JP2009164742A - プロトコル遅延測定装置及びプロトコル遅延測定方法 - Google Patents

プロトコル遅延測定装置及びプロトコル遅延測定方法 Download PDF

Info

Publication number
JP2009164742A
JP2009164742A JP2007339861A JP2007339861A JP2009164742A JP 2009164742 A JP2009164742 A JP 2009164742A JP 2007339861 A JP2007339861 A JP 2007339861A JP 2007339861 A JP2007339861 A JP 2007339861A JP 2009164742 A JP2009164742 A JP 2009164742A
Authority
JP
Japan
Prior art keywords
time stamp
packet
data packet
protocol
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007339861A
Other languages
English (en)
Other versions
JP5171245B2 (ja
Inventor
Satoshi Chiga
諭 千賀
Kazunari Yamada
一成 山田
Ming-Fong Yeh
ミン フォン イェ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to JP2007339861A priority Critical patent/JP5171245B2/ja
Priority to EP08865956A priority patent/EP2247080A1/en
Priority to PCT/JP2008/003772 priority patent/WO2009084166A1/ja
Priority to US12/808,256 priority patent/US8711706B2/en
Publication of JP2009164742A publication Critical patent/JP2009164742A/ja
Application granted granted Critical
Publication of JP5171245B2 publication Critical patent/JP5171245B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B17/00Monitoring; Testing
    • H04B17/30Monitoring; Testing of propagation channels
    • H04B17/309Measuring or estimating channel quality parameters
    • H04B17/364Delay profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

【課題】プロトコル遅延測定に伴う通信端末の処理オーバヘッド増加を抑制すること。
【解決手段】プロトコル遅延測定装置100は、通信端末1のIPsec処理により未処理パケットから処理済パケットが得られる前後にそれぞれ生成される第1及び第2のタイムスタンプに基づいて、プロトコル遅延を測定する。認識処理部104は、未処理パケットの識別子を生成する。タイムスタンプデータベース106は、生成された識別子を、第1のタイムスタンプと共に記憶し、生成された識別子を、通信端末1のIPsec処理前後で同一に維持する記憶領域に書き込む。相関処理部108は、当該記憶領域内の識別子を読み出し、読み出された識別子と同一の識別子と共にタイムスタンプデータベース106に記憶された第1のタイムスタンプを抽出する。算出処理部110は、抽出された第1のタイムスタンプと第2のタイムスタンプとの差分を、プロトコル遅延として算出する。
【選択図】図2

