JP3736293B2 - Service quality control method and device service quality control program in encrypted communication - Google Patents
Service quality control method and device service quality control program in encrypted communication Download PDFInfo
- Publication number
- JP3736293B2 JP3736293B2 JP2000163682A JP2000163682A JP3736293B2 JP 3736293 B2 JP3736293 B2 JP 3736293B2 JP 2000163682 A JP2000163682 A JP 2000163682A JP 2000163682 A JP2000163682 A JP 2000163682A JP 3736293 B2 JP3736293 B2 JP 3736293B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- kernel
- quality control
- processing
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体に係り、特に、インターネットのようなパケット交換型ネットワークにおいて、IPsecなどを用いて暗号化通信を行うことにより、セキュアかつ、リアルタイム性などサービス品質を保証した通信サービスを提供する場合に、これらの通信サービスの品質を制御するための暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体に関する。
【0002】
【従来の技術】
従来から、サービス品質を制御する方法として、ネットワークの通信品質を制御する方法及び、OSにおけるサービスプロセスの品質(優先度)を制御する方法の2つが存在する。ネットワークの通信品質を制御する方法として、IntServ やDiffServなどがあり、それぞれIntServ は、帯域予約を行う帯域確保型の通信品質制御方式であり、DiffServは、優先制御型の通信品質制御方式である。
【0003】
また、OSにおけるユーザプロセスの品質(優先度)を制御する方法としては、時分割方式や実時間プロセスと時分割プロセスに分けてスケジュールする方式などがある。
【0004】
また、インターネットにおいて、暗号化技術を用いてセキュアな通信を提供する方法として、IPsec、SSL、TLS、S/MIMEなどが挙げられる。それぞれ適用範囲が異なり、それぞれIPsecは、IP層、SSL、TLSは、Transport層、S/MIMEはアプリケーション層(電子メール)である。通常、SSL,TLS,S/MIMEにおける暗号化処理はユーザプロセス空間で行われる。一方、IPsecは、通常IPの拡張として導入されるため、ソフトウェアにより実現する場合には、暗号処理もカーネル内で行われる。本発明では、IPsecのような暗号通信が対象となる。
【0005】
【発明が解決しようとする課題】
従来、OSにおいて、カーネルは、キーボードやディスクなどのI/Oバウンドな処理がメインである。通常I/Oバウンドな処理は、軽く短い処理である。しかし、パケット暗号化処理をカーネル内部において行わせることにより、CPUバウンドな重たい処理をカーネルに行わせることになる。従って、カーネルが長時間CPUを占有することになる。通常のOSでは、カーネルによる処理は、ユーザプロセスによる処理よりも優先させるという特徴がある。また、OSにおける通信サービスは、カーネル内部による通信処理とユーザプロセス空間におけるサーバプロセスの処理の2つから行われる。
【0006】
以上のようなことから、次のような場合に、優先度逆転(Priority Inversion)の問題が発生する。
【0007】
優先度の高いサービスと低いサービスを共に暗号化通信を用いて同時に提供する場合において、優先度の高いサービスのユーザプロセス空間におけるサーバプロセスの処理よりも、優先度の低いサービスのカーネル内部によるパケット処理の方が優先されてしまい、優先度の高いサービスと優先度の低いサービスの品質制御が正しく行われないという問題がある。
【0008】
本発明は、上記の点に鑑みなされたもので、暗号化通信を用いたサービスを行う場合に、優先度に応じたサービス品質の制御を正しく行うことが可能な暗号化通信におけるサービス品質制御方法及び装置及びサービス品質制御プログラムを格納した記憶媒体を提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明(請求項1)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御方法であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分けステップと、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理する制御ステップと、を行う。
【0012】
本発明(請求項2)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うための暗号化通信におけるサービス品質制御装置であって、
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分け手段と、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理するパケット処理手段と、を有する。
【0014】
本発明(請求項3)は、パケットを暗号化することによってセキュアな通信を行う際に、暗号復号化処理をカーネル内で行い、かつ、マルチCPU及びカーネルにおけるマルチスレッドサポートしているOSを用いて、サービスの品質を保証した通信を行うためのサービス品質制御プログラムを格納した記憶媒体であって、
上記の請求項1記載のサービス品質制御方法を実現するための処理をコンピュータに実行させるプログラムを格納した記憶媒体である。
【0017】
上記のように、本発明は、カーネルにおけるパケット処理とユーザプロセス空間における処理のそれぞれに割り当てるCPU数を制限することにより、サービスの品質を制御することが可能となる。
【0018】
