高性能・超低遅延なセキュア通信
TCPオフロードエンジン(PTU)と暗号化エンジンの統合により、SSL/TLSにおける暗号化や認証・署名に必要な演算処理をハードウェア処理で高速化・オフロードします。
これにより、レコードレイヤの処理は完全にハードウェアオフロードされるため、ユーザアプリケーションはセキュアに送受信したいデータを用意するだけで、CPUの負荷を圧倒的に低減します。
また、端末とネットワークの間で、パケットのTLS化やトンネリングをハードウェアに処理させることによって、通信のセキュア化やVPNを高性能・低遅延に実現します。
TCP/IPオフロードエンジンとの統合
Intellectual HighwayのSSL/TLSオフロードエンジンは、TCP/IPオフロードエンジンと暗号エンジンが密に統合されたハードウェアプロトコルスタックで、高速データ容量の必要な送受信処理がフルハードウェアで完結します。
暗号化用に専用のHWを使った場合でも、通常TCP/IPプロトコルはソフトウェアで実現され、暗号化前後でのメモリ転送が発生してしまいます(左図)。
しかし、Intellectual HighwayのTLS拡張されたPTUを使えば、インラインでTCP/IPプロトコルと受け渡しされるため、暗号化対象データの余分なメモリ転送が発生しません(右図)。
OpenSSL統合
Intellectual HighwayのSSL/TLSオフロードエンジンは、OpenSSLのソフトウェアスタックに統合されているので、OpenSSLを利用したあらゆるサーバーアプリを高速化します。弊社から提供されるドライバを使うことで、OpenSSLのバックエンドとしてFPGAのPTUによるSSL/TLSのパケット送受信が利用されます。この時、SSL/TLSおよび、下位のプロトコルレイヤの処理を全てハードウェアが行います。
また、SSL/TLS以外の全てのプロトコルについてもPTUでサポートされるため、FPGAボード側のイーサネットからNICと同様の送受信が可能です。
仮想化・マルチテナント対応
SSL/TLSオフロードエンジンは、SR-IOV (Single-Root I/O Virtualization) に対応しているため、複数のVM、コンテナから、ソフトウェアのオーバーヘッド無しにオフロードエンジンのフル性能を発揮することが出来ます。これにより、物理マシンを複数のお客様に使っていただく、マルチテナント形式の利用にも対応することが出来ます。
適用例 SSL/TLS Proxy (HTTPS Proxy)
Proxyサーバーとして、クライアントマシンの平文通信(例えばHTTP)を、セキュアプロトコル(例えばHTTPS)にHWによって確実にセキュア化します。クライアントマシンにおける、HTTPS暗号化処理の負荷が低減されると同時に、外部への通信が確実に暗号通信化され、セキュリティを強化することが出来ます。イントラネット内部は平文なのでセキュリティ管理が容易になります。
クライアントからのHTTPによるアクセスを、FPGA上のPTUでHTTPSに変換し、サーバー間の通信をTLS通信に置き換えるデモです。キャプチャしたログでは、通信がTLS化されていることが分かります。
SSL/TLSオフロードエンジン仕様
| SSL/TLS | バージョン: TLS1.3 データ暗号化:AES128, AES192, AES256 メッセージ認証:GCM, SHA2 鍵交換:RSA, Diffie-Hellman |
| 性能 | スループット: 最大50-100Gbps(デバイス, 同時セッション数による) |
| 対応デバイス | 100Gbps対応デバイス: Altera N6010 (Agilexシリーズ) 50Gbps対応デバイス: Aletra Agilexシリーズ, AMD UltraScale+/ Versal シリーズ Alteraデバイスについて、Open FPGA Stack (OFS)対応 |
評価ライセンスや研究(アカデミック)ライセンスも取り扱っております。