▲圖2 大多數(shù)信息安全設(shè)備對(duì)內(nèi)容的分析很復(fù)雜

另一方面，是各類導(dǎo)致安全威脅的病毒、入侵行為都在利用計(jì)算機(jī)高級(jí)語(yǔ)言不斷更新以突破某種防護(hù)，是因?yàn)檫@樣的效率更高，也因此每天都會(huì)有新的威脅誕生，而這種動(dòng)態(tài)性和不確定性的存在，使得幾乎所有關(guān)注分析信息和數(shù)據(jù)內(nèi)容的信息安全設(shè)備也必須在開(kāi)放的運(yùn)算平臺(tái)上基于高級(jí)語(yǔ)言搭建的運(yùn)算系統(tǒng)來(lái)工作，是因?yàn)橹挥羞@樣構(gòu)建的安全系統(tǒng)才有靈活的升級(jí)能力，從而也才能與安全的動(dòng)態(tài)性和不確定性進(jìn)行對(duì)抗。因此，大多數(shù)關(guān)注信息內(nèi)容的信息安全產(chǎn)品(如UTM、IDS、 IPS、審計(jì)等)，必須利用高級(jí)的語(yǔ)言和開(kāi)放的硬件運(yùn)算平臺(tái)才能完成對(duì)各類信息內(nèi)容的檢索和各類安全性檢查。

所以，要滿足未來(lái)信息安全產(chǎn)品適應(yīng)當(dāng)下信息高速膨脹的發(fā)展趨勢(shì)，提升開(kāi)放平臺(tái)的硬件性能，既是必然趨勢(shì)也是滿足未來(lái)應(yīng)用需求的關(guān)鍵要素。

也就是在這樣一個(gè)開(kāi)放性平臺(tái)應(yīng)用需求的驅(qū)動(dòng)力下，多核技術(shù)應(yīng)運(yùn)而生。

超越X86 選擇多核SoC收獲與代價(jià)并重

需要說(shuō)明的是，剛才所說(shuō)的多核并不是基于X86的2核、4核這樣的CPU，而是在網(wǎng)絡(luò)、安全設(shè)備上最新使用的基于MIPS64的多核SoC(System on Chip)處理器，此類多核SoC處理器目前可支持到16核，并還在隨著安全計(jì)算需求的不斷增加而繼續(xù)提升。

相比X86、NP、ASIC硬件平臺(tái)，SoC多核平臺(tái)的最大優(yōu)勢(shì)是保留了X86平臺(tái)的高靈活性(這一點(diǎn)對(duì)于安全設(shè)備的應(yīng)用層檢測(cè)非常關(guān)鍵)，并且具備與 ASIC平臺(tái)相當(dāng)?shù)母咛幚硇阅?。同時(shí)，SoC通過(guò)增加核數(shù)，使線性提升硬件計(jì)算能力成為了可能，更重要的是功耗也隨之得到了控制(如圖3所示)。

唯一具有挑戰(zhàn)性的是，傳統(tǒng)的X86平臺(tái)屬于通用硬件平臺(tái)，具有開(kāi)發(fā)難度小的優(yōu)勢(shì)，而SoC多核平臺(tái)屬于專用硬件平臺(tái)，駕馭難度相當(dāng)高?？梢哉f(shuō)，全球范圍內(nèi)能自如駕馭多核技術(shù)的廠家不足10家，而且多為國(guó)際性技術(shù)領(lǐng)先的大廠家，國(guó)內(nèi)一直到啟明星辰2008年成功駕馭多核并發(fā)布自主研發(fā)的基于16核的萬(wàn)兆 UTM時(shí)才填補(bǔ)了這塊空白。

▲圖3 基于MIPS64的多核SoC處理器相比于傳統(tǒng)多核平臺(tái)的優(yōu)勢(shì)比較

這的確是一個(gè)痛處。因?yàn)?，?duì)于很多廠家而言，實(shí)現(xiàn)對(duì)多核系統(tǒng)真正意義上的駕馭還是一個(gè)國(guó)際性的難題，尤其是計(jì)算性能的提升，如是否能隨核數(shù)的增多而達(dá)到線性的增長(zhǎng)。這其中需要各個(gè)廠商在多核硬件的基礎(chǔ)上作大量的原創(chuàng)性設(shè)計(jì)，包括重構(gòu)操作系統(tǒng)、多核之間的業(yè)務(wù)調(diào)度、檢測(cè)效率提升和計(jì)算性能挖掘等。與此同時(shí)，一旦對(duì)多核技術(shù)駕馭不理想，如對(duì)多核運(yùn)用得不夠平滑或兼容性不夠，那么由于核數(shù)的增加會(huì)帶來(lái)軟件核心設(shè)計(jì)的不斷變化，這就意味著需要為不同核數(shù)的SoC處理器設(shè)計(jì)不同的軟件系統(tǒng)和驅(qū)動(dòng)，由此將極有可能導(dǎo)致相互不兼容，4核、8核、16核、32 核等與軟件的不兼容?？梢韵胂螅绻夹g(shù)上突破能力有限，而導(dǎo)致陷入如此尷尬境地，我們不難想象這對(duì)產(chǎn)品研發(fā)和供應(yīng)者是個(gè)多大的災(zāi)難。

駕馭多核 高效低碳 決勝信息網(wǎng)絡(luò)安全的未來(lái)

如果能成功駕馭多核，那么我們能帶給信息安全產(chǎn)業(yè)的將是一種革新。

首先，從功能上來(lái)講，SoC多核處理器不失X86 處理器的靈活性，便于快速響應(yīng)信息安全的應(yīng)用層檢測(cè)需求;其次，SoC多核處理器通過(guò)協(xié)處理器的概念將“軟件特性硬件化”處理，在設(shè)計(jì)上奠定了多核平臺(tái)的高性能基礎(chǔ)。更為重要的是，計(jì)算性能隨核數(shù)的線性增長(zhǎng)將完全突破信息安全產(chǎn)品發(fā)展的性能瓶頸，隨著核數(shù)的倍增，多核的計(jì)算性能也將成倍數(shù)增長(zhǎng)，計(jì)算能力的提升是支撐安全產(chǎn)業(yè)發(fā)展的基礎(chǔ)(如圖4所示)。

▲圖4 多核的計(jì)算性能將隨著核數(shù)的倍增而成倍增長(zhǎng)

第三，多核架構(gòu)在支撐高性能的同時(shí)，帶來(lái)的另一個(gè)卓有成效的經(jīng)濟(jì)效益就是低碳、節(jié)能。

正如全國(guó)政協(xié)副主席在2010年1月22日，以“發(fā)展低碳經(jīng)濟(jì)、共建低碳中國(guó)”為主題的低碳中國(guó)論壇首屆年會(huì)上指出的那樣：“氣候是第一生產(chǎn)力，必須從這樣的高度來(lái)認(rèn)識(shí)低碳經(jīng)濟(jì)”。對(duì)信息安全產(chǎn)品而言，減排、低功耗是實(shí)現(xiàn)“低碳經(jīng)濟(jì)”最主要的節(jié)能目標(biāo)。多核架構(gòu)的主要優(yōu)勢(shì)為一顆芯片上集成了多個(gè)核，核與核之間可以協(xié)同工作，同時(shí)在各個(gè)核周邊還集成了豐富的安全協(xié)處理硬件，如硬件加密、正則匹配和應(yīng)用加速等，以及高集成度的特點(diǎn)簡(jiǎn)化了整體硬件板卡的復(fù)雜度和能耗。同樣的應(yīng)用，對(duì)于X86通用硬件平臺(tái)，需要1顆甚至多顆高頻率CPU，同時(shí)需要南北橋芯片組、通過(guò)PCI擴(kuò)展的硬件加速板卡或應(yīng)用加速卡等，一系列配套芯片設(shè)計(jì)使能耗遠(yuǎn)遠(yuǎn)高于同檔次多核SoC專用硬件平臺(tái)。

根據(jù)硬件廠商提供的典型平臺(tái)實(shí)際功耗數(shù)據(jù)對(duì)比(如圖5所示)，多核SoC硬件平臺(tái)實(shí)際功耗僅為同檔次X86平臺(tái)的1/3左右。以萬(wàn)兆平臺(tái)為例，1臺(tái)萬(wàn)兆設(shè)備每年可節(jié)省2102.4度電，按照每消耗1度電等效于0.997千克的二氧化碳排量計(jì)算，每臺(tái)多核萬(wàn)兆設(shè)備每年可以減少2.1噸的二氧化碳排放，相當(dāng)于少砍伐1.14棵生長(zhǎng)5年的大樹(shù)。

▲圖5 SoC與X86在三種平臺(tái)上的實(shí)際功耗數(shù)據(jù)對(duì)比

在高效能、低碳排放的同時(shí)，多核架構(gòu)帶給信息安全產(chǎn)業(yè)的另一個(gè)附帶優(yōu)勢(shì)為高質(zhì)量。高度集成的SoC處理器降低了硬件平臺(tái)的整體復(fù)雜度，硬件的簡(jiǎn)化促使故障率可以降低到1%以下(X86平臺(tái)故障率通常為5%以上)，達(dá)到電信級(jí)標(biāo)準(zhǔn)。

在“安全為本、計(jì)算為王”的云計(jì)算時(shí)代，多核以高性能、低碳排放和高質(zhì)量的特點(diǎn)帶給了信息安全產(chǎn)業(yè)新的機(jī)遇，在這個(gè)大環(huán)境下，誰(shuí)駕馭了多核計(jì)算，誰(shuí)就有可能決勝安全未來(lái)。

zhangcun