Description

本発明は、暗号化通信環境におけるプロトコル遅延(protocol latency)を測定する装置及び方法に関する。
データ通信ネットワークシステムの監視又は管理には、ネットワークシステムの処理パフォーマンスについての情報の収集が必要であり、そのために、例えば暗号化通信環境でのプロトコル遅延が測定される。
プロトコル遅延を測定する従来の方法としては、例えば特許文献1に記載されたものがある。この方法では、通信端末におけるカーネル層(通信プロトコルスタック)での暗号化処理に起因するプロトコル遅延を測定するために、通信端末において、先ず、当該暗号化処理適用前の未処理データと同一のデータを、アプリケーション層で暗号化し、その際に得られる署名を保存する。そして、カーネル層で未処理データを暗号化し、その際に得られる署名と、保存した署名とを比較することにより、カーネル層で暗号化される前後のデータの同一性を保証する。そして、同一性が保証されたデータについて、プロトコル遅延の測定が実施される。
米国特許第6363477号明細書
しかしながら、上記従来のプロトコル遅延測定方法においては、遅延測定対象の暗号化処理が適用される前後のデータの同一性を保証するための暗号化処理が別途実行されるため、通信端末において処理オーバヘッドが増加するという問題がある。これは、通信端末においてCPU(Central Processing Unit)負荷が単純に2倍となることを意味し、ネットワークプロトコルの送受信処理に十分なリソースが割り当てられない可能性も増大する。すなわち、上記プロトコル測定は、実環境と大きく相違する環境下で行われ得るため、測定精度については必ずしも高精度とはいえない。
本発明は、かかる点に鑑みてなされたもので、プロトコル遅延測定に伴う通信端末の処理オーバヘッド増加を抑制することができるプロトコル遅延測定装置及びプロトコル遅延測定方法を提供することを目的とする。
本発明のプロトコル遅延測定装置は、通信端末におけるIPsec(Internet Protocol Security)処理によるプロトコル遅延を測定するプロトコル遅延測定装置であって、未処理パケットの識別子を生成する識別子生成手段と、生成された識別子を、第1のタイムスタンプと共に記憶するデータベースと、生成された識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込み手段と、前記記憶領域に書き込まれた識別子を読み出す読み出し手段と、読み出された識別子と同一の識別子と共に前記データベースに記憶された第1のタイムスタンプを抽出する抽出手段と、抽出された第1のタイムスタンプと、第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出手段と、を有する構成を採る。
本発明のプロトコル遅延測定方法は、通信端末におけるIPsec(Internet Protocol Security)処理によるプロトコル遅延を測定するプロトコル遅延測定方法であって、未処理パケットの識別子を生成する識別子生成ステップと、生成された識別子を、第1のタイムスタンプと共にデータベースに記憶させる記憶ステップと、生成された識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込みステップと、前記記憶領域に書き込まれた識別子を読み出す読み出しステップと、読み出された識別子と同一の識別子と共に前記データベースに記憶させた第1のタイムスタンプを抽出する抽出ステップと、抽出された第1のタイムスタンプと、第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出ステップと、を有するようにした。
本発明によれば、プロトコル遅延測定に伴う通信端末の処理オーバヘッド増加を抑制することができる。
以下、本発明の実施の形態について、図面を用いて詳細に説明する。
図1は、本発明の一実施の形態に係るデータ通信ネットワークシステムの構成を示す図である。図1のデータ通信ネットワークシステムは、通信端末1がネットワーク2を介して通信端末3とパケット通信を行うことができるよう構成されている。
通信端末1は、ネットワークアプリケーション11を含むユーザモジュール(図示せず)と、TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)スタック12及びIP(Internet Protocol)スタック13を含むプロトコルスタックモジュール(図示せず)と、を含むように構成されている。ユーザモジュール及びプロトコルスタックモジュールは、ソフトウェア単体として構成することも、ソフトウェアとハードウェアとの組合せとして構成することもできる。また、通信端末1は、ネットワーク2との接続を行う物理デバイス(図示せず)を制御するネットワークデバイスドライバ14と、後でより詳細に説明するプロトコル遅延測定装置100と、をさらに含むように構成されている。
IPスタック13は、IPsec(Internet Protocol Security)処理15を含む。IPsec処理15は、送信データパケット及び受信データパケットにIPパケット単位で適用される暗号化処理(暗号化及び復号化を含む)であり、データの改ざん防止・秘匿機能を提供するものである。本実施の形態においては、IPsec処理15がプロトコル遅延の測定対象である。
通信端末3は、ネットワークアプリケーション31を含むユーザモジュール(図示せず)と、TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)スタック32及びIP(Internet Protocol)スタック33を含むプロトコルスタックモジュール(図示せず)と、を含むように構成されている。ユーザモジュール及びプロトコルスタックモジュールは、ソフトウェア単体として構成することも、ソフトウェアとハードウェアとの組合せとして構成することもできる。また、通信端末3は、ネットワーク2との接続を行う物理デバイス(図示せず)を制御するネットワークデバイスドライバ34をさらに含むように構成されている。
なお、本実施の形態では、プロトコル遅延測定装置100が通信端末1にのみ設けられているが、通信端末3にも設けてもよい。また、本実施の形態では、プロトコル遅延測定装置100が通信端末1と一体として実施されているが、これらを別体として実施し必要時にのみプロトコル遅延測定装置100を通信端末1、3に接続するようにしてもよい。
図2は、プロトコル遅延測定装置100の内部構成を示すブロック図である。プロトコル遅延測定装置100は、インターセプト部102、認識処理部104、タイムスタンプデータベース(以下「タイムスタンプDB」という。)106、相関処理部108、算出処理部110及び統計データベース(以下「統計DB」という。)を有する。
インターセプト部102は、通信端末1において処理される送信データパケット又は受信データパケットを、カーネル層に設けられたインターセプトポイント16、17、18、19にてインターセプトする。インターセプトポイント16〜19は、例えばLinux(登録商標)ネットフィルタモジュールにより提供されるNF_IP_LOCAL_OUT、NF_IP_POSTROUTING、NF_IP_LOCAL_IN及びNF_IP_PRE_ROUTINGといったフックポイントである。インターセプト部102によるインターセプトは、上記各フックポイントについてインターセプト機能をLinux(登録商標)ネットフィルタモジュールに登録することにより、実現可能である。インターセプトポイント16〜19が、例えば上記各フックポイントのように、IPsec処理15の直前又は直後に配置されたものである場合は、プロトコル遅延を正確に測定することができる。
インターセプト部102は、インターセプトポイント16にて、未だIPsec処理15を適用されていない送信データパケットをインターセプトし、インターセプトポイント17にて、既にIPsec処理15を適用されている送信データパケットをインターセプトし、インターセプトポイント18にて、未だIPsec処理15を適用されていない受信データパケットをインターセプトし、インターセプトポイント19にて、既にIPsec処理15を適用されている受信データパケットをインターセプトする。また、インターセプト部102は、インターセプトポイント16でインターセプトしたデータパケットを、インターセプトポイント16に返戻し、インターセプトポイント17でインターセプトしたデータパケットを、インターセプトポイント17に返戻し、インターセプトポイント18でインターセプトしたデータパケットを、インターセプトポイント18に返戻し、インターセプトポイント19でインターセプトしたデータパケットを、インターセプトポイント19に返戻する。
インターセプトされるデータパケットは、通信端末1に設けられたバッファに格納されている。図3には、そのバッファの一例として、ソケットバッファ40の構成が示されている。ソケットバッファ40は、TCP/UDPスタック12及びIPスタック13で処理されるデータパケットと、その処理の管理・制御に用いる各種の情報とを格納するバッファであり、例えばLinux(登録商標)カーネルソケットバッファ(sk_buff)である。本実施の形態では、ソケットバッファ40にはデータパケット50が格納される他、後述する認識情報60が、ソケットバッファ40に格納される。Linux(登録商標)カーネルソケットバッファ(sk_buff)の場合、認識情報60の格納は、認識情報60の値を例えばnfmark又はnfcacheに記録することにより実現可能である。
