RSP S20密码卡应用之HTTPS硬件加速

HTTPS硬件加速背景概述

在数字化的网路时代，HTTPS 的性能提升、私钥安全等内容一直是各大云厂商关注的热点话题，大部分加速方案以 Intel、Cavium、Freescale 的 PCIE 加密卡方案为主，沐创RSP S20安全芯片为HTTPS 硬件加速方案带来新的思路，并且在TLS加速、私钥安全和虚拟化方面都有亮眼表现。

RSP S20芯片简介

RSP S20是沐创推出的全新一代高性能密码安全芯片，可广泛应用于高速数据加解密、大容量数据安全存储、数据完整性/机密性保护、高速签名验签、IPSEC/SSL 硬件加速等领域。当前已在国内大型电商平台、大型互联网金融平台上线应用，关键指标亮眼，市场反馈积极。

合规性

• 芯片满足国密安全芯片二级认证
• 密码卡满足国密安全模块二级认证

算法性能

• SM3：25 Gbps
• SM4：25 Gbps
• SM2 签名：30 万次/秒
• RSA-2048 签名：4万次/秒

SDF密钥管理

• RSA 密钥数量：8192 对
• SM2 密钥数量：8192 对
• 对称密钥数量：32768 个
• 会话密钥数量：32768 个

HTTPS硬件加速

• RSA-2K：4 万次/秒
• SM2-SM3-SM4：4 万次/秒
• ECDHE-ECDSA: 4 万次/秒
• 三种套件同时建链性能 10万次/秒

IPSEC硬件加速

• SM4-CBC-HMAC-SM3：12 Gbps
• AES-256-CBC-HMAC-SHA256：7 Gbps

TLS加速

什么是TLS加速？

其中密钥交换阶段涉及大量的公钥运算，CPU 密集型运算会消耗非常多的系统资源，这部分也是硬件加速的关键，选择合适的加速方案会给系统设计带来极大的增益效果。

TLS加速模型

TLS加速性能指标实测环境

硬件资源

• CPU: Intel Xeon 8269CY；
• 2.50 GHz；
• 26C/52T；

软件资源

• Centos-7.9;
• kernel-3.10.0-27.el7.x86_64; Nginx-1.16.1;
• OpenSSL-1.1.1k；

为了降低 CPU 占用率，除了选用合适的硬件加速设备，软件模型上也做了相应的优化：

TLS加速性能解析

RSP S20 支持三种资源独立的公钥算法引擎，分别为 RSA-2048、SM2、ECC(nist-p256)，选取三种套件中性能最低的算法性能指标，其中 RSA-2048 签名性能为4.4万次/秒，SM2 解密性能为6万次/秒，ECDH 性能为10万次/秒，这几种算法性能也是三种套件理论上分别可以达到的硬件加速极限性能。

使用 OpenSSL 1.1.1k speed 工具对不同公钥算法的性能进行测试，结果如下：

实测RSA-2K 套件握手性能，启用1个 work_process 时硬件性能为4700次/秒，8个work_process时接近3万次/秒，极限性能可以接近4.4万次/秒。

背景概述

除了通过硬件提升性能外，私钥的安全问题也一直是各大厂商寻求平衡的重要内容，目前应用较多的是 Intel KPT(Key Protection Technology) 方案，KPT 是 Intel 平台的安全技术之一，结合了 Intel QAT 和 Intel PTT 两大利器，实现对私钥的安全保护。

RSP S20保护机制

和KPT 不同，为了平衡云加速场景中的高并发与高性能，RSP S20 采用轻量级的保护策略，将用户私钥等安全密钥通过安全芯片内部的密钥保护密钥进行加密，服务器端出现的敏感参数均为密文形式，在应用时安全芯片内部会先使用密钥保护密钥进行解密，然后完成后续密码学运算，整体过程如下：

虚拟化

论虚拟化的重要性

在云加速场景中，除了对安全性和算力提升有要求外，多租户也是重要的业务需求之一，这就要求硬件设备需要支持虚拟化特性。

对于硬件虚拟化而言， 其技术核心是通过 VMM 集中管理物理资源， 可以让每个虚拟处理器系统通过 VMM 访问实际的物理资源。因此出现了很多专用技术用于完成 VMM 对外部设备的管理， 比如 IOMMU、 VT-d、 PCIe 总线的 SR-IOV 机制等。

IOMMU

在多进程环境下，处理器使用 MMU 机制，使得每个进程都有独立的虚拟地址空间，从而各个进程运行在独立的地址空间中，互不干扰。

VT-d

Intel 的 VT-d 技术和 AMD 的 IOMMU 技术类似，使用 VT-d 技术将 PCI 总线域的物理地址转换为主机物理地址，Intel 处理器使用该机制辅助虚拟化技术对外部设备进行管理。

SR-IOV

SR-IOV 技术的主要作用是将一个物理 PCIe 设备模拟成多个虚拟设备，其中每一个虚拟设备可以与一个虚拟机绑定，从而便于不同的虚拟机访问同一个物理 PCIe 设备。

RSP S20的虚拟化特性

RSP S20 支持虚拟化特性， 最大可支持32 个VF，每个VF的算法资源物理隔离，同时加密卡可以为每个VF分配独立的ATU用于完成基于 CMDQ数据通路的业务交互。

未来·可期

在HTTPS加速场景中，RSP S20 可以做为QAT等类似国际方案的国产化替代，在此基础上增加了国密算法的支持，并配有完善的密钥管理方案、私钥保护方案以及丰富的片上接口资源，有很大的方案定制和挖掘空间。

关于沐创

沐创自成立以来，依托核心团队在可重构计算领域的深厚积累，已经形成了信息安全方向和网络控制方向的两大产品线布局。
2021年底，沐创推出业内首颗融合了安全的智能网络控制器芯片N10，现已实现量产，而本次推出的沐创N10系列智能网卡正是由该款芯片主控。
未来，沐创将沿着既定产品路线，继续稳步向前，推出更多高性能产品，为中国数字新基建献言献策、添砖加瓦。

关于尤里云科技

尤里云科技（深圳）有限公司摩尔线程授权经销商Unixcloud拥有多年的产品研发和制造经验。尤里云是摩尔线程(MooreThreads)官方授权经销商，针对人工智能发展的算力需求，专注于边缘计算领域，为行业提供满足各种AI需求的边缘计算产品和解决方案。同时尤里云开展了万兆网卡的业务，提供基于Mucse的网络控制器N10的四口和两口万兆光纤网卡。