问题12：至强5600在安全性方面有哪些改进?

　　随着虚拟化、云计算应用的普及，对于底层硬件平台的安全性要求也越来越高。在至强5600中，英特尔新增加了两项技术：AES-NI加密指令集和Intel TXT可信执行技术。

　　工艺进步让英特尔的设计工程师有了更多晶体管资源预算来增加新的功能，比如在45纳米时，在Penryn处理器中增加了SSE4.1指令集，而在32纳米的Westmere中，英特尔又新加了AES(Advanced Encryption Standard)指令集，专门用来加密数据。AES加密处理是对输入的128位明文，使用加密的密钥通过有限次的迭代运算(每一次称为一轮：round)最终得到128位的加密块。解密遵循相反的过程，迭代次数一样，但是需要“解密密钥”而不是加密的“密钥”。在每一轮加密解密中都使用不同的阶段密钥，由原始密钥通过密钥序列算法生成。AES的标准密钥分为128，192和256位，各自对应的迭代次数为10、12和14轮。

　　Intel的AES增强指令集包括了下面7条指令，分成两部分：Carry-less Multiplication Instruction(无进位乘法指令)：一条单独的无进位乘法指令(Carry-less Multiplication)：PCLMULQDQ，一次可以处理两个64位宽度的数据。不进位乘法是实现GCM(Galois Counter Mode)的重要部分。GCM 是对称加密算法分组密码的一种工作模式。分组密码工作模式可以分为加密模式、认证模式和认证加密模式等。GCM模式为认证模式的一种，提供认证和加密两种功能。GCM在IEEE 802.1ae标准、IPsec(RFC 4106)、P1619存储标准和SPoFC(Security Protocols over Fiber Channel，ISO-T11的一个标准)中都有应用。另一部分是AES Extension Instructions(AES扩展指令)，包括两条AES加密迭代加速：AESENC和AESENCLAST，两条AES解密迭代加速：AESDEC和AESDECLAST，两条密钥序列生成：AESIMC和AESKEYGENASSIST。

　　在安全性方面，英特尔还引入了早先就有的Intel Trusted Execution Technology可信赖计算技术。Intel TXT所能够提供的功能主要包括： Protected Execution：在未取得系统授权的情况下无法执行其它软件。Sealed Storage：提供硬件加密及存储序列号，使其无法在其它平台中开启并使用。Protected Input：所有输入端均需要认证，如USB设备，在无序列号时无法开启使用。Protected Graphics：不允许输出画面被非法截取。Protected Launch：可以控制操作系统及应用软件不会被开始或进行其它动作。

　　Intel TXT能保护虚拟化运算环境下的数据，配合英特尔新一代的虚拟化技术–Intel Virtualization Technology for Directed I/O之后，Intel TXT可确保虚拟机器监控程序 (virtual machine monitor) 更强的抗攻击能力，可发现目前传统软件信息安全解决方案无法侦测到的攻击。透过这种硬件防护隔离指定的内存，系统能保护各分隔虚拟环境下的数据，避免其它分隔环境内的软件进行未经授权的存取。