Google geus ngumumkeun bubuka spésifikasi sarta palaksanaan rujukan tina PSP (PSP Security Protocol), dipaké pikeun encrypt lalulintas antara puseur data. Protokol ngagunakeun arsitektur enkapsulasi lalu lintas anu sami sareng IPsec ESP (Encapsulating Security Payloads) dina IP, nyayogikeun enkripsi, kontrol integritas kriptografi sareng auténtikasi sumber. Kodeu palaksanaan PSP ditulis dina C sarta disebarkeun dina lisénsi Apache 2.0.
Fitur PSP nyaéta optimasi protokol pikeun nyepetkeun itungan sareng ngirangan beban dina prosésor sentral ku cara mindahkeun operasi énkripsi sareng dekripsi ka sisi kartu jaringan (offload). Akselerasi hardware merlukeun kartu jaringan PSP-cocog husus. Pikeun sistem sareng kartu jaringan anu henteu ngadukung PSP, diajukeun palaksanaan software SoftPSP.
Protokol UDP dipaké salaku angkutan pikeun mindahkeun data. Hiji pakét PSP dimimitian ku hiji lulugu IP, dituturkeun ku lulugu UDP, lajeng lulugu PSP sorangan kalawan énkripsi sarta informasi auténtikasi. Salajengna, eusi pakét TCP/UDP aslina ditambahkeun, ditungtungan make blok PSP final kalawan checksum pikeun mastikeun integritas. The PSP lulugu, kitu ogé lulugu jeung data tina pakét encapsulated, salawasna dioténtikasi pikeun mastikeun identitas pakét. Data tina pakét encapsulated bisa énkripsi, bari kasebut nyaéta dimungkinkeun pikeun selektif nerapkeun enkripsi bari ninggalkeun bagian tina lulugu TCP dina jelas (bari ngajaga kontrol kaaslian), Contona, nyadiakeun kamampuhan pikeun mariksa pakét dina alat jaringan transit.
PSP teu dihijikeun ka sagala protokol bursa konci husus, nawarkeun sababaraha pilihan format pakét tur ngarojong pamakéan algoritma cryptographic béda. Contona, rojongan disadiakeun pikeun algoritma AES-GCM pikeun enkripsi sarta auténtikasi (auténtikasi) jeung AES-GMAC pikeun auténtikasi tanpa enkripsi data sabenerna, contona lamun data teu berharga, tapi anjeun kudu mastikeun yén éta teu boga. geus tampered kalawan salila pangiriman sarta yén éta téh bener salah sahiji anu asalna dikirim.
Teu kawas protokol VPN has, PSP migunakeun enkripsi dina tingkat sambungan jaringan individu, sarta teu sakabéh saluran komunikasi, i.e. PSP ngagunakeun konci enkripsi misah pikeun sambungan UDP tur TCP tunneled béda. Pendekatan ieu ngamungkinkeun pikeun ngahontal isolasi lalu lintas anu langkung ketat tina aplikasi sareng prosesor anu béda, anu penting nalika aplikasi sareng jasa pangguna anu béda dijalankeun dina server anu sami.
Google ngagunakeun protokol PSP duanana pikeun ngajaga komunikasi internal sorangan jeung ngajaga lalulintas klien Google Cloud. Protokol ieu mimitina dirancang pikeun dianggo sacara efektif dina infrastruktur tingkat Google sareng kedah nyayogikeun akselerasi hardware enkripsi ku ayana jutaan sambungan jaringan aktip sareng ngadegkeun ratusan rébu sambungan énggal per detik.
Dua modeu operasi dirojong: "stateful" jeung "stateless". Dina mode "stateless", konci enkripsi dikirimkeun ka kartu jaringan dina deskriptor pakét, sareng pikeun dekripsi aranjeunna sasari tina widang SPI (Indéks Parameter Kaamanan) anu aya dina pakét nganggo konci master (AES 256-bit, disimpen di mémori tina kartu jaringan sarta diganti unggal 24 jam), nu ngidinan Anjeun pikeun ngahemat memori kartu jaringan sarta ngaleutikan informasi ngeunaan kaayaan sambungan énkripsi disimpen di sisi alat. Dina modeu "stateful", kenop pikeun tiap sambungan disimpen dina kartu jaringan dina tabel husus, sarupa jeung kumaha akselerasi hardware dilaksanakeun di IPsec.
PSP nyayogikeun kombinasi unik tina kamampuan protokol TLS sareng IPsec / VPN. TLS cocog Google dina hal kaamanan per-konéksi, tapi teu cocog alatan kurangna kalenturan pikeun akselerasi hardware jeung kurangna rojongan UDP. IPsec nyadiakeun kamerdikaan protokol jeung akselerasi hardware dirojong ogé, tapi teu ngarojong ngariung konci pikeun sambungan individu, dirancang pikeun ukur sajumlah leutik torowongan dijieun, sarta miboga masalah skala akselerasi hardware alatan nyimpen kaayaan enkripsi pinuh dina tabel ayana dina mémori. tina kartu jaringan (contona, 10 GB memori diperlukeun pikeun nanganan 5 juta sambungan).
Dina kasus PSP, informasi ngeunaan kaayaan enkripsi (konci, vektor initialization, angka runtuyan, jeung sajabana) bisa dikirimkeun dina descriptor pakét TX atawa dina bentuk pointer ka memori sistem host, tanpa occupying memori kartu jaringan. Numutkeun Google, sakitar 0.7% tina kakuatan komputasi sareng jumlah mémori anu ageung sateuacana dianggo pikeun énkripsi lalu lintas RPC dina infrastruktur perusahaan. Bubuka PSP ngaliwatan pamakéan akselerasi hardware ngamungkinkeun pikeun ngurangan angka ieu 0.2%.
sumber: opennet.ru