JP2001344228A - Service quality control method for encryption communication, and storage medium service quality control program stored thereon - Google Patents
Service quality control method for encryption communication, and storage medium service quality control program stored thereonInfo
- Publication number
- JP2001344228A JP2001344228A JP2000163682A JP2000163682A JP2001344228A JP 2001344228 A JP2001344228 A JP 2001344228A JP 2000163682 A JP2000163682 A JP 2000163682A JP 2000163682 A JP2000163682 A JP 2000163682A JP 2001344228 A JP2001344228 A JP 2001344228A
- Authority
- JP
- Japan
- Prior art keywords
- service
- communication
- quality
- kernel
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、暗号化通信におけ
るサービス品質制御方法及び装置及びサービス品質制御
プログラムを格納した記憶媒体に係り、特に、インター
ネットのようなパケット交換型ネットワークにおいて、
IPsecなどを用いて暗号化通信を行うことにより、
セキュアかつ、リアルタイム性などサービス品質を保証
した通信サービスを提供する場合に、これらの通信サー
ビスの品質を制御するための暗号化通信におけるサービ
ス品質制御方法及び装置及びサービス品質制御プログラ
ムを格納した記憶媒体に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a service quality control method and apparatus for encrypted communication and a storage medium storing a service quality control program, and more particularly, to a packet switching network such as the Internet.
By performing encrypted communication using IPsec, etc.,
A service quality control method and apparatus for encrypted communication for controlling the quality of these communication services when providing communication services that guarantee secure and real-time service quality, and a storage medium storing a service quality control program About.
【0002】[0002]
【従来の技術】従来から、サービス品質を制御する方法
として、ネットワークの通信品質を制御する方法及び、
OSにおけるサービスプロセスの品質(優先度)を制御
する方法の2つが存在する。ネットワークの通信品質を
制御する方法として、IntServやDiffServなどがあり、
それぞれIntServ は、帯域予約を行う帯域確保型の通信
品質制御方式であり、DiffServは、優先制御型の通信品
質制御方式である。2. Description of the Related Art Conventionally, as a method of controlling service quality, a method of controlling communication quality of a network,
There are two methods for controlling the quality (priority) of the service process in the OS. There are IntServ and DiffServ as methods to control network communication quality.
IntServ is a band securing type communication quality control method for performing band reservation, and DiffServ is a priority control type communication quality control method.
【0003】また、OSにおけるユーザプロセスの品質
(優先度)を制御する方法としては、時分割方式や実時
間プロセスと時分割プロセスに分けてスケジュールする
方式などがある。As a method for controlling the quality (priority) of a user process in the OS, there are a time-division method, a method in which a real-time process and a time-division process are separately scheduled, and the like.
【0004】また、インターネットにおいて、暗号化技
術を用いてセキュアな通信を提供する方法として、IP
sec、SSL、TLS、S/MIMEなどが挙げられ
る。それぞれ適用範囲が異なり、それぞれIPsec
は、IP層、SSL、TLSは、Transport
層、S/MIMEはアプリケーション層(電子メール)
である。通常、SSL,TLS,S/MIMEにおける
暗号化処理はユーザプロセス空間で行われる。一方、I
Psecは、通常IPの拡張として導入されるため、ソ
フトウェアにより実現する場合には、暗号処理もカーネ
ル内で行われる。本発明では、IPsecのような暗号
通信が対象となる。As a method for providing secure communication using encryption technology on the Internet, IP
sec, SSL, TLS, S / MIME, and the like. Each has a different scope, each IPsec
Is the IP layer, SSL and TLS are the Transport
Layer, S / MIME is the application layer (e-mail)
It is. Normally, encryption processing in SSL, TLS, and S / MIME is performed in a user process space. On the other hand, I
Since Psec is usually introduced as an extension of IP, when it is realized by software, encryption processing is also performed in the kernel. In the present invention, cryptographic communication such as IPsec is targeted.
【0005】[0005]
【発明が解決しようとする課題】従来、OSにおいて、
カーネルは、キーボードやディスクなどのI/Oバウン
ドな処理がメインである。通常I/Oバウンドな処理
は、軽く短い処理である。しかし、パケット暗号化処理
をカーネル内部において行わせることにより、CPUバ
ウンドな重たい処理をカーネルに行わせることになる。
従って、カーネルが長時間CPUを占有することにな
る。通常のOSでは、カーネルによる処理は、ユーザプ
ロセスによる処理よりも優先させるという特徴がある。
また、OSにおける通信サービスは、カーネル内部によ
る通信処理とユーザプロセス空間におけるサーバプロセ
スの処理の2つから行われる。Conventionally, in an OS,
The kernel mainly performs I / O bound processing such as a keyboard and a disk. Normally, I / O bound processing is light and short processing. However, by causing the packet encryption process to be performed inside the kernel, CPU-bound heavy processing is performed by the kernel.
Therefore, the kernel occupies the CPU for a long time. In a normal OS, there is a feature that the process by the kernel is prioritized over the process by the user process.
Further, the communication service in the OS is performed from two processes: a communication process in the kernel and a server process in the user process space.
【0006】以上のようなことから、次のような場合
に、優先度逆転(Priority Inversion)の問題が発生す
る。As described above, the problem of priority inversion occurs in the following cases.
【0007】優先度の高いサービスと低いサービスを共
に暗号化通信を用いて同時に提供する場合において、優
先度の高いサービスのユーザプロセス空間におけるサー
バプロセスの処理よりも、優先度の低いサービスのカー
ネル内部によるパケット処理の方が優先されてしまい、
優先度の高いサービスと優先度の低いサービスの品質制
御が正しく行われないという問題がある。In the case where both a high-priority service and a low-priority service are provided at the same time by using encrypted communication, the kernel of the low-priority service is more internal than the server process in the user process space of the high-priority service The packet processing by
There is a problem that quality control of a high priority service and a low priority service is not performed correctly.
