Productkenmerken

FPGA's gebruiken als verkeersprocessors voor netwerkbeveiliging

Verkeer van en naar beveiligingsapparaten (firewalls) wordt op meerdere niveaus gecodeerd, en L2-codering/decodering (MACSec) wordt verwerkt op de link layer (L2) netwerkknooppunten (switches en routers).Verwerking buiten de L2 (MAC-laag) omvat doorgaans diepere parsering, L3-tunneldecodering (IPSec) en gecodeerd SSL-verkeer met TCP/UDP-verkeer.Pakketverwerking omvat het parseren en classificeren van inkomende pakketten en de verwerking van grote verkeersvolumes (1-20M) met een hoge doorvoer (25-400Gb/s).

Vanwege het grote aantal benodigde computerbronnen (cores) kunnen NPU's worden gebruikt voor pakketverwerking met relatief hogere snelheid, maar schaalbare verkeersverwerking met lage latentie en hoge prestaties is niet mogelijk omdat verkeer wordt verwerkt met behulp van MIPS/RISC-kernen en het plannen van dergelijke kernen. op basis van hun beschikbaarheid is moeilijk.Het gebruik van op FPGA gebaseerde beveiligingsapparatuur kan deze beperkingen van CPU- en NPU-gebaseerde architecturen effectief elimineren.

Beveiligingsverwerking op applicatieniveau in FPGA's

FPGA's zijn ideaal voor inline beveiligingsverwerking in firewalls van de volgende generatie, omdat ze met succes voldoen aan de behoefte aan hogere prestaties, flexibiliteit en werking met lage latentie.Bovendien kunnen FPGA's ook beveiligingsfuncties op applicatieniveau implementeren, waardoor computerbronnen verder kunnen worden bespaard en de prestaties kunnen worden verbeterd.

Veelvoorkomende voorbeelden van applicatiebeveiligingsverwerking in FPGA's zijn onder meer:

- TTCP-offload-motor

- Matching van reguliere expressies

- Asymmetrische encryptie (PKI) verwerking

- TLS-verwerking

Beveiligingstechnologieën van de volgende generatie die gebruik maken van FPGA's

Talrijke bestaande asymmetrische algoritmen zijn kwetsbaar voor compromissen door kwantumcomputers.Asymmetrische beveiligingsalgoritmen zoals RSA-2K, RSA-4K, ECC-256, DH en ECCDH worden het meest beïnvloed door kwantumcomputertechnieken.Nieuwe implementaties van asymmetrische algoritmen en NIST-standaardisatie worden onderzocht.

Huidige voorstellen voor post-kwantumversleuteling omvatten de Ring-on-Error Learning (R-LWE)-methode

- Cryptografie met openbare sleutels (PKC)

- Digitale handtekeningen

- Sleutelcreatie

De voorgestelde implementatie van cryptografie met openbare sleutels omvat bepaalde bekende wiskundige bewerkingen (TRNG, Gaussiaanse ruissampler, polynomiale optelling, binaire polynomiale kwantificatordeling, vermenigvuldiging, enz.).FPGA IP voor veel van deze algoritmen is beschikbaar of kan efficiënt worden geïmplementeerd met behulp van FPGA-bouwstenen, zoals DSP en AI-engines (AIE) in bestaande en volgende generatie Xilinx-apparaten.

Dit whitepaper beschrijft de implementatie van L2-L7-beveiliging met behulp van een programmeerbare architectuur die kan worden ingezet voor beveiligingsversnelling in edge/access-netwerken en next-generation firewalls (NGFW) in bedrijfsnetwerken.