Vlastnosti produktu

Použitie FPGA ako prevádzkových procesorov na zabezpečenie siete

Prevádzka do a z bezpečnostných zariadení (firewallov) je šifrovaná na viacerých úrovniach a šifrovanie/dešifrovanie L2 (MACSec) sa spracováva na sieťových uzloch (prepínače a smerovače) na linkovej vrstve (L2).Spracovanie nad úrovňou L2 (vrstva MAC) zvyčajne zahŕňa hlbšiu analýzu, dešifrovanie tunela L3 (IPSec) a šifrovanú prevádzku SSL s prevádzkou TCP/UDP.Spracovanie paketov zahŕňa analýzu a klasifikáciu prichádzajúcich paketov a spracovanie veľkých objemov prevádzky (1-20M) s vysokou priepustnosťou (25-400Gb/s).

Kvôli veľkému počtu požadovaných výpočtových zdrojov (jadier) možno NPU použiť na spracovanie paketov s relatívne vyššou rýchlosťou, ale nie je možné spracovať vysokovýkonné škálovateľné prenosy s nízkou latenciou, pretože prenos sa spracováva pomocou jadier MIPS/RISC a plánovanie takýchto jadier na základe ich dostupnosti je ťažké.Použitie bezpečnostných zariadení na báze FPGA môže účinne eliminovať tieto obmedzenia architektúr založených na CPU a NPU.

Spracovanie zabezpečenia na aplikačnej úrovni v FPGA

FPGA sú ideálne pre inline bezpečnostné spracovanie vo firewalloch novej generácie, pretože úspešne spĺňajú potrebu vyššieho výkonu, flexibility a prevádzky s nízkou latenciou.Okrem toho môžu FPGA implementovať bezpečnostné funkcie na aplikačnej úrovni, čo môže ďalej šetriť výpočtové zdroje a zlepšiť výkon.

Bežné príklady spracovania zabezpečenia aplikácií v FPGA zahŕňajú

- TTCP offload motor

- Zhoda s regulárnym výrazom

- Spracovanie asymetrického šifrovania (PKI).

- spracovanie TLS

Bezpečnostné technológie novej generácie využívajúce FPGA

Početné existujúce asymetrické algoritmy sú náchylné na kompromitáciu kvantovými počítačmi.Asymetrické bezpečnostné algoritmy ako RSA-2K, RSA-4K, ECC-256, DH a ECCDH sú najviac ovplyvnené kvantovými výpočtovými technikami.Skúmajú sa nové implementácie asymetrických algoritmov a štandardizácie NIST.

Aktuálne návrhy na postkvantové šifrovanie zahŕňajú metódu Ring-on-Error Learning (R-LWE) pre

- kryptografia s verejným kľúčom (PKC)

- Digitálne podpisy

- Vytvorenie kľúča

Navrhovaná implementácia kryptografie s verejným kľúčom zahŕňa určité známe matematické operácie (TRNG, vzorkovač Gaussovho šumu, sčítanie polynómov, delenie binárneho polynómu, násobenie atď.).FPGA IP pre mnohé z týchto algoritmov je k dispozícii alebo sa dá efektívne implementovať pomocou stavebných blokov FPGA, ako sú DSP a AI motory (AIE) v existujúcich a zariadeniach Xilinx novej generácie.

Táto biela kniha popisuje implementáciu zabezpečenia L2-L7 pomocou programovateľnej architektúry, ktorá môže byť nasadená na akceleráciu zabezpečenia v okrajových/prístupových sieťach a firewalloch novej generácie (NGFW) v podnikových sieťach.