数据中心设备规划人员将结合选用依据FPGA的内核来供给安全的高功用以太网链路。
云存储和IT服务外包对IT司理而言极富吸引力,由于这不仅能下降本钱,并且还可减轻支撑作业。但是有一个大的顾忌便是,这样做会使敏感数据流出公司防火墙外,形成安全隐患。这种顾忌是完全可以了解的,由于信息关于许多公司而言是最名贵的财物,不管是管帐、客户仍是制作相关的数据。
而现在,设备制作商可以经过运用赛灵思依据FPGA的解决计划来进步功用和安全水平。满意以太网新标准MACsec要求的Algotronix归纳安全子体系选用依据赛灵思FPGA的高功用、低时延、高能效IP核。
依据FPGA的解决计划比依据软件的解决计划速度要快得多。此外,专用硬件可接纳体系处理器,使其处理其它使命,如深度数据包查看等。或许,规划人员也可选用本钱更低的处理器。
加密和认证
维护信息的一个显着战略便是当数据在网络中传输和在数据中心周围移动时对其进行加密。一旦数据被非授权方浸透网络链路而阻拦,数据加密可以保证其无法被读取。原则上,数据还应经过认证,然后保证其完整性。音讯认证旨在检测原始加密数据是否已被篡改,包含因传输过错而形成改变,抑或是被进犯者为从中牟利而歹意损坏。
现在以太网传输已成为干流通讯办法,这是一种既高效又具有可扩展性的高速传输办法。跟着以太网标准的遍及,以太网传输本钱不断下降,这一优势使其愈加有目共睹,然后保证以太网持续成为首选的L2技能。不过,就在几年曾经,以太网标准还没有任何加密标准要求,只能选用运转在通讯协议栈上层的IPsec等技能来完结加密作业。
现在,依据IEEE 802.1AE标准,最新以太网标准扩展版别新增了很多安全办法。该技能在几年前正式承认,其选用集成式安全体系来加密并认证音讯,一起检测并应对一系列网络进犯。该标准被称为“媒体接入操控安全(Media Access Control Security)”标准,常常简称为“MACsec”。Algotronix从几年前就开端尽力推出可以依据多种不同数据速率要求供给硬件加快加密功用的IP核。
(Algotronix还可供给面向IPsec的IP核,该产品与MACsec产品的接口相似,对需求支撑双重标准的体系而言是不错的挑选。)
扼要介绍MACsec体系,协助了解标准的全面性,一起深化阐明完结该标准的杂乱程度。
信赖实体
MACsec指的是由网络上的节点组成的一系列信赖实体。每个节点都能接纳加密音讯和明文音讯,而体系战略则用于清晰怎么处理每条音讯。内核包含明文音讯的旁通选项,无需认证或验证。与IPsec等作为端到端技能运转在L3/L4的协议不同,只需数据包进入或脱离以太网LAN,MACsec就能对每个数据包进行解密和验证。
MACsec适用于星型或总线型LAN等以太网拓扑结构,也可支撑点对点体系。
MACsec标准选用安全实体(SecY)办法,也便是每个节点或实体都具有与其以太网源地址相链接的仅有密钥。为支撑多个虚拟SecY,咱们规划出了该IP核的1G版别。因而,单个以太网MAC能针对多用户LAN等运用装备多个与之相关的MACsec SecY。MACsec一般与IEEE 801.1X-2010或互联网密钥交流(IKE)合作运用,可完结网络周围的安全密钥分配。
数据中心之所以会挑选L2衔接功用在数据中心内移动数据包,是为了进步速度,并最大程度地下降时延和削减数据包中的开支数据。相比之下,假如用比如IPsec等安全的L3技能进行通讯,音讯有必要传到协议上层进行处理,而这会添加时延。
此外,L2解决计划也能避免创立L3安全战略这一杂乱作业。
数据中心可以选用MACsec供给防火墙后台的维护,或将其用在数据中心之间的直接链路上。体系办理员可授权设备以安全办法进行通讯。设备可以检测过错或误用状况,如回绝服务进犯(DOS)。
契合可编程要求
商场因需求不同,日趋细分化。可定制FPGA解决计划抱负适合于MACsec。起先,MACsec的规划是作为一项技能运用于城域网,而现在在数据中心中也找到了其用武之地,这就进步了对依据FPGA的解决计划的全体需求。
Algotronix开发MACsec内核是一个天然演进,由于咱们现已打造了一系列称为“AES-GCM”的加密引擎。这些内核的运转速率分别为1G、10G和40G。咱们经过流水线、进步时钟速率并从赛灵思Artix器材逐渐发展到Kintex器材甚至Virtex FPGA,来完结上述速率的。咱们将运用这些技能来推进Virtex UltraScale™器材上的吞吐量,使其到达100G。
咱们运用FPGA中的IP核可以完结多种不同功用,可支撑从1GbE到10 GbE的不同速率(即,内核在最坏状况下的实践吞吐量)。此外咱们还计划推出40G和100G的版别。这比依据软件的体系要快得多。内核一般直衔接到硬件MAC(如图1所示),由于FPGA芯片上的嵌入式存储器的软件会尽或许满意快地传输数据,以满意其吞吐量要求。假如在硬件上完结安全功用,一起从未向软件供给未加密密钥,那么体系就不那么简单遭到特洛伊木马(Trojan horse)和病毒等常见软件进犯。
图1 – 整个MACsec IP核坐落FPGA内,可完结最大安全性。
这样就算IT专业人士有必要考虑体系的整个软件层面的状况时,也能更便利地剖析体系漏洞。
另一个重要考虑事项便是FPGA进行算法加快的体系要大幅下降功耗。加快的算法包含加密函数等,以免再用软件去完结加快。FPGA比软件解决计划的能效显着要高得多。
一切Algotronix加密内核都内置了一项重要特点,那便是可以在Block RAM或FPGA架构的查找表(LUT)中完结称为“S-Boxes”的要害模块。有了该特点,客户可经过归纳平衡两种资源类型便能运用现有资源完结规划。比方说,假如MACsec内核外的规划未占用很多的BRAM,那么就可用Block RAM来完结S-Boxes,不然就用LUT来完结。
MACSEC细节
MACsec体系的规划理念是:每个数据源运用不同的加密密钥。接纳到音讯后,接纳器会在片上CAM的列表中进行查找,清晰用以解密数据包的正确密钥。每个数据包都有编号,保证能检测并回绝接纳重复或从头发送的数据包,这种办法可防备“中间人”进犯。
MACsec还会搜集有关被拒收的数据包数量的统计数据以及回绝的原因。供给统计数据以支撑进犯检测是超出根本加密隐私、认证和避免重发功用之外的更高一层的安全性,能让体系办理器自动应对正在进行的进犯。
咱们采纳的办法是对业经验证的AES-GCM内核周围的MACsec逻辑进行“打包”。就此而言,规划高效快速的加密内核仅仅规划应战的一部分。MACsec标准触及面广,包含许多变量。
举例来说,该标准开始只指定128位的加密密钥。选用128位密钥,数据进行10次转化(被称为“轮”)后在内核中完结加密进程。该标准经修订后可供给256位加密密钥,整个数字加密进程历经14轮。这是经过添加流水线级数并进步密钥存储所需的内存带宽才完结的。
MACsec与以太网流量类型无关,也对更高层协议通明。推出这些内核后,就能便利地将MACsec添加到体系中,然后进一步进步网络防护。装备MACsec的站点仍能与未选用MACsec额定安全保障机制的其它站点进行通讯。
从媒体接入操控器(MAC)将以太网数据包供给给MACsec内核。您可结合运用1G MACsec内核、片上收发器和三模以太网MAC(TEMAC)构建高效的小型解决计划。每个数据包都包含建议传输的源码的目的地和地址。该标准保存在MACsec体系中,但一个重要的要素是,在屡次反射传输中,“源码”将是传递数据包的终究设备的地址。因而,与可被视为端到端计划的IPsec不同,MACsec是以逐跳办法作业的。关于每次跳动,MACsec都要求输入端的一切加密数据进行解密,然后运用分配给传输设备的仅有密钥再从头加密。解密的明文可在每一级供给数据包查看功用,如图2所示,也能供流量办理器用以办理数据流。
在MACsec标准中,图3给出的报头包含附加字段“MAC安全标签(SecTAG)”,其可界说EtherType,并标明数据包是否加密。数据附加在ICV字段的音讯结尾,则表明现已认证。
图2 – 音讯在入端口被解密,并在出端口被加密。
图3 – MACsec帧结构包含MAC安全标签(SecTAG)字段,其可界说EtherType,并标明数据包是否加密。
%&&&&&%V协同加密密钥,可认证包含报头和MACsec标签的帧,然后保证帧的源地址和目的地地址都不会被篡改。咱们在FPGA架构中完结该逻辑,保证其可以具有快速的可猜测的时序,然后最大程度地下降时延。
MACsec内核包含衔接到每个源地址的查找表。该表包含的密钥有必要可以用来成功解密音讯,咱们精心规划该功用,使其可以高效完结在LUT和器材的Block RAM中。咱们充分运用FPGA解决计划的灵活性,选用完结计划选项(如可选用128位或256位密钥,也可修正内核支撑的虚拟SecY数量)来规划内核。
新标准的另一个重要特性便是,MACsec可搜集数据包级的统计数据。体系办理员可以了解有关信息(如多少数据包由于推迟而被拒收,或许由于无效解密密钥或运用过错密钥而未经过完整性查看),并将这些统计数据与正确传输的数据包数量进行比较。
MACsec标准可面向点对点运用供给精简选项。这样就无需选用CAM从数据包中的显式安全通道标识符和单点到多点操作的挑选计划中承认密钥。咱们的内核还可支撑相关于单个以太网的多个虚拟SecY,这样,不同的密钥就能用来加密从MAC传输到不同目的地的数据。MACsec标准将这种装备界说为多用户局域网,由于这就像这些目的地坐落不同以太网LAN上相同。该特性使得体系可以经过运用不同密钥加密输出来对接纳设备进行分区。
数据中心或许会选用多个SecY来创立虚拟分区,这样客户A的数据就可经过仅有的加密密钥与客户B的数据划分隔。
数据中心内部通讯可依据需求进行安排来分隔选定的机架,然后供给虚拟阻隔区。这种功用可维护数据完整性,并应对数据中心和云运用中的阻隔问题。不管是意外过错衔接仍是歹意行为(见图4),MACsec体系都能检测到未经认证的数据包,体系办理员可经过设置战略将其阻隔或删去。
图4 – MACsec将回绝经过过错衔接抵达的数据包,不管是由于意外状况形成仍是歹意行为导致。
一切数据加密和解密都在端口级进行。除了附加的MACsec报头和较少的额定时延,翻开端口级加密不会添加开支,也不会对功用形成其它影响。
经过选用契合IEEE 802.1AE要求的加密Ethernet Lecel 2计划,设备厂商现在能用这些内核推进其体系特征化。依据云的用户或许与其他用户相互之间不信赖,但他们现在可以从MACsec供给的数据秘要大获裨益,并且数据源认证功用可进一步维护他们的数据。设备制作商则能挑选可用的IP核来满意1Gb和10 Gb以太网吞吐量的需求。
这种架构规划能经过Kintex或Virtex FPGA器材轻松完结10Gbps的速度。在最坏状况下,该规划只需更改每个数据包的密钥便可支撑巨型帧和最小型数据包。内核契合全面标准要求,每个MACsec内核都能支撑各种常用的FPGA产品系列。
配套供给源码
Algotronix采纳了不同寻常的办法,即为一切答应的内核供给HDL源码。这样做的首要动机是支撑客户查看,以便保证代码不含病毒或特洛伊木马代码,并且不会强制进入非授权状况或操作。有了源码,就能下降客户安全审阅的本钱和杂乱性。此外,源码可加快规划进程,由于工程师可以便利地测验运用比如加密、解密或加密/解密等不同装备参数和密钥长度,并了解其各自仿真内核中的信号状况。
您可对内核进行装备,经过完结较宽的数据途径来进步吞吐量,或经过挑选较窄的数据宽度来最大程度地减小FPGA封装尺度。具有源码还有其它更多优势,包含更便于了解内核作业状况;也让文档记载和归档变得更便利便利。
此外,还配套供给了广泛的验证测验渠道,可协助客户在ModelSim等东西中承认操作是否正确。测验渠道包含MACsec的行为模型和MACsec IP核的自检版别,能针对行为模型查看可归纳硬件的输出。这种自检规划可在用户仿真中完结实例化,便于测验实践用户规划环境下的内核体现,并在过错驱动的状况下供给有用的确诊信息。
内核可供给许多选项,因而准确的资源数量将取决于您怎么挑选参数,如数据速率、密钥长度和所选SecY数量以及其它。但是,赛灵思网站IP部分列出的10G MACsec内核选用6,638个slice、20,916个LUT和53个BRAM块。如需获取答应证选项,敬请联络Algotronix。
赛灵思低功耗 FPGA与Algotronix MACsec内核的完美结合为设备制作商完结产品差异化供给了高功用、低时延的解决计划。安全特性使得数据中心可以保证其客户秘要,一起还可协助安全办理员检测并冲击歹意行为。
