FPGA上的MACsec IP提高數(shù)據(jù)中心安全性

發(fā)布時間：2015-4-10 16:08 發(fā)布者：eechina

By Paul Dillien and Tom Kean, PhD

保護信息的典型策略是當數(shù)據(jù)在網(wǎng)絡中傳遞和在數(shù)據(jù)中心內(nèi)流動的時候，對數(shù)據(jù)進行加密處理。萬一數(shù)據(jù)被未經(jīng)授權的嗅探鏈接攔截了，加密處理能保證數(shù)據(jù)不可讀。理論上，數(shù)據(jù)也必須被授權來保證完整性。消息授權機制被設計來偵聽原始加密數(shù)據(jù)在何處發(fā)生改變，不管這個改變是由傳輸錯誤導致，還是出于獲得優(yōu)勢的目的而被黑客惡意篡改而導致。

以太網(wǎng)標準的流行推動了成本的下降，使其更有吸引力，這種良性循環(huán)也確保以太網(wǎng)繼續(xù)成為選擇中的2層技術。盡管如此，在一些年之前，規(guī)范中并沒有關于加密的相關內(nèi)容，以致把這項工作留給IPsec之類的技術來完成，而IPsec運行在通信協(xié)議棧的上層。

如今，新拓展的以太網(wǎng)標準增加了一系列符合IEEE 802.1AE規(guī)范的安全措施。在幾年前這個技術獲得認證，該技術具有一個集成的安全系統(tǒng)，可以加密和認證信息，同時也檢測出并戰(zhàn)勝了一系列的網(wǎng)絡攻擊。這個規(guī)范通常被稱為媒體訪問控制安全標準，簡稱MACsec，Algotronix公司幾年前就開始生產(chǎn)能提供硬件加速的加密IP核，其擁有廣泛的數(shù)據(jù)速率范圍。（Algotronix公司也提供符合IPsec規(guī)范的知識產(chǎn)權核，該核擁有和MACsec標準產(chǎn)品相似的接口，可以很好滿足系統(tǒng)支持雙標準的需求。）

MACsec的理念源自于網(wǎng)絡上的各個節(jié)點形成了一組可信實體。每一個節(jié)點可以接收密文和明文，系統(tǒng)協(xié)議決定前兩者具體該如何處理。對于沒有經(jīng)過認證和確認的明文信息，MACsec核包含了一個旁路選項。IPsec之類的協(xié)議作用在3/4層，并且采用的是端到端的技術，MACsec協(xié)議則與之不同，其解析和確認數(shù)據(jù)包的時刻發(fā)生在數(shù)據(jù)包進入或離開以太網(wǎng)的時候。

數(shù)據(jù)包在數(shù)據(jù)中心進行傳遞時，數(shù)據(jù)中心選擇2層連接可以達到擁有最小時延和最小包數(shù)據(jù)開銷的高速傳輸。相比之下，如果在通信中使用如IPsec之類的3層技術，信息必須被傳到堆棧等待處理，導致時延增大。2層技術的解決方案也可以消除建立3層安全協(xié)議時的復雜性。數(shù)據(jù)中心可以利用MACsec來提供防火墻背后的數(shù)據(jù)保護，或者把MACsec用到數(shù)據(jù)中心之間的直接鏈路中去。

對于MACsec，可定制的FPGA將是完美的解決方案，因為要適應不同市場需求。對于Algotronix公司，開發(fā)MACsec核是自然而然的事情，因為我們已經(jīng)創(chuàng)造出了一系列被稱為AES-GCM的加密引擎。這些核可工作在1G，10G和40G的不同頻率下。我們通過流水線、提高時鐘速度、逐步從如賽靈思Artix升級到Kintes再到Virtex FPGA等等方式來達到如此高的頻率。目前我們正在采用這些技術來把Virtex UltraScale設備的吞吐量提高到100G的頻率。

在FPGA中使用IP核可以達到不同層次的性能，其支持從任何地方由Gb以太網(wǎng)到10Gb以太網(wǎng)的傳輸（即理想最壞情況下核的實際吞吐速度），計劃能有40G和100G版本。這比基于軟件的系統(tǒng)所能達到的速度要快多了。如圖1所示，這些核通常和硬件MAC直接互連，原因是FPGA芯片中嵌入式處理器里的軟件很難以如此高的數(shù)據(jù)傳輸速率來處理數(shù)據(jù)吞吐量。如果安全功能被加載在硬件上，繼而使得軟件很難獲得未加密的秘鑰，那么系統(tǒng)就不會在常見的軟件攻擊如木馬和病毒面前顯得不堪一擊了。

另外一個重要的考慮因素是，在使用FPGA進行算法加速的系統(tǒng)里，如加速由軟件實現(xiàn)的加密功能，功耗節(jié)省這點非常重要。相比軟件解決方案，F(xiàn)PGA省電效率更高。

本文地址：http://www.54549.cn/thread-147858-1-1.html 【打印本頁】

本站部分文章為轉(zhuǎn)載或網(wǎng)友發(fā)布，目的在于傳遞和分享信息，并不代表本網(wǎng)贊同其觀點和對其真實性負責；文章版權歸原作者及原出處所有，如涉及作品內(nèi)容、版權和其它問題，我們將根據(jù)著作權人的要求，第一時間更正或刪除。