由系統總線分別與所述發送接收部以及所述安全部連接,其特征在于,包括加密數據處理部,與所述系統總線連接;第二總線,將所述加密數據處理部和所述安全部之間連接,所述控制部在所述發送時生成所述發送數據,將所述明文數據的加密指令與所述發送數據一起經由所述系統總線提供給所述安全部,所述安全部根據所述加密指令對從所述控制部提供的所述發送數據內的所述數據主體的所述明文數據進行加密而作成加密數據,在加密后,經由所述第二總線向所述加密數據處理部提供將所述加密數據作為所述數據主體的所述發送數據,作為針對所述加密指令的響應,將所述發送數據經由所述系統總線提供給所述控制部,所述控制部將根據針對所述加密指令的響應而減少了所述數據主體的數據量的所述發送數據與發送指令一起經由所述系統總線提供給所述加密數據處理部,所述加密數據處理部根據從所述控制部提供的削減了所述數據主體的數據量的所述發送數據與所述發送指令,將從所述安全部經由所述第二總線提供的所述發送數據提供給所述發送接收部以進行數據包發送。
7.如權利要求6所述的通信裝置,其特征在于,所述發送數據的所述報頭部包含表示所述發送數據的所述數據主體是否是加密數據的信息,所述控制部包括0S部,能夠根據所述發送數據內的所述報頭部判別所述發送數據是否包含應該被加密的明文數據;安全驅動器,在利用所述OS部判別為所述發送數據包含應該被加密的明文數據時,將所述加密指令與所述發送數據一起經由所述系統總線提供給所述安全部,作為針對所述加密指令的響應,從所述安全部經由所述系統總線接受所述加密數據并且將其提供給OS部;發送接收驅動器,能夠從所述OS部接受所述發送數據并且從所述發送數據中除去所述數據主體,將除去后的所述發送數據與所述發送指令一起經由所述系統總線提供給所述加密數據處理部。
8.如權利要求7所述的通信裝置,其特征在于,根據所述OS部具備的應用程序來執行所述發送接收驅動器以及所述安全驅動器的動作。
9.如權利要求7所述的通信裝置,其特征在于,作為針對所述加密指令的響應,所述安全部將除去了所述數據主體的所述發送數據經由所述系統總線提供給所述安全驅動器。
10.如權利要求7所述的通信裝置,其特征在于,所述加密數據處理部對從所述控制部與所述發送指令一起提供的除去了所述數據主體的所述發送數據的所述報頭部和從所述安全部經由所述第二總線提供的所述發送數據的所述報頭部進行對照,確認雙方的所述報頭部相同之后,將從所述安全部提供的所述發送數據提供給所述發送接收部以進行數據包發送。
全文摘要
本發明提供能夠謀求包含加密數據的數據包的通信的高速化的后備型的通信裝置、接收控制方法以及發送控制方法。在接收包含加密數據的數據包時,加密數據的接收數據從發送接收部提供給加密數據處理部并且經由第二總線被提供給安全部,加密數據在安全部中被作成明文數據,經由系統總線將該明文數據提供給控制部。此外,在發送包含加密數據的數據包時,在數據主體中包含應該被加密的明文數據的發送數據從控制部經由系統總線被提供給安全部,明文數據在安全部中被作成加密數據,具有將該加密數據置換為明文數據的數據主體的發送數據經由第二總線提供給加密數據處理部,進而利用發送接收部作為數據包進行發送。
文檔編號H04L29/06GK103036866SQ20121036738
公開日2013年4月10日 申請日期2012年9月28日 優先權日2011年9月30日
發明者清水崇弘 申請人:拉碧斯半導體株式會社