マルチキューNICを用いたIPsecの並列化手法の実装と評価

小川 拡  齋藤 彰一  安井 裕亮  川島 龍太  瀧本 栄二  毛利 公一  松尾 啓志  

誌名
電子情報通信学会論文誌 B   Vol.J98-B   No.7   pp.557-569
発行日: 2015/07/01
Online ISSN: 1881-0209
DOI: 
論文種別: 特集論文 (若手研究者のためのステップアップ論文特集)
専門分野: ネットワークシステム
キーワード: 
IPsec,  トンネリング,  マルチキューNIC,  並列処理,  パケットフロー,  

本文: PDF(1.5MB)
>>論文を購入


あらまし: 
本論文では,IPsecを高速化するための並列処理手法を提案する.通常,IPsecで広く利用されているEncapsulating Security Payload(ESP)とトンネルモードの組み合わせでは,転送するパケットをカプセル化する際にヘッダを含めて暗号化するため,転送先のルータでは受信したパケットからパケットフローを認識できず,マルチキューNICのもつ並列処理機能を活用できない.提案手法では,トンネルの両端のルータが連携することでこの問題を解決する.パケットを転送する際に,カプセル化前のパケットからフロー識別情報を生成してカプセル化後のパケットに付与することで,転送先のルータにおけるパケットフローの認識を可能にし,マルチキューNICを活用した並列処理を実現する.提案システムをLinux kernel 3.14.1に実装し,4コアのルータを利用してパケット転送性能をデフォルトのカーネルと比較したところ,64 Byteから128 KByteまでのメッセージを送信する単純なTCPパケット転送性能の比較では100%から204%性能が向上した.