JP2006033593A - Load distribution method for a plurality of encryption/decoding devices - Google Patents

Load distribution method for a plurality of encryption/decoding devices Download PDF

Info

Publication number
JP2006033593A
JP2006033593A JP2004211645A JP2004211645A JP2006033593A JP 2006033593 A JP2006033593 A JP 2006033593A JP 2004211645 A JP2004211645 A JP 2004211645A JP 2004211645 A JP2004211645 A JP 2004211645A JP 2006033593 A JP2006033593 A JP 2006033593A
Authority
JP
Japan
Prior art keywords
encryption
decryption
request
load
processing time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004211645A
Other languages
Japanese (ja)
Inventor
Hidefumi Yabu
英文 藪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu I Network Systems Ltd
Original Assignee
Fujitsu I Network Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu I Network Systems Ltd filed Critical Fujitsu I Network Systems Ltd
Priority to JP2004211645A priority Critical patent/JP2006033593A/en
Publication of JP2006033593A publication Critical patent/JP2006033593A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To providing a load distribution method for enabling high-speed encryption/decoding by distributing effectively requested data according to the performance and construction of an encryption/decoding device even if different encryption forms are mixed. <P>SOLUTION: When next operation request data are distributed by specifying a encryption/decoding device 15 or 16 with a minimum load out of a plurality of the encryption/decoding devices 15, 16 for implementing encryption operation and decoding operation, the operation speed of each encryption/decoding device 15 and 16 is managed for each encryption form. The current amount of a load is calculated as a total request processing time based on the amount of total request data, in which the current amount of the load is not processed, and processing speed corresponding to its encryption form, and then the encryption/decoding device 15 or 16 with the minimum duration of the calculated total request processing time is specified as the encryption/decoding device with the minimum load. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、コンピュータ・ネットワーク上に配置されたIP−VPN等の暗号通信を行うシステム内において使用される暗号・復号デバイスへの負荷分散方法に関するものである。   The present invention relates to a load distribution method to an encryption / decryption device used in a system that performs cryptographic communication such as IP-VPN arranged on a computer network.

近年、IP通信上でのセキュリティへの要請から、暗号・復号デバイスを用いて高速に暗号・復号を行う需要が増大している。その際、一つのデバイスで目標とする暗号・復号速度を達成できない場合には、暗号・復号デバイスを複数搭載することで暗号・復号の高速化を図ることが一般に行われている。   In recent years, demands for high-speed encryption / decryption using an encryption / decryption device are increasing due to security requirements on IP communication. At that time, if the target encryption / decryption speed cannot be achieved with one device, it is generally performed to increase the speed of encryption / decryption by installing a plurality of encryption / decryption devices.

また、このように複数の暗号・復号デバイスを用いる場合において、各暗号・復号デバイスの負荷を各暗号・復号デバイスが保持する暗号・復号要求データ長の和として管理し、保持するデータ長の最も短い暗号・復号デバイスに次の暗号・復号要求データを割り当てることで、複数の暗号・復号デバイスの稼動率を均一化して、データを高速に暗号・復号化するようにした暗号・復号負荷分散方法が知られている(例えば、特許文献1参照)。   In addition, when using a plurality of encryption / decryption devices in this way, the load of each encryption / decryption device is managed as the sum of the encryption / decryption request data lengths held by each encryption / decryption device, An encryption / decryption load distribution method in which, by assigning the next encryption / decryption request data to a short encryption / decryption device, the operating rate of the plurality of encryption / decryption devices is made uniform, and the data is encrypted / decrypted at high speed. Is known (see, for example, Patent Document 1).

一方、最近では、暗号形式の多様化に伴って、異なる暗号形式が混在した複数の暗号・復号データ流を扱うことが多くなっている。また、基板の実装スペースやコストの点から、高価で高速な暗号・復号デバイスを複数個搭載できない場合に、高価で高速な暗号・復号デバイスと廉価で高速でない暗号・復号デバイスとを組み合わせて使用して、目標性能を達成したいという要求がある。
特開2002−261754号公報(第5、6図) On the other hand, in recent years, with the diversification of encryption formats, a plurality of encrypted / decrypted data streams in which different encryption formats are mixed are increasingly handled. Also, when multiple expensive and high-speed encryption / decryption devices cannot be installed due to board mounting space and cost, use a combination of an expensive, high-speed encryption / decryption device and an inexpensive, high-speed encryption / decryption device. There is a demand to achieve the target performance.
JP 2002-261754 A (FIGS. 5 and 6)

しかしながら、特許文献1に開示の技術では、単一の暗号・符号データ流に対しては所定の効果が得られるが、暗号形式の異なる複数の暗号・復号データ流を扱う場合には、それぞれの暗号形式で処理時間が異なるために、最も負荷の小さい暗号・復号デバイスを割り当てることができない場合がある。   However, with the technique disclosed in Patent Document 1, a predetermined effect can be obtained for a single encrypted / decoded data stream, but when dealing with a plurality of encrypted / decrypted data streams having different encryption formats, Since the processing time differs depending on the encryption format, the encryption / decryption device with the smallest load may not be assigned.

例えば、AES暗号の1バイト当たり処理時間が8.70ナノ秒、3DES暗号の1バイト当たり処理時間が11.8ナノ秒である場合に、AES暗号の要求データを3000バイト保持している暗号・復号デバイスと、3DESの要求データを2500バイト保持している暗号・復号デバイスとでは、AES暗号の要求データを保持している暗号・復号デバイスの方が負荷は小さいが、特許文献1に開示の方法によると、3DESの要求データを保持している暗号・復号デバイスに処理を割り当ててしまうことになる。   For example, if the processing time per byte of the AES cipher is 8.70 nanoseconds and the processing time per byte of the 3DES cipher is 11.8 nanoseconds, the cipher that holds 3000 bytes of AES cipher request data. The decryption device and the encryption / decryption device that holds 2500 bytes of 3DES request data have a smaller load than the encryption / decryption device that holds the request data of AES encryption. According to the method, processing is assigned to the encryption / decryption device that holds the 3DES request data.

また、特許文献1に開示の技術では、性能の等しい暗号・復号デバイスを用いる場合には所定の効果が得られるが、性能の異なる暗号・復号デバイスを組み合わせた場合には、暗号・復号の高速化が図れないため、システムのハードウェア設計に柔軟性を与えられないという問題もある。   In the technology disclosed in Patent Document 1, a predetermined effect can be obtained when using encryption / decryption devices having the same performance. However, when encryption / decryption devices having different performances are combined, high-speed encryption / decryption is possible. There is also a problem that flexibility cannot be given to the hardware design of the system because it cannot be realized.

例えば、AES暗号の1バイト当たり処理時間が8.70ナノ秒の第1デバイスと、12.5ナノ秒の第2デバイスとを有する場合において、AES暗号形式で1024バイトを暗号する要求データが8つ一度に発生したとする。この場合、従来の方法では、暗号要求データを4つずつ第1デバイスと第2デバイスとに割り振るが、全体の処理が完了するのは、第2デバイスが4つの暗号処理を終了する102.4マイクロ秒後となってしまう。しかし、暗号要求データを第1デバイスに6つ、第2デバイスに2つ割り振ることができれば、第1デバイスで6つの暗号処理を終了する52.84マイクロ秒で処理を完了することができる。   For example, in the case where a first device having a processing time of 8.70 nanoseconds per byte of AES encryption and a second device having 12.5 nanoseconds are provided, request data for encrypting 1024 bytes in the AES encryption format is 8 Suppose that they occur one at a time. In this case, in the conventional method, the encryption request data is allocated to the first device and the second device four by four. However, the entire process is completed because the second device finishes the four encryption processes 102.4. After microseconds. However, if six encryption request data can be allocated to the first device and two to the second device, the processing can be completed in 52.84 microseconds when the first device ends the six encryption processing.

