国密IPSec硬件加速卡,支持国密SM1、SM2、SM3、SM4算法,解决百兆、千兆、万兆国密IPSec性能瓶颈。无需用户开发即可实现IPSec的国密改造。
IPSec在使用的过程中,需要进行频繁的加解密操作,而加解密操作会极大地消耗CPU资源。因此,许多提供IPSec服务的设备厂商尝试通过多种手段来提高加解密性能,从而缓解CPU压力,提升设备IPSec 的性能和吞吐率。
常见的国密IPSec设备主要存在以下问题:(1)国密算法采用纯软件实现,安全性不符合国密要求;且软软算法性能较低,严重消耗CPU资源,不满足网络通信需要;(2)部分采用国密硬件的IPSec设备,其密码模块性能较低;且一次IPSec封装过程需要进行两次哈希和一次对称加密运算,导致了市场上常见的硬件加速模块,实测IPSec性能与标称加解密性能相比大打折扣。
现提出国密IPSec VPN硬件加速卡解决方案。该硬件加速卡,在SM3、SM4算法的基础上,封装了IPSec专用接口,在硬件中一次完成IPSec的HMAC与对称加解密,解决了CPU性能与IO瓶颈。该方案提供内核态IPSec加速模块,无需用户开发,即可实现内核态IPSec硬件加速。
该IPSec硬件加速卡采用国家密码管理局批准的核心密码芯片。
性能参数 | Mini PCIE密码卡 | PCIE密码卡 |
IPSec加密吞吐率 | 10/100/1000Mbps | 100Mbps/1Gbps/10Gbps |
SM4对称加解密 | 最高1.2Gbps | 最高20Gbps |
SM1对称加解密 | 120Mbps | 最高20Gbps |
SM2签名 | 3300次/秒 | 最高20万次/秒 |
网络时延 | <1ms | <1ms |
功能 | 描述 |
密码算法 |
|
国密IPSec加速算法 | 提供国密IPSec硬件加速专用算法接口,支持SM4-SM3算法组合 |
SM1、SM4 | 支持CBC、ECB等模式 |
SM2 | 支持SM2签名、加密双证书 |
SM3 | 支持基于SM3杂凑算法的数据摘要产生与验证 |
接口与规范 |
|
硬件接口 | 支持PCI-Ex4接口 |
软件接口 | 提供linux内核模块,插入即可实现IPSec协议硬件对接 |
IPSec协议 | 支持内核态ESP协议 |
标准规范 | GM/T0022-2014《IPSec VPN 技术规范》 |
运行环境 |
|
硬件平台 | 支持飞腾、龙芯、申威等国产平台 |
操作系统 | 支持类Linux、Unix操作系统 |
