写点什么

谷歌开源 PSP 安全协议:Offload 友好,节省约 0.5% 处理能力

  • 2022-05-20
  • 本文字数:1033 字

    阅读完需:约 3 分钟

谷歌开源 PSP 安全协议:Offload 友好,节省约 0.5% 处理能力

近日,谷歌宣布将用于加密传输的 PSP 安全协议开源。这是一种类似于 TLS 的协议,独立于传输,支持每个连接的安全性,并且对 Offload 友好。

 

据悉,Google 十多年前就对数据中心之间的流量进行加密。在随后的发展中,几乎所有 Google 传输的数据都进行了加密。虽然提供了隐私和安全优势,但对于 Google 的消耗也不小:加解密 RPC 需要大约 0.7% 的 Google 处理能力以及相应的内存容量。

 

虽然安全传输层协议 (TLS) 可以满足 Google 的安全要求,但由于内核中的连接状态和硬件中的卸载状态之间的紧密耦合,所以 TLS 不是一个 Offload 友好的协议。另外,TLS 也不支持非 TCP 传输协议,例如 UDP。 而 IPsec 协议虽然可以卸载到硬件,但也需要大规模的投入。

 

因此,谷歌开发了 PSP,一种类似于 TLS 的协议,独立于传输,支持每个连接的安全性,并且对 Offload 友好。

 

PSP 旨在满足大规模数据中心流量的要求,不强制要求特定的密钥交换协议,并且为数据包格式和加密算法提供很少的选择。它通过允许每个第 4 层连接(例如 TCP 连接)使用加密密钥来实现每个连接的安全性。


PSP 协议还支持无状态操作,并且可以在使用安全参数索引 (SPI) 和设备上的主密钥接收数据包。与维护大型设备表的典型状态加密技术相比,可以避免硬件状态爆炸。

 

PSP 使用了带有自定义标头和尾标的用户数据报协议 (UDP) 封装。一个 PSP 数据包以原始 IP 头开始,之后是预先指定的目标端口上的 UDP 头,然后是包含了 PSP 信息的 PSP 头,再者是原始 TCP/UDP 数据包(包括头和有效负载),并以包含完整性校验和值 (ICV) 的 PSP 预告片。

 

基于用户提供的称为 Crypt offset 的偏移量,可以对第 4 层数据包(报头和负载)进行加密或验证。例如,该字段可用于在传输过程中对 TCP 报头的一部分进行认证但不加密,同时保持报文的其余部分加密,以便在必要时支持网络中的报文采样和检测。

 

根据介绍,PSP 与零拷贝技术结合效益倍增。例如,TCP 零拷贝发送接收的影响受到软件加密有效载荷的额外读取和写入的限制。由于 PSP 消除了这些额外负载和存储,RPC 处理就不再需要接触网络堆栈中的有效负载。“对于 1MB 的大型 RPC,我们看到 PSP 和零拷贝相结合的速度提高了 3 倍。”


根据官方消息,Google 已将 PSP 修补到自己的生产 Linux 内核、 Andromeda 网络虚拟化堆栈和 Snap 网络系统中。据悉,PSP 加密卸载可节省 Google 约 0.5% 的处理能力。

 

查看更多:

https://cloud.google.com/blog/products/identity-security/announcing-psp-security-protocol-is-now-open-source

2022-05-20 16:472498

评论

发布
暂无评论
发现更多内容

假如问:你是怎样优化Vue项目的,该怎么回答

bb_xiaxia1998

Vue

手写JS函数的call、apply、bind

helloworld1024fd

JavaScript

【一Go到底】第二十六天---数组入门

指剑

Go golang 10月月更

React组件复用的技巧

夏天的味道123

React

Vue响应式依赖收集原理分析-vue高级必备

yyds2026

Vue

这次彻底读透 Redis

说故事的五公子

缓存 redis 底层原理

C++基础IO流

可口也可樂

c++ IO流 10月月更

看完这份SpringBoot神级文档,面试真的可以为所欲为

程序知音

Java spring JAVA开发 springboot 后端技术

一文读懂 DevSecOps:工作原理、优势和实现

SEAL安全

DevOps 云原生 敏捷开发 DevSecOps 企业号十月 PK 榜

今天终于知道 Redis 为什么要用跳跃表了

C++后台开发

redis 中间件 后端开发 跳表 C++开发

机器学习服务文本识别能力演进,大幅提升识别准确率

HarmonyOS SDK

机器学习

React组件设计模式-纯组件,函数组件,高阶组件

xiaofeng

React

React源码解读之更新的创建

flyzz177

React

前端常见手写面试题(持续更新中)

helloworld1024fd

JavaScript

龙蜥对Intel下一代芯片SPR的支持及Anolis 23 产品规划介绍 | 第 50 期

OpenAnolis小助手

开源 直播 intel 龙蜥大讲堂 月会

为什么普通用户也需要认识华为云CDN?

清欢科技

为什么企业们更偏好使用华为云CDN?

清欢科技

前端展示中实现批量标签动态生成

葡萄城技术团队

批量 BI 报表 商业智能 打印

react hook 源码完全解读

flyzz177

React

C++模板进阶

可口也可樂

c++ 模板 10月月更

C++栈/队列/堆使用及模拟

可口也可樂

c++ 数据结构 10月月更

弹性伸缩,轻松上云-华为云弹性云服务器 ECS

清欢科技

云安全企业有哪些?哪些比较知名?

行云管家

云计算 网络安全 云安全

React组件复用的发展史

夏天的味道123

React

和至少为 K 的最短子数组

掘金安东尼

算法 10月月更

欢迎光临2022年的汽车穿梭餐厅

澳鹏Appen

人工智能 语音识别 数据标注 语音标注 语音数据

写过vue自定义指令吗,原理是什么?

bb_xiaxia1998

Vue

整个汽车产业链,都能“挤上”这朵云?

白洞计划

怎样徒手写一个React

helloworld1024fd

JavaScript

如何判断等保测评机构有资质?符合要求?

行云管家

等保 等级保护 等保测评 等保测评机构

React组件通信

xiaofeng

React

谷歌开源 PSP 安全协议:Offload 友好,节省约 0.5% 处理能力_开源_褚杏娟_InfoQ精选文章