さらに、暗号・復号デバイスが複数の機能を持つ汎用のDSPを使用して構成されている場合には、暗号・復号機能以外の機能が動作する時間帯では、暗号・復号性能が変化してしまうため、特許文献1に開示の技術を適用して負荷分散しても、暗号・復号の高速化が図れないという問題がある。   Furthermore, when the encryption / decryption device is configured using a general-purpose DSP having a plurality of functions, the encryption / decryption performance changes in a time zone in which functions other than the encryption / decryption function operate. For this reason, there is a problem that even if the technique disclosed in Patent Document 1 is applied to distribute the load, the encryption / decryption speed cannot be increased.

したがって、上記の事情に鑑みてなされた本発明の目的は、異なる暗号形式が混在しても、暗号・復号デバイスの性能および構成に応じて要求データを効率良く分散でき、暗号・復号の高速化が図れる負荷分散方法を提供することにある。   Therefore, the object of the present invention made in view of the above circumstances is to enable efficient distribution of request data according to the performance and configuration of an encryption / decryption device, even if different encryption formats are mixed, and to increase the speed of encryption / decryption It is to provide a load balancing method that can achieve the above.

上記目的を達成する請求項1に係る複数の暗号・復号デバイスへの負荷分散方法の発明は、暗号処理および復号処理を実行する複数の暗号・復号デバイスのうち、負荷の最も小さい暗号・復号デバイスを特定して次の処理要求データを割り振るにあたり、
上記複数の暗号・復号デバイスの各々について、暗号形式毎の処理速度を管理して、現在の負荷量を未処理の全要求データのデータ量およびその暗号形式に対応する上記処理速度に基づいて全要求処理時間として算出し、その算出された全要求処理時間の最も短い暗号・復号デバイスを負荷の最も小さい暗号・復号デバイスとして特定することを特徴とするものである。 The invention of the load distribution method to a plurality of encryption / decryption devices according to claim 1 that achieves the above object is the encryption / decryption device having the smallest load among the plurality of encryption / decryption devices that execute encryption processing and decryption processing. And assigning the next processing request data
For each of the plurality of encryption / decryption devices, the processing speed for each encryption format is managed, and the current load amount is determined based on the data amount of all unprocessed request data and the processing speed corresponding to the encryption format. The request processing time is calculated, and the encryption / decryption device with the shortest total request processing time is specified as the encryption / decryption device with the smallest load.

請求項2に係る発明は、請求項1に記載の複数の暗号・復号デバイスへの負荷分散方法において、上記暗号・復号デバイス毎に管理する暗号形式毎の処理速度を、各暗号・符号デバイスによる実際の暗号・復号処理のデータ量およびその処理時間に基づいて更新することを特徴とするものである。   The invention according to claim 2 is the load distribution method to a plurality of encryption / decryption devices according to claim 1, wherein the processing speed for each encryption format managed for each encryption / decryption device is determined by each encryption / decoding device. The update is performed based on the actual data amount and processing time of the encryption / decryption process.

請求項3に係る発明は、請求項1に記載の複数の暗号・復号デバイスへの負荷分散方法において、上記複数の暗号・復号デバイスの各々について、上記管理されている暗号形式毎の処理速度と、実際の暗号・復号処理のデータ量およびその処理時間に基づいて算出される実処理速度との比である実性能比を算出し、その算出した実性能比を未処理の全要求データの対応する暗号形式の処理速度に乗算して上記全要求処理時間を算出することを特徴とするものである。   The invention according to claim 3 is the load distribution method to the plurality of encryption / decryption devices according to claim 1, wherein for each of the plurality of encryption / decryption devices, the processing speed for each of the managed encryption formats is Calculate the actual performance ratio, which is the ratio of the actual processing speed calculated based on the actual amount of encryption / decryption data and the processing time, and handle the calculated actual performance ratio for all unprocessed request data The total required processing time is calculated by multiplying the processing speed of the encryption format.

請求項1の発明によると、負荷の最も小さい暗号・復号デバイスを、未処理の全要求データのデータ長で特定するのではなく、全要求データの処理時間で特定するので、異なる暗号形式が混在しても、暗号・復号デバイスの性能および構成に応じて負荷の最も小さい暗号・復号デバイスを特定して負荷を効率良く分散でき、暗号・復号の高速化を図ることができる。   According to the invention of claim 1, since the encryption / decryption device with the smallest load is not specified by the data length of all the unprocessed request data, but is specified by the processing time of all the request data, different encryption formats are mixed. Even so, the encryption / decryption device with the smallest load can be identified according to the performance and configuration of the encryption / decryption device, and the load can be efficiently distributed, and the encryption / decryption speed can be increased.

請求項2の発明によると、暗号・復号デバイス毎に管理する暗号形式毎の処理速度を、各暗号・符号デバイスによる実際の暗号・復号処理のデータ量およびその処理時間に基づく実性能で更新するので、暗号・復号デバイスが汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイスを特定して負荷を効率良く分散でき、装置設計の柔軟性を向上することができる。また、暗号・復号デバイスの実際の性能が判明していない場合には、管理する暗号形式毎の処理速度を全て0に設定して優先的に起動することにより、処理速度を確定することができるので、暗号形式毎の処理速度を予め調査して設定する必要がなくなり、実装が容易になる。   According to the invention of claim 2, the processing speed for each encryption format managed for each encryption / decryption device is updated with the actual performance based on the actual data amount and processing time of the encryption / decryption processing by each encryption / decoding device. Therefore, when the encryption / decryption device is configured using a calculation device such as a general-purpose DSP, the encryption / decryption performance changes in the time zone in which functions other than the encryption / decryption function operate. However, it is possible to identify the encryption / decryption device with the smallest load and to distribute the load efficiently, and to improve the flexibility of device design. If the actual performance of the encryption / decryption device is not known, the processing speed can be determined by setting all the processing speeds for each managed encryption format to 0 and starting with priority. Therefore, it is not necessary to investigate and set the processing speed for each encryption format in advance, and the mounting becomes easy.

請求項3の発明によると、複数の暗号・復号デバイスの各々について、未処理の全要求データの処理時間とその暗号形式に対応する実性能比とを乗算して全要求処理時間を算出するので、全要求処理時間をより正確に算出することができる。したがって、負荷の最も小さい暗号・復号デバイスを確実に特定することができるので、負荷の分散精度を向上でき、暗号・復号のより高速化を図ることができる。また、実性能比を用いて全要求処理時間を算出することから、暗号・復号デバイスが汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイスを特定して負荷を効率良く分散できるので、装置設計の柔軟性を向上することができる。   According to the invention of claim 3, for each of the plurality of encryption / decryption devices, the total request processing time is calculated by multiplying the processing time of all unprocessed request data by the actual performance ratio corresponding to the encryption format. The total required processing time can be calculated more accurately. Therefore, since the encryption / decryption device with the smallest load can be specified reliably, the load distribution accuracy can be improved, and the encryption / decryption speed can be further increased. In addition, since the total required processing time is calculated using the actual performance ratio, functions other than the encryption / decryption function, such as when the encryption / decryption device is configured using a calculation device such as a general-purpose DSP, etc. Even when the encryption / decryption performance changes during the operating time period, it is possible to identify the encryption / decryption device with the smallest load and distribute the load efficiently, so that the flexibility of device design can be improved. .

