[go: up one dir, main page]

JP4724636B2 - プロトコル処理システム及びプロトコル処理方法 - Google Patents

プロトコル処理システム及びプロトコル処理方法 Download PDF

Info

Publication number
JP4724636B2
JP4724636B2 JP2006275662A JP2006275662A JP4724636B2 JP 4724636 B2 JP4724636 B2 JP 4724636B2 JP 2006275662 A JP2006275662 A JP 2006275662A JP 2006275662 A JP2006275662 A JP 2006275662A JP 4724636 B2 JP4724636 B2 JP 4724636B2
Authority
JP
Japan
Prior art keywords
protocol
packet
header
destination
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006275662A
Other languages
English (en)
Other versions
JP2008098782A (ja
Inventor
和彦 森村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2006275662A priority Critical patent/JP4724636B2/ja
Publication of JP2008098782A publication Critical patent/JP2008098782A/ja
Application granted granted Critical
Publication of JP4724636B2 publication Critical patent/JP4724636B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Communication Control (AREA)

Description

本発明は、IETFのRFC791に基づくIPv4又はRFC2460に基づくIPv6プロトコル処理におけるトンネリングプロトコルにおけるカプセリング及びデカプセリングに好適なプロトコル処理システム及びプロトコル処理方法等に関する。
複数の拠点間を接続するネットワークを構築する場合、近年までは第一種電気通信業者が提供する専用線(Private Network)を拠点間毎に契約して網を構築することが一般的であった。
しかし、インターネットの普及に伴いインターネット網における通信コストが劇的に低下したことにより、専用線サービスがインターネット網の通信コストに対して割高となった。そこで、インターネット網を利用して専用線の代替とするVPN(Virtual Private Network)技術が登場した。従来の専用線に対して帯域の保証はされないが、通信コストを効果的に削減できる技術として注目されている。
一方、通信サービスを受ける側としても、多くの場合、それぞれのメインフレームに依存した通信プロトコルが使用されていない。パーソナルコンピュータ(PC)等の多くのコンピュータで使用されているTCP(UDP)/IPが使用される場合、即ちIP網を使用する場合が多い。
これら複数のコンピュータを複数の拠点間に接続する場合、そのままインターネット網に接続してもネットワークが成立するが、多くの企業情報が流れることを考慮すると、少なくともペイロードを暗号化する必要が生じてくる。また、企業ネットワークとして網を構築する場合は拠点間であれ、インターネット網に依存した構造を持たせることは、設計上の制約となるので好ましくない。
そこで、企業内で利用しているIP網を暗号化した上でさらにIPでカプセリングすることで、インターネット網を使用しているにもかかわらず専用IP網のように使用するVPN、即ちIP−VPNが使用される。IPsec−VPNを用いたネットワークの構成例を図12に示す。
図12では拠点Client1〜5及び拠点Server1〜2がIP−VPN Gatewayを介してインターネットに接続されている。また、インターネットに接続したリモート端末経由のアクセスや、VPN Client端末からInternet Serverへのアクセス等があることを示している。図12においてインターネットに直接接続している機器、即ちInternet Server、Remote Terminal、IP−VPN Gateway1〜4にはインターネットのグローバルIPアドレスが割り当てられている。これらの機器間の通信にはこのグローバルIPアドレスが使用されている。また、VPN−Gatewayを介して接続しているVPN−Server1〜2、VPN−Client1〜5は同一のIPサブネットが割り当てられており、VPNを構成することが可能である。更に、VPN−Gateway2はProxyServerも兼ねておりVPNを構成している機器のインターネットへのアクセスを制御している。
このような構成に於いて、IP−VPN Gateway1〜4は相互にIPSecTunnelingプロトコルを用い通信しているが、VPN−Client1〜5は特にIPSecの存在を意識することなくVPN機器間の通信を行うことができる。
ここで、IP−VPN Gateway2からIP−VPN Gateway3へのVPN−Tunnel1を経由した通信について詳細を述べる。VPN−Tunnel1のケースではVPN−Client2→IP−VPN Gateway2→インターネット→IP−VPN Gateway→VPN Client3の経路でアクセスしている。
VPN−Tunnel1の場合のアクセス経路中のパケットフォーマットを図13に示す。VPN−Client2→VPN−Gateway2間のアクセスに於いてはIPヘッダとペイロードから構成される(L2のEtherヘッダは省略。以下同じ)最も単純なIPフォーマットで通信が行われている。ここで付与されるIP Header1のIPアドレスにはIP−VPN Gateway2内部のローカルなIPアドレスが割り当てられる。最も単純なIPトンネリングプロトコルの場合、最初に割り当てられたIP Header1の外側にインターネットで使用されるIPアドレスが割り当てられたIP Header2を更に付与することで実現される。
この場合、インターネット上での経路上においてIP Header1やPayloadの詳細を観察することが可能で、しかも経路上で偽のパケットで通信を試みることも容易である。そこで、盗聴を防ぐ意味で暗号技術が、偽造を防ぐ意味で認証技術が用いられる。IPSecを処理するIP−VPN Gatewayではどの宛先のIPパケットにどのような暗号−認証アルゴリズムを適用するかが定義されている。認証+暗号を用いるトンネリングモードのIPSecヘッダフォーマットを図13に示す。元のIPヘッダとペイロードはESP Trailerと併せて暗号化されるため、復号鍵がない限りインターネット上では元のIPパケットを類推することが困難となる。また、新たに作成されたIPヘッダとAHヘッダ、ESPヘッダが認証されるために、インターネット上でのパケットの改竄が困難となる。
このように、インターネット上でのパケットの安全性を高めた上でIP−VPN Gateway間の通信が行われるため、高度な攻撃が行われたとしても、その攻撃に見合った暗号−認証アルゴリズムを用いることで専用線と同等の安全性が提供できる。
パケット受信側のIP−VPN Gateway3では、IP−VPN Gateway2で付与されたIPヘッダ、AH、ESPヘッダ及びESP Trailer、認証データが取り除かれる。そして、元のIPヘッダとペイロードが復号された上でVPN−Client3に渡される。
このように通信することでVPN−Client2とVPN−Client3間におけるIP通信はIP−VPN Gatewayやインターネットの存在を意識することが無く同じサブネット上のコンピュータとして扱うことが可能となる。
このようなアクセスはServer−Client間も同様でVPN−Tunnel2に於けるVPN−Client5→VPN−Server1のVPN−Gatewayも同様の働きをする。
しかし、インターネット上の端末であるRemoteClientからVPN内にアクセスするためにはRemoteClient側にVPN−Gatewayと同等の動作を行わせる必要がある。そのため、このような端末ではVPN内のネットワーク情報とインターネット上でのネットワーク情報の2つの情報を管理し、それぞれのIPヘッダを作成してカプセリングする必要がある。
また、RFC2661ではデータリンク層に於けるTunnelingプロトコルとしてL2TPが提案されている。このプロトコルはPPTPプロトコルとL2Fプロトコルを基にしてIETFが統合・策定したプロトコルでInternetへのアクセスに対してIPアドレスの割り当てやユーザの認証を行いVPNを構築するためのプロトコルである。L2TPでは送信しようとする基のIPデータグラムの前にPPP(Point to Point Protocol)ヘッダが付与される。このPPPは元となるIPデータグラムのカプセリング、リンク制御(LCP:Link Control Protocol)、ネットワーク制御(NCP:Network Control Protocols)から構成されている。リンク制御には、データリンク層接続の確立、設定、検査等が含まれ、ネットワーク制御には、ネットワーク層プロトコル接続の確立や設定等が含まれる。更に、PPPヘッダの前にはL2TPヘッダが付与される。L2TPヘッダはセッションID、トンネルID、送受信シーケンス番号などが記述されており、複数のVPN経路を持つことが可能となっている。最後に元の送信フレームとPPPヘッダ、L2TPヘッダをUDP(Port:1701)でカプセリングしてトンネリング用のIPヘッダをつける。
このようにしてユーザ認証と組み合わせることによってリモートクライアントからのアクセスに対してもVPNを提供することが可能となる。
L2TPとしては暗号化機能が提供されていないため、通常はL2TPにIPSecのトランスポートモードを用いることによってトンネルの秘匿性を確保する。L2TPで用いられるフォーマットを図14に示す。
以上のようなトンネリングプロトコルを典型的な従来に於けるプロトコル処理システム(図15)で実現するためには一番外側のTCP(UDP)/IPヘッダの作成は可能である。しかし、トンネリングされたプロトコルのハードウェア化は困難である。また、プロトコルプロセッサをシーケンシャルに接続してトンネリングプロトコルに対応することは可能ではあるがプロトコルフォーマットを動的に変えることは難しく、柔軟性に欠けるシステムといえる。
図16にIPSecトンネリングプロトコルに対応したプロトコル処理システムの例を示す。ここではTCP(UDP)/IPプロトコルプロセッサとMAC装置の間にIP/IPSecプロトコルプロセッサを挿入し、IPSecのトンネリングプロトコルを実現している。
特開2004−15504号公報
上記従来例に見られるプロトコル処理システムまたは方法では以下のような問題点がある。即ち、IPSec トンネリングモードやL2TPでは、プロトコルのトンネリング又はカプセリングのためにIP層等、同じレイヤが多重化される場合、これらの様々なプロトコルフォーマットに対応するハードウェアを構成することが困難である。つまり、このような構成をしようとすると、ハード規模が増大し、柔軟性に乏しいシステムになってしまう。
本発明は上記問題点を解決するためになされたもので、TCP(UDP)/IPプロトコルの生成および解析を行うTCP(UDP)/IP プロトコルプロセッサと、プロトコルプロセッサが作成したパケットを一時的に保持し、保持したパケットを予め指示された宛先デバイスへ転送することが出来る通信バッファと、前記予め指示された宛先デバイスに対応したプロトコル情報を格納した複数のプロトコルデータベースと、リンク層の処理を行うMAC装置と、ペイロードやヘッダ情報の伝送を行うDMA制御装置と、上位アプリケーションやプロトコル制御プログラムを実行させるためのCPUと、前記CPUのプログラムの実体や、パケット情報を格納するためのシステムメモリから構成されるプロトコル処理システムであって、前記プロトコルプロセッサに各レイヤのヘッダ作成指示を与える際に作成済みパケットの宛先指示を与えることによって、プロトコルプロセッサは宛先に応じたプロトルコデータベースへの検索を行ってヘッダを作成すると共に、作成終了したパケット情報を宛先指示に基づきMAC出力するか、又はシステムメモリ中の任意のアドレスへ書き戻すことを特徴とするプロトコル処理システム等、を提供する。
本発明によれば、プロトコル処理システムに於いてメディアに出力する前段に通信バッファを設け、通信バッファから他の装置への出力手段、他の装置からの入力手段を設けることでIPトンネリングプロトコルに柔軟に対応することが可能となる。
このことからIPSecにおけるトランスポートモードなどにおけるプロトコルフォーマットなど様々なトンネリングプロトコルの処理が可能となる。
以下、添付図面を参照して、本発明の実施形態について詳細に説明する。
(第1の実施形態)
先ず、本発明の第1の実施形態について説明する。図1は本発明の概念に基づく一実施形態を示すプロトコル処理システムを含むプロトコル処理装置送受信部の構成例を示したものである。
図1において、101はTCP(UDP)/IPのプロトコルプロセッサである。102は101で作成したパケットを位置に保存し、任意の宛先へ送信することができ、又はMACが受信したパケットを一次保存し、101のプロトコルプロセッサに伝送するための通信バッファである。103はパケットの送信元、宛先もしくはレイヤに応じたプロトコルのための各種データベース、104はリンク層の処理を行うMAC装置、105はヘッダやペイロードの転送を行うためのDMAC装置である。106は上位層のアプリケーションプログラムの実行や各層のプロトコル制御を行うためのCPUである。107は前記CPUのアプリケーションの実体やプロトコル制御プログラムが格納されるシステムメモリ、108は各種デバイスが相互に接続されるための共有バスである。
図3は本発明の請求項1の概念に基づく一実施形態を示すプロトコル処理システムに用いられる送信パケットディスクリプタである。送信パケットディスクリプタはシステムメモリ内に蓄積されているパケットの一部、又は全部を構成するものを示すもので、データの先頭アドレス、データ長、送信先、送信パケットディスクリプタの連結情報等から構成される。
プロトコル処理システムにおける解析情報やパケット情報等が格納されるもので、格納先の先頭アドレス、データ長の他、使用プロトコル等から構成される。
さて、上記プロトコル処理システムにおいてペイロードを送信、受信する場合についてそれぞれ説明する。先ず、送信したいペイロードがシステムメモリ上に存在したとする。
図4に示すようにシステムメモリ上に送信したいペイロード(payload1、payload2、payload3)が夫々Address A、Address B、Address Cを先頭とするアドレスに断片化して配置されていたとする。この条件下で、これらのペイロードをひとまとめにしてパケットとして送信する場合、送信パケットディスクリプタにそれぞれの断片領域の送信アドレス、データ長、宛先、リンク情報を一連の送信パケットディスクリプタとして記述する。
送信アドレスフィールドにはシステムメモリが管理しているアドレス情報が、断片化されたパケットの先頭アドレスが記述される。続いてその先頭アドレスからの長さがデータ長フィールドに、宛先フィールドにはプロトコルプロセッサで生成したパケットが通信バッファを経て送られるデバイス名を記述する。
リンク情報にはそのディスクリプタに続くディスクリプタが存在する場合には“Next”、存在しない場合には“End”を記述する。即ち、先頭又は“End”が記述された次のディスクリプタから、次の“End”が記述されたディスクリプタまでがひとつのパケットを構成する送信パケットディスクリプタとなる。
メモリマップと、送信されるパケット、送信パケットディスクリプタテーブルの対応を図5に示す。
パケットとして構成するために先頭のディスクリプタにはヘッダ領域を記述する。但し、101プロトコルプロセッサで全てのヘッダを作成する場合にはヘッダ領域は省略される場合がある。続いて、送信されるパケットのペイロードが分割して記述する。分割されていない場合はひとつのディスクリプタを記述するのみで充分である。このようにして送信パケットディスクリプタテーブルを106CPUが読み取り、それぞれのディスクリプタに対して107システムメモリから101プロトコルプロセッサにDMAを行うように105DMACを106CPUが制御する。
その際、システムメモリ上のヘッダ又はペイロードと共に、ディスクリプタの構成要件である宛先フィールドも併せてプロトコルプロセッサ101に送信する。リンク情報“End”のディスクリプタまで送信が終了すると、プロトコルプロセッサ101は宛先に合わせたプロトコルデータベース103を参照しながらヘッダを作成してゆく。ヘッダの作成が終了すると、通信バッファ102にパケットとして送信し、予め決められた宛先へ送信する。図1に示した例では、リンク層制御装置であるMAC104又はシステムメモリ上の領域へと転送される。
この最初にプロトコルプロセッサを経由したパケットは図6に示すように一連のIP Header−TCP(UDP)Header及びpayloadから構成される単純なIP Packetである。
続いてカプセリングプロトコルを適用する場合の送信パケットディスクリプタの記述方式について説明する。IPカプセリングプロトコルを適用したパケットを作成するためのメモリマップ、パケットフォーマットおよび送信パケットディスクリプタテーブルに付いて説明した図7を示す。この例ではすでにHeadedとpayloadからなるパケットがメモリマップ上にイメージされている。4行目までの送信パケットディスクリプタテーブルから分かるように、図5で示したパケット作成事例では4行目までの宛先がMACになっているが、図7の例ではAdrs Eとなっている。
図7のディスクリプタの4行目までの実行が終了すると、同図のメモリマップで示したAddress E上にプロトコルプロセッサで作成されたHeaderとPayload1〜3から構成されるIP Packetが転送される。次にディスクリプタの5行目と6行目で新たなHeader’とpayloadとしてパケットの作成対象としている。
これらを再度、プロトコルプロセッサ101に転送し、通信バッファ上に展開されたパケットフォーマットが図8に示すカプセリングパケットフォーマットとなる。このようにして送信パケットディスクリプタの記述のみでカプセリングの有無などのパケットフォーマットが定義することが可能である。
