一、硬件信任根

硬件信任根在安全領域是其它安全功能的基礎，主要表現如下方面：

（1）硬件信任根（Root-Of-Trust）：硬件信任根提供更離散的密鑰生成算法，并且與主機操作系統相隔離，可以做到硬件防破解。硬件信任根實現私有密鑰存儲，可以反克隆和簽名。通過硬件信任根認證授權實現訪問受控。

（2）加密解密（Encryption/Decryption）：數據加密解密算法完全卸載到硬件網卡，無需主機CPU資源，效率更高更可靠。可以實現通用加密算法和國密算法等。

（3）密鑰證書管理（KMS）：密鑰證書管理卸載到智能網卡，與主機系統相隔離；支持多種密鑰交換算法，如D-H密鑰交換等。

（4）動態數據安全（Secure Data-in-Motion）：利用硬件級加解密算法，對傳輸通道上的數據做加解密處理，如IPSec和TLS等。硬件處理可以實現更高吞吐量。

（5）靜態數據安全（Secure Data-at-Rest）：在存儲服務中，永久存盤的數據需要進行加密，防止被竊取，硬件級數據加解密在存儲服務中可以提供更高效的數據讀取，并保證數據安全。

（6）流日志和流分析（Flowlog）：流分析和流日志監控，對數據中心流量做精細監控，有效識別，可以及時識別DDoS攻擊，并做出響應。

二、安全服務應用

在安全領域，還有很多的安全功能產品，如NGFW，WAF，IPS/IDS，DDoS防御設備等。隨著云和虛擬化技術的發展，越來越多的安全功能產品的實現方式轉為虛擬化方式，并通過云平臺來部署管理。這些安全功能產品由于部署在數據中心流量的主要路徑上，轉發性能對整體網絡的吞吐量和時延具有重要的影響。基于X86的軟件實現方式，需要大量CPU資源來處理對應的業務邏輯，性能上的瓶頸已經愈發明顯。通過智能網卡對這些安全功能產品做硬件加速，已經是必然趨勢。

圖安全服務應用硬件卸載

由于安全功能產品對報文處理的深度不同，有些只需要在二至四層處理，有些則需要在七層進行處理，所以在智能網卡的卸載方式上，也存在不同。如NGFW和DDoS等設備，可以通過流表卸載的方式，對流量進行攔截，來加速運行在主機系統中的安全服務應用。如IPS/IDS等，需要對報文內容做深度檢測，則可以通過in-line的方式將數據深度檢測功能卸載到智能網卡的CPU上，這時需要智能網卡的CPU具有較強的性能。

三、隔離網絡虛擬化

在傳統的網卡上做云平臺虛擬化，Hypervisor以及對應的虛擬化網絡的實現，都是在主機操作系統上實現的。這樣如果黑客如果攻陷了Hypervisor并拿到主機操作系統的root權限，就可以通過篡改虛擬化網絡配置，來對租戶網絡進行攻擊，甚至可以滲透到其它計算節點，進行更大范圍的攻擊。

圖隔離虛擬化網絡

引入DPU智能網卡之后，將虛擬化網絡的控制平面完全卸載到智能網卡上，與主機操作系統相隔離。即使黑客攻陷了Hypervisor，獲取了主機操作系統的root權限，也無法篡改虛擬化網絡的配置，這樣可以將黑客的攻擊范圍限制在主機操作系統上，不會影響到虛擬化網絡以及其它主機。進而達到了安全隔離的效果。