专利名称:一种网络安全业务扩展系统的制作方法
技术领域:
本发明属于网络通信领域,尤其涉及一种网络安全业务扩展系统。
背景技术:
随着计算机网络技术的快速发展和广泛应用,网络安全成为影响计算机网络技术发展和应用的至关重要的问题。因此,出现了各种网络安全设备,并得到了广泛的应用。简单的安全设备仅可以实现基本的报文过滤、状态过滤等功能,复杂的安全设备融合了虚拟私有网(Virtual Private Network,VPN)、网络地址转换(Network Address Translation)等功能,通常根据网络组网的需求,在设备内部还可内嵌内容过滤、防病毒、入侵检测系统(Invasion DetectionSystem,IDS)等单元。
如图1所示,在网络信息安全技术领域,现有的业务扩展方案基于工控机平台上的PCI总线,其中中央处理器(Central Process Unit,CPU)单元是核心处理单元,由CPU芯片、内存、硬盘等组件构成,运行有各种软件。物理接口单元、VPN单元、防病毒单元、入侵检测单元等为可扩展的业务单元。物理接口单元是设备完成数据报文收发功能的接口,可以根据实际需求扩展物理接口的数量。VPN单元完成设备VPN功能的扩展。防病毒单元完成设备防病毒功能的扩展。入侵检测单元完成设备入侵检测功能的扩展。所有的业务单元和CPU单元之间的通信都共享一套PCI总线,在某一时刻,总线只能被某一业务单元占用。
物理接口单元从外部接收数据报文,通过PCI总线上交到CPU单元。如果设备仅仅被设置了VPN功能,则CPU通过PCI总线把数据报文递交给VPN单元,VPN单元对数据包进行处理,处理结束后,再通过PCI总线把数据报文递交给CPU单元。在上述过程中,至少占用了三次PCI总线。如果设备还被设置有防病毒单元、入侵检测单元等,则占用PCI总线的次数将更多。
在上述方案中,由于所有单元共享一套PCI总线,即使PCI总线工作于最高速的PCI 64bit@66MHz,也由于PCI总线本身的效率(约20%)以及共享总线的时分共享方式而导致性能的低下,按照理论计算,每块板卡所能享有的PCI带宽将不超过100Mbps。
在IDC、大型城域网、大型企业网等领域对防火墙的要求很高,既要求支持多业务的扩展,同时又必须具有很高的性能(要求达到线速),否则将因为严重的性能瓶颈而导致业务目标的无法达成,而使用现有的工控机平台业务扩展技术,这个性能瓶颈将难以解决。
发明内容
本发明的目的在于提供一种网络安全业务扩展系统,旨在解决现有技术中存在的基于工控机平台上的PCI总线实现网络安全业务扩展,多业务扩展能力差,业务性能较低的问题。
本发明是这样实现的,一种网络安全业务扩展系统,包括CPU单元,以及业务扩展单元,所述系统进一步包括安全处理单元,所述安全处理单元通过高速通信通道与所述CPU单元以及业务扩展单元连接通信。
所述高速通信通道为PCI-E、1.25Gbps串行总线、3.125Gbps串行总线或者10Gbps总线。
所述业务扩展单元为物理接口单元、VPN单元、防病毒单元或者入侵检测系统。
本发明克服了PCI总线对安全处理单元管理总线带宽的瓶颈,同时采用安全处理单元为设备新的安全处理核心,外接各类处理单元,避免了共享总线带来的扩展性能瓶颈问题,既实现了多业务的灵活扩展,同时又具有很高的业务性能。
图1是现有技术中基于工控机平台上的PCI总线实现的网络安全业务扩展系统的结构图;图2是本发明提供的网络安全业务扩展系统的结构图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图2示出了发明提供的业务扩展系统的结构,安全处理单元(SecurityProcessing Unit,SPU)处理报文过滤、状态检测过滤等基本的安全业务功能,并提供多个高速通信通道,可以是PCI-E、1.25Gbps串行总线、3.125Gbps串行总线、10Gbps总线等点到点专用总线,以实现与CPU单元以及物理接口单元、VPN单元、防病毒单元、入侵检测系统等业务扩展单元的连接和通信。申请人于2003年12月5日申请,2004年11月17日公开的,公开号为CN1547353A,发明名称为“一种高性能多业务的网络安全处理设备”中公开了一种安全处理芯片,该芯片在服务器平台的协同配合下完成主要的安全处理功能,如报文过滤、状态检测及过滤、虚拟私有网、网络地址转换、加解密功能等。在本发明中,SPU单元采用该安全处理芯片实现。
物理接口单元从外部接收数据报文,数据报文首先由SPU单元接收并进行所述处理,如果设备仅仅被设置了VPN功能,则SPU通过高速通信总线把数据报文交由VPN单元处理,VPN单元对数据报文进行处理,处理结束后,再通过高速通信总线把数据报文递交给SPU单元。在上述过程中,SPU单元可以并行与CPU单元进行通信。两者完全不需要考虑以往共享总线所导致的冲突、协商、占用等问题。如果设备还被设置了防病毒、入侵检测等功能,则SPU单元从物理接口单元接收到数据报文后,通过协调、调度防病毒单元、入侵检测系统等,实现并行的业务处理。在整个过程中,由于各个单元与SPU单元之间的互连都是高速专用总线,则通道带宽和处理性能都得到了显著提高。
在本发明中,CPU单元和SPU单元之间通过高速通信通道连接,该通道是个专用通道,并非共享通道,大大提高了通信的带宽从而提高了性能。同时,本发明将安全处理的核心从CPU单元迁移到SPU单元,CPU单元作为系统的管理控制中心,而SPU单元成为安全业务的处理核心,当SPU单元收到物理接口单元送来的接收报文后,SPU单元在处理状态检测等安全业务的同时,并由SPU单元采用专用的高速通信通道分发业务到VPN单元、防病毒单元、入侵检测系统等业务单元,相应上述业务单元处理业务完毕后,再由SPU单元送交处理完毕的报文给物理接口单元,由物理接口单元把报文发送出去。物理接口单元、VPN单元、防病毒单元、入侵检测系统等业务单元直接与SPU单元通信,与SPU单元通过高速通信通道连接。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种网络安全业务扩展系统,包括CPU单元,以及业务扩展单元,其特征在于,所述系统进一步包括安全处理单元,所述安全处理单元通过高速通信通道与所述CPU单元以及业务扩展单元连接通信。
2.如权利要求1所述的网络安全业务扩展系统,其特征在于,所述高速通信通道为PCI-E、1.25Gbps串行总线、3.125Gbps串行总线或者10Gbps总线。
3.如权利要求1所述的网络安全业务扩展系统,其特征在于,所述业务扩展单元为物理接口单元、VPN单元、防病毒单元或者入侵检测系统。
全文摘要
本发明适用于网络通信领域,提供了一种网络安全业务扩展系统,包括CPU单元,以及业务扩展单元,所述系统进一步包括安全处理单元,所述安全处理单元通过高速通信通道与所述CPU单元以及业务扩展单元连接通信。本发明克服了PCI总线对安全处理单元管理总线带宽的瓶颈,同时采用安全处理单元为设备的新的安全处理核心,外接各类处理单元,避免了共享总线带来的扩展性能瓶颈问题,既实现了多业务的灵活扩展,同时又具有很高的业务性能。
文档编号H04L12/56GK101079726SQ20061006076
公开日2007年11月28日 申请日期2006年5月25日 优先权日2006年5月25日
发明者冯国军, 邓子星, 李 浩 申请人:李 浩