您好、欢迎来到现金彩票网!
当前位置:大赢家 > 附属处理器 >

网络处理器能兼顾更高的性能与更好的安全性

发布时间:2019-04-25 12:13 来源:未知 编辑:admin

  互联网的持续高速发展催生了两种矛盾的需求:更高的性能与更好的安全性。用户要求在他们访问信息和娱乐内容时延迟更短,因而服务提供商需要更快、更高效地传输数据。为了满足这些需求,服务提供商必须创建这样的网络,它既能满足个人用户对访问速度和服务质量(QoS)的要求,同时还能提供投资回报。

  为了实现这些目标,最显而易见的途径是选择这样的设备组建网络:它们允许服务提供商提供一系列能按需进行“定制裁剪”,并依据个人的使用需求进行计费的可靠服务。

  但是这种类型的网络需要更强大和更高效的数据处理能力,它们不仅能提供服务,而且还必须确保数据以及访问这些网络数据的用户的安全性。

  互联网环境中的“安全”是指什么呢?简单来说,安全就是保证服务的可用性,鉴别用户身份和他们的数据,并确保数据的机密性和完整性。

  在过去两年里,业界一直在向基于网络处理单元而构建的网络处理架构转移,这种趋势已经改变了设计网络的方式。与此同时,这种趋势成就了崭新的、从前无法想象的处理能力,并引入了更强的易用性。所有这一切使得我们更容易提高网络的性能及安全性。

  网络处理架构由网络处理元件(NPE)及对它们进行编程的软件组成。NPE可以是一个网络处理器或经编程用于执行某种特定数据处理功能的协处理器。网络处理器论坛(NPF)将网络处理单元(NPU)定义为“一种可编程或可配置的半导体器件,专为处理网络数据(数据包)而设计和优化。网络处理器的优化包括用以支持高速数据包分类和数据包修改的硬件和指令集。”

  网络协处理器被定义为“一种为加密、压缩/解压缩等特殊用途而设计的附属处理器。通常,协处理器与网络处理器或定制IC协同工作,而且它自身不具备转发数据包的能力。”这种类型的架构非常适合于为互联网上任何有价值的通信提供所需的支持,包括可用性、认证、机密性和完整性。

  互联网面临的一个重要问题是如何抵御服务攻击。这些攻击会导致双重问题:破坏为付费用户提供的服务,以及摧毁服务供应商的网络可靠性。

  这并不是一个新问题。随着越来越多可被恶意程序员侵入、因而并不安全的服务主机联上网络,攻击的严重性与日俱增。这些黑客编写的程序能操纵主机发送大量超过网络或站点处理能力的数据包。其结果是,网站瘫痪,所有用户都失去连接。

  此外,这种恶意的泛滥流量会造成网络阻塞,通过霸占可用的带宽,使得任何其他人无法通过。在“最后一跳(hop)”的路由器上抛弃这些恶意的数据包并不能解决链路拥塞问题和从总体上消除传输这些无用数据流对网络产生的影响。

  要解决这个问题,网络必须完全地执行过滤协议。采用与路由协议发送路径更新信息相同的方式,过滤协议能更新过滤器。但是,即使部署了这样的协议,现有的许多路由器不具备足够的CPU处理能力,以在高速接口上对每个数据包实施过滤规则。此外,现有的路由器硬件在其它方面还存在限制。大多数路由器只能操纵少量过滤器,而且在那些过滤器何时处理数据包的问题上通常受到限制。

  即使泛滥的数据包都是相同的(除IP源地址以外),而且很容易被过滤器识别,但不同的泛滥源必须在过滤之前被鉴别出来。网络管理员今天面临的一个棘手问题是,尽管他们能发现进入路由器端口的数据速率瞬间达到峰值的情况,但他们缺乏检测这些数据的工具。如果他们能捕获数据的某一部分,那么就有可能判定泛滥数据包的来源。

  不过,当前的路由器让数据包与CPU分离,因为CPU无法赶上前者的速度。既然CPU不能共享自己没有获得的信息,那么系统管理员就不能识别或阻止恶意的泛滥数据包。在以CPU+FPGA/CPU+ASIC为基础设计的路由器中,增加对新型流量控制功能的支持也许是不可能的,但这对基于NPU的路由器而言则是小事一桩。

  在CPU+FPGA的设备中,不同的芯片执行不同的功能。系统架构提供了专用芯片,经编程后用于移动数据包,但它们实际上没有对那些数据包做太多处理。如果对设备的功能需求随时间而改变,这种硬连线的包处理模式会妨碍系统实现新的处理要求。即使在一个总线架构的系统中,可用的总线带宽可能不允许一个数据包在处理过程中多次经总线传输。如果这样做,多次的传输过程可能会产生无法接受的延时。

  NPU为程序员提供了更大的灵活性,它针对网络功能作了优化,并允许在一个产品生命周期内增加和改变功能。

  某些网络继承了DDOS特性,仍然准许伪造源地址的IP数据包离开网络。在这种情况下,增加传统过滤器的努力将失去作用,因为泛滥源可以根据需要改变每一个数据包的源地址。能阻止泛滥源的一种解决办法将需要一个能够检测每个数据包内容的路由器,根据源和目的地址以外的信息识别出违法数据包。

  如果路由器采用包括一个NPU的网络处理架构,那么它经编程后能够检测包的内容,并识别违法的数据流。这可以通过一个签名来实现,它在入侵检测过程中被定义用于鉴别组成一次攻击的单独数据包或数据流。路由器可以传播这些信息,鉴别出数据包的源地址和输入端口,并追踪到攻击源。如果部署了很好的服务和否决协议,路由器甚至能自动安装过滤器,彻底阻断攻击。

  上述所有功能都要求提高处理器的性能,这已经超越了嵌入式CPU的能力,而高速ASIC又不具备可重编程的特性。NPU和网络协处理器供应商已经证明,他们的产品同时具备解决这些问题的性能和可编程性。

  安全性的一个重要方面是认证,即确定你知道你正在与谁通信。除了网页浏览和电子邮件外,对远程计算机的每项访问几乎都要求用户验证自己的身份,并提供某些证明,例如口令或密钥。当采用功能强大的加密认证方案时,系统需要大量的处理能力来执行密钥的交换。一旦完成认证,更多最新型的加密技术将被用于其余的交互过程,它们采用在最初“握手”过程中秘密交换的临时密钥。

  加密加速硬件使得我们有可能提供以线速(wire-speed)执行密码流的性能,并且从设备的主处理器上卸去密钥交换的负担。除了性能外,灵活性也是就实现方案作出决策的关键。只有可编程系统才能适应新的标准,例如从历史悠久的数据加密标准(DES/3DES)升级到新的信息处理标准(FIPS-197)及其可选的高级加密标准(AES),而不必重新设计硬件。

  加密的数据流极大地简化了防火墙或远程接入网关的工作。网络管理员在制定防火墙规则的时候就好似在与攻击者下棋,后者试图创建完善的防护体系,同时还不能锁住自己的用户,使他们不能穿越防火墙去做有用的工作。如果所有数据流都经过端到端的加密,那么防火墙设备将只需作出简单的“是”或“否”的选择:“这个数据包是属于已建立的会话过程的一部分,还是属于创建连接的请求?它是否包含有效的认证信息?”

  Digi-Key 推出有 BQR 可靠性数字解决方案加持的 BOM MTBF 预测服务

  华为P30带动VCSEL元件砷化镓晶圆代工厂投片量上升

  贸泽电子开售面向企业级Wi-Fi 6系统的Qorvo QPF4528前端模块

http://ccsagresso.com/fushuchuliqi/24.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有