可編程能力在新一代安全設(shè)備中的重要性

數(shù)據(jù)包編輯：安全處理涉及在完成解析、包頭查找和過濾之后將修改后的加密或解密數(shù)據(jù)包發(fā)送到出站端口。傳出流量包括修改后的新包頭、更新后的數(shù)據(jù)包字段、認(rèn)證包頭以及糾錯字段。部分常見數(shù)據(jù)包處理需求包括：

●   更改 L2/L3 包頭 (MAC/VLAN/IPv4/IPv6)

●   創(chuàng)建與更新安全 (MACSec/IPSec) 包頭

●   更新 IP 包頭校驗和

●   更新 TCP 校驗和

●   更新以太網(wǎng) CRC

●   更新認(rèn)證字段

圖7  顯示了用于 MACSec 和 IPSec 的數(shù)據(jù)包編輯/修改操作。在通過出站端口發(fā)送數(shù)據(jù)包之前，可能需要對包頭字段進(jìn)行多次修改，這包括校驗和與 CRC 的計算與插入。除了標(biāo)準(zhǔn)包頭，數(shù)據(jù)包通常還包括專用包頭，而且也可能需要采用不同的協(xié)議包頭（VXLAN、IP in IP、GRE 等）對數(shù)據(jù)包進(jìn)行封裝與解封。賽靈思可編程器件能夠在線路速率下以最大靈活性實現(xiàn)數(shù)據(jù)包修改。

圖7 MACSec 與 IPSec 數(shù)據(jù)包重寫

此外，賽靈思器件還提供 P4 可編程能力，因此也可以采用 P4 實現(xiàn)數(shù)據(jù)包重寫操作。與 RTL 實現(xiàn)方案相比，P4 逆解析器功能能夠進(jìn)一步簡化包頭的創(chuàng)建與插入。為在賽靈思器件上以線路速率運行，可以使用賽靈思 P4 編譯器合成 P4 編輯器代碼。

對于應(yīng)用層安全實現(xiàn)，對數(shù)據(jù)包重寫操作的需求更加復(fù)雜。例如，如果 TCP 數(shù)據(jù)包在 FPGA 內(nèi)終止，則會話追蹤與封裝/解封需求會比 IPSec 或 MACSec 數(shù)據(jù)包修改需求需要更多的邏輯與存儲器資源。

此外，數(shù)據(jù)包修改任務(wù)也可以在軟件（運行 CPU 核心）中執(zhí)行，但是高端安全設(shè)備所需的吞吐量無法通過軟件實現(xiàn)方案滿足線路速率操作。在可編程硬件中執(zhí)行數(shù)據(jù)包處理操作的另一個關(guān)鍵優(yōu)勢是可以節(jié)省大量的 CPU 資源（CPU 核心），節(jié)省下來的資源可以分配給軟件中運行的實際應(yīng)用。

FPGA 中的應(yīng)用級安全處理

FPGA 是新一代防火墻內(nèi)聯(lián)安全處理的理想選擇，這是因為采用 FPGA 可以成功滿足對更高性能、靈活性和低時延操作的需求。此外，F(xiàn)PGA 還可以實現(xiàn)應(yīng)用級安全功能，從而進(jìn)一步節(jié)省計算資源并提高性能。

FPGA 中有關(guān)應(yīng)用安全處理的常見示例包括：

●   TTCP 卸載引擎

●   正則表達(dá)式匹配

●   非對稱加密 (PKI) 處理

●   TLS 處理

由于眾多用戶空間應(yīng)用采用 TCP 作為客戶端或服務(wù)器模式下的通信協(xié)議，并且 TCP 是客戶端與服務(wù)器之間的安全 (TLS/SSL) 連接基本塊，因此 TCP 卸載引擎 (TOE) 是用于內(nèi)聯(lián) FPGA 處理的重要卸載塊。企業(yè)防火墻通常同時終止大量 TCP 連接，這將消耗大量的 CPU 周期與存儲器。為了實現(xiàn)應(yīng)用級安全處理，可能需要采用擁有大量核心的昂貴的高端 CPU 來終止眾多 TCP/UDP 連接。FPGA 中的 TCP 處理實現(xiàn)方案通過節(jié)省眾多實現(xiàn) TOE 所需的內(nèi)核，能夠顯著節(jié)約成本和功耗。

圖 8 顯示了安全設(shè)備中由 FPGA 輔助完成數(shù)據(jù)包處理的示例。由于進(jìn)入防火墻網(wǎng)絡(luò)接口的數(shù)據(jù)包可能屬于眾多不同的應(yīng)用，因此追蹤與多個應(yīng)用關(guān)聯(lián)的數(shù)據(jù)包，并將其發(fā)送到正確應(yīng)用或者在正確應(yīng)用進(jìn)行接收是一種需要占用大量存儲器的狀態(tài)化操作。此外，上述關(guān)聯(lián)還需要對 TCP 段進(jìn)進(jìn)行重新排序、分段和重組。雖然仍然可以采用 CPU 處理協(xié)議消息的新連接請求與認(rèn)證，但是 FPGA 可以追蹤活動會話并且根據(jù)會話 ID 將數(shù)據(jù)包分配給相關(guān)應(yīng)用。

圖8 采用 FPGA進(jìn)行應(yīng)用級狀態(tài)處理

FPGA 中的 TLS 卸載/處理

FPGA 的 TLS 處理功能是 TCP 卸載引擎的擴(kuò)展，其中  TCP 有效載荷的加密與解密在 FPGA 中執(zhí)行。TSL 會話的發(fā)起與認(rèn)證在軟件中執(zhí)行（CPU）。在建立安全連接時，由 FPGA 執(zhí)行后續(xù)的 TLS 記錄處理。

圖 9 顯示了在賽靈思器件中作為 CPU 卸載的完整內(nèi)聯(lián) SSL 處理功能的組件。賽靈思器件可以實現(xiàn)整個邏輯，以處理  100G 以太網(wǎng)接口數(shù)據(jù)包。它可以識別 TCP 與 TLS 流，并且相應(yīng)地將數(shù)據(jù)包引導(dǎo)到相關(guān) CPU 或者采用可編程資源進(jìn)行處理。

圖9 FPGA 中的 TLS 卸載

FPGA 中的正則表達(dá)式 (Regex)

正則表達(dá)式 (regex) 涉及流量的有效載荷數(shù)據(jù)中字符串或特殊字符的匹配。它廣泛應(yīng)用于 DPI、IPS/IDS、DLP 和 DDoS 防護(hù)。Regex 匹配通常是在軟件中執(zhí)行，其采用專用軟件庫。由于 regex 搜索需要針對眾多規(guī)則對有效載荷進(jìn)行匹配，因此純軟件 regex 處理給新一代安全設(shè)備帶來了性能與時延挑戰(zhàn)。

圖 10 說明了采用賽靈思器件的 100Gb/s 內(nèi)聯(lián) regex 處理。在此 regex 加速處理模型中，Perl 兼容正則表達(dá)式 (PCRE) 或 Snort 規(guī)則首先在軟件編譯器中進(jìn)行編譯，然后通過 PCI 接口發(fā)送到與 CPU 連接的 FPGA，作為二進(jìn)制字符串匹配規(guī)則條目保存到 FPGA 的內(nèi)部 SRAM 或DRAM（HBM 或 DDR）存儲器。FPGA 會在內(nèi)部 SRAM 或 DRAM （片上 HBM 或外部 DDR）中填充大量 regex 規(guī)則/條目（轉(zhuǎn)換成二進(jìn)制的特殊字符與字的組合）。regex 處理的內(nèi)聯(lián)加速與軟件相比可以顯著提高性能（10-30 倍）。

圖10 FPGA 中的 Regex 匹配

基于 FPGA 的安全設(shè)備中的機(jī)器學(xué)習(xí) (ML)

在新一代安全設(shè)備中，基于 ML 的流量分析與惡意軟件檢測是關(guān)鍵應(yīng)用之一。ML 模型將會被部署用于通過分析加密數(shù)據(jù)中的特定模式而實現(xiàn)的加密流量檢測。在高端安全設(shè)備中，則需要采用 ML 模型處理海量實時數(shù)據(jù)，以便預(yù)測異常，因此采用加速器實現(xiàn) ML 模型將給高吞吐量與低時延惡意軟件預(yù)測帶來巨大優(yōu)勢。防火墻已經(jīng)開始在軟件中部署用于異常檢測的 ML 模型。在新一代設(shè)備中，賽靈思可編程器件將會通過將 ML 模型卸載到可編程邏輯而提供顯著提高的預(yù)測速度。

此類基于 FPGA 的 ML 模型包括：

●   隨機(jī)樹（隨機(jī)森林）

●   深度神經(jīng)網(wǎng)絡(luò) (DNN)

o   多層感知機(jī) (MLP) 或卷積神經(jīng)網(wǎng)絡(luò) (CNN)

推斷模型的選擇取決于多種因素，如：準(zhǔn)確性、輸入模式改變頻率、訓(xùn)練需求、FPGA 資源利用率等。

賽靈思 ML 解決方案包括支持大多數(shù)常用 ML 框架的軟件庫與工具。這些模型可以高效映射到賽靈思可編程器件以及 Versal ACAP 所提供的 AI 引擎中的查找表 (LUT)、DSP 與 SRAM/DRAM 存儲器。

針對 FPGA 中安全分析功能實現(xiàn) ML 模型的另一個優(yōu)勢是惡意軟件預(yù)測所需要的內(nèi)聯(lián)流量/數(shù)據(jù)包處理可以在同一個 FPGA 中執(zhí)行。在 ML 模型的內(nèi)聯(lián)實現(xiàn)方案中，將網(wǎng)絡(luò)接口連接到同一個 FPGA 可以節(jié)省從 CPU 向 ML 模型發(fā)送數(shù)據(jù)所需的 PCIe? 帶寬。

圖 11 顯示了 ML 模型在 200Gb/s 防火墻中的應(yīng)用。TLS 處理器具有 TSL 解析器以及 IP 數(shù)據(jù)報中 TLS 參數(shù)提取功能。隨后，這些參數(shù)反饋給 ML<5018/> 處理器，以便查找和調(diào)節(jié) ML 模型的系數(shù)。根據(jù)相關(guān)系數(shù)，模型可以預(yù)測 TSL 流量的善意與惡意簽名。

圖11 安全設(shè)備中的 ML 模型

采用 FPGA 的新一代安全技術(shù)

后量子加密

眾多現(xiàn)有的非對稱算法容易受到量子計算機(jī)的破壞。對量子計算安全加密算法的研究和實現(xiàn)已經(jīng)起步，而已經(jīng)有學(xué)術(shù)論文介紹了如何采用 FPGA 實現(xiàn)此類算法。RSA-2K、RSA-4K、ECC-256、DH 和 ECCDH 等非對稱安全算法受到量子計算技術(shù)的影響最大。目前正在探討新的非對稱算法實現(xiàn)方案和 NIST 標(biāo)準(zhǔn)化。

目前提議的后量子加密（PQC）包括針對以下方面的環(huán)上誤差學(xué)習(xí) (R- LWE) 算法：

●   公共密鑰加密 (PKC)

●   數(shù)字簽名

●   密鑰創(chuàng)建

提議的公共密鑰加密的實現(xiàn)方案包括某些眾所周知的數(shù)學(xué)運算（TRNG、高斯噪聲采樣器、多項式加法、二進(jìn)制多項式定標(biāo)器除法、乘法等）。用于眾多此類算法的 FPGA IP 已經(jīng)面世或者可以采用 FPGA 構(gòu)建塊高效實現(xiàn)，如：現(xiàn)有的和新一代賽靈思器件中的 DSP 與 AI 引擎。

安全訪問服務(wù)邊緣 (SASE)

安全訪問服務(wù)邊緣 (SASE) 是新興的新一代企業(yè)安全技術(shù)，旨在滿足企業(yè)的動態(tài)安全訪問需求。SASE 的早期定義在企業(yè)邊緣集成自適應(yīng)網(wǎng)絡(luò)與安全需求，其中包括 SD-WAN、軟件與物理防火墻以及網(wǎng)絡(luò)安全網(wǎng)關(guān)。SASE 需要采用動態(tài)安全策略更新來提供對聯(lián)網(wǎng)應(yīng)用的不間斷安全訪問。

采用 FPGA 在硬件中實現(xiàn) SASE 剛剛起步，不過，由于 FPGA 具有全面的可編程能力，因此它們?nèi)匀荒軌蛲ㄟ^ L2/L3/L4 加密技術(shù)和上述其他技術(shù)在流量處理以及動態(tài)安全連接流水線的提供方面起到重要作用。

用于安全設(shè)備的賽靈思工具與 IP

賽靈思器件具有高性能可編程資源以及業(yè)界一流的工具與 IP，是設(shè)計和實現(xiàn)網(wǎng)絡(luò)流量安全處理的理想選擇。它們可以提供最高數(shù)據(jù)與信號處理能力，以及最新的多速率高吞吐能力。SerDes 用于符合最新接口標(biāo)準(zhǔn)的設(shè)計，其中包括 1G-400G 以太網(wǎng)、600G Interlaken 以及高達(dá) 400G PCIe 吞吐量。此外，賽靈思器件還提供注冊裸片間路由線路，可支持高達(dá) 600MHz 可編程邏輯運算。

除了基本的高性能設(shè)計資源，賽靈思還提供用于安全處理的多種設(shè)計 IP。這些可編程 IP 包括 MAC 接口、用于向/從主機(jī)傳輸數(shù)據(jù)的高速 DMA、用于流量分類與路由的搜索 IP（BCAM、TCAM 與 STCAM）以及使用 AES-GCM 密碼進(jìn)行批量加密的片上 HBM 和/或 DDR 存儲器接口與軟加密引擎 (SCE)。

此外，賽靈思還擁有合作伙伴生態(tài)系統(tǒng)，其可以提供采用多種密碼協(xié)議的批量加密端到端解決方案，以及使用大多數(shù)常見密鑰交換（ECCDH、RSA-2K、RSA-4K 等）進(jìn)行非對稱加密的 IP。除了來自合作伙伴的基礎(chǔ)級標(biāo)準(zhǔn)加密 IP 之外，賽靈思目前還在與合作伙伴合作實現(xiàn)高級 (L4+) 安全 IP，其中包括：

●   帶有大量活動會話的 TCP 卸載引擎

●   內(nèi)聯(lián) SSL 卸載參考設(shè)計

●   應(yīng)用級安全卸載（5G L2 加速）

●   10K+ IPSec 會話數(shù)據(jù)包處理

賽靈思的最新器件 (Versal? Premium ACAP)配備有硬化高速加密引擎 (HSC)，可用作加密引擎，實現(xiàn)基于 AES-GCM 協(xié)議的高達(dá) 400Gb/s 的  MACSec、IPSec 或 SSL 處理。每個 HSC 引擎都能夠以 1x400G、2x200G 或 4x100G 通道化模式支持 MACSec、IPSec 和任何其他批量加密需求，每 100G 最多支持 128 個安全關(guān)聯(lián) (SA)。采用可編程邏輯可以實現(xiàn)其他SA。

總結(jié)

由于通信網(wǎng)絡(luò)（邊緣、接入和核心網(wǎng)）正在向具有應(yīng)用級政策感知功能的更高性能轉(zhuǎn)型，對更高吞吐量的安全處理的需求已經(jīng)大幅增加。此外，隨著接入技術(shù)的升級以及 5G 接入技術(shù) (xHaul)、新一代 PON 和有線網(wǎng)絡(luò)的部署，接入網(wǎng)絡(luò)的設(shè)備數(shù)量會以指數(shù)方式增長。新一代網(wǎng)絡(luò)安全設(shè)備需要具備 2~4 倍吞吐量，用于 L2 (MACSec) 安全與 L3 (IPSec) 安全處理。此外，新一代網(wǎng)絡(luò)會更多依賴意圖與策略，因此對高吞吐量應(yīng)用級安全處理（L4-L7 安全）的需求已經(jīng)顯著增加。高吞吐量應(yīng)用安全實現(xiàn)方案需要高吞吐量數(shù)據(jù)包處理，以及用于加密需求的大量計算資源。純軟件應(yīng)用安全實現(xiàn)方案無法滿足對性能與時延的期望。對于 5G 低時延應(yīng)用來說，時延需求更加重要，因此，采用可編程加速器作為內(nèi)聯(lián)安全處理器在新一代安全設(shè)備中的重要性日益突出。

在新一代防火墻中采用賽靈思器件不僅可以解決吞吐量和時延問題，其他優(yōu)勢還包括助力新技術(shù)的實現(xiàn)，如：機(jī)器學(xué)習(xí) (ML) 模型、安全訪問服務(wù)邊緣 (SASE) 和后量子加密 (PQC)。賽靈思器件可以為面向這些技術(shù)的硬件加速提供理想平臺，因為僅用軟件實現(xiàn)方案無法滿足性能需求。賽靈思正在針對現(xiàn)有的和新一代網(wǎng)絡(luò)安全解決方案不斷開發(fā)和升級IP、工具、軟件以及參考設(shè)計。