Produktattribut

Använder FPGA som trafikprocessorer för nätverkssäkerhet

Trafik till och från säkerhetsenheter (brandväggar) krypteras på flera nivåer, och L2-kryptering/dekryptering (MACSec) bearbetas vid länkskiktets (L2) nätverksnoder (switchar och routrar).Bearbetning bortom L2 (MAC-lagret) inkluderar vanligtvis djupare analys, L3-tunneldekryptering (IPSec) och krypterad SSL-trafik med TCP/UDP-trafik.Paketbehandling involverar analys och klassificering av inkommande paket och bearbetning av stora trafikvolymer (1-20M) med hög genomströmning (25-400Gb/s).

På grund av det stora antalet beräkningsresurser (kärnor) som krävs kan NPU:er användas för relativt snabbare paketbearbetning, men låg latens, högpresterande skalbar trafikbearbetning är inte möjlig eftersom trafik bearbetas med MIPS/RISC-kärnor och schemaläggning av sådana kärnor baserat på deras tillgänglighet är svårt.Användningen av FPGA-baserade säkerhetsanordningar kan effektivt eliminera dessa begränsningar hos CPU- och NPU-baserade arkitekturer.

Säkerhetsbehandling på applikationsnivå i FPGA:er

FPGA:er är idealiska för inline-säkerhetsbehandling i nästa generations brandväggar eftersom de framgångsrikt uppfyller behovet av högre prestanda, flexibilitet och drift med låg latens.Dessutom kan FPGA:er också implementera säkerhetsfunktioner på applikationsnivå, vilket ytterligare kan spara datorresurser och förbättra prestandan.

Vanliga exempel på applikationssäkerhetsbehandling i FPGA:er inkluderar

- TTCP avlastningsmotor

- Matchning av reguljära uttryck

- Asymmetrisk kryptering (PKI) bearbetning

- TLS-bearbetning

Nästa generations säkerhetsteknik som använder FPGA

Många befintliga asymmetriska algoritmer är sårbara för kompromisser från kvantdatorer.Asymmetriska säkerhetsalgoritmer som RSA-2K, RSA-4K, ECC-256, DH och ECCDH är de mest påverkade av kvantberäkningstekniker.Nya implementeringar av asymmetriska algoritmer och NIST-standardisering undersöks.

Aktuella förslag för postkvantkryptering inkluderar metoden Ring-on-Error Learning (R-LWE) för

- Public Key Cryptography (PKC)

- Digitala signaturer

- Nyckelskapande

Den föreslagna implementeringen av publik nyckelkryptografi inkluderar vissa välkända matematiska operationer (TRNG, Gaussisk brussampler, polynomaddition, binär polynomkvantifierardivision, multiplikation, etc.).FPGA IP för många av dessa algoritmer är tillgänglig eller kan implementeras effektivt med hjälp av FPGA-byggstenar, såsom DSP- och AI-motorer (AIE) i befintliga och nästa generations Xilinx-enheter.

Denna vitbok beskriver implementeringen av L2-L7-säkerhet med hjälp av en programmerbar arkitektur som kan distribueras för säkerhetsacceleration i edge/access-nätverk och nästa generations brandväggar (NGFW) i företagsnätverk.