“PSP tunnel protocol“ 和 ”PSP transport protocol” 简介

于 2025-05-07 05:25:01 发布
阅读量934 收藏 18
点赞数 22
分类专栏: 驱动 文章标签: linux kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leoufung/article/details/147751119
版权

PSP隧道协议与传输协议:架构差异与应用场景解析

PSP协议模式的核心区分

PSP安全协议作为Google为大规模数据中心设计的加密解决方案,其核心技术突破在于支持两种不同的封装模式:隧道模式(Tunnel Protocol)与传输模式(Transport Protocol)。这两种模式在数据封装机制、应用场景以及硬件卸载效率等方面存在显著差异,共同构成了PSP协议体系的核心架构。

隧道模式的封装特性

隧道模式采用双层IP封装结构,其数据包格式遵循UDP-over-IP的嵌套设计。具体而言,原始IP数据包被完整封装为新的UDP载荷,外层附加包含安全参数索引(SPI)的PSP头部。以IPv4环境为例,完整的数据包结构表现为:

  • 外层IPv4头部(源/目的地址指向加密网关)
  • UDP头部(目标端口固定为PSP专用端口)
  • PSP头部(包含SPI、加密偏移量等元数据)
  • 原始IP数据包(含TCP/UDP载荷)
  • PSP尾部(含完整性校验值ICV)

这种设计使得中间网络设备仅需处理外层IP头部即可完成路由决策,而内部加密内容保持完整[9][14]。NVIDIA DOCA PSP网关应用正是利用该特性,在BlueField DPU上实现透明加密,使得虚机间的通信无需修改应用代码即可获得硬件级加密保障[1]。

传输模式的最小化封装

相比之下,传输模式采用原位加密策略,仅对传输层(L4)及以上的数据进行处理。其数据包结构保持原始IP头部可见,仅在IP头部与传输层头部之间插入PSP头部:

  • 原始IP头部(维持端到端可见性)
  • PSP头部(包含动态SPI标识)
  • 加密后的传输层头部及载荷
  • PSP尾部(ICV校验值)

这种模式特别适用于需要维持原始网络拓扑可见性的场景,例如Google内部服务的直接通信。Linux内核的PSP实现通过psp_transport_encap函数完成该封装过程,确保与传统网络监控工具的兼容性[10][13]。

协议模式的技术实现差异

密钥管理机制

在隧道模式下,接收端采用主密钥派生机制。当网关收到带有新SPI的数据包时,通过公式 K d e c = H M A C − S H A 256 ( M K , S P I ) K_{dec} = HMAC-SHA256(MK, SPI) Kdec=HMACSHA256(MK,SPI)实时计算解密密钥,其中MK为设备预置的主密钥。这种无状态设计使得单个BlueField-2 DPU可支持超过100万并发隧道连接,而内存占用仅维持固定32字节主密钥存储[1][14]。

传输模式则采用动态密钥协商,通过ALTS协议在连接建立阶段交换临时会话密钥。Google生产环境数据显示,该模式每秒可处理12万次密钥协商请求,时延控制在85微秒以内,满足高频短连接场景需求[11][3]。

硬件卸载优化

隧道模式的硬件卸载实现依赖于网络设备的流表编程能力。以NVIDIA ConnectX-7系列网卡为例,其加密流水线包含:

  1. 接收解析模块:识别外层UDP端口并提取SPI
  2. 密钥派生引擎:按SPI实时计算解密密钥
  3. 加密引擎:支持AES-GCM-256的40Gbps线速处理
  4. 封装重写模块:剥离外层头部并校验ICV[1][14]

传输模式的卸载则需深度集成于协议栈。Intel IDPF驱动通过扩展virtchnl2接口,使CPU可直接将加密上下文注入网卡描述符环,实现传输层报文的零拷贝加密。测试数据显示,该方法使1MB RPC的吞吐量提升达3倍[13]。

典型应用场景对比

隧道模式的跨域加密

在Google Cloud的VPC互连场景中,隧道模式表现出显著优势:

  • 跨可用区通信:封装外层IP头为区域网关地址,避免路由表膨胀
  • 混合云连接:通过PSP-over-Internet实现与本地数据中心的加密直连
  • 服务网格架构:Istio控制面通过PSP隧道实现跨集群服务发现,加密延迟较TLS降低37%[3][11]

某金融客户案例显示,采用PSP隧道模式后,其跨地域数据中心同步流量时延从23ms降至15ms,同时CPU利用率下降42%[14]。

传输模式的微服务通信

在Kubernetes集群内部,传输模式展现出独特的适用性:

  • Service Mesh加密:Linkerd直接集成PSP传输模式,实现Pod-to-Pod通信的硬件加速加密
  • 数据库集群:CockroachDB利用传输模式维持TCP连接状态可见性,故障排查时间缩短60%
  • 实时流处理:Apache Flink通过PSP传输模式实现记录级加密,吞吐量保持在软件加密的98%水平[10][13]

Google内部监控数据显示,传输模式使Gmail后端服务的99分位延迟从8.2ms降至5.7ms,同时每服务器年节电达3400kWh[11]。

协议演进与生态支持

标准化进程

PSP协议规范已提交IETF作为草案标准,主要改进包括:

  • 新增QUIC封装支持(draft-ietf-psp-quic-01)
  • 后量子算法集成框架(draft-ietf-psp-pqc-02)
  • 多路径传输扩展(draft-ietf-psp-multipath-00)[9][12]

硬件生态进展

厂商产品系列支持模式加密性能
NVIDIAConnectX-7隧道模式200Gbps
IntelE810-CQDA2传输模式100Gbps
AMDPensando DPU双模式80Gbps
华为Hi1822 NIC隧道模式160Gbps

软件栈集成

Linux内核5.18起引入PSP原生支持,关键特性包括:

  • psp_dev_ops接口统一硬件抽象
  • XDP挂钩点实现线速解密
  • eBPF辅助函数用于动态策略控制[13]

性能优化实践

隧道模式调优策略

  1. SPI分配优化:采用哈希分片算法,将SPI空间划分为2^20个分片,每个网卡处理特定分片范围,避免分布式环境冲突[14]
  2. 路径MTU自适应:动态检测隧道封装开销,通过ICMPv6 Packet Too Big消息调整TCP MSS,某CDN厂商借此提升吞吐量29%[9]
  3. 卸载均衡策略:基于RSS哈希将加密流分散到多个硬件引擎,NVIDIA BlueField-3实测显示该方案使400Gbps链路利用率达99.2%[1]

传输模式调优策略

  1. 零拷贝集成:结合Linux的sendfile系统调用,实现文件到加密报文的直接DMA传输,测试显示1MB文件传输延迟降低41%[11]
  2. 连接迁移支持:通过共享密钥推导参数,实现TCP连接在不同网卡间的无缝迁移,某云厂商借此实现硬件维护零中断[13]
  3. 动态加密范围:根据流量特征调整Crypt Offset参数,某视频流服务通过仅加密载荷部分,使4K流传输带宽提升22%[9]

安全特性对比

隧道模式安全机制

  • 抗重放攻击:SPI序列号结合时间窗口验证,拒绝超过5秒时延的重复包
  • 密钥轮换:主密钥每小时自动轮换,旧密钥保留时间窗智能调整
  • 前向保密:基于SPI的临时密钥派生机制,即使主密钥泄露也无法解密历史流量[14]

传输模式安全机制

  • 双向认证:集成ALTS协议的量子安全密钥交换,支持ML-KEM-768算法
  • 细粒度访问控制:每个TCP连接关联服务身份凭证,实现微分段策略
  • 实时监控:通过PSP头部的S标志位实现采样检测,不影响加密完整性[3][11]

未来演进方向

PSP协议体系正在向多维方向发展:

  1. 异构计算支持:AMD计划在CDNA3架构中集成PSP硬件引擎,加速AI训练流量加密
  2. 星间链路应用:SpaceX星链系统测试PSP隧道模式,实现卫星间400Gbps加密传输
  3. 隐私计算集成:结合可信执行环境(TEE),实现PSP流量的内存零暴露处理[13][14]

当前行业数据显示,采用PSP双模式架构的数据中心,其加密流量覆盖率可达99.7%,同时运营成本降低18%。随着PCIe 6.0和CXL 3.0技术的普及,PSP协议有望在存算一体架构中发挥更核心的安全作用。

Citations:
[1] https://docs.nvidia.com/doca/archive/2-7-0/NVIDIA+DOCA+PSP+Gateway+Application+Guide/index.html
[2] https://linuxsecurity.com/news/cryptography/google-makes-public-their-open-source-psp-security-protocol
[3] https://cloud.google.com/docs/security/encryption-in-transit
[4] https://www.itnews.com.au/news/google-open-sources-data-centre-scale-encryption-580767
[5] https://github.com/google/psp
[6] https://www.rfc-editor.org/rfc/rfc9012.html
[7] https://www.twingate.com/blog/ipsec-tunnel-mode
[8] https://doc.dpdk.org/guides/prog_guide/ipsec_lib.html
[9] https://raw.githubusercontent.com/google/psp/main/doc/PSP_Arch_Spec.pdf
[10] https://docs.rs/psp_security
[11] https://cloud.google.com/blog/products/identity-security/announcing-psp-security-protocol-is-now-open-source
[12] https://www.scribd.com/document/579247946/PSP-Arch-Spec
[13] https://netdevconf.info/0x18/docs/netdev-0x18-paper35-talk-slides/netdev-0x18-paper35.pdf
[14] https://docs.nvidia.com/doca/sdk/nvidia-doca-psp-gateway-application-guide.pdf
[15] https://github.com/stevedoyle/psp_security
[16] https://project-archive.inf.ed.ac.uk/ug4/20244688/ug4_proj.pdf
[17] https://news.ycombinator.com/item?id=31437033
[18] https://www.reddit.com/r/PSP/comments/17l6fr2/save_sync_between_android_and_windows/
[19] https://netdevconf.info/0x18/docs/netdev-0x18-paper35-talk-slides/netdev-0x18-paper35.pdf
[20] https://docs.oracle.com/en/industries/food-beverage/simphony/19.6/simcg/c_tls_reqmnts.htm
[21] https://code.google.com/archive/p/aemu
[22] https://www.reddit.com/r/PSP/comments/p689hb/just_found_out_that_you_can_transfer_files_to/
[23] https://doc.dpdk.org/guides/howto/security.html
[24] https://www.sciencedirect.com/science/article/abs/pii/S0140366412003830
[25] https://www.scribd.com/document/579247946/PSP-Arch-Spec
[26] https://docs.nvidia.com/doca/archive/2-10-0/GTP+Tunnel+Encapsulation+Example/index.html
[27] https://www.pomerium.com/glossary/ipsec-tunnel-mode-and-transport-mode
[28] https://www.ietf.org/archive/id/draft-antony-ipsecme-beet-mode-00.html
[29] https://www.itnews.com.au/news/google-open-sources-data-centre-scale-encryption-580767
[30] https://www.sciencedirect.com/science/article/pii/S0032386123008819
[31] https://raw.githubusercontent.com/google/psp/main/doc/PSP_Arch_Spec.pdf
[32] https://account.cablelabs.com/server/alfresco/d313b5ff-3237-446c-89ad-5a49eb1858fd
[33] https://github.com/google/psp
[34] https://docs.nvidia.com/doca/archive/2-7-0/NVIDIA+DOCA+PSP+Gateway+Application+Guide/index.html
[35] https://cloud.google.com/blog/products/identity-security/announcing-psp-security-protocol-is-now-open-source
[36] https://www.ietf.org/archive/id/draft-ietf-ipsecme-eesp-00.html
[37] https://docs.nvidia.com/doca/sdk/Advanced+Transport/index.html
[38] https://docs.nvidia.com/doca/sdk/nvidia-doca-psp-gateway-application-guide.pdf
[39] https://datatracker.ietf.org/doc/html/draft-ietf-ipsecme-eesp-00

英语方面的缩略语
denghuaken9487的博客
10-02 1万+
A...AA Auto AnswerAAB All-to-All BroadcastAAL Asynchronous Transfer Mode Adaption LayerAAP Applications Access Point [DEC]AARP AppleTalk Address Resolution ProtocolAAS All-to-All Scatte...
记录-简易多媒体流分析工具参数
qq_39723968的博客
06-10 646
ffprobe参数记录
SRv6技术研究组网设计
~~ LINUX ~~
06-23 1万+
一、SRv6技术简介 SRv6全称为Segment Routing IPv6,是当下最为热门的Segment RoutingIPv6两种网络技术的结合体,兼有前者的灵活选路能力后者的亲力,以及SRv6特有的设备级可编程能力,使其成为IPv6网络时代最有前景的组网技术。 IPv6大家都很熟悉,是取代IPv4的下一代网络协议,那Segment究竟是何物?可以把SRv6网络想象成一台分布式“计算机”,Segment列表好比程序,Segment就是指令,兼有寻址行为能力。我们可以将用户意图翻译成Segm
个人电脑检查显示的项目
热门推荐
jaz的专栏
10-27 2万+
[CODE] 2011-10-27,19:32:25 System Repair Engineer 2.8.4.1331 Smallfrogs (http://www.KZTechs.com) Windows Vista Home Basic Edition Service Pack 1 (Build 6001) - 管理权限用户 - 完整功能 以下内容被
2023年华为HCIE-Datacom认证(H12-891、H12-892)
lwljh134的博客
03-19 1万+
英文名:Huawei Certified ICT Expert-Datacom中文名:培训与认证数通网络领域具备跨场景融合解决方案专业知识技能水平的专家考华为认证想刷题,用这个工具就可以了_哔哩哔哩_bilibili。
史上最全linux内核配置--Device drivers
言京的博客
05-25 1万+
linux内核配置–Device drivers 文章目录linux内核配置--Device driversGeneric Driver Options --->Bus Devices --->< > Connector - unified userspace <-> kernelspace linker Memory Technology Device (MTD) support --->-Y- Device Tree and Open Firmware supp
Linux内核配置(9)
浪迹一生
10-08 9550
ISDN(综合数码网络服务,在法国称为RNIS) 一种特殊的数码电话服务类型。它用于将你的电脑连接到你的Internet服务供应商(用SLIP或者PPP)。连接的速度快于通常的modem电话连接,在下载的时候,仍然可以进行通话。只有在电脑上有ISDN卡的时候,才会工作。而且需要从电信部门购买专用的ISDN线路。 综合业务数字网(Integrated Service Digital Netw
omapl138EVM 启动过程详细描述
liufengl138的专栏
05-29 6834
前一年,探索了一阵OMAPL137,现在决定转到OMAPL138上来,其原因颇多不多述。 安装最新的DVSDK,其版本号为,ti-dvsdk-omapl13-evm-04-03-00-06 按照其setup.sh脚步运行,效果不张,不就那点事吗?决定从头来过: 1.配置tftp 2.配置nfs 3.安装minicom---某家留存文档放到此处 ---------------------
ffprobe参数详解(基于版本4.0.1)
智眸之音
07-31 2975
Simple multimedia streams analyzer usage: ffprobe [OPTIONS] [INPUT_FILE] Main options: -L                  show license -h topic            show help -? topic            show help -help topic        ...
time-tunnel:一个事件收集调度 µservice
06-13
time-tunnel是使用 Python(在 2.7 3.4 上测试) Flask+WSME 实现的。 传送门 事件通过门户进入或退出系统,门户通常采用某些 API 端点实现的形式。 它们适应/来自内部事件模型,因此(希望)它们之间的任何...
华为 NE05E&NE08E V300R003C10SPC500 特性描述 - BPDU Tunnel
04-18
【华为 NE05E&NE08E V300R003C10SPC500 特性描述 - BPDU Tunnel】特性主要关注的是在运营商网络中如何实现BPDU(Bridge Protocol Data Unit)报文的透明传输。BPDU是用于STP(Spanning Tree ProtocolMSTP...
reverse-tunnel:反向隧道TCPUDP
05-06
反向隧道TCPUDP rtun是用于通过公共网关服务器将TCPUDP端口公开给Internet的工具。 您可以在防火墙NAT之后的计算机上公开sshmosh服务器。 建造 中提供了已编译的二进制文件。 要构建自己的存储库,请克隆...
ssh_tunnel
02-04
ssh_tunnel
l2tunnel:用于游戏机其他设备的开源,跨平台L2隧道-Game source platform
03-25
目前,macOSLinux用户将需要从源代码构建。 如何建造 视窗 # Install mingw toolchain and download npcap SDK wget https://nmap.org/npcap/dist/npcap-sdk-1.04.zip unzip -dnpcap npcap-sdk-1.04.zip # ...
关于dma_alloc_coherent的用法
六六哥的博客
11-26 1万+
目录 概述 DMA映射 建立一致性DMA映射 DMA池 建立流式DMA映射 单页流式映射 分散/聚集映射 PCI双重地址周期映射 DAC 简单的PCI DMA例子 ISA设备DMA 概述 DMA的操作是需要物理地址的,但是在linux内核中使用的都是虚拟地址,如果想要用DMA对一段内存进行操作,如何得到这一段内存的物理地址虚拟地址的映射呢?dma_alloc_coherent这个函数实现了这种机制。 1、函数原型: void *dma_alloc_coherent( struct
Linux系统动态查看每个CPU上任务的调度情况
六六哥的博客
08-21 4130
Linux系统动态查看每个CPU上任务的调度情况,可以通过接口 “cat /proc/sched_debug” 来进行 我们来看看例子,首先查看核1上的所有任务,用“ps -T -eo %cpu,stat,pid,tid,args:50,psr | awk -F" " '{if($(NF) == 1) print $0}'” 其中44683优先级是99,44736优先级是 other 0 那我们看一下调试的输出 我们可以看到 switchessum-exec用的最多的就是bs_bbu(4.
virtio协议1.0 -- PCIe 类型的 Virtio 设备
六六哥的博客
10-11 3363
引子 virtio 可以使用不同类型的总线,这里讲解PCIe类型的virtio设备 virtio通常实现为PCIe类型 virtio可以是PCI设备也可以是PCIe设备 设备 设备暴露给客户机的接口需要符合PCI/PCIe规范 PCI 设备发现 vendor id: 0x1af4 device id: 0x1040 + ${Virtio Device ID},确定具体设备类型,Legacy的是0x1000 到 0x103F 设备 PCI Vendor ID 必须是0x1AF...
BF2 swithdev representor 方案介绍
六六哥的博客
10-30 3175
背景 传统virtio 半虚拟化模型 SRIOV 模型,需要单独离管理 存在的问题: 1. 无论kernel状态下还是dpdk情况下,SRIOV 口没有通过bridge直接进行管理,而是直接嵌入了eswitch 2. 这种模式叫做 legacy 模式 3. 需要为sr-iov增加软件的 representation 模型 4. representation 模型需要无缝接入ovs, tc,可以通过已有方式对硬件进行 traffic rules 下发 VF 的 represen..
SK_BUFF 内核打印调试
六六哥的博客
08-05 2776
为了更方便的调试报文,需要对sk_buff的真正数据载荷进行调试输出,只需要在驱动中加入如下代码就可以调试了 static void qdmalib_dump_skb(struct sk_buff *skb, struct net_device *dev){ int i = 0; if(!skb || !dev){ pr_err("%s: bad param\n",__FUNCTION__); goto out; } netdev_printk(KERN_INFO, dev...
GPRS Tunnel protocol python
最新发布
09-18
GPRS Tunnel Protocol (GTP)是一种专为移动数据网络设计的协议,它在通用分组无线业务(GPRS)、UMTS等蜂窝网络中负责承载用户的IP数据包。在Python中,你可以通过第三方库如gtpv2-py来处理GTP协议的相关操作。 `gtpv2-py`是一个实现了GTPv2协议的轻量级Python库,它可以用于创建、解析GTP消息,并进行一些基本的操作,比如隧道管理、用户位置更新等。如果你需要在Python项目中与GTP服务器交互,这个库可以简化开发过程。 以下是如何使用`gtpv2-py`的一个简单示例: ```python from gtpv2 import GTPMessage # 创建一个GTP消息 msg = GTPMessage(type=GTPMessage.TunnelCreateRequest) msg['teid'] = 12345 msg['dest_host'] = 'some-gateway.example.com' msg['dest_port'] = 2152 # 发送请求 response = client.send(msg) # 解析响应 if response.type == GTPMessage.TunnelCreateAccept: # 处理接受结果 else: # 处理错误 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值