Produktegenskaper

Bruker FPGAer som trafikkprosessorer for nettverkssikkerhet

Trafikk til og fra sikkerhetsenheter (brannmurer) er kryptert på flere nivåer, og L2-kryptering/dekryptering (MACSec) behandles på lenkelaget (L2) nettverksnoder (svitsjer og rutere).Behandling utover L2 (MAC-laget) inkluderer vanligvis dypere parsing, L3-tunneldekryptering (IPSec) og kryptert SSL-trafikk med TCP/UDP-trafikk.Pakkebehandling involverer parsing og klassifisering av innkommende pakker og behandling av store trafikkvolumer (1-20M) med høy gjennomstrømning (25-400Gb/s).

På grunn av det store antallet dataressurser (kjerner) som kreves, kan NPU-er brukes for relativt høyere hastighet pakkebehandling, men lav latens, høyytelses skalerbar trafikkbehandling er ikke mulig fordi trafikk behandles ved hjelp av MIPS/RISC-kjerner og planlegger slike kjerner basert på deres tilgjengelighet er vanskelig.Bruken av FPGA-baserte sikkerhetsenheter kan effektivt eliminere disse begrensningene til CPU- og NPU-baserte arkitekturer.

Sikkerhetsbehandling på applikasjonsnivå i FPGA-er

FPGA-er er ideelle for inline-sikkerhetsbehandling i neste generasjons brannmurer fordi de tilfredsstiller behovet for høyere ytelse, fleksibilitet og drift med lav latens.I tillegg kan FPGA-er også implementere sikkerhetsfunksjoner på applikasjonsnivå, som ytterligere kan spare dataressurser og forbedre ytelsen.

Vanlige eksempler på applikasjonssikkerhetsbehandling i FPGA-er inkluderer

- TTCP avlastningsmotor

- Matching av regulære uttrykk

- Asymmetrisk kryptering (PKI) behandling

- TLS-behandling

Neste generasjons sikkerhetsteknologier som bruker FPGA-er

Tallrike eksisterende asymmetriske algoritmer er sårbare for kompromisser fra kvantedatamaskiner.Asymmetriske sikkerhetsalgoritmer som RSA-2K, RSA-4K, ECC-256, DH og ECCDH er de mest berørte av kvantedatabehandlingsteknikker.Nye implementeringer av asymmetriske algoritmer og NIST-standardisering utforskes.

Gjeldende forslag for postkvantekryptering inkluderer Ring-on-Error Learning (R-LWE)-metoden for

- Public Key Cryptography (PKC)

- Digitale signaturer

- Nøkkeloppretting

Den foreslåtte implementeringen av offentlig nøkkelkryptografi inkluderer visse velkjente matematiske operasjoner (TRNG, Gaussisk støysampler, polynomaddisjon, binær polynomkvantifiseringsdivisjon, multiplikasjon, etc.).FPGA IP for mange av disse algoritmene er tilgjengelig eller kan implementeres effektivt ved hjelp av FPGA-byggeklosser, for eksempel DSP- og AI-motorer (AIE) i eksisterende og neste generasjons Xilinx-enheter.

Denne hvitboken beskriver implementeringen av L2-L7-sikkerhet ved bruk av en programmerbar arkitektur som kan distribueres for sikkerhetsakselerasjon i edge/access-nettverk og neste generasjons brannmurer (NGFW) i bedriftsnettverk.