BITW方式におけるIPsecアドオン回路
【課題】IPsec機能とチェックサム機能を同時に有効にすることを実現するBITW方式におけるIPsecアドオン回路を提供すること。
【解決手段】BITW方式におけるIPsecアドオン回路内のMAC回路周辺にアービタ、ヘッダ削除、データパス切り替え、チェックサムバイト保持、チェックサム貼り付け、FIFO、イーサネットヘッダ保持およびイーサネットヘッダ貼り付け機能を持った回路を設け、MAC回路が持つチェックサム機能をIPsecが有効の時にも使用できるようにした。
【解決手段】BITW方式におけるIPsecアドオン回路内のMAC回路周辺にアービタ、ヘッダ削除、データパス切り替え、チェックサムバイト保持、チェックサム貼り付け、FIFO、イーサネットヘッダ保持およびイーサネットヘッダ貼り付け機能を持った回路を設け、MAC回路が持つチェックサム機能をIPsecが有効の時にも使用できるようにした。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、BITW方式におけるIPsecアドオン回路に関する。
【背景技術】
【0002】
ネットワーク上のセキュリティ技術として、IPsec(Security Architecture for the Internet Protocol)がある。
【0003】
近年セキュリティ意識の高まりや、IPsecを標準的に使用できるIPv6の普及開始という背景があり、この技術が注目されている。
【0004】
なお、PCやOA機器のような端末間同士でもIPsec技術を適用することが考えられ、それを実現する方式としてBump In The Wire(BITW)と呼ばれる方式がある。この方式は暗号化を行う装置や回路をアドオンする方式であり、既存の装置や回路を変更することなくIPsecを適用できる点で有望な方式と考えられている。
【0005】
また、このアドオンする回路は2つのMAC回路とIPsec回路により構成され、従来のMAC回路には搭載されていなくとも、その時のトレンドにより新規の機能が搭載されていることが多い。その一例として、チェックサム機能が挙げられる。
【0006】
このチェックサム機能は、MACのハードウェアでイーサネット(登録商標)、IP、TCP/UDPの各層のチェックサムを実施する機能であり、メインCPUへの負荷を軽減する方法として、非常に重要になってきている。
【0007】
従来のBITW方式では送信側、受信側それぞれ以下の特徴がある。
送信側
IPsec有効時、IPsec処理後のデータは暗号化されているため、IPsec処理後にデータ処理を行うMAC回路にてチェックサム挿入を行うことができない。
またIPsec処理前にデータ処理を行うMAC回路では受信データとして扱われるので、チェックサム挿入を行うことができない。
【0008】
受信側
IPsec有効時、PHY側から送信されてくるデータは暗号化されているため、IPsec処理前にデータ処理を行うMAC回路にてチェックサム確認を行うことができない。
またIPsec処理後にデータ処理を行うMAC回路では送信データとして扱われるので、チェックサム確認を行うことができない。
【0009】
すなわち、IPsec有効時、伝送路側とIPsec間に位置されるMAC回路では、扱うデータが暗号化されているため、チェックサム機能が使用できない。
また、IPsecと既存LSI間に位置されるMAC回路では、チェックサム確認を行いたい伝送路側からの受信データがチェックサム挿入を行う処理部であるTx側処理部へ、チェックサム挿入を行いたい伝送路側への送信データがチェックサム確認を行うRx側処理部へ入力されるため、チェックサム機能を使用することができない。
【0010】
図6に従来の構成を示す。MAC回路を持つ既存LSIに、伝送路側に外付け回路をつなげる場合を考える。
外付け回路は2つのMAC回路、IPsec処理回路より構成される。
以下に各要素の詳細を受信データ側と送信データ側に分けて説明する。
【0011】
受信データ側
MAC回路A1‘
伝送路側よりEthernet(登録商標)フレームを受信する。IPパケット部分のみ暗号化されている。
Ethernet(登録商標)ヘッダの処理を施し、IPパケット部分をそのままIPsec回路2‘に送信する。
この回路にチェックサム機能などを搭載していても、IPパケット部分は暗号化されているため、チェックサムを実施することは不可能である。
IPsec回路2‘
IPsec処理を施すことにより、受信データは復号化される。
MAC回路B3‘
IPsec回路2‘よりIPパケットを受信する。すでに復号化されている。
これにMAC送信処理を施しEthernet(登録商標)フレームとしてMAC回路C4‘に送信する。
ここで、データが通る処理部はTx処理部なので、Rx処理部に実装されているチェックサム確認機能を使用することは不可能である。
また、Tx処理部のチェックサム挿入機能をここで実施してしまうと、伝送路などでビット化けなどが発生していても、チェックサム演算が正常なものに置き換わってしまい、後段でチェックサム確認を行うことが不可能になってしまう。
よって、MAC回路のレジスタ設定などにより、チェックサム挿入機能はOFFにされるべきである。
MAC回路C4‘
イーサネットフレームを受信し、IPパケットを生成する。
【0012】
送信データ側
MAC回路C4‘
IPパケットを受信し、イーサネットフレームを生成する。
MAC回路B3‘
MAC回路C4‘よりイーサネットフレームを受信し、IPsec回路2‘にIPパケットを送信する。
ここで、データが通る処理部はRx処理部なので、Tx処理部に実装されているチェックサム挿入機能を使用することは不可能である。
また、Rx処理部のチェックサム確認機能をここで実施してしまうと、既存LSI側でチェックサム挿入を行っていない場合、エラーパケットとして扱われてしまう。
