crypto/mlx5: add maximum segments configuration
[dpdk.git] / lib / security / rte_security.h
1 /* SPDX-License-Identifier: BSD-3-Clause
2  * Copyright 2017,2019-2020 NXP
3  * Copyright(c) 2017-2020 Intel Corporation.
4  */
5
6 #ifndef _RTE_SECURITY_H_
7 #define _RTE_SECURITY_H_
8
9 /**
10  * @file rte_security.h
11  *
12  * RTE Security Common Definitions
13  *
14  */
15
16 #ifdef __cplusplus
17 extern "C" {
18 #endif
19
20 #include <sys/types.h>
21
22 #include <netinet/in.h>
23 #include <netinet/ip.h>
24 #include <netinet/ip6.h>
25
26 #include <rte_compat.h>
27 #include <rte_common.h>
28 #include <rte_crypto.h>
29 #include <rte_mbuf.h>
30 #include <rte_mbuf_dyn.h>
31 #include <rte_memory.h>
32 #include <rte_mempool.h>
33
34 /** IPSec protocol mode */
35 enum rte_security_ipsec_sa_mode {
36         RTE_SECURITY_IPSEC_SA_MODE_TRANSPORT = 1,
37         /**< IPSec Transport mode */
38         RTE_SECURITY_IPSEC_SA_MODE_TUNNEL,
39         /**< IPSec Tunnel mode */
40 };
41
42 /** IPSec Protocol */
43 enum rte_security_ipsec_sa_protocol {
44         RTE_SECURITY_IPSEC_SA_PROTO_AH = 1,
45         /**< AH protocol */
46         RTE_SECURITY_IPSEC_SA_PROTO_ESP,
47         /**< ESP protocol */
48 };
49
50 /** IPSEC tunnel type */
51 enum rte_security_ipsec_tunnel_type {
52         RTE_SECURITY_IPSEC_TUNNEL_IPV4 = 1,
53         /**< Outer header is IPv4 */
54         RTE_SECURITY_IPSEC_TUNNEL_IPV6,
55         /**< Outer header is IPv6 */
56 };
57
58 /**
59  * Security context for crypto/eth devices
60  *
61  * Security instance for each driver to register security operations.
62  * The application can get the security context from the crypto/eth device id
63  * using the APIs rte_cryptodev_get_sec_ctx()/rte_eth_dev_get_sec_ctx()
64  * This structure is used to identify the device(crypto/eth) for which the
65  * security operations need to be performed.
66  */
67 struct rte_security_ctx {
68         void *device;
69         /**< Crypto/ethernet device attached */
70         const struct rte_security_ops *ops;
71         /**< Pointer to security ops for the device */
72         uint16_t sess_cnt;
73         /**< Number of sessions attached to this context */
74 };
75
76 /**
77  * IPSEC tunnel parameters
78  *
79  * These parameters are used to build outbound tunnel headers.
80  */
81 struct rte_security_ipsec_tunnel_param {
82         enum rte_security_ipsec_tunnel_type type;
83         /**< Tunnel type: IPv4 or IPv6 */
84         RTE_STD_C11
85         union {
86                 struct {
87                         struct in_addr src_ip;
88                         /**< IPv4 source address */
89                         struct in_addr dst_ip;
90                         /**< IPv4 destination address */
91                         uint8_t dscp;
92                         /**< IPv4 Differentiated Services Code Point */
93                         uint8_t df;
94                         /**< IPv4 Don't Fragment bit */
95                         uint8_t ttl;
96                         /**< IPv4 Time To Live */
97                 } ipv4;
98                 /**< IPv4 header parameters */
99                 struct {
100                         struct in6_addr src_addr;
101                         /**< IPv6 source address */
102                         struct in6_addr dst_addr;
103                         /**< IPv6 destination address */
104                         uint8_t dscp;
105                         /**< IPv6 Differentiated Services Code Point */
106                         uint32_t flabel;
107                         /**< IPv6 flow label */
108                         uint8_t hlimit;
109                         /**< IPv6 hop limit */
110                 } ipv6;
111                 /**< IPv6 header parameters */
112         };
113 };
114
115 /**
116  * IPsec Security Association option flags
117  */
118 struct rte_security_ipsec_sa_options {
119         /** Extended Sequence Numbers (ESN)
120          *
121          * * 1: Use extended (64 bit) sequence numbers
122          * * 0: Use normal sequence numbers
123          */
124         uint32_t esn : 1;
125
126         /** UDP encapsulation
127          *
128          * * 1: Do UDP encapsulation/decapsulation so that IPSEC packets can
129          *      traverse through NAT boxes.
