技术文章
2015-07-07
目前,企业级通信市场对网络安全问题的关注越来越多。在这种压力下,通信OEM要求芯片供应商在不降低处理器性能的前提下,开发先进的、基于半导体芯片的加密技术。而网络安全芯片供应商也正将目光投向生产虚拟专用网络(VPN)路由器、家用电器和其它具有鉴别和加密功能设备的OEM制造商。根据分析师估计,这些设备市场正蓬勃增长。以VPN设备市场为例,该市场2001年度的销售额为15亿美元,预计在2003年将达到31亿美元。而到2004年,网络安全IC的市场容量将超过8亿美元。
思科系统公司VPN和网络安全业务分部首席技术官Bob Gleichauf指出:“网络安全正在成为核心问题。IC供应商将意识到,他们必须修改并改进形成和移动流量的方法,使这些业务能够完成它们的功能,加快数据传递速度。”
然而业界在加密实现的方式上存在分歧。一部分供应商认为,加密算法最好用软件实现,直接加进网络处理器协议栈中。另外一部分网络芯片供应商则主张采用独立的协处理器来执行安全功能。相比之下,后一种意见占了上风,支持者认为单凭软件不能解决问题。Gleichauf说:“我们的安全系统能够有效监视数百Mbit/s级别的流量,因为采用流量独立过滤的方式,效率更高。我们准备给芯片增加更多的功能,而不是通过软件
以前曾有人试图采用在路由器中集成软件的方法,来给数据加密,但这种方法会使路由器中的处理器功能陷入瘫痪。因为处理器要给速率达数百Mbit/s的数据进行打包,而引入额外的第一层和第二层软件应用任务来提供加密和鉴别功能,就会削弱路由器给数据打包的能力。
而将安全算法加到处理器中是对应用技术的一项极大挑战。据观察家估计,单价低于100美元、用于高速网络的安全芯片要在几年之后才会出现。 对此,Hifn公司首席技术官Russell Dietz认为,问题的根源在于,加密和数据鉴别功能需要非常强大的计算功能,需要设计非常复杂的算法。
“许多刚起步的公司不知道做到这点有多难。安全从本质上讲比给数据指定路由要困难得多。这些公司以前甚至认为,安全功能仅涉及加密,而没有考虑鉴别过程。鉴别过程常常占到安全处理工作量的60%以上。”Dietz说。
争论激烈
与此同时,一些网络处理器供应商仍对网络安全处理器的必要性表示质疑。他们坚持认为,通用网络处理器自身就可以执行安全检查功能,如同执行交换和路由功能一样。根据定义,这种安全处理方式对高速应用无效。然而他们也承认,网络安全处理器对于某些应用,如高数据速率不是主要考虑因素的应用还是有意义的。
Terago通信公司是首批设计10Gbit/s网络处理器的公司之一。该公司总裁兼首席执行官Hemant Trivedi说:“看一下当今市场上的网络处理器,观察它们具有的功能,你会发现安全处理在近期仍将是协处理任务。除非有人推出2.4Gbit/s或更快的处理器,在处理VPN任务之外还具有足够的功能冗余。”
他继续说:“如果IPsec处理算法被加到2.4Gbit/s的通用处理器上,那么该处理器的速度将下降到低于1Gbit/s。安全处理器将向你证明,在2.4Gbit/s的速度下运行网络是可能的。因此,安全处理器很自然是以协处理器出现。”Trivedi认为,当所有工作量都加到服务器和通用处理器上时,其性能等级肯定不合规格。他说:“如果单个处理器能够完成所有工作,那么DSP、CAM及所有协处理器都没有必要发明。”
Adtran公司是通信设备的垂直集成OEM,设计自己的ASIC用于网络安全产品。该公司首席系统结构师Michael Lamy认为,安全加密和鉴别是高强度的处理器应用,因为每一比特的数据都必须通过单独的处理算法,处理每一比特的信息,不象路由器,只需关注头部的数据包,而忽视数据的其它部分。“加密算法自身需要许多运算处理周期。作为OEM,我们非常关注在同一器件上同时运行路由和安全应用。”Lamy说,“在这种情况下,路由器将没有数据流可处理。”
英特尔公司透露,他们最早将在今年推出通用网络处理器,可以在单个器件上实现最先进的安全功能,网络速度达到1Gbit/s或更高。该公司通信产品分部市场总监Anthony Ambrose表示,他们的网络处理器具有可编程架构,可以适应不断更新的安全协议,使OEM无需更换已有的处理器内核。Ambrose说:“将网络处理器升级到IP6象拨动开关一样简单。高端安全应用将不再是一种例外,通用网络处理器照样能完成此功能。”
Linley集团分析师Linley Gwennap认为,如果英特尔真的将安全功能集成到网络处理器中,并且速度达到1Gbit/s,那将是首创。Gwennap说:“总之,网络安全IC可执行在网络处理器上执行不了的功能。安全应用常常使网络处理器不堪重负。在不久的将来,处理器芯片上的安全逻辑将首先只以较低性能的形态出现。”
在此期间,只执行安全功能的处理器的供应商日子也不好过。自从Chrysalis-ITS公司去年因为不能将安全处理器投入量产而退出市场后,供应商在推出可行器件方面没有取得多少进展。
目前,Hifn公司继续占据网络安全处理器主要的市场份额,用户包括思科系统、朗讯、北电网络等公司。Broadcom公司也开始大规模投入量产并根据日程表交货,但该公司从去年以来一直没有推出新器件。Corrent公司是另一家已投入批量生产的厂家,据称该公司也曾出现过交货延迟。目前正在走向应用的网络安全处理器,尽管批量大,但仍不太可能在近期推动市场价格下降。
