JP2006033593A - Load distribution method for a plurality of encryption/decoding devices - Google Patents
Load distribution method for a plurality of encryption/decoding devices Download PDFInfo
- Publication number
- JP2006033593A JP2006033593A JP2004211645A JP2004211645A JP2006033593A JP 2006033593 A JP2006033593 A JP 2006033593A JP 2004211645 A JP2004211645 A JP 2004211645A JP 2004211645 A JP2004211645 A JP 2004211645A JP 2006033593 A JP2006033593 A JP 2006033593A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- decryption
- request
- load
- processing time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、コンピュータ・ネットワーク上に配置されたIP−VPN等の暗号通信を行うシステム内において使用される暗号・復号デバイスへの負荷分散方法に関するものである。 The present invention relates to a load distribution method to an encryption / decryption device used in a system that performs cryptographic communication such as IP-VPN arranged on a computer network.
近年、IP通信上でのセキュリティへの要請から、暗号・復号デバイスを用いて高速に暗号・復号を行う需要が増大している。その際、一つのデバイスで目標とする暗号・復号速度を達成できない場合には、暗号・復号デバイスを複数搭載することで暗号・復号の高速化を図ることが一般に行われている。 In recent years, demands for high-speed encryption / decryption using an encryption / decryption device are increasing due to security requirements on IP communication. At that time, if the target encryption / decryption speed cannot be achieved with one device, it is generally performed to increase the speed of encryption / decryption by installing a plurality of encryption / decryption devices.
また、このように複数の暗号・復号デバイスを用いる場合において、各暗号・復号デバイスの負荷を各暗号・復号デバイスが保持する暗号・復号要求データ長の和として管理し、保持するデータ長の最も短い暗号・復号デバイスに次の暗号・復号要求データを割り当てることで、複数の暗号・復号デバイスの稼動率を均一化して、データを高速に暗号・復号化するようにした暗号・復号負荷分散方法が知られている(例えば、特許文献1参照)。 In addition, when using a plurality of encryption / decryption devices in this way, the load of each encryption / decryption device is managed as the sum of the encryption / decryption request data lengths held by each encryption / decryption device, An encryption / decryption load distribution method in which, by assigning the next encryption / decryption request data to a short encryption / decryption device, the operating rate of the plurality of encryption / decryption devices is made uniform, and the data is encrypted / decrypted at high speed. Is known (see, for example, Patent Document 1).
一方、最近では、暗号形式の多様化に伴って、異なる暗号形式が混在した複数の暗号・復号データ流を扱うことが多くなっている。また、基板の実装スペースやコストの点から、高価で高速な暗号・復号デバイスを複数個搭載できない場合に、高価で高速な暗号・復号デバイスと廉価で高速でない暗号・復号デバイスとを組み合わせて使用して、目標性能を達成したいという要求がある。
しかしながら、特許文献1に開示の技術では、単一の暗号・符号データ流に対しては所定の効果が得られるが、暗号形式の異なる複数の暗号・復号データ流を扱う場合には、それぞれの暗号形式で処理時間が異なるために、最も負荷の小さい暗号・復号デバイスを割り当てることができない場合がある。 However, with the technique disclosed in Patent Document 1, a predetermined effect can be obtained for a single encrypted / decoded data stream, but when dealing with a plurality of encrypted / decrypted data streams having different encryption formats, Since the processing time differs depending on the encryption format, the encryption / decryption device with the smallest load may not be assigned.
例えば、AES暗号の1バイト当たり処理時間が8.70ナノ秒、3DES暗号の1バイト当たり処理時間が11.8ナノ秒である場合に、AES暗号の要求データを3000バイト保持している暗号・復号デバイスと、3DESの要求データを2500バイト保持している暗号・復号デバイスとでは、AES暗号の要求データを保持している暗号・復号デバイスの方が負荷は小さいが、特許文献1に開示の方法によると、3DESの要求データを保持している暗号・復号デバイスに処理を割り当ててしまうことになる。 For example, if the processing time per byte of the AES cipher is 8.70 nanoseconds and the processing time per byte of the 3DES cipher is 11.8 nanoseconds, the cipher that holds 3000 bytes of AES cipher request data. The decryption device and the encryption / decryption device that holds 2500 bytes of 3DES request data have a smaller load than the encryption / decryption device that holds the request data of AES encryption. According to the method, processing is assigned to the encryption / decryption device that holds the 3DES request data.
また、特許文献1に開示の技術では、性能の等しい暗号・復号デバイスを用いる場合には所定の効果が得られるが、性能の異なる暗号・復号デバイスを組み合わせた場合には、暗号・復号の高速化が図れないため、システムのハードウェア設計に柔軟性を与えられないという問題もある。 In the technology disclosed in Patent Document 1, a predetermined effect can be obtained when using encryption / decryption devices having the same performance. However, when encryption / decryption devices having different performances are combined, high-speed encryption / decryption is possible. There is also a problem that flexibility cannot be given to the hardware design of the system because it cannot be realized.
