英超

MACsecIP核大幅提升数据中心安全性编制

2020-11-19 12:35:54来源:励志吧0次阅读

MACsec IP核大幅提升数据中心安全性 - FPGA/CPLD - 电子工程

作者:Paul Dillien,High Tech Marketing公司顾问(paul@);Tom Kean博士,Algotronix公司总经理(tom@)

数据中心设备设计人员将结合采用基于FPGA的内核来提供安全的高性能以太链路。

云存储和IT服务外包对IT经理而言极富吸引力,因为这不仅能降低成本,而且还可减轻支持工作。然而有一个大的顾虑就是,这样做会使敏感数据流出公司防火墙外,造成安全隐患。这种顾虑是完全可以理解的,因为信息对于许多公司而言是最宝贵的资产,无论是会计、客户还是制造相关的数据。

而现在,设备制造商能够通过使用赛灵思基于FPGA的解决方案来提高性能和安全水平。满足以太新标准MACsec要求的Algotronix综合安全子系统采用基于赛灵思FPGA的高性能、低时延、高能效IP核。

基于FPGA的解决方案比基于软件的解决方案速度要快得多。此外,专用硬件可接管系统处理器,使其处理其它任务,如深度数据包检查等。或者,设计人员也可采用成本更低的处理器。

加密和认证

保护信息的一个显着策略就是当数据在络中传输和在数据中心周围移动时对其进行加密。一旦数据被非授权方渗透络链路而拦截,数据加密能够确保其无法被读取。原则上,数据还应经过认证,从而确保其完整性。消息认证旨在检测原始加密数据是否已被篡改,包括因传输错误而造成变更,抑或是被攻击者为从中牟利而恶意破坏。

目前以太传输已成为主流通信方式,这是一种既高效又具有可扩展性的高速传输方法。随着以太标准的普及,以太传输成本不断降低,这一优势使其更加引人注目,进而确保以太继续成为首选的L2技术。不过,就在几年以前,以太标准还没有任何加密规范要求,只能采用运行在通信协议栈上层的IPsec等技术来完成加密工作。

现在,根据IEEE 802.1AE标准,最新以太标准扩展版本新增了大量安全措施。该技术在几年前正式确定,其采用集成式安全系统来加密并认证消息,同时检测并应对一系列络攻击。该标准被称为“媒体接入控制安全(Media Access Control Security)”标准,常常简称为“MACsec”。Algotronix从几年前就开始努力推出能够根据多种不同数据速率要求提供硬件加速加密功能的IP核。

(Algotronix还可都是大方豪爽的爷们玩家所赠。这一身的装备可提供面向IPsec的IP核,该产品与MACsec产品的接口类似,对需要支持双重标准的系统而言是不错的选择。)

简要介绍MACsec系统,帮助了解规范的全面性,同时深入说明实现该规范的复杂程度。

信任实体

MACsec指的是由络上的节点组成的一系列信任实体。每个节点都能接收加密消息和明文消息,而系统策略则用于明确如何处理每条消息。内核包括明文消息的旁通选项,无需认证或验证。与IPsec等作为端到端技术运行在L3/L4的协议不同,只要数据包进入或离开以太LAN,MACsec就能对每个数据包进行解密和验证。

MACsec适用于星型或总线型LAN等以太拓扑结构,也可支持点对点系统。

MACsec标准采用安全实体(SecY)方法,也就是每个节点或实体都具备与其以太源地址相链接的唯一密钥。为支持多个虚拟SecY,我们设计出了该IP核的1G版本。因此,单个以太MAC能针对多用户LAN等应用配备多个与之关联的MACsec SecY。MACsec通常与IEEE 801.1X-2010或互联密钥交换(IKE)配合使用,可实现络周围的安全密钥分配。

数据中心之所以会选择L2连接功能在数据中心内移动数据包,是为了提高速度,并最大程度地降低时延和减少数据包中的开销数据。相比之下,如果用诸如IPsec等安全的L3技术进行通信,消息必须传到协议上层进行处理,而这会增加时延。

此外,L2解决方案也能避免创建L3安全策略这一复杂工作。

数据中心能够采用MACsec提供防火墙后台的保护,或将其用在数据中心之间的直接链路上。系统管理员可授权设备以安全方式进行通信。设备能够检测错误或误用情况,如拒绝服务攻击(DOS)。

符合可编程要求

市场因需求不同,日趋细分化。可定制FPGA解决方案理想适合于MACsec。起初,MACsec的设计是作为一项技术应用于城域,而现在在数据中心中也找到了其用武之地,这就提高了对基于FPGA的解决方案的整体需求。

Algotronix开发MACsec内核是一个自然演进,因为我们已经打造了一系列称为“AES-GCM”的加密引擎。这些内核的运行速率分别为1G、10G和40G。我们通过流水线、提高时钟速率并从赛灵思Artix器件逐步发展到Kintex器件乃至Virtex FPGA,来实现上述速率的。我们将利用这些技术来推动Virtex UltraScale 器件上的吞吐量,使其达到100G。

我们使用FPGA中的IP核能够实现多种不同性能,可支持从1GbE到10 GbE的不同速率(即,内核在最坏情况下的实际吞吐量)。此外我们还计划推出40G和100G的版本。这比基于软件的系统要快得多。内核通常直连接到硬件MAC(如图1所示),因为FPGA芯片上的嵌入式存储器的软件会尽可能足够快地传输数据,以满足其吞吐量要求。如果在硬件上实现安全功能,同时从未向软件提供未加密密钥,那么系统就不那么容易受到特洛伊木马(Trojan horse)和病毒等常见软件攻击。

社会获得性肺炎吃什么好
TX品牌
老人认知功能下降是什么引起的
TX营养
分享到: