基于英特尔® QuickAssist 技术的英特尔® EP80579 安全应用软件

产品概述

基于英特尔® QuickAssist 技术的英特尔® EP80579 安全应用软件包，能够加速在英特尔最新的系统芯片 (SOC) 处理器上进行的加密和数据包处理。基于英特尔® QuickAssist 技术的英特尔® EP80579 集成处理器在众多具有突破性的片上系统 (SOC) 处理器中独占鳌头。它具有出色的每瓦效能比，可在安全、通信、存储及嵌入式应用领域实现小型封装设计。

此 SOC 设计包括基于英特尔® 奔腾® M 处理器的英特尔整体架构、集成内存控制器 (IMCH)、集成 I/O 控制器 (IICH) 以及广泛的 I/O 支持，如以太网 MAC 和控制器局域网络 (CAN) 接口等。它具有 PCI Express* 和集成硬件加速器，可实现对安全和数据包的高吞吐量处理。与分立式多芯片解决方案相比，此单芯片设计将出色的性能、优异的功效、节省空间以及高成本效率等优点融为一体。

英特尔 QuickAssist 技术的创新举措包括一系列相互关联的英特尔® 平台技术以及工业标准技术，简化了英特尔® 平台上加速器的使用和部署。英特尔® EP80579 安全软件包支持在 SOC 的集成加速器上实现英特尔 QuickAssist 技术。

为了执行计算密集型任务，如批量加密、鉴权运算以及诸如入侵检测和防御或状态过滤等应用，安全应用程序通常都需要占用相当大 CPU 空间。在配合采用英特尔 QuickAssist 技术的英特尔 EP80579 集成处理器开发本产品时，系统可将安全处理卸载到集成加速器上，节省了 CPU 资源，用来为应用程序添加更多的与众不同的特色和功能。根据所使用的软件模式而异，集成加速器最多可卸载 90% 的 CPU 资源。此 SOC 及软件包不仅提供传输协议加速功能，还可加速对各种应用的加密处理，包括最普遍的对称加密、信息摘要和哈希函数、非对称加密和真随机数生成。

该 SOC 处理器与英特尔® 微处理器系列的早期产品软件兼容，使当前的 x86 应用程序的移植变得简单。使用该处理器和软件包可以开发多种安全应用程序，如 IPsec 和 SSL、VPN 网关、防火墙以及统一威胁管理 (UTM) 设备。这一平台还非常适用于无线和 WiMax 接入应用以及中小型企业与家用网络附加存储应用。

表1：基于英特尔® QuickAssist 技术的英特尔® EP80579 安全应用软件包涉及的公钥运算

Diffie-Hellman

• DH 第一阶段的模幂 (计算公共值 = gx mod p)

• DH 第二阶段 (计算共享 密钥 = g远程公共值 mod p)

RSA

• RSA 密钥生成 (公钥/私钥， 指定 p、q、n 和 e)

• RSA 加密/解密

• RSA 签名生成/验证

DSA

• DSA 参数生成 (p、g 和 y)

• RSA 签名生成/验证

表2：基于英特尔® QuickAssist 技术的英特尔® EP80579 安全应用软件包涉及的对称运算

哈希/鉴权算法

• SHA-1 和 HMAC-SHA1

• SHA224/256/384/512 和 HMAC – SHA224/256/384/512

• MD5 和 HMAC-MD5

• 高级加密标准 (AES) (AES-XCBC 模式)

Cipher 算法

• DES (ECB 和 CBC)

• 3DES (ECB、CBC 和 CTR 模式)

• AES (ECB、CBC 和 CTR 模式)

• ARC4

认证加密命令

• AES (Galois/Counter 模式 [GCM])

• AES (Counter with CBC-MAC 模式)

• AES (CCM)

软件特点

• 公钥运算 (见表1)

• 对称运算 (见表2)

• 操作系统支持

– Red Hat Enterprise Linux* 5 (2.6.18 内核)

– FreeBSD* 6.2

• IPv4 和 IPv6 支持

• 密钥生成

– Red Hat Enterprise Linux* 5 (2.6.18 内核)

– FreeBSD* 6.2

• 算法链接支持可最大限度地减少与加速器的通信

• 支持真随机数生成器 (包含在集成处理器中)

• 素数

– 素数生成与测试 (Miller-Rabin 和 Miller-Rabin-Lucas 概率素性测试算法)

– ANSI X9.80 支持以下运算规模：160、512、768、1024、1536、2048、3072、4096 位

• 大整数算法的模幂运算 (多达 4096 位)

• 多达 4 个增益控制表

• 高达 1.6 Gbps 的 IPsec 处理速度

• 对于 1024 位的密钥每秒多达 1000 IKE (一次主模式交换加一次快捷模式交换)

加速模型

本软件包提供多种架构方案，用户可选择最适合个人应用的操作模型。图 1 例举了两个软件模型的处理流程

• Lookaside 加速模型类似于当应用程序将安全处理卸载至协处理器时所使用的处理模型。英特尔® 架构核心将数据传递至集成加速器，并利用加密硬件功能，而不是将数据传递到协处理器上。此 Lookaside 加速模型可提供所有安全软件功能。

• FastPath 加速模型主要适用于 IPsec VPN 应用。协议处理以及加密加速均由集成加速器处理。FastPath 模型将 CPU 从与 IPsec 和 L3 转发支持有关的协议处理中释放出来。这不仅提供了性能的可扩展能力，而且可实现对各种大小数据包 (从数百 Mbps 到 Gbps) 的处理能力。

软件支持

本安全软件产品中包含的多个驱动程序或“垫片程序”，使开发者不仅能使用现有的开放资源框架和应用程序，同时还可从 SOC 的集成加速器获得益处。这些垫片程序提供了英特尔 QuickAssist 技术中常用的架构抽象层 (AAL)，可支持在多个基于英特尔架构的客户设备之间方便地迁移，这些设备可以包含也可以不包含英特尔 QuickAssist 技术。这些垫片程序还可展示如何使用英特尔 QuickAssist 的功能性 API 来集成其他应用程序和堆栈。

图 2 说明了这些软件垫片程序如何使接口实现以下应用：

• OpenBSD 加密框架 (OCF) 支持 Lookaside 加速 (如3DES-CBC、AES、HMAC-SHA1、随机数生成和 Diffie-Hellman 等)

• Openswan*

–与 OCF 集成

– 支持 Lookaside IPsec (KLIPS) 加速

– 支持 IKE (Pluto) 的 FastPath 加速，仅适用于 Linux* 系统

• Openswan*

–与 OCF 集成

– 支持 Lookaside IPsec (KLIPS) 加速

– 支持 IKE (Pluto) 的 FastPath 加速，仅适用于 Linux* 系统

• OpenSSL*

–与 OCF 集成

– 支持 Lookaside SSL 加速

软件包

英特尔还提供其他可支持英特尔 EP80579 集成处理器和采用英特尔 QuickAssist 技的英特尔 EP80579 集成处理器的软件包。

• 支持嵌入式应用的英特尔® EP80579 软件驱动程序包含在使用集成处理器的硬件功能时所必须的所有软件驱动程序，这些功能包括 SATA、千兆位以太网、EDMA、CAN、IEEE 1588*、监控定时器和 GPIO 等。

• 采用英特尔® QuickAssist 技术1 的英特尔® EP80579 IP 电话语音应用软件是以安全应用软件为基础开发的，并添加了适用于 IP PBX 融合解决方案、融合接入平台、IP 媒体服务器和 VoIP 网关应用的各种功能。

欲了解 IP 电话语音软件包支持的完整功能列表和所有英特尔最新的软件包更新，请访问 downloadcenter.intel.com。