以下、図面を参照して本発明に係る複数の暗号・復号デバイスへの負荷分散方法の実施の形態について説明する。   Embodiments of a load distribution method to a plurality of encryption / decryption devices according to the present invention will be described below with reference to the drawings.

(第1実施の形態)
図1乃至図4は本発明の第1実施の形態を示すもので、図1は本発明による負荷分散方法を実施するルータ装置を含む全体的なシステム概念図、図2(a)〜(f)は図1のメモリに格納するデータ例を示す図、図3は本実施の形態による暗号・復号要求受付時の負荷分散動作を示すフローチャート、図4は同じく暗号・復号要求完了時の負荷状況更新動作を示すフローチャートである。 (First embodiment)
FIGS. 1 to 4 show a first embodiment of the present invention. FIG. 1 is an overall system conceptual diagram including a router device that implements a load distribution method according to the present invention, and FIGS. ) Is a diagram showing an example of data stored in the memory of FIG. 1, FIG. 3 is a flowchart showing a load distribution operation when receiving an encryption / decryption request according to the present embodiment, and FIG. 4 is a load situation when the encryption / decryption request is completed. It is a flowchart which shows update operation | movement.

図1において、ルータ装置1は、IP網2から受信した非暗号データを暗号化してIP−VPN網3に暗号データとして転送し、IP−VPN網3から受信した暗号データを復号してIP網2に非暗号データとして転送するもので、CPU11、メモリ12、LAN I/F13,14、複数(図1では2個)の暗号・復号デバイス15,16を有している。   In FIG. 1, the router device 1 encrypts the non-encrypted data received from the IP network 2 and transfers it as encrypted data to the IP-VPN network 3, and decrypts the encrypted data received from the IP-VPN network 3. 2, which is transferred as non-encrypted data, and includes a CPU 11, a memory 12, LAN I / Fs 13 and 14, and a plurality (two in FIG. 1) of encryption / decryption devices 15 and 16.

CPU11は、LAN I/F13または14において受信したデータをメモリ12に格納する機能と、メモリ12に格納されているデータを暗号・復号デバイス15または16に送信する機能と、暗号化または復号化が完了したデータを、LAN I/F14または13を介してIP−VPN網3またはIP網2に送信する機能とを有している。   The CPU 11 has a function of storing data received in the LAN I / F 13 or 14 in the memory 12, a function of transmitting data stored in the memory 12 to the encryption / decryption device 15 or 16, and encryption or decryption. It has a function of transmitting the completed data to the IP-VPN network 3 or the IP network 2 via the LAN I / F 14 or 13.

また、メモリ12は、暗号・復号デバイス15,16の各々に対応する全要求処理時間21(図2(a)参照)、暗号形式に対する暗号・復号性能表22(図2(b)参照)、全要求リスト23(図2(c)参照)および起動後経過時間24(図2(d)参照)を格納する領域を有すると共に、受信した非暗号データおよび暗号データの要求データに対する暗号要求データ31(図2(e)参照)および処理時間32(図2(f)参照)を格納する領域を有している。   Further, the memory 12 includes a total request processing time 21 corresponding to each of the encryption / decryption devices 15 and 16 (see FIG. 2A), an encryption / decryption performance table 22 for the encryption format (see FIG. 2B), The encryption request data 31 has an area for storing the entire request list 23 (see FIG. 2C) and the post-startup elapsed time 24 (see FIG. 2D), and the request data of the received non-encrypted data and encrypted data. (See FIG. 2E) and an area for storing the processing time 32 (see FIG. 2F).

ルータ装置1は、電源起動時に、先ず、CPU11を用いて搭載されている暗号・復号デバイス15,16のそれぞれに対応するメモリ12中の全要求処理時間21および起動後経過時間24を0に設定し、全要求リスト23をクリアする。次に、CPU11は、暗号・復号デバイス15,16の暗号・復号性能を、対応する暗号・復号性能表22に設定する。   At the time of power activation, the router device 1 first sets all the requested processing time 21 and elapsed time 24 after activation in the memory 12 corresponding to each of the encryption / decryption devices 15 and 16 mounted using the CPU 11 to 0. Then, the entire request list 23 is cleared. Next, the CPU 11 sets the encryption / decryption performance of the encryption / decryption devices 15 and 16 in the corresponding encryption / decryption performance table 22.

その後、LAN I/F13がIP網2から非暗号データを受信した場合には、その受信した非暗号データをメモリ12に格納してCPU11に通知する。CPU11は、その通知を受けて、受信した非暗号データのルーティング先を計算し、対応するIP−VPN網3とのリンク確立時のネゴシエーション情報から暗号形式を求めて、暗号要求データ31として暗号形式および処理内容(この場合、暗号)を格納する。   Thereafter, when the LAN I / F 13 receives non-encrypted data from the IP network 2, the received non-encrypted data is stored in the memory 12 and notified to the CPU 11. Upon receiving the notification, the CPU 11 calculates the routing destination of the received non-encrypted data, obtains the encryption format from the negotiation information when the link with the corresponding IP-VPN network 3 is established, and uses the encryption format as the encryption request data 31. And the processing contents (in this case, encryption) are stored.

次に、CPU11は、暗号要求データ31のデータ長、データのメモリ上の位置を設定する。   Next, the CPU 11 sets the data length of the encryption request data 31 and the position of the data on the memory.

以上により、IP網2からIP−VPN網3へ転送する場合の暗号要求データ31が構築される。   As described above, the encryption request data 31 for transfer from the IP network 2 to the IP-VPN network 3 is constructed.

また、LAN I/F14がIP−VPN網3から暗号データを受信した場合には、その受信した暗号データをメモリ12に格納してCPU11に通知する。CPU11は、その通知を受けて、IP−VPN網3とのネゴシエーション情報から暗号形式を求めて、その暗号形式および処理内容(この場合、復号)を暗号要求データ31として格納する。   When the LAN I / F 14 receives encrypted data from the IP-VPN network 3, the received encrypted data is stored in the memory 12 and notified to the CPU 11. In response to the notification, the CPU 11 obtains the encryption format from the negotiation information with the IP-VPN network 3 and stores the encryption format and the processing content (in this case, decryption) as the encryption request data 31.

次に、CPU11は、暗号要求データ31のデータ長、データのメモリ上の位置を設定する。   Next, the CPU 11 sets the data length of the encryption request data 31 and the position of the data on the memory.

以上により、IP−VPN網3からIP網2へ転送する場合の暗号要求データ31が構築される。   As described above, the encryption request data 31 for transfer from the IP-VPN network 3 to the IP network 2 is constructed.

以下、図3および図4を参照して、本実施の形態による暗号・復号要求受付時の負荷分散動作および暗号・復号要求完了時の負荷状況更新動作について説明する。   Hereinafter, with reference to FIG. 3 and FIG. 4, the load distribution operation at the time of accepting the encryption / decryption request and the load status update operation at the completion of the encryption / decryption request according to the present embodiment will be described.

暗号・復号要求受付があった場合には、図3に示すように、先ず、CPU11は、暗号・復号デバイス15,16の各々の全要求処理時間21から起動後経過時間24を減算したもののうち、最も値の小さいものを探すことで、負荷の最も小さい暗号・復号デバイス15または16を特定する(ステップS1)。   When the encryption / decryption request is received, first, as shown in FIG. 3, the CPU 11 first subtracts the post-startup elapsed time 24 from the total request processing time 21 of each of the encryption / decryption devices 15 and 16. By searching for the smallest value, the encryption / decryption device 15 or 16 having the smallest load is specified (step S1).

