Google开源offload友好协议PSP，目前已正式部署到生产中

整理|于轩责问篇|张红月

展出|csdn(id:csdnnews ) )。

5月20日，谷歌公布了PSP(PSPsecurityprotocol的缩写)协议的开源。 该协议旨在处理数据中心范围的加密硬件关闭装载，目前已部署在谷歌生产环境中。

图片来源：谷歌云官网截图

为了保护用户隐私，谷歌大约在10年前加密了数据中心之间的通信。 从那以后，谷歌传输的大部分数据都是加密的。

这项工作提供了宝贵的隐私和安全优势，但加密软件需要巨大的成本。 RPC的加密和解密需要谷歌约0.7%的处理能力和相应的内存量。

由于这些成本，谷歌将使用PSP将offload加密到网络接口卡( NIC )。 另外一方面，offload通过将本来由该OS进行数据包处理、例如TCP分段、IP分片、重组、checksum、TCP协议处理等放入网卡的硬件中进行，降低了系统CPU的消耗

由于TLS对offload不友好，缺乏UDP支持，也面临IPsec的缺点，谷歌工程师开始设计自己的offload友好协议。 PSP被描述为独立于传输的协议，如TLS，用于每个连接的安全性和offload友好性。

关于PSP，Google Cloud的Amin Vahdat作了如下说明。

PSP是专门为满足大规模数据中心流量的需要而设计的。 不需要使用特定的密钥交换协议，数据包格式和加密算法有很少的选择。 通过允许每个第4层连接(如TCP连接)的加密密钥为每个连接提供安全性。 支持无状态操作。 这是因为在传输包时，加密状态通过包描述符传递到设备，并在接收包时通过安全参数链接( SPI )和设备上的主密钥派生。 与维护大型设备上的表的典型有状态加密技术相比，这可以在硬件中保持最低状态，并避免硬件状态的爆炸。

PSP封装在用户数据协议( UDP )中，该协议包括自定义页眉和尾部。 PSP分组以原始IP报头开始，并且最后是包括目的地端口的UDP报头、包括PSP信息的PSP报头、原始TCP/UDP分组(包括报头和净荷)、以及完整性校验和值( ICV )的PSP 第4层数据包(报头和有效载荷)可以根据用户提供的称为Crypt Offset的偏移进行加密或验证。 例如，为了支持网络中数据包的采样和检测(如有必要)，此字段可用于在传输过程中验证并避免加密数据包的其馀部分。

谷歌已将PSP修补到其Linux内核、Andromeda网络虚拟化堆栈和Snap网络系统。 据报道，PSP加密offload可以节省谷歌约0.5%的整体处理能力。 目前，谷歌正在开放PSP安全协议，鼓励进一步采用。 他们发布了PSP体系结构规范、参考软件实现和一系列测试用例。 有关PSP开源项目的更多信息，请参见Google Cloud博客或github ( https://github.com/Google/PSP )。

参考链接：

3359 blog.csdn.net/u 012247418/article/details/117715650

3359 cloud.Google.com/blog/products/identity-security/announcing-PSP-security-protocol-is-now-open-on

33559 www.phoronix.com/scan.PHP page=news _ itempx=Google-PSP-security-protocol

完成一亿名技术人员

• 上一篇：ps3能用psv玩吗，为什么不把ps3游戏移植到psv呢
• 下一篇：雪碧说大赛：龙王，15年名单中最大的恶魔之一，战术堡垒，第一红伤。