また、パケットをサービスの種類に応じてクラス分けし、それぞれのクラスに割り当てるCPU数を制限することにより、カーネル内における通信品質を制御することが可能となる。
【0019】
また、クラス分けされたうち、優先度の低いパケットの暗号・復号処理をユーザプロセス空間のプロセスによって処理することにより、優先度を下げて通信品質を制御することが可能となる。
【0020】
【発明の実施の形態】
図1は、本発明のサービス品質制御装置の構成を示す。
【0021】
同図に示すサービス品質制御装置は、ネットワークインタフェース20に接続されるカーネル100およびサーバプロセス12を包含するユーザプロセス空間10により構成される。
【0022】
カーネル100は、入力クラス分け部110、パケット処理部120、出力クラス分け部130から構成される。同図では、入力クラス分け部110と出力クラス分け部130を分けて示しているが、1つのクラス分け部として構築してもよい。
【0023】
入力クラス分け部110は、ネットワークインタフェース20から入力されたパケットを優先度に応じてクラス分けし、クラス別入力キュー101に設定する。
【0024】
パケット処理部120は、クラス別入力キュー101または、クラス別出力キー103に設定されたキューに入れられたパケットを処理する。パケット処理は、それぞれに割り当てられたCPU数までの範囲の並列度に基づいて処理を行う。パケット処理のCPU数の制限方法については後述する。また、場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらうことも可能である。
【0025】
出力クラス分け部130は、ユーザプロセス空間10内のサーバプロセス12から取得したパケットを優先度に応じてクラス分けし、クラス別出力キュー103に設定する。暗号化されたパケットのクラス分けの処理については後述する。
最初に入力に関する動作について説明する。
【0026】
図2は、本発明の入力動作のフローチャートである。
【0027】
ステップ101) 入力クラス分け部110において、ネットワークインタフェース20からパケットを取得する。
【0028】
ステップ102) 入力クラス分け部110は、受け取ったパケットを優先度に応じて入力キューに分別する。このとき、暗号化されたパケットを受け取った場合の処理については後述する。
【0029】
ステップ103) 次に、パケット処理部120において、担当するキューに入れられたパケットの処理を行う。各処理は、それぞれに割り当てられたCPU数までの範囲の並列度で処理を行う。パケット処理のCPU数の制限方法については後述する。場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらう。
【0030】
ステップ104) 入力キュー102を介して、ユーザプロセス空間10の各プロセス(サーバプロセス12または、暗号プロセス)に渡される。
【0031】
ステップ105) 各サーバプロセス12は、通常のOSのプロセススケジューリングに備えられた機能により、優先度制御が行われる。サーバプロセス12の優先度制御に関しては後述する。
【0032】
次に、出力動作について説明する。
【0033】
図3は、本発明の出力動作のフローチャートである。
【0034】
ステップ201) ユーザプロセス空間10の各サーバプロセス12は、通常のOSのプロセススケジューリングに備えられた機能により、優先度制御が行われる。優先度制御されたパケットを出力クラス分け部130に転送する。なお、サーバプロセス12の優先度制御に関しては後述する。
【0035】
ステップ202) 出力クラス分け部130は、サーバプロセス12から送り出されたパケットは、クラス分け処理により優先度に応じた出力キューに分別され、クラス分け出力キュー103に設定される。暗号化されたパケットのクラス分け方法に関しては、後述する。
【0036】
ステップ203) パケット処理部120は、該当するクラス別出力キュー103に設定されたパケットの処理を行う。各処理は、それぞれに割り当てられたCPU数までの範囲の並列度に基づいて処理を行う。パケット処理のCPU数の制限方法については後述する。場合によっては、ユーザプロセス空間10の暗号処理プロセスに暗号処理を引き渡し、処理してもらう。
【0037】
ステップ204) パケット処理が終わったパケットは、出力キュー104に設定され、ネットワークインタフェース20を介して出力される。
【0038】
【実施例】
以下、図面と共に本発明の実施例を説明する。
【0039】
以下の実施例では、まず、8つのCPUを備えた計算機を用いて、IPsecによる暗号化通信を用いて、3つのサービスを提供する場合を例にして説明を行う。
【0040】
それぞれのサービスは、主に、ユーザプロセス空間のサーバプロセス12とカーネル100内におけるパケット処理部120により行われる。3つのサービスをサービスA,サービスB,サービスCとする。
【0041】
本実施例における前提条件は以下の通りである。
【0042】
図4は、本発明の一実施例のサービス品質制御装置の構成を示す。
−サービスAのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスa』であり、優先度は『低』である。
−サービスBのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスb』であり、優先度は『中』である。
−サービスCのユーザプロセス空間におけるサーバプロセス12は、『サーバプロセスc』であり、優先度は『高』である。
−サービスAのカーネル100内の処理は、『パケット処理a』によって行われ、優先度は『低』である。パケット処理aの暗号処理は、『暗号処理プロセスd』を用いて行われる。
−サービスBのカーネル100内の処理は、『パケット処理b』によって行われ、優先度は『中』である。
−サービスcのカーネル100内の処理は、『パケット処理c』によってによって行われ、優先度は『高』である。
−カーネル100内の処理に関して、それぞれパケット処理aには1つ、パケット処理bには2つ、パケット処理cには3つまでCPUが制限されている。
【0043】
以下に、具体的な実現方法に関して説明する。
【0044】
▲1▼ クラス分け方法:
入力クラス分け部110及び出力クラス分け部130におけるクラス分け方法を以下に示す。
【0045】