その後、CPU11は、特定した暗号・復号デバイス15または16に対応する暗号・復号性能表22から、暗号要求データ31の暗号形式および処理内容に対応する性能値を特定し、その性能値と暗号要求データ31のデータ長とを乗算して処理時間32を算出する(ステップS2)。   Thereafter, the CPU 11 specifies a performance value corresponding to the encryption format and processing content of the encryption request data 31 from the encryption / decryption performance table 22 corresponding to the specified encryption / decryption device 15 or 16, and the performance value and the encryption request The processing time 32 is calculated by multiplying the data length of the data 31 (step S2).

次に、CPU11は、特定した負荷の最も小さい暗号・復号デバイス15または16に対応する全要求リスト23の末尾に暗号要求データを追加する(ステップS3)。   Next, the CPU 11 adds encryption request data to the end of the entire request list 23 corresponding to the specified encryption / decryption device 15 or 16 with the smallest load (step S3).

その後、CPU11は、負荷の最も小さい暗号・復号デバイス15または16に対応する全要求処理時間21に処理時間32を加算して更新する(ステップS4)。   Thereafter, the CPU 11 adds the processing time 32 to the total request processing time 21 corresponding to the encryption / decryption device 15 or 16 with the smallest load, and updates it (step S4).

以上により、負荷の最も小さい暗号・復号デバイス15または16に処理を依頼することで、要求受付時の負荷状況の更新を行うことができる。   As described above, by requesting the processing to the encryption / decryption device 15 or 16 having the smallest load, it is possible to update the load status at the time of accepting the request.

次に、CPU11は、該当する暗号・復号デバイス15または16が未起動状態であれば、対応する全要求リスト23の先頭の暗号要求処理を当該暗号・復号デバイス15または16に依頼して、それを起動する。同時に、CPU11は、起動後経過時間24をクリアして、その経過時間をタイマで更新する。なお、この起動後経過時間24は、起動時刻と現在時刻との差として算出してもよい。   Next, if the corresponding encryption / decryption device 15 or 16 is not activated, the CPU 11 requests the encryption / decryption device 15 or 16 for the top encryption request processing of the corresponding all request list 23 to Start up. At the same time, the CPU 11 clears the elapsed time 24 after startup and updates the elapsed time with a timer. The elapsed time 24 after activation may be calculated as a difference between the activation time and the current time.

その後、起動状態にある暗号・復号デバイス15または16は、処理を完了したら、CPU11に暗号・復号要求完了の通知を行う。   Thereafter, the encryption / decryption device 15 or 16 in the activated state notifies the CPU 11 of the completion of the encryption / decryption request when the processing is completed.

通知を受けたCPU11は、図4に示すように、先ず、対応する全要求リスト23の先頭のエントリにある処理時間を全要求処理時間21から減算し(ステップS11)、その後、先頭のエントリを削除して、先頭を次のエントリに移動させる(ステップS12)。   Upon receiving the notification, as shown in FIG. 4, the CPU 11 first subtracts the processing time in the head entry of the corresponding all request list 23 from the total request processing time 21 (step S11), and then changes the head entry. Delete and move the head to the next entry (step S12).

以上により、暗号・復号処理完了時の負荷状況の更新を行うことができる。   As described above, the load status when the encryption / decryption process is completed can be updated.

その後、CPU11は、更新された全要求リストの先頭に暗号要求が存在すれば、その処理を対応する暗号・復号デバイス15または16に依頼して、それを起動し、同時に、起動後経過時間24をクリアして、同様に更新する。なお、暗号要求のデータ長が短く、起動後経過時間24が全要求処理時間21に対して十分短くなる場合には、起動後経過時間24を固定的に0としてもよい。   Thereafter, if there is an encryption request at the head of all the updated request lists, the CPU 11 requests the corresponding encryption / decryption device 15 or 16 to start the process and simultaneously starts the elapsed time 24 after startup. Clear and update in the same way. If the data length of the encryption request is short and the post-startup elapsed time 24 is sufficiently shorter than the total request processing time 21, the post-startup elapsed time 24 may be fixedly set to zero.

CPU11は、暗号処理が終了したら、その暗号データをLAN I/F14からIP−VPN網3に対して送出し、復号処理が終了したら、その非暗号データをLAN I/F13からIP網2に対して送出する。   When the encryption process is completed, the CPU 11 sends the encrypted data from the LAN I / F 14 to the IP-VPN network 3. When the decryption process is completed, the CPU 11 sends the non-encrypted data from the LAN I / F 13 to the IP network 2. And send it out.

以上のように、本実施の形態では、負荷の最も小さい暗号・復号デバイス15または16を、全要求データのデータ長で特定するのではなく、全要求処理時間で特定するので、要求データの暗号形式が異なる場合でも、また、暗号・復号デバイス15,16の性能や構成が異なる場合でも、負荷の最も小さい暗号・復号デバイス15または16を特定して負荷を効率良く分散でき、暗号・復号の高速化を図ることができる。   As described above, in the present embodiment, the encryption / decryption device 15 or 16 having the smallest load is not specified by the data length of all the request data, but is specified by the total request processing time. Even when the format is different, or when the performance and configuration of the encryption / decryption devices 15 and 16 are different, the encryption / decryption device 15 or 16 having the smallest load can be identified and the load can be efficiently distributed. The speed can be increased.

(第2実施の形態)
図5は、本発明の第2実施の形態に係るルータ装置による暗号・復号性能表の更新動作を示すフローチャートである。 (Second Embodiment)
FIG. 5 is a flowchart showing the update operation of the encryption / decryption performance table by the router device according to the second embodiment of the present invention.

本実施の形態は、第1実施の形態において、暗号・復号デバイス15,16の実際の性能値を算出して、対応する暗号・復号性能表22における暗号形式の性能値を更新するようにしたもので、その他の動作は第1実施の形態と同様である。   In this embodiment, the actual performance values of the encryption / decryption devices 15 and 16 are calculated in the first embodiment, and the performance values of the encryption format in the corresponding encryption / decryption performance table 22 are updated. The other operations are the same as those in the first embodiment.

このため、本実施の形態では、暗号・復号処理の完了時に、図5に示すように、先ず、起動後経過時間24を実際に暗号・復号処理にかかった時間として処理した暗号要求データ31のデータ長で除算し実際の性能値を算出する(ステップS21)。   For this reason, in the present embodiment, when the encryption / decryption process is completed, as shown in FIG. 5, first, the elapsed time 24 after activation is actually processed as the time required for the encryption / decryption process. The actual performance value is calculated by dividing by the data length (step S21).

次に、実際の性能値と暗号・復号性能表22の対応する暗号形式の性能値との差分をとって(ステップS22)、その差分の絶対値が一定値を超えるか否かを判定し(ステップS23)、一定値を上回っていると判定された(YES)場合には、暗号・復号性能表22の対応する暗号形式の値を算出した値で更新し(ステップS24)、次に、全要求リスト23を走査して全要求リスト23の処理時間を、更新した性能値を用いて再計算して更新すると同時に、各要求処理時間の和を算出する(ステップS25)。全要求リスト23の更新が完了したら、算出した各要求処理時間の和の値で全要求処理時間21を更新する(ステップS26)。   Next, the difference between the actual performance value and the performance value of the corresponding encryption format in the encryption / decryption performance table 22 is taken (step S22), and it is determined whether or not the absolute value of the difference exceeds a certain value ( Step S23), if it is determined that the value exceeds a certain value (YES), the value of the corresponding encryption format in the encryption / decryption performance table 22 is updated with the calculated value (Step S24). The request list 23 is scanned, and the processing time of all the request lists 23 is recalculated and updated using the updated performance value, and at the same time, the sum of the request processing times is calculated (step S25). When the update of the all request list 23 is completed, the total request processing time 21 is updated with the calculated sum of the request processing times (step S26).

一方、ステップS23において、実際の性能値と暗号・復号性能表22の対応する暗号形式の性能値との差分の絶対値が一定の値を下回っていると判定された(NO)場合には、暗号・復号性能表22、全要求リスト23の処理時間、全要求処理時間21の更新は行わず、全要求リスト23の先頭エントリにある処理時間を全要求処理時間21から減算する。   On the other hand, if it is determined in step S23 that the absolute value of the difference between the actual performance value and the performance value of the corresponding encryption format in the encryption / decryption performance table 22 is below a certain value (NO), The processing time of the encryption / decryption performance table 22 and the total request list 23 and the total request processing time 21 are not updated, and the processing time in the top entry of the total request list 23 is subtracted from the total request processing time 21.

以後は、同様にして、暗号・復号デバイス15,16が一つの要求の処理を開始してから完了するまでの時間を監視して実際の性能値を算出し、その実際の性能値と対応する暗号・復号性能表22の暗号形式の性能値との差分が一定値を上回る場合には、暗号・復号性能表22の対応する暗号形式の性能値を、算出した実際の性能値に更新すると共に、その更新した性能値を用いて全要求リスト23の処理時間を再計算して、その和である全要求処理時間21を更新する。   Thereafter, in the same manner, the actual performance value is calculated by monitoring the time from when the encryption / decryption devices 15 and 16 start processing one request until it is completed, and corresponds to the actual performance value. When the difference between the performance value of the encryption format in the encryption / decryption performance table 22 exceeds a certain value, the performance value of the corresponding encryption format in the encryption / decryption performance table 22 is updated to the calculated actual performance value. Then, the processing time of the all request list 23 is recalculated using the updated performance value, and the total request processing time 21 which is the sum is updated.

本実施の形態によれば、実際の性能値を算出して、暗号・復号性能表22の対応する暗号形式の性能値を更新すると共に、全要求処理時間21を更新することで、暗号・復号デバイス15あるいは16が汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイス15または16を特定して負荷を効率良く分散でき、装置設計の柔軟性を向上することができる。また、暗号・復号デバイス15あるいは16の実際の性能が判明していない場合には、装置起動時に対応する暗号・復号性能表22を全て0に設定して優先的に起動することにより、性能表をより早く確定することができるので、暗号・復号性能表22を予め調査して設定する必要がなくなり、実装が容易になる。   According to the present embodiment, the actual performance value is calculated, the performance value of the corresponding encryption format in the encryption / decryption performance table 22 is updated, and the total request processing time 21 is updated, whereby the encryption / decryption is performed. Even when the device 15 or 16 is configured by using a calculation device such as a general-purpose DSP, even when the encryption / decryption performance changes in a time zone in which functions other than the encryption / decryption function operate. Therefore, it is possible to identify the encryption / decryption device 15 or 16 having the smallest load and to distribute the load efficiently, and to improve the flexibility of the apparatus design. If the actual performance of the encryption / decryption device 15 or 16 is not known, the performance table is set by preferentially starting by setting all the corresponding encryption / decryption performance tables 22 to 0 when starting the apparatus. Therefore, it is not necessary to investigate and set the encryption / decryption performance table 22 in advance, which facilitates the implementation.

(第3実施の形態)
本発明の第3実施の形態においては、第1実施の形態において、メモリ12に暗号・復号デバイス15,16のそれぞれに対応して各暗号形式の実性能比表を格納し、その実性能比を用いて全要求処理時間21を算出するようにしたもので、その他の動作は第1実施の形態と同様である。 (Third embodiment)
In the third embodiment of the present invention, in the first embodiment, the actual performance ratio table of each encryption format is stored in the memory 12 corresponding to each of the encryption / decryption devices 15 and 16, and the actual performance ratio is calculated. This is used to calculate the total required processing time 21, and the other operations are the same as in the first embodiment.

このため、本実施の形態では、暗号・復号処理の完了時に、例えば、起動後経過時間24を実際に暗号・復号処理にかかった時間として処理した暗号要求データ31のデータ長で除算して、実際の性能値を算出し、その算出した実性能値を暗号・復号性能表22にある対応する暗号形式の性能値で除算することにより、実性能比を求めて実性能比表を更新する。あるいは、更新前の実性能比と暗号・復号性能表22の値とを乗算した更新前の実性能値と、現在の実性能値との差分の絶対値が、ある閾値を超えない場合は測定算出した実性能比で実性能比表を更新し、ある閾値を越えた場合は、一定の値を更新前の実性能値に加算あるいは減算して、その値を暗号・復号性能表22の値で除算して実性能比表を更新する。   For this reason, in the present embodiment, when the encryption / decryption process is completed, for example, the elapsed time after activation 24 is divided by the data length of the encryption request data 31 processed as the time required for the encryption / decryption process, The actual performance value is calculated, and the calculated actual performance value is divided by the performance value of the corresponding encryption format in the encryption / decryption performance table 22, thereby obtaining the actual performance ratio and updating the actual performance ratio table. Alternatively, measurement is performed when the absolute value of the difference between the actual performance value before update obtained by multiplying the actual performance ratio before update by the value in the encryption / decryption performance table 22 and the current actual performance value does not exceed a certain threshold. The actual performance ratio table is updated with the calculated actual performance ratio, and when a certain threshold is exceeded, a certain value is added to or subtracted from the actual performance value before the update, and the value is the value of the encryption / decryption performance table 22 Divide by to update the actual performance ratio table.

以後は、暗号・復号要求を受けた際に、暗号・復号デバイス15,16の各々について、未処理の全要求データの処理時間とその暗号形式に対応する実性能比とを乗算して全要求処理時間21を算出し、その全要求処理時間21に基づいて第1実施の形態と同様にして最も負荷の小さい暗号・復号デバイス15または16を特定して負荷を分散する。   Thereafter, when an encryption / decryption request is received, each request for each of the encryption / decryption devices 15 and 16 is multiplied by the processing time of all unprocessed requested data and the actual performance ratio corresponding to the encryption format. The processing time 21 is calculated, and the load is distributed by specifying the encryption / decryption device 15 or 16 having the smallest load based on the total request processing time 21 as in the first embodiment.

なお、実性能比表には、初期値として全ての暗号形式に対して1を与えて、実際の性能が判明していない暗号・復号デバイス15あるいは16に対する性能値を暗号・復号性能表22の値と一致させておく。あるいは、実性能比表の値を全て0に設定する処理を加えて、実際の性能が判明していない暗号・復号デバイス15あるいは16を優先的に起動して、実性能比をより早く確定するようにしてもよい。   In the actual performance ratio table, 1 is assigned to all encryption formats as an initial value, and the performance value for the encryption / decryption device 15 or 16 whose actual performance is not known is shown in the encryption / decryption performance table 22. Keep the value consistent. Alternatively, processing for setting all the values of the actual performance ratio table to 0 is added, and the encryption / decryption device 15 or 16 whose actual performance is not known is preferentially activated to determine the actual performance ratio earlier. You may do it.

また、実性能比は、暗号形式によって変化しない場合は、代表値として一つを格納するようにしてもよい。さらに、実性能比が激しく変化する場合は、一度に変化できる最大値を設け、それより大きい変化に対しては最大値しか変化させないように実性能比を更新するようにしてもよい。   Further, when the actual performance ratio does not change depending on the encryption format, one may be stored as a representative value. Furthermore, when the actual performance ratio changes drastically, a maximum value that can be changed at once may be provided, and the actual performance ratio may be updated so that only the maximum value is changed for a change larger than that.

本実施の形態によれば、実性能比を用いることにより、暗号・復号デバイス15,16の各々における全要求処理時間21をより正確に算出できるので、負荷の最も小さい暗号・復号デバイス15または16を確実に特定することができる。したがって、負荷の分散精度を向上でき、暗号・復号のより高速化が図れる。また、実性能比を用いて全要求処理時間21を算出することから、第2実施の形態と同様に、暗号・復号デバイス15あるいは16が汎用のDSP等の計算デバイスを使用して構成されている場合のように、暗号・復号機能以外の機能が動作する時間帯で暗号・復号性能が変化する場合であっても、負荷の最も小さい暗号・復号デバイス15または16を特定して負荷を効率良く分散できるので、装置設計の柔軟性を向上することができる。   According to the present embodiment, by using the actual performance ratio, the total required processing time 21 in each of the encryption / decryption devices 15 and 16 can be calculated more accurately. Therefore, the encryption / decryption device 15 or 16 having the smallest load. Can be reliably identified. Therefore, load distribution accuracy can be improved, and encryption / decryption can be performed at higher speed. Further, since the total required processing time 21 is calculated using the actual performance ratio, the encryption / decryption device 15 or 16 is configured using a calculation device such as a general-purpose DSP, as in the second embodiment. Even if the encryption / decryption performance changes in the time zone in which functions other than the encryption / decryption function operate, as in the case where the function is present, the encryption / decryption device 15 or 16 having the smallest load is identified and the load is made efficient. Since it can be dispersed well, the flexibility of device design can be improved.

(第4実施の形態)
図6および図7は本発明の第4実施の形態を示すもので、図6は本発明による負荷分散方法を実施するルータ装置を含む全体的なシステム概念図、図7は図6に示す暗号・復号負荷分散デバイスの概略構成を示すブロック図である。 (Fourth embodiment)
FIGS. 6 and 7 show a fourth embodiment of the present invention. FIG. 6 is an overall system conceptual diagram including a router device that implements the load distribution method according to the present invention. FIG. 7 is an encryption diagram shown in FIG. It is a block diagram which shows schematic structure of a decoding load distribution device.

図6において、ルータ装置6は、第1実施の形態と同様に、IP網2から受信した非暗号データを暗号化してIP−VPN網3に暗号データとして転送し、IP−VPN網3から受信した暗号データを復号してIP網2に非暗号データとして転送するものであるが、本実施の形態ではルータ装置6による負荷分算処理をハードウェアにより行うものである。このため、ルータ装置6には、CPU61、メモリ62、LAN I/F63,64、複数(図6では2個)の暗号・復号デバイス65,66の他に、暗号・復号負荷分散デバイス67を設けている。   In FIG. 6, the router device 6 encrypts the non-encrypted data received from the IP network 2 and transfers it as encrypted data to the IP-VPN network 3 and receives it from the IP-VPN network 3 as in the first embodiment. The encrypted data is decrypted and transferred to the IP network 2 as non-encrypted data. In this embodiment, the load dividing process by the router device 6 is performed by hardware. Therefore, the router device 6 is provided with an encryption / decryption load distribution device 67 in addition to the CPU 61, the memory 62, the LAN I / Fs 63 and 64, and a plurality of (two in FIG. 6) encryption / decryption devices 65 and 66. ing.

暗号・復号負荷分散デバイス67は、図7に示すように、暗号・復号性能表71,72、要求処理時間予測部73、要求受付部74、小負荷デバイス選択部75、全要求処理時間レジスタ76,77、要求キュー78,79、完了通知受付部80を有している。ここで、暗号・復号性能表71、全要求処理時間レジスタ76および要求キュー78は、一方の暗号・復号デバイス65に対応しており、暗号・復号性能表72、全要求処理時間レジスタ77および要求キュー79は、他方の暗号・復号デバイス66に対応している。   As shown in FIG. 7, the encryption / decryption load distribution device 67 includes encryption / decryption performance tables 71 and 72, a request processing time prediction unit 73, a request reception unit 74, a small load device selection unit 75, and an all request processing time register 76. , 77, request queues 78, 79, and a completion notification receiving unit 80. Here, the encryption / decryption performance table 71, the total request processing time register 76, and the request queue 78 correspond to one encryption / decryption device 65, and the encryption / decryption performance table 72, the total request processing time register 77, and the request The queue 79 corresponds to the other encryption / decryption device 66.

以下、本実施の形態の動作について説明する。   Hereinafter, the operation of the present embodiment will be described.

まず、ルータ装置6は、電源起動時に、CPU61から暗号・復号負荷分散デバイス67に対して初期化要求を送る。初期化要求を受けた暗号・復号負荷分散デバイス67は、全要求処理時間レジスタ76,77を0に設定して、要求キュー78,79をクリアする。次に、CPU61は、暗号・復号負荷分散デバイス67中の暗号・復号性能表71,72を設定する。   First, the router device 6 sends an initialization request from the CPU 61 to the encryption / decryption load distribution device 67 when the power is turned on. The encryption / decryption load distribution device 67 that has received the initialization request sets all the request processing time registers 76 and 77 to 0 and clears the request queues 78 and 79. Next, the CPU 61 sets the encryption / decryption performance tables 71 and 72 in the encryption / decryption load distribution device 67.

その後、LAN I/F63がIP網2から非暗号データを受信した場合には、その受信した非暗号データをメモリ62に格納してCPU61に通知する。CPU61は、その通知を受けて、受信した非暗号データのルーティング先を計算し、対応するIP−VPN網3とのリンク確立時のネゴシエーション情報から暗号形式を求めて、暗号・復号負荷分散デバイス67の要求受付部74に要求データの暗号形式および処理内容(この場合、暗号)、データ長、データのメモリ上の位置を通知する。   Thereafter, when the LAN I / F 63 receives non-encrypted data from the IP network 2, the received non-encrypted data is stored in the memory 62 and notified to the CPU 61. Upon receiving the notification, the CPU 61 calculates the routing destination of the received non-encrypted data, obtains the encryption format from the negotiation information when the link with the corresponding IP-VPN network 3 is established, and obtains the encryption / decryption load distribution device 67. The request receiving unit 74 is notified of the encryption format and processing content of the request data (encryption in this case), the data length, and the data location on the memory.

また、LAN I/F64がIP−VPN網3から暗号データを受信した場合には、その受信した暗号データをメモリ62に格納してCPU61に通知する。CPU61は、その通知を受けて、IP−VPN網3とのネゴシエーション情報から暗号形式を求め、暗号・復号負荷分散デバイス67の要求受付部74に暗号形式および処理内容(この場合、復号)、データ長、データのメモリ上の位置を通知する。   When the LAN I / F 64 receives encrypted data from the IP-VPN network 3, the received encrypted data is stored in the memory 62 and notified to the CPU 61. In response to the notification, the CPU 61 obtains the encryption format from the negotiation information with the IP-VPN network 3, and sends the encryption format, processing contents (in this case, decryption), data to the request reception unit 74 of the encryption / decryption load distribution device 67. Notifies the length and location of data in memory.