データパケット50が送信データパケットの場合は、必要なIPsec処理15は暗号化であり、したがって、IPsec処理15を未だ適用されていない送信データパケットは、図4(a)に示すようにIPヘッダ51と非暗号化データ52とを有する非暗号化データパケット50aであり、IPsec処理15を既に適用されている送信データパケットは、図4(b)に示すようにIPヘッダ51と暗号化データ53とを有する暗号化データパケット50bである。一方、データパケット50が受信データパケットの場合は、必要なIPsec処理15は復号化であり、したがって、IPsec処理15を未だ適用されていない受信データパケットは、暗号化データパケット50bであり、IPsec処理15を既に適用されている受信データパケットは、非暗号化データパケット50aである。
IPヘッダ51は、図4(c)に示すように、パケット長54、プロトコル情報55及びフラグ56をそれぞれ表示するフィールドを有する。パケット長54は、データパケット50の全体の長さを示すものであり、プロトコル情報55は、データパケット50が非暗号化データパケット50aであるか暗号化データパケット50bであるかを判断するのに用いる情報である。データパケット50が暗号化データパケット50bである場合には、IPヘッダ51には、プロトコル情報55として、IPセキュリティプロトコル(例えば、AH(Authentication Header)プロトコル、ESP(Encapsulating Security Payload)プロトコル)の表示が含まれる。フラグ56は、フラグメント化されたデータパケットに関して「0」又は「1」に設定されるフラグである。例えば、後続のフラグメントが存在し、当該データパケットが最終データパケットでないことを、フラグ56を「0」に設定することによって示し、後続のフラグメントが存在せず、当該データパケットが最終データパケットであることを、フラグ56を「1」に設定することによって示す。
識別子生成手段、書き込み手段及びタイムスタンプ生成手段としての認識処理部104は、プロトコル遅延測定プログラムを記憶装置(図示せず)に記憶し、これをCPU(図示せず)で実行することにより実現される。認識処理部104は、インターセプトされたデータパケットに対して認識処理を実行し、認識処理により認識情報を生成してこれをソケットバッファ40に書き込み、また、認識処理によりタイムスタンプ等を含むタイムスタンプレコードを生成してこれをタイムスタンプDB106に記憶させる。認識処理については、後でより具体的に説明する。
ここで、図5に示すように、認識情報60は、トラックマーク61及びインデックス番号62を含む。
トラックマーク61は、データパケット50がプロトコル遅延測定のための処理を施されているか否かを判断するのに用いられる情報であり、例えば「AA55」のような定数であってもよいし、例えば「4000」のようなフラグであってもよい。トラックマーク61は、異なるストリームに属するデータパケット50にも同じ値のトラックマーク61が付される。
インデックス番号62は、タイムスタンプDB106において検索を行う際に用いられる、データパケット50の識別子としての情報である。例えば、同じストリームに属するデータパケット50には同じ値のインデックス番号62が付され、異なるストリームに属するデータパケット50には、例えば「1111」、「2222」のように、異なる値のインデックス番号62が付される。これにより、通信端末1で複数のストリームを同時に収容する場合にも、それぞれのストリームについてプロトコル遅延測定を行うことができる。
トラックマーク61及びインデックス番号62はいずれも、複雑な演算を全く伴わない単純な処理により生成可能なデータであるため、CPU負荷を増加させることはない。
また、タイムスタンプDB106に記憶されるタイムスタンプレコードは、図6に示すように、インデックス番号71と第1タイムスタンプ72と非暗号化パケットサイズ73とをそれぞれ示すフィールドを含むタイムスタンプデータフォーマット70を有する。インデックス番号71は、インデックス番号62と同一である。第1タイムスタンプ72は、IPsec処理15の適用開始タイミングを規定するタイムスタンプである。非暗号化パケットサイズ73は、非暗号化データパケット50aの全体の長さを示すものである。
タイムスタンプDB106は、認識処理で得られたタイムスタンプレコードを記憶する記憶装置により構成される。
読み出し手段、抽出手段及びタイムスタンプ生成手段としての相関処理部108は、プロトコル遅延測定プログラムを記憶装置(図示せず)に記憶し、これをCPU(図示せず)で実行することにより実現される。相関処理部108は、インターセプトされたデータパケットに対して相関処理を実行し、相関処理により第2タイムスタンプを生成する。第2タイムスタンプは、後述する算出処理に用いられる。相関処理については、後でより具体的に説明する。
算出手段としての算出処理部110は、プロトコル遅延測定プログラムを記憶装置(図示せず)に記憶し、これをCPUで実行することにより実現される。算出処理部110は、第1タイムスタンプと第2タイムスタンプとの差分を算出することによりプロトコル遅延を測定する算出処理を実行し、その測定結果を示す統計レコードを生成してこれを統計DB112に記憶させる。算出処理については、後でより具体的に説明する。
統計DB112は、プロトコル遅延測定結果を示す統計レコードを記憶する記憶装置により構成される。統計DB112は、処理パフォーマンスの評価が行われる場合等に、内部に記憶されている統計レコードを送出することにより、プロトコル遅延測定結果を報告することができる。
ここで、統計DB112に記憶される統計レコードは、図7に示すように、インデックス番号81と経過時間82と合計パケットサイズ83とをそれぞれ示すフィールドを含む統計データフォーマット80を有する。インデックス番号81は、インデックス番号62、71と同一である。経過時間82は、第2タイムスタンプの値から第1タイムスタンプの値を減算することにより得られる値(フラグメントの場合は、その累計)であり、プロトコル遅延の値に相当する。合計パケットサイズ83は、同じインデックス番号81を付され、経過時間82の算出に用いられたパケットのサイズ(フラグメントの場合は、その累計)である。
以下、認識処理部104による認識処理と相関処理部108による相関処理と算出処理部110による算出処理とを含む、プロトコル遅延測定のための一連の処理について、2つのケースに大別して説明する。第1のケースでは、送信データパケットに適用されるIPsec処理15、つまり暗号化によるプロトコル遅延が測定され、第2のケースでは、受信データパケットに適用されるIPsec処理15、つまり復号化によるプロトコル遅延が測定される。
先ず、第1のケースについて説明する。図8は、第1のケースにおける処理フローを示す図である。送信データパケットは、経路90を辿って上位層から下位層に送られる途中で、2度にわたってインターセプトされる。1度目のインターセプトは暗号化前に行われる。より具体的には、送信データパケットは、暗号化前に、インターセプトポイント16でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント16に戻される(インターセプト経路91)。2度目のインターセプトは暗号化後に行われる。より具体的には、送信データパケットは、暗号化後に、インターセプトポイント17でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント17に戻される(インターセプト経路92)。
インターセプト経路91を辿る送信データパケット、すなわち非暗号化データパケットに対しては、プロトコル遅延測定装置100において、図9に示されるように、認識処理部104による認識処理を含む動作が実行される。
図9は、インターセプト経路91を辿る非暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
先ず、ステップS101では、インターセプト部102は、インターセプトポイント16からデータパケットをインターセプトする。これは、例えばプロトコル遅延測定の要求を受けたときに開始される。
なお、本実施の形態では、インターセプト部102は、インターセプトポイント16にて暗号化前の送信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント16にて暗号化後のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが暗号化前のものか暗号化後のものかを判定することができる。
そしてステップS102では、認識処理部104は、タイムスタンプ(第1タイムスタンプ)を生成すると共に、インターセプトされた非暗号化データパケットの識別子としてインデックス番号を生成する。このように、IPsec処理適用前の非暗号化データパケットがインターセプトされたタイミングに合わせて第1タイムスタンプが生成されるため、IPsec処理適用開始タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
