1、从内生安全智能网卡到S-DPU网络安全芯片领域的领跑者沐创内生安全智能网卡是什么?内生安全智能网卡的下一代S S-DPUDPU沐创内生安全智能网卡解决了什么问题?沐创内生安全智能网卡应用范例从内生安全智能网卡到S-DPU沐创智能网卡是什么?01技术方向:沐创智能网卡之路通过可重构计算技术实现了网络安全服务的卸载;能够显著降低数据中心云计算服务提供商TCO产品介绍:N10智能网卡芯片平台架构Switching/Routing EngineNPUMPE40G MAC10G MAC10G MAC10G MAC10G MACSecurity EngineRPURPURPURPUPCIE Gen 3.0
2、 x8DMA Engine40G MAC10G MAC10G MAC10G MAC10G MACNIC MODQoS EngineVEBTunneling EngineBMCNIC MODQoS EngineVEBTunneling EngineBMCFlow EngineTCAMFlow EngineTCAMNIC MODQoS EngineVEBTunneling EngineBMCFlow EngineTCAM特性数量1G/10G接口8个40G接口2个25G接口2个,通过SIP/Gearbox支持RPU(微码编程)16个微码引擎。流转发引擎(ACL 交换)2个NPU 模块(深度报文解析)
3、RISC-V x 4产品介绍:N10智能网卡芯片架构图0 1 2 34 5 6 7PCIe 3.0 x8DMAProcessing CoresSwitchFLow EnginesIngress ProcessingEngress Processing 4?RISC-V贤让 终盔盅哺鳟 16淋徉啷镘 终,晶 终IPSec,TLS晶TCAM 衤媵慨媒烂 衤媵殓褓辆稼QoS TCO,TSO,PFC 衤媵殓褓偿郝鳟 RCO焱疰衤媵慨 RSS焱疰香稼舒 衤媵殓褓 8192鲚偿郝 40G阻慨槔劲 疬赍SM1/2/3/4 疬赍RSA,AES,SHA256 疬赍淋鳍 疬赍40G晶铸贤劲 疬赍8列10G瓒8列1
4、G 疬赍凉列40G 疬赍凉列25G楂卣 数据处理层 数据交互层 硬件接口层产品定位:N10智能网卡也是标准网卡VXLAN/NVGRE SRIOV(MAC EVB)网络卸载TSO/LSO/CHCKSUM主机RSS、RSS/VXLANDPDK 标准驱动(PF/VF)内核态标准驱动(PF/VF)PXE启动NC-SI/BMC 边带管理功能标准网卡特性沐创智能网卡解决了什么问题?02高性能:国产化服务器加速生掣靠恹蹒鲸让CPU可编程:高效灵活的协议处理高安全:国密的端到端的安全传输CoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCo
5、reCoreCoreCoreCoreCoreCoreCoreCoreHostN10PEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPENetworkSecurityCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreHostN10PEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPENetworkSecurityCoreCoreCoreCoreCoreCoreCoreCo
6、reCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreCoreHostSecurityNICASICNetwork螭褓铸褓螭褓螭褓N10舨掷虹垃淋疬赍IPSec瓒MACSec碍终俭掷虹从?凹六蜿疬赍枳盅哺掷虹盔架构特点:可编程网卡特性沐创智能网卡应用案例03eth_header(14+4X B)new_ip_header(20B)old_ip_header(20+4X B)ip_pkt_payloadesp_padding(015B)pad_len&next_header(2B)esp_header(8B)ICV(32B)e
7、th_header(14+4X B)ip_header(20+4X B)ip_pkt_payloadeth_trailer(4B)eth_trailer(4B)Ciphertextesp_header(8B)SM4晶铸ESP宗慨HMAC-SM3?eth_header(14+4X B)new_ip_header(20B)Ciphertextesp_header(8B)ICV(32B)eth_trailer(4B)籀IP慨ESP宗慨ESP晶铸慨esp_header(8B)HMACCiphertext晶铸璋ICV铸褓传输层加密技术(TLS)网络层加密技术(IPSec)链路层加密技术(MACSec)支
8、持XFRM的框架IPSec卸载支持SSL报文的加解密引擎卸载支持网络二层,三层,四层加密高达40Gbs的加密处理能力支持算法自定义,可灵活编程eth_header(14+4X B)new_ip_header(20B)esp_header(8B)ICV(32B)eth_trailer(4B)SM4铸HMAC-SM3?eth_header(14+4X B)new_ip_header(20B)esp_header(8B)ICV(32B)eth_trailer(4B)ESP晶铸慨HMAC慨刘恹Ciphertextold_ip_header(20+4X B)ip_pkt_payloadesp_paddi
9、ng(015B)pad_len&next_header(2B)eth_header(14+4X B)ip_header(20+4X B)ip_pkt_payloadeth_tailer(4B)ESP宗慨籀IP慨滓衤媵慨铸ESP宗慨TLS加速IPSecMACSec产品应用:安全协议卸载内置16个通用密码可重构处理器RPU内置随机数TRNG模块,硬件PUF模块基于N10支持40G密码加密速率Handle 0 x2019,KeyRAMRPU/PUBCrypto LibCrypto LibRSA-GENKEYRSA-SIGNRSA-VERIFYRSA-ENCRYPTRSA-DECRYPTSM2-GEN
10、KEYSM2-SIGNSM2-VERIFYSM2-ENCRYPTSM2-DECRYPTSHA256AES(CTR)SM3SM4(CTR)TRNGFlash公钥证书Key SlotKey SlotKey RegisterPuf加密密钥签名密钥加密密钥签名密钥公钥证书Identity Authentication(Password)RPU/PUBApplicationHigh Level APISDK(Sync/Async API)Linux Kernel DriverNginxOpenSSL Engine应用智能卡CMDQRingKEKEK K完整支持国际国内双模密码体制国密算法:SM1/SM2
11、/SM3/SM4国际算法:AES/RSA/SHA256支持IPSEC、TLS/SSL等典型协议支撑密钥管理、可信计算等业务模型SM1/2/3/4AES/RSA/SHA用户自定义加密算法加密引擎公公共共网网络络明文密文密钥密文明文密钥密文密钥安全信道攻击者发送者接收者接收者基于sm2算法数据签名,实现主机数据传输可追溯基于sm4算法对报文内容进行全链路加密,实现密文传输产品应用:密码算法加速随机数发生器(自主研发;支持密码算法SM1/2/3/4)可信计算:保障信息系统主体,客体可信访问控制:保障主体对客体合理操作权限平台完整性完整性度量信任传递平台身份可信完整性报告身份证明平台数据保护密码服务平
12、台数据安全密钥管理系统可信服务可信栈产品优势:可信计算网卡 设置黑白名单,可编程RPU引擎MAC报头IP报头TCP/UDP报头数据协议号源地址目的地址协议号源地址目的地址源端口目的端口5元组组成了TCP/UDP连接,访问控制列表利用这些元素所定义规则 内置TCAM五元组报文过滤黑名单VPN2.2.2.2用户A 1.1.1.1/24VPN1用户B 2.2.2.2/24VPN2内部网络根据定义的规则对经过防火墙(网卡)的流量进行筛选,并根据关键字确定筛选出的流量如何进行下一步操作。产品优势:可信计算网卡a)基于流量的抗ping DDOS攻击b)逐包分析,抵御泛洪攻击c)协议侦听设置网络拦阻规则d)
13、10G线速 ping 响应回复ICMP/IGMP 洪水攻击UDP 洪水攻击ACK反射攻击DNS放大攻击NTP放大攻击SNMP放大攻击Coremelt 攻击直接攻击反射放大攻击链路攻击网络带宽资源普通网卡透传网络攻击信息,直接威胁服务器主机N10智能安全网卡技术实现网络攻击隔离和防护,实现真正的门卫式保护4核RISC-V16核可编程微引擎产品优势:安全防护产品型号介绍类别N400N10L-X8N10G-X2N10G-X4N10G-X8RNP N10C-X8端口类型4*1G8*1G2*10G4*10G2*40G;2*25G(支持10G);8*10G2*10GPCIe接口PCIe 2.0 x 4PC
14、Ie 3.0 x 4PCIe3.0 x 8PCIe 3.0 x 8PCIe 3.0 x 8虚拟化4PF/32VFN/A支持2PF/128VF支持2PF/128VF网络特性支持RSS,TSO,GRO,TCO,RCO安全特性N/A支持对称算法/杂凑算法/流密码/公钥算法可编程特性N/A网络报文查找/网络报文过滤/网络报文封装等适配特性支持DPDK/支持x86、MIPS、ARM、Alpha等主流 CPU架构操作系统支持Linux和Windows主流操作系统封装尺寸BGA17mm*17mmBGA,25mm*25mm工作温度商业级工作温度 055,工业级工作温度-4085标准扩展卡OCP网卡PCIe网卡
15、板载onboard异形扩展卡网安主板工控主板服务器主板产品应用形态4x10G2x10G2*25G 2x40G8x1G光8x1G电8x1G光&电4x10G4*10G&4x1G 2x40G8x1G光8x1G电8x1G光&电4x10G200+方案设计100+客户群10万+销量产品应用形态处理器为国产服务器系统提供1/10/25/40G国产网络控制器方案飞腾龙芯申威海光兆芯IntelAMD固件生态建设沐创下一代S-DPU04System网络系统方案网络系统方案SDN软件定义网络软件定义网络Storage网络存储体系网络存储体系Security网络安全特性网络安全特性u 端到端安全加密u 存储资源池化u
16、 软件定义网络交换u 边缘网络节点沐创S-DPU1.PUF/TRNG支持2.国密/国标双模算法支持3.链路层加密技术(MACSec)4.网络层加密技术(IPSec)5.传输层加密技术(TLS)6.存储加密(XTS)7.用户自定义网络安全协议PCIeTLS晶MACSec铸?VMVFO/SVMVFO/SVMVFO/SVMVFO/SHypervisorSRIOVSM1,SM2,SM3,SM4AES,RSA,SHA256枳盅哺晶铸IPSec铸?蹒鲸芈?焱列ServerSecurity-DPUXTS晶铸Security:网络安全体系NVMESSDNVMESSDTargetS-DPU?CPUS-DPU?C
17、PU2 100Gb InitiatorsDDRDDRSecurity engine25G/100GLegacyI/ORISC-VRISC-VCACHEPCIePCIeRISC-VRISC-VRISC-VRISC-VRISC-VRISC-V25G/100G25G/100G25G/100GPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPERPUPCIePCIeFLOW ENGINEDDRNvme HostBufferIOMMUDMAPF/VFNVMe HostIB-CoreRDMA Dev DriverRDMA USER APPLANeSWITCHMA
18、CNvme TargetIOMMUDMANVMe警NVME闲PF/VFNVMe TargetIB-CoreRDMA Dev DriverNVMe CliRDMA LANeSWITCHMACPF/VFBufferNVMe CliBlock DriverNvme over RDMA实现高效能网络存储节点Storage:网络存储体系MACIPPOPPMACPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEOVSAgentCLIAPIExecuteActionAppsnetdev or DPDKAppsnetdev or DPDKAppsnetdev or
19、 DPDKAppsnetdev or DPDKAppsnetdev or DPDKOVSKernel DPMatch/ActMissMiss香香RISC-VS-DPUMissHitVMPCIeSR_IOV/VirtIO VFsSR_IOV/VirtIO VFsExact MatchOVSKernel DPMatch/ActExecute ActionHOSTSDN:软件定义网络DDRDDRSecurity engine25G/100GLegacyI/ORISC-VRISC-VCACHEPCIePCIeRISC-VRISC-VRISC-VRISC-VRISC-VRISC-V25G/100G25G/100G25G/100GPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPERPUPCIePCIeFLOW ENGINESystem:网络系统方案沐创产品路标05沐创芯片路标:国密融合安全,安全融合网络,网络融合智能THANKS!