随着信息技术的发展，对网络安全的需求进一步提高的同时，传统的安全处理结构也面临着越来越多的挑战。

　　为了保证数据在公共网络中安全传输，避免受到非法的窃听或篡改，IPsec VPN技术获得了极为广泛的应用。通过使用高强度的加密和认证技术，IPsec在通信端点之间建立起可靠的安全连接，使所有数据都以密文形态流经公共网络。

　　在传统的安全处理结构中，主CPU负责建立和维护安全连接，并及时进行密钥的重新协商以保证通信安全不受到损害。在安全连接的有效期内，由主CPU判断每个数据段是否需要进行安全处理，根据相应的选择项找到对应的SA，然后再使用SA中的密钥等信息对数据进行加密或解密等处理，并进行适当的封装。在整个过程中，只有数据报的加密（或解密）运算以及报文封装处理可以使用传统的安全处理器进行加速。

　　可见，网络安全协议的实现引入了很大运算量，即使有专门的安全处理器承担加密（和解密）运算以及报文封装处理，需要由主CPU完成的处理仍然比较繁重。给系统设计带来了极大的挑战：一方面，随着各种网络应用的不断发展，主CPU需要承担的业务类型也日渐繁复，对运算量的需求远超过CPU本身计算能力的提高；另一方面，实际应用对数据处理也有更进一步的要求，需要以更低的功耗和价格实现更高的性能、更丰富的特性，并要求更短的处理延时。

　　此外，由于网络安全协议及其实现都具有相当高的复杂度，实际的软硬件集成和开发对技术能力都有较高要求，而且需要比较长的研发周期。同时，由于是基于直观的BITS（Bump-in-the-stack）结构，很难实现安全处理的模块化，这也使产品的上市时间（Time-to-market）受到了较大的限制，不能及时对市场需求做出响应。

　　特别是最近几年来，网络存储取得了长足的发展，以IP SAN/iSCSI为代表、基于IP基础架构的网络存储成为新热点，带来了巨大的市场机遇。而存储应用的特殊性也使系统对网络安全有了更明确和更高的要求，标准文档（RFC3723）中就明确指出，iSCSI、FCIP及iFCP等系统必须（must）提供IPsec ESP功能。与此同时，传统的处理结构面对网络存储系统对网络安全的各种需求时却显得越来越力不从心。

　　Hifn（Nasdaq: HIFN）凭借多年来深厚的技术积累和对市场需求的敏锐感知，率先研发并推出了具有革命性意义的HIPP III系列安全处理器。基于Hifn独有的FlowThroughTM架构，HIPP III系列安全处理器以BITW（Bump-in-the-wire）结构实现了包括密钥协商阶段消息交换在内的全部安全协议处理，将主CPU从复杂而繁重的安全处理中彻底解放了出来。使用HIPP III系列安全处理器后，用户只需要进行最简单的连接参数配置，系统集成变得十分简易，大大缩短了产品的上市时间。同时，也使客户在没有深入理解安全协议全部细节的情形下，也可实现对系统的严密保护。

　　目前，Hifn仍然是市场上唯一能够提供全面FlowThroughTM解决方案的厂商。随着第二代HIPP III系列安全处理器的发布，Hifn实现了以2.5W典型功耗提供4Gb/s的安全处理能力，全面支持IPv4、IPv6网络中的IPsec、MACsec、SRTP及IPComp等协议，支持DES/3DES、AES-CBC/CTR/CCM/GCM、MD5、SHA-1/256、AES-XCBC-MAC、Diffie-Hellmann、RSA、DSA等各种主流加密、认证及公钥算法，并集成了已经成为工业标准的Hifn LZS数据压缩算法，进一步提高了系统和网络的性能。

　　作者：杨洋，汉帆（杭州）信息技术有限公司现场应用工程师。