そしてステップS103では、認識処理部104は、予め定められたトラックマークと、生成されたインデックス番号とを組み合わることにより、認識情報を生成する。図11(a)に、生成される認識情報の一例を示す。
そしてステップS104では、認識処理部104は、生成された認識情報をソケットバッファに書き込む。
そしてステップS105では、認識処理部104は、ソケットバッファに格納されたデータパケットのIPヘッダ内のパケット長を読み出すことにより、非暗号化データパケットのパケットサイズを取得する。
そしてステップS106では、認識処理部104は、予め定められたタイムスタンプデータフォーマットにおいて、生成されたインデックス番号をインデックス番号フィールドに、生成された第1タイムスタンプを第1タイムスタンプフィールドに、取得されたパケットサイズを非暗号化パケットサイズフィールドに、それぞれ設定することにより、タイムスタンプレコードを生成する。図11(b)に、生成されるタイムスタンプレコードの一例を示す。そして、認識処理部104は、生成されたタイムスタンプレコードをタイムスタンプDB106に記憶させることにより、新規のレコードをタイムスタンプDB106に追加する。
そしてステップS107では、インターセプト部102は、ステップS101でインターセプトされた非暗号化データパケットを、インターセプトポイント16に返戻する。返戻された非暗号化データパケットは、IPsec処理15に送られ、そこで暗号化されて、暗号化データパケットとなる。
このように、送信データパケットがIPsec処理15を適用される前にインターセプト経路91を辿った結果として、IPsec処理15の適用開始タイミングを特定するタイムスタンプが取得され、さらに、その送信データパケットの認識情報が、その送信データパケットのソケットバッファに格納される。
インターセプト経路92を辿る送信データパケット、すなわち暗号化データパケットに対しては、プロトコル遅延測定装置100において、図10に示されるように、相関処理部108による相関処理と算出処理部110による算出処理とを含む動作が実行される。
図10は、インターセプト経路92を辿る暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
先ず、ステップS201では、インターセプト部102は、インターセプトポイント17からデータパケットをインターセプトする。これは、図9を用いて説明した動作と同様、プロトコル遅延測定の要求を受けたときに開始される。
なお、本実施の形態では、インターセプト部102は、インターセプトポイント17にて暗号化後の送信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント17にて暗号化前のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが暗号化前のものか暗号化後のものかを判定することができる。
そしてステップS202では、相関処理部108は、インターセプトされた暗号化データパケットのソケットバッファにおいて、所定の記憶領域の設定値が予め定められた値に設定されているか否かを判定することにより、トラックマークの有無を判定する。トラックマークがある場合は、ステップS203に進み、トラックマークがない場合は、ステップS210に進む。このように、予め定められた値を有するトラックマークの有無の判定を行うことにより、認識情報の有無を容易に確認することができる。
ステップS203では、相関処理部108は、ソケットバッファからインデックス番号を読み出す。このインデックス番号は、図9を用いて説明した動作において、IPsec処理適用前の非暗号化データパケットについて生成されたものである。非暗号化データパケットは、IPsec処理15を適用されると、暗号化データパケットとなるのに対し、ソケットバッファに格納された認識情報はIPsec処理適用後も不変のまま維持されるものであるため、暗号化データパケットのソケットバッファから読み出されたインデックス番号は、その暗号化データパケットが暗号化される前に生成されたインデックス番号と同一である。したがって、相関処理部108は、ソケットバッファに格納されたインデックス番号を、暗号化データパケットのインデックス番号として取得することができる。
そしてステップS204では、相関処理部108は、読み出されたインデックス番号を検索条件として用いて、タイムスタンプDB106においてタイムスタンプレコードの検索を行う。具体的には、相関処理部108は、タイムスタンプDB106に記憶された少なくとも1つのタイムスタンプレコードのうち、読み出されたインデックス番号と同一のインデックス番号を有するものを検索する。検索の結果、そのようなタイムスタンプレコードが、タイムスタンプDB106において特定された場合には、ステップS205に進み、タイムスタンプDB106において特定されなかった場合には、ステップS209に進む。
そしてステップS205では、相関処理部108は、特定されたタイムスタンプレコードを読み出すことにより、タイムスタンプDB106から第1タイムスタンプと非暗号化パケットサイズとを抽出し、これらを算出処理部110に通知する。好ましくはこのとき、相関処理部108は、読み出されたタイムスタンプをタイムスタンプDB106から削除する。これにより、タイムスタンプDB106に割り当てられる記憶領域を効率的に使用することができる。
そしてステップS206では、相関処理部108は、第2タイムスタンプを生成し、これを算出処理部110に通知する。図11(c)に、生成される第2タイムスタンプの一例を示す。このように、IPsec処理適用後の暗号化データパケットがインターセプトされたタイミングに合わせて第2タイムスタンプが生成されるため、IPsec処理適用終了タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
そしてステップS207では、算出処理部110は、第1タイムスタンプと第2タイムスタンプとの差分を算出する。第1タイムスタンプはIPsec処理適用開始タイミングを特定するものであり、第2タイムスタンプはIPsec処理適用終了タイミングを特定するものであるため、算出された差分は、IPsec処理15の適用開始から適用終了までの経過時間に相当する。
そしてステップS208では、算出処理部110は、予め定められた統計データフォーマットにおいて、通知されたインデックス番号をインデックス番号フィールドに、算出された経過時間を経過時間フィールドに、通知された非暗号化パケットサイズを合計パケットサイズフィールドに、それぞれ設定することにより、統計レコードを生成する。図11(d)に、生成される統計レコードの一例を示す。なお、例えば同じインデックス番号を有する統計レコードが既に統計DB112に記憶されている場合等、経過時間を合算する必要がある場合は、統計DB112に記憶されている統計レコードの経過時間及び合計パケットサイズを読み出し、これらに、算出された経過時間及び通知された非暗号化パケットサイズを合算することにより、統計レコードを生成する。そして、算出処理部110は、生成された統計レコードを統計DB112に記憶させることにより、統計DB112を更新する。
そしてステップS209では、インターセプト部102は、ステップS201でインターセプトされた暗号化データパケットを、インターセプトポイント17に返戻する。返戻された暗号化データパケットは、ネットワークデバイスドライバ14に送られる。
このように、送信データパケットがIPsec処理15を適用された後にインターセプト経路92を辿った結果として、IPsec処理15の適用終了タイミングを特定するタイムスタンプが取得され、さらに、その送信データパケットの認識情報が、その送信データパケットのソケットバッファから取得される。
既述の通り、送信データパケットの認識情報は、その送信データパケットがIPsec処理15を適用されても不変であるため、送信データパケットを容易に同定することができる。
ここで、インターセプトポイント16からインターセプトされた送信データパケットが、MTU(Maximum Transmission Unit)よりも大きいパケットサイズを有する場合について、説明する。
MTUよりも大きいサイズを有する送信データパケットは、IPsec処理適用前にフラグメント化される。そこで、本実施の形態では、インターセプト部102は、MTUよりも大きいサイズを有する送信データパケットについては、フラグメント化の前にインターセプトする。また、これを実現し得る位置に、インターセプトポイント16が配置される。これにより、大サイズの送信データパケットについて、IPsec処理適用開始タイミングを特定する第1タイムスタンプを無駄なく1つだけ生成することができ、また、認識情報及びタイムスタンプレコードも無駄なく1つずつだけ生成することができる。図12(a)及び図12(b)に、認識情報及びタイムスタンプレコードの一例を示す。
1つの非暗号化データパケットをフラグメント化することにより得られるN個(Nは2以上の整数)のフラグメントは、IPsec処理15の適用後、N個の暗号化データパケットとなる。これらの暗号化データパケットは、インターセプトポイント17から順次インターセプトされる。
相関処理部108は、順次インターセプトされたN個の暗号化データパケットに対して個々に第2タイムスタンプを生成する。例えば、N=4の場合は、図12(c)に示すように、4つの第2タイムスタンプが生成される。
相関処理部108は、第2タイムスタンプの生成に並行して、順次インターセプトされた個々の暗号化データパケットが、最終パケットであるか否かを判定する。この判定には、パケットサイズを判定基準とするものや、フラグを判定基準とするもの等がある。
前者の場合は、相関処理部108は、順次インターセプトされた個々の暗号化データパケットのサイズを順次測定し、これを順次積算する。そして、積算値が、タイムスタンプDB106から抽出された非暗号化パケットサイズに到達したときに、最後に積算された暗号化データパケットを最終パケットと判定することができる。
後者の場合は、相関処理部108は、順次インターセプトされた個々の暗号化データパケットのフラグを参照する。そして、後続パケットがなく最終パケットである旨を示すフラグが立っている暗号化データパケットを最終パケットと判定することができる。
相関処理部108は、最終パケットが特定されたとき、その最終パケットがインターセプトされたときに生成された第2タイムスタンプを算出処理部110に通知する。よって、算出処理部110は、N個の第2タイムスタンプが生成されていても、図12(d)に示すように経過時間を1回算出するだけで、N個のセグメント化データパケットについてのプロトコル遅延の測定を完了することができる。
なお、算出処理部110は、N個の第2タイムスタンプの全てが通知された場合でも、どの第2タイムスタンプが最終パケットのものであるかが相関処理部108から通知されれば、N個のセグメント化データパケットについてのプロトコル遅延の測定を行うことができ、また、最終パケットの第2タイムスタンプのみが通知された場合と同じタイミングで、プロトコル遅延の測定を完了することができる。
また、N個のセグメント化データパケットについてのプロトコル遅延を測定する場合には、図10を用いて説明した動作のステップS207において、第1タイムスタンプと第2タイムスタンプとの差分を算出するのに加えて、連続してインターセプトされた2つのセグメント化データパケットについてそれぞれ生成された第2タイムスタンプの差分を算出し、これを積算してもよい。N=4の場合を例にとり、図12(e)を用いて説明する。1番目のセグメント化データパケットについては、当該パケットについての第2タイムスタンプと、第1タイムスタンプとの差分(432)を算出し、この算出結果を新規レコードとして統計DB112に保持させる。2番目のセグメント化データパケットについては、当該パケットについての第2タイムスタンプと、1番目のセグメント化データパケットについての第2タイムスタンプとの差分(424)を算出し、これを積算し(432+424=856)、この算出結果によりレコードを更新する。3番目のセグメント化データパケットについては、当該パケットについての第2タイムスタンプと、2番目のセグメント化データパケットについての第2タイムスタンプとの差分(432)を算出し、これを積算し(856+432=1288)、この算出結果によりレコードを更新する。4番目のセグメント化データパケットについては、当該データパケットについての第2タイムスタンプと、3番目のセグメント化データパケットについての第2タイムスタンプとの差分(428)を算出し、これを積算し(1288+428=1716)、この算出結果によりレコードを更新する。4番目のセグメント化データパケットが最終パケットであることが相関処理部108から通知されたとき、算出処理部110は、これらのセグメント化データパケットについてのプロトコル遅延の測定を完了することができる。
次いで、第2のケースについて説明する。図13は、第2のケースにおける処理フローを示す図である。受信データパケットは、経路95を辿って下位層から上位層に送られる途中で、2度にわたってインターセプトされる。1度目のインターセプトは復号化前に行われる。より具体的には、受信データパケットは、復号化前に、インターセプトポイント18でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント18に戻される(インターセプト経路96)。2度目のインターセプトは復号化後に行われる。より具体的には、受信データパケットは、復号化後に、インターセプトポイント19でインターセプトされ、プロトコル遅延測定装置100において処理され、インターセプトポイント19に戻される(インターセプト経路97)。
インターセプト経路96を辿る受信データパケット、すなわち暗号化データパケットに対しては、プロトコル遅延測定装置100において、図14に示されるように、認識処理部104による認識処理を含む動作が実行される。
図14は、インターセプト経路96を辿る暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
先ず、ステップS301では、インターセプト部102は、インターセプトポイント18からデータパケットをインターセプトする。これは、例えばプロトコル遅延測定の要求を受けたときに開始される。
なお、本実施の形態では、インターセプト部102は、インターセプトポイント18にて復号化前の受信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント18にて復号化後のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが復号化前のものか復号化後のものかを判定することができる。
そしてステップS302では、認識処理部104は、タイムスタンプ(第1タイムスタンプ)を生成すると共に、インターセプトされた暗号化データパケットの識別子としてインデックス番号を生成する。このように、IPsec処理適用前の暗号化データパケットがインターセプトされたタイミングに合わせて第1タイムスタンプが生成されるため、IPsec処理適用開始タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
そしてステップS303では、認識処理部104は、予め定められたトラックマークと、生成されたインデックス番号とを組み合わることにより、認識情報を生成する。図16(a)に、生成される認識情報の一例を示す。
そしてステップS304では、認識処理部104は、生成された認識情報をソケットバッファに書き込む。
そしてステップS305では、認識処理部104は、予め定められたタイムスタンプデータフォーマットにおいて、生成されたインデックス番号をインデックス番号フィールドに、生成された第1タイムスタンプを第1タイムスタンプフィールドに、それぞれ設定することにより、タイムスタンプレコードを生成する。図16(b)に、生成されるタイムスタンプレコードの一例を示す。そして、認識処理部104は、生成されたタイムスタンプレコードをタイムスタンプDB106に記憶させることにより、新規のレコードをタイムスタンプDB106に追加する。
そしてステップS306では、インターセプト部102は、ステップS301でインターセプトされた暗号化データパケットを、インターセプトポイント18に返戻する。返戻された暗号化データパケットは、IPsec処理15に送られ、そこで復号化されて、非暗号化データパケットとなる。
このように、受信データパケットがIPsec処理15を適用される前にインターセプト経路96を辿った結果として、IPsec処理15の適用開始タイミングを特定するタイムスタンプが取得され、さらに、その受信データパケットの認識情報が、その受信データパケットのソケットバッファに格納される。
インターセプト経路97を辿る受信データパケット、すなわち非暗号化データパケットに対しては、プロトコル遅延測定装置100において、図15に示されるように、相関処理部108による相関処理と算出処理部110による算出処理とを含む動作が実行される。
図15は、インターセプト経路97を辿る暗号化データパケットについての、プロトコル遅延測定装置100における動作を説明するためのフロー図である。
先ず、ステップS401では、インターセプト部102は、インターセプトポイント19からデータパケットをインターセプトする。これは、図14を用いて説明した動作と同様、プロトコル遅延測定の要求を受けたときに開始される。
なお、本実施の形態では、インターセプト部102は、インターセプトポイント19にて復号化後の受信データパケットのみをインターセプトするよう構成されているが、インターセプトポイント19にて復号化前のものもインターセプトし得る場合には、インターセプト部102は、ソケットバッファに格納されたデータパケットのプロトコル情報を参照することにより、データパケットが復号化前のものか復号化後のものかを判定することができる。
そしてステップS402では、相関処理部108は、インターセプトされた非暗号化データパケットのソケットバッファにおいて、所定の記憶領域の設定値が予め定められた値に設定されているか否かを判定することにより、トラックマークの有無を判定する。トラックマークがある場合は、ステップS403に進み、トラックマークがない場合は、ステップS410に進む。このように、予め定められた値を有するトラックマークの有無の判定を行うことにより、認識情報の有無を容易に確認することができる。