例えば、AES暗号の1バイト当たり処理時間が8.70ナノ秒の第1デバイスと、12.5ナノ秒の第2デバイスとを有する場合において、AES暗号形式で1024バイトを暗号する要求データが8つ一度に発生したとする。この場合、従来の方法では、暗号要求データを4つずつ第1デバイスと第2デバイスとに割り振るが、全体の処理が完了するのは、第2デバイスが4つの暗号処理を終了する102.4マイクロ秒後となってしまう。しかし、暗号要求データを第1デバイスに6つ、第2デバイスに2つ割り振ることができれば、第1デバイスで6つの暗号処理を終了する52.84マイクロ秒で処理を完了することができる。 For example, in the case where a first device having a processing time of 8.70 nanoseconds per byte of AES encryption and a second device having 12.5 nanoseconds are provided, request data for encrypting 1024 bytes in the AES encryption format is 8 Suppose that they occur one at a time. In this case, in the conventional method, the encryption request data is allocated to the first device and the second device four by four. However, the entire process is completed because the second device finishes the four encryption processes 102.4. After microseconds. However, if six encryption request data can be allocated to the first device and two to the second device, the processing can be completed in 52.84 microseconds when the first device ends the six encryption processing.
さらに、暗号・復号デバイスが複数の機能を持つ汎用のDSPを使用して構成されている場合には、暗号・復号機能以外の機能が動作する時間帯では、暗号・復号性能が変化してしまうため、特許文献1に開示の技術を適用して負荷分散しても、暗号・復号の高速化が図れないという問題がある。 Furthermore, when the encryption / decryption device is configured using a general-purpose DSP having a plurality of functions, the encryption / decryption performance changes in a time zone in which functions other than the encryption / decryption function operate. For this reason, there is a problem that even if the technique disclosed in Patent Document 1 is applied to distribute the load, the encryption / decryption speed cannot be increased.
したがって、上記の事情に鑑みてなされた本発明の目的は、異なる暗号形式が混在しても、暗号・復号デバイスの性能および構成に応じて要求データを効率良く分散でき、暗号・復号の高速化が図れる負荷分散方法を提供することにある。 Therefore, the object of the present invention made in view of the above circumstances is to enable efficient distribution of request data according to the performance and configuration of an encryption / decryption device, even if different encryption formats are mixed, and to increase the speed of encryption / decryption It is to provide a load balancing method that can achieve the above.
上記目的を達成する請求項1に係る複数の暗号・復号デバイスへの負荷分散方法の発明は、暗号処理および復号処理を実行する複数の暗号・復号デバイスのうち、負荷の最も小さい暗号・復号デバイスを特定して次の処理要求データを割り振るにあたり、
上記複数の暗号・復号デバイスの各々について、暗号形式毎の処理速度を管理して、現在の負荷量を未処理の全要求データのデータ量およびその暗号形式に対応する上記処理速度に基づいて全要求処理時間として算出し、その算出された全要求処理時間の最も短い暗号・復号デバイスを負荷の最も小さい暗号・復号デバイスとして特定することを特徴とするものである。
The invention of the load distribution method to a plurality of encryption / decryption devices according to claim 1 that achieves the above object is the encryption / decryption device having the smallest load among the plurality of encryption / decryption devices that execute encryption processing and decryption processing. And assigning the next processing request data
For each of the plurality of encryption / decryption devices, the processing speed for each encryption format is managed, and the current load amount is determined based on the data amount of all unprocessed request data and the processing speed corresponding to the encryption format. The request processing time is calculated, and the encryption / decryption device with the shortest total request processing time is specified as the encryption / decryption device with the smallest load.
請求項2に係る発明は、請求項1に記載の複数の暗号・復号デバイスへの負荷分散方法において、上記暗号・復号デバイス毎に管理する暗号形式毎の処理速度を、各暗号・符号デバイスによる実際の暗号・復号処理のデータ量およびその処理時間に基づいて更新することを特徴とするものである。
The invention according to
請求項3に係る発明は、請求項1に記載の複数の暗号・復号デバイスへの負荷分散方法において、上記複数の暗号・復号デバイスの各々について、上記管理されている暗号形式毎の処理速度と、実際の暗号・復号処理のデータ量およびその処理時間に基づいて算出される実処理速度との比である実性能比を算出し、その算出した実性能比を未処理の全要求データの対応する暗号形式の処理速度に乗算して上記全要求処理時間を算出することを特徴とするものである。
The invention according to
請求項1の発明によると、負荷の最も小さい暗号・復号デバイスを、未処理の全要求データのデータ長で特定するのではなく、全要求データの処理時間で特定するので、異なる暗号形式が混在しても、暗号・復号デバイスの性能および構成に応じて負荷の最も小さい暗号・復号デバイスを特定して負荷を効率良く分散でき、暗号・復号の高速化を図ることができる。 According to the invention of claim 1, since the encryption / decryption device with the smallest load is not specified by the data length of all the unprocessed request data, but is specified by the processing time of all the request data, different encryption formats are mixed. Even so, the encryption / decryption device with the smallest load can be identified according to the performance and configuration of the encryption / decryption device, and the load can be efficiently distributed, and the encryption / decryption speed can be increased.
