JP3736293B2 - 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 - Google Patents
暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 Download PDFInfo
- Publication number
- JP3736293B2 JP3736293B2 JP2000163682A JP2000163682A JP3736293B2 JP 3736293 B2 JP3736293 B2 JP 3736293B2 JP 2000163682 A JP2000163682 A JP 2000163682A JP 2000163682 A JP2000163682 A JP 2000163682A JP 3736293 B2 JP3736293 B2 JP 3736293B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- kernel
- quality control
- processing
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体に係り、特に、インターネットのようなパケット交換型ネットワークにおいて、IPsecなどを用いて暗号化通信を行うことにより、セキュアかつ、リアルタイム性などサービス品質を保証した通信サービスを提供する場合に、これらの通信サービスの品質を制御するための暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】
従来から、サービス品質を制御する方法として、ネットワークの通信品質を制御する方法及び、OSにおけるサービスプロセスの品質(優先度)を制御する方法の2つが存在する。ネットワークの通信品質を制御する方法として、IntServ やDiffServなどがあり、それぞれIntServ は、帯域予約を行う帯域確保型の通信品質制御方式であり、DiffServは、優先制御型の通信品質制御方式である。
【0003】
また、OSにおけるユーザプロセスの品質(優先度)を制御する方法としては、時分割方式や実時間プロセスと時分割プロセスに分けてスケジュールする方式などがある。
【0004】
また、インターネットにおいて、暗号化技術を用いてセキュアな通信を提供する方法として、IPsec、SSL、TLS、S/MIMEなどが挙げられる。それぞれ適用範囲が異なり、それぞれIPsecは、IP層、SSL、TLSは、Transport層、S/MIMEはアプリケーション層(電子メール)である。通常、SSL,TLS,S/MIMEにおける暗号化処理はユーザプロセス空間で行われる。一方、IPsecは、通常IPの拡張として導入されるため、ソフトウェアにより実現する場合には、暗号処理もカーネル内で行われる。本発明では、IPsecのような暗号通信が対象となる。
【0005】
【発明が解決しようとする課題】
従来、OSにおいて、カーネルは、キーボードやディスクなどのI/Oバウンドな処理がメインである。通常I/Oバウンドな処理は、軽く短い処理である。しかし、パケット暗号化処理をカーネル内部において行わせることにより、CPUバウンドな重たい処理をカーネルに行わせることになる。従って、カーネルが長時間CPUを占有することになる。通常のOSでは、カーネルによる処理は、ユーザプロセスによる処理よりも優先させるという特徴がある。また、OSにおける通信サービスは、カーネル内部による通信処理とユーザプロセス空間におけるサーバプロセスの処理の2つから行われる。
【0006】
以上のようなことから、次のような場合に、優先度逆転(Priority Inversion)の問題が発生する。
【0007】
優先度の高いサービスと低いサービスを共に暗号化通信を用いて同時に提供する場合において、優先度の高いサービスのユーザプロセス空間におけるサーバプロセスの処理よりも、優先度の低いサービスのカーネル内部によるパケット処理の方が優先されてしまい、優先度の高いサービスと優先度の低いサービスの品質制御が正しく行われないという問題がある。
【0008】
本発明は、上記の点に鑑みなされたもので、暗号化通信を用いたサービスを行う場合に、優先度に応じたサービス品質の制御を正しく行うことが可能な暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体を提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明(請求項1)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御方法であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分けステップと、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理する制御ステップと、を行う。
【0012】
本発明(請求項2)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御装置であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分け手段と、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理するパケット処理手段と、を有する。
【0014】
本発明(請求項3)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うためのサービス品質制御プログラムを格納した記憶媒体であって、
上記の請求項1記載のサービス品質制御方法を実現するための処理をコンピュータに実行させるプログラムを格納した記憶媒体である。
【0017】
