CLP-600 Product Brief セキュリティ・プロトコル・アクセラレータ セキュリティ・プロトコル・アクセラレータ(SPAcc)は、設計者に、現代の多機能、高性能 なSoCデザインにおいて複雑なセキュリティ要件に対応する為の前例のない設定可能 性を提供しています。このようなデザインには、益々MACレイヤのセキュリティ(例: WiMAX、Wi-Fi、MACsec、3GPP/LTE)、IPsecやSSLを搭載するVPNセキュリティ、 アプリケーション・レイヤ・セキュリティ(例:SRTP)およびコンテンツ保護(例:DTCP)が 採用されています。これに伴う課題として、様々なパケット・サイズ混在のトラフィック特 性がある高スループット要件とともに、シングル・コア/マルチ・コア・プロセッサ・アーキテ クチャで音声/動画アプリケーションのサービス品質を保持する為の低レイテンシ要件に 対応しなければならない点が挙げられます。 概要 大部分のセキュリティ・プロトコルは、計算集約型の機密性と認証アルゴリズムをデータに適用させる必 要があります。CLP-600 SPAcc は、プログラム可能なシーケンサ、セキュリティ DMA エンジン、 MACsec、IPsec、SSL/TLS/DTLS、SRTP、WiMAX、WiFi、コンテンツ保護、3GPP/LTE/LTE-A のような 様々なプロトコルに対応可能な暗号化やハッシング・リソースで構成されたフレームワークを提供しま す。 CLP-600はバス・トラフィックを削減し、効率的なデータの優先順位付けや認証および暗号化/解読等の 暗号演算の並行処理をサポートすることにより、スループットを向上します。 SPAccは下記の基本暗号演算に対応しています。 暗号アルゴリズム: AES、DES/3DES、ARC4 [RC4]、MULTI2、KASUMI、SNOW 3G、ZUC 暗号モード: ECB、CBC、CTR、OFB、CFB、f8、XTS、UEA1、UEA2、128-EEA2、128-EEA3 Authenticated Encryption with Associated Data (AEAD) modes: CCM, GCM ハッシュ/MACアルゴリズム: MD5、SHA—1、SHA-224、SHA-256、SHA-384、SHA-512、SHA512/224、SHA-512/256、AES-XCBC-MAC、AES-CMAC、KASUMI-f9、KASUMI-UIA1、SNOW3G-UIA2、SNOW-3G-128-EIA1、AES-128-EIA2、ZUC-128-EIA3、CRC-32-IEEE802.3 ハッシュ・モード: RAWハッシュ、SSLMAC、HMAC また、AES、DES、KASUMI、SNOW 3Gのような特定の暗号には、ビルド・タイムで定義する性能オプショ ンがあります。 特長 柔軟に設定可能なセキュリティ アクセラレータ 主要セキュリティ・プロトコルで使用されて いる暗号、ハッシュ、MACアルゴリズム 全てに対応 ARM TrustZone対応 スキャッター/ギャザーDMA機能に よりシステムCPUをオフロード 最適なバス使用率 ハッシング、暗号化を並行処理する ことによりスループットを向上 IVインポート機能 - IVに関連ペイロードとの共通DMA処理 NVMに蓄積されたシークレットにアク セスする為のセキュア・キーポート セキュア/ノーマル処理モードに対応 するセキュア・バス・オプション コマンド/ステータスFIFOの深さを選 択することにより、割り込みを削減 異なるクロック・ドメインで、インターフェイス や暗号化されたコンテンツを駆動する デュアル・クロックドメイン機能 ビッグ/リトル・エンディアンをサポート 設定可能な32/64ビット・バス インターフェイス - AMBA AXI4(ローパワー)、AHB - 低レベル・インターフェイス アプリケーション 図 1:SPAcc ブロック図 ネットワーク/VPN - MACsec(802.1 AE) - IPsec - VoIP/SIPゲートウェイ - SSL/TLS/DTLS ワイヤレス - WiFi(802.11) - WiMAX(802.16) - 3GPP、LTE、LTE-A - フェムトセル - ベースステーション DRMおよびコンテンツ保護 SRTP プリンター CLP-600 セキュリティ・プロトコル・アクセラレータ 概要(続き) さらに、インターフェイス・ロジックと内蔵する暗号とハッシュ・コア・ロジックを異なるク ロック・ドメインで駆動させることも可能です。 . セキュリティDMA(SDMA)は、メモリに分配されたパケットを集め、パケットを処理してから同じ位置に再分配、あるいは必要に応じて連続メモリ空 間に保存する機能を有しています。SDMAは、ホスト・メモリに保存されたデータ記述テーブル(DDT)上で動作します。 コマンド FIFO やステータス FIFO はシステムの特定要件に併せて、設定することができます。トラフィックのパケットが小さい場合、ソフトウェアを 単一操作するだけで複数のコマンドをキューできるように、コマンド FIFO を非常に深く設定することができます。ステータス FIFO の深さも同様の 方法で設定されます。割り込みが発生する前に複数の操作が完了するように、ホスト・プロセッサが割り込みの期限をプログラムします。 その結果、ソフトウェアのコンテキスト・スイッチによるオーバーヘッドが削減されます。 ステータス FIFO の深さも同様の方法で設定されます。割り込み発生前に複数の操作が完了するように、ホスト・プロセッサが割り込みの期限を プログラムします。その結果、ソフトウェアのコンテキスト・スイッチによるオーバーヘッドが削減されます。 CLP-600は、現代の高性能SoCアーキテクチャ向けに、独自の新しいQoSと仮想化機能を提供します。 SPAcc-QoS機能は、複数の優先度付きキューを提供すると同時に、ARM Cortex™-A9やMIPS32® 1004Kのようなマルチコア・プロセッサ・アーキ テクチャに対応するように設定することも可能です。 仮想化機能により、設計者は複数の CPU で単一 SPAcc エンジンを共有し、セキュリティ・オフロードを最適化して、ゲート数とメモリ・サイズを大 幅に削減することができます。さらに CLP-600 は、必要に応じて ARM-ACP(アクセラレータ・コヒーレンス・ポート)に直接接続することも可能で す。 また、多くの顧客が音声/動画トラフィックのレイテンシ最適化要件に直面しています。CLP-600は、小型かつレイテンシに影響を受けやすいトラ フィックを、優先順位の高いキューに配置し、同時に全体的な性能目標を確実に達成できるように優先度の低いキューによって大規模なパケット を管理できるトラフィック管理アプリケーションを利用することができます。 CLP-600のサイズと性能特性は、選択した設定に依存します。通常サイズは、メモリを除き約30 Kゲートから235 Kゲートです。350MHzにおける AES-CBC-128の性能は3Gbps、HMAC-SHA-1の性能は1.7Gbps、IPSec ESP AES-CBC-128-HMAC-SHA-1の変換性能は1.7Gbpsです。 図 2: SPAcc サービス品質の仮想化ブロック図 納品 Verilog HDL テストベンチ シンセシス・スクリプトのサンプルおよび制約 シミュレーション・スクリプトのサンプル ドキュメンテーション Elliptic Technologies Inc 400 March Road, Suite 540 Ottawa, ON, Canada K2K 3H4 Japan support contact Phone: 090-3474-1701 [email protected] www.elliptictech.com 株式会社リキッド・デザイン・システムズ 〒222-0033 神奈川県横浜市港北区 新横浜 2-3-4 クレシェンドビル 電話:045-620-0703 FAX:044-712-8555 [email protected] www.liquiddesign.co.jp © 2011 Elliptic Technologies Inc. All rights reserved. Elliptic and Elliptic logo are registered trademarks of Elliptic. All other products names are trademarks of their respective owners. All specifications are subject to change without notice. Rev 1.0
© Copyright 2024 Paperzz