暗号・復号負荷分散デバイス67は、要求受付部74においてCPU61からの通知を受けたら、小負荷デバイス選択部75を通して暗号・復号デバイス65,66の全要求処理時間レジスタ76,77から最も値の小さいものを探索し、その負荷の最も小さい暗号・復号デバイス65または66と、それに対応する要求キュー78または79と、要求処理時間予測部73とを接続する。同時に、負荷の最も小さい暗号・復号デバイス65または66に対応する暗号・復号性能表71または72を要求処理時間予測部73に接続する。   When receiving the notification from the CPU 61 in the request receiving unit 74, the encryption / decryption load distribution device 67 has the smallest value from all the request processing time registers 76, 77 of the encryption / decryption devices 65, 66 through the small load device selection unit 75. An encryption / decryption device 65 or 66 having the smallest load, a corresponding request queue 78 or 79, and a request processing time prediction unit 73 are connected. At the same time, the encryption / decryption performance table 71 or 72 corresponding to the encryption / decryption device 65 or 66 having the smallest load is connected to the request processing time prediction unit 73.

その後、要求受付部74は、要求処理時間予測部73に対して受け付けた要求を通知し、これにより要求処理時間予測部73では、接続された暗号・復号性能表71または72から、要求データの暗号形式、処理内容に対する性能値を特定し、暗号要求データのデータ長と乗算することで得られる予測時間を算出し、接続された要求キュー78または79に、要求データと共に出力する。   Thereafter, the request reception unit 74 notifies the request processing time prediction unit 73 of the received request, whereby the request processing time prediction unit 73 reads the request data from the connected encryption / decryption performance table 71 or 72. The performance value for the encryption format and processing content is specified, the predicted time obtained by multiplying the data length of the encryption request data is calculated, and output to the connected request queue 78 or 79 together with the request data.

その後、要求処理時間予測部73は、接続された全要求処理時間レジスタ76または77の値に、算出した予測時間を加算し更新する。   Thereafter, the request processing time prediction unit 73 adds the calculated prediction time to the value of all the request processing time registers 76 or 77 connected to update.

以上により、負荷の最も小さい暗号・復号デバイス65または66に処理を依頼し、要求受付時の負荷状況の更新を行うことができる。   As described above, it is possible to request the encryption / decryption device 65 or 66 having the smallest load to update the load status when the request is received.

次に、暗号・復号負荷分散デバイス67は、該当する暗号・復号デバイス65または66が未起動状態であれば、対応する要求キュー78または79の暗号・復号デバイス側先頭の暗号要求の処理を依頼して起動する。   Next, if the corresponding encryption / decryption device 65 or 66 is not activated, the encryption / decryption load distribution device 67 requests processing of the first encryption request on the encryption / decryption device side of the corresponding request queue 78 or 79. And start.

同時に、起動状態にある暗号・復号デバイス65または66は、処理を完了すると、暗号・復号負荷分散デバイス67の完了通知受付部80に完了通知を送る。完了通知を受けた完了通知受付部80は、暗号・復号デバイス65または66に対応する要求キュー78または79、および全要求処理時間レジスタ76および77を選択して、要求キュー78または79の暗号・復号デバイス側先頭にある要求情報から処理時間を取り出し、全要求処理時間レジスタ76または77の値から減算した後、その要求情報を廃棄して、次の要求情報を新しいキューの先頭とする。   At the same time, when the encryption / decryption device 65 or 66 in the activated state completes the process, it sends a completion notification to the completion notification reception unit 80 of the encryption / decryption load distribution device 67. Upon receipt of the completion notification, the completion notification receiving unit 80 selects the request queue 78 or 79 corresponding to the encryption / decryption device 65 or 66 and the all request processing time registers 76 and 77 to encrypt / restore the request queue 78 or 79. The processing time is extracted from the request information at the head of the decoding device side, and is subtracted from the value of the total request processing time register 76 or 77. Then, the request information is discarded and the next request information is set as the head of a new queue.

その後、暗号・復号デバイス65または66は、更新された要求キュー78または79の先頭に暗号要求が存在すれば、その処理を対応する暗号・復号デバイス65または66に依頼し起動する。   Thereafter, if there is an encryption request at the head of the updated request queue 78 or 79, the encryption / decryption device 65 or 66 requests the corresponding encryption / decryption device 65 or 66 to start the process.

なお、暗号・要求データを要求キュー78,79から取り出し、対応する暗号・復号デバイス65,66への起動を行う処理は、CPU61を用いて行ってもよい。また、暗号・復号処理の完了を暗号・復号負荷分散デバイス67に通知する処理は、CPU61を用いて行ってもよい。   Note that the CPU 61 may be used to perform processing for extracting the encryption / request data from the request queues 78 and 79 and activating the corresponding encryption / decryption devices 65 and 66. The CPU 61 may be used to notify the encryption / decryption load distribution device 67 of completion of the encryption / decryption process.

CPU61は、暗号処理の終わったデータをLAN I/F64からIP−VPN網3に対して送出し、復号処理の終わったデータはLAN I/F63からIP網2に対して送出する。   The CPU 61 sends data for which encryption processing has been completed to the IP-VPN network 3 from the LAN I / F 64, and sends data for which decryption processing has been completed to the IP network 2 from the LAN I / F 63.

なお、本実施の形態では、起動後経過時間を0固定としたが、起動後経過時間測定用のタイマを暗号・復号デバイス65,66内に含めるか、あるいは、暗合・復号デバイス65,66の起動後経過時間レジスタを暗合・復号負荷分散デバイス67に含めて、暗合・復号処理要求時および暗合・復号処理完了時にCPU61により更新することで、起動後経過時間を暗号・復号デバイス65または66の選択に用いることも可能である。   In this embodiment, the elapsed time after activation is fixed to 0, but a timer for measuring elapsed time after activation is included in the encryption / decryption devices 65, 66, or the encryption / decryption devices 65, 66 The elapsed time after activation is included in the encryption / decryption load distribution device 67 and is updated by the CPU 61 when the encryption / decryption processing is requested and when the encryption / decryption processing is completed, so that the elapsed time after activation is stored in the encryption / decryption device 65 or 66. It can also be used for selection.

本実施の形態によれば、ルータ装置6に暗号・復号負荷分散デバイス67を設けることで、CPU61の負担を軽減でき、高速処理が可能になると共に、メモリ62の容量を削減でき、そのコストダウンを図ることができる。   According to the present embodiment, by providing the encryption / decryption load distribution device 67 in the router device 6, the burden on the CPU 61 can be reduced, high-speed processing can be performed, the capacity of the memory 62 can be reduced, and the cost can be reduced. Can be achieved.

本発明の第1実施の形態による負荷分散方法を実施するルータ装置を含む全体的なシステム概念図である。1 is an overall system conceptual diagram including a router device that implements a load distribution method according to a first embodiment of the present invention; 図1のメモリに格納するデータ例を示す図である。It is a figure which shows the example of data stored in the memory of FIG. 第1実施の形態による暗号・復号要求受付時の負荷分散動作を示すフローチャートである。It is a flowchart which shows the load distribution operation | movement at the time of the encryption / decryption request reception by 1st Embodiment. 同じく、暗号・復号要求完了時の負荷状況更新動作を示すフローチャートである。Similarly, it is a flowchart showing a load status update operation when an encryption / decryption request is completed. 本発明の第2実施の形態に係るルータ装置による暗号・復号性能表の更新動作を示すフローチャートである。It is a flowchart which shows the update operation | movement of the encryption / decryption performance table | surface by the router apparatus based on 2nd Embodiment of this invention. 本発明の第4実施の形態による負荷分散方法を実施するルータ装置を含む全体的なシステム概念図である。It is a whole system conceptual diagram containing the router apparatus which implements the load distribution method by 4th Embodiment of this invention. 図6に示す暗号・復号負荷分散デバイスの概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the encryption / decryption load distribution device shown in FIG.

符号の説明Explanation of symbols

1 ルータ装置
2 IP網
3 IP−VPN網
6 ルータ装置
11 CPU
12 メモリ
13,14 LAN I/F
15,16 暗号・復号デバイス
21 全要求処理時間
22 暗号・復号性能表
23 全要求リスト
24 起動後経過時間
31 暗号要求データ
32 処理時間
61 CPU
62 メモリ
63,64 LAN I/F
65,66 暗号・復号デバイス
71,72 暗号・復号性能表
73 要求処理時間予測部
74 要求受付部
75 小負荷デバイス選択部
76,77 全要求処理時間レジスタ
78,79 要求キュー
80 完了通知受付部 DESCRIPTION OF SYMBOLS 1 Router apparatus 2 IP network 3 IP-VPN network 6 Router apparatus 11 CPU
12 Memory 13, 14 LAN I / F
15, 16 Encryption / Decryption Device 21 All Request Processing Time 22 Encryption / Decryption Performance Table 23 All Request List 24 Elapsed Time After Startup 31 Encryption Request Data 32 Processing Time 61 CPU
62 Memory 63, 64 LAN I / F
65, 66 Encryption / decryption device 71, 72 Encryption / decryption performance table 73 Request processing time prediction unit 74 Request reception unit 75 Light load device selection unit 76, 77 All request processing time register 78, 79 Request queue 80 Completion notification reception unit

Claims (3)

暗号処理および復号処理を実行する複数の暗号・復号デバイスのうち、負荷の最も小さい暗号・復号デバイスを特定して次の処理要求データを割り振るにあたり、
上記複数の暗号・復号デバイスの各々について、暗号形式毎の処理速度を管理して、現在の負荷量を未処理の全要求データのデータ量およびその暗号形式に対応する上記処理速度に基づいて全要求処理時間として算出し、その算出された全要求処理時間の最も短い暗号・復号デバイスを負荷の最も小さい暗号・復号デバイスとして特定することを特徴とする複数の暗号・復号デバイスへの負荷分散方法。 In allocating the next processing request data by specifying the encryption / decryption device with the smallest load among the plurality of encryption / decryption devices executing the encryption process and the decryption process,
For each of the plurality of encryption / decryption devices, the processing speed for each encryption format is managed, and the current load amount is determined based on the data amount of all unprocessed request data and the processing speed corresponding to the encryption format. A load distribution method for a plurality of encryption / decryption devices, characterized in that the encryption / decryption device having the shortest total request processing time is calculated as a request processing time, and specified as the encryption / decryption device having the smallest load . 上記暗号・復号デバイス毎に管理する暗号形式毎の処理速度を、各暗号・符号デバイスによる実際の暗号・復号処理のデータ量およびその処理時間に基づいて更新することを特徴とする請求項1に記載の複数の暗号・復号デバイスへの負荷分散方法。   The processing speed for each encryption format managed for each encryption / decryption device is updated based on the actual data amount and processing time of the encryption / decryption processing by each encryption / decoding device. A load distribution method to a plurality of encryption / decryption devices described. 上記複数の暗号・復号デバイスの各々について、上記管理されている暗号形式毎の処理速度と、実際の暗号・復号処理のデータ量およびその処理時間に基づいて算出される実処理速度との比である実性能比を算出し、その算出した実性能比を未処理の全要求データの対応する暗号形式の処理速度に乗算して上記全要求処理時間を算出することを特徴とする請求項1に記載の複数の暗号・復号デバイスへの負荷分散方法。   For each of the plurality of encryption / decryption devices, the ratio between the processing speed for each managed encryption format and the actual processing speed calculated based on the actual data amount and processing time of the encryption / decryption process. 2. The total required processing time is calculated by calculating a certain actual performance ratio and multiplying the calculated actual performance ratio by the processing speed of the corresponding encrypted format of all unprocessed request data. A load distribution method to a plurality of encryption / decryption devices described.
JP2004211645A 2004-07-20 2004-07-20 Load distribution method for a plurality of encryption/decoding devices Withdrawn JP2006033593A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004211645A JP2006033593A (en) 2004-07-20 2004-07-20 Load distribution method for a plurality of encryption/decoding devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004211645A JP2006033593A (en) 2004-07-20 2004-07-20 Load distribution method for a plurality of encryption/decoding devices

Publications (1)

Publication Number Publication Date
JP2006033593A true JP2006033593A (en) 2006-02-02

Family

ID=35899379

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004211645A Withdrawn JP2006033593A (en) 2004-07-20 2004-07-20 Load distribution method for a plurality of encryption/decoding devices

Country Status (1)

Country Link
JP (1) JP2006033593A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009290648A (en) * 2008-05-30 2009-12-10 Hitachi Ltd Verification server, program and verifying method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009290648A (en) * 2008-05-30 2009-12-10 Hitachi Ltd Verification server, program and verifying method
US8819417B2 (en) 2008-05-30 2014-08-26 Hitachi, Ltd. Validation server, validation method, and program

Similar Documents

Publication Publication Date Title
US8639912B2 (en) Method and system for packet processing
US10353722B2 (en) System and method of offloading cryptography processing from a virtual machine to a management module
EP1292082B1 (en) Method and apparatus for establishing secure session
JP2003216591A (en) Interface for security coprocessor
US9306734B2 (en) Communication device, key generating device, and computer readable medium
US20180115635A1 (en) Systems and methods for selecting microservices to process protocol data streams
JP2022172360A (en) Encryption communication device, encryption communication system, encryption communication method, and program
US20050149744A1 (en) Network processor having cryptographic processing including an authentication buffer
US10298553B2 (en) Hardware trusted data communications over system-on-chip (SOC) architectures
JP2006039000A (en) Encryption processing device and encryption processing method
CN106209401B (en) A kind of transmission method and device
JP5372057B2 (en) Communication system and communication method
WO2010023951A1 (en) Secure communication device, secure communication method, and program
JP2006033593A (en) Load distribution method for a plurality of encryption/decoding devices
Grand et al. Design and implementation of a multi-core crypto-processor for software defined radios
JP2012227829A (en) Image processor and control method therefor
JP6211818B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, PROGRAM, AND COMMUNICATION SYSTEM
US20060013397A1 (en) Channel adapter managed trusted queue pairs
KR101491699B1 (en) Control apparatus and method thereof in software defined networking
KR101997996B1 (en) Security communication method using key management server in software defined network controller and apparatus for perfoming the same
JP4802159B2 (en) Network equipment
JP4277833B2 (en) Content encryption apparatus and content encryption method
JP2003198530A (en) Packet communication device and encryption algorithm setting method
JP6509475B1 (en) Management device, management method and management program
JP2004348233A (en) File sharing system, server, and program

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20060110

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20060203

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070613

A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20071002