lib/librte_security/rte_security.h

   1 /*-
   2  *   BSD LICENSE
   3  *
   4  *   Copyright 2017 NXP.
   5  *   Copyright(c) 2017 Intel Corporation. All rights reserved.
   6  *
   7  *   Redistribution and use in source and binary forms, with or without
   8  *   modification, are permitted provided that the following conditions
   9  *   are met:
  10  *
  11  *     * Redistributions of source code must retain the above copyright
  12  *       notice, this list of conditions and the following disclaimer.
  13  *     * Redistributions in binary form must reproduce the above copyright
  14  *       notice, this list of conditions and the following disclaimer in
  15  *       the documentation and/or other materials provided with the
  16  *       distribution.
  17  *     * Neither the name of NXP nor the names of its
  18  *       contributors may be used to endorse or promote products derived
  19  *       from this software without specific prior written permission.
  20  *
  21  *   THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
  22  *   "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
  23  *   LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
  24  *   A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
  25  *   OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  26  *   SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
  27  *   LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
  28  *   DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
  29  *   THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
  30  *   (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE
  31  *   OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  32  */
  33
  34 #ifndef _RTE_SECURITY_H_
  35 #define _RTE_SECURITY_H_
  36
  37 /**
  38  * @file rte_security.h
  39  * @b EXPERIMENTAL: this API may change without prior notice
  40  *
  41  * RTE Security Common Definitions
  42  *
  43  */
  44
  45 #ifdef __cplusplus
  46 extern "C" {
  47 #endif
  48
  49 #include <sys/types.h>
  50
  51 #include <netinet/in.h>
  52 #include <netinet/ip.h>
  53 #include <netinet/ip6.h>
  54
  55 #include <rte_common.h>
  56 #include <rte_crypto.h>
  57 #include <rte_mbuf.h>
  58 #include <rte_memory.h>
  59 #include <rte_mempool.h>
  60
  61 /** IPSec protocol mode */
  62 enum rte_security_ipsec_sa_mode {
  63         RTE_SECURITY_IPSEC_SA_MODE_TRANSPORT = 1,
  64         /**< IPSec Transport mode */
  65         RTE_SECURITY_IPSEC_SA_MODE_TUNNEL,
  66         /**< IPSec Tunnel mode */
  67 };
  68
  69 /** IPSec Protocol */
  70 enum rte_security_ipsec_sa_protocol {
  71         RTE_SECURITY_IPSEC_SA_PROTO_AH = 1,
  72         /**< AH protocol */
  73         RTE_SECURITY_IPSEC_SA_PROTO_ESP,
  74         /**< ESP protocol */
  75 };
  76
  77 /** IPSEC tunnel type */
  78 enum rte_security_ipsec_tunnel_type {
  79         RTE_SECURITY_IPSEC_TUNNEL_IPV4 = 1,
  80         /**< Outer header is IPv4 */
  81         RTE_SECURITY_IPSEC_TUNNEL_IPV6,
  82         /**< Outer header is IPv6 */
  83 };
  84
  85 /**
  86  * Security context for crypto/eth devices
  87  *
  88  * Security instance for each driver to register security operations.
  89  * The application can get the security context from the crypto/eth device id
  90  * using the APIs rte_cryptodev_get_sec_ctx()/rte_eth_dev_get_sec_ctx()
  91  * This structure is used to identify the device(crypto/eth) for which the
  92  * security operations need to be performed.
  93  */
  94 struct rte_security_ctx {
  95         void *device;
  96         /**< Crypto/ethernet device attached */
  97         const struct rte_security_ops *ops;
  98         /**< Pointer to security ops for the device */
  99         uint16_t sess_cnt;
 100         /**< Number of sessions attached to this context */
 101 };
 102
 103 /**
 104  * IPSEC tunnel parameters
 105  *
 106  * These parameters are used to build outbound tunnel headers.
 107  */
 108 struct rte_security_ipsec_tunnel_param {
 109         enum rte_security_ipsec_tunnel_type type;
 110         /**< Tunnel type: IPv4 or IPv6 */
 111         RTE_STD_C11
 112         union {
 113                 struct {
 114                         struct in_addr src_ip;
 115                         /**< IPv4 source address */
 116                         struct in_addr dst_ip;
 117                         /**< IPv4 destination address */
 118                         uint8_t dscp;
 119                         /**< IPv4 Differentiated Services Code Point */
 120                         uint8_t df;
 121                         /**< IPv4 Don't Fragment bit */
 122                         uint8_t ttl;
 123                         /**< IPv4 Time To Live */
 124                 } ipv4;
 125                 /**< IPv4 header parameters */
 126                 struct {
 127                         struct in6_addr src_addr;
 128                         /**< IPv6 source address */
 129                         struct in6_addr dst_addr;
 130                         /**< IPv6 destination address */
 131                         uint8_t dscp;
 132                         /**< IPv6 Differentiated Services Code Point */
 133                         uint32_t flabel;
 134                         /**< IPv6 flow label */
 135                         uint8_t hlimit;
 136                         /**< IPv6 hop limit */
 137                 } ipv6;
 138                 /**< IPv6 header parameters */
 139         };
 140 };
 141
 142 /**
 143  * IPsec Security Association option flags
 144  */
 145 struct rte_security_ipsec_sa_options {
 146         /**< Extended Sequence Numbers (ESN)
 147          *
 148          * * 1: Use extended (64 bit) sequence numbers
 149          * * 0: Use normal sequence numbers
 150          */
 151         uint32_t esn : 1;
 152
 153         /**< UDP encapsulation
 154          *
 155          * * 1: Do UDP encapsulation/decapsulation so that IPSEC packets can
 156          *      traverse through NAT boxes.
 157          * * 0: No UDP encapsulation
 158          */
 159         uint32_t udp_encap : 1;
 160
 161         /**< Copy DSCP bits
 162          *
 163          * * 1: Copy IPv4 or IPv6 DSCP bits from inner IP header to
 164          *      the outer IP header in encapsulation, and vice versa in
 165          *      decapsulation.
 166          * * 0: Do not change DSCP field.
 167          */
 168         uint32_t copy_dscp : 1;
 169
 170         /**< Copy IPv6 Flow Label
 171          *
 172          * * 1: Copy IPv6 flow label from inner IPv6 header to the
 173          *      outer IPv6 header.
 174          * * 0: Outer header is not modified.
 175          */
 176         uint32_t copy_flabel : 1;
 177
 178         /**< Copy IPv4 Don't Fragment bit
 179          *
 180          * * 1: Copy the DF bit from the inner IPv4 header to the outer
 181          *      IPv4 header.
 182          * * 0: Outer header is not modified.
 183          */
 184         uint32_t copy_df : 1;
 185
 186         /**< Decrement inner packet Time To Live (TTL) field
 187          *
 188          * * 1: In tunnel mode, decrement inner packet IPv4 TTL or
 189          *      IPv6 Hop Limit after tunnel decapsulation, or before tunnel
 190          *      encapsulation.
 191          * * 0: Inner packet is not modified.
 192          */
 193         uint32_t dec_ttl : 1;
 194 };
 195
 196 /** IPSec security association direction */
 197 enum rte_security_ipsec_sa_direction {
 198         RTE_SECURITY_IPSEC_SA_DIR_EGRESS,
 199         /**< Encrypt and generate digest */
 200         RTE_SECURITY_IPSEC_SA_DIR_INGRESS,
 201         /**< Verify digest and decrypt */
 202 };
 203
 204 /**
 205  * IPsec security association configuration data.
 206  *
 207  * This structure contains data required to create an IPsec SA security session.
 208  */
 209 struct rte_security_ipsec_xform {
 210         uint32_t spi;
 211         /**< SA security parameter index */
 212         uint32_t salt;
 213         /**< SA salt */
 214         struct rte_security_ipsec_sa_options options;
 215         /**< various SA options */
 216         enum rte_security_ipsec_sa_direction direction;
 217         /**< IPSec SA Direction - Egress/Ingress */
 218         enum rte_security_ipsec_sa_protocol proto;
 219         /**< IPsec SA Protocol - AH/ESP */
 220         enum rte_security_ipsec_sa_mode mode;
 221         /**< IPsec SA Mode - transport/tunnel */
 222         struct rte_security_ipsec_tunnel_param tunnel;
 223         /**< Tunnel parameters, NULL for transport mode */
 224 };
 225
 226 /**
 227  * MACsec security session configuration
 228  */
 229 struct rte_security_macsec_xform {
 230         /** To be Filled */
 231         int dummy;
 232 };
 233
 234 /**
 235  * Security session action type.
 236  */
 237 enum rte_security_session_action_type {
 238         RTE_SECURITY_ACTION_TYPE_NONE,
 239         /**< No security actions */
 240         RTE_SECURITY_ACTION_TYPE_INLINE_CRYPTO,
 241         /**< Crypto processing for security protocol is processed inline
 242          * during transmission
 243          */
 244         RTE_SECURITY_ACTION_TYPE_INLINE_PROTOCOL,
 245         /**< All security protocol processing is performed inline during
 246          * transmission
 247          */
 248         RTE_SECURITY_ACTION_TYPE_LOOKASIDE_PROTOCOL
 249         /**< All security protocol processing including crypto is performed
 250          * on a lookaside accelerator
 251          */
 252 };
 253
 254 /** Security session protocol definition */
 255 enum rte_security_session_protocol {
 256         RTE_SECURITY_PROTOCOL_IPSEC = 1,
 257         /**< IPsec Protocol */
 258         RTE_SECURITY_PROTOCOL_MACSEC,
 259         /**< MACSec Protocol */
 260 };
 261
 262 /**
 263  * Security session configuration
 264  */
 265 struct rte_security_session_conf {
 266         enum rte_security_session_action_type action_type;
 267         /**< Type of action to be performed on the session */
 268         enum rte_security_session_protocol protocol;
 269         /**< Security protocol to be configured */
 270         RTE_STD_C11
 271         union {
 272                 struct rte_security_ipsec_xform ipsec;
 273                 struct rte_security_macsec_xform macsec;
 274         };
 275         /**< Configuration parameters for security session */
 276         struct rte_crypto_sym_xform *crypto_xform;
 277         /**< Security Session Crypto Transformations */
 278         void *userdata;
 279         /**< Application specific userdata to be saved with session */
 280 };
 281
 282 struct rte_security_session {
 283         void *sess_private_data;
 284         /**< Private session material */
 285 };
 286
 287 /**
 288  * Create security session as specified by the session configuration
 289  *
 290  * @param   instance    security instance
 291  * @param   conf        session configuration parameters
 292  * @param   mp          mempool to allocate session objects from
 293  * @return
 294  *  - On success, pointer to session
 295  *  - On failure, NULL
 296  */
 297 struct rte_security_session *
 298 rte_security_session_create(struct rte_security_ctx *instance,
 299                             struct rte_security_session_conf *conf,
 300                             struct rte_mempool *mp);
 301
 302 /**
 303  * Update security session as specified by the session configuration
 304  *
 305  * @param   instance    security instance
 306  * @param   sess        session to update parameters
 307  * @param   conf        update configuration parameters
 308  * @return
 309  *  - On success returns 0
 310  *  - On failure return errno
 311  */
 312 int
 313 rte_security_session_update(struct rte_security_ctx *instance,
 314                             struct rte_security_session *sess,
 315                             struct rte_security_session_conf *conf);
 316
 317 /**
 318  * Free security session header and the session private data and
 319  * return it to its original mempool.
 320  *
 321  * @param   instance    security instance
 322  * @param   sess        security session to freed
 323  *
 324  * @return
 325  *  - 0 if successful.
 326  *  - -EINVAL if session is NULL.
 327  *  - -EBUSY if not all device private data has been freed.
 328  */
 329 int
 330 rte_security_session_destroy(struct rte_security_ctx *instance,
 331                              struct rte_security_session *sess);
 332
 333 /**
 334  *  Updates the buffer with device-specific defined metadata
 335  *
 336  * @param       instance        security instance
 337  * @param       sess            security session
 338  * @param       mb              packet mbuf to set metadata on.
 339  * @param       params          device-specific defined parameters
 340  *                              required for metadata
 341  *
 342  * @return
 343  *  - On success, zero.
 344  *  - On failure, a negative value.
 345  */
 346 int
 347 rte_security_set_pkt_metadata(struct rte_security_ctx *instance,
 348                               struct rte_security_session *sess,
 349                               struct rte_mbuf *mb, void *params);
 350
 351 /**
 352  * Get userdata associated with the security session which processed the
 353  * packet. This userdata would be registered while creating the session, and
 354  * application can use this to identify the SA etc. Device-specific metadata
 355  * in the mbuf would be used for this.
 356  *
 357  * This is valid only for inline processed ingress packets.
 358  *
 359  * @param   instance    security instance
 360  * @param   md          device-specific metadata set in mbuf
 361  *
 362  * @return
 363  *  - On success, userdata
 364  *  - On failure, NULL
 365  */
 366 void *
 367 rte_security_get_userdata(struct rte_security_ctx *instance, uint64_t md);
 368
 369 /**
 370  * Attach a session to a symmetric crypto operation
 371  *
 372  * @param       sym_op  crypto operation
 373  * @param       sess    security session
 374  */
 375 static inline int
 376 __rte_security_attach_session(struct rte_crypto_sym_op *sym_op,
 377                               struct rte_security_session *sess)
 378 {
 379         sym_op->sec_session = sess;
 380
 381         return 0;
 382 }
 383
 384 static inline void *
 385 get_sec_session_private_data(const struct rte_security_session *sess)
 386 {
 387         return sess->sess_private_data;
 388 }
 389
 390 static inline void
 391 set_sec_session_private_data(struct rte_security_session *sess,
 392                              void *private_data)
 393 {
 394         sess->sess_private_data = private_data;
 395 }
 396
 397 /**
 398  * Attach a session to a crypto operation.
 399  * This API is needed only in case of RTE_SECURITY_SESS_CRYPTO_PROTO_OFFLOAD
 400  * For other rte_security_session_action_type, ol_flags in rte_mbuf may be
 401  * defined to perform security operations.
 402  *
 403  * @param       op      crypto operation
 404  * @param       sess    security session
 405  */
 406 static inline int
 407 rte_security_attach_session(struct rte_crypto_op *op,
 408                             struct rte_security_session *sess)
 409 {
 410         if (unlikely(op->type != RTE_CRYPTO_OP_TYPE_SYMMETRIC))
 411                 return -EINVAL;
 412
 413         op->sess_type =  RTE_CRYPTO_OP_SECURITY_SESSION;
 414
 415         return __rte_security_attach_session(op->sym, sess);
 416 }
 417
 418 struct rte_security_macsec_stats {
 419         uint64_t reserved;
 420 };
 421
 422 struct rte_security_ipsec_stats {
 423         uint64_t reserved;
 424
 425 };
 426
 427 struct rte_security_stats {
 428         enum rte_security_session_protocol protocol;
 429         /**< Security protocol to be configured */
 430
 431         RTE_STD_C11
 432         union {
 433                 struct rte_security_macsec_stats macsec;
 434                 struct rte_security_ipsec_stats ipsec;
 435         };
 436 };
 437
 438 /**
 439  * Get security session statistics
 440  *
 441  * @param       instance        security instance
 442  * @param       sess            security session
 443  * @param       stats           statistics
 444  * @return
 445  *  - On success return 0
 446  *  - On failure errno
 447  */
 448 int
 449 rte_security_session_stats_get(struct rte_security_ctx *instance,
 450                                struct rte_security_session *sess,
 451                                struct rte_security_stats *stats);
 452
 453 /**
 454  * Security capability definition
 455  */
 456 struct rte_security_capability {
 457         enum rte_security_session_action_type action;
 458         /**< Security action type*/
 459         enum rte_security_session_protocol protocol;
 460         /**< Security protocol */
 461         RTE_STD_C11
 462         union {
 463                 struct {
 464                         enum rte_security_ipsec_sa_protocol proto;
 465                         /**< IPsec SA protocol */
 466                         enum rte_security_ipsec_sa_mode mode;
 467                         /**< IPsec SA mode */
 468                         enum rte_security_ipsec_sa_direction direction;
 469                         /**< IPsec SA direction */
 470                         struct rte_security_ipsec_sa_options options;
 471                         /**< IPsec SA supported options */
 472                 } ipsec;
 473                 /**< IPsec capability */
 474                 struct {
 475                         /* To be Filled */
 476                         int dummy;
 477                 } macsec;
 478                 /**< MACsec capability */
 479         };
 480
 481         const struct rte_cryptodev_capabilities *crypto_capabilities;
 482         /**< Corresponding crypto capabilities for security capability  */
 483
 484         uint32_t ol_flags;
 485         /**< Device offload flags */
 486 };
 487
 488 #define RTE_SECURITY_TX_OLOAD_NEED_MDATA        0x00000001
 489 /**< HW needs metadata update, see rte_security_set_pkt_metadata().
 490  */
 491
 492 #define RTE_SECURITY_TX_HW_TRAILER_OFFLOAD      0x00000002
 493 /**< HW constructs trailer of packets
 494  * Transmitted packets will have the trailer added to them
 495  * by hardawre. The next protocol field will be based on
 496  * the mbuf->inner_esp_next_proto field.
 497  */
 498 #define RTE_SECURITY_RX_HW_TRAILER_OFFLOAD      0x00010000
 499 /**< HW removes trailer of packets
 500  * Received packets have no trailer, the next protocol field
 501  * is supplied in the mbuf->inner_esp_next_proto field.
 502  * Inner packet is not modified.
 503  */
 504
 505 /**
 506  * Security capability index used to query a security instance for a specific
 507  * security capability
 508  */
 509 struct rte_security_capability_idx {
 510         enum rte_security_session_action_type action;
 511         enum rte_security_session_protocol protocol;
 512
 513         RTE_STD_C11
 514         union {
 515                 struct {
 516                         enum rte_security_ipsec_sa_protocol proto;
 517                         enum rte_security_ipsec_sa_mode mode;
 518                         enum rte_security_ipsec_sa_direction direction;
 519                 } ipsec;
 520         };
 521 };
 522
 523 /**
 524  *  Returns array of security instance capabilities
 525  *
 526  * @param       instance        Security instance.
 527  *
 528  * @return
 529  *   - Returns array of security capabilities.
 530  *   - Return NULL if no capabilities available.
 531  */
 532 const struct rte_security_capability *
 533 rte_security_capabilities_get(struct rte_security_ctx *instance);
 534
 535 /**
 536  * Query if a specific capability is available on security instance
 537  *
 538  * @param       instance        security instance.
 539  * @param       idx             security capability index to match against
 540  *
 541  * @return
 542  *   - Returns pointer to security capability on match of capability
 543  *     index criteria.
 544  *   - Return NULL if the capability not matched on security instance.
 545  */
 546 const struct rte_security_capability *
 547 rte_security_capability_get(struct rte_security_ctx *instance,
 548                             struct rte_security_capability_idx *idx);
 549
 550 #ifdef __cplusplus
 551 }
 552 #endif
 553
 554 #endif /* _RTE_SECURITY_H_ */