次に受信時の振る舞いについて詳細に記述する。PHY(不図示)がメディアからパケットを受信すると、MAC104に転送され、リンク層に於ける処理を行った後に通信バッファ102に転送される。通信バッファ102では受信したパケット情報と受信元のデバイス情報と共にプロトコルプロセッサ101に転送される。プロトコルプロセッサ101では受信元のデバイス情報があるためにメディアからのパケットであるということが認識されるために、それに適合したプロトコルデータベース103を参照することができる。プロトコルの解析が終了すると、プロトコルプロセッサ101はCPU106に対して割り込みをかけて通知するか、又はCPU106からの問い合わせに対して受信パケットが到着したことを通知する。CPU106は、通知を受けると、プロトコルプロセッサ101に到着したパケット長やプロトコル情報を受け取り、受信パケットディスクリプタに記述する。
受信パケットディスクリプタテーブルの例を図9に示す。受信パケットディスクリプタは受信したパケット毎に処理が実行するためにひとつの受信パケットでひとつの受信パケットディスクリプタで記述される。図9の受信パケットディスクリプタの例ではテーブルの1行目ではカプセリングされていないためにMACから受信されたパケットはプロトコルプロセッサ101の解析結果と共に上位層に渡される。
しかしながら、2行目のディスクリプタで記述された受信パケットは最初に解析されて抽出されたHeaderを取り除いた上で、再度、プロトコルプロセッサ101で解析するために、通信バッファ102へ転送される。その際に送信元はAddress Hから最初の解析で抽出されたHeaderを取り除いたAddress H'として受信元が設定されて通信バッファに転送される。
再びプロトコルプロセッサ101にかけられたペイロードは受信元がMACではなく、Address H’であることから、異なるプロトコルデータベースが選択され、そのデータベースに基づいた処理が行われる。このようにしてカプセリングされた受信パケットに於いても柔軟な解析が可能となる。
(第2の実施形態)
第1の実施形態では単純なカプセリングプロトコルについて説明を行ったが、実際にカプセリングプロトコルが使用されるVPN等のケースにおいては、従来例で説明したようにIPSec等のセキュリティプロトコルが適用される場合が多い。
これは、カプセリングされたパケットはインターネット等の公衆ネットワークを使用して伝送するためである。つまり、ネットワーク上に悪意又は偶然によりカプセリングされたパケットを送受信する可能性が否定できないため、パケットを暗号化又は認証することで通信を確実なものとする。
図2にTCP(UDP)/IPプロトコルプロセッサとは別にIPSecプロトコルプロセッサを接続したブロック図を示す。図2の構成では第1の実施形態におけるブロック図から、更にIPSecプロトコルプロセッサ209を通信バッファと共有バスの間に接続している。IPSecプロトコルプロセッサ209はSecurity Policy DataBase210を送信相手毎に複数持ち、それぞれに合わせた暗号方式、認証方式をとることができる。
IPSecでは、AH(Authentication Header)ヘッダとESP(Encrypt Security Payload)ヘッダという2種類のヘッダがIPパケットに追加される。この2種類のヘッダの適用方法により、IPSec(AH)、IPSec(ESP)、IPSec(AH+ESP)の3つの動作モードが存在し、それぞれにトランスポートモードとトンネリングモードが存在する。AHヘッダは認証ヘッダともよばれ、IPパケット全体にわたってパケットの確実性を保証する。ESPヘッダはペイロードの暗号化の他に認証の機能も持っており、暗号化と同時にESPヘッダ以降の認証が可能である。
ESP認証を行った場合は認証データとしてパケット末尾にESP Authentication Dataを付加する。AH+ESPで認証+暗号化する場合はESPの認証機能を使用しないのでパケット末尾の認証データ:Authentication Dataは付加しない。IPSec(ESP)ではペイロード以降の暗号化及び認証であるために、TCP(UDP)/IPプロトコルプロセッサに処理をかける以前にペイロードの暗号、認証処理を行うため、本実施例における処理フローとは直接に関与しないため省略する。
次に、図2のプロトコル処理システムに於いてIPSecパケットの送信までの手順について説明する。
先ず、IPSecにおけるトランスポートモードに於けるAHヘッダを作成する場合の送信パケットディスクリプタの例を図10に示す。内容的には第一の実施の形態で述べた図5の例とほぼ同一であるが、生成パケットの宛先がIPSec(AH)となっている。この場合、一旦作成したIPパケットは全てIPSecプロトコルプロセッサ209に転送され、AHヘッダが作成される。既に元となるIPパケットは通信バッファ202に蓄積されているのでIPSecプロトコルプロセッサ209からAHヘッダを通信バッファ202に転送することでトランスポートモードにおけるIPSec(AH)パケットの送出ができる。
トンネリングモード(AH)の場合はIPトンネリングの動作に先のIPSec(AH)の作成手順を重ねるだけである。このため、図11に示した送信パケットディスクリプタのように、先ず、1〜4行目まででトンネリングプロトコルを実行するディスクリプタを記述する。次に、新IPヘッダのディスクリプタ、最後に1〜4行目までのディスクリプタで作成したIPパケットをペイロードとしてこれらのカプセリングIPパケットをIPSecプロトコルプロセッサに転送する。このため、5、6行目のディスクリプタの宛先をIPSec(AH)とする。
これにより、IPSecプロトコルプロセッサ209において、IPSec(AH)の処理が行われる。そして、TCP(UDP)/IPプロトコルプロセッサで行った処理と同様に宛先IPアドレスに応じたSecurity Policy Databaseを使用して宛先に応じた認証アルゴリズムを使用することができる。その結果、作成されたAHヘッダは通信バッファ202へ転送され、トンネリングのためのIP Header’、AHヘッダに続いてトンネルされるIP Packetが出力される。
以上、説明したようにIPSec(AH)においてTCP(UDP)/IPプロトコルプロセッサが他のプロトコルプロセッサと協調してトンネリングプロトコルを処理する動作について説明した。本実施形態においても第1の実施形態よりさらに通信バッファにおけるIP Packetの入出力先をディスクリプタで制御することで柔軟にトンネリングプロトコルに対応できる。
なお、上述した実施の形態以外にもIPv6やL2TPなどの様々なトンネリングプロトコルについて対応プロトコルプロセッサを搭載して実施したものも本発明の範疇に含まれる。
なお、本発明の実施形態は、例えばコンピュータがプログラムを実行することによって実現することができる。また、プログラムをコンピュータに供給するための手段、例えばかかるプログラムを記録したCD−ROM等のコンピュータ読み取り可能な記録媒体又はかかるプログラムを伝送するインターネット等の伝送媒体も本発明の実施形態として適用することができる。また、上記のプログラムも本発明の実施形態として適用することができる。上記のプログラム、記録媒体、伝送媒体及びプログラムプロダクトは、本発明の範疇に含まれる。
本発明の第1の実施形態に係るプロトコル処理システムの一例を示す図である。 本発明の第2の実施形態に係るプロトコル処理システムの一例を示す図である。 本発明の実施の形態に係る送信パケットディスクリプタテーブルの一例を示す図である。 断片化された送信ペイロードデータのメモリマップを示す図である。 メモリマップと送信パケットディスクリプタとパケットフォーマットの対応を説明した図である。 TCP(UDP)/IPのパケットフォーマットを示す図である。 IPカプセリングする場合にメモリマップと送信パケットディスクリプタとパケットフォーマットの対応を説明した図である。 IPカプセリングされたIPパケットフォーマットを示す図である。 受信パケットディスクリプタテーブルとディスクリプタに対応したメモリマップを示す図である。 本発明の第二の実施の形態にかかるメモリマップと送信パケットディスクリプタとパケットフォーマットの対応を説明した図である。 IPSec(AH)における送信パケットディスクリプタとパケットフォーマットを示す図である。 インターネットを介してVPNトンネルを用いたネットワーク図である。 IPSecで使用されるプロトコルフォーマットを示す図である。 L2TPで使用されるプロトコルフォーマットを示す図である。 従来例に於けるプロトコル処理システムの一例を示す図である。 従来例に於けるIPSecプロトコル処理システムの一例を示す図である。
符号の説明
101:TCP(UDP)/IPプロトコルプロセッサ
102:通信バッファ
103:プロトコルデータベース
104:MAC(リンク層制御装置)
105:DMAC
106:CPU
107:システムメモリ
108:共有バス
201:TCP(UDP)/IPプロトコルプロセッサ
202:通信バッファ
203:プロトコルデータベース
204:MAC(リンク層制御装置)
205:DMAC
206:CPU
207:システムメモリ
208:共有バス
209:IPSecプロトコルプロセッサ
210:セキュリティポリシーデータベース