【0008】本発明は、上記の点に鑑みなされたもの
で、暗号化通信を用いたサービスを行う場合に、優先度
に応じたサービス品質の制御を正しく行うことが可能な
暗号化通信におけるサービス品質制御方法及び装置及び
サービス品質制御プログラムを格納した記憶媒体を提供
することを目的とする。[0008] The present invention has been made in view of the above points, and provides a service in an encrypted communication capable of properly controlling the quality of service in accordance with the priority when performing a service using the encrypted communication. It is an object of the present invention to provide a quality control method and apparatus, and a storage medium storing a service quality control program.
【0009】[0009]
【課題を解決するための手段】本発明(請求項1)は、
パケットを暗号化することによってセキュアな通信を行
う際に、暗号復号化処理をカーネル内で行い、かつマル
チCPU及びカーネルにおけるマルチスレッドをサポー
トしているOSを用いて、サービスの品質を保証した通
信を行うための暗号化通信におけるサービス品質制御方
法において、ユーザプロセス空間において、サービスを
行うサーバプロセスとカーネル空間において、暗号復号
化処理を行うパケット処理のそれぞれに割り当てるCP
U数を制限して、サービスの品質を制御する。Means for Solving the Problems The present invention (claim 1) provides:
When secure communication is performed by encrypting packets, communication that performs encryption / decryption processing in the kernel and that guarantees the quality of service using an OS that supports multiple CPUs and multiple threads in the kernel. In the quality of service control method in the encrypted communication for performing the encryption, the CP allocated to each of the server process performing the service in the user process space and the packet process performing the decryption process in the kernel space.
The number of U is limited to control the quality of service.
【0010】本発明(請求項2)は、パケットをサービ
スの種類に応じてクラス分けし、それぞれのクラスに割
り当てるCPU数を制御することにより、カーネル内に
おける通信品質を制御する。According to the present invention (claim 2), the communication quality in the kernel is controlled by classifying the packets into classes according to the type of service and controlling the number of CPUs allocated to each class.
【0011】本発明(請求項3)は、クラス分けされた
パケットのうち、優先度の低いパケットの暗号復号処理
をユーザプロセス空間のプロセスによって処理し、通信
品質を制御する。The present invention (claim 3) controls the communication quality by processing the encryption / decryption processing of the low-priority packets among the classified packets by a process in the user process space.
【0012】本発明(請求項4)は、パケットを暗号化
することによってセキュアな通信を行う際に、暗号復号
化処理をカーネル内で行い、かつマルチCPU及びカー
ネルにおけるマルチスレッドをサポートしているOSを
用いて、サービスの品質を保証した通信を行うための暗
号化通信におけるサービス品質制御装置であって、ユー
ザプロセス空間のサービスを行うサーバプロセスとカー
ネル空間において、暗号復号化処理を行うパケット処理
のそれぞれに割り当てるCPU数を制限して、サービス
の品質を制御する制御手段を有する。According to the present invention (claim 4), when secure communication is performed by encrypting a packet, encryption / decryption processing is performed in the kernel, and the multi-CPU and the multi-thread in the kernel are supported. A service quality control device in encrypted communication for performing communication that guarantees the quality of service using an OS, and a packet process that performs encryption / decryption processing in a kernel process and a server process that provides services in a user process space And control means for controlling the quality of service by limiting the number of CPUs to be assigned to each of them.
【0013】本発明(請求項5)は、制御手段におい
て、パケットをサービスの種類に応じてクラス分けする
手段と、それぞれのクラスに割り当てるCPU数を制御
する手段を含む。According to the present invention (claim 5), the control means includes means for classifying packets into classes according to the type of service, and means for controlling the number of CPUs assigned to each class.
【0014】本発明(請求項6)は、制御手段におい
て、クラス分けされたパケットのうち、優先度の低いパ
ケットの暗号復号処理をユーザプロセス空間のプロセス
によって処理し、通信品質を制御する手段を含む。本発
明(請求項7)は、パケットを暗号化することによって
セキュアな通信を行う際に、暗号復号化処理をカーネル
内で行い、かつマルチCPU及びカーネルにおけるマル
チスレッドをサポートしているOSを用いて、サービス
の品質を保証した通信を行うためのサービス品質制御プ
ログラムを格納した記憶媒体であって、ユーザプロセス
空間のサービスを行うサーバプロセスとカーネル空間に
おいて、暗号復号化処理を行うパケット処理のそれぞれ
に割り当てるCPU数を制限して、サービスの品質を制
御する制御プロセスを有する。According to the present invention (claim 6), the control means controls the communication quality by processing the encryption / decryption processing of a low-priority packet among the classified packets by a process in a user process space. Including. According to the present invention (claim 7), when performing secure communication by encrypting a packet, an encryption / decryption process is performed in a kernel, and an OS that supports a multi-CPU and a multi-thread in the kernel is used. A storage medium storing a service quality control program for performing communication that guarantees the quality of service, the server medium providing a service in a user process space and the packet processing performing a decryption process in a kernel space. And a control process for controlling the quality of service by limiting the number of CPUs to be allocated.
【0015】本発明(請求項8)は、制御プロセスにお
いて、パケットをサービスの種類に応じてクラス分けす
るプロセスと、それぞれのクラスに割り当てるCPU数
を制御するプロセスを含む。The present invention (claim 8) includes, in the control process, a process of classifying packets into classes according to the type of service, and a process of controlling the number of CPUs allocated to each class.
【0016】本発明(請求項9)は、制御プロセスにお
いて、クラス分けされたパケットのうち、優先度の低い
パケットの暗号復号処理をユーザプロセス空間のプロセ
スによって処理し、通信品質を制御するプロセスを含
む。According to a ninth aspect of the present invention, in the control process, a process for controlling the communication quality by processing the encryption / decryption processing of a low-priority packet among the classified packets by a process in a user process space. Including.
【0017】上記のように、本発明は、カーネルにおけ
るパケット処理とユーザプロセス空間における処理のそ
れぞれに割り当てるCPU数を制限することにより、サ
ービスの品質を制御することが可能となる。As described above, according to the present invention, it is possible to control the quality of service by limiting the number of CPUs assigned to packet processing in the kernel and processing in the user process space.
【0018】また、パケットをサービスの種類に応じて
クラス分けし、それぞれのクラスに割り当てるCPU数
を制限することにより、カーネル内における通信品質を
制御することが可能となる。Further, by classifying packets into classes according to the type of service and limiting the number of CPUs assigned to each class, it becomes possible to control the communication quality in the kernel.
【0019】また、クラス分けされたうち、優先度の低
いパケットの暗号・復号処理をユーザプロセス空間のプ
ロセスによって処理することにより、優先度を下げて通
信品質を制御することが可能となる。Further, by processing the encryption / decryption processing of the packets with low priority among the classes by the process in the user process space, it is possible to control the communication quality by lowering the priority.
【0020】[0020]
【発明の実施の形態】図1は、本発明のサービス品質制
御装置の構成を示す。FIG. 1 shows the configuration of a service quality control device according to the present invention.
【0021】同図に示すサービス品質制御装置は、ネッ
トワークインタフェース20に接続されるカーネル10
0およびサーバプロセス12を包含するユーザプロセス
空間10により構成される。The service quality control device shown in FIG.
0 and a user process space 10 including a server process 12.
【0022】カーネル100は、入力クラス分け部11
0、パケット処理部120、出力クラス分け部130か
ら構成される。同図では、入力クラス分け部110と出
力クラス分け部130を分けて示しているが、1つのク
ラス分け部として構築してもよい。The kernel 100 includes an input classifying unit 11
0, a packet processing unit 120, and an output classifying unit 130. Although the input classification unit 110 and the output classification unit 130 are shown separately in FIG. 2, they may be constructed as one classification unit.
【0023】入力クラス分け部110は、ネットワーク
インタフェース20から入力されたパケットを優先度に
応じてクラス分けし、クラス別入力キュー101に設定
する。The input classifying unit 110 classifies packets input from the network interface 20 according to priority and sets the packets in the class-specific input queue 101.
【0024】パケット処理部120は、クラス別入力キ
ュー101または、クラス別出力キー103に設定され
たキューに入れられたパケットを処理する。パケット処
理は、それぞれに割り当てられたCPU数までの範囲の
並列度に基づいて処理を行う。パケット処理のCPU数
の制限方法については後述する。また、場合によって
は、ユーザプロセス空間10の暗号処理プロセスに暗号
処理を引き渡し、処理してもらうことも可能である。The packet processing unit 120 processes packets put in the queue set in the class-specific input queue 101 or the class-specific output key 103. The packet processing is performed based on the degree of parallelism in the range up to the number of CPUs assigned to each. A method of limiting the number of CPUs for packet processing will be described later. In some cases, it is also possible to hand over the cryptographic process to the cryptographic process in the user process space 10 for processing.
【0025】出力クラス分け部130は、ユーザプロセ
ス空間10内のサーバプロセス12から取得したパケッ
トを優先度に応じてクラス分けし、クラス別出力キュー
103に設定する。暗号化されたパケットのクラス分け
の処理については後述する。最初に入力に関する動作に
ついて説明する。The output classifying unit 130 classifies packets acquired from the server process 12 in the user process space 10 according to priority and sets them in the class-specific output queue 103. The process of classifying encrypted packets will be described later. First, an operation related to input will be described.
【0026】図2は、本発明の入力動作のフローチャー
トである。FIG. 2 is a flowchart of the input operation of the present invention.
【0027】ステップ101) 入力クラス分け部11
0において、ネットワークインタフェース20からパケ
ットを取得する。Step 101) Input classification unit 11
At 0, a packet is obtained from the network interface 20.
【0028】ステップ102) 入力クラス分け部11
0は、受け取ったパケットを優先度に応じて入力キュー
に分別する。このとき、暗号化されたパケットを受け取
った場合の処理については後述する。Step 102) Input classification unit 11
0 classifies received packets into input queues according to priority. At this time, the processing when the encrypted packet is received will be described later.
【0029】ステップ103) 次に、パケット処理部
120において、担当するキューに入れられたパケット
の処理を行う。各処理は、それぞれに割り当てられたC
PU数までの範囲の並列度で処理を行う。パケット処理
のCPU数の制限方法については後述する。場合によっ
ては、ユーザプロセス空間10の暗号処理プロセスに暗
号処理を引き渡し、処理してもらう。Step 103) Next, the packet processing unit 120 processes the packet put in the queue in charge. Each process has its own assigned C
Processing is performed with a degree of parallelism in the range up to the number of PUs. A method of limiting the number of CPUs for packet processing will be described later. In some cases, the encryption process is delivered to the encryption process in the user process space 10 to be processed.
【0030】ステップ104) 入力キュー102を介
して、ユーザプロセス空間10の各プロセス(サーバプ
ロセス12または、暗号プロセス)に渡される。Step 104) The data is passed to each process (server process 12 or encryption process) in the user process space 10 via the input queue 102.
