本文公開了使用硬件加速器來管理安全通信的計算系統(tǒng)、設備和相關聯(lián)的方法。在一個實施例中，一種方法包括在硬件加速器的FPGA處經(jīng)由計算機網(wǎng)絡從對等計算設備接收消息，并檢查所接收的消息中的每一個以確定所接收的消息是否包含應用數(shù)據(jù)。該方法然后可以包括將不包含應用數(shù)據(jù)的所接收的消息的第一子集轉發(fā)到處理器，以用于進一步處理，并且根據(jù)安全協(xié)議來處理包含應用數(shù)據(jù)的消息的第二子集，而不將第二子集轉發(fā)到處理器，以減少通信橋上的帶寬的消耗。

背景技術

在計算中，硬件加速通常涉及使用硬件電路來比在通用處理器上執(zhí)行軟件更快速和有效地執(zhí)行功能。硬件加速的示例包括圖形處理單元中的比特塊轉移和針對服務器中的垃圾郵件控制的正則表達的加速。當與計算機中的中央處理單元(“CPU”)分離時，執(zhí)行這種加速的硬件設備被稱為硬件加速器。示例硬件加速器包括加密加速器、視頻處理器、3D圖形加速器、人工智能加速器、正則表達式加速器等。

硬件加速器可以實現(xiàn)為：專用集成電路(“ASIC”)，其在制造期間被定制用于期望的用途；或現(xiàn)場可編程門陣列(“FPGA”)，其可在制造之后由用戶配置。可以使用類似于用于ASIC的硬件描述語言來指定FPGA配置。FPGA通常包括邏輯塊陣列和可重新配置互連的架構，該可重新配置互連的架構允許邏輯塊像邏輯門一樣“連接在一起”。因此，用戶可以在FPGA中配置邏輯塊以執(zhí)行復雜的組合功能，或者僅僅是簡單的邏輯操作，以比在軟件中快得多的速度合成在硬件中可執(zhí)行的等效功能。

發(fā)明內(nèi)容

提供本發(fā)明內(nèi)容是為了以簡化的形式介紹概念的選擇，這些概念將在下面的具體實施方式中進一步描述。本發(fā)明內(nèi)容不旨在標識所要求保護的主題的關鍵特征或必要特征，也不旨在用于限制所要求保護的主題的范圍。

某些硬件加速實現(xiàn)涉及使用安全套接字層(“SSL”)或傳輸層安全(“TLS”)協(xié)議來保護通過硬件加速器的數(shù)據(jù)流。例如在受保護的超文本傳輸協(xié)議(“HTTPS”)通信會話期間，可以利用硬件加速器來處理發(fā)送器(例如服務器)和接收器(例如客戶端設備)之間的加密數(shù)據(jù)流，反之亦然。可以通過首先在發(fā)送器和接收器之間協(xié)商加密和其他參數(shù)/算法來建立安全通信會話。在雙方同意的情況下，在會話內(nèi)實例化連接，然后發(fā)送器和接收器可以使用相互商定的安全參數(shù)/算法對數(shù)據(jù)進行加密和解密，并在發(fā)送器和接收器之間交換受保護的數(shù)據(jù)。

用于建立安全通信信道(例如利用相關連接的會話)的協(xié)商操作可能是復雜的。示例協(xié)商操作以握手階段開始，該握手階段可以包括證書交換和壓縮方法、密碼套件協(xié)商、認證、密鑰交換等。這種復雜性可能使FPGA(或其他合適類型的可編程硬件電路)不適合支持硬件中的完整安全協(xié)議。用于實現(xiàn)會話協(xié)商的FPGA中的合成電路可能太大而不實用。因此，通常依賴于FPGA外部的加速器處理器來在安全通信信道的建立期間處理協(xié)商操作。另一方面，F(xiàn)PGA可能僅處理已建立的安全通信連接的數(shù)據(jù)傳輸?shù)墓铝⒎矫妫T如TCP/IP和對稱加密操作。

FPGA的前述限制可迫使傳入/傳出數(shù)據(jù)在應用數(shù)據(jù)處理期間通過加速器處理器以用于加密/解密或其他合適的受保護數(shù)據(jù)操作。這樣，通過FPGA和加速器處理器之間的通信橋(例如外圍組件互連快速橋或“PCIe”橋)的數(shù)據(jù)傳遞的開銷可能很高。通信橋可能成為瓶頸，因為每次需要加密/解密時，傳入/傳出數(shù)據(jù)的每個字節(jié)都通過通信橋發(fā)送。在許多應用中(例如視頻或音頻過濾、編碼或處理)、數(shù)據(jù)通常被流式傳輸、處理、然后流出。對于此類應用，使用SSL/TLS保護數(shù)據(jù)可能會在通信橋上的帶寬方面產(chǎn)生施加的開銷，從而限制了硬件加速器的數(shù)據(jù)吞吐量。

所公開的技術的若干實施例可以通過基于受保護的數(shù)據(jù)業(yè)務攜帶的數(shù)據(jù)的類型在FPGA外部的加速器處理器和FPGA中實現(xiàn)的會話處理器之間切換數(shù)據(jù)業(yè)務來解決前述困難中的至少一些。在某些實施例中，數(shù)據(jù)路由器可以實現(xiàn)在硬件加速器的FPGA中，以通過監(jiān)視從與受保護的通信信道相關聯(lián)的分組組裝的接收的TLS記錄的報頭中的值來切換數(shù)據(jù)業(yè)務。當TLS記錄報頭包含指示所接收的TLS記錄包含加密的應用數(shù)據(jù)的值(例如APPLICATION_DATA)時，數(shù)據(jù)路由器可以將所接收的TLS記錄轉移到FPGA中的會話處理器而不是加速器處理器。