原创 安全处理器芯片和加速器综述

网络安全芯片市场的发展主要受下面几个因素的影响：芯片集成的趋势，安全特性的需求和网络的速度。其中芯片集成度的提高对厂商的影响最大。

芯片集成的下一动作是一个新兴的产品领域，我们称之为集成的安全处理器。这种类型的处理器集合了多个CPU、内存和I/O子系统，以及千兆加密引擎。它们还有可能包括一些加速包处理或者其它与安全相关的硬件模块，比如压缩或者内容检测。第一个类似的处理器在2006年开始量产。

因为千兆级别的安全处理器相对比较新，所以现有的大部分企业VPN/防火墙应用，或者交换机/路由器都是通过一个通用处理器结合一个加密加速器（协处理器）来实现。这些加速器芯片帮助减轻对两大主要的安全协议：IPSec和SSL的处理需求。

但是除了VPN和电子商务加密外，一些新兴的安全应用，比如入侵防御，反病毒，反垃圾邮件和应用级的防火墙等发展迅速，它们的复杂程度也带来了很大的挑战。因为这些应用必须检测所有7层的内容，所以它们很大程度上依赖于硬件加速。为了提取功能比如包头解析或者模式匹配，内容检测芯片通常会加速正则表达式（Reg-ex）的处理。为了方便软件集成，加速器厂商支持标准的正则表达式语法。同时为了简化系统集成，内容检测加速器通常有板级的产品。

我们认为Cavium在2007年的安全加速器芯片和新兴的集成安全处理器市场上处于领先地位。公司现在提供一系列的Octeon处理器和Nitrox VPN/SSL加速器，Octeon芯片集成了16个MIPS CPU，包括高速的加密、压缩和正则表达式引擎，Nitrox芯片可以同时处理IPSec和SSL协议。

其它几家厂商现在也提供集成的安全处理器。RMI（以前的Raza）提供XLR和XLS处理器，它们是Cavium Octeon的最主要竞争对手。XLR集成了8个MIPS CPU，包含有吞吐率可达10Gbps的加密引擎。对于中等设计，Freescale提供最新的MPC8572双CPU PowerQuicc芯片，它集成了多千兆加密和内容检测引擎。Intel的Tolapai已经提供样片，它是一个新的处理器，集成了x86 CPU和用来卸载IPSec和防火墙数据层处理的QuickAssist单元。两个starup也提供针对网络安全但是有别一般的处理器：Netronome继续沿着Intel的IXP28xx网络处理器在前进；而Tilera提供具有64个定制CPU的超多核处理器，吞吐率达到10Gbps。

由于在Cisco的成功，Hifn在IPSec加速芯片市场为领先者，但是由于Cavium有着众多的产品线，所以在安全加速芯片的整体市场上Hifn仍然处于落后地位。Hifn的加密芯片也支持LZS压缩，这是一个独特的功能。另一个IPSec加速厂商Safenet比Hifn和Cavium更大，能够提供更多的产品。除了系统级产品和为美国政府提供机密芯片，Safenet还提供IPSec加速器芯片，IP core以及各种各样的软件。Broadcom作为领先的有线通信厂商，完成了VPN/SSL加速器，除了继续提供加速器芯片，他们将重点放在把加密集成进入其它的产品线当中。

在新生的内容检测加速器市场，厂家通常提供外带软件的芯片和板级产品，包括正则表达式编译器。这些产品用来为入侵检测、防病毒、防垃圾邮件、网络过滤和XML应用等加速数据库的搜索。在2007年，LSI收购了市场领先者Tarari。LSI已经发布了新的低成本reg-ex加速器芯片，拓宽了Tarari技术的市场。Netlogic是搜索引擎（TCAM）的领先厂家，在2007年也发布了自己第一颗内容检测芯片。在2Q08，Netlogic推出了第一颗正则表达式加速器芯片。

译自The Linley Group A Guide to Security Processors and Accelerators