IPSEC 安全架构、应用及展望 (5)

增加的安全功能支持数据加密标准(DES)、3DES、高级加密标准(AES)算法以及安全散列算法(SHA-1)，这使得硬件能直接进行数据鉴别。它由两个3DES内核、一个AES内核以及两个SHA-1内核组成。这样可以通过SHA-1内核在将密钥加入数据之前或之后来处理数据。在IXP2850中含有两个这样的内核。增加加密功能非常重要，从某种意义上说这对网络处理器的特性起到了杠杆作用。对于英特尔的网络处理器，这方面主要得益于被称作微引擎的多重、多线程处理单元。我们选择的这种多线程模型是NPU架构中的重要部分，它带来了设计上的一些挑战。例如，因为这些安全功能比较独立于硬件配置，所以希望能充分地并行利用所有的安全硬件。但实现这种硬件的并行性需要小心地管理那些公用的部件(像全局总线、局部存储器)以及数据锁存方法。它还需要保证在不牺牲系统性能的情况下充分灵活地切换初始化向量(IV)、按键和其他状态信息。用流水线方法处理协议也很重要。例如，在处理IPSec隧道模式信息包时，可以流水操作所有必需的处理。尽管在单个接口上实现10Gbps的速度很重要，但是接口的聚合也很重要，例如，把10个1Gbps的接口合并在一起。当多个接口连接到网络处理器的时候，一个特定信息包的数据可以和其它信息包数据交织在一起存放在接收缓冲器中。在NPU中集成加密微引擎管道可使一条加密数据通道每秒发送超过2,500万个IPSec信息包。这足以在10Gbps速度的情况下加密和鉴别IPSec，从而保证100%信息流量的安全性。将安全功能集成到NPU中一个很大的好处就是可以节省整个方案的功耗。现在的安全处理器达到10Gbps速度时，功耗大约是13-30瓦。而IXP2850在设计阶段特别注意降低功耗并且省去了I/O器件，故可以比其他方案节省20%-50%的功耗。

V. Ahuja，"Secure Commerce on the Internet"，AP Proffesional，1998.
L.J. Hughes ， "Internet安全技术实务" 1996.
1998 "VPN技术与应用趋势研讨会"，1998.
http://www.ietf.org/thml.charters/ipsec-charter.html http://firewall.sysware.com.tw/faq/vpn/ipsec.html http://firewall.sysware.com.tw/faq/vpn/SKIP.html http://conway.cba.ufl.edu/ism6222/Ipsec.html http://www.hsc.fr/veille/papier/papier.html.en
关于作者 陈新风，主要从事 Windows 及 UNIX 平台下平台、文件、网络等相关保护工作和安全防护。可以通过 E-mail:chenxinf@xinhuanet.com 与他联系！

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有