ステップS403では、相関処理部108は、ソケットバッファからインデックス番号を読み出す。このインデックス番号は、図15を用いて説明した動作において、IPsec処理適用前の暗号化データパケットについて生成されたものである。暗号化データパケットは、IPsec処理15を適用されると、非暗号化データパケットとなるのに対し、ソケットバッファに格納された認識情報はIPsec処理適用後も不変のまま維持されるものであるため、非暗号化データパケットのソケットバッファから読み出されたインデックス番号は、その非暗号化データパケットが復号化される前に生成されたインデックス番号と同一である。したがって、相関処理部108は、ソケットバッファに格納されたインデックス番号を、非暗号化データパケットのインデックス番号として取得することができる。
そしてステップS404では、相関処理部108は、読み出されたインデックス番号を検索条件として用いて、タイムスタンプDB106においてタイムスタンプレコードの検索を行う。具体的には、相関処理部108は、タイムスタンプDB106に記憶された少なくとも1つのタイムスタンプレコードのうち、読み出されたインデックス番号と同一のインデックス番号を有するものを検索する。検索の結果、そのようなタイムスタンプレコードが、タイムスタンプDB106において特定された場合には、ステップS405に進み、タイムスタンプDB106において特定されなかった場合には、ステップS410に進む。
そしてステップS405では、相関処理部108は、特定されたタイムスタンプレコードを読み出すことにより、タイムスタンプDB106から第1タイムスタンプを抽出し、これらを算出処理部110に通知する。好ましくはこのとき、相関処理部108は、読み出されたタイムスタンプをタイムスタンプDB106から削除する。これにより、タイムスタンプDB106に割り当てられる記憶領域を効率的に使用することができる。
そしてステップS406では、相関処理部108は、第2タイムスタンプを生成し、これを算出処理部110に通知する。図16(c)に、生成される第2タイムスタンプの一例を示す。このように、IPsec処理適用後の非暗号化データパケットがインターセプトされたタイミングに合わせて第2タイムスタンプが生成されるため、IPsec処理適用終了タイミングをより正確に特定することができ、ひいてはプロトコル遅延の測定精度を向上させることができる。
そしてステップS407では、算出処理部110は、第1タイムスタンプと第2タイムスタンプとの差分を算出する。第1タイムスタンプはIPsec処理適用開始タイミングを特定するものであり、第2タイムスタンプはIPsec処理適用終了タイミングを特定するものであるため、算出された差分は、IPsec処理15の適用開始から適用終了までの経過時間に相当する。
そしてステップS408では、認識処理部104は、ソケットバッファに格納されたデータパケットのIPヘッダ内のパケット長を読み出すことにより、非暗号化データパケットのパケットサイズを取得し、これを算出処理部110に通知する。
そしてステップS409では、算出処理部110は、予め定められた統計データフォーマットにおいて、通知されたインデックス番号をインデックス番号フィールドに、算出された経過時間を経過時間フィールドに、通知された非暗号化パケットサイズを合計パケットサイズフィールドに、それぞれ設定することにより、統計レコードを生成する。図16(d)に、生成される統計レコードの一例を示す。なお、例えば同じインデックス番号を有する統計レコードが既に統計DB112に記憶されている場合等、経過時間を合算する必要がある場合は、統計DB112に記憶されている統計レコードの経過時間及び合計パケットサイズを読み出し、これらに、算出された経過時間及び通知された非暗号化パケットサイズを合算することにより、統計レコードを生成する。そして、算出処理部110は、生成された統計レコードを統計DB112に記憶させることにより、統計DB112を更新する。
そしてステップS410では、インターセプト部102は、ステップS401でインターセプトされた非暗号化データパケットを、インターセプトポイント19に返戻する。返戻された非暗号化データパケットは、TCP/UDPスタック12に送られる。
このように、受信データパケットがIPsec処理15を適用された後にインターセプト経路97を辿った結果として、IPsec処理15の適用終了タイミングを特定するタイムスタンプが取得され、さらに、その受信データパケットの認識情報が、その受信データパケットのソケットバッファから取得される。
既述の通り、受信データパケットの認識情報は、その受信データパケットがIPsec処理15を適用されても不変であるため、受信データパケットを容易に同定することができる。
なお、インターセプトポイント18からインターセプトされた受信データパケットがフラグメントである場合、このフラグメントは、IPスタック13においてIPsec処理後に他のフラグメントと結合される。そこで、本実施の形態では、インターセプト部102は、フラグメント化された受信データパケットについては、結合後にインターセプトする。また、これを実現し得る位置に、インターセプトポイント19が配置される。これにより、フラグメント化された受信データパケットについて、IPsec処理適用終了タイミングを特定する第2タイムスタンプを無駄なく1つだけ生成することができる。
以上のように、本実施の形態によれば、IPsec処理適用前のデータパケットのインデックス番号を生成し、生成したインデックス番号を、IPsec処理適用前後で同一に維持するソケットバッファの領域に格納する。したがって、インデックス番号の生成においては、IPsec処理15の影響を全く考慮する必要がないため、複雑な演算を行うことなく非常に容易に生成し得ることとなり、プロトコル遅延測定に伴う処理オーバヘッド増加を抑制することができる。これにより、ユーザは、リアルタイムで通信状況を把握し、様々な利用状況や利用環境に応じたQoS(Quality of Service)制御を実施するのに不可欠な測定情報を通信端末内で取得することができる。
以上、本発明の実施の形態について説明した。なお、以上の説明は本発明の好適な実施の形態の例証であり、本発明はこれに限定されるべきものでなく、種々変更して実施することが可能である。
本発明のプロトコル遅延測定装置及びプロトコル遅延測定方法は、プロトコル遅延測定に伴う通信端末の処理オーバヘッド増加を抑制することができる効果を有し、暗号化通信環境においてプロトコル遅延を測定する装置及び方法として有用である。
本発明の一実施の形態に係る通信ネットワークシステムの構成を示すブロック図 本発明の一実施の形態に係るプロトコル遅延測定装置の構成を示すブロック図 本発明の一実施の形態に係るソケットバッファの構成を示す図 (a)非暗号化データパケットのフォーマットを示す図、(b)暗号化データパケットのフォーマットを示す図、(c)IPヘッダのフォーマットを示す図 本発明の一実施の形態に係る認識情報のフォーマットを示す図 本発明の一実施の形態に係るタイムスタンプデータフォーマットを示す図 本発明の一実施の形態に係る統計データフォーマットを示す図 本発明の一実施の形態に係る、パケット送信の場合の処理フローを示す図 本発明の一実施の形態に係る、パケット送信の場合のIPsec処理適用前の、プロトコル遅延測定装置の動作を説明するフロー図 本発明の一実施の形態に係る、パケット送信の場合のIPsec処理適用後の、プロトコル遅延測定装置の動作を説明するフロー図 (a)送信データパケットについて得られる認識情報の一例を示す図、(b)送信データパケットについて得られるタイムスタンプレコードの一例を示す図、(c)送信データパケットについて得られる第2タイムスタンプの一例を示す図、(d)送信データパケットについて得られる統計レコードの一例を示す図 (a)大サイズの送信データパケットについて得られる認識情報の一例を示す図、(b)大サイズの送信データパケットについて得られるタイムスタンプレコードの一例を示す図、(c)大サイズの送信データパケットについて得られる複数の第2タイムスタンプの一例を示す図、(d)大サイズの送信データパケットについて得られる統計レコードの一例を示す図、(e)大サイズの送信データパケットについて更新される統計レコードの一例を示す図 本発明の一実施の形態に係る、パケット受信の場合の処理フローを示す図 本発明の一実施の形態に係る、パケット受信の場合のIPsec処理適用前の、プロトコル遅延測定装置の動作を説明するフロー図 本発明の一実施の形態に係る、パケット受信の場合のIPsec処理適用後の、プロトコル遅延測定装置の動作を説明するフロー図 (a)受信データパケットについて得られる認識情報の一例を示す図、(b)受信データパケットについて得られるタイムスタンプレコードの一例を示す図、(c)受信データパケットについて得られる第2タイムスタンプの一例を示す図、(d)受信データパケットについて得られる統計レコードの一例を示す図
符号の説明
12 TCP/UDPスタック
13 IPスタック
14 ネットワークデバイスドライバ
15 IPsec処理
16、17、18、19 インターセプトポイント
40 ソケットバッファ
100 プロトコル遅延測定装置
102 インターセプト部
104 認識処理部
106 タイムスタンプDB
108 相関処理部
110 算出処理部
112 統計DB