【0031】ステップ105) 各サーバプロセス12
は、通常のOSのプロセススケジューリングに備えられ
た機能により、優先度制御が行われる。サーバプロセス
12の優先度制御に関しては後述する。Step 105) Each server process 12
, Priority control is performed by a function provided for normal OS process scheduling. The priority control of the server process 12 will be described later.
【0032】次に、出力動作について説明する。Next, the output operation will be described.
【0033】図3は、本発明の出力動作のフローチャー
トである。FIG. 3 is a flowchart of the output operation of the present invention.
【0034】ステップ201) ユーザプロセス空間1
0の各サーバプロセス12は、通常のOSのプロセスス
ケジューリングに備えられた機能により、優先度制御が
行われる。優先度制御されたパケットを出力クラス分け
部130に転送する。なお、サーバプロセス12の優先
度制御に関しては後述する。Step 201) User process space 1
The priority of each of the 0 server processes 12 is controlled by a function provided for normal OS process scheduling. The priority controlled packet is transferred to the output classifying unit 130. The priority control of the server process 12 will be described later.
【0035】ステップ202) 出力クラス分け部13
0は、サーバプロセス12から送り出されたパケット
は、クラス分け処理により優先度に応じた出力キューに
分別され、クラス分け出力キュー103に設定される。
暗号化されたパケットのクラス分け方法に関しては、後
述する。Step 202) Output classification unit 13
In the case of 0, the packet sent from the server process 12 is classified into an output queue according to the priority by the classification process and set in the classification output queue 103.
The method of classifying the encrypted packets will be described later.
【0036】ステップ203) パケット処理部120
は、該当するクラス別出力キュー103に設定されたパ
ケットの処理を行う。各処理は、それぞれに割り当てら
れたCPU数までの範囲の並列度に基づいて処理を行
う。パケット処理のCPU数の制限方法については後述
する。場合によっては、ユーザプロセス空間10の暗号
処理プロセスに暗号処理を引き渡し、処理してもらう。Step 203) Packet processing unit 120
Performs the processing of the packet set in the corresponding class-specific output queue 103. Each process is performed based on the degree of parallelism in the range up to the number of CPUs assigned to each process. A method of limiting the number of CPUs for packet processing will be described later. In some cases, the encryption process is delivered to the encryption process in the user process space 10 to be processed.
【0037】ステップ204) パケット処理が終わっ
たパケットは、出力キュー104に設定され、ネットワ
ークインタフェース20を介して出力される。Step 204) The packet after the packet processing is set in the output queue 104 and output via the network interface 20.
【0038】[0038]
【実施例】以下、図面と共に本発明の実施例を説明す
る。Embodiments of the present invention will be described below with reference to the drawings.
【0039】以下の実施例では、まず、8つのCPUを
備えた計算機を用いて、IPsecによる暗号化通信を
用いて、3つのサービスを提供する場合を例にして説明
を行う。In the following embodiment, first, an example will be described in which a computer having eight CPUs is used to provide three services using IPsec encrypted communication.
【0040】それぞれのサービスは、主に、ユーザプロ
セス空間のサーバプロセス12とカーネル100内にお
けるパケット処理部120により行われる。3つのサー
ビスをサービスA,サービスB,サービスCとする。Each service is mainly performed by the server process 12 in the user process space and the packet processing unit 120 in the kernel 100. The three services are referred to as service A, service B, and service C.
【0041】本実施例における前提条件は以下の通りで
ある。The preconditions in this embodiment are as follows.
【0042】図4は、本発明の一実施例のサービス品質
制御装置の構成を示す。−サービスAのユーザプロセス
空間におけるサーバプロセス12は、『サーバプロセス
a』であり、優先度は『低』である。−サービスBのユ
ーザプロセス空間におけるサーバプロセス12は、『サ
ーバプロセスb』であり、優先度は『中』である。−サ
ービスCのユーザプロセス空間におけるサーバプロセス
12は、『サーバプロセスc』であり、優先度は『高』
である。−サービスAのカーネル100内の処理は、
『パケット処理a』によって行われ、優先度は『低』で
ある。パケット処理aの暗号処理は、『暗号処理プロセ
スd』を用いて行われる。−サービスBのカーネル10
0内の処理は、『パケット処理b』によって行われ、優
先度は『中』である。−サービスcのカーネル100内
の処理は、『パケット処理c』によってによって行わ
れ、優先度は『高』である。−カーネル100内の処理
に関して、それぞれパケット処理aには1つ、パケット
処理bには2つ、パケット処理cには3つまでCPUが
制限されている。FIG. 4 shows the configuration of a service quality control device according to one embodiment of the present invention. -The server process 12 in the user process space of the service A is the "server process a", and the priority is "low". -The server process 12 in the user B space of the service B is "server process b", and the priority is "medium". The server process 12 in the user process space of the service C is “server process c”, and the priority is “high”
It is. The processing in the kernel 100 of service A
This is performed by “packet processing a”, and the priority is “low”. The encryption processing of the packet processing a is performed using “encryption processing d”. Service 10 kernel 10
The processing in 0 is performed by “packet processing b”, and the priority is “medium”. -The processing in the kernel 100 of the service c is performed by "packet processing c", and the priority is "high". -Regarding the processing in the kernel 100, the CPU is limited to one for packet processing a, two for packet processing b, and three for packet processing c.
【0043】以下に、具体的な実現方法に関して説明す
る。Hereinafter, a specific implementation method will be described.
【0044】 クラス分け方法:入力クラス分け部1
10及び出力クラス分け部130におけるクラス分け方
法を以下に示す。Classification method: input classification unit 1
The classifying method in the output classifying unit 10 and the output classifying unit 130 will be described below.
【0045】IPsecによる通信では、暗号鍵や復号
鍵などの情報をSA(Security Associ
ation)と呼ばれる情報として保持する。各パケッ
ト毎にこのSAをソースアドレス、ディスティネーショ
ンアドレス、SPIなどから探索し、暗号化や復号化処
理を行う。このSAに優先度情報を記述しておく。In the communication by IPsec, information such as an encryption key and a decryption key is stored in an SA (Security Associate).
ation). For each packet, the SA is searched from the source address, the destination address, the SPI, and the like, and encryption and decryption processing is performed. The priority information is described in this SA.
【0046】図5は、本発明の一実施例のクラス分けを
説明するための図である。FIG. 5 is a diagram for explaining the classification according to one embodiment of the present invention.
【0047】入力クラス分け部110、出力クラス分け
部130は、同図に示すように、パケット分類部11
1、メータリング部112、マーキング部113、シェ
ーピング部114、及びキュー管理部115から構成さ
れる。The input classifying unit 110 and the output classifying unit 130, as shown in FIG.
1, a metering unit 112, a marking unit 113, a shaping unit 114, and a queue management unit 115.
【0048】クラス分け処理方法(入力クラス分け部1
10、出力クラス分け部130における処理)は、通常
QoSルータのパケットフォーワードと同様の方法によ
り行う。図5のように、まず、パケット分類部111に
おいて、上記のようにSAの探索を行い、そのSAにあ
る優先度情報を元に、マーキング部113においてパケ
ットに優先度情報を書き込む。それと同時に、メータリ
ング部112において、優先度クラス毎にトラフィック
の観測をしており、過剰なトラフィックが流れる場合に
は、シェーピング部114においてパケットの破棄、も
しくは、マーキング部113において、優先度を下げた
マークを付与するなどの処理を行う。その後に、キュー
管理部115において、各優先度に合わせたキューに入
れられる。Classification processing method (input classification unit 1
10, the process in the output classifying unit 130) is performed in the same manner as the packet forwarding of the normal QoS router. As shown in FIG. 5, first, the packet classification unit 111 searches for an SA as described above, and the marking unit 113 writes the priority information in the packet based on the priority information in the SA. At the same time, the metering unit 112 monitors the traffic for each priority class. If excessive traffic flows, the shaping unit 114 discards the packet or the marking unit 113 lowers the priority. Processing such as adding a mark is performed. After that, the queue is placed in a queue corresponding to each priority in the queue management unit 115.
【0049】 CPU数の制限方法:パケット処理部
120において、それぞれ利用可能なCPU数を制限し
ておく。この制限方法は、当該パケット処理部120が
起こせるスレッドの数を制限することにより実現する。
具体的には、現在実行中のスレッド数を表す変数を用意
しておき、その数が限度を超えたら空くまで処理を止め
るという方法による。Method for Limiting the Number of CPUs: In the packet processing unit 120, the number of available CPUs is limited. This limiting method is realized by limiting the number of threads that can be generated by the packet processing unit 120.
Specifically, a method is provided in which a variable representing the number of currently executing threads is prepared, and if the number exceeds the limit, the processing is stopped until the number becomes free.
【0050】 サーバプロセス12の優先度制御:ユ
ーザプロセス空間10におけるサーバプロセス12の優
先度制御は、通常のOSに用意されている優先度制御方
法を試用する。UNIX(登録商標)の場合では、ni
ce値により、優先度制御を行う。Priority control of server process 12: For the priority control of the server process 12 in the user process space 10, a priority control method prepared in a normal OS is used. In the case of UNIX (registered trademark), ni
Priority control is performed according to the ce value.
【0051】 ユーザプロセス空間10における暗号
処理プロセスによる処理:カーネル100内のパケット
処理部120からユーザプロセス空間10へ暗号化もし
くは、復号化するパケットを引き渡す。そして、カーネ
ル空間より優先度の低いユーザプロセス空間において、
しかもniceによりユーザプロセス空間10において
も優先度が付与された状態で、パケットの暗号処理を行
う。処理を終えたパケットは、再びカーネル100内部
のパケット処理部120に戻す。Processing by an encryption process in the user process space 10: A packet to be encrypted or decrypted is delivered from the packet processing unit 120 in the kernel 100 to the user process space 10. Then, in the user process space with lower priority than the kernel space,
In addition, the packet encryption process is performed in a state where the priority is given to the user process space 10 by nice. The processed packet is returned to the packet processing unit 120 in the kernel 100 again.
【0052】また、上記の実施例は、図4に基づいて説
明したが、カーネル内のクラス分け部110、130及
びパケット処理部120の処理をプログラムとして構築
し、サービス品質制御装置として利用されるコンピュー
タに接続されるディスク装置や、フロッピー(登録商
標)ディスク、CD−ROM等の可搬記憶媒体に格納し
ておき、本発明を実施する際にインストールすることに
より、容易に本発明を実現することが可能である。Although the above embodiment has been described with reference to FIG. 4, the processes of the classifying units 110 and 130 and the packet processing unit 120 in the kernel are constructed as programs and used as a service quality control device. The present invention can be easily realized by storing it in a portable storage medium such as a disk device connected to a computer, a floppy (registered trademark) disk, or a CD-ROM, and installing it when implementing the present invention. It is possible.
【0053】なお、本発明は、上記の実施例に限定され
ることなく、特許請求の範囲内において、種々変更・応
用が可能である。It should be noted that the present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
【0054】[0054]
【発明の効果】上述のように、本発明によれば、OSに
おいて、ユーザプロセス空間のサーバプロセスとカーネ
ル空間におけるパケット処理を割り当てるCPU数を制
限すること、及び本来、カーネル内部で行う処理をユー
ザプロセス空間における暗号処理プロセスを用いること
により、サービス品質を制御することにより、暗号化通
信によるセキュアかつリアルタイムなどのサービスの品
質を保証した通信サービスを提供する場合に有効であ
る。例えば、NTPのような時刻配送サービスと、ファ
イル転送サービスの両者を暗号化通信により提供する場
合などである。As described above, according to the present invention, the OS limits the number of CPUs to which the server process in the user process space and the packet processing in the kernel space are allocated, and allows the user to perform processing originally performed inside the kernel. By using the cryptographic process in the process space, by controlling the service quality, it is effective when providing a communication service that guarantees secure and real-time service quality by encrypted communication. For example, there is a case where both a time delivery service such as NTP and a file transfer service are provided by encrypted communication.
【0055】今後は、インターネットにおいてセキュリ
ティを考慮することは当然のこととなり、IPsecが
その標準として使われることが予想される。従って、そ
のような場合において、本発明のようなサービス品質制
御は重要になることが予想される。In the future, it is natural to consider security in the Internet, and it is expected that IPsec will be used as its standard. Therefore, in such a case, it is expected that the quality of service control as in the present invention becomes important.
【図1】本発明のサービス品質制御装置の構成図であ
る。FIG. 1 is a configuration diagram of a service quality control device of the present invention.
【図2】本発明の入力動作のフローチャートである。FIG. 2 is a flowchart of an input operation according to the present invention.
【図3】本発明の出力動作のフローチャートである。FIG. 3 is a flowchart of an output operation according to the present invention.
【図4】本発明の一実施例のサービス品質制御装置の構
成図である。FIG. 4 is a configuration diagram of a service quality control device according to an embodiment of the present invention.
【図5】本発明の一実施例のクラス分けを説明するため
の図である。FIG. 5 is a diagram for explaining classification according to an embodiment of the present invention.
10 ユーザプロセス空間 12 サーバプロセス 20 ネットワークインタフェース 100 カーネル 101 クラス別入力キュー 102 入力キュー 103 クラス別出力キュー 104 出力キュー 110 入力クラス分け部 111 パケット分類部 112 メーリング部 113 マーキング部 114 シェーピング部 115 キュー管理部 120 パケット処理部 130 出力クラス分け部 Reference Signs List 10 user process space 12 server process 20 network interface 100 kernel 101 class-based input queue 102 input queue 103 class-based output queue 104 output queue 110 input classifying unit 111 packet classifying unit 112 mailing unit 113 marking unit 114 shaping unit 115 queue management unit 120 packet processing unit 130 output classification unit
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B045 BB28 BB42 BB47 EE12 EE29 GG09 5J104 AA32 PA07 5K030 GA15 HA08 HB17 LE05 ──────────────────────────────────────────────────続 き Continued on the front page F term (reference) 5B045 BB28 BB42 BB47 EE12 EE29 GG09 5J104 AA32 PA07 5K030 GA15 HA08 HB17 LE05
Claims (9)
ュアな通信を行う際に、暗号復号化処理をカーネル内で
行い、かつ、マルチCPU及びカーネルにおけるマルチ
スレッドをサポートしているOSを用いて、サービスの
品質を保証した通信を行うための暗号化通信におけるサ
ービス品質制御方法において、ユーザプロセス空間にお
いて、サービスを行うサーバプロセスとカーネル空間に
おいて、暗号復号化処理を行うパケット処理のそれぞれ
に割り当てるCPU数を制限して、サービスの品質を制
御することを特徴とする暗号化通信におけるサービス品
質制御方法。When performing secure communication by encrypting a packet, a service is performed by performing an encryption / decryption process in a kernel and using an OS that supports a multi-CPU and a multi-thread in the kernel. In a service quality control method in encrypted communication for performing communication with guaranteed quality, the number of CPUs allocated to each of a server process performing a service in a user process space and a packet process performing a decryption process in a kernel space is determined. A service quality control method in encrypted communication, characterized by restricting and controlling the quality of service.
ス分けし、それぞれのクラスに割り当てるCPU数を制
御することにより、カーネル内における通信品質を制御
する請求項1記載の暗号化通信におけるサービス品質制
御方法。2. The service quality control in encrypted communication according to claim 1, wherein the communication quality in the kernel is controlled by classifying packets into classes according to service types and controlling the number of CPUs allocated to each class. Method.
度の低いパケットの暗号復号処理を前記ユーザプロセス
空間のプロセスによって処理し、通信品質を制御する請
求項1または、2記載の暗号化通信におけるサービス品
質制御方法。3. The encrypted communication according to claim 1, wherein encryption / decryption processing of a packet having a low priority among the classified packets is processed by a process in the user process space to control communication quality. Service quality control method.
ュアな通信を行う際に、暗号復号化処理をカーネル内で
行い、かつマルチCPU及びカーネルにおけるマルチス
レッドをサポートしているOSを用いて、サービスの品
質を保証した通信を行うための暗号化通信におけるサー
ビス品質制御装置であって、ユーザプロセス空間のサー
ビスを行うサーバプロセスとカーネル空間において、暗
号復号化処理を行うパケット処理のそれぞれに割り当て
るCPU数を制限して、サービスの品質を制御する制御
手段を有することを特徴とする暗号化通信におけるサー
ビス品質制御装置。4. When secure communication is performed by encrypting a packet, encryption / decryption processing is performed in a kernel, and a multi-CPU and an OS that supports multi-threading in the kernel are used to provide a service. A service quality control device in encrypted communication for performing communication with guaranteed quality, comprising: a server process for providing service in a user process space; and a CPU for allocating a packet process for performing a decryption process in a kernel space. A service quality control device for encrypted communication, comprising a control unit for controlling the quality of service by limiting.