請求項2の発明によると、暗号・復号デバイス毎に管理する暗号形式毎の処理速度を、各暗号・符号デバイスによる実際の暗号・復号処理のデータ量およびその処理時間に基づく実性能で更新するので、暗号・復号デバイスが汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイスを特定して負荷を効率良く分散でき、装置設計の柔軟性を向上することができる。また、暗号・復号デバイスの実際の性能が判明していない場合には、管理する暗号形式毎の処理速度を全て0に設定して優先的に起動することにより、処理速度を確定することができるので、暗号形式毎の処理速度を予め調査して設定する必要がなくなり、実装が容易になる。
According to the invention of
請求項3の発明によると、複数の暗号・復号デバイスの各々について、未処理の全要求データの処理時間とその暗号形式に対応する実性能比とを乗算して全要求処理時間を算出するので、全要求処理時間をより正確に算出することができる。したがって、負荷の最も小さい暗号・復号デバイスを確実に特定することができるので、負荷の分散精度を向上でき、暗号・復号のより高速化を図ることができる。また、実性能比を用いて全要求処理時間を算出することから、暗号・復号デバイスが汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイスを特定して負荷を効率良く分散できるので、装置設計の柔軟性を向上することができる。
According to the invention of
以下、図面を参照して本発明に係る複数の暗号・復号デバイスへの負荷分散方法の実施の形態について説明する。 Embodiments of a load distribution method to a plurality of encryption / decryption devices according to the present invention will be described below with reference to the drawings.
(第1実施の形態)
図1乃至図4は本発明の第1実施の形態を示すもので、図1は本発明による負荷分散方法を実施するルータ装置を含む全体的なシステム概念図、図2(a)〜(f)は図1のメモリに格納するデータ例を示す図、図3は本実施の形態による暗号・復号要求受付時の負荷分散動作を示すフローチャート、図4は同じく暗号・復号要求完了時の負荷状況更新動作を示すフローチャートである。
(First embodiment)
FIGS. 1 to 4 show a first embodiment of the present invention. FIG. 1 is an overall system conceptual diagram including a router device that implements a load distribution method according to the present invention, and FIGS. ) Is a diagram showing an example of data stored in the memory of FIG. 1, FIG. 3 is a flowchart showing a load distribution operation when receiving an encryption / decryption request according to the present embodiment, and FIG. 4 is a load situation when the encryption / decryption request is completed. It is a flowchart which shows update operation | movement.
図1において、ルータ装置1は、IP網2から受信した非暗号データを暗号化してIP−VPN網3に暗号データとして転送し、IP−VPN網3から受信した暗号データを復号してIP網2に非暗号データとして転送するもので、CPU11、メモリ12、LAN I/F13,14、複数(図1では2個)の暗号・復号デバイス15,16を有している。
In FIG. 1, the router device 1 encrypts the non-encrypted data received from the
CPU11は、LAN I/F13または14において受信したデータをメモリ12に格納する機能と、メモリ12に格納されているデータを暗号・復号デバイス15または16に送信する機能と、暗号化または復号化が完了したデータを、LAN I/F14または13を介してIP−VPN網3またはIP網2に送信する機能とを有している。
The
また、メモリ12は、暗号・復号デバイス15,16の各々に対応する全要求処理時間21(図2(a)参照)、暗号形式に対する暗号・復号性能表22(図2(b)参照)、全要求リスト23(図2(c)参照)および起動後経過時間24(図2(d)参照)を格納する領域を有すると共に、受信した非暗号データおよび暗号データの要求データに対する暗号要求データ31(図2(e)参照)および処理時間32(図2(f)参照)を格納する領域を有している。
Further, the
ルータ装置1は、電源起動時に、先ず、CPU11を用いて搭載されている暗号・復号デバイス15,16のそれぞれに対応するメモリ12中の全要求処理時間21および起動後経過時間24を0に設定し、全要求リスト23をクリアする。次に、CPU11は、暗号・復号デバイス15,16の暗号・復号性能を、対応する暗号・復号性能表22に設定する。
At the time of power activation, the router device 1 first sets all the requested
その後、LAN I/F13がIP網2から非暗号データを受信した場合には、その受信した非暗号データをメモリ12に格納してCPU11に通知する。CPU11は、その通知を受けて、受信した非暗号データのルーティング先を計算し、対応するIP−VPN網3とのリンク確立時のネゴシエーション情報から暗号形式を求めて、暗号要求データ31として暗号形式および処理内容(この場合、暗号)を格納する。
Thereafter, when the LAN I /
次に、CPU11は、暗号要求データ31のデータ長、データのメモリ上の位置を設定する。
Next, the
以上により、IP網2からIP−VPN網3へ転送する場合の暗号要求データ31が構築される。