よって、既存LSI側でチェックサムを実施しない場合(IPsecをOFFにしてMAC回路A1‘にて実施する場合etc)は、MAC回路のレジスタ設定などにより、チェックサム挿入機能はOFFにされるべきである。
IPsec回路2‘
IPsec処理を施すことにより、暗号化されてデータ送信される。
MAC回路A1‘
伝送路側よりEthernet(登録商標)フレームを受信する。IPパケット部分のみ暗号化されている。
Ethernet(登録商標)ヘッダの処理を施し、IPパケット部分をそのままIPsec回路2‘に送信する。
この回路にチェックサム機能などを搭載していても、IPパケット部分は暗号化されているため、チェックサムを実施することは不可能である。
【0013】
特許文献1には、トランスポートモードでのIPsec処理において、事前にフラグメント処理されたパケットを暗号化可能とする技術が開示されている。
【0014】
また、特許文献2には、通信割り当て部は、同時に実行される複数のアプリケーション通信について、TOE(TCP/IP offload Engine)を備えるハード通信手段によるハードウェア通信またはソフト通信手段によるソフトウェア通信への割り当て処理を、各アプリケーション通信にかかる基準情報に基づいて実行し、これにより、各アプリケーション通信にかかる基準情報を通信装置の使用環境に応じて適宜選択することで、通信全体における通信性能の向上を実現する技術が開示されている。
【発明の概要】
【発明が解決しようとする課題】
【0015】
しかし、今までのBITW方式では、アドオンする回路内ではIPsec機能とチェックサム機能とは排他的にしか使用することができないという問題があった。上記の従来技術でもBITW方式において、IPsec処理を有効な時にチェックサム機能が実施できないという問題は解消できていない。
【0016】
本発明は以上の問題点に鑑みなされたものであり、その目的は、BITW方式において、アドオンする回路内でIPsec機能とチェックサム機能を同時に有効にすることを実現するBITW方式におけるIPsecアドオン回路を提供することである。
【課題を解決するための手段】
【0017】
請求項1記載の発明は、自回路内のMAC回路周辺にアービタ、ヘッダ削除、データパス切り替え、チェックサムバイト保持、チェックサム貼り付け、FIFO、イーサネットヘッダ保持およびイーサネットヘッダ貼り付け機能を持った回路を設け、自回路内のMAC回路が持つチェックサム機能をIPsecが有効の時にも使用できることを特徴とするBITW方式におけるIPsecアドオン回路である。
【0018】
請求項2記載の発明は、請求項1記載のBITW方式におけるIPsecアドオン回路において、IPsecマクロをMACsecマクロに置き換えた場合も、MACアドレスフィルタなどのイーサネット層の機能についてもMACsecと同時に使用できることを特徴とする。
【0019】
請求項3記載の発明は、請求項1記載のBITW方式におけるIPsecアドオン回路において、自回路内のMAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、ヘッダ保持回路およびヘッダ貼り付け回路のみを追加することにより、Tx処理部およびRx処理部に対するアービトレーションを行うデータ種の数を減らし、転送速度のパフォーマンスの低下を抑えることを特徴とする。
【0020】
請求項4記載の発明は、請求項1記載のBITW方式におけるIPsecアドオン回路において、自回路内のMAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、チェックサムバイト保持回路およびチェックサムバイト貼り付け回路のみを追加することにより、Tx処理部およびRx処理部のチェックサム機能を切り替えることを不要にすることを特徴とする。
【0021】
請求項5記載の発明は、請求項1から3のいずれか1項に記載のBITW方式におけるIPsecアドオン回路において、自回路内のMAC回路自体をそのまま利用できることを特徴とする。
【0022】
請求項6記載の発明は、請求項1から4のいずれか1項に記載のBITW方式におけるIPsecアドオン回路において、100/1000BASE−T/TX、かつ全二重/半二重対応のイーサネット(登録商標)を対象とすることを特徴とする。
【発明の効果】
【0023】
本発明によれば、IPsec有効時にもチェックサム機能を有効にすることができる。
【図面の簡単な説明】
【0024】
【図1】本発明の実施の形態に係るBITW方式におけるIPsecアドオン回路の構成を示す図である。
【図2】本発明の実施の形態における新規追加回路5の周辺について説明する図である。
【図3】本発明の実施の形態に係る新規追加回路5のデータパスを示す図である。
【図4】本実施の形態の処理フローを送信側について説明する図である。
【図5】本実施の形態の処理フローを受信側について説明する図である。
【図6】従来の構成を示すについて説明する図である。
【発明を実施するための形態】
【0025】
以下、本発明を実施するための最良の形態を、図面に基づいて説明する。
図1は、本実施の形態におけるBITW方式におけるIPsecアドオン回路の構成を示す図である。100/1000BASE−T/TX、かつ全二重/半二重対応のイーサネット(登録商標)を対象とすることであってもよい。
【0026】
図6に示す従来例のMAC回路B3‘の周辺に新規回路(図1中のグレー部分)を追加した点が特徴となる。
IPsec有効時にチェックサム機能を実施するため、新規追加回路5により、以下の2点を実現させる。
(1)受信データに対して、MAC回路B3のRx処理部のチェックサム確認機能を使用可能にする。
(2)送信データに対して、MAC回路B3のTx処理部のチェックサム挿入機能を使用可能にする。
