unixcloud-logo-news07unixcloud-logo-news07unixcloud-logo-news07unixcloud-logo-news07
  • 产品
    • 沐创
      • UXC1000
      • UXC1100
    • 摩尔线程
      • MTT S1000M
      • MTT S2000
      • MTT S50
      • MTT S80
      • MTT S3000
    • 熠知
      • NNM100
      • NNC100
      • VAS100
      • EAS100
    • 飞腾
    • 海思
  • 关于我们
  • 联系我们
  • 新闻
  • 订购
0

$0.00

English
✕

RSP S20密码卡应用之IPSec硬件加速

  • Home
  • 新闻
  • Moore Threads News
  • RSP S20密码卡应用之IPSec硬件加速
Moore Threads News Mu53
凝聚创新力量,沐创深度支持《2021网信自主创新调研报告》
September 8, 2022
Moore Threads News Mu55-4
沐创大讲堂|第三期——软件定义芯片的编译器技术发展与敏捷映射框架
September 8, 2022
September 8, 2022

RSP S20芯片简介

沐创RSP S20高性能密码安全芯片,可广泛应用于高速数据加解密、大容量数据安全存储、数据完整性/机密性保护、高速签名验签、IPSEC/SSL 硬件加速等领域。当前已在应用于国内大型电商平台、大型互联网金融平台,并获得积极的市场反馈。

Moore Threads News Mu54

合规性
芯片满足国密安全芯片二级认证密码卡满足国密安全模块二级认证;
算法性能
SM3:25 GbpsSM4:25 GbpsSM2 签名:30 万次/秒

RSA-2048 签名:4万次/秒

SDF密钥管理
RSA 密钥数量:8192 对SM2 密钥数量:8192 对对称密钥数量:32768 个

会话密钥数量:32768 个

HTTPS 硬件加速
RSA-2K:4 万次/秒SM2-SM3-SM4:4 万次/秒ECDHE-ECDSA: 4 万次/秒

三种套件同时建链性能 10万次/秒

IPSEC 硬件加速
SM4-CBC-HMAC-SM3:12 GbpsAES-256-CBC-HMAC-SHA256:7 Gbps
框架支持
沐创自研SDK开发套件内核CRYPTO标准框架DPDK Cryptodev标准接口

虚拟化
1个PF + 32个VF

IPSec硬件加速概述

背景介绍

IPSec是基于网络层应用密码学的安全通信协议,其具备的机密性、完整性等特性可以让网络传输在安全环境下实现全球通达。随着技术的发展,IPSec的吞吐性能成为各大厂商持续关注的热点话题。目前市面上大部分的IPSec产品均使用软算法实现,这不仅浪费了CPU资源,而且在性能上难以实现突破。

什么是IPSec硬件加速?

IPSec是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议。IPSec协议主要有以下部分组成。
1、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;

2、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;

3、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数;

4、密钥协议(IKE),提供对称密码的钥匙的生存和交换。
其中认证头、封装安全载荷和密钥协议中需要使用的密码算法是整个协议的核心,也是性能的瓶颈点,各大厂商的关注焦点在于:如何将这部分算法的性能做到更优。IPSec硬件加速是指将协议中使用到的密码算法交给密码芯片去处理,从而实现整体吞吐性能的提高。

Moore Threads News Mu54-2

▲IPSec模型

目前IPSec的实现方案中比较成熟的有两种,一种是通过内核xfrm框架实现,典型解决方案有StrongSwan、OpenSwan等;另一种是基于DPDK实现,典型的解决方案有VPP+DPDK等。

Moore Threads News Mu54-3

▲内核硬件加速模型

在内核硬件加速模型中,沐创自研SDK能对用户态和内核态提供算法接口,在内核接口中实现了和内核crypto框架的对接。部署RSP密码套件后只需简单配置即可实现将密码算法卸载到板载RSP S20安全芯片的密码卡,从而实现IPSec的硬件加速。

Moore Threads News Mu54-4

▲DPDK硬件加速模型

DPDK加速模型中,板载RSP S20安全芯片的密码卡提供标准的PMD驱动,可以无缝对接到DPDK的CryptoDev,RSP PMD驱动集成后只要简单配置,即可将密码算法卸载到板载RSP S20安全芯片的密码卡,实现IPSec的硬件加速。

性能解析

板载RSP S20安全芯片的密码卡支持常用的国际套件(如:RSA-AES128-CBC-HMAC-SHA1等)和国密套件(如:SM2-SM4-CBC-HMAC-SM3等)算法。加密、认证双算法硬件加速模型下RSP S20安全芯片的性能有着出色的表现。

Moore Threads News Mu54-5

▲性能测试模型

上述模型中,共部署两台IPSecVPN服务器,每台服务器均搭载一块板载RSP S20安全芯片的密码卡,并部署沐创配套的安全软件,在两台服务器之间建立安全隧道。整个通信过程所使用密码算法服务均由板载RSP S20安全芯片的密码卡提供,通过思博伦网络测试仪进行打流测试,国密套件算法最高性能可达12Gbps。

Moore Threads News Mu54-6

▲典型套件性能

RSP S20虚拟化特性

RSP S20 支持PCIe虚拟化特性, 最大可支持32个VF,每个VF的算法资源物理隔离,因此RSP S20芯片的IPSec方案可以实现与其他方案(SSL加速)共存。
不同的方案可以使用不同的PF/VF设备,使得彼此之间不受干扰。由于不同应用场景对算力(SSL公钥算力、IPSec加密、认证算力)有不同的要求,RSP S20具有的虚拟化特性能促成芯片资源的最大化利用,实现企业效益最大化。

Moore Threads News Mu54-7

▲RSP S20的SSL与IPSec加速

未来·可期

在IPSec硬件加速场景中,RSP S20可以作为QAT等同类型方案的国产化替代,RSP S20安全芯片在满足对国际密码算法体系支持的基础上,增加了对国密算法的支持,并且对接了内核xfrm框架、DPDK等主流解决方案。
当前,在密码安全芯片领域,RSP S20安全芯片的性能相较竞品遥遥领先;此外,在实际应用中,RSP S20丰富的片上接口资源和完善的开发套件,可为方案定制提供更大的空间。

关于沐创

沐创自成立以来,依托核心团队在可重构计算领域的深厚积累,已经形成了信息安全方向和网络控制方向的两大产品线布局。
2021年底,沐创推出业内首颗融合了安全的智能网络控制器芯片N10,现已实现量产,而本次推出的沐创N10系列智能网卡正是由该款芯片主控。
未来,沐创将沿着既定产品路线,继续稳步向前,推出更多高性能产品,为中国数字新基建献言献策、添砖加瓦。

关于尤里云科技

尤里云科技(深圳)有限公司摩尔线程授权经销商Unixcloud拥有多年的产品研发和制造经验。尤里云是摩尔线程(MooreThreads)官方授权经销商,针对人工智能发展的算力需求,专注于边缘计算领域,为行业提供满足各种AI需求的边缘计算产品和解决方案。同时尤里云开展了万兆网卡的业务,提供基于Mucse的网络控制器N10的四口和两口万兆光纤网卡。

Share
0

Related posts

Moore Threads News MTT S80 banner 41
December 8, 2022

摩尔线程 MTT S80 显卡评测


Read more
摩尔线程与蔚领时代、硅基大陆携手 Moore Threads News 67
November 14, 2022

摩尔线程与蔚领时代、硅基大陆携手,共同加速PC云游戏应用


Read more
摩尔线程与飞桨完成I级兼容性测试
November 14, 2022

摩尔线程与飞桨完成I级兼容性测试,软硬协同加速AI应用创新


Read more

尤里云

解决方案
驱动程序
订购

社交

微博
知乎
百度
头条

技术支持微信

产品

MTT S50
MTT S80
MTT S1000M
MTT S2000
MTT S3000
UXC1000
UXC1100

联系我们

广东省深圳市南山区麻磡南路31号深圳环保产业园6栋4楼

15220161618

13530831324

info@unixcloud.ltd

Copyright by UnixCloud (Shenzhen) Technology Co., Ltd.
尤里云科技(深圳)有限公司版权所有
网站备案号:粤ICP备2022090404号-1
    English
    0

    $0.00

      ✕

      Login

      Lost your password?