三拳出擊——聊一聊第三代英特爾至強可擴充套件處理器的三大特性

　　隨著資訊科技的迅速發展與廣泛應用，人類社會已經進入了一個嶄新的網際網路時代。一方面，人們享受著網際網路科技帶來的便利；另一方面，由網路和資訊系統構成的網路空間也面臨著日益嚴峻的安全問題。

　　前不久，英特爾推出了第三代至強可擴充套件處理器（代號“Ice Lake”）。據瞭解，Ice Lake擁有三大特性，據英特爾技術專家介紹：

　　第一，第三代至強可擴充套件處理器是英特爾的第一個主流雙插槽並啟用SGX英特爾軟體防護擴充套件技術的資料中心處理器。這是英特爾軟體防護擴充套件技術第一次應用到至強E平臺，其顯著提升了處理器交付能力，增強安全性，增加指定位址空間大小和驅動基於雲的機密計算環境。

　　第二，英特爾至強仍然是業內唯一內建AI加速的資料中心處理器。

　　第三，英特爾內建了密碼操作硬體加速。這也是多代策略的延續，可以減少普遍加密對效能的影響。

　　今天，我們就重點來聊一聊以上三大特性。

　　 安全無小事

　　從歷史來看，英特爾對產品的安全特性一直很重視，從第六代酷睿處理器開始，英特爾就引入了相關安全特性，當時稱之為Intel Software Guard Extension，也就是現在我們看到的，在第三代至強可擴充套件處理器上加入的英特爾軟體防護擴充套件SGX的“始祖”。

　　值得一提的是，所謂“擴充套件”，並不是一個功能或者一個特性，而是指透過新的擴充套件指令集的方式，方便軟體開發者透過直接去呼叫CPU指令來實現平臺安全隔離技術，整體設計更為底層、高效和獨特。

　　英特爾SGX是針對敏感資料提供獨立於作業系統和硬體配置的增強安全防護。舉例來說，目前企業上雲的趨勢非常明顯，企業在使用雲端計算時，資料傳輸到雲是加密的、在雲端的資料也是加密儲存的，但是在雲端計算的過程中，由於雲端伺服器要實現對資料的操作和處理，那麼這個過程的資料可能就沒有辦法很好加密了。而SGX就是提供了可以把資料中心、雲端計算伺服器中的指定記憶體區域的資料和當前的作業系統、硬體隔離開來的功能，實現敏感資料的安全處理。

　　由於資料隔離，雲端資料的安全性就有了保障，因為伺服器的作業系統和硬體在沒有許可的情況下是不可能得到這些敏感資料的。

　　英特爾表示他們可以讓CPU在記憶體中為單獨的應用程式劃分出單獨的區域，由CPU專門對這塊區域進行加密解密操作。這種情況下，即使是作業系統、虛擬機器管理程式這些高許可權的軟體，或者攻擊者、惡意訪問者都無法得到記憶體中加密後的資料。

　　不僅如此，SGX保護的空間可大可小，最小4KB，最大1TB，基本上可以滿足目前絕大部分軟體的需求。

　　在具體的客戶方面，英特爾提到阿里雲和騰訊雲目前已經開始部署相關的技術並實現了可信計算。國外的使用者比如德國的電子醫保資料也採用這個功能，符合歐盟嚴格的GDPR安全規範，讓使用者的資料隱私得到了很好的保護。

　　在一些具體案例方面，英特爾給出了一些例子，包括透過SGX技術、LibOS技術，以及Analytics Zoo現有的API和例項給使用者構建一個可信的大資料AI平臺。

　　其中最典型的就是螞蟻集團的Occlum LibOS專案，這是一個開源的LibOS專案，現在的情況是透過Occlum LibOS，可以在SGX上執行的應用越來越多了。

　　除了之前講到的深度學習應用，一些大資料應用，如Spark、Flink、Hadoop都可以無縫透過Occlum LibOS執行在SGX當中，從而帶來了極高的安全性。

　　接下來說一說英特爾密碼操作硬體加速。英特爾密碼操作硬體加速提高了加密密集型工作負載的效能，包括SSL web服務、5G基礎設施和VPN/防火牆，並降低了普遍加密對效能的影響。靈活的高效能產品組合至關重要。結合英特爾的連線、儲存和FPGA解決方案，第三代英特爾至強可擴充套件處理器可以進一步加強針對工作負載最佳化的解決方案，提供更為可靠的效能。

　　 更強大的AI能力

　　在AI方面，英特爾是目前業內唯一支援AVX-512指令集的廠商，另一個是AI加速有關的指令集。藉助於這兩個方面的加速和軟體的最佳化，英特爾表示最新的第三代至強可擴充套件處理器相比上代產品提升了74%的AI計算效能，比競爭對手快了大約25倍。

　　此外，英特爾在軟體上持續投入，如英特爾在TensorFlow上最佳化了ResNet的效能，相較於預設發行版可以提升10倍。在Scikit-Learn上經過最佳化，相比非最佳化版本獲得了100倍的效能提升。

　　由於英特爾在AI計算上有很好的最佳化，因此帶來了非常領先的計算優勢和具體應用場景的優勢。英特爾舉例表示，在數字娛樂方面的最佳化，比如目前人們在遊戲中常見的捏臉技術，可以使玩家在遊戲中獲得非常出色的角色融入感。

　　有關“捏臉”的相關應用，英特爾在這裡做了一個非常好的嘗試，那就是利用AI，透過使用者上傳人臉照片，自動和遊戲內的3D模型耦合，這裡利用到了第三代至強可擴充套件處理器的VNNI指令集，僅僅使用int8整數計算，就完成了2D人臉模型到3D遊戲模型的轉換，相比傳統需要使用FP32的計算，第三代至強可擴充套件處理器和新的指令集帶來了4.23倍的效能提升。

　　不僅如此，據英特爾專家介紹，英特爾和阿里雲正在一起針對自然語言進行最佳化，利用的也是第三代至強可擴充套件處理器的VNNI int8相關特性，實現了3倍的效能提升。

　　除了上述AI加速的內容外，英特爾在AI資料的安全方面也有很多獨特的創新。比如藉助第三代至強可擴充套件處理器的SGX技術配合AI計算，可以實現資料不用離開當前的機房就能夠完成AI模型訓練，這種技術被稱為“聯邦學習技術”。

　　由於資料不用離開機房，因此在安全防護、資料控制方面就更為方便，因此受到了很多敏感資料使用者的歡迎，比如金融企業。

　　目前，英特爾與平安科技進行合作，實現了基於英特爾SGX技術加持的雲邊協同的隱私計算實踐方案，其特點也是在SGX的控制下，使資料模型中包含的敏感資訊不會被威脅或者竊取，既完成了工作、提高了效率，還加強了資料安全性，整體效果很不錯。

　　如今，客戶需要對使用中的資料進行加密，從而減小攻擊面，同時加強保護雲端的敏感資料。英特爾為市場帶來了企業級保密計算的解決方案，讓客戶能夠利用英特爾軟體防護擴充套件技術更好地發揮雲和多方計算正規化的優勢。