专利名称:通信装置、接收控制方法以及发送控制方法
技术领域:
本发明涉及对包含加密数据的数据包(packet)进行发送接收的通信装置、接收控制方法以及发送控制方法。
背景技术:
熟知如下情况在数据包通信中,为了防止数据的泄漏,在发送侧将数据包内的数据加密进行发送,在接收侧将该接收数据包的加密数据解密。作为在互联网的数据包通信中所使用的加密协议,有 IPsec (Security Architecture for Internet Protocol)。目前,作为利用了 IPsec的通信装置,一般是后备(Lookaside)型。如图1所示,后备型是如下结构发送接收部I和安全部2经由系统总线4连接到控制部3。在专利文献I以及2中示出了具有这样结构的现有装置。发送接收部I对网络5发送接收数据包,安全部2进行所发送的数据的加密以及所接收的加密数据的解密。控制部3分别控制发送接收部I以及安全部2。在发送数据包时将数据加密来发送的情况下,控制部3将应该被发送的数据经由系统总线4提供给安全部2,安全部2将所提供的数据加密,并且,经由系统总线4将该加密数据返回到控制部3。之后,控制部3经由系统总线4将包含加密数据以及报头(header)的发送数据提供给发送接收部I,发送接收部I将所提供的发送数据形成为数据包并向网络5内的发送目的地的地址发送。在接收数据包时将接收数据解密的情况下,经由系统总线4将由发送接收部I所接收的数据包内的接收数据提供给控制部3,如果接收数据是包含加密数据的数据,则控制部3将该加密数据经由系统总线4提供到安全部2。安全部2对所提供的加密数据进行解密,将该解密了的数据即明文数据经由系统总线4返回到控制部3。现 有技术文献 专利文献
专利文献1:日本特开2004-349775号公报;
专利文献2 :日本特开2007-135035号公报。但是,在现有的后备型的通信装置中,关于发送包含加密数据的数据包的情况以及接收包含加密数据的数据包的情况,需要分别利用控制部3与发送接收部I以及安全部2之间的系统总线4多次进行数据的交换,所以存在如下问题系统总线4的带宽限制通信装置的数据发送接收的处理量(处理能力),难以谋求包含加密数据的数据包的通信的高速化。
发明内容
因此,本发明是鉴于这一点而提出的,其目的在于提供能够谋求包含加密数据的数据包的通信的高速化的后备型的通信装置、接收控制方法以及发送控制方法。本发明提供一种通信装置,具备发送接收部,在接收时,从网络接收数据包,根据所述数据包生成包含报头部和数据主体的接收数据,在发送时,将包含所述报头部和所述数据主体的发送数据数据包化,发送到所述网络;安全部,至少能够进行由所述接收数据内的加密数据构成的所述数据主体的解密;控制部,经由系统总线分别与所述发送接收部以及所述安全部连接,其特征在于,包括加密数据处理部,与所述系统总线连接;第二总线,将所述加密数据处理部和所述安全部之间连接,所述加密数据处理部在所述接收时由所述发送接收部所生成的所述接收数据内的所述数据主体是加密数据时,经由所述第二总线将所述接收数据提供给所述安全部,并且,经由所述系统总线将所述接收数据提供给所述控制部,所述控制部在判别了从所述加密数据处理部提供的所述接收数据是包含加密数据的接收数据时,经由所述系统总线将解密指令与对所述数据主体的数据量进行了削减的所述接收数据一起提供给所述安全部,所述安全部根据所述解密指令对从所述加密数据处理部经由所述第二总线提供的所述接收数据内的所述数据主体的所述加密数据进行解密而作成明文数据,作为针对所述解密指令的响应,经由所述系统总线将所述明文数据提供给所述控制部。 本发明提供一种通信装置,具备发送接收部,在接收时,从网络接收数据包,根据所述数据包生成包含报头部和数据主体的接收数据,在发送时,对包含所述报头部和所述数据主体的发送数据进行数据包化,发送到所述网络;安全部,至少能够进行由所述发送数据内的明文数据构成的所述数据主体的加密;控制部,经由系统总线分别与所述发送接收部以及所述安全部连接,其特征在于,包括加密数据处理部,与所述系统总线连接;第二总线,将所述加密数据处理部和所述安全部之间连接,所述控制部在所述发送时生成所述发送数据,将所述明文数据的加密指令与所述发送数据一起经由所述系统总线提供给所述安全部,所述安全部根据所述加密指令对从所述控制部提供的所述发送数据内的所述数据主体的所述明文数据进行加密而作成加密数据,在加密后,经由所述第二总线向所述加密数据处理部提供将所述加密数据作为所述数据主体的所述发送数据,作为针对所述加密指令的响应,将所述发送数据经由所述系统总线提供给所述控制部,所述控制部将根据针对所述加密指令的响应而削减了所述数据主体的数据量的所述发送数据与发送指令一起经由所述系统总线提供给所述加密数据处理部,所述加密数据处理部根据从所述控制部提供的削减了所述数据主体的数据量的所述发送数据与所述发送指令,将从所述安全部经由所述第二总线提供的所述发送数据提供给所述发送接收部以进行数据包发送。本发明提供一种通信装置的接收控制方法,该通信装置具备发送接收部,在接收时,从网络接收数据包,根据所述数据包生成包含报头部和数据主体的接收数据,在发送时,将包含所述报头部和所述数据主体的发送数据数据包化,发送到所述网络;安全部,至少能够进行由所述接收数据内的加密数据构成的所述数据主体的解密;控制部,经由系统总线分别与所述发送接收部以及所述安全部连接;加密数据处理部,与所述系统总线连接;第二总线,将所述加密数据处理部和所述安全部之间连接,其特征在于,包括接收数据提供步骤,在所述接收时由所述发送接收部所生成的所述接收数据内的所述数据主体是加密数据时,从所述加密数据处理部经由所述第二总线将所述接收数据提供给所述安全部,并且,从所述加密数据处理部经由所述系统总线将所述接收数据提供给所述控制部;解密指令步骤,在判别了提供给所述控制部的所述接收数据是包含加密数据的接收数据时,从所述控制部经由所述系统总线将解密指令与对所述数据主体的数据量进行了削减的所述接收数据一起提供给所述安全部;解密步骤,根据所述解密指令对从所述加密数据处理部经由所述第二总线提供给所述安全部的所述接收数据内的所述数据主体的所述加密数据进行解密而作成明文数据,作为针对所述解密指令的响应,从所述安全部经由所述系统总线将所述明文数据提供给所述控制部。本发明提供一种通信装置的发送控制方法,该通信装置具备发送接收部,在接收时,从网络接收数据包,根据所述数据包生成包含报头部和数据主体的接收数据,在发送时,将包含所述报头部和所述数据主体的发送数据数据包化,发送到所述网络;安全部,至少能够进行由所述发送数据内的明文数据构成的所述数据主体的加密;控制部,经由系统总线分别与所述发送接收部以及所述安全部连接;加密数据处理部,与所述系统总线连接;第二总线,将所述加密数据处理部和所述安全部之间连接,其特征在于,包括加密指令步骤,在所述发送时,在所述控制部中生成所述发送数据,将所述明文数据的加密指令与所述发送数据一起经由所述系统总线提供给所述安全部;加密步骤,根据所述加密指令对从所述控制部提供给所述安全部的所述发送数据内的所述数据主体的所述明文数据进行加密而作成加密数据,在加密后,从所述安全部经由所述第二总线向加密数据处理部提供将所述加密数据作为所述数据主体的所述发送数据,作为针对所述加密指令的响应,将所述发送数据经由所述系统总线提供给所述控制部·;发送指令步骤,从所述控制部经由所述系统总线将根据针对所述加密指令的响应而削减了所述数据主体的数据量的所述发送数据与发送指令一起提供给所述加密数据处理部;发送数据提供步骤,根据从所述控制部提供给所述加密数据处理部的削减了所述数据主体的数据量的所述发送数据以及所述发送指令,将从所述安全部经由所述第二总线提供的所述发送数据从所述加密数据处理部提供给所述发送接收部以进行数据包发送。 根据本发明的通信装置以及接收控制方法,在接收包含加密数据的数据包时,加密数据的接收数据从发送接收部提供到加密数据处理部、并且经由第二总线被提供给安全部,加密数据在安全部中被作成明文数据,经由系统总线将该明文数据提供给控制部。此时,应该被解密的加密数据例如被除去而不从控制部经由系统总线向安全部提供,将用于对应该被解密的加密数据进行特别指定的接收数据的报头部与解密指令一起从控制部经由系统总线向安全部提供。因此,与现有装置相比,在接收数据包时,能够使通过系统总线的数据量减少,所以,能够提高数据接收的处理量,由此,能够谋求包含加密数据的数据包的接收的高速化。此外,根据本发明的通信装置以及发送控制方法,在发送包含加密数据的数据包时,在数据主体中包含应该被加密的明文数据的发送数据从控制部经由系统总线被提供给安全部,明文数据在安全部被作成加密数据,具有将该加密数据置换为明文数据的数据主体的发送数据经由第二总线被提供给加密数据处理部,进而,利用发送接收部作为数据包被发送。在该发送时,加密数据例如被除去而不从控制部经由系统总线向加密数据处理部提供,将用于对应该被发送的加密数据进行特别指定的发送数据的报头部与发送命令一起从控制部经由系统总线向加密数据处理部提供。因此,与现有装置相比,在发送数据包时,也能够减少通过系统总线的数据量,所以,能够提高数据发送的处理量,由此,能够谋求包含加密数据的数据包的发送的高速化。
图1是示出现有的后备型的通信装置的结构的框图。图2是示出作为本发明的实施例1的后备型的通信装置的结构的框图。图3是示出图2的通信装置发送接收的数据包的数据结构的图。图4是示出图2的通信装置的接收时的加密数据处理部的动作的流程图。图5是示出图2的通信装置的接收时的安全部的动作的流程图。图6是示出图2的通信装置的发送时的安全部的动作的流程图。图7是示出图2的通信装置的发送时的加密数据处理部的动作的流程图。图8是示出作为本发明的实施例2的图2的通信装置的接收时的加密数据处理部的动作的流程图。图9是示出作为本发明的实施例3的图2的通信装置的发送时的安全部的动作的流程图。
具体实施例方式以下,参照附图详细地对本发明的实施例进行说明。图2示出作为本发明的实施例1的后备型的通信装置。该通信装置具备发送接收部11、加密数据处理部12、安全部13以及控制部14。发送接收部11与以太网(Ethernet 注册商标)的网络15连接,加密数据处理部12、安全部13以及控制部14分别与系统总线16连接。系统总线16是例如PCI `Express BUS。此外,发送接收部11与加密数据处理部12连接,加密数据处理部12利用内部总线17 (第二总线)连接于安全部13。发送接收部11对网络15发送接收数据包,在接收数据包时,将数据包的接收数据提供给加密数据处理部12,在发送数据包时,将从加密数据处理部12提供的发送数据形成为数据包进行发送。为了作成能够在本通信装置内处理网络15上的数据的形式,发送接收部11基于接收数据包生成接收数据。加密数据处理部12连接于发送接收部11,在接收数据包时,判别接收数据是否包含加密数据,在其判别结果是明文数据(未加密的数据)的情况下,将接收数据经由系统总线16提供给控制部14。在判别结果是加密数据的情况下,经由系统总线16将数据包中的除了 FCS的部分提供给控制部14,并且,经由内部总线17提供给安全部13。此外,加密数据处理部12在数据包发送时判别从控制部14与发送指令一起提供的数据包是否是发送加密数据的数据包,在判别结果为明文数据的数据包的情况下,将该数据包原封不动地发送到发送接收部11。在判别结果为加密数据的数据包的情况下,该数据包在数据区域不包含加密数据,所以,将从安全部13经由内部总线17提供的加密了的数据插入到数据包中,将其提供给发送接收部11。在发送接收部11接收了包含加密数据的数据包时,将数据包从加密数据处理部12经由内部总线17提供给安全部13,此外,从控制部14经由系统总线16将在数据区域没有数据的数据包和解密指令一起提供提供给安全部13。安全部13根据解密指令对从加密数据处理部12提供的数据包中所包含的加密数据进行解密,将明文数据经由系统总线16提供给控制部14。此外,在包含加密数据的数据包的发送时,从控制部14经由系统总线16将包含应该被加密的明文数据的数据包和加密指令一起提供给安全部13。安全部13根据加密指令对所提供的明文数据进行加密,经由系统总线16将加密数据提供给控制部14。控制部14由CPU构成,如图2所示,包含OS (操作系统)部21、发送接收驱动器22以及安全驱动器23。OS (操作系统)部21根据未图示的应用程序使操作系统进行工作,产生各种指令,并且,将应该发送的数据提供给发送接收驱动器22以及安全驱动器23,此外,从发送接收驱动器22接受接收数据,从安全驱动器23接受加密数据或解密了的明文数据。发送接收驱动器22进行如下动作经由系统总线16将来自OS部21的针对发送接收部11或加密数据处理部12的指令以及发送数据提供给加密数据处理部12 ;经由系统总线16接受来自加密数据处理部12的接收数据。安全驱动器23进行如下动作经由系统总线16将来自OS部21的针对安全部13的指令以及发送数据提供给安全部13 ;经由系统总线16接受来自安全部13的加密数据或明文数据。发送接收驱动器22以及安全驱动器23通过上述的应用程序的执行而形成。关于在这样的通信装置中发送接收的数据包,在以太网中使用互联网协议的情况下,具有图3所示的数据结构。从数据包的前头开始依次是以太网报头、IP报头、IPsec报头、数据主体以及FCS。以太网报头包含发送目的地MAC地址、发送源MAC地址以及以太网类型。以太网类型表示在以太网中使用的协议的种类,以太网类型的号码为0X800或0X86DD时,表示协议为IP (互联网协议)。IP报头包括发送源IP地址、发送目的地IP地址以及协议类型。协议类型表示数据的加密协议的种类,协议类型的号码为50或51时,加密协议为IPsec。FCS是帧校验序列的略称,是用于调查发送接收的数据是否正确的校验和。此外,在本说明书中,各个发送数据以及接收数据称作由以太网报头、IP报头、IPsec报头以及数据主体(加密数据或明文 数据)构成的数据块(data block),数据包称作在以太网报头、IP报头、IPsec报头以及数据主体中包含FCS的数据块。此外,各个发送数据以及接收数据的报头部称作为以太网报头、IP报头以及IPsec报头。接着,对这样的通信装置的数据包发送接收时的处理动作进行说明。首先,在数据包的接收处理中,发送接收部11若从网络15接收数据包,则在内部存储器(未图示)中展开接收数据。加密数据处理部12若从发送接收部11接受表示数据包的接收的信号,则如图4所示,搜出内部存储器的接收数据中的以太网报头的以太网类型(步骤SI),判别以太网类型是否是IP (步骤S2)。如果是IP,则搜出IP报头的协议类型(步骤S3),判别协议类型是否是IPsec (步骤S4)。例如,在以太网报头为0X800时是IPv4,搜出存在于该IP报头的第十个八位字节(octet)的协议类型。此外,在以太网报头为0X86DD时是IPv6,搜出存在于该IP报头的第七个八位字节的协议类型。可知如果协议类型是例如50或51,则利用IPsec协议加密了的数据是数据主体。加密数据处理部12在协议类型是IPsec的情况下,读出内部存储器的接收数据,经由系统总线16将其提供给控制部14的发送接收驱动器22 (步骤S5),经由内部总线17将该读出的接收数据提供给安全部13 (步骤S6)。步骤S5以及S6相当于接收数据提供步骤。此外,加密数据处理部12在协议类型不是IPsec的情况下,读出内部存储器的接收数据,经由系统总线16将其提供给控制部14的发送接收驱动器22 (步骤S7)。对于发送接收驱动器22来说,若从加密数据处理部12经由系统总线16提供了接收数据,则将该接收数据交给OS部21。OS部21根据接收数据的协议类型判别为不是IPsec的情况下,由于接收数据的数据主体是明文数据,所以,接受该明文数据。另一方面,在根据接收数据的协议类型判别为是IPsec的情况下,由于接收数据的数据主体是加密数据,所以,将接收数据提供给安全驱动器23。安全驱动器23除去从OS部21接受的接收数据中的加密数据的数据主体,将由接收数据中的以太网报头、IP报头以及IPsec报头构成的报头部分与解密指令经由系统总线16提供给安全部13。该安全驱动器23的动作相当于解密指令步骤。此外,安全驱动器23不除去接收数据中的加密数据的数据主体而利用变换等的削减处理将该数据主体的数据量削减、并且将削减了数据主体的数据量的接收数据与解密指令一起经由系统总线16提供给安全部13也可以。若安全部13接受解密指令,则如图5所示那样,将从加密数据处理部12经由内部总线17提供的接收数据的报头部和利用解密指令所接受的报头部进行对照,判别是否相同(步骤S11),若确认相同,则对接收数据的数据主体的加密数据进行解密,生成明文数据(步骤S12)。并且,将该明文数据经由系统总线16向安全驱动器23输出(步骤S13)。该步骤S12以及S13相当于解密步骤。此外,若安全驱动器23从安全部13接受明文数据,则将为了解密而从OS部21接受的接收数据的数据主体更换为明文数据,将该更换后的接收数据返回到OS部21。由此,通信装置的接收处理结束。此外,安全部13对安全驱动器23也可以不是仅返回明文数据而是在将接收数据的数据主体更换为明文数据之后经由系统总线16将接收数据返回。接着,在数据包的发送处理中,若产生将明文数据加密并进行发送的情况,则OS部21制成在数据主体中包含该明文数据的发送数据,将该发送数据提供给安全驱动器23。安全驱动器23经由系统总线16将加密指令与从OS部21接受的发送数据一起提供给安全部13。该安全驱动器23的动作相当于加密指令步骤。
若安全部13接受加密指令以及发送数据,则如图6所示那样,对发送数据中的数据主体的明文数据进行加密,生成加密数据(步骤S15)。并且,经由系统总线16将该加密数据输出到安全驱动器23 (步骤S16)。此外,安全部13将从安全驱动器23与加密指令一起接受的发送数据的数据主体更换为加密数据(步骤S17),经由内部总线17将更换后的发送数据提供给加密数据处理部12 (步骤S18)。该步骤S15 S18相当于加密步骤。此外,安全驱动器23若从安全部13接受加密数据,则将为了加密而从OS部21接受的发送数据的数据主体更换为该加密数据,将该更换后的发送数据返回到OS部21。此夕卜,安全部13也可以经由系统总线16将更换为加密数据的发送数据返回到安全驱动器23。OS部21若接受数据主体变为加密数据的发送数据,则将该发送数据提供给发送接收驱动器22。发送接收驱动器22将发送数据中的加密数据的数据主体去掉,仅将由以太网报头、IP报头以及IPsec报头构成的报头部的发送数据和发送指令一起经由系统总线16提供给加密数据处理部12。该发送接收驱动器22的动作相当于发送指令步骤。此外,发送接收驱动器22不除去发送数据中的加密数据的数据主体而利用变换等的削减处理将数据主体的数据量削减且将对数据主体的数据量进行了削减的发送数据与发送指令一起经由系统总线16提供给加密数据处理部12也可以。加密数据处理部12若从发送接收驱动器22接受发送指令以及发送数据,则如图7所示那样,判别该发送数据的协议类型是否是IPsec(步骤S21)。若发送数据的协议类型是IPsec,则将从安全部13经由内部总线17所提供的发送数据的报头部和利用发送指令所接受的发送数据的报头部进行对照,判别是否相同(步骤S22)。若相同,则将从安全部13经由内部总线17所提供的发送数据提供给发送接收部11 (步骤S23)。若报头部互相不同,则发送数据不被提供到发送接收部11。步骤S22以及S23相当于发送数据提供步骤。对于加密数据处理部12来说,在步骤S21的判别中,如果发送数据的协议类型不是IPsec,则将该发送数据提供给发送接收部11 (步骤S24)。发送接收部11在从加密数据处理部12提供的发送数据中附加FCS,形成数据包,将该数据包向网络15送出。这样,在接收包含加密数据的数据包时,该加密数据的接收数据从发送接收部11提供给加密数据处理部12、并且经由内部总线17提供给安全部13,加密数据在安全部13中被作成明文数据,经由系统总线16将该明文数据提供给控制部14的安全驱动器23。此时,应该被解密的加密数据不从控制部14的安全驱动器23经由系统总线16向安全部13提供,仅将用于对应该被解密的加密数据进行特别指定的接收数据的报头部与解密指令一起从控制部14的安全驱动器23经由系统总线16向安全部13提供。因此,与现有装置相t匕,在接收数据包时能够减少通过系统总线16的数据量。此外,在发送包含加密数据的数据包时,将包含应该被加密的明文数据的发送数据从控制部14的安全驱动器23经由系统总线16提供给安全部13,明文数据在安全部13中被作成加密数据,将该加密数据置换为明文数据的发送数据经由内部总线17被提供给加密数据处理部12,进而,利用发送接收部11作为数据包进行发送。在该发送时,不从控制部14的发送接收驱动器22经由系统总线16向加密数据处理部12提供加密数据,仅将用于对应该发送的加密数据进行特别指定的发送数据的报头部和发送命令一起从控制部14的发送接收驱动器22经由系统总线16向加密数据处理部12提供。因此,与现有装置相比,在发送数据包时也能够减少通过系统总线16的数据量。其结果是,由于发送接收数据包时通过系统总线16的数据量的减少,能够提高数据发送接收的处理量,由此,能够谋求包含加密数据的数据包的通信的高速化。图8示出作为本发明的实施例2的加密数据处理部12的接收时动作。在该接收时动作中,加密数据处理部12若从发送接收部11接受表示数据包的接收的信号,则搜出内部存储器的接收数据中的以太网报头的以太网类型(步骤S31),判别以太网类型是否是IP(步骤S32)。如果是IP,则搜出IP报头的协议类型(步骤S33),判别协议类型是否是IPsec(步骤S34)。步骤S31 S34与上述的步骤SI S4相同。加密数据处理部12在协议类型是IPsec的情况下读出内部存储器的接收数据,将该读出的接收数据中的加密数据的数据主体去掉,经由系统总线16仅将由以太网报头、IP报头以及IPsec报头构成的报头部的接收数据(没有加密数据的接收数据)提供给发送接收驱动器22 (步骤S35)。此外,经由内部总线17将所读出的接收数据(有加密数据的接收数据)提供给安全部13 (步骤S36)。此外,加密数据处理部12在协议类型不是IPsec的情况下读出内部存储器的接收数据并且将其经由系统总线16提供给控制部14的发送接收驱动器22 (步骤S37) 。对于发送接收驱动器22来说,在接受利用步骤S35的动作从加密数据处理部12发送的没有加密数据的接收数据的情况下,也与接受利用上述的步骤S5的动作从加密数据处理部12发送的有加密数据的接收数据的情况同样地进行动作,将该接收数据交给OS部21。这样,在执行图8的接收时动作的通信装置中,在接收包含加密数据的数据包时,该加密数据的接收数据从发送接收部11被提供给加密数据处理部12、并且经由内部总线17被提供给安全部13,加密数据在安全部13中被作成明文数据,该明文数据经由系统总线16被提供给控制部14的安全驱动器23,另一方面,从加密数据处理部12经由系统总线16向控制部14的发送接收驱动器22不提供加密数据而是仅提供用于对所接收的加密数据进行特别指定的接收数据的报头部。因此,从控制部14的安全驱动器23经由系统总线16向安全部13仅提供该报头部。因此,在接收数据包时,通过系统总线16的数据主体仅是从安全部13提供给安全驱动器23的解密了的明文数据,与现有装置相比,能够进一步减少通过系统总线16的数据量。图9示出作为本发明的实施例3的安全部13的发送时动作。在该发送时动作中,安全部13若从安全驱动器23经由系统总线16接受加密指令以及发送数据,则将发送数据中的数据主体的明文数据加密,生成加密数据(步骤S41)。并且,将从安全驱动器23与加密指令一起接受的发送数据仅作成由以太网报头、IP报头以及IPsec报头构成的报头部,经由系统总线16将没有加密数据的发送数据输出到安全驱动器23 (步骤S42)。此外,安全部13将与该加密指令一起接受的发送数据的数据主体更换为加密数据(步骤S43),将更换后的发送数据(有加密数据的发送数据)经由内部总线17提供给加密数据处理部12 (步骤S44)。此外,安全驱动器23若从安全部13接受没有加密数据的发送数据,则将为了加密而从OS部21接受的明文数据的原样的发送数据返回给OS部21。OS部21根据明文数据的原样的发送数据返回,判断为制成了有加密数据的发送数据,将该明文数据的原样的发送数据提供给发送接收驱动器22。之后的发送接收驱动器22、加密数据处理部12以及发送接收部11的各动作与实施例1的数据包的发送时的动作相同。这样,在执行图9的发送时动作的通信装置中,在发送包含加密数据的数据包时,包含应该被加密的明文数据的发送数据从控制部14的安全驱动器23经由系统总线16被提供给安全部13,明文数据在安全部13中被作成加密数据,将该加密数据置换为明文数据的发送数据经由内部总线17被提供给加密数据处理部12。并且,为了将加密结束的情况通知给OS部21而将没有加密数据的发送数据从安全部13经由系统总线16提供给安全驱动器23,此外,与发送命令一起仅将用于对应该被发送的加密数据进行特别指定的发送数据的报头部从发送接收驱动器22经由系统总线16向加密数据处理部12提供。因此,在发送数据包时,通过系统总线16的数据主体仅是从安全驱动器23提供给安全部13的应该被加密的明文数据,与现有装置相比,能够使通过系统总线16的数据量进一步减少。此外,在上述的实施例中,说明了网路15是以太网的情况,但是,本发明也能够应用于与以太网以外的网路连接的情况。在上述的实施例中,加密数据处理部12独立于发送接收部11而形成,但是,也可以形成在发送接收部11内。并且,在上述的实施例中,与现有装置相比,能够使在发送数据包时通过系统总线的数据量以及在接收数据包时通过系统总线的数据量分别减少,但是,对于本发明来说,为了即使仅在发送数据包以及接收数据包的任意一种情况时使通过系统总线的数据量减少而应用也可以。附图标记说明
1、11发送接收部
2、13安全部
3、14控制部
4、16系统总线
5、15网络
12 加密数据处理部 17内部总线。
权利要求
1.一种通信装置,具备发送接收部,在接收时,从网络接收数据包,根据所述数据包生成包含报头部和数据主体的接收数据,在发送时,将包含所述报头部和所述数据主体的发送数据数据包化,发送到所述网络;安全部,至少能够进行由所述接收数据内的加密数据构成的所述数据主体的解密;控制部,经由系统总线分别与所述发送接收部以及所述安全部连接,其特征在于,包括加密数据处理部,与所述系统总线连接;第二总线,将所述加密数据处理部和所述安全部之间连接,所述加密数据处理部在所述接收时由所述发送接收部所生成的所述接收数据内的所述数据主体是加密数据时,经由所述第二总线将所述接收数据提供给所述安全部,并且,经由所述系统总线将所述接收数据提供给所述控制部,所述控制部在判别了从所述加密数据处理部提供的所述接收数据是包含加密数据的接收数据时,经由所述系统总线将解密指令与对所述数据主体的数据量进行了削减的所述接收数据一起提供给所述安全部,所述安全部根据所述解密指令对从所述加密数据处理部经由所述第二总线提供的所述接收数据内的所述数据主体的所述加密数据进行解密而作成明文数据,作为针对所述解密指令的响应,经由所述系统总线将所述明文数据提供给所述控制部。
2.如权利要求1所述的通信装置,其特征在于,所述接收数据的所述报头部包含表示所述接收数据的所述数据主体是否是加密数据的信息,所述控制部包括发送接收驱动器,能够接受从所述加密数据处理部经由所述系统总线提供的所述接收数据;OS部,能够根据所述接受的所述接收数据内的所述报头部判别利用所述发送接收驱动器接受的所述接收数据是否包含加密数据;安全驱动器,在利用所述OS部判别为所述接收数据包含加密数据时,将所述解密指令与不包含所述数据主体的所述接收数据一起经由所述系统总线提供给所述安全部,作为针对所述解密指令的响应,从所述安全部经由所述系统总线接受所述明文数据。
3.如权利要求2所述的通信装置,其特征在于,根据所述OS部具备的应用程序来执行所述发送接收驱动器以及所述安全驱动器的动作。
4.如权利要求2所述的通信装置,其特征在于,所述加密数据处理部根据所述接收数据内的报头部判别在所述接收时由所述发送接收部生成的所述接收数据内的所述数据主体是否是加密数据,在所述数据主体是加密数据时,将除去了所述数据主体的所述接收数据经由所述系统总线提供给所述发送接收驱动器。
5.如权利要求2所述的通信装置,其特征在于,所述安全部对从所述安全驱动器与所述解密指令一起提供的所述接收数据内的所述报头部和从所述加密数据处理部提供的所述接收数据内的所述报头部进行对照,确认双方的所述报头部相同之后,进行所述加密数据向所述明文数据的解密。
6.一种通信装置,具备发送接收部,在接收时,从网络接收数据包,根据所述数据包生成包含报头部和数据主体的接收数据,在发送时,对包含所述报头部和所述数据主体的发送数据进行数据包化,发送到所述网络;安全部,至少能够进行由所述发送数据内的明文数据构成的所述数据主体的加密;控制部,经由系统总线分别与所述发送接收部以及所述安全部连接,其特征在于,包括加密数据处理部,与所述系统总线连接;第二总线,将所述加密数据处理部和所述安全部之间连接,所述控制部在所述发送时生成所述发送数据,将所述明文数据的加密指令与所述发送数据一起经由所述系统总线提供给所述安全部,所述安全部根据所述加密指令对从所述控制部提供的所述发送数据内的所述数据主体的所述明文数据进行加密而作成加密数据,在加密后,经由所述第二总线向所述加密数据处理部提供将所述加密数据作为所述数据主体的所述发送数据,作为针对所述加密指令的响应,将所述发送数据经由所述系统总线提供给所述控制部,所述控制部将根据针对所述加密指令的响应而减少了所述数据主体的数据量的所述发送数据与发送指令一起经由所述系统总线提供给所述加密数据处理部,所述加密数据处理部根据从所述控制部提供的削减了所述数据主体的数据量的所述发送数据与所述发送指令,将从所述安全部经由所述第二总线提供的所述发送数据提供给所述发送接收部以进行数据包发送。
7.如权利要求6所述的通信装置,其特征在于,所述发送数据的所述报头部包含表示所述发送数据的所述数据主体是否是加密数据的信息,所述控制部包括0S部,能够根据所述发送数据内的所述报头部判别所述发送数据是否包含应该被加密的明文数据;安全驱动器,在利用所述OS部判别为所述发送数据包含应该被加密的明文数据时,将所述加密指令与所述发送数据一起经由所述系统总线提供给所述安全部,作为针对所述加密指令的响应,从所述安全部经由所述系统总线接受所述加密数据并且将其提供给OS部;发送接收驱动器,能够从所述OS部接受所述发送数据并且从所述发送数据中除去所述数据主体,将除去后的所述发送数据与所述发送指令一起经由所述系统总线提供给所述加密数据处理部。
8.如权利要求7所述的通信装置,其特征在于,根据所述OS部具备的应用程序来执行所述发送接收驱动器以及所述安全驱动器的动作。
9.如权利要求7所述的通信装置,其特征在于,作为针对所述加密指令的响应,所述安全部将除去了所述数据主体的所述发送数据经由所述系统总线提供给所述安全驱动器。
10.如权利要求7所述的通信装置,其特征在于,所述加密数据处理部对从所述控制部与所述发送指令一起提供的除去了所述数据主体的所述发送数据的所述报头部和从所述安全部经由所述第二总线提供的所述发送数据的所述报头部进行对照,确认双方的所述报头部相同之后,将从所述安全部提供的所述发送数据提供给所述发送接收部以进行数据包发送。
全文摘要
本发明提供能够谋求包含加密数据的数据包的通信的高速化的后备型的通信装置、接收控制方法以及发送控制方法。在接收包含加密数据的数据包时,加密数据的接收数据从发送接收部提供给加密数据处理部并且经由第二总线被提供给安全部,加密数据在安全部中被作成明文数据,经由系统总线将该明文数据提供给控制部。此外,在发送包含加密数据的数据包时,在数据主体中包含应该被加密的明文数据的发送数据从控制部经由系统总线被提供给安全部,明文数据在安全部中被作成加密数据,具有将该加密数据置换为明文数据的数据主体的发送数据经由第二总线提供给加密数据处理部,进而利用发送接收部作为数据包进行发送。
文档编号H04L29/06GK103036866SQ20121036738
公开日2013年4月10日 申请日期2012年9月28日 优先权日2011年9月30日
发明者清水崇弘 申请人:拉碧斯半导体株式会社