加速安全的应用.docVIP

加速安全的应用 　　摘要：今天，安全应用越来越倾向把多个安全功能――比如虚拟个人网VPN（virtual private network，VPN）、防火墙、非法入侵（intrusion）监测和/或保护、病毒扫描等――组合到统一威胁管理（unified threat management，UTM）装置中。本文描述具有Intel??RQuickAssit Technology的EP80579集成处理器很适合这种安全应用，尤其是针对数据速率范围在每秒几百兆位～每秒千兆位的应用。这个处理器是基于Intel Pentium M的复合体，包括集成的存储控制中心（memory controller hub），集成的I/O控制中心（I/O controller hub），支持多种IO，比如Gigabit Ethernet MAC和Controller Area Network（CAN）接口。其特性包括PCI Express*，和一个集成的硬件密码加速器。单片设计很好地平衡性能、能耗、缩减管脚数等要素，与分立的多片方案相比，更具价格优势。在软件方面，它无缝隙地与已有的开源密码框架集成，从而加快产品上市时间。本文探讨在基本密码操作、以及在IPsec和SSL等密码协议方面，密码加速器是如何提高吞吐率。同时也描述了基于Intel??RQuickAssit Technology 的Intel??REP80579安全应用软件可以加速数据包处理、以较低的处理器使用率实现更高吞吐率。 　　 　　1简介 　　 　　网络安全包括许多内容。通过密码实现保密性、完整性和鉴别，VPN实现在公共互连网上建立专用网。传统防火墙根据策略允许或拒绝事件进入被保护的网络。防病毒和反垃圾邮件过滤器检查电子邮件、web通信和其它已知的应用负载来过滤掉破坏计算机的恶意软件。入侵保护系统监控网络事件和防止攻击进入被保护网络。 　　传统地，这些安全功能在独立的设备中运行，导致管理复杂。最近几年，安全厂家已经开始把多个安全功能组合到单个UTM装置中。一个主要的驱动力就是：与安装和管理多个网络部件（极有可能是来自于不同厂家）相比，可以减少总成本。 　　 　　2网络安全问题 　　 　　在深入关注典型UTM装置的系统结构之前，首先探讨网络安全问题的一些关键特点，这些关键特点使得网络安全与典型的计算应用不同。 　　首先和最明显的特点是数据速率。数据速率会随着网络的应用不同而变化。在本文，我们考虑数据速率从几百兆位/秒～大约1.6千兆位/秒的情况。 　　作为网络部件，要求这些产品能够在规定的数据速率和信息包容量大小条件下，处理信息包。信息包处理通常包括分类、（可选的）修改、然后是转运、推迟或终止信息包。以高的数据速率完成复杂的分类、修改和转运，对通用处理器是一个挑战。多核处理器在应对这个挑战方面取得了一些进展，但多核处理器不是很适合对功耗、散热或面积等要求比较高的环境。与信息包处理要求有关，性能有可能受到信息包速率或数据速率的限制。这些功能大部分是对包头进行处理，比如简单的IP转运和网络地址翻译，通常对信息包速率较敏感。可是，安全处理更侧重于负载流量，对数据速率敏感，比如VPN和电子商务要求的安全通信，需要进行密码运算，这对通用处理器来说计算代价是很大的。 　　 UTM应用的其它功能，比如入侵保护、防止病毒和防止垃圾邮件功能，要求具备模式匹配（pattern-match）能力。模式匹配要求很强的计算能力和高的存贮器带宽。 　　 　　3安全应用系统结构 　　 　　已经介绍了安全应用问题的特点，现在介绍如何实现这样一个安全应用所要求的系统结构。在理想情况下，这样一个系统应该包括下面内容： 　　 ● 计算敏感的关键功能，应该具有硬件加速。对于对称和公钥算法，也许需要包括算法协处理器；对于信息包处理，可能包括网络处理器。 　　 ● 一个具有足够运算能力的通用处理器核，以完成其它的增值功能。 　　 ● 与Wide Area Network（WAN）和Local Area Network（LAN），以及可能的非保护区（DMZ）相接的Gigabit Ethernet（GbE）接口；用于连接其它以太网、无线网、图像、或其它卡的PCI Express*；用于存贮器的SATA接口；用于不同外设的USB接口。如果安全应用集成了语音功能，那么时分多路（TDM）接口也可能是需要的。 　　 ● 存贮器控制器和外部存贮器 　　 图1给出了基于分立部件和使用Intel??R 体系结构的一个典型系统构架。 　　 　　4硅实现概述 　　 　　EP80579集成处理器具有典型安全应用系统架构的大部分关键部件。硅实现的关键部件示于图2. 　　作为一个SOC芯片， EP80579集成处