Claims (7)

  1. 通信端末におけるIPsec(Internet Protocol Security)処理によるプロトコル遅延を測定するプロトコル遅延測定装置であって、
    未処理パケットの識別子を生成する識別子生成手段と、
    生成された識別子を、第1のタイムスタンプと共に記憶するデータベースと、
    生成された識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込み手段と、
    前記記憶領域に書き込まれた識別子を読み出す読み出し手段と、
    読み出された識別子と同一の識別子と共に前記データベースに記憶された第1のタイムスタンプを抽出する抽出手段と、
    抽出された第1のタイムスタンプと、第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出手段と、
    を有するプロトコル遅延測定装置。
  2. 未処理パケット及び処理済パケットをインターセプトするインターセプト手段と、
    未処理パケットがインターセプトされたときに第1のタイムスタンプを生成し、処理済パケットがインターセプトされたときに第2のタイムスタンプを生成するタイムスタンプ生成手段と、
    をさらに有する請求項1記載のプロトコル遅延測定装置。
  3. 前記インターセプト手段は、未処理パケットを、IPsec処理直前のインターセプトポイントでインターセプトし、処理済パケットを、IPsec処理直後のインターセプトポイントでインターセプトする請求項2記載のプロトコル遅延測定装置。
  4. 未処理パケットがIPsec処理前に複数の分割パケットに分割される場合には、IPsec処理により当該複数の分割パケットから複数の処理済パケットが得られ、
    前記インターセプト手段は、未処理パケットを、分割前にインターセプトし、得られた複数の処理済パケットを、順次インターセプトし、
    前記算出手段は、得られた複数の処理済パケットのうち最終パケットがインターセプトされたときに生成された第2のタイムスタンプを用いて差分を算出することにより、プロトコル遅延の算出を完了する請求項3記載のプロトコル遅延測定装置。
  5. 未処理パケットのサイズが所定値よりも大であることにより、未処理パケットがIPsec処理前に複数の分割パケットに分割され、
    順次インターセプトされた複数の処理済パケットのサイズを、積算値が未処理パケットのサイズに到達するまで順次積算し、最後に積算された処理済パケットを最終パケットを判定する判定手段をさらに有する請求項4記載のプロトコル遅延測定装置。
  6. 得られた複数の処理済パケットはそれぞれ、得られた複数の処理済パケットの最終パケットであるか否かを示すフラグを有し、
    順次インターセプトされた複数の処理済パケットに含まれるフラグを参照し、最終パケットである旨を示すフラグを有する処理済パケットを最終パケットと判定する判定手段をさらに有する請求項4記載のプロトコル遅延測定装置。
  7. 通信端末におけるIPsec(Internet Protocol Security)処理によるプロトコル遅延を測定するプロトコル遅延測定方法であって、
    未処理パケットの識別子を生成する識別子生成ステップと、
    生成された識別子を、第1のタイムスタンプと共にデータベースに記憶させる記憶ステップと、
    生成された識別子を、前記通信端末においてIPsec処理前後で同一に維持する記憶領域に書き込む書き込みステップと、
    前記記憶領域に書き込まれた識別子を読み出す読み出しステップと、
    読み出された識別子と同一の識別子と共に前記データベースに記憶させた第1のタイムスタンプを抽出する抽出ステップと、
    抽出された第1のタイムスタンプと、第2のタイムスタンプとの差分を、プロトコル遅延として算出する算出ステップと、
    を有するプロトコル遅延測定方法。
JP2007339861A 2007-12-28 2007-12-28 プロトコル遅延測定装置及びプロトコル遅延測定方法 Expired - Fee Related JP5171245B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2007339861A JP5171245B2 (ja) 2007-12-28 2007-12-28 プロトコル遅延測定装置及びプロトコル遅延測定方法
EP08865956A EP2247080A1 (en) 2007-12-28 2008-12-15 Protocol delay measuring device and protocol delay measuring method
PCT/JP2008/003772 WO2009084166A1 (ja) 2007-12-28 2008-12-15 プロトコル遅延測定装置及びプロトコル遅延測定方法
US12/808,256 US8711706B2 (en) 2007-12-28 2008-12-15 Protocol delay measuring device and protocol delay measuring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007339861A JP5171245B2 (ja) 2007-12-28 2007-12-28 プロトコル遅延測定装置及びプロトコル遅延測定方法

