|
By Paul Dillien and Tom Kean, PhD 保護信息的典型策略是當數據在網絡中傳遞和在數據中心內流動的時候,對數據進行加密處理。萬一數據被未經授權的嗅探鏈接攔截了,加密處理能保證數據不可讀。理論上,數據也必須被授權來保證完整性。消息授權機制被設計來偵聽原始加密數據在何處發生改變,不管這個改變是由傳輸錯誤導致,還是出于獲得優勢的目的而被黑客惡意篡改而導致。 以太網標準的流行推動了成本的下降,使其更有吸引力,這種良性循環也確保以太網繼續成為選擇中的2層技術。盡管如此,在一些年之前,規范中并沒有關于加密的相關內容,以致把這項工作留給IPsec之類的技術來完成,而IPsec運行在通信協議棧的上層。 如今,新拓展的以太網標準增加了一系列符合IEEE 802.1AE規范的安全措施。在幾年前這個技術獲得認證,該技術具有一個集成的安全系統,可以加密和認證信息,同時也檢測出并戰勝了一系列的網絡攻擊。這個規范通常被稱為媒體訪問控制安全標準,簡稱MACsec,Algotronix公司幾年前就開始生產能提供硬件加速的加密IP核,其擁有廣泛的數據速率范圍。(Algotronix公司也提供符合IPsec規范的知識產權核,該核擁有和MACsec標準產品相似的接口,可以很好滿足系統支持雙標準的需求。) MACsec的理念源自于網絡上的各個節點形成了一組可信實體。每一個節點可以接收密文和明文,系統協議決定前兩者具體該如何處理。對于沒有經過認證和確認的明文信息,MACsec核包含了一個旁路選項。IPsec之類的協議作用在3/4層,并且采用的是端到端的技術,MACsec協議則與之不同,其解析和確認數據包的時刻發生在數據包進入或離開以太網的時候。 數據包在數據中心進行傳遞時,數據中心選擇2層連接可以達到擁有最小時延和最小包數據開銷的高速傳輸。相比之下,如果在通信中使用如IPsec之類的3層技術,信息必須被傳到堆棧等待處理,導致時延增大。2層技術的解決方案也可以消除建立3層安全協議時的復雜性。數據中心可以利用MACsec來提供防火墻背后的數據保護,或者把MACsec用到數據中心之間的直接鏈路中去。 對于MACsec,可定制的FPGA將是完美的解決方案,因為要適應不同市場需求。對于Algotronix公司,開發MACsec核是自然而然的事情,因為我們已經創造出了一系列被稱為AES-GCM的加密引擎。這些核可工作在1G,10G和40G的不同頻率下。我們通過流水線、提高時鐘速度、逐步從如賽靈思Artix升級到Kintes再到Virtex FPGA等等方式來達到如此高的頻率。目前我們正在采用這些技術來把Virtex UltraScale設備的吞吐量提高到100G的頻率。 在FPGA中使用IP核可以達到不同層次的性能,其支持從任何地方由Gb以太網到10Gb以太網的傳輸(即理想最壞情況下核的實際吞吐速度),計劃能有40G和100G版本。這比基于軟件的系統所能達到的速度要快多了。如圖1所示,這些核通常和硬件MAC直接互連,原因是FPGA芯片中嵌入式處理器里的軟件很難以如此高的數據傳輸速率來處理數據吞吐量。如果安全功能被加載在硬件上,繼而使得軟件很難獲得未加密的秘鑰,那么系統就不會在常見的軟件攻擊如木馬和病毒面前顯得不堪一擊了。 
另外一個重要的考慮因素是,在使用FPGA進行算法加速的系統里,如加速由軟件實現的加密功能,功耗節省這點非常重要。相比軟件解決方案,FPGA省電效率更高。 |