種類に応じてクラス分けする手段と、それぞれのクラス
に割り当てるCPU数を制御する手段を含む請求項4記
載の暗号化通信におけるサービス品質制御装置。5. An apparatus according to claim 4, wherein said control means includes means for classifying packets into classes according to service types, and means for controlling the number of CPUs assigned to each class. .
ットのうち、優先度の低いパケットの暗号復号処理を前
記ユーザプロセス空間のプロセスによって処理し、通信
品質を制御する手段を含む請求項4または、5記載の暗
号化通信におけるサービス品質制御装置。6. The communication device according to claim 4, wherein the control unit controls a communication quality by processing a decryption process of a low-priority packet among the classified packets by a process in the user process space. 5. The service quality control device in the encrypted communication according to 5.
ュアな通信を行う際に、暗号復号化処理をカーネル内で
行い、かつマルチCPU及びカーネルにおけるマルチス
レッドをサポートしているOSを用いて、サービスの品
質を保証した通信を行うためのサービス品質制御プログ
ラムを格納した記憶媒体であって、ユーザプロセス空間
のサービスを行うサーバプロセスとカーネル空間におい
て、暗号復号化処理を行うパケット処理のそれぞれに割
り当てるCPU数を制限して、サービスの品質を制御す
る制御プロセスを有することを特徴とするサービス品質
制御プログラムを格納した記憶媒体。7. When secure communication is performed by encrypting a packet, encryption / decryption processing is performed in a kernel, and a service of a service is provided using an OS that supports a multi-CPU and a multi-thread in the kernel. A storage medium storing a service quality control program for performing quality-guaranteed communication, wherein the number of CPUs to be allocated to each of a server process for providing a service in a user process space and a packet process for performing a decryption process in a kernel space. A storage medium storing a service quality control program characterized by having a control process for controlling the quality of service by limiting the service quality.
スの種類に応じてクラス分けするプロセスと、それぞれ
のクラスに割り当てるCPU数を制御するプロセスを含
む請求項7記載のサービス品質制御プログラムを格納し
た記憶媒体。8. The storage storing the service quality control program according to claim 7, wherein the control processes include a process of classifying packets into classes according to service types, and a process of controlling the number of CPUs assigned to each class. Medium.
パケットのうち、優先度の低いパケットの暗号復号処理
を前記ユーザプロセス空間のプロセスによって処理し、
通信品質を制御するプロセスを含む請求項7または、8
記載のサービス品質制御プログラムを格納した記憶媒
体。9. The control process performs a process of decrypting a low-priority packet among the classified packets by a process in the user process space.
9. The method according to claim 7, further comprising the step of controlling communication quality.
A storage medium storing the described service quality control program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000163682A JP3736293B2 (en) | 2000-05-31 | 2000-05-31 | Service quality control method and device service quality control program in encrypted communication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000163682A JP3736293B2 (en) | 2000-05-31 | 2000-05-31 | Service quality control method and device service quality control program in encrypted communication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001344228A true JP2001344228A (en) | 2001-12-14 |
| JP3736293B2 JP3736293B2 (en) | 2006-01-18 |
Family
ID=18667404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000163682A Expired - Fee Related JP3736293B2 (en) | 2000-05-31 | 2000-05-31 | Service quality control method and device service quality control program in encrypted communication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3736293B2 (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004343731A (en) * | 2003-04-24 | 2004-12-02 | Matsushita Electric Ind Co Ltd | Encrypted packet processing device, method, program, and program recording medium |
| JP2006512662A (en) * | 2002-12-31 | 2006-04-13 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Quality of service for iSCSI |
| JP2008104152A (en) * | 2003-03-13 | 2008-05-01 | Samsung Electronics Co Ltd | Packet transmission apparatus of communication system |
| US7774593B2 (en) | 2003-04-24 | 2010-08-10 | Panasonic Corporation | Encrypted packet, processing device, method, program, and program recording medium |
| JP5189974B2 (en) * | 2006-04-26 | 2013-04-24 | 日本電信電話株式会社 | Load control device and method thereof |
| WO2018220702A1 (en) * | 2017-05-30 | 2018-12-06 | 三菱電機株式会社 | Management system, management method and management program |
| WO2022102086A1 (en) * | 2020-11-13 | 2022-05-19 | 日本電信電話株式会社 | Network card and packet-processing method |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101330072B1 (en) | 2013-07-12 | 2013-11-18 | (주)아울시스템즈 | Method and system for restoring data in database |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07281911A (en) * | 1994-04-05 | 1995-10-27 | Internatl Business Mach Corp <Ibm> | Method and system for synchronization of resource allocationin parallel processing |
| JPH08251196A (en) * | 1995-03-15 | 1996-09-27 | Toshiba Corp | Parallel computer |
| JPH10207723A (en) * | 1996-12-30 | 1998-08-07 | Hewlett Packard Co <Hp> | Virtual device access system |
| JPH10222382A (en) * | 1997-02-04 | 1998-08-21 | Mitsubishi Electric Corp | Device driver installation system |
| JPH10326287A (en) * | 1997-05-23 | 1998-12-08 | Mitsubishi Corp | System and device for digital content management |
| JPH11187070A (en) * | 1997-12-22 | 1999-07-09 | Mitsubishi Electric Corp | System for setting communication priority for communication control part management system |
| JPH11249917A (en) * | 1998-02-27 | 1999-09-17 | Nec Corp | Parallel computers, their batch processing method, and storage medium |
| WO1999067930A2 (en) * | 1998-06-19 | 1999-12-29 | Ssh Communications Security Ltd. | Method and arrangement for implementing ipsec policy management using filter code |
| WO2000019299A1 (en) * | 1998-09-25 | 2000-04-06 | Hughes Electronics Corporation | An apparatus for providing a secure processing environment |
-
2000
- 2000-05-31 JP JP2000163682A patent/JP3736293B2/en not_active Expired - Fee Related
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07281911A (en) * | 1994-04-05 | 1995-10-27 | Internatl Business Mach Corp <Ibm> | Method and system for synchronization of resource allocationin parallel processing |
