本申请案涉及用于融合的安全系统及设备的高性能架构。在一些方面,本公开涉及用来提供用于构建支持丰富的联网及安全特征集的高性能硅组件的架构的方法及系统。在许多实施方案中,所述架构将网络及安全功能拆分成两个功能及逻辑块(其在一些实施方案中可在物理上位于同一裸片或集成电路上,或可拆分在单独集成电路上)。所述网络功能可经由具有高吞吐量执行管线的集成网络接口卡及加速器子系统来执行。在许多实施方案中,安全功能可与所述网络处理功能异步执行。处理功能异步执行。处理功能异步执行。
【技术实现步骤摘要】
用于融合的安全系统及设备的高性能架构
[0001]本公开大体上涉及用于网络通信的系统及方法。特定来说,本公开涉及用来提供用于融合的安全系统及设备的高性能架构的系统及方法。
技术介绍
[0002]通信设备提供各种联网及安全特征,包含交换及路由、业务管理、密码特征(例如加密及解密、认证等)、过滤及其它此类功能。随着网络吞吐量超过太位每秒,利用许多离散组件的这些复杂系统的实施方案遭遇瓶颈。虽然一些制造商已尝试具有更少的专用组件的配置来增加吞吐量,但这会牺牲灵活性且增加大量费用,因为所述系统无法个别地执行所有各个功能。
技术实现思路
[0003]一方面,本申请案涉及一种用于高吞吐量网络及安全处理的系统,其包括:网络处理子系统,其包括配置在单个管线中的多个互连网络处理引擎;以及安全处理子系统,其耦合到所述网络处理子系统且在所述网络处理子系统外部,所述安全处理子系统包括多个互连安全处理引擎。
[0004]另一方面,本申请案涉及一种设备,其包括:机箱;一或多个物理通信接口,其定位在所述机箱的一部分上;网络处理子系统,其定位在所述机箱内且耦合到所述一或多个物理通信接口,所述网络处理子系统包括配置在单个管线中的多个互连网络处理引擎;以及安全处理子系统,其定位在所述机箱内,耦合到所述网络处理子系统且在所述网络处理子系统外部,所述安全处理子系统包括多个互连安全处理引擎。
附图说明
[0005]通过参考结合附图进行的详细描述,本公开的各个目标、方面、特征及优点将变得更加显而易见及更好理解,在附图中类似附图标记自始至终识别对应元件。在附图中,类似附图标记通常指示相同的、功能类似的及/或结构类似的元件。
[0006]图1是用于融合的安全系统及设备的架构的实施方案的框图;
[0007]图2是用于融合的安全系统及设备的架构的另一实施方案的框图;
[0008]图3A到3E是用于融合的安全系统及设备的架构的实施方案的部署配置的框图;
[0009]图4A是描绘包含与一或多个装置或站通信的一或多个接入点的网络环境的实施例的框图;以及
[0010]图4B及4C是描绘结合本文中所描述的方法及系统有用的计算装置的实施例的框图。
[0011]所述方法及系统的各个实施例的细节在附图及下文描述中进行阐述。
具体实施方式
[0012](若干)以下IEEE标准,包含此(类)标准的任何草案版本的全文特此以引入的方式并入本文中且出于所有目的而将以下项作为本公开的部分:IEEE P802.11n
TM
;及IEEE P802.11ac
TM
。尽管本公开可引用这些标准的方面,但本公开绝不受这些标准限制。
[0013]出于阅读对下文各个实施例的描述的目的,对说明书的章节及它们相应的内容的以下描述可能是有帮助的:
[0014]‑
章节A描述用来提供用于融合的安全系统及设备的高性能架构的系统及方法的实施例;及
[0015]‑
章节B描述可用于实施本文中所描述的实施例的网络环境及计算环境。
[0016]A.用于融合的安全系统及设备的高性能架构
[0017]通信设备提供各种联网及安全特征,包含交换及路由、业务管理、密码特征、过滤及其它此类功能。随着网络吞吐量超过太位每秒,利用许多离散组件的这些复杂系统的实施方案遭遇瓶颈。虽然一些制造商已尝试具有更少的专用组件的配置来增加吞吐量,但这会牺牲灵活性且增加大量费用,因为所述系统无法个别地执行所有各个功能。
[0018]举例来说,提供联网及安全特征的系统可由各式各样的组件构建,所述组件包含:
[0019]·
交换机/路由器组件(例如,ASIC),其用以在高数据速率下执行联网及业务管理;
[0020]·
密码加速器组件,其用以执行公钥及对称加密卸载;
[0021]·
正则表达式搜索(REGEX)加速组件,其用以在高速率下执行模式搜索;
[0022]·
通用中央处理器(CPU),其用于管理、数据处理及其它功能;
[0023]·
网络接口卡(NIC),其用以允许业务在联网域与通用CPU域之间遍历;以及
[0024]·
