如何通过嵌入式IP核加速互联网协议安全
与具有单个详细标准文档的macsec相比,ipsec规范是一套相当令人困惑的rfc标准文档,具有一系列加密标准和连接选项。我正在考虑的是使用aes-gcm加密和身份验证(rfc4106)的隧道模式(ip封装安全协议rfc4303)。
尽管 ipsec 与 macsec 共享许多加密功能,但仍存在一些重要差异。ipsec被称为使用互联网协议的端到端解决方案,因为中间路由器无法解密和查看数据包内部。此外,与 macsec 不同,ipsec 中的传输通道通常具有多个安全通道,并将使用不同的密钥与不同的目标进行通信。
在会话开始时,软件与远端设备建立相互身份验证,并协商会话持续时间内将使用哪些加密密钥。建立连接后,加密消息将原封不动地通过网络,直到到达目的地。整个 ip 数据包由原始设备加密和身份验证,并添加新的 ip 报头以将数据包路由到其目标。系统在隧道模式下作为第 3 层连接工作,以创建用于网络到网络通信的虚拟专用网络 (vpn)。
嵌入式内核形式的硬件加速ipsec将比用于加密的软件解决方案快得多。硬件解决方案在处理来自许多客户端的 ipsec 连接的服务器或网关中可能很有意义。为了获得最大的安全性,加密使用带有128位或256位密钥的aes-gcm,并通过对整个数据包进行身份验证来补充。
现在,让我们考虑使用嵌入式ip核提供安全系统的一些不同方面。一个常见的问题与认证有关。nist管理加密算法验证程序(cvap),根据该计划,许可的测试实验室检查aes实现对实验室生成的测试向量集的响应。如果它们是正确的,测试实验室会将实现详细信息添加到 nist 网站上的 aes 验证列表中。所有 aes 模式都有具有相应 nist 标准(sp800-38a 至 sp800-38e)的测试程序。ip核也可以在此计划下进行验证。
cavp 下的算法验证不应与 fips140-2 或 fips140-3 下的加密模块认证相混淆,尽管使用经过验证的算法实现是 fips140 认证的要求。不同之处在于,fips140是关于整个系统的,并考虑了许多方面,例如与ip核无关的物理安全性(例如,防篡改硬件)。如果您计划将加密模块提交给 fips 认证,则通常由您选择的 nist 批准的测试实验室指导您完成整个过程,并且 ip 核供应商将根据需要与测试实验室合作,以提供任何必要的产品详细信息并支持算法验证。
这就引出了支持问题。供应商提供的支持对成功至关重要。如果您是罕见的加密专家之一,那么也许这并不重要。但对于我们其他人来说,密码学是一种我们没有时间获得的专业技能。我提到过,选择错误的aes模式可能会使解决方案容易受到攻击,但是还有很多其他决定需要做出,更复杂的内核可以提供额外的功能。在实施阶段,工程师通常需要核心供应商的帮助,因为核心通常必须挤入已经很严格的fpga设计中。
设计良好的内核将为设计人员提供权衡资源类型的选择。例如,加密核心中有称为s-box的关键块。这些可以在块内存或 fpga 结构中的 lut 中实现。通过选择混合搭配,设计人员可以将设计压缩到设备中剩余的可用资源中。对于高速设计,时序收敛可能是一个问题。同样,来自核心供应商的帮助可以提供宝贵的帮助。这可能是通过修改流水线结构,或建议将不同的设计属性应用于关键网络。
选择供应商和核心后,还需要进一步考虑。例如,在支付许可费之前,您能否对内核进行评估,以查看其是否符合您的要求?此外,与您可以许可的任何其他ip不同,一些加密核心供应商将提供hdl源代码。这使客户可以证明代码没有包含病毒或特洛伊木马代码,并且不能强制其进入未经授权的状态或操作。
许多安全设备供应商坚持进行安全审计,与审查网表操作相比,使用源代码更容易。即使没有资源可以立即进行审核,如果将来出现任何问题,也可以放心地将源代码用于检查。审核结果向最终用户保证,他们可以毫无顾虑地部署带有嵌入式ip核的设备,并且可以成为设备供应商的重要差异化因素。
源代码还加快了设计过程和文档编制速度。该设计得到了增强,因为工程师可以试验数据路径宽度等变量,通过实现更宽的数据路径来提供高吞吐量。或者,可以通过选择较窄的数据宽度来配置内核以实现最小的 fpga 占位面积。相比之下,这些参数在交付之前被“硬编码”到网表中,用户没有改变设计的选择。
从“人机大战”中,LED照明行业能学到什么?
中标麒麟操作系统完成所有兼容适配
Nexperia迎来独立公司成立五周年庆典 富士通亮相第二十三届高交会
Cobham推出两款2W和10W高效射频功率放大器(VEPA
基于STM32的电容触摸按键的原理解析
如何通过嵌入式IP核加速互联网协议安全
已知ip地址求子网掩码_已知ip地址和子网掩码求网络号、子网号和主机号
高效 DC-DC 同步整流升压转换器PS7526介绍
吊绳攀爬机器人详细制作教程
5G技术将助力工业网关向工业智能网关的升级转型
斯沃琪起诉三星智能手表表盘设计侵犯了其商标权
网络动画详解
什么是PCB扇孔,PCB设计中对PCB扇孔有哪些要求?
大容量智能电表让三湘民众用上精准方便放心电
pcb电镀工艺管理是怎什么样子的
iPhone X定价过高,苹果公司悄然失去中国市场?低价版iPhone X只为中国用户
罗德与施瓦茨MWC大会为LTE V2x提供协议和应用测试解决方案
春晚第二轮红包雨:百度APP互动累计115亿次!
一加3T捷报频传,华为荣耀V9尚需努力
PSP2000电池真假辨别的方法
尽管 ipsec 与 macsec 共享许多加密功能,但仍存在一些重要差异。ipsec被称为使用互联网协议的端到端解决方案,因为中间路由器无法解密和查看数据包内部。此外,与 macsec 不同,ipsec 中的传输通道通常具有多个安全通道,并将使用不同的密钥与不同的目标进行通信。
在会话开始时,软件与远端设备建立相互身份验证,并协商会话持续时间内将使用哪些加密密钥。建立连接后,加密消息将原封不动地通过网络,直到到达目的地。整个 ip 数据包由原始设备加密和身份验证,并添加新的 ip 报头以将数据包路由到其目标。系统在隧道模式下作为第 3 层连接工作,以创建用于网络到网络通信的虚拟专用网络 (vpn)。
嵌入式内核形式的硬件加速ipsec将比用于加密的软件解决方案快得多。硬件解决方案在处理来自许多客户端的 ipsec 连接的服务器或网关中可能很有意义。为了获得最大的安全性,加密使用带有128位或256位密钥的aes-gcm,并通过对整个数据包进行身份验证来补充。
现在,让我们考虑使用嵌入式ip核提供安全系统的一些不同方面。一个常见的问题与认证有关。nist管理加密算法验证程序(cvap),根据该计划,许可的测试实验室检查aes实现对实验室生成的测试向量集的响应。如果它们是正确的,测试实验室会将实现详细信息添加到 nist 网站上的 aes 验证列表中。所有 aes 模式都有具有相应 nist 标准(sp800-38a 至 sp800-38e)的测试程序。ip核也可以在此计划下进行验证。
cavp 下的算法验证不应与 fips140-2 或 fips140-3 下的加密模块认证相混淆,尽管使用经过验证的算法实现是 fips140 认证的要求。不同之处在于,fips140是关于整个系统的,并考虑了许多方面,例如与ip核无关的物理安全性(例如,防篡改硬件)。如果您计划将加密模块提交给 fips 认证,则通常由您选择的 nist 批准的测试实验室指导您完成整个过程,并且 ip 核供应商将根据需要与测试实验室合作,以提供任何必要的产品详细信息并支持算法验证。
这就引出了支持问题。供应商提供的支持对成功至关重要。如果您是罕见的加密专家之一,那么也许这并不重要。但对于我们其他人来说,密码学是一种我们没有时间获得的专业技能。我提到过,选择错误的aes模式可能会使解决方案容易受到攻击,但是还有很多其他决定需要做出,更复杂的内核可以提供额外的功能。在实施阶段,工程师通常需要核心供应商的帮助,因为核心通常必须挤入已经很严格的fpga设计中。
设计良好的内核将为设计人员提供权衡资源类型的选择。例如,加密核心中有称为s-box的关键块。这些可以在块内存或 fpga 结构中的 lut 中实现。通过选择混合搭配,设计人员可以将设计压缩到设备中剩余的可用资源中。对于高速设计,时序收敛可能是一个问题。同样,来自核心供应商的帮助可以提供宝贵的帮助。这可能是通过修改流水线结构,或建议将不同的设计属性应用于关键网络。
选择供应商和核心后,还需要进一步考虑。例如,在支付许可费之前,您能否对内核进行评估,以查看其是否符合您的要求?此外,与您可以许可的任何其他ip不同,一些加密核心供应商将提供hdl源代码。这使客户可以证明代码没有包含病毒或特洛伊木马代码,并且不能强制其进入未经授权的状态或操作。
许多安全设备供应商坚持进行安全审计,与审查网表操作相比,使用源代码更容易。即使没有资源可以立即进行审核,如果将来出现任何问题,也可以放心地将源代码用于检查。审核结果向最终用户保证,他们可以毫无顾虑地部署带有嵌入式ip核的设备,并且可以成为设备供应商的重要差异化因素。
源代码还加快了设计过程和文档编制速度。该设计得到了增强,因为工程师可以试验数据路径宽度等变量,通过实现更宽的数据路径来提供高吞吐量。或者,可以通过选择较窄的数据宽度来配置内核以实现最小的 fpga 占位面积。相比之下,这些参数在交付之前被“硬编码”到网表中,用户没有改变设计的选择。
从“人机大战”中,LED照明行业能学到什么?
中标麒麟操作系统完成所有兼容适配
Nexperia迎来独立公司成立五周年庆典 富士通亮相第二十三届高交会
Cobham推出两款2W和10W高效射频功率放大器(VEPA
基于STM32的电容触摸按键的原理解析
如何通过嵌入式IP核加速互联网协议安全
已知ip地址求子网掩码_已知ip地址和子网掩码求网络号、子网号和主机号
高效 DC-DC 同步整流升压转换器PS7526介绍
吊绳攀爬机器人详细制作教程
5G技术将助力工业网关向工业智能网关的升级转型
斯沃琪起诉三星智能手表表盘设计侵犯了其商标权
网络动画详解
什么是PCB扇孔,PCB设计中对PCB扇孔有哪些要求?
大容量智能电表让三湘民众用上精准方便放心电
pcb电镀工艺管理是怎什么样子的
iPhone X定价过高,苹果公司悄然失去中国市场?低价版iPhone X只为中国用户
罗德与施瓦茨MWC大会为LTE V2x提供协议和应用测试解决方案
春晚第二轮红包雨:百度APP互动累计115亿次!
一加3T捷报频传,华为荣耀V9尚需努力
PSP2000电池真假辨别的方法