| JPH08251196A (en) * | 1995-03-15 | 1996-09-27 | Toshiba Corp | Parallel computer |
| JPH10207723A (en) * | 1996-12-30 | 1998-08-07 | Hewlett Packard Co <Hp> | Virtual device access system |
| JPH10222382A (en) * | 1997-02-04 | 1998-08-21 | Mitsubishi Electric Corp | Device driver installation system |
| JPH10326287A (en) * | 1997-05-23 | 1998-12-08 | Mitsubishi Corp | System and device for digital content management |
| JPH11187070A (en) * | 1997-12-22 | 1999-07-09 | Mitsubishi Electric Corp | System for setting communication priority for communication control part management system |
| JPH11249917A (en) * | 1998-02-27 | 1999-09-17 | Nec Corp | Parallel computers, their batch processing method, and storage medium |
| WO1999067930A2 (en) * | 1998-06-19 | 1999-12-29 | Ssh Communications Security Ltd. | Method and arrangement for implementing ipsec policy management using filter code |
| WO2000019299A1 (en) * | 1998-09-25 | 2000-04-06 | Hughes Electronics Corporation | An apparatus for providing a secure processing environment |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006512662A (en) * | 2002-12-31 | 2006-04-13 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Quality of service for iSCSI |
| JP2008104152A (en) * | 2003-03-13 | 2008-05-01 | Samsung Electronics Co Ltd | Packet transmission apparatus of communication system |
| US9059916B2 (en) | 2003-03-13 | 2015-06-16 | Samsung Electronics Co., Ltd. | Apparatus and method for transmitting packets in a communication system |
| JP2004343731A (en) * | 2003-04-24 | 2004-12-02 | Matsushita Electric Ind Co Ltd | Encrypted packet processing device, method, program, and program recording medium |
| US7774593B2 (en) | 2003-04-24 | 2010-08-10 | Panasonic Corporation | Encrypted packet, processing device, method, program, and program recording medium |
| JP4551112B2 (en) * | 2003-04-24 | 2010-09-22 | パナソニック株式会社 | ENCRYPTED PACKET PROCESSING DEVICE, METHOD, PROGRAM, AND PROGRAM RECORDING MEDIUM |
| JP5189974B2 (en) * | 2006-04-26 | 2013-04-24 | 日本電信電話株式会社 | Load control device and method thereof |
| US8667120B2 (en) | 2006-04-26 | 2014-03-04 | Nippon Telegraph And Telephone Corporation | Load control device and method thereof for controlling requests sent to a server |
| WO2018220702A1 (en) * | 2017-05-30 | 2018-12-06 | 三菱電機株式会社 | Management system, management method and management program |
| JP6509475B1 (en) * | 2017-05-30 | 2019-05-08 | 三菱電機株式会社 | Management device, management method and management program |
| WO2022102086A1 (en) * | 2020-11-13 | 2022-05-19 | 日本電信電話株式会社 | Network card and packet-processing method |
| JP7556398B2 (en) | 2020-11-13 | 2024-09-26 | 日本電信電話株式会社 | Network card and packet processing method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3736293B2 (en) | 2006-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7089294B1 (en) | Methods, systems and computer program products for server based type of service classification of a communication request | |
| US7359986B2 (en) | Methods and computer program products for providing network quality of service for world wide web applications | |
| US11212590B2 (en) | Multiple core software forwarding | |
| US20080267177A1 (en) | Method and system for virtualization of packet encryption offload and onload | |
| US20100077226A1 (en) | Encryption device and encryption operation method | |
| US10587579B2 (en) | Varying encryption level of traffic through network tunnels | |
| US9632977B2 (en) | System and method for ordering packet transfers in a data processor | |
| US7499457B1 (en) | Method and apparatus for enforcing packet destination specific priority using threads | |
| US10785196B2 (en) | Encryption key management of client devices and endpoints within a protected network | |
| WO2021115196A1 (en) | Dpdk data encryption method and apparatus, and network device | |
| CN112165435A (en) | Bidirectional flow control method and system based on network service quality of virtual machine | |
| JP3736293B2 (en) | Service quality control method and device service quality control program in encrypted communication | |
| US7499463B1 (en) | Method and apparatus for enforcing bandwidth utilization of a virtual serialization queue | |
| US7746783B1 (en) | Method and apparatus for monitoring packets at high data rates | |
| CN113722103A (en) | Encryption card calling control method and communication equipment | |
| KR100624691B1 (en) | Apparatus and method for decryption processing of block encrypted data | |
| US20080118065A1 (en) | Hardware acceleration for large volumes of channels | |
| EP1817875B1 (en) | Terminal of portable internet system and method of transmitting uplink data in terminal | |
| US8639655B2 (en) | Dedicating threads to classes of LDAP service | |
| CN113810397B (en) | Protocol data processing method and device | |
| WO2010023951A1 (en) | Secure communication device, secure communication method, and program | |
| Appiah-Kubi et al. | A bare PC TLS webmail server | |
| US7697434B1 (en) | Method and apparatus for enforcing resource utilization of a container | |
| Imputato et al. | Traffic differentiation and multiqueue networking in ns-3 | |
| US9065741B1 (en) | Methods and apparatuses for identifying and alleviating internal bottlenecks prior to processing packets in internal feature modules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041207 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050117 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051004 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051017 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091104 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101104 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101104 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111104 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |