RSP S20密码卡应用之IPSec硬件加速
凝聚创新力量,沐创深度支持《2021网信自主创新调研报告》
September 8, 2022
沐创大讲堂|第三期——软件定义芯片的编译器技术发展与敏捷映射框架
September 8, 2022RSP S20芯片简介
沐创RSP S20高性能密码安全芯片,可广泛应用于高速数据加解密、大容量数据安全存储、数据完整性/机密性保护、高速签名验签、IPSEC/SSL 硬件加速等领域。当前已在应用于国内大型电商平台、大型互联网金融平台,并获得积极的市场反馈。
|
|
|
|
|
|
RSA-2048 签名:4万次/秒 |
|
|
|
会话密钥数量:32768 个 |
|
|
|
三种套件同时建链性能 10万次/秒 |
|
|
|
|
|
|
|
|
|
|
|
|
|
IPSec硬件加速概述
背景介绍
IPSec是基于网络层应用密码学的安全通信协议,其具备的机密性、完整性等特性可以让网络传输在安全环境下实现全球通达。随着技术的发展,IPSec的吞吐性能成为各大厂商持续关注的热点话题。目前市面上大部分的IPSec产品均使用软算法实现,这不仅浪费了CPU资源,而且在性能上难以实现突破。
什么是IPSec硬件加速?
IPSec是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议。IPSec协议主要有以下部分组成。
1、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
2、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
3、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数;
4、密钥协议(IKE),提供对称密码的钥匙的生存和交换。
其中认证头、封装安全载荷和密钥协议中需要使用的密码算法是整个协议的核心,也是性能的瓶颈点,各大厂商的关注焦点在于:如何将这部分算法的性能做到更优。IPSec硬件加速是指将协议中使用到的密码算法交给密码芯片去处理,从而实现整体吞吐性能的提高。
▲IPSec模型
目前IPSec的实现方案中比较成熟的有两种,一种是通过内核xfrm框架实现,典型解决方案有StrongSwan、OpenSwan等;另一种是基于DPDK实现,典型的解决方案有VPP+DPDK等。
▲内核硬件加速模型
在内核硬件加速模型中,沐创自研SDK能对用户态和内核态提供算法接口,在内核接口中实现了和内核crypto框架的对接。部署RSP密码套件后只需简单配置即可实现将密码算法卸载到板载RSP S20安全芯片的密码卡,从而实现IPSec的硬件加速。
▲DPDK硬件加速模型
DPDK加速模型中,板载RSP S20安全芯片的密码卡提供标准的PMD驱动,可以无缝对接到DPDK的CryptoDev,RSP PMD驱动集成后只要简单配置,即可将密码算法卸载到板载RSP S20安全芯片的密码卡,实现IPSec的硬件加速。
性能解析
板载RSP S20安全芯片的密码卡支持常用的国际套件(如:RSA-AES128-CBC-HMAC-SHA1等)和国密套件(如:SM2-SM4-CBC-HMAC-SM3等)算法。加密、认证双算法硬件加速模型下RSP S20安全芯片的性能有着出色的表现。
▲性能测试模型
上述模型中,共部署两台IPSecVPN服务器,每台服务器均搭载一块板载RSP S20安全芯片的密码卡,并部署沐创配套的安全软件,在两台服务器之间建立安全隧道。整个通信过程所使用密码算法服务均由板载RSP S20安全芯片的密码卡提供,通过思博伦网络测试仪进行打流测试,国密套件算法最高性能可达12Gbps。
▲典型套件性能
RSP S20虚拟化特性
RSP S20 支持PCIe虚拟化特性, 最大可支持32个VF,每个VF的算法资源物理隔离,因此RSP S20芯片的IPSec方案可以实现与其他方案(SSL加速)共存。
不同的方案可以使用不同的PF/VF设备,使得彼此之间不受干扰。由于不同应用场景对算力(SSL公钥算力、IPSec加密、认证算力)有不同的要求,RSP S20具有的虚拟化特性能促成芯片资源的最大化利用,实现企业效益最大化。
▲RSP S20的SSL与IPSec加速
未来·可期
在IPSec硬件加速场景中,RSP S20可以作为QAT等同类型方案的国产化替代,RSP S20安全芯片在满足对国际密码算法体系支持的基础上,增加了对国密算法的支持,并且对接了内核xfrm框架、DPDK等主流解决方案。
当前,在密码安全芯片领域,RSP S20安全芯片的性能相较竞品遥遥领先;此外,在实际应用中,RSP S20丰富的片上接口资源和完善的开发套件,可为方案定制提供更大的空间。
关于沐创
沐创自成立以来,依托核心团队在可重构计算领域的深厚积累,已经形成了信息安全方向和网络控制方向的两大产品线布局。
2021年底,沐创推出业内首颗融合了安全的智能网络控制器芯片N10,现已实现量产,而本次推出的沐创N10系列智能网卡正是由该款芯片主控。
未来,沐创将沿着既定产品路线,继续稳步向前,推出更多高性能产品,为中国数字新基建献言献策、添砖加瓦。
关于尤里云科技
尤里云科技(深圳)有限公司摩尔线程授权经销商Unixcloud拥有多年的产品研发和制造经验。尤里云是摩尔线程(MooreThreads)官方授权经销商,针对人工智能发展的算力需求,专注于边缘计算领域,为行业提供满足各种AI需求的边缘计算产品和解决方案。同时尤里云开展了万兆网卡的业务,提供基于Mucse的网络控制器N10的四口和两口万兆光纤网卡。