【0027】
図2に新規追加回路5の周辺を示す。また、図3に新規追加回路5のデータパスを示す。
以下に各要素の詳細を説明する。
【0028】
アービタ回路A6は、MAC回路C4のTx処理部からの送信データとデータパス切り替え回路11からの送信データを受け取り、アービトレーションを行って、ヘッダ削除回路7へデータ転送を行う。
【0029】
ヘッダ削除回路7は、受け取った送信データからイーサネットヘッダのみを削除し、IPパケットにする。
なお、この処理機能は既存のRx処理部にも含まれているが、主に以下の理由により、本回路で処理を行うこととする。
受信データのチェックサム確認をMAC回路B3のRX処理部にて行うため、MAC回路B3のRX処理部はチェックサム機能を有効にしておく必要がある。そうすると、MAC回路C3を含む既存回路側でチェックサムを行わない場合は、Rx処理部に通すことにより、チェックサムエラーと判断されてしまう。
RX処理部に実装されているプロトコル処理全てが必要でなく、イーサネットヘッダを削除すればよい。イーサネットヘッダを削除するだけのために、Rx処理部を通していては、転送速度のパフォーマンス低下に繋がる。
【0030】
データパス切り替え回路A8は、送信データとして、チェックサム挿入が済んだデータはIPsec処理部2へ、済んでいないデータはMAC回路B3へ転送する。
【0031】
アービタ回路B9は、送信データと受信データを受け取り、アービトレーションを行ってMAC回路B3のTx処理部に転送する。
【0032】
チェックサムバイト保持回路10は、受け取った受信データからチェックサムバイトのみを保持し、チェックサムバイト貼り付け回路12に転送する。
なお、チェックサム挿入機能は既存のTx処理部にも含まれているが、主に以下の理由により、本回路で処理を行うこととする。
送信データのチェックサム挿入をMAC回路B3のTx処理部にて行うため、MAC回路B3のTx処理部はチェックサム機能を有効にしておく必要がある。そうすると、伝送路からくるデータにチェックサムエラーがあったとしても、Tx処理部に通すことにより、正常なチェックサムが挿入されてしまう。
【0033】
データパス切り替え回路B11は、Tx処理部を通したデータを、送信データ、受信データを判断し、アービタ回路A6、チェックサム貼り付け回路12へデータを転送する。
【0034】
チェックサム貼り付け回路12は、受信データに対して、一時保存したチェックサムバイトを貼り付ける。
【0035】
FIFO13は、IPsec処理部2からのデータを一旦格納する。
なお、BITW方式では転送速度のボトルネックとなる部分はIPsec処理部2と一般的に考えられる。そのため、FIFOを設けずにアービタ回路B9とIPsec回路2をそのままハンドシェイクさせると、パフォーマンスの低下が懸念される。
【0036】
ヘッダ保持回路14は、Tx処理部にてイーサネットヘッダを付加した受信データからイーサネットヘッダのみを確保する。
なお、イーサネットヘッダはTx処理部にて付加できるが、主に以下の理由により、本回路を設ける。
MAC回路B3のRx処理部を通った後の受信データは、Tx処理部に実装されているプロトコル処理全てが必要でなく、イーサネットヘッダのみ追加できればよい。
イーサネットヘッダを追加するだけのために、Rx処理部を通していては、転送速度のパフォーマンス低下に繋がる。
【0037】
ヘッダ貼り付け回路15は、ヘッダ保持回路14により保持されたイーサネットヘッダをRx処理が終了した受信データに貼り付け、MAC回路B3側へ転送する。
【0038】
以下、本実施の形態の処理フローを送信側(図4)、および受信側(図5)のフローチャートを参照して説明する。なお、ハードウェアで実装される場合はソフトのようにシーケンシャルに動作が行われるわけではないが、理解しやすくするためここでは敢えてフローをシーケンシャルに記述した。
【0039】
図4を参照すると、まず、アービタ回路A6にてMAC回路C4から転送される送信データを受け取り、アービトレーションを行ったうえヘッダ削除回路7に転送する(S41)。
【0040】
ヘッダ削除回路7にてアービタ回路A6から転送される送信データを受け取り、イーサネットヘッダ部分のみを削除し、データパス切り替え回路A8に転送する(S42)。
【0041】
データパス切り替え回路A8にてヘッダ削除回路7から転送される送信データを受け取り、チェックサムが未処理であるのでアービタ回路B9に転送する(S43)。
【0042】
アービタ回路B9にてデータパス切り替え回路A8から転送される送信データを受け取り、FIFO13からの転送データとのアービトレーションを行ったうえ、MAC回路B3に転送する(S44)。
【0043】
MAC回路B3のTx処理部にてアービタ回路B9から転送される送信データを受け取り、イーサネットフレームヘッダの付加、およびIP,TCP/UDPレベルのチェックサム(チェックサム作成)を行ったうえ、データパス切り替え回路B11に転送する(S45)。
【0044】
データパス切り替え回路B11にてMAC回路B3から転送される送信データを受け取り、送信データであることを確認し、アービタ回路A6に転送する(S46)。
【0045】
アービタ回路A6にてデータパス切り替え回路B11から転送される送信データを受け取り、MAC回路C4からの転送データとのアービトレーションを行ったうえ、ヘッダ削除回路7に転送する(S47)。
【0046】
データパス切り替え回路A8にてヘッダ削除回路7から転送される送信データを受け取り、チェックサムが実施済みであるのでIPsec処理部2に処理済み送信データとして転送する(S48)。
【0047】
次に、図5を参照すると、まず、FIFO13にてIPsec処理部2から転送される受信データを受け取り、一旦蓄積され、アービタ回路B9に転送される(S51)。