As described above, the
また、LAN I/F14がIP−VPN網3から暗号データを受信した場合には、その受信した暗号データをメモリ12に格納してCPU11に通知する。CPU11は、その通知を受けて、IP−VPN網3とのネゴシエーション情報から暗号形式を求めて、その暗号形式および処理内容(この場合、復号)を暗号要求データ31として格納する。
When the LAN I /
次に、CPU11は、暗号要求データ31のデータ長、データのメモリ上の位置を設定する。
Next, the
以上により、IP−VPN網3からIP網2へ転送する場合の暗号要求データ31が構築される。
As described above, the
以下、図3および図4を参照して、本実施の形態による暗号・復号要求受付時の負荷分散動作および暗号・復号要求完了時の負荷状況更新動作について説明する。 Hereinafter, with reference to FIG. 3 and FIG. 4, the load distribution operation at the time of accepting the encryption / decryption request and the load status update operation at the completion of the encryption / decryption request according to the present embodiment will be described.
暗号・復号要求受付があった場合には、図3に示すように、先ず、CPU11は、暗号・復号デバイス15,16の各々の全要求処理時間21から起動後経過時間24を減算したもののうち、最も値の小さいものを探すことで、負荷の最も小さい暗号・復号デバイス15または16を特定する(ステップS1)。
When the encryption / decryption request is received, first, as shown in FIG. 3, the
その後、CPU11は、特定した暗号・復号デバイス15または16に対応する暗号・復号性能表22から、暗号要求データ31の暗号形式および処理内容に対応する性能値を特定し、その性能値と暗号要求データ31のデータ長とを乗算して処理時間32を算出する(ステップS2)。
Thereafter, the
次に、CPU11は、特定した負荷の最も小さい暗号・復号デバイス15または16に対応する全要求リスト23の末尾に暗号要求データを追加する(ステップS3)。
Next, the
その後、CPU11は、負荷の最も小さい暗号・復号デバイス15または16に対応する全要求処理時間21に処理時間32を加算して更新する(ステップS4)。
Thereafter, the
以上により、負荷の最も小さい暗号・復号デバイス15または16に処理を依頼することで、要求受付時の負荷状況の更新を行うことができる。
As described above, by requesting the processing to the encryption /
次に、CPU11は、該当する暗号・復号デバイス15または16が未起動状態であれば、対応する全要求リスト23の先頭の暗号要求処理を当該暗号・復号デバイス15または16に依頼して、それを起動する。同時に、CPU11は、起動後経過時間24をクリアして、その経過時間をタイマで更新する。なお、この起動後経過時間24は、起動時刻と現在時刻との差として算出してもよい。
Next, if the corresponding encryption /
その後、起動状態にある暗号・復号デバイス15または16は、処理を完了したら、CPU11に暗号・復号要求完了の通知を行う。
Thereafter, the encryption /
通知を受けたCPU11は、図4に示すように、先ず、対応する全要求リスト23の先頭のエントリにある処理時間を全要求処理時間21から減算し(ステップS11)、その後、先頭のエントリを削除して、先頭を次のエントリに移動させる(ステップS12)。
Upon receiving the notification, as shown in FIG. 4, the
以上により、暗号・復号処理完了時の負荷状況の更新を行うことができる。 As described above, the load status when the encryption / decryption process is completed can be updated.
その後、CPU11は、更新された全要求リストの先頭に暗号要求が存在すれば、その処理を対応する暗号・復号デバイス15または16に依頼して、それを起動し、同時に、起動後経過時間24をクリアして、同様に更新する。なお、暗号要求のデータ長が短く、起動後経過時間24が全要求処理時間21に対して十分短くなる場合には、起動後経過時間24を固定的に0としてもよい。
Thereafter, if there is an encryption request at the head of all the updated request lists, the
CPU11は、暗号処理が終了したら、その暗号データをLAN I/F14からIP−VPN網3に対して送出し、復号処理が終了したら、その非暗号データをLAN I/F13からIP網2に対して送出する。
When the encryption process is completed, the
以上のように、本実施の形態では、負荷の最も小さい暗号・復号デバイス15または16を、全要求データのデータ長で特定するのではなく、全要求処理時間で特定するので、要求データの暗号形式が異なる場合でも、また、暗号・復号デバイス15,16の性能や構成が異なる場合でも、負荷の最も小さい暗号・復号デバイス15または16を特定して負荷を効率良く分散でき、暗号・復号の高速化を図ることができる。
As described above, in the present embodiment, the encryption /
(第2実施の形態)
図5は、本発明の第2実施の形態に係るルータ装置による暗号・復号性能表の更新動作を示すフローチャートである。
(Second Embodiment)
FIG. 5 is a flowchart showing the update operation of the encryption / decryption performance table by the router device according to the second embodiment of the present invention.
本実施の形態は、第1実施の形態において、暗号・復号デバイス15,16の実際の性能値を算出して、対応する暗号・復号性能表22における暗号形式の性能値を更新するようにしたもので、その他の動作は第1実施の形態と同様である。
In this embodiment, the actual performance values of the encryption /
このため、本実施の形態では、暗号・復号処理の完了時に、図5に示すように、先ず、起動後経過時間24を実際に暗号・復号処理にかかった時間として処理した暗号要求データ31のデータ長で除算し実際の性能値を算出する(ステップS21)。
For this reason, in the present embodiment, when the encryption / decryption process is completed, as shown in FIG. 5, first, the elapsed
次に、実際の性能値と暗号・復号性能表22の対応する暗号形式の性能値との差分をとって(ステップS22)、その差分の絶対値が一定値を超えるか否かを判定し(ステップS23)、一定値を上回っていると判定された(YES)場合には、暗号・復号性能表22の対応する暗号形式の値を算出した値で更新し(ステップS24)、次に、全要求リスト23を走査して全要求リスト23の処理時間を、更新した性能値を用いて再計算して更新すると同時に、各要求処理時間の和を算出する(ステップS25)。全要求リスト23の更新が完了したら、算出した各要求処理時間の和の値で全要求処理時間21を更新する(ステップS26)。
Next, the difference between the actual performance value and the performance value of the corresponding encryption format in the encryption / decryption performance table 22 is taken (step S22), and it is determined whether or not the absolute value of the difference exceeds a certain value ( Step S23), if it is determined that the value exceeds a certain value (YES), the value of the corresponding encryption format in the encryption / decryption performance table 22 is updated with the calculated value (Step S24). The
一方、ステップS23において、実際の性能値と暗号・復号性能表22の対応する暗号形式の性能値との差分の絶対値が一定の値を下回っていると判定された(NO)場合には、暗号・復号性能表22、全要求リスト23の処理時間、全要求処理時間21の更新は行わず、全要求リスト23の先頭エントリにある処理時間を全要求処理時間21から減算する。
On the other hand, if it is determined in step S23 that the absolute value of the difference between the actual performance value and the performance value of the corresponding encryption format in the encryption / decryption performance table 22 is below a certain value (NO), The processing time of the encryption / decryption performance table 22 and the
以後は、同様にして、暗号・復号デバイス15,16が一つの要求の処理を開始してから完了するまでの時間を監視して実際の性能値を算出し、その実際の性能値と対応する暗号・復号性能表22の暗号形式の性能値との差分が一定値を上回る場合には、暗号・復号性能表22の対応する暗号形式の性能値を、算出した実際の性能値に更新すると共に、その更新した性能値を用いて全要求リスト23の処理時間を再計算して、その和である全要求処理時間21を更新する。
Thereafter, in the same manner, the actual performance value is calculated by monitoring the time from when the encryption /
本実施の形態によれば、実際の性能値を算出して、暗号・復号性能表22の対応する暗号形式の性能値を更新すると共に、全要求処理時間21を更新することで、暗号・復号デバイス15あるいは16が汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイス15または16を特定して負荷を効率良く分散でき、装置設計の柔軟性を向上することができる。また、暗号・復号デバイス15あるいは16の実際の性能が判明していない場合には、装置起動時に対応する暗号・復号性能表22を全て0に設定して優先的に起動することにより、性能表をより早く確定することができるので、暗号・復号性能表22を予め調査して設定する必要がなくなり、実装が容易になる。
According to the present embodiment, the actual performance value is calculated, the performance value of the corresponding encryption format in the encryption / decryption performance table 22 is updated, and the total
(第3実施の形態)
本発明の第3実施の形態においては、第1実施の形態において、メモリ12に暗号・復号デバイス15,16のそれぞれに対応して各暗号形式の実性能比表を格納し、その実性能比を用いて全要求処理時間21を算出するようにしたもので、その他の動作は第1実施の形態と同様である。
(Third embodiment)
In the third embodiment of the present invention, in the first embodiment, the actual performance ratio table of each encryption format is stored in the
