Atributele produsului

Utilizarea FPGA-urilor ca procesoare de trafic pentru securitatea rețelei

Traficul către și dinspre dispozitivele de securitate (firewall-uri) este criptat la mai multe niveluri, iar criptarea/decriptarea L2 (MACSec) este procesată la nodurile de rețea (switch-uri și routere) din stratul de legătură (L2).Procesarea dincolo de L2 (stratul MAC) include de obicei o analiză mai profundă, decriptare tunel L3 (IPSec) și trafic SSL criptat cu trafic TCP/UDP.Procesarea pachetelor implică analizarea și clasificarea pachetelor primite și procesarea unor volume mari de trafic (1-20M) cu debit mare (25-400Gb/s).

Datorită numărului mare de resurse de calcul (nuclee) necesare, NPU-urile pot fi utilizate pentru procesarea pachetelor cu viteză relativ mai mare, dar procesarea traficului scalabil de înaltă performanță și latență scăzută nu este posibilă deoarece traficul este procesat folosind nuclee MIPS/RISC și programând astfel de nuclee. pe baza disponibilității lor este dificil.Utilizarea dispozitivelor de securitate bazate pe FPGA poate elimina în mod eficient aceste limitări ale arhitecturilor bazate pe CPU și NPU.

Procesare de securitate la nivel de aplicație în FPGA

FPGA-urile sunt ideale pentru procesarea securității în linie în firewall-urile de ultimă generație, deoarece îndeplinesc cu succes nevoia de performanță mai mare, flexibilitate și operare cu latență scăzută.În plus, FPGA-urile pot implementa și funcții de securitate la nivel de aplicație, care pot economisi și mai mult resursele de calcul și pot îmbunătăți performanța.

Exemplele comune de procesare a securității aplicațiilor în FPGA includ

- Motor de descărcare TTCP

- Potrivirea expresiilor regulate

- Procesare de criptare asimetrică (PKI).

- procesare TLS

Tehnologii de securitate de ultimă generație care utilizează FPGA

Numeroși algoritmi asimetrici existenți sunt vulnerabili la compromisuri de către computerele cuantice.Algoritmii de securitate asimetrici precum RSA-2K, RSA-4K, ECC-256, DH și ECCDH sunt cei mai afectați de tehnicile de calcul cuantic.Sunt explorate noi implementări ale algoritmilor asimetrici și standardizării NIST.

Propunerile actuale pentru criptarea post-cuantică includ metoda Ring-on-Error Learning (R-LWE) pentru

- Criptografie cu cheie publică (PKC)

- Semnături digitale

- Crearea cheii

Implementarea propusă a criptografiei cu cheie publică include anumite operații matematice bine-cunoscute (TRNG, eșantionare de zgomot gaussian, adunare polinomială, împărțire cuantificator polinomial binar, înmulțire etc.).IP FPGA pentru mulți dintre acești algoritmi este disponibil sau poate fi implementat eficient folosind blocuri de construcție FPGA, cum ar fi motoarele DSP și AI (AIE) în dispozitivele Xilinx existente și de generația următoare.

Această carte albă descrie implementarea securității L2-L7 utilizând o arhitectură programabilă care poate fi implementată pentru accelerarea securității în rețelele de margine/acces și firewall-uri de generație următoare (NGFW) în rețelele de întreprindere.