Tuoteominaisuudet

FPGA:iden käyttö liikenneprosessoreina verkon turvallisuuden takaamiseksi

Suojauslaitteisiin (palomuurit) ja niistä tuleva liikenne salataan useilla tasoilla, ja L2-salaus/salauksenpurku (MACSec) käsitellään linkkikerroksen (L2) verkkosolmuissa (kytkimet ja reitittimet).L2-kerroksen (MAC-kerroksen) ulkopuolella tapahtuvaan käsittelyyn kuuluu tyypillisesti syvempi jäsentäminen, L3-tunnelin salauksenpurku (IPSec) ja salattu SSL-liikenne TCP/UDP-liikenteellä.Pakettien käsittelyyn kuuluu saapuvien pakettien jäsentäminen ja luokittelu sekä suurten liikennemäärien (1-20M) käsittely korkealla suorituskyvyllä (25-400Gb/s).

Koska tarvittavia laskentaresursseja (ytimiä) on suuri määrä, NPU:ita voidaan käyttää suhteellisen nopeampaan pakettien käsittelyyn, mutta matala latenssi, korkean suorituskyvyn skaalautuva liikenteen käsittely ei ole mahdollista, koska liikenne käsitellään MIPS/RISC-ytimien avulla ja tällaisten ytimien ajoittaminen. niiden saatavuuden perusteella on vaikeaa.FPGA-pohjaisten turvalaitteiden käyttö voi tehokkaasti poistaa nämä prosessori- ja NPU-pohjaisten arkkitehtuurien rajoitukset.

Sovellustason suojauskäsittely FPGA:ssa

FPGA:t ovat ihanteellisia seuraavan sukupolven palomuurien sisäiseen tietoturvakäsittelyyn, koska ne täyttävät menestyksekkäästi suuremman suorituskyvyn, joustavuuden ja alhaisen viiveen toiminnan tarpeen.Lisäksi FPGA:t voivat toteuttaa myös sovellustason suojaustoimintoja, jotka voivat edelleen säästää laskentaresursseja ja parantaa suorituskykyä.

Yleisiä esimerkkejä sovellusten suojauskäsittelystä FPGA:ssa ovat mm

- TTCP-purkausmoottori

- Säännöllisten lausekkeiden haku

- Asymmetrisen salauksen (PKI) käsittely

- TLS-käsittely

Seuraavan sukupolven tietoturvateknologiat, joissa käytetään FPGA:ta

Lukuisat olemassa olevat epäsymmetriset algoritmit ovat alttiina kvanttitietokoneiden kompromisseille.Kvanttilaskentatekniikat vaikuttavat eniten epäsymmetrisiin suojausalgoritmeihin, kuten RSA-2K, RSA-4K, ECC-256, DH ja ECCDH.Uusia epäsymmetristen algoritmien ja NIST-standardoinnin toteutuksia tutkitaan.

Nykyiset ehdotukset kvanttien jälkeiselle salaukselle sisältävät Ring-on-Error Learning (R-LWE) -menetelmän

- Public Key Cryptography (PKC)

- Digitaaliset allekirjoitukset

- Avainten luominen

Ehdotettu julkisen avaimen salaustoteutus sisältää tiettyjä hyvin tunnettuja matemaattisia operaatioita (TRNG, Gaussian noise sampler, polynomial addity, binary polynomial quantifier jako, kertolasku jne.).FPGA IP monille näistä algoritmeista on saatavilla tai voidaan toteuttaa tehokkaasti käyttämällä FPGA-rakennuspalikoita, kuten DSP- ja AI-moottoreita (AIE) nykyisissä ja seuraavan sukupolven Xilinx-laitteissa.

Tässä valkoisessa kirjassa kuvataan L2-L7-suojauksen käyttöönottoa käyttämällä ohjelmoitavaa arkkitehtuuria, jota voidaan käyttää turvallisuuden kiihdyttämiseen reuna-/käyttöverkoissa ja seuraavan sukupolven palomuureissa (NGFW) yritysverkoissa.