このため、本実施の形態では、暗号・復号処理の完了時に、例えば、起動後経過時間24を実際に暗号・復号処理にかかった時間として処理した暗号要求データ31のデータ長で除算して、実際の性能値を算出し、その算出した実性能値を暗号・復号性能表22にある対応する暗号形式の性能値で除算することにより、実性能比を求めて実性能比表を更新する。あるいは、更新前の実性能比と暗号・復号性能表22の値とを乗算した更新前の実性能値と、現在の実性能値との差分の絶対値が、ある閾値を超えない場合は測定算出した実性能比で実性能比表を更新し、ある閾値を越えた場合は、一定の値を更新前の実性能値に加算あるいは減算して、その値を暗号・復号性能表22の値で除算して実性能比表を更新する。
For this reason, in the present embodiment, when the encryption / decryption process is completed, for example, the elapsed time after
以後は、暗号・復号要求を受けた際に、暗号・復号デバイス15,16の各々について、未処理の全要求データの処理時間とその暗号形式に対応する実性能比とを乗算して全要求処理時間21を算出し、その全要求処理時間21に基づいて第1実施の形態と同様にして最も負荷の小さい暗号・復号デバイス15または16を特定して負荷を分散する。
Thereafter, when an encryption / decryption request is received, each request for each of the encryption /
なお、実性能比表には、初期値として全ての暗号形式に対して1を与えて、実際の性能が判明していない暗号・復号デバイス15あるいは16に対する性能値を暗号・復号性能表22の値と一致させておく。あるいは、実性能比表の値を全て0に設定する処理を加えて、実際の性能が判明していない暗号・復号デバイス15あるいは16を優先的に起動して、実性能比をより早く確定するようにしてもよい。
In the actual performance ratio table, 1 is assigned to all encryption formats as an initial value, and the performance value for the encryption /
また、実性能比は、暗号形式によって変化しない場合は、代表値として一つを格納するようにしてもよい。さらに、実性能比が激しく変化する場合は、一度に変化できる最大値を設け、それより大きい変化に対しては最大値しか変化させないように実性能比を更新するようにしてもよい。 Further, when the actual performance ratio does not change depending on the encryption format, one may be stored as a representative value. Furthermore, when the actual performance ratio changes drastically, a maximum value that can be changed at once may be provided, and the actual performance ratio may be updated so that only the maximum value is changed for a change larger than that.
本実施の形態によれば、実性能比を用いることにより、暗号・復号デバイス15,16の各々における全要求処理時間21をより正確に算出できるので、負荷の最も小さい暗号・復号デバイス15または16を確実に特定することができる。したがって、負荷の分散精度を向上でき、暗号・復号のより高速化が図れる。また、実性能比を用いて全要求処理時間21を算出することから、第2実施の形態と同様に、暗号・復号デバイス15あるいは16が汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイス15または16を特定して負荷を効率良く分散できるので、装置設計の柔軟性を向上することができる。
According to the present embodiment, by using the actual performance ratio, the total required
(第4実施の形態)
図6および図7は本発明の第4実施の形態を示すもので、図6は本発明による負荷分散方法を実施するルータ装置を含む全体的なシステム概念図、図7は図6に示す暗号・復号負荷分散デバイスの概略構成を示すブロック図である。
(Fourth embodiment)
FIGS. 6 and 7 show a fourth embodiment of the present invention. FIG. 6 is an overall system conceptual diagram including a router device that implements the load distribution method according to the present invention. FIG. 7 is an encryption diagram shown in FIG. It is a block diagram which shows schematic structure of a decoding load distribution device.
図6において、ルータ装置6は、第1実施の形態と同様に、IP網2から受信した非暗号データを暗号化してIP−VPN網3に暗号データとして転送し、IP−VPN網3から受信した暗号データを復号してIP網2に非暗号データとして転送するものであるが、本実施の形態ではルータ装置6による負荷分算処理をハードウェアにより行うものである。このため、ルータ装置6には、CPU61、メモリ62、LAN I/F63,64、複数(図6では2個)の暗号・復号デバイス65,66の他に、暗号・復号負荷分散デバイス67を設けている。
In FIG. 6, the
暗号・復号負荷分散デバイス67は、図7に示すように、暗号・復号性能表71,72、要求処理時間予測部73、要求受付部74、小負荷デバイス選択部75、全要求処理時間レジスタ76,77、要求キュー78,79、完了通知受付部80を有している。ここで、暗号・復号性能表71、全要求処理時間レジスタ76および要求キュー78は、一方の暗号・復号デバイス65に対応しており、暗号・復号性能表72、全要求処理時間レジスタ77および要求キュー79は、他方の暗号・復号デバイス66に対応している。
As shown in FIG. 7, the encryption / decryption
以下、本実施の形態の動作について説明する。 Hereinafter, the operation of the present embodiment will be described.