Claims (6)

  1. TCP(UDP)/IPプロトコルの生成及び解析を行うプロトコルプロセッサと、
    前記プロトコルプロセッサが作成したパケットを一時的に保持し、保持したパケットを予め指示された宛先デバイスへ転送することができる通信バッファと、
    前記予め指示された宛先デバイスに対応したプロトコル情報を格納した複数のプロトコルデータベースと、
    リンク層の処理を行うMAC装置と、
    ヘッダ情報の伝送を行うDMA制御装置と、
    プロトコル制御プログラムを実行させるためのCPUと、
    前記CPUのプログラムの実体及びパケット情報を格納するためのシステムメモリと、
    を有するプロトコル処理システムであって、
    前記プロトコルプロセッサに各レイヤのヘッダ作成指示を与える際に作成済みパケットの宛先指示を与えることによって、プロトコルプロセッサは宛先に応じたプロトルコデータベースへの検索を行ってヘッダを作成すると共に、作成終了したパケット情報を宛先指示に基づきMAC出力するか、又はシステムメモリ中の任意のアドレスへ書き戻すことを特徴とするプロトコル処理システム。
  2. トンネリングプロトコルとして、IPSecの処理を実行することを特徴とする請求項1に記載のプロトコル処理システム。
  3. トンネリングプロトコルとして、IPv6の処理を実行することを特徴とする請求項1に記載のプロトコル処理システム。
  4. トンネリングプロトコルとして、L2TPの処理を実行することを特徴とする請求項1に記載のプロトコル処理システム。
  5. TCP(UDP)/IPプロトコルの生成及び解析を行うプロトコルプロセッサと、前記プロトコルプロセッサが作成したパケットを一時的に保持し、保持したパケットを予め指示された宛先デバイスへ転送することができる通信バッファと、前記予め指示された宛先デバイスに対応したプロトコル情報を格納した複数のプロトコルデータベースと、リンク層の処理を行うMAC装置と、ヘッダ情報の伝送を行うDMA制御装置と、プロトコル制御プログラムを実行させるためのCPUと、前記CPUのプログラムの実体及びパケット情報を格納するためのシステムメモリと、を有するプロトコル処理システムにおけるプロトコル処理方法であって、
    前記プロトコルプロセッサに各レイヤのヘッダ作成指示を与える際に作成済みパケットの宛先指示を与える工程と、
    前記プロトコルプロセッサは宛先に応じたプロトルコデータベースへの検索を行ってヘッダを作成する工程と、
    作成終了したパケット情報を宛先指示に基づきMAC出力するか、又はシステムメモリ中の任意のアドレスへ書き戻す工程と、
    を有することを特徴とするプロトコル処理方法。
  6. 請求項5に記載の方法の各工程をコンピュータに実行させるためのプログラム。
JP2006275662A 2006-10-06 2006-10-06 プロトコル処理システム及びプロトコル処理方法 Expired - Fee Related JP4724636B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006275662A JP4724636B2 (ja) 2006-10-06 2006-10-06 プロトコル処理システム及びプロトコル処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006275662A JP4724636B2 (ja) 2006-10-06 2006-10-06 プロトコル処理システム及びプロトコル処理方法

Publications (2)

Publication Number Publication Date
JP2008098782A JP2008098782A (ja) 2008-04-24
JP4724636B2 true JP4724636B2 (ja) 2011-07-13

Family

ID=39381205

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006275662A Expired - Fee Related JP4724636B2 (ja) 2006-10-06 2006-10-06 プロトコル処理システム及びプロトコル処理方法

Country Status (1)

Country Link
JP (1) JP4724636B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1141317A (ja) * 1997-07-17 1999-02-12 Nec Eng Ltd プロトコル制御方法およびシステム
JP4033059B2 (ja) * 2003-07-04 2008-01-16 富士電機リテイルシステムズ株式会社 プロトコル切替装置および自動販売機
JP4470641B2 (ja) * 2004-08-12 2010-06-02 株式会社Kddi研究所 Vpn管理サーバ、vpn設定システム、方法及びvpn管理サーバ用プログラム
JP4282620B2 (ja) * 2005-02-28 2009-06-24 株式会社東芝 通信装置、ルータ装置、通信方法および通信プログラム
JP4279792B2 (ja) * 2005-03-17 2009-06-17 ソフトバンクテレコム株式会社 通信制御システム及び方法

Also Published As

Publication number Publication date
JP2008098782A (ja) 2008-04-24

Similar Documents

Publication Publication Date Title
CN109150688B (zh) IPSec VPN数据传输方法及装置
JP4712861B2 (ja) 非互換的トランスポートのセキュリティプロトコル
US20190173860A1 (en) MACsec for encrypting tunnel data packets
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
Miltchev et al. A Study of the Relative Costs of Network Security Protocols.
US10044841B2 (en) Methods and systems for creating protocol header for embedded layer two packets
US9769116B2 (en) Encapsulating traffic while preserving packet characteristics
CN108964880A (zh) 一种数据传输方法及装置
JP2008035300A (ja) パケット暗号処理装置及びパケット暗号処理方法
CN116647425B (zh) 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质
CN115442121B (zh) 一种流量传输方法、系统、装置及存储介质
JP4679393B2 (ja) Sip通信システム、sipゲートウェイ装置及びそれらに用いるsip通信制御方法
JP3491828B2 (ja) 閉域網間接続システムと閉域網間接続方法およびその処理プログラムを記録した記録媒体ならびにホスティングサービスシステム
JP3947521B2 (ja) 通信装置
JP4933286B2 (ja) 暗号化パケット通信システム
CN114338116A (zh) 加密传输方法、装置及sd-wan网络系统
CN103001844A (zh) IPv6网络系统及其数据传输方法
US20080092206A1 (en) Security protocol control apparatus and security protocol control method
CN116527405B (zh) 一种srv6报文加密传输方法、装置及电子设备
JP4724636B2 (ja) プロトコル処理システム及びプロトコル処理方法
JP4630296B2 (ja) ゲートウェイ装置および認証処理方法
JP5131118B2 (ja) 通信システム、管理装置、中継装置、及びプログラム
EP3367621A1 (en) Method and apparatus for local traffic acceleration
JP2002026927A (ja) カプセリング方法及び装置並びにプログラム記録媒体
CN115277164B (zh) 基于二层组网环境的报文处理方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091006

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110223

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110405

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110411

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140415

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees