IDF 2010：英特尔至强处理器的安全之路

AES-NI让云计算加密应用可为快捷

数据的安全，运行环境的安全一直是企业数据中心所关注的重点，而随着云计算时代的临近，这种大规模应用与数据集中的处理模式也越来越对数据安全性，环境的可信度提出了更高的要求，而英特尔也看到了这个趋势，并从企业级基础运算平台上着手进行改进与增强，将AES加密/解密加速指令集成于CPU，并将原来vPro的可信执行架构移植到了企业级平台，其代表作就是Westmere-EP（至强5600），而这也将成为至强家族未来的标配技术。

这里需要指出的是，Westmere家族全线均具备AES操作加速功能，因此这将是英特尔跨平台的处理器战略。在本届IDF上，则重点讲述了至强5600的AES与TXT技术，以及其所带来的明显益处。

Westmere-EP的AES新指令（AES-NI）主要针对AES的加密与解密操作的6条指令，再加上辅助的无进位乘法CLMUL指令（Carry-less Multiplication）一共7条

Westmere-EP的AES-NI所带来的应用新特性

借助于CPU加速，将让加密应用变得更为广泛，用户不会因为加密操作而显然增加CPU的开销了，这对于那些需要进行加密保护的应用模式（如电子商务）的意义重大

SSL是当前非常常见的网络安全协议，而它就是基于AES加密技术，AES-NI的出现将大大加速SSL的应用性能

根据实际的性能测试，没有AES-NI的至强5500在加载SSL后，用户承载的数量下降了11.5%，而至强5600在SSL环境下的用户数量比无SSL状态下的至强5500还要高出23%

除了网络应用，在其他采用AES的环境中，至强5600较至强5500均获得了明显的性能提升

AES-NI已经得到众多主流ISV的支持，包括了微软、Oracle和VMware，在相关的开发工具与库方面则也完全准备就绪

除了AES-NI外，至强5600平台还采用了英特尔vPro平台的可信执行技术（TXT，Trusted Execution Technology），该技术的目的在于从硬件基础上杜绝不可信的操作，从而大大降低平台的安全风险，这对于云计算显然是非常有用的。

如果说AES更多的是在应用过程中保护数据，那么TXT则是启动时确保运行环境是可信的

TXT在系统启动过程中先对BIOS固件进行验证，过程就像我们平时对文件进行Hash校验比对一样，当校验值与事先预存的数值不符时，则中止启动，而如果通过则开始进入后续的虚拟化Hypervisor（虚拟化平台可以说是云计算的基础架构）的启动，这时也将对于Hyervisor进行验证，如果校验不匹配，也将拒绝启动，从而杜绝了因底层系统被篡改而造成的系统的不安全性。

TXT技术架构的组成，包括了CPU、芯片组与额外的TXT组件，当然相关的软件也要支持TXT才行，否则校验也将无从谈起

TXT也获得了VMware等虚拟化厂商的支持，配合AES-NI将为云计算中心从启动到应用提供从硬件到软件的安全保护

在未来，至强家族的新产品均将标配AES-NI与TXT技术，比如下一代的EX处理器Westmere-EX就将在多插槽系统引入AES-NI与TXT，从而让全系列至强家族平台进一步变得安全可靠。