【0048】
アービタ回路B9にてFIFO13から転送される受信データを受け取り、データパス切り替え回路A8からの転送データとのアービトレーションを行ったうえ、MAC回路B3、チェックサムバイト保持回路10に転送する(S52)。
【0049】
MAC回路B3のTx処理部にてアービタ回路B9から転送される受信データを受け取り、イーサネットフレームヘッダの付加を行ったうえ、データパス切り替え回路B11、ヘッダ保持回路14に転送する(S53)。ここで、不要ではあるが、IP,TCP/UDPレベルのチェックサム(チェックサム作成)も実施される。
【0050】
また、チェックサムバイト保持回路10にてアービタ回路B9から転送される受信データを受け取り、チェックサムバイトのみ抽出しチェックサム貼り付け回路12に転送する(S54)。
【0051】
データパス切り替え回路B11にてMAC回路B3から転送される受信データを受け取り、受信データであることを確認し、チェックサム貼り付け回路12に転送する(S55)。
【0052】
また、ヘッダ保持回路14にてMAC回路B3から転送される受信データを受け取り、イーサネットヘッダバイトのみ抽出しヘッダ貼り付け回路15に転送する(S56)。
【0053】
チェックサム貼り付け回路12にてデータパス切り替え回路B11から転送される受信データ、およびチェックサムバイト保持回路10から転送されるチェックサムバイトを受け取り、データパス切り替え回路B11からの転送データのチェックサムバイト部分にチェックサムバイト保持回路10から転送されるデータを上書きし、MAC回路B3に転送する(S57)。
【0054】
MAC回路B3のRx処理部にてチェックサム貼り付け回路12から転送される受信データを受け取り、イーサネットフレームヘッダの削除、およびIP,TCP/UDPレベルのチェックサム(チェックサム確認)を行ったうえ、ヘッダ貼り付け回路15に転送する(S58)。
【0055】
ヘッダ貼り付け回路15にてMAC回路B3から転送される受信データ、およびヘッダ保持回路14からイーサネットヘッダバイトを受け取り、ヘッダ貼り付け回路15からの受信データにヘッダ保持回路14からのイーサネットヘッダバイトを貼り付け、MAC回路C4へ受信データとして転送する(S59)。
【0056】
上記の本実施の形態によれば、BITW方式の送信側、受信側それぞれに以下の特徴があるので、以下の効果が発生する。
送信側
IPsec処理前にデータ処理を行うMAC回路では、既存回路より受信したデータを送信データとして扱うことにより、チェックサム挿入を行う。
受信側
IPsec処理後にデータ処理を行うMAC回路では、伝送路から受信したデータを受信データとして扱うことにより、チェックサム確認を行う。
IPsecと既存LSI間に位置されるMAC回路にて、伝送路への送信データをTx処理部、伝送路側への受信データをRx処理部にそれぞれ一旦入力することにより、IPsec有効時でもチェックサム機能(チェックサム挿入、チェックサム確認)を使用可能となる。
また、IPsecマクロをMACsecマクロに置き換えた場合も、MACアドレスフィルタなどのイーサネット層の機能についてもMACsecと同時に使用できる。
【0057】
なお、上述する実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々の変更実施が可能である。
【符号の説明】
【0058】
1、1‘ MAC回路A
2、2‘ IPsec処理部
3、3‘ MAC回路B
4、4‘ MAC回路C
5 新規追加回路
6 アービタ回路A
7 ヘッダ削除回路
8 データパス切り替え回路A
9 アービタ回路B
10 チェックサムバイト保持回路
11 データパス切り替え回路B
12 チェックサム貼り付け回路
13 FIFO
14 ヘッダ保持回路
15 ヘッダ貼り付け回路
【先行技術文献】
【特許文献】
【0059】
【特許文献1】特開2009−246801号公報
【特許文献2】特開2008−312094号公報
【技術分野】
【0001】
本発明は、BITW方式におけるIPsecアドオン回路に関する。
【背景技術】
【0002】
ネットワーク上のセキュリティ技術として、IPsec(Security Architecture for the Internet Protocol)がある。
【0003】
近年セキュリティ意識の高まりや、IPsecを標準的に使用できるIPv6の普及開始という背景があり、この技術が注目されている。
【0004】
なお、PCやOA機器のような端末間同士でもIPsec技術を適用することが考えられ、それを実現する方式としてBump In The Wire(BITW)と呼ばれる方式がある。この方式は暗号化を行う装置や回路をアドオンする方式であり、既存の装置や回路を変更することなくIPsecを適用できる点で有望な方式と考えられている。
【0005】
また、このアドオンする回路は2つのMAC回路とIPsec回路により構成され、従来のMAC回路には搭載されていなくとも、その時のトレンドにより新規の機能が搭載されていることが多い。その一例として、チェックサム機能が挙げられる。
【0006】
このチェックサム機能は、MACのハードウェアでイーサネット(登録商標)、IP、TCP/UDPの各層のチェックサムを実施する機能であり、メインCPUへの負荷を軽減する方法として、非常に重要になってきている。
【0007】
従来のBITW方式では送信側、受信側それぞれ以下の特徴がある。
送信側
IPsec有効時、IPsec処理後のデータは暗号化されているため、IPsec処理後にデータ処理を行うMAC回路にてチェックサム挿入を行うことができない。
またIPsec処理前にデータ処理を行うMAC回路では受信データとして扱われるので、チェックサム挿入を行うことができない。
【0008】
受信側