130          * * 0: No UDP encapsulation
131          */
132         uint32_t udp_encap : 1;
133
134         /** Copy DSCP bits
135          *
136          * * 1: Copy IPv4 or IPv6 DSCP bits from inner IP header to
137          *      the outer IP header in encapsulation, and vice versa in
138          *      decapsulation.
139          * * 0: Do not change DSCP field.
140          */
141         uint32_t copy_dscp : 1;
142
143         /** Copy IPv6 Flow Label
144          *
145          * * 1: Copy IPv6 flow label from inner IPv6 header to the
146          *      outer IPv6 header.
147          * * 0: Outer header is not modified.
148          */
149         uint32_t copy_flabel : 1;
150
151         /** Copy IPv4 Don't Fragment bit
152          *
153          * * 1: Copy the DF bit from the inner IPv4 header to the outer
154          *      IPv4 header.
155          * * 0: Outer header is not modified.
156          */
157         uint32_t copy_df : 1;
158
159         /** Decrement inner packet Time To Live (TTL) field
160          *
161          * * 1: In tunnel mode, decrement inner packet IPv4 TTL or
162          *      IPv6 Hop Limit after tunnel decapsulation, or before tunnel
163          *      encapsulation.
164          * * 0: Inner packet is not modified.
165          */
166         uint32_t dec_ttl : 1;
167
168         /** Explicit Congestion Notification (ECN)
169          *
170          * * 1: In tunnel mode, enable outer header ECN Field copied from
171          *      inner header in tunnel encapsulation, or inner header ECN
172          *      field construction in decapsulation.
173          * * 0: Inner/outer header are not modified.
174          */
175         uint32_t ecn : 1;
176
177         /** Security statistics
178          *
179          * * 1: Enable per session security statistics collection for
180          *      this SA, if supported by the driver.
181          * * 0: Disable per session security statistics collection for this SA.
182          */
183         uint32_t stats : 1;
184 };
185
186 /** IPSec security association direction */
187 enum rte_security_ipsec_sa_direction {
188         RTE_SECURITY_IPSEC_SA_DIR_EGRESS,
189         /**< Encrypt and generate digest */
190         RTE_SECURITY_IPSEC_SA_DIR_INGRESS,
191         /**< Verify digest and decrypt */
192 };
193
194 /**
195  * IPsec security association configuration data.
196  *
197  * This structure contains data required to create an IPsec SA security session.
198  */
199 struct rte_security_ipsec_xform {
200         uint32_t spi;
201         /**< SA security parameter index */
202         uint32_t salt;
203         /**< SA salt */
204         struct rte_security_ipsec_sa_options options;
205         /**< various SA options */
206         enum rte_security_ipsec_sa_direction direction;
207         /**< IPSec SA Direction - Egress/Ingress */
208         enum rte_security_ipsec_sa_protocol proto;
209         /**< IPsec SA Protocol - AH/ESP */
210         enum rte_security_ipsec_sa_mode mode;
211         /**< IPsec SA Mode - transport/tunnel */
212         struct rte_security_ipsec_tunnel_param tunnel;
213         /**< Tunnel parameters, NULL for transport mode */
214         uint64_t esn_soft_limit;
215         /**< ESN for which the overflow event need to be raised */
216         uint32_t replay_win_sz;
217         /**< Anti replay window size to enable sequence replay attack handling.
218          * replay checking is disabled if the window size is 0.
219          */
220 };
221
222 /**
223  * MACsec security session configuration
224  */
225 struct rte_security_macsec_xform {
226         /** To be Filled */
227         int dummy;
228 };
229
230 /**
231  * PDCP Mode of session
232  */
233 enum rte_security_pdcp_domain {
234         RTE_SECURITY_PDCP_MODE_CONTROL, /**< PDCP control plane */
235         RTE_SECURITY_PDCP_MODE_DATA,    /**< PDCP data plane */
236 };
237
238 /** PDCP Frame direction */
239 enum rte_security_pdcp_direction {
240         RTE_SECURITY_PDCP_UPLINK,       /**< Uplink */
241         RTE_SECURITY_PDCP_DOWNLINK,     /**< Downlink */
242 };
243
244 /** PDCP Sequence Number Size selectors */
245 enum rte_security_pdcp_sn_size {
246         /** PDCP_SN_SIZE_5: 5bit sequence number */
247         RTE_SECURITY_PDCP_SN_SIZE_5 = 5,
248         /** PDCP_SN_SIZE_7: 7bit sequence number */
249         RTE_SECURITY_PDCP_SN_SIZE_7 = 7,
250         /** PDCP_SN_SIZE_12: 12bit sequence number */
251         RTE_SECURITY_PDCP_SN_SIZE_12 = 12,
252         /** PDCP_SN_SIZE_15: 15bit sequence number */
253         RTE_SECURITY_PDCP_SN_SIZE_15 = 15,
254         /** PDCP_SN_SIZE_18: 18bit sequence number */
255         RTE_SECURITY_PDCP_SN_SIZE_18 = 18
256 };
257
258 /**
259  * PDCP security association configuration data.
260  *
261  * This structure contains data required to create a PDCP security session.
262  */
263 struct rte_security_pdcp_xform {
264         int8_t bearer;  /**< PDCP bearer ID */
265         /** Enable in order delivery, this field shall be set only if
266          * driver/HW is capable. See RTE_SECURITY_PDCP_ORDERING_CAP.
267          */
268         uint8_t en_ordering;
269         /** Notify driver/HW to detect and remove duplicate packets.
270          * This field should be set only when driver/hw is capable.
271          * See RTE_SECURITY_PDCP_DUP_DETECT_CAP.
272          */
273         uint8_t remove_duplicates;
274         /** PDCP mode of operation: Control or data */
275         enum rte_security_pdcp_domain domain;
276         /** PDCP Frame Direction 0:UL 1:DL */
277         enum rte_security_pdcp_direction pkt_dir;
278         /** Sequence number size, 5/7/12/15/18 */
279         enum rte_security_pdcp_sn_size sn_size;
280         /** Starting Hyper Frame Number to be used together with the SN
281          * from the PDCP frames
282          */
283         uint32_t hfn;
284         /** HFN Threshold for key renegotiation */
285         uint32_t hfn_threshold;
286         /** HFN can be given as a per packet value also.
287          * As we do not have IV in case of PDCP, and HFN is
288          * used to generate IV. IV field can be used to get the
289          * per packet HFN while enq/deq.
290          * If hfn_ovrd field is set, user is expected to set the
291          * per packet HFN in place of IV. PMDs will extract the HFN
292          * and perform operations accordingly.
293          */
294         uint8_t hfn_ovrd;
295         /** In case of 5G NR, a new protocol (SDAP) header may be set
296          * inside PDCP payload which should be authenticated but not
297          * encrypted. Hence, driver should be notified if SDAP is
298          * enabled or not, so that SDAP header is not encrypted.
299          */
300         uint8_t sdap_enabled;
301         /** Reserved for future */
302         uint16_t reserved;
303 };
304
305 /** DOCSIS direction */
306 enum rte_security_docsis_direction {
307         RTE_SECURITY_DOCSIS_UPLINK,
308         /**< Uplink
309          * - Decryption, followed by CRC Verification
310          */
311         RTE_SECURITY_DOCSIS_DOWNLINK,
312         /**< Downlink
313          * - CRC Generation, followed by Encryption
314          */
315 };
316
317 /**
318  * DOCSIS security session configuration.
319  *
320  * This structure contains data required to create a DOCSIS security session.
321  */
322 struct rte_security_docsis_xform {
323         enum rte_security_docsis_direction direction;
324         /**< DOCSIS direction */
325 };
326
327 /**
328  * Security session action type.
329  */
330 enum rte_security_session_action_type {
331         RTE_SECURITY_ACTION_TYPE_NONE,
332         /**< No security actions */
333         RTE_SECURITY_ACTION_TYPE_INLINE_CRYPTO,
334         /**< Crypto processing for security protocol is processed inline
335          * during transmission
336          */
337         RTE_SECURITY_ACTION_TYPE_INLINE_PROTOCOL,
338         /**< All security protocol processing is performed inline during
339          * transmission
340          */
341         RTE_SECURITY_ACTION_TYPE_LOOKASIDE_PROTOCOL,
342         /**< All security protocol processing including crypto is performed
343          * on a lookaside accelerator
344          */
345         RTE_SECURITY_ACTION_TYPE_CPU_CRYPTO
346         /**< Similar to ACTION_TYPE_NONE but crypto processing for security
347          * protocol is processed synchronously by a CPU.
348          */
349 };
350
351 /** Security session protocol definition */
352 enum rte_security_session_protocol {
353         RTE_SECURITY_PROTOCOL_IPSEC = 1,
354         /**< IPsec Protocol */
355         RTE_SECURITY_PROTOCOL_MACSEC,
356         /**< MACSec Protocol */
357         RTE_SECURITY_PROTOCOL_PDCP,
358         /**< PDCP Protocol */
359         RTE_SECURITY_PROTOCOL_DOCSIS,
360         /**< DOCSIS Protocol */
361 };
362
363 /**
364  * Security session configuration
365  */
366 struct rte_security_session_conf {
367         enum rte_security_session_action_type action_type;
368         /**< Type of action to be performed on the session */
369         enum rte_security_session_protocol protocol;
370         /**< Security protocol to be configured */
371         RTE_STD_C11
372         union {
373                 struct rte_security_ipsec_xform ipsec;
374                 struct rte_security_macsec_xform macsec;
375                 struct rte_security_pdcp_xform pdcp;
376                 struct rte_security_docsis_xform docsis;
377         };
378         /**< Configuration parameters for security session */
379         struct rte_crypto_sym_xform *crypto_xform;
380         /**< Security Session Crypto Transformations */
381         void *userdata;
382         /**< Application specific userdata to be saved with session */
383 };
384
385 struct rte_security_session {
386         void *sess_private_data;
387         /**< Private session material */
388         uint64_t opaque_data;
389         /**< Opaque user defined data */
390 };
391
392 /**
393  * Create security session as specified by the session configuration
394  *
395  * @param   instance    security instance
396  * @param   conf        session configuration parameters
397  * @param   mp          mempool to allocate session objects from
398  * @param   priv_mp     mempool to allocate session private data objects from
399  * @return
400  *  - On success, pointer to session
401  *  - On failure, NULL
402  */
403 struct rte_security_session *
404 rte_security_session_create(struct rte_security_ctx *instance,
405                             struct rte_security_session_conf *conf,
406                             struct rte_mempool *mp,
407                             struct rte_mempool *priv_mp);
408
409 /**
410  * Update security session as specified by the session configuration
411  *
412  * @param   instance    security instance
413  * @param   sess        session to update parameters
414  * @param   conf        update configuration parameters
415  * @return
416  *  - On success returns 0
417  *  - On failure returns a negative errno value.
418  */
419 __rte_experimental
420 int
421 rte_security_session_update(struct rte_security_ctx *instance,
422                             struct rte_security_session *sess,
423                             struct rte_security_session_conf *conf);
424
425 /**
426  * Get the size of the security session data for a device.
427  *
428  * @param   instance    security instance.
429  *
430  * @return
431  *   - Size of the private data, if successful
432  *   - 0 if device is invalid or does not support the operation.
433  */
434 unsigned int
435 rte_security_session_get_size(struct rte_security_ctx *instance);
436
437 /**
438  * Free security session header and the session private data and
439  * return it to its original mempool.
440  *
441  * @param   instance    security instance
442  * @param   sess        security session to be freed
443  *
444  * @return
445  *  - 0 if successful.
446  *  - -EINVAL if session or context instance is NULL.
447  *  - -EBUSY if not all device private data has been freed.
448  *  - -ENOTSUP if destroying private data is not supported.
449  *  - other negative values in case of freeing private data errors.
450  */
451 int
452 rte_security_session_destroy(struct rte_security_ctx *instance,
453                              struct rte_security_session *sess);
454
455 /** Device-specific metadata field type */
456 typedef uint64_t rte_security_dynfield_t;
457 /** Dynamic mbuf field for device-specific metadata */
458 extern int rte_security_dynfield_offset;
459
460 /**
461  * @warning
462  * @b EXPERIMENTAL: this API may change without prior notice
463  *
464  * Get pointer to mbuf field for device-specific metadata.
465  *
466  * For performance reason, no check is done,
467  * the dynamic field may not be registered.
468  * @see rte_security_dynfield_is_registered
469  *
470  * @param       mbuf    packet to access
471  * @return pointer to mbuf field
472  */
473 __rte_experimental
474 static inline rte_security_dynfield_t *
475 rte_security_dynfield(struct rte_mbuf *mbuf)
476 {
477         return RTE_MBUF_DYNFIELD(mbuf,
478                 rte_security_dynfield_offset,
479                 rte_security_dynfield_t *);
480 }
481
482 /**
483  * @warning
484  * @b EXPERIMENTAL: this API may change without prior notice
485  *
486  * Check whether the dynamic field is registered.
487  *
488  * @return true if rte_security_dynfield_register() has been called.
489  */
490 __rte_experimental
491 static inline bool rte_security_dynfield_is_registered(void)
492 {
493         return rte_security_dynfield_offset >= 0;
494 }
495
496 /**
497  *  Updates the buffer with device-specific defined metadata
498  *
499  * @param       instance        security instance
500  * @param       sess            security session
501  * @param       mb              packet mbuf to set metadata on.
502  * @param       params          device-specific defined parameters
503  *                              required for metadata
504  *
505  * @return
506  *  - On success, zero.
507  *  - On failure, a negative value.
508  */
509 int
510 rte_security_set_pkt_metadata(struct rte_security_ctx *instance,
511                               struct rte_security_session *sess,
512                               struct rte_mbuf *mb, void *params);
513
514 /**
515  * Get userdata associated with the security session. Device specific metadata
516  * provided would be used to uniquely identify the security session being
517  * referred to. This userdata would be registered while creating the session,
518  * and application can use this to identify the SA etc.
519  *
520  * Device specific metadata would be set in mbuf for inline processed inbound
521  * packets. In addition, the same metadata would be set for IPsec events
522  * reported by rte_eth_event framework.
523  *
524  * @param   instance    security instance
525  * @param   md          device-specific metadata
526  *
527  * @return
528  *  - On success, userdata
529  *  - On failure, NULL
530  */
531 __rte_experimental
532 void *
533 rte_security_get_userdata(struct rte_security_ctx *instance, uint64_t md);
534
535 /**
536  * Attach a session to a symmetric crypto operation
537  *
538  * @param       sym_op  crypto operation
539  * @param       sess    security session
540  */
541 static inline int
542 __rte_security_attach_session(struct rte_crypto_sym_op *sym_op,
543                               struct rte_security_session *sess)
544 {
545         sym_op->sec_session = sess;
546
547         return 0;
548 }
549
550 static inline void *
551 get_sec_session_private_data(const struct rte_security_session *sess)
552 {
553         return sess->sess_private_data;
554 }
555
556 static inline void
557 set_sec_session_private_data(struct rte_security_session *sess,
558                              void *private_data)
559 {
560         sess->sess_private_data = private_data;
561 }
562
563 /**
564  * Attach a session to a crypto operation.
565  * This API is needed only in case of RTE_SECURITY_SESS_CRYPTO_PROTO_OFFLOAD
566  * For other rte_security_session_action_type, ol_flags in rte_mbuf may be
567  * defined to perform security operations.
568  *
569  * @param       op      crypto operation
570  * @param       sess    security session
571  */
572 static inline int
573 rte_security_attach_session(struct rte_crypto_op *op,
574                             struct rte_security_session *sess)
575 {
576         if (unlikely(op->type != RTE_CRYPTO_OP_TYPE_SYMMETRIC))
577                 return -EINVAL;
578
579         op->sess_type =  RTE_CRYPTO_OP_SECURITY_SESSION;
580
581         return __rte_security_attach_session(op->sym, sess);
582 }
583
584 struct rte_security_macsec_stats {
585         uint64_t reserved;
586 };
587
588 struct rte_security_ipsec_stats {
589         uint64_t ipackets;  /**< Successfully received IPsec packets. */
590         uint64_t opackets;  /**< Successfully transmitted IPsec packets.*/
591         uint64_t ibytes;    /**< Successfully received IPsec bytes. */
592         uint64_t obytes;    /**< Successfully transmitted IPsec bytes. */
593         uint64_t ierrors;   /**< IPsec packets receive/decrypt errors. */
594         uint64_t oerrors;   /**< IPsec packets transmit/encrypt errors. */
595         uint64_t reserved1; /**< Reserved for future use. */
596         uint64_t reserved2; /**< Reserved for future use. */
597 };
598
599 struct rte_security_pdcp_stats {
600         uint64_t reserved;
601 };
602
603 struct rte_security_docsis_stats {
604         uint64_t reserved;
605 };
606
607 struct rte_security_stats {
608         enum rte_security_session_protocol protocol;
609         /**< Security protocol to be configured */
610
611         RTE_STD_C11
612         union {
613                 struct rte_security_macsec_stats macsec;
614                 struct rte_security_ipsec_stats ipsec;
615                 struct rte_security_pdcp_stats pdcp;
616                 struct rte_security_docsis_stats docsis;
617         };
618 };
619
620 /**
621  * Get security session statistics
622  *
623  * @param       instance        security instance
624  * @param       sess            security session
625  * If security session is NULL then global (per security instance) statistics
626  * will be retrieved, if supported. Global statistics collection is not
627  * dependent on the per session statistics configuration.
628  * @param       stats           statistics
629  * @return
630  *  - On success, return 0
631  *  - On failure, a negative value
632  */
633 __rte_experimental
634 int
635 rte_security_session_stats_get(struct rte_security_ctx *instance,
636                                struct rte_security_session *sess,
637                                struct rte_security_stats *stats);
638
639 /**
640  * Security capability definition
641  */
642 struct rte_security_capability {
643         enum rte_security_session_action_type action;
644         /**< Security action type*/
645         enum rte_security_session_protocol protocol;
646         /**< Security protocol */
647         RTE_STD_C11
648         union {
649                 struct {
650                         enum rte_security_ipsec_sa_protocol proto;
651                         /**< IPsec SA protocol */
652                         enum rte_security_ipsec_sa_mode mode;
653                         /**< IPsec SA mode */
654                         enum rte_security_ipsec_sa_direction direction;
655                         /**< IPsec SA direction */
656                         struct rte_security_ipsec_sa_options options;
657                         /**< IPsec SA supported options */
658                         uint32_t replay_win_sz_max;
659                         /**< IPsec Anti Replay Window Size. A '0' value
660                          * indicates that Anti Replay is not supported.
661                          */
662                 } ipsec;
663                 /**< IPsec capability */
664                 struct {
665                         /* To be Filled */
666                         int dummy;
667                 } macsec;
668                 /**< MACsec capability */
669                 struct {
670                         enum rte_security_pdcp_domain domain;
671                         /**< PDCP mode of operation: Control or data */
672                         uint32_t capa_flags;
673                         /**< Capability flags, see RTE_SECURITY_PDCP_* */
674                 } pdcp;
675                 /**< PDCP capability */
676                 struct {
677                         enum rte_security_docsis_direction direction;
678                         /**< DOCSIS direction */
679                 } docsis;
680                 /**< DOCSIS capability */
681         };
682
683         const struct rte_cryptodev_capabilities *crypto_capabilities;
684         /**< Corresponding crypto capabilities for security capability  */
685
686         uint32_t ol_flags;
687         /**< Device offload flags */
688 };
689
690 /** Underlying Hardware/driver which support PDCP may or may not support
691  * packet ordering. Set RTE_SECURITY_PDCP_ORDERING_CAP if it support.
692  * If it is not set, driver/HW assumes packets received are in order
693  * and it will be application's responsibility to maintain ordering.
694  */
695 #define RTE_SECURITY_PDCP_ORDERING_CAP          0x00000001
696
697 /** Underlying Hardware/driver which support PDCP may or may not detect
698  * duplicate packet. Set RTE_SECURITY_PDCP_DUP_DETECT_CAP if it support.
699  * If it is not set, driver/HW assumes there is no duplicate packet received.
700  */
701 #define RTE_SECURITY_PDCP_DUP_DETECT_CAP        0x00000002
702
703 #define RTE_SECURITY_TX_OLOAD_NEED_MDATA        0x00000001
704 /**< HW needs metadata update, see rte_security_set_pkt_metadata().
705  */
706
707 #define RTE_SECURITY_TX_HW_TRAILER_OFFLOAD      0x00000002
708 /**< HW constructs trailer of packets
709  * Transmitted packets will have the trailer added to them
710  * by hardware. The next protocol field will be based on
711  * the mbuf->inner_esp_next_proto field.
712  */
713 #define RTE_SECURITY_RX_HW_TRAILER_OFFLOAD      0x00010000
714 /**< HW removes trailer of packets
715  * Received packets have no trailer, the next protocol field
716  * is supplied in the mbuf->inner_esp_next_proto field.
717  * Inner packet is not modified.
718  */
719
720 /**
721  * Security capability index used to query a security instance for a specific
722  * security capability
723  */
724 struct rte_security_capability_idx {
725         enum rte_security_session_action_type action;
726         enum rte_security_session_protocol protocol;
727
728         RTE_STD_C11
729         union {
730                 struct {
731                         enum rte_security_ipsec_sa_protocol proto;
732                         enum rte_security_ipsec_sa_mode mode;
733                         enum rte_security_ipsec_sa_direction direction;
734                 } ipsec;
735                 struct {
736                         enum rte_security_pdcp_domain domain;
737                         uint32_t capa_flags;
738                 } pdcp;
739                 struct {
740                         enum rte_security_docsis_direction direction;
741                 } docsis;
742         };
743 };
744
745 /**
746  *  Returns array of security instance capabilities
747  *
748  * @param       instance        Security instance.
749  *
750  * @return
751  *   - Returns array of security capabilities.
752  *   - Return NULL if no capabilities available.
753  */
754 const struct rte_security_capability *
755 rte_security_capabilities_get(struct rte_security_ctx *instance);
756
757 /**
758  * Query if a specific capability is available on security instance
759  *
760  * @param       instance        security instance.
761  * @param       idx             security capability index to match against
762  *
763  * @return
764  *   - Returns pointer to security capability on match of capability
765  *     index criteria.
766  *   - Return NULL if the capability not matched on security instance.
767  */
768 const struct rte_security_capability *
769 rte_security_capability_get(struct rte_security_ctx *instance,
770                             struct rte_security_capability_idx *idx);
771
772 #ifdef __cplusplus
773 }
774 #endif
775
776 #endif /* _RTE_SECURITY_H_ */