計算機網(wǎng)絡從20世紀60年代出現(xiàn)至今已經(jīng)過了整整半個世紀，其使用目的從軍事、科研轉變?yōu)閵蕵?、商務，應用從簡單的郵件、BBS發(fā)展到搜索、即時消息、Web2.0、P2P、電子支付等等，參與網(wǎng)絡的終端與網(wǎng)民的數(shù)量快速增長，這些變化促使網(wǎng)絡信息高速公路不斷以增加帶寬容量來滿足發(fā)展的需要。特別是進入21世紀后，云計算、三網(wǎng)融合、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興技術再一次推動了網(wǎng)絡的飛速發(fā)展。根據(jù)中國互聯(lián)網(wǎng)信息中心（CNNIC）發(fā)布的***數(shù)據(jù)顯示，截止到2010年6月底我國網(wǎng)民已經(jīng)達到4.2億，其中手機網(wǎng)民更超過了2.77億，中國互聯(lián)網(wǎng)國際出口帶寬達到了100萬Mbps。在如今的網(wǎng)絡建設中，10G的網(wǎng)絡數(shù)據(jù)流量已經(jīng)屢見不鮮，而根據(jù)“吉爾德定律”，主干網(wǎng)帶寬還將繼續(xù)增加。

面對如此復雜的應用和龐大的用戶群體，如何解決高速網(wǎng)絡流量環(huán)境下的信息安全問題，特別是應用層安全，成為眾多信息安全企業(yè)亟待解決的問題。其實，自從信息安全產(chǎn)業(yè)誕生以來，對CPU高處理能力的需求就沒有停止過。為了獲得更高的處理性能，眾多企業(yè)也進行了很多嘗試?？v觀CPU技術的發(fā)展歷史可以簡單分為兩種方案：

◆提高單兵作戰(zhàn)的能力

在多核CPU出現(xiàn)之前，無論是不斷提高主頻，還是從X86到FPGA、ASIC、NP架構的轉變，其目的都是為了提高單顆CPU的處理能力。但由于散熱量高、開發(fā)難度大、開發(fā)周期長等諸多原因，上述技術的發(fā)展都不同程度受到了制約，難以滿足超高速流量下網(wǎng)絡安全產(chǎn)品對處理性能的需求。

◆發(fā)揮協(xié)同作戰(zhàn)的優(yōu)勢

一個人的力量畢竟是有限的。由于散熱、時鐘頻率、制造工藝等原因，單顆CPU主頻的提升逐漸放緩（4GHz已經(jīng)接近當前制造工藝的極限），而FPGA、AISC、NP等技術方案在需求變化快、要求應用層處理能力強的信息安全領域也顯得捉襟見肘。因此在尋求提高單顆CPU處理能力的同時，技術人員也一直沒有停止過對MP（Multi-Procesor）多處理器的研究。

SMP（Symmetric Multi-Processing）對稱處理結構是早期的一種方式，即在一塊主板上匯集一組處理器（多CPU），各CPU之間共享內存子系統(tǒng)以及總線結構，例如：我們常說的雙至強，也就是兩路CPU，是對稱處理器系統(tǒng)中最常見的一種。這種方式對主板和CPU的要求比較高，而且隨著CPU數(shù)目的增多，需要占用更大的主板面積、會帶來更大的功耗。

CMP（Chip Multiprocessors）即單芯片多處理器，也就是我們常說的多核。其核心思想是將大規(guī)模并行處理器中的SMP對稱多處理器集成到同一芯片內，各個處理器并行執(zhí)行不同的進程。由于CMP結構被劃分成多個微處理器核來設計，每個核都比較簡單，有利于優(yōu)化設計，解決了主頻提升帶來的高溫、高功耗的問題，但同時整個芯片提供了更高的處理性能，因此更有發(fā)展前途。

多核市場目前由兩大陣營組成：Intel和AMD公司組成的X86陣營；NetLogic、Cavium、Telira、ARM、IBM等公司組成的MIPS陣型。X86陣型采用CISC（Complex Instruction Set Computing）復雜指令集，按順序串行執(zhí)行程序命令，控制簡單，更適合PC及中、低端服務器使用。而MIPS陣營采用的是RISC（Reduced Instruction Set Computing）精簡指令集，其相對于CISC指令來說格式統(tǒng)一，種類和尋找方式較少，并采用了“超標量和超流水線結構”，大大提高了處理速度，適用于網(wǎng)絡通信、信息安全、高端服務器等領域。

為了進一步提升在信息安全領域的競爭力，MIPS架構陣營在多核心的基礎上提出了一個新的概念SoC（System on Chip）,即片上系統(tǒng)，將網(wǎng)絡連接、負責均衡、加/解密、應用加速等功能集成在一個芯片上。MIPS多核架構的發(fā)展為開發(fā)適應超高速網(wǎng)絡流量的網(wǎng)絡安全產(chǎn)品提供了基礎。

目前在多核CPU的使用上有兩種思路：一種是Linux系統(tǒng)的SMP；還有一種是NP的控制與數(shù)據(jù)分離的思路。SMP方式開發(fā)簡單、快捷，可以充分復用以前的軟件，但很難做到智能地調度各個CPU上的資源。而網(wǎng)絡安全產(chǎn)品對數(shù)據(jù)處理能力要求很高，不僅要求報文能夠得到及時處理，還要求能夠提供比較豐富的安全業(yè)務，如深度檢測、報文過濾等，所以有必要把數(shù)據(jù)處理和業(yè)務處理分離，由單獨的CPU并行處理，整個系統(tǒng)的性能將有很大的提升。聯(lián)想網(wǎng)御VSP平臺就是基于NP控制與數(shù)據(jù)分離的思想進行開發(fā)的。我們把軟件系統(tǒng)，抽象成四個子系統(tǒng)：控制平面、數(shù)據(jù)平面、系統(tǒng)服務平面、驅動與BSP。

圖1 VSP軟件平臺邏輯結構

為了充分調用多核心協(xié)同工作，聯(lián)想網(wǎng)御提出了Windrunner矩陣式并行處理算法，對多CPU內核進行矩陣式管理。例如：聯(lián)想網(wǎng)御的***端產(chǎn)品可以虛擬出多達64個vCPU:

圖2 Windrunner矩陣式并行處理算法示意圖

采用“8×8矩陣式并行處理系統(tǒng)”，將64顆vCPU排列為矩陣，從并行計算和流水線2個維度進行并行處理。所有的數(shù)據(jù)將被分配到8條流水線進行處理。每條流水線都具備8個環(huán)節(jié)，每個環(huán)節(jié)都有一個vCPU進行數(shù)據(jù)處理。“8×8矩陣式并行處理系統(tǒng)”不僅僅是多顆并行處理數(shù)據(jù)，還進一步引用流水線技術使得數(shù)據(jù)處理比原先更高效。Windrunner vCPU調度系統(tǒng)還會依據(jù)每條流水線上vCPU的工作飽和度情況實施調度，將較為空閑的vCPU調度到其他流水線中。

【編輯推薦】

1. 聯(lián)想網(wǎng)御發(fā)現(xiàn)Adobe產(chǎn)品漏洞
2. 聯(lián)想網(wǎng)御:基于云安全的UTM系統(tǒng)
3. 消除更新恐懼癥 從細節(jié)保護企業(yè)信息安全
4. 淺談信息安全管理體系如何有效實施