まず、ルータ装置6は、電源起動時に、CPU61から暗号・復号負荷分散デバイス67に対して初期化要求を送る。初期化要求を受けた暗号・復号負荷分散デバイス67は、全要求処理時間レジスタ76,77を0に設定して、要求キュー78,79をクリアする。次に、CPU61は、暗号・復号負荷分散デバイス67中の暗号・復号性能表71,72を設定する。
First, the
その後、LAN I/F63がIP網2から非暗号データを受信した場合には、その受信した非暗号データをメモリ62に格納してCPU61に通知する。CPU61は、その通知を受けて、受信した非暗号データのルーティング先を計算し、対応するIP−VPN網3とのリンク確立時のネゴシエーション情報から暗号形式を求めて、暗号・復号負荷分散デバイス67の要求受付部74に要求データの暗号形式および処理内容(この場合、暗号)、データ長、データのメモリ上の位置を通知する。
Thereafter, when the LAN I /
また、LAN I/F64がIP−VPN網3から暗号データを受信した場合には、その受信した暗号データをメモリ62に格納してCPU61に通知する。CPU61は、その通知を受けて、IP−VPN網3とのネゴシエーション情報から暗号形式を求め、暗号・復号負荷分散デバイス67の要求受付部74に暗号形式および処理内容(この場合、復号)、データ長、データのメモリ上の位置を通知する。
When the LAN I /
暗号・復号負荷分散デバイス67は、要求受付部74においてCPU61からの通知を受けたら、小負荷デバイス選択部75を通して暗号・復号デバイス65,66の全要求処理時間レジスタ76,77から最も値の小さいものを探索し、その負荷の最も小さい暗号・復号デバイス65または66と、それに対応する要求キュー78または79と、要求処理時間予測部73とを接続する。同時に、負荷の最も小さい暗号・復号デバイス65または66に対応する暗号・復号性能表71または72を要求処理時間予測部73に接続する。
When receiving the notification from the
その後、要求受付部74は、要求処理時間予測部73に対して受け付けた要求を通知し、これにより要求処理時間予測部73では、接続された暗号・復号性能表71または72から、要求データの暗号形式、処理内容に対する性能値を特定し、暗号要求データのデータ長と乗算することで得られる予測時間を算出し、接続された要求キュー78または79に、要求データと共に出力する。
Thereafter, the request reception unit 74 notifies the request processing
その後、要求処理時間予測部73は、接続された全要求処理時間レジスタ76または77の値に、算出した予測時間を加算し更新する。
Thereafter, the request processing
以上により、負荷の最も小さい暗号・復号デバイス65または66に処理を依頼し、要求受付時の負荷状況の更新を行うことができる。
As described above, it is possible to request the encryption /
次に、暗号・復号負荷分散デバイス67は、該当する暗号・復号デバイス65または66が未起動状態であれば、対応する要求キュー78または79の暗号・復号デバイス側先頭の暗号要求の処理を依頼して起動する。
Next, if the corresponding encryption /
同時に、起動状態にある暗号・復号デバイス65または66は、処理を完了すると、暗号・復号負荷分散デバイス67の完了通知受付部80に完了通知を送る。完了通知を受けた完了通知受付部80は、暗号・復号デバイス65または66に対応する要求キュー78または79、および全要求処理時間レジスタ76および77を選択して、要求キュー78または79の暗号・復号デバイス側先頭にある要求情報から処理時間を取り出し、全要求処理時間レジスタ76または77の値から減算した後、その要求情報を廃棄して、次の要求情報を新しいキューの先頭とする。
At the same time, when the encryption /
その後、暗号・復号デバイス65または66は、更新された要求キュー78または79の先頭に暗号要求が存在すれば、その処理を対応する暗号・復号デバイス65または66に依頼し起動する。
Thereafter, if there is an encryption request at the head of the updated
なお、暗号・要求データを要求キュー78,79から取り出し、対応する暗号・復号デバイス65,66への起動を行う処理は、CPU61を用いて行ってもよい。また、暗号・復号処理の完了を暗号・復号負荷分散デバイス67に通知する処理は、CPU61を用いて行ってもよい。
Note that the
CPU61は、暗号処理の終わったデータをLAN I/F64からIP−VPN網3に対して送出し、復号処理の終わったデータはLAN I/F63からIP網2に対して送出する。
The
なお、本実施の形態では、起動後経過時間を0固定としたが、起動後経過時間測定用のタイマを暗号・復号デバイス65,66内に含めるか、あるいは、暗合・復号デバイス65,66の起動後経過時間レジスタを暗合・復号負荷分散デバイス67に含めて、暗合・復号処理要求時および暗合・復号処理完了時にCPU61により更新することで、起動後経過時間を暗号・復号デバイス65または66の選択に用いることも可能である。
In this embodiment, the elapsed time after activation is fixed to 0, but a timer for measuring elapsed time after activation is included in the encryption /
本実施の形態によれば、ルータ装置6に暗号・復号負荷分散デバイス67を設けることで、CPU61の負担を軽減でき、高速処理が可能になると共に、メモリ62の容量を削減でき、そのコストダウンを図ることができる。
According to the present embodiment, by providing the encryption / decryption
1 ルータ装置
2 IP網
3 IP−VPN網
6 ルータ装置
11 CPU
12 メモリ
13,14 LAN I/F
15,16 暗号・復号デバイス
21 全要求処理時間
22 暗号・復号性能表
23 全要求リスト
24 起動後経過時間
31 暗号要求データ
32 処理時間
61 CPU
62 メモリ
63,64 LAN I/F
65,66 暗号・復号デバイス
71,72 暗号・復号性能表
73 要求処理時間予測部
74 要求受付部
75 小負荷デバイス選択部
76,77 全要求処理時間レジスタ
78,79 要求キュー
80 完了通知受付部
DESCRIPTION OF SYMBOLS 1
12
15, 16 Encryption /
62
65, 66 Encryption /
Claims (3)
上記複数の暗号・復号デバイスの各々について、暗号形式毎の処理速度を管理して、現在の負荷量を未処理の全要求データのデータ量およびその暗号形式に対応する上記処理速度に基づいて全要求処理時間として算出し、その算出された全要求処理時間の最も短い暗号・復号デバイスを負荷の最も小さい暗号・復号デバイスとして特定することを特徴とする複数の暗号・復号デバイスへの負荷分散方法。 In allocating the next processing request data by specifying the encryption / decryption device with the smallest load among the plurality of encryption / decryption devices executing the encryption process and the decryption process,
For each of the plurality of encryption / decryption devices, the processing speed for each encryption format is managed, and the current load amount is determined based on the data amount of all unprocessed request data and the processing speed corresponding to the encryption format. A load distribution method for a plurality of encryption / decryption devices, characterized in that the encryption / decryption device having the shortest total request processing time is calculated as a request processing time, and specified as the encryption / decryption device having the smallest load .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004211645A JP2006033593A (en) | 2004-07-20 | 2004-07-20 | Load distribution method for a plurality of encryption/decoding devices |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004211645A JP2006033593A (en) | 2004-07-20 | 2004-07-20 | Load distribution method for a plurality of encryption/decoding devices |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006033593A true JP2006033593A (en) | 2006-02-02 |
Family
ID=35899379
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004211645A Withdrawn JP2006033593A (en) | 2004-07-20 | 2004-07-20 | Load distribution method for a plurality of encryption/decoding devices |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006033593A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009290648A (en) * | 2008-05-30 | 2009-12-10 | Hitachi Ltd | Verification server, program and verifying method |
-
2004
- 2004-07-20 JP JP2004211645A patent/JP2006033593A/en not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009290648A (en) * | 2008-05-30 | 2009-12-10 | Hitachi Ltd | Verification server, program and verifying method |
US8819417B2 (en) | 2008-05-30 | 2014-08-26 | Hitachi, Ltd. | Validation server, validation method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8639912B2 (en) | Method and system for packet processing | |
US10353722B2 (en) | System and method of offloading cryptography processing from a virtual machine to a management module | |
EP1292082B1 (en) | Method and apparatus for establishing secure session | |
JP2003216591A (en) | Interface for security coprocessor | |
US9306734B2 (en) | Communication device, key generating device, and computer readable medium | |
US20180115635A1 (en) | Systems and methods for selecting microservices to process protocol data streams | |
JP2022172360A (en) | Encryption communication device, encryption communication system, encryption communication method, and program | |
US20050149744A1 (en) | Network processor having cryptographic processing including an authentication buffer | |
US10298553B2 (en) | Hardware trusted data communications over system-on-chip (SOC) architectures | |
JP2006039000A (en) | Encryption processing device and encryption processing method | |
CN106209401B (en) | A kind of transmission method and device | |
JP5372057B2 (en) | Communication system and communication method | |
WO2010023951A1 (en) | Secure communication device, secure communication method, and program | |
JP2006033593A (en) | Load distribution method for a plurality of encryption/decoding devices | |
Grand et al. | Design and implementation of a multi-core crypto-processor for software defined radios | |
JP2012227829A (en) | Image processor and control method therefor | |
JP6211818B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, PROGRAM, AND COMMUNICATION SYSTEM | |
US20060013397A1 (en) | Channel adapter managed trusted queue pairs | |
KR101491699B1 (en) | Control apparatus and method thereof in software defined networking | |
KR101997996B1 (en) | Security communication method using key management server in software defined network controller and apparatus for perfoming the same | |
JP4802159B2 (en) | Network equipment | |
JP4277833B2 (en) | Content encryption apparatus and content encryption method | |
JP2003198530A (en) | Packet communication device and encryption algorithm setting method | |
JP6509475B1 (en) | Management device, management method and management program | |
JP2004348233A (en) | File sharing system, server, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20060110 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060203 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070613 |
|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20071002 |