製品の属性

ネットワークセキュリティのためのトラフィックプロセッサとしてFPGAを使用する

セキュリティ デバイス (ファイアウォール) との間のトラフィックは複数のレベルで暗号化され、L2 暗号化/復号化 (MACSec) はリンク層 (L2) ネットワーク ノード (スイッチおよびルーター) で処理されます。通常、L2 (MAC 層) を超える処理には、より詳細な解析、L3 トンネル復号化 (IPSec)、および TCP/UDP トラフィックによる暗号化された SSL トラフィックが含まれます。パケット処理には、受信パケットの解析と分類、および高スループット (25 ～ 400Gb/s) による大量のトラフィック (1 ～ 20M) の処理が含まれます。

必要なコンピューティング リソース (コア) が多いため、NPU は比較的高速なパケット処理に使用できますが、トラフィックは MIPS/RISC コアとそのようなコアのスケジューリングを使用して処理されるため、低遅延で高性能でスケーラブルなトラフィック処理は不可能です。入手可能性に基づいて判断することは困難です。FPGA ベースのセキュリティ アプライアンスを使用すると、CPU および NPU ベースのアーキテクチャのこれらの制限を効果的に排除できます。

FPGA でのアプリケーションレベルのセキュリティ処理

FPGA は、より高いパフォーマンス、柔軟性、低遅延動作のニーズをうまく満たしているため、次世代ファイアウォールのインライン セキュリティ処理に最適です。さらに、FPGA はアプリケーション レベルのセキュリティ機能を実装することもできるため、コンピューティング リソースをさらに節約し、パフォーマンスを向上させることができます。

FPGA でのアプリケーション セキュリティ処理の一般的な例は次のとおりです。

- TTCPオフロードエンジン

- 正規表現によるマッチング

- 非対称暗号化 (PKI) 処理

- TLS処理

FPGAを活用した次世代セキュリティ技術

既存の非対称アルゴリズムの多くは、量子コンピューターによる侵害に対して脆弱です。RSA-2K、RSA-4K、ECC-256、DH、ECCDH などの非対称セキュリティ アルゴリズムは、量子コンピューティング技術の影響を最も受けます。非対称アルゴリズムと NIST 標準化の新しい実装が検討されています。

ポスト量子暗号化の現在の提案には、リングオンエラー学習 (R-LWE) 方式が含まれます。

- 公開キー暗号化 (PKC)

- デジタル署名

- キーの作成

提案されている公開キー暗号化の実装には、よく知られている特定の数学演算 (TRNG、ガウス ノイズ サンプラー、多項式加算、2 進多項式量指定子除算、乗算など) が含まれています。これらのアルゴリズムの多くに対応する FPGA IP は利用可能であり、既存および次世代のザイリンクス デバイスの DSP や AI エンジン (AIE) などの FPGA ビルディング ブロックを使用して効率的に実装できます。

このホワイト ペーパーでは、エッジ/アクセス ネットワークおよびエンタープライズ ネットワークの次世代ファイアウォール (NGFW) のセキュリティを高速化するために導入できる、プログラマブル アーキテクチャを使用した L2 ～ L7 セキュリティの実装について説明します。