上記のように、本発明は、カーネルにおけるパケット処理とユーザプロセス空間における処理のそれぞれに割り当てるCPU数を制限することにより、サービスの品質を制御することが可能となる。
【0018】
また、パケットをサービスの種類に応じてクラス分けし、それぞれのクラスに割り当てるCPU数を制限することにより、カーネル内における通信品質を制御することが可能となる。
【0019】
また、クラス分けされたうち、優先度の低いパケットの暗号・復号処理をユーザプロセス空間のプロセスによって処理することにより、優先度を下げて通信品質を制御することが可能となる。
【0020】
【発明の実施の形態】
図1は、本発明のサービス品質制御装置の構成を示す。
【0021】
同図に示すサービス品質制御装置は、ネットワークインタフェース20に接続されるカーネル100およびサーバプロセス12を包含するユーザプロセス空間10により構成される。
【0022】
カーネル100は、入力クラス分け部110、パケット処理部120、出力クラス分け部130から構成される。同図では、入力クラス分け部110と出力クラス分け部130を分けて示しているが、1つのクラス分け部として構築してもよい。
【0023】
入力クラス分け部110は、ネットワークインタフェース20から入力されたパケットを優先度に応じてクラス分けし、クラス別入力キュー101に設定する。
【0024】
パケット処理部120は、クラス別入力キュー101または、クラス別出力キー103に設定されたキューに入れられたパケットを処理する。パケット処理は、それぞれに割り当てられたCPU数までの範囲の並列度に基づいて処理を行う。パケット処理のCPU数の制限方法については後述する。また、場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらうことも可能である。
【0025】
出力クラス分け部130は、ユーザプロセス空間10内のサーバプロセス12から取得したパケットを優先度に応じてクラス分けし、クラス別出力キュー103に設定する。暗号化されたパケットのクラス分けの処理については後述する。
最初に入力に関する動作について説明する。
【0026】
図2は、本発明の入力動作のフローチャートである。
【0027】
ステップ101) 入力クラス分け部110において、ネットワークインタフェース20からパケットを取得する。
【0028】
ステップ102) 入力クラス分け部110は、受け取ったパケットを優先度に応じて入力キューに分別する。このとき、暗号化されたパケットを受け取った場合の処理については後述する。
【0029】
ステップ103) 次に、パケット処理部120において、担当するキューに入れられたパケットの処理を行う。各処理は、それぞれに割り当てられたCPU数までの範囲の並列度で処理を行う。パケット処理のCPU数の制限方法については後述する。場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらう。
【0030】
ステップ104) 入力キュー102を介して、ユーザプロセス空間10の各プロセス(サーバプロセス12または、暗号プロセス)に渡される。
【0031】
ステップ105) 各サーバプロセス12は、通常のOSのプロセススケジューリングに備えられた機能により、優先度制御が行われる。サーバプロセス12の優先度制御に関しては後述する。
【0032】
次に、出力動作について説明する。
【0033】
図3は、本発明の出力動作のフローチャートである。
【0034】
ステップ201) ユーザプロセス空間10の各サーバプロセス12は、通常のOSのプロセススケジューリングに備えられた機能により、優先度制御が行われる。優先度制御されたパケットを出力クラス分け部130に転送する。なお、サーバプロセス12の優先度制御に関しては後述する。
【0035】
ステップ202) 出力クラス分け部130は、サーバプロセス12から送り出されたパケットは、クラス分け処理により優先度に応じた出力キューに分別され、クラス分け出力キュー103に設定される。暗号化されたパケットのクラス分け方法に関しては、後述する。
【0036】
ステップ203) パケット処理部120は、該当するクラス別出力キュー103に設定されたパケットの処理を行う。各処理は、それぞれに割り当てられたCPU数までの範囲の並列度に基づいて処理を行う。パケット処理のCPU数の制限方法については後述する。場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらう。
【0037】
ステップ204) パケット処理が終わったパケットは、出力キュー104に設定され、ネットワークインタフェース20を介して出力される。
【0038】
【実施例】
以下、図面と共に本発明の実施例を説明する。
【0039】
以下の実施例では、まず、8つのCPUを備えた計算機を用いて、IPsecによる暗号化通信を用いて、3つのサービスを提供する場合を例にして説明を行う。
【0040】
それぞれのサービスは、主に、ユーザプロセス空間のサーバプロセス12とカーネル100内におけるパケット処理部120により行われる。3つのサービスをサービスA,サービスB,サービスCとする。
【0041】
本実施例における前提条件は以下の通りである。
【0042】
図4は、本発明の一実施例のサービス品質制御装置の構成を示す。
−サービスAのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスa』であり、優先度は『低』である。
−サービスBのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスb』であり、優先度は『中』である。
−サービスCのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスc』であり、優先度は『高』である。
−サービスAのカーネル100内の処理は、『パケット処理a』によって行われ、優先度は『低』である。パケット処理aの暗号処理は、『暗号処理プロセスd』を用いて行われる。
