Rambus

At Rambus, we create cutting-edge semiconductor and IP products, spanning memory and interfaces to security, smart sensors and lighting.

带分类器,内联和旁路,10-100 Gbps的 Protocol-IP-197 多协议引擎

联系我们

Protocol-IP-197 多协议引擎是一个 IP 系列,用于加速多核服务器、通信或网络处理器中的 IPSec、SSL、TLS、DTLS (CAPWAP)、3GPP 和 MACsec,最高支持 5、10、20、40、50 和 100 Gbps,提供大量密码算法。它专为快速集成、最大限度减轻 CPU 负载并提供完全变换而设计,提供了可靠、有效的嵌入式 IP 解决方案,可轻松集成到多核服务器、通信和网络处理器中。它与 DPDK、Linaro ODP 和 Linux 加密 API 预集成在一起。因此,此 IP 专为将系统中的网络安全处理与其内联和 AMBA 总线接口、嵌入分类以及对公开 API 的支持无缝集成而设计。

联系我们图标联系人

下载多协议引擎产品小册子产品小册子

可感知协议的 IPsec、SSL、TLS、DTLS、3GPP、MACsec 数据包引擎,带有多核服务器处理器的分类器和内联接口

10-100 Gbps,可编程,由分类器提供最大限度的 CPU 负载减轻,支持全新和旧版加密算法、流送和 AMBA 接口

受驱动程序开发工具包支持,QuickSec IPsec 工具包,Linaro ODP。

Protocol-IP-197 多协议引擎工作原理

Protocol-IP-197 多协议引擎是可感知协议的数据包引擎,由内联流送接口、旁路总线接口、IPsec 分类器、数据包变换引擎和可选的后解密处理器构成。数据包引擎用作系统的数据平面中的总线主控,并在 CPU 干预极少的情况下处理数据包。此引擎支持 AXI 流送接口、AMBA(AXI、AHB、TCM)SoC 总线接口,并可以在不同的配置中交付,以支持从 10-100 Gbps 的多个性能等级,并可级联到最高 200 Gbps。相较于其他多协议引擎,它提供了更高的性能、电线中的内联凸块和堆栈系统中的凸块,并且它能够处理极端读取延迟,而不会损失性能。它配备多种接口,可涵盖许多不同用例以及针对所有支持的协议量身定制的集成选项。由于虚拟化,Protocol-IP-196 还允许将安全参数和密钥与系统中的不同 CPU 和安全应用分开。
Protocol-IP-197 Multi-protocol Engine Block Diagram
PacketEngine-IP-197 Security Packet Engine with Classifier, In-Line, >5Gbps

Protocol-IP-197 专为需要在极端速度下进行安全协议处理的系统而设计,其中 CPU(场)由于性能或功率限制而不能处理加密工作负载。数据包引擎处理安全协议操作,并在高端服务器、通信和网络处理器中减少以下功耗:用于交换机应用的网络处理器;数据中心处理和云计算;通信和高端安全网关。

可提供多个配置,针对特定用例支持更大的数据速率。

Secure Networking Basics cover

安全网络基础知识:MACsec、IPsec 和 SSL/TLS/DTLS

MACsec、IPsec 和 SSL/TLS/DTLS 协议是保护移动中(在连通设备之间传达)的数据的主要方式。这些协议可以固定在硬件中,或在软件中作为端到端安全架构的一部分实现。本白皮书提供了有关其中每个协议的基础信息,包括其相互关系和用例。
下载白皮书

功能和优势

主要优势:

  • 此多协议引擎的实施经过硅验证
  • 可快速轻松地集成到 SoC 中
  • 灵活的分层式设计
  • 配置种类齐全
  • 世界一流技术支持
  • 驱动器开发套件
  • 完全虚拟化,可实现应用程序和 CPU 层面上的密钥分离
  • 嵌入式缓存
  • AMBA 接口
  • 符合 FIPS 标准的 DRBG
 

IPsec 分类:

  • IPsec-ESP 报头解析以查找工作流程
  • 根据查找结果返回工作流程和相应的转换记录
  • 更新工作流程统计数据
  • 更新转换统计数据
  • 支持 IPv4 和 IPv6
 

IPsec 转换(IPv4 和 IPv6):

  • 根据最新的 RFC(2403、2404、2405、2410、3566、3602、3686、4106、4301、4303、4304、4308、4309、4543、4835、4868、4869、6054、6379、7321、7539、7634 和 8221)完成全部 IPsec 数据包 ESP/AH 转换
  • IPsec ESP 和 AH 隧道与传输模式
  • 自主 IPsec ESP 数据包分类和安全关联选择(入站和出站)

  • 为出站数据包插入 ESP/AH 报头,剥离并验证入站数据包的 ESP/AH 报头
  • 全序列号处理,包括 ESN 各种模板大小的全套反重放检查
  • 针对出站数据包计算并插入完整性检查值,剥离并验证入站数据包
  • 附加(出站)/剥离及验证(入站)填充高达 255 字节

SSL3.0/TLS1.0/TSL1.1/TLS1.2/TLS1.3/DTLS1.0/DTLS1.2:

  • 根据最新的 RFC(246、4346、4347、5246、6101 和 6347)进行完整的单程数据包转换
  • 完整报头处理:
    • 为出站数据包插入报头
    • 剥离及验证入站数据包
    • 反重放检查
    • 报尾处理:
      • 为出站数据包插入高达 255 字节的填充
      • 为入站数据包剥离及验证高达 255 字节的填充
      • 为出站数据包计算并插入消息认证,剥离并验证入站数据包

MACsec

  • 根据 IEEE 802.1AE 标准进行 MACsec 框架转换
  • SecTAG 插入和删除,
  • PN 插入、删除和验证
  • ICV 生成、插入、产出和验证
 

3GPP 无线算法

 SA – 管理器

  • SA 和工作流程记录缓存 [bullet inserted]
  • 经优化的安全关联格式
  • 支持无限数量的安全关联
 

此加密引擎支持以下加密算法:

  • 在 ECB 和 CBC 模式下使用 (3x) 56 位密钥的三重数据加密算法 (3)DES
  • 在 ECB、CBC、ICM、CTR 模式下使用 128/192/256 位密钥的 AES 加密算法,GCM、GMAC 和 CCM 模式,可选 AES-XTS
  • 可选 ChaCha20、SM4、ARIA [bullet inserted]
  • 可选 ARC4 加密算法(有状态和无状态模式),密钥高达 128 位
  • Kasumi 加密算法,基本和 f8 模式 (UEA1)
  • SNOW3G 加密算法,基本和 128-EEA1 模式 (UEA2)
  • ZUC 加密算法,基本和 128-EEA3 模式 (UEA3)
 

哈希引擎支持以下算法:

  • SHA-1、SHA-2-224/256、MD5
  • 可选 SHA-2-384/512、SHA-3 224/256/384/512 [bullet inserted]
  • HMAC 转换 SHA-1、SHA-2、MD5
  • 可选 SM3、Poly1305 [bullet inserted]
  • SSL-MAC 转换 SHA-1、MD5
  • AES-CCM、AES-XCBC-MAC、AES-CBC-MAC-PRF
  • GHASH、GCM、AES-GCM 和 AES-GMAC
  • CRC32
  • Kasumi 加密算法,f9 模式 (UIA1)
  • SNOW3G 加密算法,基本和 128-EIA1 模式 (UIA2)
  • ZUC 加密算法,基本和 128-EIA3 模式 (UIA3)
 

伪随机数生成器支持:

  • 符合 ANSI X9.31 规定;基于 AES 密码
  • 自动生成 IV
 

带有 DMA 控制器的主机接口支持:

  • 多个描述符环,可单独访问多处理器支持
  • 分散/集中处理
  • 自动仲裁和总线流量控制
  • 支持大端和小端主机系统
  • 解除分组引擎与系统总线接口之间的耦合
 

内联接口:

  • 能够直接从线路接口向 Protocol-IP-197 提供数据包
  • 此分组引擎可自主执行完整 L3 转换,包括分类和 IP 报头修改以及完成 IPsec 转换
 

主从接口:

  • 主机/从机接口:AXI/AXI 或 AXI/APB 或 AHB/AHB 从机接口
  • 输入和输出缓冲区解除分组引擎与系统总线接口之间的耦合
  • 便利的软件故障排除接口,包括停机模式
  • 时钟切换接口,实现低功耗
  • 虚拟化

来自博客

资源

新闻

相关文章

视频

Watch CryptoManager Platform
Rambus logo