IPsecによる通信では、暗号鍵や復号鍵などの情報をSA(Security Association)と呼ばれる情報として保持する。各パケット毎にこのSAをソースアドレス、ディスティネーションアドレス、SPIなどから探索し、暗号化や復号化処理を行う。このSAに優先度情報を記述しておく。
【0046】
図5は、本発明の一実施例のクラス分けを説明するための図である。
【0047】
入力クラス分け部110、出力クラス分け部130は、同図に示すように、パケット分類部111、メータリング部112、マーキング部113、シェーピング部114、及びキュー管理部115から構成される。
【0048】
クラス分け処理方法(入力クラス分け部110、出力クラス分け部130における処理)は、通常QoSルータのパケットフォーワードと同様の方法により行う。図5のように、まず、パケット分類部111において、上記のようにSAの探索を行い、そのSAにある優先度情報を元に、マーキング部113においてパケットに優先度情報を書き込む。それと同時に、メータリング部112において、優先度クラス毎にトラフィックの観測をしており、過剰なトラフィックが流れる場合には、シェーピング部114においてパケットの破棄、もしくは、マーキング部113において、優先度を下げたマークを付与するなどの処理を行う。その後に、キュー管理部115において、各優先度に合わせたキューに入れられる。
【0049】
▲2▼ CPU数の制限方法:
パケット処理部120において、それぞれ利用可能なCPU数を制限しておく。この制限方法は、当該パケット処理部120が起こせるスレッドの数を制限することにより実現する。具体的には、現在実行中のスレッド数を表す変数を用意しておき、その数が限度を超えたら空くまで処理を止めるという方法による。
【0050】
▲3▼ サーバプロセス12の優先度制御:
ユーザプロセス空間10におけるサーバプロセス12の優先度制御は、通常のOSに用意されている優先度制御方法を試用する。UNIXの場合では、nice値により、優先度制御を行う。
【0051】
▲4▼ ユーザプロセス空間10における暗号処理プロセスによる処理:
カーネル100内のパケット処理部120からユーザプロセス空間10へ暗号化もしくは、復号化するパケットを引き渡す。そして、カーネル空間より優先度の低いユーザプロセス空間において、しかもniceによりユーザプロセス空間10においても優先度が付与された状態で、パケットの暗号処理を行う。処理を終えたパケットは、再びカーネル100内部のパケット処理部120に戻す。
【0052】
また、上記の実施例は、図4に基づいて説明したが、カーネル内のクラス分け部110、130及びパケット処理部120の処理をプログラムとして構築し、サービス品質制御装置として利用されるコンピュータに接続されるディスク装置や、フロッピーディスク、CD−ROM等の可搬記憶媒体に格納しておき、本発明を実施する際にインストールすることにより、容易に本発明を実現することが可能である。
【0053】
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【0054】
【発明の効果】
上述のように、本発明によれば、OSにおいて、ユーザプロセス空間のサーバプロセスとカーネル空間におけるパケット処理を割り当てるCPU数を制限すること、及び本来、カーネル内部で行う処理をユーザプロセス空間における暗号処理プロセスを用いることにより、サービス品質を制御することにより、暗号化通信によるセキュアかつリアルタイムなどのサービスの品質を保証した通信サービスを提供する場合に有効である。例えば、NTPのような時刻配送サービスと、ファイル転送サービスの両者を暗号化通信により提供する場合などである。
【0055】
今後は、インターネットにおいてセキュリティを考慮することは当然のこととなり、IPsecがその標準として使われることが予想される。従って、そのような場合において、本発明のようなサービス品質制御は重要になることが予想される。
【図面の簡単な説明】
【図1】本発明のサービス品質制御装置の構成図である。
【図2】本発明の入力動作のフローチャートである。
【図3】本発明の出力動作のフローチャートである。
【図4】本発明の一実施例のサービス品質制御装置の構成図である。
【図5】本発明の一実施例のクラス分けを説明するための図である。
【符号の説明】
10 ユーザプロセス空間
12 サーバプロセス
20 ネットワークインタフェース
100 カーネル
101 クラス別入力キュー
102 入力キュー
103 クラス別出力キュー
104 出力キュー
110 入力クラス分け部
111 パケット分類部
112 メーリング部
113 マーキング部
114 シェーピング部
115 キュー管理部
120 パケット処理部
130 出力クラス分け部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a service quality control method and apparatus in encrypted communication, and a storage medium storing a service quality control program, and in particular, performs encrypted communication using IPsec or the like in a packet switched network such as the Internet. Stores a service quality control method and apparatus in encrypted communication and a service quality control program for controlling the quality of the communication service when providing a communication service that guarantees the service quality such as real-time property in a secure manner The present invention relates to a storage medium.
[0002]
[Prior art]
Conventionally, there are two methods for controlling service quality: a method for controlling communication quality of a network and a method for controlling quality (priority) of a service process in an OS. There are IntServ, DiffServ, and the like as methods for controlling the communication quality of the network. IntServ is a bandwidth securing type communication quality control method for performing bandwidth reservation, and DiffServ is a priority control type communication quality control method.
[0003]
In addition, as a method for controlling the quality (priority) of the user process in the OS, there are a time division method, a method of scheduling divided into a real time process and a time division process.
[0004]
Moreover, IPsec, SSL, TLS, S / MIME, etc. are mentioned as a method of providing secure communication using encryption technology on the Internet. The application ranges are different, respectively, IPsec is an IP layer, SSL and TLS are transport layers, and S / MIME is an application layer (e-mail). Usually, encryption processing in SSL, TLS, and S / MIME is performed in the user process space. On the other hand, since IPsec is usually introduced as an extension of IP, when implemented by software, cryptographic processing is also performed in the kernel. In the present invention, encryption communication such as IPsec is targeted.
[0005]
[Problems to be solved by the invention]
Conventionally, in an OS, the kernel is mainly I / O bound processing such as a keyboard and a disk. Normally, I / O bound processing is light and short processing. However, by causing packet encryption processing to be performed inside the kernel, CPU-bound heavy processing is performed by the kernel. Therefore, the kernel occupies the CPU for a long time. A normal OS has a feature that processing by a kernel is given priority over processing by a user process. In addition, the communication service in the OS is performed by two processes, that is, communication processing in the kernel and server process in the user process space.
[0006]
From the above, the problem of priority inversion occurs in the following cases.
[0007]
When both high-priority services and low-priority services are provided simultaneously using encrypted communication, packet processing is performed by the kernel of the low-priority service, rather than the server process in the user process space of the high-priority service There is a problem that quality control is not performed correctly for services with high priority and services with low priority.
[0008]
The present invention has been made in view of the above points, and in performing a service using encrypted communication, a service quality control method in encrypted communication capable of correctly performing service quality control according to priority. It is another object of the present invention to provide a storage medium storing an apparatus and a service quality control program.
[0009]
[Means for Solving the Problems]
In the present invention (Claim 1), when performing secure communication by encrypting a packet, encryption / decryption processing is performed in the kernel, and a multi-CPU and an OS that supports multi-thread in the kernel are used. A service quality control method in encrypted communication for performing communication with guaranteed service quality,
A classification step for classifying an input packet according to the type of service in a kernel process and a server process that performs a service in the user process space ;
The number of CPUs assigned to each classified class is controlled, and encryption / decryption processing of packets with low priority among the classified packets is processed by a process in the user process space having a lower priority than the kernel space. And a control step.
[0012]
The present invention (Claim 2 ) uses an OS that performs encryption / decryption processing in the kernel and performs multi-thread support in the kernel when performing secure communication by encrypting the packet. A service quality control apparatus in encrypted communication for performing communication with guaranteed service quality,
Classifying means for classifying the input packet according to the type of service in the kernel process and the server process that performs the service in the user process space ;
The number of CPUs assigned to each classified class is controlled, and encryption / decryption processing of packets with low priority among the classified packets is processed by a process in the user process space having a lower priority than the kernel space. Packet processing means.
[0014]
The present invention (Claim 3 ) uses an OS that performs encryption / decryption processing in the kernel and performs multi-CPU and multi-thread support in the kernel when performing secure communication by encrypting the packet. A storage medium storing a service quality control program for performing communication with guaranteed service quality,
A storage medium storing a program for causing a computer to execute processing for realizing the service quality control method according to claim 1.
[0017]
As described above, according to the present invention, the quality of service can be controlled by limiting the number of CPUs allocated to packet processing in the kernel and processing in the user process space.
[0018]
Also, by classifying packets according to the type of service and limiting the number of CPUs assigned to each class, it is possible to control the communication quality in the kernel.
[0019]
In addition, by performing encryption / decryption processing of a low priority packet among the classified classes by a process in the user process space, it is possible to control the communication quality by lowering the priority.
[0020]
DETAILED DESCRIPTION OF THE INVENTION
FIG. 1 shows the configuration of a service quality control apparatus of the present invention.
[0021]
The service quality control apparatus shown in FIG. 1 includes a
[0022]
The
[0023]
The
[0024]
The
[0025]
The
First, operations related to input will be described.
[0026]
FIG. 2 is a flowchart of the input operation of the present invention.
[0027]
Step 101) The
[0028]
Step 102) The
[0029]
Step 103) Next, the
[0030]
Step 104) It is passed to each process (
[0031]
Step 105) Each
[0032]
Next, the output operation will be described.
[0033]
FIG. 3 is a flowchart of the output operation of the present invention.
[0034]
Step 201) Each
[0035]
Step 202) The
[0036]
Step 203) The
[0037]
Step 204) The packet that has undergone packet processing is set in the
[0038]
【Example】
Embodiments of the present invention will be described below with reference to the drawings.
[0039]
In the following embodiment, first, description will be given by taking as an example a case where three services are provided using encrypted communication by IPsec using a computer having eight CPUs.
[0040]
Each service is mainly performed by the
[0041]
The preconditions in the present embodiment are as follows.
[0042]
FIG. 4 shows the configuration of a service quality control apparatus according to an embodiment of the present invention.
The
The
The
-Processing in the
-Processing in the
-Processing in the
Regarding the processing in the
[0043]
Hereinafter, a specific implementation method will be described.
[0044]
(1) Classification method:
A classification method in the
[0045]
In communication by IPsec, information such as an encryption key and a decryption key is held as information called SA (Security Association). For each packet, the SA is searched from the source address, destination address, SPI, etc., and encryption or decryption processing is performed. The priority information is described in this SA.
[0046]
FIG. 5 is a diagram for explaining classification according to an embodiment of the present invention.
[0047]
As shown in the figure, the
[0048]
The classification processing method (processing in the
[0049]
(2) How to limit the number of CPUs:
In the
[0050]
(3) Priority control of server process 12:
For the priority control of the
[0051]
(4) Processing by the cryptographic processing process in the user process space 10:
A packet to be encrypted or decrypted is transferred from the
[0052]
The above embodiment has been described with reference to FIG. 4. However, the processing of the classifying
[0053]
The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
[0054]
【The invention's effect】
As described above, according to the present invention, in the OS, the number of CPUs to which the packet process in the kernel process and the server process in the user process space is limited, and the process originally performed in the kernel is encrypted in the user process space. It is effective when providing a communication service that guarantees secure and real-time service quality by encrypted communication by using the process and controlling the service quality. For example, there is a case where both a time delivery service such as NTP and a file transfer service are provided by encrypted communication.
[0055]
In the future, it will be natural to consider security on the Internet, and IPsec is expected to be used as the standard. Therefore, in such a case, it is expected that service quality control as in the present invention will be important.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a service quality control apparatus of the present invention.
FIG. 2 is a flowchart of an input operation according to the present invention.
FIG. 3 is a flowchart of the output operation of the present invention.
FIG. 4 is a configuration diagram of a service quality control apparatus according to an embodiment of the present invention.
FIG. 5 is a diagram for explaining classification according to an embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF
Claims (3)
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分けステップと、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理するパケット処理ステップと、
を行う
ことを特徴とする暗号化通信におけるサービス品質制御方法。When performing secure communication by encrypting packets, encryption / decryption processing is performed in the kernel, and communication that guarantees the quality of service using a multi-CPU and an OS that supports multi-thread in the kernel A quality of service control method in encrypted communication for performing
A classification step for classifying an input packet according to the type of service in a kernel process and a server process that performs a service in the user process space ;
The number of CPUs assigned to each classified class is controlled, and encryption / decryption processing of packets with low priority among the classified packets is processed by a process in the user process space having a lower priority than the kernel space. A packet processing step;
Service quality control method for encrypted communication, wherein the <br/> be performed.
ユーザプロセス空間のサービスを行うサーバプロセスとカーネル空間において、入力されたパケットをサービスの種類に応じてクラス分けするクラス分け手段と、
クラス分けされたそれぞれのクラスに割り当てるCPU数を制御し、クラス分けされたパケットのうち、優先度の低いパケットの暗号復号処理を前記カーネル空間よりも優先度の低いユーザプロセス空間のプロセスによって処理するパケット処理手段と、
を有することを特徴とする暗号化通信におけるサービス品質制御装置。When performing secure communication by encrypting packets, encryption / decryption processing is performed in the kernel, and communication that guarantees the quality of service using a multi-CPU and an OS that supports multi-thread in the kernel A service quality control apparatus in encrypted communication for performing
Classifying means for classifying the input packet according to the type of service in the kernel process and the server process that performs the service in the user process space ;
The number of CPUs assigned to each classified class is controlled, and encryption / decryption processing of packets with low priority among the classified packets is processed by a process in the user process space having a lower priority than the kernel space. Packet processing means;
QoS controller in encrypted communication, characterized in that it comprises a.
前記請求項1記載のサービス品質制御方法を実現するための処理をコンピュータに実行させるプログラムを格納したことを特徴とするサービス品質制御プログラムを格納した記憶媒体。When performing secure communication by encrypting packets, encryption / decryption processing is performed in the kernel, and communication that guarantees the quality of service using a multi-CPU and an OS that supports multi-thread in the kernel A storage medium storing a service quality control program for performing
A storage medium storing a service quality control program, wherein a program for causing a computer to execute processing for realizing the service quality control method according to claim 1 is stored.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000163682A JP3736293B2 (en) | 2000-05-31 | 2000-05-31 | Service quality control method and device service quality control program in encrypted communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000163682A JP3736293B2 (en) | 2000-05-31 | 2000-05-31 | Service quality control method and device service quality control program in encrypted communication |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001344228A JP2001344228A (en) | 2001-12-14 |
JP3736293B2 true JP3736293B2 (en) | 2006-01-18 |
Family
ID=18667404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000163682A Expired - Fee Related JP3736293B2 (en) | 2000-05-31 | 2000-05-31 | Service quality control method and device service quality control program in encrypted communication |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3736293B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101330072B1 (en) | 2013-07-12 | 2013-11-18 | (주)아울시스템즈 | Method and system for restoring data in database |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7376082B2 (en) * | 2002-12-31 | 2008-05-20 | International Business Machines Corporation | Quality of service for iSCSI |
KR100678223B1 (en) | 2003-03-13 | 2007-02-01 | 삼성전자주식회사 | Method and apparatus for packet transmitting in a communication system |
US7774593B2 (en) | 2003-04-24 | 2010-08-10 | Panasonic Corporation | Encrypted packet, processing device, method, program, and program recording medium |
JP4551112B2 (en) * | 2003-04-24 | 2010-09-22 | パナソニック株式会社 | ENCRYPTED PACKET PROCESSING DEVICE, METHOD, PROGRAM, AND PROGRAM RECORDING MEDIUM |
WO2007125942A1 (en) | 2006-04-26 | 2007-11-08 | Nippon Telegraph And Telephone Corporation | Load control device and its method |
WO2018220702A1 (en) * | 2017-05-30 | 2018-12-06 | 三菱電機株式会社 | Management system, management method and management program |
WO2022102086A1 (en) * | 2020-11-13 | 2022-05-19 | 日本電信電話株式会社 | Network card and packet-processing method |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5600822A (en) * | 1994-04-05 | 1997-02-04 | International Business Machines Corporation | Resource allocation synchronization in a parallel processing system |
JPH08251196A (en) * | 1995-03-15 | 1996-09-27 | Toshiba Corp | Parallel computer |
US5896141A (en) * | 1996-07-26 | 1999-04-20 | Hewlett-Packard Company | System and method for virtual device access in a computer system |
JPH10222382A (en) * | 1997-02-04 | 1998-08-21 | Mitsubishi Electric Corp | Device driver installation system |
JPH10326287A (en) * | 1997-05-23 | 1998-12-08 | Mitsubishi Corp | System and device for digital content management |
JP3595143B2 (en) * | 1997-12-22 | 2004-12-02 | 三菱電機株式会社 | Communication attribute setting and communication volume processing |
JPH11249917A (en) * | 1998-02-27 | 1999-09-17 | Nec Corp | Parallel computers, their batch processing method, and storage medium |
US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
EP1032869A1 (en) * | 1998-09-25 | 2000-09-06 | Hughes Electronics Corporation | An apparatus for providing a secure processing environment |
-
2000
- 2000-05-31 JP JP2000163682A patent/JP3736293B2/en not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101330072B1 (en) | 2013-07-12 | 2013-11-18 | (주)아울시스템즈 | Method and system for restoring data in database |
Also Published As
Publication number | Publication date |
---|---|
JP2001344228A (en) | 2001-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7499457B1 (en) | Method and apparatus for enforcing packet destination specific priority using threads | |
US7089294B1 (en) | Methods, systems and computer program products for server based type of service classification of a communication request | |
US9225659B2 (en) | Method and apparatus for scheduling a heterogeneous communication flow | |
US7420976B2 (en) | System directing flow of packets by-passing policy-based application for processing by policy engine according to action specification in policy cache | |
US20080267177A1 (en) | Method and system for virtualization of packet encryption offload and onload | |
US9864633B2 (en) | Network processor having multicasting protocol | |
US7290028B2 (en) | Methods, systems and computer program products for providing transactional quality of service | |
US7746783B1 (en) | Method and apparatus for monitoring packets at high data rates | |
EP1440545B1 (en) | Method and system for packet ordering for parallel packet transform processing | |
US20080043756A1 (en) | Method and system for network configuration for virtual machines | |
US7715416B2 (en) | Generalized serialization queue framework for protocol processing | |
US20030231632A1 (en) | Method and system for packet-level routing | |
US9712374B1 (en) | Network services resource management | |
EP1817875B1 (en) | Terminal of portable internet system and method of transmitting uplink data in terminal | |
JP2004532559A (en) | Policy gateway | |
KR20060092757A (en) | Adaptive queue mechanism for efficient real-time packet transfer and adaptive queue establishment system thereof | |
JP3736293B2 (en) | Service quality control method and device service quality control program in encrypted communication | |
CN112165435A (en) | Bidirectional flow control method and system based on network service quality of virtual machine | |
US20090198826A1 (en) | Apparatus and method for passing metadata in streams modules | |
US7697434B1 (en) | Method and apparatus for enforcing resource utilization of a container | |
CN111970149B (en) | Shared bandwidth implementation method based on hardware firewall QOS | |
Radhakrishnan | Linux–advanced networking overview version 1 | |
Yau et al. | Migrating sockets-end system support for networking with quality of service guarantees | |
CN113722103A (en) | Encryption card calling control method and communication equipment | |
Liu | Design and implementation of Vo IPQoS model combining IntServ and DiffServ based on network processor IXP2400 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041207 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050117 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051004 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051017 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091104 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101104 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101104 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111104 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |