ハードウェアによるセキュアプロトコル通信

SSL/TLSオフロード

 

TCPオフロードエンジンと暗号化エンジンの統合により、SSL/TLSにおける暗号化や認証・署名に必要な演算処理をハードウェア処理で高速化・オフロードします。

これにより、レコードレイヤの処理は完全にハードウェアオフロードされるため、ユーザアプリケーションはセキュアに送受信したいデータを用意するだけで、CPUの負荷を圧倒的に低減します。

また、端末とネットワークの間で、パケットのTLS化やトンネリングをハードウェアに処理させることによって、通信のセキュア化やVPNを高性能・低遅延に実現します。

組み込み端末向けと、サーバー向けの2種類のIPを用意しています。

 

高性能・超低遅延なセキュア通信をHWが肩代わりし、消費電力削減にも貢献

暗号エンジンが統合されたPTU(TLS拡張)を使えば、SSL/TLSにおけるデータ送受信処理が、フルハードウェアで完結します。
暗号化用に専用のHWを使った場合でも、通常のシステムでは暗号化前後でのメモリ転送が発生します。TCP/IPのプロトコルスタックが分離されているからです(左図)。
しかし、Intellectual HighwayのTLS拡張されたPTUを使えば、暗号化のデータや、TLSプロトコルに必要なデータの余分なメモリ転送が発生しません(右図)。そのため、高性能で超低遅延なセキュア通信を実現します。

任意のアプリケーションに適用可能

弊社のSSL/TLSオフロード(アクセラレータ)は、ソフトウェアと統合されているので、どんなアプリケーションにも適用でき、処理を高速化しCPUの負荷を下げることが出来ます。
例えばOpenSSLを使ったサービスを運用している場合、サーバーマシンにFPGAカードを追加し、SSL/TLSアクセラレータをそのFPGAに書き込むことで、ユーザアプリケーションを一切変更することなく、性能向上させ、CPUのパワーを本来のサービスに振り分けることが出来ます。

適用例1 OpenSSLアクセラレータ

OpenSSLを利用したサーバーアプリを高速化します。
弊社から提供しますPTUドライバを使っていただくことで、OpenSSLのバックエンドとしてFPGAのPTUがSSL/TLSのパケット送受信が利用されます。セキュア通信モジュール・TCPオフロードエンジンによって、SSL/TLS以下のレイヤ処理を全てハードウェアが行います。FPGAボード側のイーサネットを使ってパケットは送受信されます。
また、SSL/TLS以外の全てのプロトコルについてもPTUでサポートされるため、FPGAボード側のイーサネットから送受信が可能です。ホストマシンのイーサネットと使い分けることも可能です。

SSL/TLSオフロードエンジンは、SR-IOV (Single-Root I/O Virtualization) に対応しているため、複数のVM、コンテナから、ソフトウェアのオーバーヘッド無しにオフロードエンジンのフル性能を発揮することが出来ます。これにより、物理マシンを複数のお客様に使っていただく、マルチテナント形式の利用にも対応することが出来ます。

適用例2 SSL/TLS Proxy (HTTPS Proxy)

Proxyサーバーとして、クライアントマシンの平文通信(例えばHTTP)を、セキュアプロトコル(例えばHTTPS)にHWによって確実にセキュア化します。クライアントマシンにおける、HTTPS暗号化処理の負荷が低減されると同時に、外部への通信が確実に暗号通信化され、セキュリティを強化することが出来ます。イントラネット内部は平文なのでセキュリティ管理も容易です。

クライアントからのHTTPによるアクセスを、FPGA上のPTUでHTTPSに変換し、サーバー間の通信をTLS通信に置き換えるデモです。キャプチャしたログでは、通信がTLS化されていることが分かります。

仕様一覧

SSL/TLS

バージョン: TLS1.3
データ暗号化:AES128, AES192, AES256
メッセージ認証:GCM, SHA2
鍵交換:RSA, Diffie-Hellman

性能

スループット: 最大50-100Gbps(デバイス, 同時セッション数による)

対応デバイス

100Gbps対応デバイス: Altera N6010 (Agilexシリーズ)
50Gbps対応デバイス: Aletra Agilexシリーズ, AMD UltraScale+/ Versal シリーズ
Alteraデバイスについて、Open FPGA Stack (OFS)対応