−サービスBのカーネル100内の処理は、『パケット処理b』によって行われ、優先度は『中』である。
−サービスcのカーネル100内の処理は、『パケット処理c』によってによって行われ、優先度は『高』である。
−カーネル100内の処理に関して、それぞれパケット処理aには1つ、パケット処理bには2つ、パケット処理cには3つまでCPUが制限されている。
【0043】
以下に、具体的な実現方法に関して説明する。
【0044】
▲1▼ クラス分け方法:
入力クラス分け部110及び出力クラス分け部130におけるクラス分け方法を以下に示す。
【0045】
IPsecによる通信では、暗号鍵や復号鍵などの情報をSA(Security Association)と呼ばれる情報として保持する。各パケット毎にこのSAをソースアドレス、ディスティネーションアドレス、SPIなどから探索し、暗号化や復号化処理を行う。このSAに優先度情報を記述しておく。
【0046】
図5は、本発明の一実施例のクラス分けを説明するための図である。
【0047】
入力クラス分け部110、出力クラス分け部130は、同図に示すように、パケット分類部111、メータリング部112、マーキング部113、シェーピング部114、及びキュー管理部115から構成される。
【0048】
クラス分け処理方法(入力クラス分け部110、出力クラス分け部130における処理)は、通常QoSルータのパケットフォーワードと同様の方法により行う。図5のように、まず、パケット分類部111において、上記のようにSAの探索を行い、そのSAにある優先度情報を元に、マーキング部113においてパケットに優先度情報を書き込む。それと同時に、メータリング部112において、優先度クラス毎にトラフィックの観測をしており、過剰なトラフィックが流れる場合には、シェーピング部114においてパケットの破棄、もしくは、マーキング部113において、優先度を下げたマークを付与するなどの処理を行う。その後に、キュー管理部115において、各優先度に合わせたキューに入れられる。
【0049】
▲2▼ CPU数の制限方法:
パケット処理部120において、それぞれ利用可能なCPU数を制限しておく。この制限方法は、当該パケット処理部120が起こせるスレッドの数を制限することにより実現する。具体的には、現在実行中のスレッド数を表す変数を用意しておき、その数が限度を超えたら空くまで処理を止めるという方法による。
【0050】
▲3▼ サーバプロセス12の優先度制御:
ユーザプロセス空間10におけるサーバプロセス12の優先度制御は、通常のOSに用意されている優先度制御方法を試用する。UNIXの場合では、nice値により、優先度制御を行う。
【0051】
▲4▼ ユーザプロセス空間10における暗号処理プロセスによる処理:
カーネル100内のパケット処理部120からユーザプロセス空間10へ暗号化もしくは、復号化するパケットを引き渡す。そして、カーネル空間より優先度の低いユーザプロセス空間において、しかもniceによりユーザプロセス空間10においても優先度が付与された状態で、パケットの暗号処理を行う。処理を終えたパケットは、再びカーネル100内部のパケット処理部120に戻す。
【0052】
また、上記の実施例は、図4に基づいて説明したが、カーネル内のクラス分け部110、130及びパケット処理部120の処理をプログラムとして構築し、サービス品質制御装置として利用されるコンピュータに接続されるディスク装置や、フロッピーディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることにより、容易に本発明を実現することが可能である。
【0053】
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0054】
【発明の効果】
上述のように、本発明によれば、OSにおいて、ユーザプロセス空間のサーバプロセスとカーネル空間におけるパケット処理を割り当てるCPU数を制限すること、及び本来、カーネル内部で行う処理をユーザプロセス空間における暗号処理プロセスを用いることにより、サービス品質を制御することにより、暗号化通信によるセキュアかつリアルタイムなどのサービスの品質を保証した通信サービスを提供する場合に有効である。例えば、NTPのような時刻配送サービスと、ファイル転送サービスの両者を暗号化通信により提供する場合などである。
【0055】
今後は、インターネットにおいてセキュリティを考慮することは当然のこととなり、IPsecがその標準として使われることが予想される。従って、そのような場合において、本発明のようなサービス品質制御は重要になることが予想される。
【図面の簡単な説明】
【図1】本発明のサービス品質制御装置の構成図である。
【図2】本発明の入力動作のフローチャートである。
【図3】本発明の出力動作のフローチャートである。
【図4】本発明の一実施例のサービス品質制御装置の構成図である。
【図5】本発明の一実施例のクラス分けを説明するための図である。
【符号の説明】
10 ユーザプロセス空間
12 サーバプロセス
20 ネットワークインタフェース
100 カーネル
101 クラス別入力キュー
102 入力キュー
103 クラス別出力キュー
104 出力キュー
110 入力クラス分け部
111 パケット分類部
112 メーリング部
113 マーキング部
114 シェーピング部
115 キュー管理部
120 パケット処理部
130 出力クラス分け部
【発明の属する技術分野】
本発明は、暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体に係り、特に、インターネットのようなパケット交換型ネットワークにおいて、IPsecなどを用いて暗号化通信を行うことにより、セキュアかつ、リアルタイム性などサービス品質を保証した通信サービスを提供する場合に、これらの通信サービスの品質を制御するための暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】
従来から、サービス品質を制御する方法として、ネットワークの通信品質を制御する方法及び、OSにおけるサービスプロセスの品質(優先度)を制御する方法の2つが存在する。ネットワークの通信品質を制御する方法として、IntServ やDiffServなどがあり、それぞれIntServ は、帯域予約を行う帯域確保型の通信品質制御方式であり、DiffServは、優先制御型の通信品質制御方式である。
【0003】
また、OSにおけるユーザプロセスの品質(優先度)を制御する方法としては、時分割方式や実時間プロセスと時分割プロセスに分けてスケジュールする方式などがある。
【0004】
また、インターネットにおいて、暗号化技術を用いてセキュアな通信を提供する方法として、IPsec、SSL、TLS、S/MIMEなどが挙げられる。それぞれ適用範囲が異なり、それぞれIPsecは、IP層、SSL、TLSは、Transport層、S/MIMEはアプリケーション層(電子メール)である。通常、SSL,TLS,S/MIMEにおける暗号化処理はユーザプロセス空間で行われる。一方、IPsecは、通常IPの拡張として導入されるため、ソフトウェアにより実現する場合には、暗号処理もカーネル内で行われる。本発明では、IPsecのような暗号通信が対象となる。
【0005】
【発明が解決しようとする課題】
従来、OSにおいて、カーネルは、キーボードやディスクなどのI/Oバウンドな処理がメインである。通常I/Oバウンドな処理は、軽く短い処理である。しかし、パケット暗号化処理をカーネル内部において行わせることにより、CPUバウンドな重たい処理をカーネルに行わせることになる。従って、カーネルが長時間CPUを占有することになる。通常のOSでは、カーネルによる処理は、ユーザプロセスによる処理よりも優先させるという特徴がある。また、OSにおける通信サービスは、カーネル内部による通信処理とユーザプロセス空間におけるサーバプロセスの処理の2つから行われる。
【0006】
以上のようなことから、次のような場合に、優先度逆転(Priority Inversion)の問題が発生する。
【0007】
優先度の高いサービスと低いサービスを共に暗号化通信を用いて同時に提供する場合において、優先度の高いサービスのユーザプロセス空間におけるサーバプロセスの処理よりも、優先度の低いサービスのカーネル内部によるパケット処理の方が優先されてしまい、優先度の高いサービスと優先度の低いサービスの品質制御が正しく行われないという問題がある。
【0008】
本発明は、上記の点に鑑みなされたもので、暗号化通信を用いたサービスを行う場合に、優先度に応じたサービス品質の制御を正しく行うことが可能な暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体を提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明(請求項1)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御方法であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分けステップと、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理する制御ステップと、を行う。
【0012】
本発明(請求項2)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御装置であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分け手段と、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理するパケット処理手段と、を有する。
【0014】
本発明(請求項3)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うためのサービス品質制御プログラムを格納した記憶媒体であって、
上記の請求項1記載のサービス品質制御方法を実現するための処理をコンピュータに実行させるプログラムを格納した記憶媒体である。
【0017】
上記のように、本発明は、カーネルにおけるパケット処理とユーザプロセス空間における処理のそれぞれに割り当てるCPU数を制限することにより、サービスの品質を制御することが可能となる。
【0018】
また、パケットをサービスの種類に応じてクラス分けし、それぞれのクラスに割り当てるCPU数を制限することにより、カーネル内における通信品質を制御することが可能となる。
【0019】
また、クラス分けされたうち、優先度の低いパケットの暗号・復号処理をユーザプロセス空間のプロセスによって処理することにより、優先度を下げて通信品質を制御することが可能となる。
【0020】
【発明の実施の形態】
図1は、本発明のサービス品質制御装置の構成を示す。
【0021】
同図に示すサービス品質制御装置は、ネットワークインタフェース20に接続されるカーネル100およびサーバプロセス12を包含するユーザプロセス空間10により構成される。
【0022】
カーネル100は、入力クラス分け部110、パケット処理部120、出力クラス分け部130から構成される。同図では、入力クラス分け部110と出力クラス分け部130を分けて示しているが、1つのクラス分け部として構築してもよい。
【0023】
入力クラス分け部110は、ネットワークインタフェース20から入力されたパケットを優先度に応じてクラス分けし、クラス別入力キュー101に設定する。
【0024】
パケット処理部120は、クラス別入力キュー101または、クラス別出力キー103に設定されたキューに入れられたパケットを処理する。パケット処理は、それぞれに割り当てられたCPU数までの範囲の並列度に基づいて処理を行う。パケット処理のCPU数の制限方法については後述する。また、場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらうことも可能である。
