제품 속성

네트워크 보안을 위한 트래픽 프로세서로 FPGA 사용

보안 장치(방화벽)에서 들어오고 나가는 트래픽은 여러 수준에서 암호화되며, L2 암호화/복호화(MACSec)는 링크 계층(L2) 네트워크 노드(스위치 및 라우터)에서 처리됩니다.L2(MAC 계층) 이상의 처리에는 일반적으로 더 심층적인 구문 분석, L3 터널 암호 해독(IPSec), TCP/UDP 트래픽을 사용한 암호화된 SSL 트래픽이 포함됩니다.패킷 처리에는 수신 패킷의 구문 분석 및 분류와 높은 처리량(25~400Gb/s)으로 대규모 트래픽 볼륨(1~20M)을 처리하는 작업이 포함됩니다.

NPU는 필요한 컴퓨팅 리소스(코어)가 많기 때문에 비교적 빠른 속도의 패킷 처리에 사용할 수 있지만, MIPS/RISC 코어를 사용하여 트래픽을 처리하고 이러한 코어를 스케줄링하기 때문에 낮은 지연 시간, 고성능 확장 가능한 트래픽 처리가 불가능합니다. 가용성에 따라 어렵습니다.FPGA 기반 보안 어플라이언스를 사용하면 CPU 및 NPU 기반 아키텍처의 이러한 제한을 효과적으로 제거할 수 있습니다.

FPGA의 애플리케이션 수준 보안 처리

FPGA는 더 높은 성능, 유연성 및 낮은 대기 시간 작동에 대한 요구 사항을 성공적으로 충족하므로 차세대 방화벽의 인라인 보안 처리에 이상적입니다.또한 FPGA는 애플리케이션 수준 보안 기능을 구현할 수도 있어 컴퓨팅 리소스를 더욱 절약하고 성능을 향상시킬 수 있습니다.

FPGA의 애플리케이션 보안 처리에 대한 일반적인 예는 다음과 같습니다.

-TTCP 오프로드 엔진

- 정규식 매칭

- 비대칭 암호화(PKI) 처리

- TLS 처리

FPGA를 활용한 차세대 보안 기술

기존의 수많은 비대칭 알고리즘은 양자 컴퓨터에 의한 손상에 취약합니다.RSA-2K, RSA-4K, ECC-256, DH, ECCDH와 같은 비대칭 보안 알고리즘은 양자 컴퓨팅 기술의 영향을 가장 많이 받습니다.비대칭 알고리즘과 NIST 표준화의 새로운 구현이 연구되고 있습니다.

포스트 양자 암호화에 대한 현재 제안에는 R-LWE(Ring-on-Error Learning) 방법이 포함됩니다.

- 공개 키 암호화(PKC)

- 디지털 서명

- 키 생성

제안된 공개 키 암호화 구현에는 잘 알려진 특정 수학 연산(TRNG, 가우스 노이즈 샘플러, 다항식 덧셈, 이진 다항식 수량자 분할, 곱셈 등)이 포함됩니다.이러한 알고리즘 중 다수에 대한 FPGA IP는 기존 및 차세대 Xilinx 장치에서 DSP 및 AI 엔진(AIE)과 같은 FPGA 빌딩 블록을 사용하여 효율적으로 구현 가능하거나 효율적으로 구현할 수 있습니다.

이 백서는 엔터프라이즈 네트워크의 에지/액세스 네트워크 및 차세대 방화벽(NGFW)에서 보안 가속화를 위해 배포할 수 있는 프로그래밍 가능 아키텍처를 사용하여 L2-L7 보안을 구현하는 방법을 설명합니다.