Google宣布開源offload友好協(xié)議PSP

Google 今天宣布 PSP(PSP Security Protocol 的簡寫)協(xié)議開源。該協(xié)議旨在處理數(shù)據(jù)中心規(guī)模的加密硬件 offloading，目前該協(xié)議已經(jīng)部署到 Google 的生產(chǎn)中。

為了更好地保護(hù)用戶隱私，Google 早在十多年前就對(duì)數(shù)據(jù)中心之間的流量進(jìn)行加密。在隨后的發(fā)展中，幾乎所有 Google 傳輸?shù)臄?shù)據(jù)都進(jìn)行了加密。雖然這項(xiàng)工作提供了寶貴的隱私和安全優(yōu)勢，但軟件加密付出了巨大的代價(jià)：加密和解密 RPC 需要大約 0.7% 的 Google 處理能力，以及相應(yīng)的內(nèi)存量。

這些成本促使 Google 使用 PSP(PSP Security Protocol 的簡寫)將加密 Offload 到網(wǎng)絡(luò)接口卡(NIC)上。所謂的 Offload 就是將本來該操作系統(tǒng)進(jìn)行的一些數(shù)據(jù)包處理(如 TCP 分段、IP分片、重組、checksum、TCP協(xié)議處理等)放到網(wǎng)卡硬件中去做， 降低系統(tǒng) CPU 消耗的同時(shí)，提高處理的性能。

鑒于 TLS 不夠友好，缺乏對(duì) UDP 的支持，同時(shí)在 IPsec 上也存在一些缺陷，因此 Google 自主研發(fā)了自己的 Offload 友好協(xié)議。PSP 作為他們的解決方案被描述為一種類似 TLS 的、獨(dú)立于傳輸?shù)膮f(xié)議，用于每個(gè)連接的安全性和 Offload 友好。

對(duì)于 PSP，Google Cloud 團(tuán)隊(duì)的 Amin Vahdat 解釋道

PSP 旨在滿足大規(guī)模數(shù)據(jù)中心流量的要求。它不強(qiáng)制要求特定的密鑰交換協(xié)議，并且為數(shù)據(jù)包格式和加密算法提供了很少的選擇。它通過允許每個(gè)第 4 層連接(例如 TCP 連接)使用加密密鑰來實(shí)現(xiàn)每個(gè)連接的安全性。

它支持無狀態(tài)操作，因?yàn)榧用軤顟B(tài)可以在傳輸數(shù)據(jù)包時(shí)通過數(shù)據(jù)包描述符傳遞給設(shè)備，并且可以在使用安全參數(shù)索引 (SPI) 和設(shè)備上的主密鑰接收數(shù)據(jù)包。這使我們能夠在硬件中保持最小狀態(tài)，與維護(hù)大型設(shè)備表的典型狀態(tài)加密技術(shù)相比，避免了硬件狀態(tài)爆炸。

PSP 使用帶有自定義標(biāo)頭和尾標(biāo)的用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 封裝。一個(gè) PSP 數(shù)據(jù)包以原始 IP 頭開始，然后是預(yù)先指定的目標(biāo)端口上的 UDP 頭，然后是包含 PSP 信息的 PSP 頭，然后是原始 TCP/UDP 數(shù)據(jù)包(包括頭和有效負(fù)載)，并以包含完整性校驗(yàn)和值 (ICV) 的 PSP 預(yù)告片。

第 4 層數(shù)據(jù)包(標(biāo)頭和有效負(fù)載)可以根據(jù)用戶提供的稱為 Crypt Offset 的偏移量進(jìn)行加密或驗(yàn)證。例如，此字段可用于保留部分 TCP 標(biāo)頭在傳輸過程中經(jīng)過身份驗(yàn)證但未加密，同時(shí)保持?jǐn)?shù)據(jù)包的其余部分加密以支持網(wǎng)絡(luò)中的數(shù)據(jù)包采樣和檢查(如有必要)。

Google 將 PSP 修補(bǔ)到他們的生產(chǎn) Linux 內(nèi)核、他們的 Andromeda 網(wǎng)絡(luò)虛擬化堆棧和他們的 Snap 網(wǎng)絡(luò)系統(tǒng)中。據(jù)報(bào)道，PSP 加密卸載可節(jié)省約 0.5% 的 Google 整體處理能力。今天，他們將 PSP 安全協(xié)議開源，以鼓勵(lì)其進(jìn)一步采用。他們已經(jīng)發(fā)布了他們的架構(gòu)規(guī)范、參考軟件實(shí)現(xiàn)和一套測試用例。