Атрибути продукту

Використання FPGA як процесорів трафіку для безпеки мережі

Трафік до та від пристроїв безпеки (брандмауерів) шифрується на кількох рівнях, а шифрування/дешифрування L2 (MACSec) обробляється на мережевих вузлах канального рівня (L2) (комутатори та маршрутизатори).Обробка за межами рівня L2 (MAC-рівня) зазвичай включає глибший аналіз, тунельне дешифрування L3 (IPSec) і зашифрований трафік SSL із трафіком TCP/UDP.Обробка пакетів передбачає аналіз і класифікацію вхідних пакетів і обробку великих обсягів трафіку (1-20 МБ) з високою пропускною здатністю (25-400 Гбіт/с).

Через велику кількість необхідних обчислювальних ресурсів (ядер) NPU можна використовувати для відносно високошвидкісної обробки пакетів, але низька затримка, високопродуктивна масштабована обробка трафіку неможлива, оскільки трафік обробляється за допомогою ядер MIPS/RISC і планування таких ядер. виходячи з їх наявності важко.Використання пристроїв безпеки на основі FPGA може ефективно усунути ці обмеження архітектур на базі CPU та NPU.

Обробка безпеки на рівні програми в FPGA

FPGA ідеально підходять для вбудованої обробки безпеки в брандмауерах нового покоління, оскільки вони успішно задовольняють потреби у вищій продуктивності, гнучкості та роботі з низькою затримкою.Крім того, FPGA також можуть реалізовувати функції безпеки на рівні додатків, що може додатково заощадити обчислювальні ресурси та підвищити продуктивність.

Загальні приклади обробки безпеки додатків у FPGA включають

- Механізм розвантаження TTCP

- Зіставлення регулярного виразу

- Обробка асиметричного шифрування (PKI).

- Обробка TLS

Технології безпеки нового покоління з використанням FPGA

Численні існуючі асиметричні алгоритми вразливі до компрометації квантовими комп’ютерами.Асиметричні алгоритми безпеки, такі як RSA-2K, RSA-4K, ECC-256, DH і ECCDH, найбільше страждають від квантових обчислень.Вивчаються нові реалізації асиметричних алгоритмів і стандартизації NIST.

Поточні пропозиції щодо постквантового шифрування включають метод Ring-on-Error Learning (R-LWE) для

- Криптографія з відкритим ключем (PKC)

- Цифрові підписи

- Створення ключів

Пропонована реалізація криптографії з відкритим ключем включає в себе певні добре відомі математичні операції (TRNG, дискретизатор шуму Гаусса, додавання поліномів, ділення кванторів бінарних поліномів, множення тощо).FPGA IP для багатьох із цих алгоритмів доступна або може бути ефективно реалізована за допомогою будівельних блоків FPGA, таких як DSP і механізми штучного інтелекту (AIE) в існуючих пристроях і пристроях Xilinx наступного покоління.

У цьому офіційному документі описано реалізацію безпеки L2-L7 з використанням програмованої архітектури, яку можна розгорнути для прискорення безпеки в периферійних мережах/мережах доступу та брандмауерів наступного покоління (NGFW) у корпоративних мережах.