ARM加解密硬件加速在WebServer領(lǐng)域的應(yīng)用研究.pdf

1、近年來，隨著大數(shù)據(jù)技術(shù)的發(fā)展，建立大規(guī)模數(shù)據(jù)中心的需求越來越大。這一需求推動了服務(wù)器市場的發(fā)展。大規(guī)模數(shù)據(jù)中心的構(gòu)建和運(yùn)行的成本巨大。因此，服務(wù)器的價(jià)格和能耗決定了運(yùn)行一個(gè)數(shù)據(jù)中心的成本。雖然Intel在服務(wù)器市場具有壟斷地位，但當(dāng)前 ARM在服務(wù)器芯片領(lǐng)域已經(jīng)取得了較大的發(fā)展。ARM服務(wù)器低價(jià)格、低能耗優(yōu)勢契合了數(shù)據(jù)中心降低成本的需求。在應(yīng)用方面，ARM服務(wù)器在事務(wù)密集型應(yīng)用上具有優(yōu)勢。因此，ARM服務(wù)器在面向WebServer應(yīng)用的

2、場景中具有廣闊發(fā)展前景。目前，HTTPS在用戶訪問WebServer時(shí)的使用越來越廣泛。HTTPS是以安全為目標(biāo)的HTTP連接，其安全基礎(chǔ)是 SSL/TLS協(xié)議。用戶采用HTTPS協(xié)議連接服務(wù)器時(shí)，服務(wù)器向客戶端發(fā)送的數(shù)據(jù)需要加密。而加密操作會給CPU帶來很大的計(jì)算負(fù)擔(dān)。因此，本論文將采用硬件加密引擎執(zhí)行加解密操作。
　　論文針對ARM加解密硬件加速進(jìn)行了大量調(diào)研。在調(diào)研過程中發(fā)現(xiàn)，ARM加解密硬件加速的研究主要集中在嵌入式領(lǐng)域，

3、且主要關(guān)注硬件設(shè)計(jì)。論文將研究面向WebServer應(yīng)用的ARM服務(wù)器上的加解密硬件加速。論文設(shè)計(jì)了基于OpenSSL、CryptoDev、硬件加密引擎驅(qū)動和底層硬件加密引擎的ARM加解密硬件加速系統(tǒng)，并設(shè)計(jì)了系統(tǒng)中OpenSSL與 CryptoDev、CryptoDev與硬件加密引擎驅(qū)動的交互接口。根據(jù)系統(tǒng)設(shè)計(jì)，論文首先實(shí)現(xiàn)了硬件加密引擎驅(qū)動，包括設(shè)備初始化、加密算法實(shí)現(xiàn)、信息摘要算法實(shí)現(xiàn)、中斷實(shí)現(xiàn)等。該驅(qū)動的實(shí)現(xiàn)是硬件加密引擎能被調(diào)

4、用的關(guān)鍵。接下來，論文實(shí)現(xiàn)了OpenSSL與CryptoDev交互接口，使得加解密/信息摘要請求能夠從用戶空間傳遞到內(nèi)核空間，最終使得WebServer能夠調(diào)用硬件加密引擎。在實(shí)現(xiàn)系統(tǒng)的基礎(chǔ)上，論文構(gòu)建了40Gbps帶寬的網(wǎng)絡(luò)測試環(huán)境，從OpenSSL和端到端兩個(gè)層次對系統(tǒng)進(jìn)行了性能測試。在端到端測試過程中，通過在測試機(jī)上模擬實(shí)際應(yīng)用場景中的高并發(fā)請求對服務(wù)器進(jìn)行了壓力測試。
　　OpenSSL層測試數(shù)據(jù)顯示，在測試進(jìn)程數(shù)為1，b

5、locksize為64KB時(shí)，硬件加密引擎執(zhí)行算法的性能優(yōu)于軟件執(zhí)行算法的性能。其中，AES-128-GCM、AES-256-GCM、AES-128-CBC、AES-256-CBC的性能提升了6-7倍，3DES的性能提升了18倍左右，SHA1的性能提升了2.5倍左右，SHA256的性能提升了6倍左右；加速指令執(zhí)行算法的性能優(yōu)于軟件執(zhí)行算法的性能。其中，AES-128-GCM、AES-256-GCM、AES-128-CBC、AES-256

6、-CBC的性能提升了9-11倍，SHA1的性能提升了3.5倍左右，SHA256的性能提升了7倍左右。其中，3DES算法沒有相應(yīng)的加速指令。
　　端到端測試數(shù)據(jù)顯示，對于ECDHE-RSA-AES128-SHA256，ECDHE-RSA-AES256-SHA384，ECDHE-RSA-AES128-GCM-SHA256，ECDHE-RSA-AES256-GCM-SHA384四個(gè)CipherSuite，當(dāng)pagesize大于32KB時(shí)

7、，硬件加密引擎加密對應(yīng)的RPS（Request per Second）值高于軟件加密對應(yīng)的RPS值。硬件加密引擎加密和軟件加密對應(yīng)的RPS值均低于加速指令加密對應(yīng)的RPS值。對于ECDHE-RSA-DES-CBC3-SHA，當(dāng)pagesize大于4KB時(shí)，硬件加密引擎加密對應(yīng)的RPS值高于軟件加密對應(yīng)的RPS值。
　　基于測試結(jié)果，在未來的工作中，我們將采用軟硬協(xié)同技術(shù)，即硬件加密引擎和加速指令協(xié)同的方式優(yōu)化ARM加解密加速系統(tǒng)，