【0025】
出力クラス分け部130は、ユーザプロセス空間10内のサーバプロセス12から取得したパケットを優先度に応じてクラス分けし、クラス別出力キュー103に設定する。暗号化されたパケットのクラス分けの処理については後述する。
最初に入力に関する動作について説明する。
【0026】
図2は、本発明の入力動作のフローチャートである。
【0027】
ステップ101) 入力クラス分け部110において、ネットワークインタフェース20からパケットを取得する。
【0028】
ステップ102) 入力クラス分け部110は、受け取ったパケットを優先度に応じて入力キューに分別する。このとき、暗号化されたパケットを受け取った場合の処理については後述する。
【0029】
ステップ103) 次に、パケット処理部120において、担当するキューに入れられたパケットの処理を行う。各処理は、それぞれに割り当てられたCPU数までの範囲の並列度で処理を行う。パケット処理のCPU数の制限方法については後述する。場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらう。
【0030】
ステップ104) 入力キュー102を介して、ユーザプロセス空間10の各プロセス(サーバプロセス12または、暗号プロセス)に渡される。
【0031】
ステップ105) 各サーバプロセス12は、通常のOSのプロセススケジューリングに備えられた機能により、優先度制御が行われる。サーバプロセス12の優先度制御に関しては後述する。
【0032】
次に、出力動作について説明する。
【0033】
図3は、本発明の出力動作のフローチャートである。
【0034】
ステップ201) ユーザプロセス空間10の各サーバプロセス12は、通常のOSのプロセススケジューリングに備えられた機能により、優先度制御が行われる。優先度制御されたパケットを出力クラス分け部130に転送する。なお、サーバプロセス12の優先度制御に関しては後述する。
【0035】
ステップ202) 出力クラス分け部130は、サーバプロセス12から送り出されたパケットは、クラス分け処理により優先度に応じた出力キューに分別され、クラス分け出力キュー103に設定される。暗号化されたパケットのクラス分け方法に関しては、後述する。
【0036】
ステップ203) パケット処理部120は、該当するクラス別出力キュー103に設定されたパケットの処理を行う。各処理は、それぞれに割り当てられたCPU数までの範囲の並列度に基づいて処理を行う。パケット処理のCPU数の制限方法については後述する。場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらう。
【0037】
ステップ204) パケット処理が終わったパケットは、出力キュー104に設定され、ネットワークインタフェース20を介して出力される。
【0038】
【実施例】
以下、図面と共に本発明の実施例を説明する。
【0039】
以下の実施例では、まず、8つのCPUを備えた計算機を用いて、IPsecによる暗号化通信を用いて、3つのサービスを提供する場合を例にして説明を行う。
【0040】
それぞれのサービスは、主に、ユーザプロセス空間のサーバプロセス12とカーネル100内におけるパケット処理部120により行われる。3つのサービスをサービスA,サービスB,サービスCとする。
【0041】
本実施例における前提条件は以下の通りである。
【0042】
図4は、本発明の一実施例のサービス品質制御装置の構成を示す。
−サービスAのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスa』であり、優先度は『低』である。
−サービスBのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスb』であり、優先度は『中』である。
−サービスCのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスc』であり、優先度は『高』である。
−サービスAのカーネル100内の処理は、『パケット処理a』によって行われ、優先度は『低』である。パケット処理aの暗号処理は、『暗号処理プロセスd』を用いて行われる。
−サービスBのカーネル100内の処理は、『パケット処理b』によって行われ、優先度は『中』である。
−サービスcのカーネル100内の処理は、『パケット処理c』によってによって行われ、優先度は『高』である。
−カーネル100内の処理に関して、それぞれパケット処理aには1つ、パケット処理bには2つ、パケット処理cには3つまでCPUが制限されている。
【0043】
以下に、具体的な実現方法に関して説明する。
【0044】
▲1▼ クラス分け方法:
入力クラス分け部110及び出力クラス分け部130におけるクラス分け方法を以下に示す。
【0045】
IPsecによる通信では、暗号鍵や復号鍵などの情報をSA(Security Association)と呼ばれる情報として保持する。各パケット毎にこのSAをソースアドレス、ディスティネーションアドレス、SPIなどから探索し、暗号化や復号化処理を行う。このSAに優先度情報を記述しておく。
【0046】
図5は、本発明の一実施例のクラス分けを説明するための図である。
【0047】
入力クラス分け部110、出力クラス分け部130は、同図に示すように、パケット分類部111、メータリング部112、マーキング部113、シェーピング部114、及びキュー管理部115から構成される。
【0048】
クラス分け処理方法(入力クラス分け部110、出力クラス分け部130における処理)は、通常QoSルータのパケットフォーワードと同様の方法により行う。図5のように、まず、パケット分類部111において、上記のようにSAの探索を行い、そのSAにある優先度情報を元に、マーキング部113においてパケットに優先度情報を書き込む。それと同時に、メータリング部112において、優先度クラス毎にトラフィックの観測をしており、過剰なトラフィックが流れる場合には、シェーピング部114においてパケットの破棄、もしくは、マーキング部113において、優先度を下げたマークを付与するなどの処理を行う。その後に、キュー管理部115において、各優先度に合わせたキューに入れられる。
【0049】
▲2▼ CPU数の制限方法:
パケット処理部120において、それぞれ利用可能なCPU数を制限しておく。この制限方法は、当該パケット処理部120が起こせるスレッドの数を制限することにより実現する。具体的には、現在実行中のスレッド数を表す変数を用意しておき、その数が限度を超えたら空くまで処理を止めるという方法による。
【0050】
▲3▼ サーバプロセス12の優先度制御:
ユーザプロセス空間10におけるサーバプロセス12の優先度制御は、通常のOSに用意されている優先度制御方法を試用する。UNIXの場合では、nice値により、優先度制御を行う。
【0051】
▲4▼ ユーザプロセス空間10における暗号処理プロセスによる処理:
カーネル100内のパケット処理部120からユーザプロセス空間10へ暗号化もしくは、復号化するパケットを引き渡す。そして、カーネル空間より優先度の低いユーザプロセス空間において、しかもniceによりユーザプロセス空間10においても優先度が付与された状態で、パケットの暗号処理を行う。処理を終えたパケットは、再びカーネル100内部のパケット処理部120に戻す。
【0052】
また、上記の実施例は、図4に基づいて説明したが、カーネル内のクラス分け部110、130及びパケット処理部120の処理をプログラムとして構築し、サービス品質制御装置として利用されるコンピュータに接続されるディスク装置や、フロッピーディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることにより、容易に本発明を実現することが可能である。
【0053】
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0054】
【発明の効果】
上述のように、本発明によれば、OSにおいて、ユーザプロセス空間のサーバプロセスとカーネル空間におけるパケット処理を割り当てるCPU数を制限すること、及び本来、カーネル内部で行う処理をユーザプロセス空間における暗号処理プロセスを用いることにより、サービス品質を制御することにより、暗号化通信によるセキュアかつリアルタイムなどのサービスの品質を保証した通信サービスを提供する場合に有効である。例えば、NTPのような時刻配送サービスと、ファイル転送サービスの両者を暗号化通信により提供する場合などである。
【0055】
今後は、インターネットにおいてセキュリティを考慮することは当然のこととなり、IPsecがその標準として使われることが予想される。従って、そのような場合において、本発明のようなサービス品質制御は重要になることが予想される。
【図面の簡単な説明】
【図1】本発明のサービス品質制御装置の構成図である。
【図2】本発明の入力動作のフローチャートである。
【図3】本発明の出力動作のフローチャートである。
【図4】本発明の一実施例のサービス品質制御装置の構成図である。
【図5】本発明の一実施例のクラス分けを説明するための図である。
【符号の説明】
10 ユーザプロセス空間
12 サーバプロセス
20 ネットワークインタフェース
100 カーネル
101 クラス別入力キュー
102 入力キュー
103 クラス別出力キュー
104 出力キュー
110 入力クラス分け部
111 パケット分類部
112 メーリング部
113 マーキング部
114 シェーピング部
115 キュー管理部
120 パケット処理部
130 出力クラス分け部
Claims (3)
- パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御方法であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分けステップと、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理するパケット処理ステップと、
を行う
ことを特徴とする暗号化通信におけるサービス品質制御方法。 - パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御装置であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分け手段と、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理するパケット処理手段と、
を有することを特徴とする暗号化通信におけるサービス品質制御装置。 - パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うためのサービス品質制御プログラムを格納した記憶媒体であって、
前記請求項1記載のサービス品質制御方法を実現するための処理をコンピュータに実行させるプログラムを格納したことを特徴とするサービス品質制御プログラムを格納した記憶媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000163682A JP3736293B2 (ja) | 2000-05-31 | 2000-05-31 | 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000163682A JP3736293B2 (ja) | 2000-05-31 | 2000-05-31 | 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001344228A JP2001344228A (ja) | 2001-12-14 |
| JP3736293B2 true JP3736293B2 (ja) | 2006-01-18 |
Family
ID=18667404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000163682A Expired - Fee Related JP3736293B2 (ja) | 2000-05-31 | 2000-05-31 | 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3736293B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101330072B1 (ko) | 2013-07-12 | 2013-11-18 | (주)아울시스템즈 | 데이터베이스 데이터 재저장 방법 및 시스템 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7376082B2 (en) * | 2002-12-31 | 2008-05-20 | International Business Machines Corporation | Quality of service for iSCSI |
| KR100678223B1 (ko) * | 2003-03-13 | 2007-02-01 | 삼성전자주식회사 | 통신시스템의 패킷 전송 장치 및 방법 |
| US7774593B2 (en) | 2003-04-24 | 2010-08-10 | Panasonic Corporation | Encrypted packet, processing device, method, program, and program recording medium |
| JP4551112B2 (ja) * | 2003-04-24 | 2010-09-22 | パナソニック株式会社 | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 |
| WO2007125942A1 (ja) * | 2006-04-26 | 2007-11-08 | Nippon Telegraph And Telephone Corporation | 負荷制御装置およびその方法 |
| JP6509475B1 (ja) * | 2017-05-30 | 2019-05-08 | 三菱電機株式会社 | 管理装置、管理方法及び管理プログラム |
| WO2022102086A1 (ja) * | 2020-11-13 | 2022-05-19 | 日本電信電話株式会社 | ネットワークカードおよびパケット処理方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5600822A (en) * | 1994-04-05 | 1997-02-04 | International Business Machines Corporation | Resource allocation synchronization in a parallel processing system |
| JPH08251196A (ja) * | 1995-03-15 | 1996-09-27 | Toshiba Corp | 並列計算機 |
| US5896141A (en) * | 1996-07-26 | 1999-04-20 | Hewlett-Packard Company | System and method for virtual device access in a computer system |
| JPH10222382A (ja) * | 1997-02-04 | 1998-08-21 | Mitsubishi Electric Corp | デバイスドライバ実装方式 |
| JPH10326287A (ja) * | 1997-05-23 | 1998-12-08 | Mitsubishi Corp | デジタルコンテンツ管理システム及びデジタルコンテンツ管理装置 |
| JP3595143B2 (ja) * | 1997-12-22 | 2004-12-02 | 三菱電機株式会社 | 通信属性設定・通信量処理通信機器 |
| JPH11249917A (ja) * | 1998-02-27 | 1999-09-17 | Nec Corp | 並列型計算機及びそのバッチ処理方法及び記録媒体 |
| US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
| AU743775B2 (en) * | 1998-09-25 | 2002-02-07 | Hughes Electronics Corporation | An apparatus for providing a secure processing environment |
-
2000
- 2000-05-31 JP JP2000163682A patent/JP3736293B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101330072B1 (ko) | 2013-07-12 | 2013-11-18 | (주)아울시스템즈 | 데이터베이스 데이터 재저장 방법 및 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001344228A (ja) | 2001-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6625150B1 (en) | Policy engine architecture | |
| US7499457B1 (en) | Method and apparatus for enforcing packet destination specific priority using threads | |
| US7089294B1 (en) | Methods, systems and computer program products for server based type of service classification of a communication request | |
| US7420976B2 (en) | System directing flow of packets by-passing policy-based application for processing by policy engine according to action specification in policy cache | |
| US20080267177A1 (en) | Method and system for virtualization of packet encryption offload and onload | |
| US9864633B2 (en) | Network processor having multicasting protocol | |
| US7499463B1 (en) | Method and apparatus for enforcing bandwidth utilization of a virtual serialization queue | |
| US20150124835A1 (en) | Method and apparatus for scheduling a heterogeneous communication flow | |
| US7290028B2 (en) | Methods, systems and computer program products for providing transactional quality of service | |
| US7746783B1 (en) | Method and apparatus for monitoring packets at high data rates | |
| EP1440545B1 (en) | Method and system for packet ordering for parallel packet transform processing | |
| US20080043756A1 (en) | Method and system for network configuration for virtual machines | |
| US7715416B2 (en) | Generalized serialization queue framework for protocol processing | |
| US20030231632A1 (en) | Method and system for packet-level routing | |
| US9712374B1 (en) | Network services resource management | |
| KR100651435B1 (ko) | 효율적인 실시간 패킷 전송을 위한 적응적 큐 메커니즘과그의 적응적 큐 설정 시스템 | |
| JP2004532559A (ja) | ポリシーゲートウェイ | |
| US20080021985A1 (en) | Method and system for network configuration for containers | |
| JP3736293B2 (ja) | 暗号化通信におけるサービス品質制御方法及び装置サービス品質制御プログラムを格納した記憶媒体 | |
| US20090198826A1 (en) | Apparatus and method for passing metadata in streams modules | |
| US7697434B1 (en) | Method and apparatus for enforcing resource utilization of a container | |
| CN111970149B (zh) | 一种基于硬件防火墙qos的共享带宽实现方法 | |
| Radhakrishnan | Linux–advanced networking overview version 1 | |
| Yau et al. | Migrating sockets-end system support for networking with quality of service guarantees | |
| CN113810397A (zh) | 协议数据的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041207 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050117 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051004 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051017 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091104 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101104 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101104 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111104 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |