CLP-600 Product Brief セキュリティ・プロトコル・アクセラレータセキュリティ・プロトコル・アクセラレータ（SPAcc）は、設計者に、現代の多機能、高性能なSoCデザインにおいて複雑なセキュリティ要件に対応する為の前例のない設定可能性を提供しています。このようなデザインには、益々MACレイヤのセキュリティ（例： WiMAX、Wi-Fi、MACsec、3GPP/LTE）、IPsecやSSLを搭載するVPNセキュリティ、アプリケーション・レイヤ・セキュリティ（例：SRTP）およびコンテンツ保護（例：DTCP）が採用されています。これに伴う課題として、様々なパケット・サイズ混在のトラフィック特性がある高スループット要件とともに、シングル・コア/マルチ・コア・プロセッサ・アーキテクチャで音声/動画アプリケーションのサービス品質を保持する為の低レイテンシ要件に対応しなければならない点が挙げられます。概要大部分のセキュリティ・プロトコルは、計算集約型の機密性と認証アルゴリズムをデータに適用させる必要があります。CLP-600 SPAcc は、プログラム可能なシーケンサ、セキュリティ DMA エンジン、 MACsec、IPsec、SSL/TLS/DTLS、SRTP、WiMAX、WiFi、コンテンツ保護、3GPP/LTE/LTE-A のような様々なプロトコルに対応可能な暗号化やハッシング・リソースで構成されたフレームワークを提供します。 CLP-600はバス・トラフィックを削減し、効率的なデータの優先順位付けや認証および暗号化/解読等の暗号演算の並行処理をサポートすることにより、スループットを向上します。 SPAccは下記の基本暗号演算に対応しています。  暗号アルゴリズム： AES、DES/3DES、ARC4 [RC4]、MULTI2、KASUMI、SNOW 3G、ZUC  暗号モード： ECB、CBC、CTR、OFB、CFB、f8、XTS、UEA1、UEA2、128-EEA2、128-EEA3  Authenticated Encryption with Associated Data (AEAD) modes: CCM, GCM  ハッシュ/MACアルゴリズム： MD5、SHA—1、SHA-224、SHA-256、SHA-384、SHA-512、SHA512/224、SHA-512/256、AES-XCBC-MAC、AES-CMAC、KASUMI-f9、KASUMI-UIA1、SNOW3G-UIA2、SNOW-3G-128-EIA1、AES-128-EIA2、ZUC-128-EIA3、CRC-32-IEEE802.3  ハッシュ・モード： RAWハッシュ、SSLMAC、HMAC また、AES、DES、KASUMI、SNOW 3Gのような特定の暗号には、ビルド・タイムで定義する性能オプションがあります。特長  柔軟に設定可能なセキュリティアクセラレータ  主要セキュリティ・プロトコルで使用されている暗号、ハッシュ、MACアルゴリズム全てに対応  ARM TrustZone対応  スキャッター/ギャザーDMA機能によりシステムCPUをオフロード  最適なバス使用率  ハッシング、暗号化を並行処理することによりスループットを向上  IVインポート機能 - IVに関連ペイロードとの共通DMA処理  NVMに蓄積されたシークレットにアクセスする為のセキュア・キーポート  セキュア/ノーマル処理モードに対応するセキュア・バス・オプション  コマンド/ステータスFIFOの深さを選択することにより、割り込みを削減  異なるクロック・ドメインで、インターフェイスや暗号化されたコンテンツを駆動するデュアル・クロックドメイン機能  ビッグ/リトル・エンディアンをサポート  設定可能な32/64ビット・バスインターフェイス - AMBA AXI4（ローパワー）、AHB - 低レベル・インターフェイスアプリケーション図 1:SPAcc ブロック図  ネットワーク/VPN - MACsec（802.1 AE） - IPsec - VoIP/SIPゲートウェイ - SSL/TLS/DTLS  ワイヤレス - WiFi（802.11） - WiMAX（802.16） - 3GPP、LTE、LTE-A - フェムトセル - ベースステーション  DRMおよびコンテンツ保護  SRTP  プリンター CLP-600 セキュリティ・プロトコル・アクセラレータ概要（続き）さらに、インターフェイス・ロジックと内蔵する暗号とハッシュ・コア・ロジックを異なるクロック・ドメインで駆動させることも可能です。 . セキュリティDMA（SDMA）は、メモリに分配されたパケットを集め、パケットを処理してから同じ位置に再分配、あるいは必要に応じて連続メモリ空間に保存する機能を有しています。SDMAは、ホスト・メモリに保存されたデータ記述テーブル（DDT）上で動作します。コマンド FIFO やステータス FIFO はシステムの特定要件に併せて、設定することができます。トラフィックのパケットが小さい場合、ソフトウェアを単一操作するだけで複数のコマンドをキューできるように、コマンド FIFO を非常に深く設定することができます。ステータス FIFO の深さも同様の方法で設定されます。割り込みが発生する前に複数の操作が完了するように、ホスト・プロセッサが割り込みの期限をプログラムします。その結果、ソフトウェアのコンテキスト・スイッチによるオーバーヘッドが削減されます。ステータス FIFO の深さも同様の方法で設定されます。割り込み発生前に複数の操作が完了するように、ホスト・プロセッサが割り込みの期限をプログラムします。その結果、ソフトウェアのコンテキスト・スイッチによるオーバーヘッドが削減されます。 CLP-600は、現代の高性能SoCアーキテクチャ向けに、独自の新しいQoSと仮想化機能を提供します。 SPAcc-QoS機能は、複数の優先度付きキューを提供すると同時に、ARM Cortex™-A9やMIPS32® 1004Kのようなマルチコア・プロセッサ・アーキテクチャに対応するように設定することも可能です。仮想化機能により、設計者は複数の CPU で単一 SPAcc エンジンを共有し、セキュリティ・オフロードを最適化して、ゲート数とメモリ・サイズを大幅に削減することができます。さらに CLP-600 は、必要に応じて ARM-ACP（アクセラレータ・コヒーレンス・ポート）に直接接続することも可能です。また、多くの顧客が音声/動画トラフィックのレイテンシ最適化要件に直面しています。CLP-600は、小型かつレイテンシに影響を受けやすいトラフィックを、優先順位の高いキューに配置し、同時に全体的な性能目標を確実に達成できるように優先度の低いキューによって大規模なパケットを管理できるトラフィック管理アプリケーションを利用することができます。 CLP-600のサイズと性能特性は、選択した設定に依存します。通常サイズは、メモリを除き約30 Kゲートから235 Kゲートです。350MHzにおける AES-CBC-128の性能は3Gbps、HMAC-SHA-1の性能は1.7Gbps、IPSec ESP AES-CBC-128-HMAC-SHA-1の変換性能は1.7Gbpsです。図 2: SPAcc サービス品質の仮想化ブロック図納品      Verilog HDL テストベンチシンセシス・スクリプトのサンプルおよび制約シミュレーション・スクリプトのサンプルドキュメンテーション Elliptic Technologies Inc 400 March Road, Suite 540 Ottawa, ON, Canada K2K 3H4 Japan support contact Phone: 090-3474-1701 [email protected] www.elliptictech.com 株式会社リキッド・デザイン・システムズ〒222－0033 神奈川県横浜市港北区新横浜 2－3－4 クレシェンドビル電話:045－620－0703 FAX:044-712-8555 [email protected] www.liquiddesign.co.jp © 2011 Elliptic Technologies Inc. All rights reserved. Elliptic and Elliptic logo are registered trademarks of Elliptic. All other products names are trademarks of their respective owners. All specifications are subject to change without notice. Rev 1.0