IPsec有効時、PHY側から送信されてくるデータは暗号化されているため、IPsec処理前にデータ処理を行うMAC回路にてチェックサム確認を行うことができない。
またIPsec処理後にデータ処理を行うMAC回路では送信データとして扱われるので、チェックサム確認を行うことができない。
【0009】
すなわち、IPsec有効時、伝送路側とIPsec間に位置されるMAC回路では、扱うデータが暗号化されているため、チェックサム機能が使用できない。
また、IPsecと既存LSI間に位置されるMAC回路では、チェックサム確認を行いたい伝送路側からの受信データがチェックサム挿入を行う処理部であるTx側処理部へ、チェックサム挿入を行いたい伝送路側への送信データがチェックサム確認を行うRx側処理部へ入力されるため、チェックサム機能を使用することができない。
【0010】
図6に従来の構成を示す。MAC回路を持つ既存LSIに、伝送路側に外付け回路をつなげる場合を考える。
外付け回路は2つのMAC回路、IPsec処理回路より構成される。
以下に各要素の詳細を受信データ側と送信データ側に分けて説明する。
【0011】
受信データ側
MAC回路A1‘
伝送路側よりEthernet(登録商標)フレームを受信する。IPパケット部分のみ暗号化されている。
Ethernet(登録商標)ヘッダの処理を施し、IPパケット部分をそのままIPsec回路2‘に送信する。
この回路にチェックサム機能などを搭載していても、IPパケット部分は暗号化されているため、チェックサムを実施することは不可能である。
IPsec回路2‘
IPsec処理を施すことにより、受信データは復号化される。
MAC回路B3‘
IPsec回路2‘よりIPパケットを受信する。すでに復号化されている。
これにMAC送信処理を施しEthernet(登録商標)フレームとしてMAC回路C4‘に送信する。
ここで、データが通る処理部はTx処理部なので、Rx処理部に実装されているチェックサム確認機能を使用することは不可能である。
また、Tx処理部のチェックサム挿入機能をここで実施してしまうと、伝送路などでビット化けなどが発生していても、チェックサム演算が正常なものに置き換わってしまい、後段でチェックサム確認を行うことが不可能になってしまう。
よって、MAC回路のレジスタ設定などにより、チェックサム挿入機能はOFFにされるべきである。
MAC回路C4‘
イーサネットフレームを受信し、IPパケットを生成する。
【0012】
送信データ側
MAC回路C4‘
IPパケットを受信し、イーサネットフレームを生成する。
MAC回路B3‘
MAC回路C4‘よりイーサネットフレームを受信し、IPsec回路2‘にIPパケットを送信する。
ここで、データが通る処理部はRx処理部なので、Tx処理部に実装されているチェックサム挿入機能を使用することは不可能である。
また、Rx処理部のチェックサム確認機能をここで実施してしまうと、既存LSI側でチェックサム挿入を行っていない場合、エラーパケットとして扱われてしまう。
よって、既存LSI側でチェックサムを実施しない場合(IPsecをOFFにしてMAC回路A1‘にて実施する場合etc)は、MAC回路のレジスタ設定などにより、チェックサム挿入機能はOFFにされるべきである。
IPsec回路2‘
IPsec処理を施すことにより、暗号化されてデータ送信される。
MAC回路A1‘
伝送路側よりEthernet(登録商標)フレームを受信する。IPパケット部分のみ暗号化されている。
Ethernet(登録商標)ヘッダの処理を施し、IPパケット部分をそのままIPsec回路2‘に送信する。
この回路にチェックサム機能などを搭載していても、IPパケット部分は暗号化されているため、チェックサムを実施することは不可能である。
【0013】
特許文献1には、トランスポートモードでのIPsec処理において、事前にフラグメント処理されたパケットを暗号化可能とする技術が開示されている。
【0014】
また、特許文献2には、通信割り当て部は、同時に実行される複数のアプリケーション通信について、TOE(TCP/IP offload Engine)を備えるハード通信手段によるハードウェア通信またはソフト通信手段によるソフトウェア通信への割り当て処理を、各アプリケーション通信にかかる基準情報に基づいて実行し、これにより、各アプリケーション通信にかかる基準情報を通信装置の使用環境に応じて適宜選択することで、通信全体における通信性能の向上を実現する技術が開示されている。
【発明の概要】
【発明が解決しようとする課題】
【0015】
しかし、今までのBITW方式では、アドオンする回路内ではIPsec機能とチェックサム機能とは排他的にしか使用することができないという問題があった。上記の従来技術でもBITW方式において、IPsec処理を有効な時にチェックサム機能が実施できないという問題は解消できていない。
【0016】
本発明は以上の問題点に鑑みなされたものであり、その目的は、BITW方式において、アドオンする回路内でIPsec機能とチェックサム機能を同時に有効にすることを実現するBITW方式におけるIPsecアドオン回路を提供することである。
【課題を解決するための手段】
【0017】
請求項1記載の発明は、自回路内のMAC回路周辺にアービタ、ヘッダ削除、データパス切り替え、チェックサムバイト保持、チェックサム貼り付け、FIFO、イーサネットヘッダ保持およびイーサネットヘッダ貼り付け機能を持った回路を設け、自回路内のMAC回路が持つチェックサム機能をIPsecが有効の時にも使用できることを特徴とするBITW方式におけるIPsecアドオン回路である。
【0018】
請求項2記載の発明は、請求項1記載のBITW方式におけるIPsecアドオン回路において、IPsecマクロをMACsecマクロに置き換えた場合も、MACアドレスフィルタなどのイーサネット層の機能についてもMACsecと同時に使用できることを特徴とする。
【0019】
請求項3記載の発明は、請求項1記載のBITW方式におけるIPsecアドオン回路において、自回路内のMAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、ヘッダ保持回路およびヘッダ貼り付け回路のみを追加することにより、Tx処理部およびRx処理部に対するアービトレーションを行うデータ種の数を減らし、転送速度のパフォーマンスの低下を抑えることを特徴とする。
【0020】
請求項4記載の発明は、請求項1記載のBITW方式におけるIPsecアドオン回路において、自回路内のMAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、チェックサムバイト保持回路およびチェックサムバイト貼り付け回路のみを追加することにより、Tx処理部およびRx処理部のチェックサム機能を切り替えることを不要にすることを特徴とする。
【0021】
請求項5記載の発明は、請求項1から3のいずれか1項に記載のBITW方式におけるIPsecアドオン回路において、自回路内のMAC回路自体をそのまま利用できることを特徴とする。
【0022】
請求項6記載の発明は、請求項1から4のいずれか1項に記載のBITW方式におけるIPsecアドオン回路において、100/1000BASE−T/TX、かつ全二重/半二重対応のイーサネット(登録商標)を対象とすることを特徴とする。
【発明の効果】
【0023】
本発明によれば、IPsec有効時にもチェックサム機能を有効にすることができる。
【図面の簡単な説明】
【0024】
【図1】本発明の実施の形態に係るBITW方式におけるIPsecアドオン回路の構成を示す図である。
【図2】本発明の実施の形態における新規追加回路5の周辺について説明する図である。
【図3】本発明の実施の形態に係る新規追加回路5のデータパスを示す図である。
【図4】本実施の形態の処理フローを送信側について説明する図である。
【図5】本実施の形態の処理フローを受信側について説明する図である。
【図6】従来の構成を示すについて説明する図である。
【発明を実施するための形態】
【0025】
以下、本発明を実施するための最良の形態を、図面に基づいて説明する。
図1は、本実施の形態におけるBITW方式におけるIPsecアドオン回路の構成を示す図である。100/1000BASE−T/TX、かつ全二重/半二重対応のイーサネット(登録商標)を対象とすることであってもよい。
【0026】
図6に示す従来例のMAC回路B3‘の周辺に新規回路(図1中のグレー部分)を追加した点が特徴となる。
IPsec有効時にチェックサム機能を実施するため、新規追加回路5により、以下の2点を実現させる。
(1)受信データに対して、MAC回路B3のRx処理部のチェックサム確認機能を使用可能にする。
(2)送信データに対して、MAC回路B3のTx処理部のチェックサム挿入機能を使用可能にする。
【0027】
図2に新規追加回路5の周辺を示す。また、図3に新規追加回路5のデータパスを示す。
以下に各要素の詳細を説明する。
【0028】
アービタ回路A6は、MAC回路C4のTx処理部からの送信データとデータパス切り替え回路11からの送信データを受け取り、アービトレーションを行って、ヘッダ削除回路7へデータ転送を行う。
【0029】
ヘッダ削除回路7は、受け取った送信データからイーサネットヘッダのみを削除し、IPパケットにする。
なお、この処理機能は既存のRx処理部にも含まれているが、主に以下の理由により、本回路で処理を行うこととする。
受信データのチェックサム確認をMAC回路B3のRX処理部にて行うため、MAC回路B3のRX処理部はチェックサム機能を有効にしておく必要がある。そうすると、MAC回路C3を含む既存回路側でチェックサムを行わない場合は、Rx処理部に通すことにより、チェックサムエラーと判断されてしまう。
RX処理部に実装されているプロトコル処理全てが必要でなく、イーサネットヘッダを削除すればよい。イーサネットヘッダを削除するだけのために、Rx処理部を通していては、転送速度のパフォーマンス低下に繋がる。
【0030】
データパス切り替え回路A8は、送信データとして、チェックサム挿入が済んだデータはIPsec処理部2へ、済んでいないデータはMAC回路B3へ転送する。
【0031】
アービタ回路B9は、送信データと受信データを受け取り、アービトレーションを行ってMAC回路B3のTx処理部に転送する。
【0032】
チェックサムバイト保持回路10は、受け取った受信データからチェックサムバイトのみを保持し、チェックサムバイト貼り付け回路12に転送する。
なお、チェックサム挿入機能は既存のTx処理部にも含まれているが、主に以下の理由により、本回路で処理を行うこととする。
送信データのチェックサム挿入をMAC回路B3のTx処理部にて行うため、MAC回路B3のTx処理部はチェックサム機能を有効にしておく必要がある。そうすると、伝送路からくるデータにチェックサムエラーがあったとしても、Tx処理部に通すことにより、正常なチェックサムが挿入されてしまう。
【0033】
データパス切り替え回路B11は、Tx処理部を通したデータを、送信データ、受信データを判断し、アービタ回路A6、チェックサム貼り付け回路12へデータを転送する。
【0034】
チェックサム貼り付け回路12は、受信データに対して、一時保存したチェックサムバイトを貼り付ける。
【0035】
FIFO13は、IPsec処理部2からのデータを一旦格納する。
なお、BITW方式では転送速度のボトルネックとなる部分はIPsec処理部2と一般的に考えられる。そのため、FIFOを設けずにアービタ回路B9とIPsec回路2をそのままハンドシェイクさせると、パフォーマンスの低下が懸念される。
【0036】
ヘッダ保持回路14は、Tx処理部にてイーサネットヘッダを付加した受信データからイーサネットヘッダのみを確保する。
なお、イーサネットヘッダはTx処理部にて付加できるが、主に以下の理由により、本回路を設ける。
MAC回路B3のRx処理部を通った後の受信データは、Tx処理部に実装されているプロトコル処理全てが必要でなく、イーサネットヘッダのみ追加できればよい。
イーサネットヘッダを追加するだけのために、Rx処理部を通していては、転送速度のパフォーマンス低下に繋がる。
【0037】
ヘッダ貼り付け回路15は、ヘッダ保持回路14により保持されたイーサネットヘッダをRx処理が終了した受信データに貼り付け、MAC回路B3側へ転送する。
【0038】
以下、本実施の形態の処理フローを送信側(図4)、および受信側(図5)のフローチャートを参照して説明する。なお、ハードウェアで実装される場合はソフトのようにシーケンシャルに動作が行われるわけではないが、理解しやすくするためここでは敢えてフローをシーケンシャルに記述した。
【0039】
図4を参照すると、まず、アービタ回路A6にてMAC回路C4から転送される送信データを受け取り、アービトレーションを行ったうえヘッダ削除回路7に転送する(S41)。
【0040】
ヘッダ削除回路7にてアービタ回路A6から転送される送信データを受け取り、イーサネットヘッダ部分のみを削除し、データパス切り替え回路A8に転送する(S42)。
【0041】
データパス切り替え回路A8にてヘッダ削除回路7から転送される送信データを受け取り、チェックサムが未処理であるのでアービタ回路B9に転送する(S43)。
【0042】
アービタ回路B9にてデータパス切り替え回路A8から転送される送信データを受け取り、FIFO13からの転送データとのアービトレーションを行ったうえ、MAC回路B3に転送する(S44)。
【0043】
MAC回路B3のTx処理部にてアービタ回路B9から転送される送信データを受け取り、イーサネットフレームヘッダの付加、およびIP,TCP/UDPレベルのチェックサム(チェックサム作成)を行ったうえ、データパス切り替え回路B11に転送する(S45)。
【0044】
データパス切り替え回路B11にてMAC回路B3から転送される送信データを受け取り、送信データであることを確認し、アービタ回路A6に転送する(S46)。
【0045】
アービタ回路A6にてデータパス切り替え回路B11から転送される送信データを受け取り、MAC回路C4からの転送データとのアービトレーションを行ったうえ、ヘッダ削除回路7に転送する(S47)。
【0046】
データパス切り替え回路A8にてヘッダ削除回路7から転送される送信データを受け取り、チェックサムが実施済みであるのでIPsec処理部2に処理済み送信データとして転送する(S48)。
【0047】
次に、図5を参照すると、まず、FIFO13にてIPsec処理部2から転送される受信データを受け取り、一旦蓄積され、アービタ回路B9に転送される(S51)。
【0048】
アービタ回路B9にてFIFO13から転送される受信データを受け取り、データパス切り替え回路A8からの転送データとのアービトレーションを行ったうえ、MAC回路B3、チェックサムバイト保持回路10に転送する(S52)。
【0049】
MAC回路B3のTx処理部にてアービタ回路B9から転送される受信データを受け取り、イーサネットフレームヘッダの付加を行ったうえ、データパス切り替え回路B11、ヘッダ保持回路14に転送する(S53)。ここで、不要ではあるが、IP,TCP/UDPレベルのチェックサム(チェックサム作成)も実施される。
【0050】
また、チェックサムバイト保持回路10にてアービタ回路B9から転送される受信データを受け取り、チェックサムバイトのみ抽出しチェックサム貼り付け回路12に転送する(S54)。
【0051】
データパス切り替え回路B11にてMAC回路B3から転送される受信データを受け取り、受信データであることを確認し、チェックサム貼り付け回路12に転送する(S55)。
【0052】
また、ヘッダ保持回路14にてMAC回路B3から転送される受信データを受け取り、イーサネットヘッダバイトのみ抽出しヘッダ貼り付け回路15に転送する(S56)。
【0053】
チェックサム貼り付け回路12にてデータパス切り替え回路B11から転送される受信データ、およびチェックサムバイト保持回路10から転送されるチェックサムバイトを受け取り、データパス切り替え回路B11からの転送データのチェックサムバイト部分にチェックサムバイト保持回路10から転送されるデータを上書きし、MAC回路B3に転送する(S57)。
【0054】
MAC回路B3のRx処理部にてチェックサム貼り付け回路12から転送される受信データを受け取り、イーサネットフレームヘッダの削除、およびIP,TCP/UDPレベルのチェックサム(チェックサム確認)を行ったうえ、ヘッダ貼り付け回路15に転送する(S58)。
【0055】
ヘッダ貼り付け回路15にてMAC回路B3から転送される受信データ、およびヘッダ保持回路14からイーサネットヘッダバイトを受け取り、ヘッダ貼り付け回路15からの受信データにヘッダ保持回路14からのイーサネットヘッダバイトを貼り付け、MAC回路C4へ受信データとして転送する(S59)。
【0056】
上記の本実施の形態によれば、BITW方式の送信側、受信側それぞれに以下の特徴があるので、以下の効果が発生する。
送信側
IPsec処理前にデータ処理を行うMAC回路では、既存回路より受信したデータを送信データとして扱うことにより、チェックサム挿入を行う。
受信側
IPsec処理後にデータ処理を行うMAC回路では、伝送路から受信したデータを受信データとして扱うことにより、チェックサム確認を行う。
IPsecと既存LSI間に位置されるMAC回路にて、伝送路への送信データをTx処理部、伝送路側への受信データをRx処理部にそれぞれ一旦入力することにより、IPsec有効時でもチェックサム機能(チェックサム挿入、チェックサム確認)を使用可能となる。
また、IPsecマクロをMACsecマクロに置き換えた場合も、MACアドレスフィルタなどのイーサネット層の機能についてもMACsecと同時に使用できる。
【0057】
なお、上述する実施の形態は、本発明の好適な実施の形態であり、本発明の要旨を逸脱しない範囲内において種々の変更実施が可能である。
【符号の説明】
【0058】
1、1‘ MAC回路A
2、2‘ IPsec処理部
3、3‘ MAC回路B
4、4‘ MAC回路C
5 新規追加回路
6 アービタ回路A
7 ヘッダ削除回路
8 データパス切り替え回路A
9 アービタ回路B
10 チェックサムバイト保持回路
11 データパス切り替え回路B
12 チェックサム貼り付け回路
13 FIFO
14 ヘッダ保持回路
15 ヘッダ貼り付け回路
【先行技術文献】
【特許文献】
【0059】
【特許文献1】特開2009−246801号公報
【特許文献2】特開2008−312094号公報
【特許請求の範囲】
【請求項1】
自回路内のMAC回路周辺にアービタ、ヘッダ削除、データパス切り替え、チェックサムバイト保持、チェックサム貼り付け、FIFO、イーサネットヘッダ保持およびイーサネットヘッダ貼り付けの機能を持った回路を設け、自回路内の前記MAC回路が持つチェックサム機能をIPsecが有効の時にも使用できることを特徴とするBITW方式におけるIPsecアドオン回路。
【請求項2】
IPsecマクロをMACsecマクロに置き換えた場合も、MACアドレスフィルタなどのイーサネット層の機能についてもMACsecと同時に使用できることを特徴とする請求項1記載のBITW方式におけるIPsecアドオン回路。
【請求項3】
自回路内の前記MAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、ヘッダ保持回路およびヘッダ貼り付け回路のみを追加することにより、前記Tx処理部および前記Rx処理部に対するアービトレーションを行うデータ種の数を減らし、転送速度のパフォーマンスの低下を抑えることを特徴とする請求項1記載のBITW方式におけるIPsecアドオン回路。
【請求項4】
自回路内の前記MAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、チェックサムバイト保持回路およびチェックサムバイト貼り付け回路のみを追加することにより、前記Tx処理部および前記Rx処理部のチェックサム機能を切り替えることを不要にすることを特徴とする請求項1記載のBITW方式におけるIPsecアドオン回路。
【請求項5】
自回路内の前記MAC回路自体をそのまま利用できることを特徴とする請求項1から3のいずれか1項に記載のBITW方式におけるIPsecアドオン回路。
【請求項6】
100/1000BASE−T/TX、かつ全二重/半二重対応のEthernet(登録商標)を対象とすることを特徴とする請求項1から4のいずれか1項に記載のBITW方式におけるIPsecアドオン回路。
【請求項1】
自回路内のMAC回路周辺にアービタ、ヘッダ削除、データパス切り替え、チェックサムバイト保持、チェックサム貼り付け、FIFO、イーサネットヘッダ保持およびイーサネットヘッダ貼り付けの機能を持った回路を設け、自回路内の前記MAC回路が持つチェックサム機能をIPsecが有効の時にも使用できることを特徴とするBITW方式におけるIPsecアドオン回路。
【請求項2】
IPsecマクロをMACsecマクロに置き換えた場合も、MACアドレスフィルタなどのイーサネット層の機能についてもMACsecと同時に使用できることを特徴とする請求項1記載のBITW方式におけるIPsecアドオン回路。
【請求項3】
自回路内の前記MAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、ヘッダ保持回路およびヘッダ貼り付け回路のみを追加することにより、前記Tx処理部および前記Rx処理部に対するアービトレーションを行うデータ種の数を減らし、転送速度のパフォーマンスの低下を抑えることを特徴とする請求項1記載のBITW方式におけるIPsecアドオン回路。
【請求項4】
自回路内の前記MAC回路内にあるTx処理部およびRx処理部の代わりに、ヘッダ削除回路、チェックサムバイト保持回路およびチェックサムバイト貼り付け回路のみを追加することにより、前記Tx処理部および前記Rx処理部のチェックサム機能を切り替えることを不要にすることを特徴とする請求項1記載のBITW方式におけるIPsecアドオン回路。
【請求項5】
自回路内の前記MAC回路自体をそのまま利用できることを特徴とする請求項1から3のいずれか1項に記載のBITW方式におけるIPsecアドオン回路。
【請求項6】
100/1000BASE−T/TX、かつ全二重/半二重対応のEthernet(登録商標)を対象とすることを特徴とする請求項1から4のいずれか1項に記載のBITW方式におけるIPsecアドオン回路。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−244088(P2011−244088A)
【公開日】平成23年12月1日(2011.12.1)
【国際特許分類】
【出願番号】特願2010−112428(P2010−112428)
【出願日】平成22年5月14日(2010.5.14)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成23年12月1日(2011.12.1)
【国際特許分類】
【出願日】平成22年5月14日(2010.5.14)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]