现场可编程门阵列(FPGA),其用以实施许多上文功能,以及允许所述系统作为一个一致整体操作的专用逻辑/控制功能。
[0025]使用过多不同类型的组件使此类系统变得复杂、昂贵且易受性能限制。给定系统的总体性能经常受特定组件中的瓶颈约束。这些组件中的很少(如果有的话)组件是为此类类型的系统而专门构建的。从商业角度来看,缺乏专门针对此类用例的商用硅解决方案。因此,考虑到因特网连接性及基于网络的应用的广泛流行,对支持在高数据速率下融合数据联网及数据安全功能的系统及设备存在强烈需求。
[0026]本公开涉及用来提供用于构建支持丰富的联网及安全特征集的高性能硅组件的架构的系统及方法。所述架构是高度可扩展的,从而解决了上文所论述的瓶颈问题且提供非常高的吞吐量。另外,所述架构利用可经编程以执行各个功能而不会牺牲灵活性或性能的可取代块或功能元件。在适当的情况下,许多功能是硬件加速的,而其它功能处于通用处理器的控制之下。特定来说,在许多实施方案中,所述架构将网络及安全功能拆分成两个功能及逻辑块(其在一些实施方案中可在物理上位于同一裸片或集成电路上,或可拆分在单独集成电路上)。网络功能可经由具有高吞吐量执行管线(例如,在许多实施方案中,2Tbp或更高)的集成NIC及加速器子系统来执行。在许多实施方案中,网络功能可使用单个时钟来进行处理(举例来说,分布在多个功能网络处理块当中)。在许多实施方案中,安全功能可经由相同或单独时钟来执行。举例来说,在许多实施方案中,安全功能可与网络处理功能异步执行。
[0027]图1是用于融合的安全系统及设备的架构的实施方案的框图,所述安全系统及设备包含网络处理子系统100(有时被称为网络处理器或网络处理器子系统)及安全处理子系统110(有时被称为安全处理器或安全处理器子系统)。尽管有时被称为处理器,但在许多实施方案中,网络处理器100及安全处理器110中的每一者可包括多个子或协处理器,以及功能专用硬件电路,例如FPGA或ASIC,有时被称为网络处理引擎或安全处理引擎。如所展示,来自输入(例如接收端口)的传入数据分组可由以下项来处理:网络处理器100,其具有包含串行化器/解串行化器/以太网MAC/端口块的高吞吐量网络组件;可编程分组解析器或过滤器,其包含能够在网络堆栈的任何层(例如,层2、层3、层4等)处对分组首部或首部部分进行分类的解析器;可编程分组查找引擎,其用以实施层2及层3特征,例如IP分片及组装、网络地址转译、存取控制列表等;可编程分组编辑器,其用于分组修改(例如修改包含类型
‑
长度
‑
值(TLV)编码首部的首部字段、修改地址或序列号或以其它方式修改分组);大规模有状态流及ACL处理(具有用于同时管理或维持本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于高吞吐量网络及安全处理的系统,其包括:网络处理子系统,其包括配置在单个管线中的多个互连网络处理引擎;以及安全处理子系统,其耦合到所述网络处理子系统且在所述网络处理子系统外部,所述安全处理子系统包括多个互连安全处理引擎。2.根据权利要求1所述的系统,其中所述网络处理子系统包括第一时钟,且其中所述安全处理子系统包括第二时钟。3.根据权利要求1所述的系统,其中所述网络处理子系统在第一时钟速率下操作,且其中所述安全处理子系统在第二时钟速率下操作。4.根据权利要求1所述的系统,其进一步包括由所述网络处理子系统的至少一个网络处理引擎及所述安全处理子系统的至少一个安全处理引擎共享的存储器总线。5.根据权利要求1所述的系统,其中所述网络处理子系统及安全处理子系统经由以太网接口耦合。6.根据权利要求5所述的系统,其进一步包括管理所述网络处理子系统与安全处理子系统之间的分组流的以太网交换机。7.根据权利要求1所述的系统,其进一步包括耦合到所述网络处理子系统及所述安全处理子系统中的至少一者的组构互连接口。8.根据权利要求1所述的系统,其进一步包括支撑所述网络处理子系统及所述安全处理子系统的单个卡。9.根据权利要求1所述的系统,其进一步包括第二网络处理子系统、第二安全处理子系统及网络交换机,所述网络交换机耦合到所述第一网络处理子系统、所述第一安全处理子系统、所述第二网络处理子系统及所述第二安全处理子系统中的每一者,所述网络交换机经配置以在所述第一安全处理子系统与所述第二安全处理子系统之间对所述第一网络处理子系统及所述第二网络处理子系统中的每一者的安全...
【专利技术属性】
技术研发人员:R,
申请(专利权)人:安华高科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。