熱門關(guān)鍵詞：CSR 紅外 Quartus 物聯(lián)網(wǎng) Atmel

FPGA上的MACsec IP提高數(shù)據(jù)中心安全性

發(fā)布時間：2015-4-10 16:08 發(fā)布者：eechina

By Paul Dillien and Tom Kean, PhD

保護(hù)信息的典型策略是當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)中傳遞和在數(shù)據(jù)中心內(nèi)流動的時候，對數(shù)據(jù)進(jìn)行加密處理。萬一數(shù)據(jù)被未經(jīng)授權(quán)的嗅探鏈接攔截了，加密處理能保證數(shù)據(jù)不可讀。理論上，數(shù)據(jù)也必須被授權(quán)來保證完整性。消息授權(quán)機(jī)制被設(shè)計來偵聽原始加密數(shù)據(jù)在何處發(fā)生改變，不管這個改變是由傳輸錯誤導(dǎo)致，還是出于獲得優(yōu)勢的目的而被黑客惡意篡改而導(dǎo)致。

以太網(wǎng)標(biāo)準(zhǔn)的流行推動了成本的下降，使其更有吸引力，這種良性循環(huán)也確保以太網(wǎng)繼續(xù)成為選擇中的2層技術(shù)。盡管如此，在一些年之前，規(guī)范中并沒有關(guān)于加密的相關(guān)內(nèi)容，以致把這項工作留給IPsec之類的技術(shù)來完成，而IPsec運(yùn)行在通信協(xié)議棧的上層。

如今，新拓展的以太網(wǎng)標(biāo)準(zhǔn)增加了一系列符合IEEE 802.1AE規(guī)范的安全措施。在幾年前這個技術(shù)獲得認(rèn)證，該技術(shù)具有一個集成的安全系統(tǒng)，可以加密和認(rèn)證信息，同時也檢測出并戰(zhàn)勝了一系列的網(wǎng)絡(luò)攻擊。這個規(guī)范通常被稱為媒體訪問控制安全標(biāo)準(zhǔn)，簡稱MACsec，Algotronix公司幾年前就開始生產(chǎn)能提供硬件加速的加密IP核，其擁有廣泛的數(shù)據(jù)速率范圍。（Algotronix公司也提供符合IPsec規(guī)范的知識產(chǎn)權(quán)核，該核擁有和MACsec標(biāo)準(zhǔn)產(chǎn)品相似的接口，可以很好滿足系統(tǒng)支持雙標(biāo)準(zhǔn)的需求。）

MACsec的理念源自于網(wǎng)絡(luò)上的各個節(jié)點(diǎn)形成了一組可信實(shí)體。每一個節(jié)點(diǎn)可以接收密文和明文，系統(tǒng)協(xié)議決定前兩者具體該如何處理。對于沒有經(jīng)過認(rèn)證和確認(rèn)的明文信息，MACsec核包含了一個旁路選項。IPsec之類的協(xié)議作用在3/4層，并且采用的是端到端的技術(shù)，MACsec協(xié)議則與之不同，其解析和確認(rèn)數(shù)據(jù)包的時刻發(fā)生在數(shù)據(jù)包進(jìn)入或離開以太網(wǎng)的時候。

數(shù)據(jù)包在數(shù)據(jù)中心進(jìn)行傳遞時，數(shù)據(jù)中心選擇2層連接可以達(dá)到擁有最小時延和最小包數(shù)據(jù)開銷的高速傳輸。相比之下，如果在通信中使用如IPsec之類的3層技術(shù)，信息必須被傳到堆棧等待處理，導(dǎo)致時延增大。2層技術(shù)的解決方案也可以消除建立3層安全協(xié)議時的復(fù)雜性。數(shù)據(jù)中心可以利用MACsec來提供防火墻背后的數(shù)據(jù)保護(hù)，或者把MACsec用到數(shù)據(jù)中心之間的直接鏈路中去。

對于MACsec，可定制的FPGA將是完美的解決方案，因?yàn)橐m應(yīng)不同市場需求。對于Algotronix公司，開發(fā)MACsec核是自然而然的事情，因?yàn)槲覀円呀?jīng)創(chuàng)造出了一系列被稱為AES-GCM的加密引擎。這些核可工作在1G，10G和40G的不同頻率下。我們通過流水線、提高時鐘速度、逐步從如賽靈思Artix升級到Kintes再到Virtex FPGA等等方式來達(dá)到如此高的頻率。目前我們正在采用這些技術(shù)來把Virtex UltraScale設(shè)備的吞吐量提高到100G的頻率。

在FPGA中使用IP核可以達(dá)到不同層次的性能，其支持從任何地方由Gb以太網(wǎng)到10Gb以太網(wǎng)的傳輸（即理想最壞情況下核的實(shí)際吞吐速度），計劃能有40G和100G版本。這比基于軟件的系統(tǒng)所能達(dá)到的速度要快多了。如圖1所示，這些核通常和硬件MAC直接互連，原因是FPGA芯片中嵌入式處理器里的軟件很難以如此高的數(shù)據(jù)傳輸速率來處理數(shù)據(jù)吞吐量。如果安全功能被加載在硬件上，繼而使得軟件很難獲得未加密的秘鑰，那么系統(tǒng)就不會在常見的軟件攻擊如木馬和病毒面前顯得不堪一擊了。

另外一個重要的考慮因素是，在使用FPGA進(jìn)行算法加速的系統(tǒng)里，如加速由軟件實(shí)現(xiàn)的加密功能，功耗節(jié)省這點(diǎn)非常重要。相比軟件解決方案，F(xiàn)PGA省電效率更高。

本文地址：http://m.54549.cn/thread-147858-1-1.html 【打印本頁】

本站部分文章為轉(zhuǎn)載或網(wǎng)友發(fā)布，目的在于傳遞和分享信息，并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)；文章版權(quán)歸原作者及原出處所有，如涉及作品內(nèi)容、版權(quán)和其它問題，我們將根據(jù)著作權(quán)人的要求，第一時間更正或刪除。