Publications (2)

Publication Number Publication Date
JP2009164742A true JP2009164742A (ja) 2009-07-23
JP5171245B2 JP5171245B2 (ja) 2013-03-27

Family

ID=40823902

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007339861A Expired - Fee Related JP5171245B2 (ja) 2007-12-28 2007-12-28 プロトコル遅延測定装置及びプロトコル遅延測定方法

Country Status (4)

Country Link
US (1) US8711706B2 (ja)
EP (1) EP2247080A1 (ja)
JP (1) JP5171245B2 (ja)
WO (1) WO2009084166A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI443974B (zh) * 2011-12-07 2014-07-01 Mstar Semiconductor Inc 封包接收器及其封包處理方法
US10037346B1 (en) * 2012-07-25 2018-07-31 Google Llc Time reservations for ensuring consistent reads in a distributed database without logging
WO2015065349A1 (en) * 2013-10-30 2015-05-07 Intel Corporation A method, apparatus and system for measuring latency in a physical unit of a circuit
EP3154225B1 (en) 2015-10-08 2018-12-26 ADVA Optical Networking SE System and method of assessing latency of forwarding data packets in virtual environment
EP3693859B1 (en) * 2019-02-06 2022-04-27 ADVA Optical Networking SE Method and system of latency assessment in a packet data network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0946391A (ja) * 1995-08-01 1997-02-14 Nippon Telegr & Teleph Corp <Ntt> データパケットへのタイムスタンプ付加方法
US6363477B1 (en) * 1998-08-28 2002-03-26 3Com Corporation Method for analyzing network application flows in an encrypted environment
JP2003264591A (ja) * 2002-03-12 2003-09-19 Fujitsu Ltd Atmシステムにおける処理遅延の測定方法及び装置
JP2005094204A (ja) * 2003-09-16 2005-04-07 Yaskawa Electric Corp ネットワーク型制御システムでのデータ送信遅延時間算出方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing
US20030196081A1 (en) * 2002-04-11 2003-10-16 Raymond Savarda Methods, systems, and computer program products for processing a packet-object using multiple pipelined processing modules
JP4012444B2 (ja) 2002-08-06 2007-11-21 松下電器産業株式会社 遅延プロファイル作成方法および遅延プロファイル作成装置
US8155117B2 (en) * 2004-06-29 2012-04-10 Qualcomm Incorporated Filtering and routing of fragmented datagrams in a data network
JP2006050267A (ja) 2004-08-04 2006-02-16 Matsushita Electric Ind Co Ltd IPsec通信方法及び通信制御装置並びにネットワークカメラ
WO2006079139A1 (en) * 2004-10-12 2006-08-03 Canon Kabushiki Kaisha Concurrent ipsec processing system and method
AU2005218009B2 (en) * 2005-09-28 2011-01-27 Canon Kabushiki Kaisha Decoupled header and packet processing in IPsec
JP4482630B2 (ja) * 2005-11-21 2010-06-16 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信装置および通信方法
WO2008041434A1 (fr) 2006-10-02 2008-04-10 Panasonic Corporation Procédé de commande de flux, dispositif de terminal émetteur utilisé dans celui-ci, dispositif de terminal récepteur et système de transfert par paquets

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0946391A (ja) * 1995-08-01 1997-02-14 Nippon Telegr & Teleph Corp <Ntt> データパケットへのタイムスタンプ付加方法
US6363477B1 (en) * 1998-08-28 2002-03-26 3Com Corporation Method for analyzing network application flows in an encrypted environment
JP2003264591A (ja) * 2002-03-12 2003-09-19 Fujitsu Ltd Atmシステムにおける処理遅延の測定方法及び装置
JP2005094204A (ja) * 2003-09-16 2005-04-07 Yaskawa Electric Corp ネットワーク型制御システムでのデータ送信遅延時間算出方法

Also Published As

Publication number Publication date
US8711706B2 (en) 2014-04-29
EP2247080A1 (en) 2010-11-03
US20100260062A1 (en) 2010-10-14
JP5171245B2 (ja) 2013-03-27
WO2009084166A1 (ja) 2009-07-09

Similar Documents

Publication Publication Date Title
US7756997B2 (en) Effective policies and policy enforcement using characterization of flow content and content-independent flow information
US7774593B2 (en) Encrypted packet, processing device, method, program, and program recording medium
US20120182891A1 (en) Packet analysis system and method using hadoop based parallel computation
US8767727B2 (en) System, apparatus, and method for modifying captured data packets
CN104580216B (zh) 一种对访问请求进行限制的系统和方法
ES2972243T3 (es) Método y aparato de procesamiento de información, dispositivo y medio de almacenamiento
US12045368B2 (en) Privacy-preserving data collecting
JP5171245B2 (ja) プロトコル遅延測定装置及びプロトコル遅延測定方法
JP2017539140A (ja) データストリームのリアルタイム分類を実行する分類デバイス及び方法、コンピュータープログラム製品、並びにシステム
WO2011060368A9 (en) Method and apparatus for storing and indexing high-speed network traffic data
US9246682B2 (en) Communication apparatus, method for controlling communication apparatus, and program
KR101262446B1 (ko) 개인 정보 유출 방지 시스템 및 방법
JP4235907B2 (ja) ワーム伝播監視システム
JP4887081B2 (ja) 通信監視装置、通信監視方法およびプログラム
CN117729054B (zh) 一种基于全流量存储的vpn流量识别方法和系统
JP7396368B2 (ja) 方法、システム及び変換装置
CN107257327B (zh) 一种高并发ssl会话管理方法
CN118802617A (zh) 基于dpi的quic流量分析方法、设备、介质及产品
JP2011193055A (ja) 通信装置および通信方法
JP4489714B2 (ja) パケット集約方法、装置、およびプログラム
Zseby et al. Passive One-Way-Delay Measurement and Data Export
JP3797308B2 (ja) パケットログ記録装置
CN114610976A (zh) 数据查询方法、数据存储方法、装置、计算设备和介质
JP2006157144A (ja) 監視装置、監視方法、および監視プログラム
JP2011049757A (ja) フロー情報生成装置、記憶方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100727

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121009

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121107

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121225

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees