|
從網銀密碼說起 先來問您一個問題,您的網銀密碼是多少位的?您可能還需要用手指數一數吧?現在越來越多的人使用網上銀行并且進行網上購物,而隨之而來的是網絡犯罪率的迅速增長。人們對于網絡安全的防范意識正在逐步提高(例如增加密碼復雜度),使得很多企業(yè)(如社交網站)對于數據安全的要求也越來越高。例如,Facebook支持HTTPS協(xié)議加密,谷歌所有的搜索都使用SSL,對所有的郵件都進行加密,并且升級為2 048 bit的密鑰。“棱鏡門”事件也使得一些敏感部門(如銀行、政府及國防)對于自身數據安全性的要求也更為嚴格。 針對目前的網絡安全需求,市場亟需高性能、具有成本效益和低功耗的安全協(xié)處理器,然而目前很少有廠商進入這一領域。飛思卡爾利用其在通信處理器領域的領導地位及30年的嵌入式安全研發(fā)投資,推出了 C29x高性能加密協(xié)處理器,其包括C291、C292和C293 三款產品,它們具有可擴展性并且引腳互相兼容。 C29x加密協(xié)處理器為數據中心大幅增加的處理數據量提供安全性和可擴展性,專為企業(yè)和數據中心的網絡基礎設施中的公鑰處理操作而優(yōu)化。 網絡數據安全的“門神” C29x內部框圖如圖1所示,其中集成了Power Architecture e500-v2核、32 bit DDR3/3L、512 KB platform SRAM、安全引擎(SEC)、安全監(jiān)測器、Flash控制器、帶熔絲安全處理器以及各種高速I/O。 
圖1 C29x內部框圖 C29x的特性主要有以下幾點:高達32k次的RSA 2 048位私鑰處理性能(C293),高達12Gbps AES-HMAC-SHA-1批量加密(系統(tǒng)吞吐量);功率低至5 W(C291);支持兩種使用模式,包括分擔公鑰事務(無需外部存儲空間,如圖2(a)所示)和安全密鑰管理模式(作為事務分擔加速器,也可以獨立工作,如圖2(b)所示)。C29x的這個特性非常重要,使得其可應用于單或多芯片PCI-E端點卡配置,或作為獨立處理器運行。每秒公鑰運轉可超過120K RSA 2 048次,是目前市場份額領導者提供的更為昂貴的PCI-E解決方案性能的3倍之多。
圖2 C29x兩種使用模式 C29x的以上安全特性還要歸功于飛思卡爾可信架構,它具有安全引導、竄改檢測功能,另有電池后備密鑰可選,通過可信引導過程可以保證代碼的完整性。安全引導的硬件狀態(tài)圖如圖3所示,從圖中紅色部分我們可以看到該安全引導的嚴密性,是否讓你感覺C29x有足球運動中“門神”的功能呢?
圖3 安全引導的硬件狀態(tài)圖 升級加密的不二之選 如今IP安全協(xié)議、SSL(現在升級為TLS)以及網絡存取控制(NAC)無所不在。都是用非對稱密鑰(公鑰)作為認證和密鑰交換,而公鑰需要依靠CPU的大量計算。美國國家標準與技術研究院(NIST)提議從RSA 1 048 bit提升至RSA 2 048 bit加密,事實上,RSA 1024 bit密鑰已經在2013年逐漸被淘汰,而RSA 2 048 bit密鑰需要4倍以上的計算能力。可擴展的安全協(xié)處理器有望針對網絡安全一系列應用發(fā)揮重要作用。飛思卡爾的C29x 系列在功耗及性能方面均具有可擴展性。C29x旨在加速 RSA(達4k密鑰大小)、Diffie Hellman及橢圓曲線加密(ECC)算法,無論應用于大的數據中心刀片或硬件安全模塊,C29x加密協(xié)處理器都實現了散熱受限設計的最低功耗。 諸如RSA、Diffie Hellman以及ECC等公鑰算法是數字簽名和密鑰交換協(xié)議的基礎,讓安全事務處理成為現實。通過加速公鑰處理速度,C29x系列器件讓網絡能夠在SSL和IPsec等需要公鑰的流量激增的情況下,更高效地擴展。根據安全事務的多少進行擴展是非常困難的,因為如果用軟件執(zhí)行公鑰匹配,會迅速耗盡常規(guī)用途處理器的處理能力。由于針對公鑰進行了優(yōu)化,C29x系列器件還可以加速AES‐HMAC‐SHA‐1批量加密任務,集成了高達12Gbps的批量加密。 之前強調的只是網絡安全性,而這只是目前網絡形勢的一大方面,另一大趨勢是數據量特別是移動數據的爆炸性增長。思科2013年發(fā)布的預測指出,未來四年全球移動數據流量將增長13倍,思科全球云端指數(2012-2017)預測,全球云端流量將以35%的年復合成長率增長。將C29x加密協(xié)處理器與飛思卡爾QorIQ T系列通信處理器(如T2080、T4240系列)一起使用,將保證大數據時代的安全性,實現“魚”和“熊掌”兼得。 |
