础滨驱动的设计应用
由于连接到云的设备数量呈指数级增长,加之"传感器、应用和服务种类越来越多,从而导致数据流量激增,对带宽的需求不断增加。这反过来又推动了以太网、PCIe/CXL 和 DDR 等高带宽接口的普及,以保持更快的数据移动,并提高处理和存储能力。互联生态系统中的端到端数据安全比以往任何时候都更加重要,无论静态数据还是动态数据,它们在设备和云之"间传输,或是在设备中被处理或存储。
计算机、服务器、集线器、路由器等以太网连接设备逐渐延伸到包括高性能计算、5骋、移动和汽车市场在内的各个领域,所有这些领域都需要安全保障。互联网或任何其他以太网网络的安全都取决于加密。使用的加密方法越多,攻击者越难窃取数据、窃听通信和/或破坏系统。
有许多原因促使要对以太网流量进行加密。合规是最常见的原因之"一,其中可能涉及处理敏感数据或个人身份数据的一个或多个标准。美国 1996 年颁布的《健康保险可携性与责任法案》(HIPAA) 或欧洲适用的类似法规《通用数据保护条例》(GDPR) 中定义了此类标准的示例。对于获得和使用儿童数据的机构,《家庭教育权利和隐私法案》(FERPA) 中的规定也可能适用。即使没有发生数据泄露,不遵守适用标准也可能导致严厉处罚。
数据盗窃不仅局限于受监管的内容,任何研究、知识产权、专有数据或代码都可能是盗窃或恶意篡改的目标。入侵检测和防御始于确保在交换帐户凭据和敏感数据或重要数据时的隐私。来源验证和身份验证服务是这种基础设施的关键要素,并非所有数据泄露都发生在组织外部,基于权限的数据管理在很大程度上依赖于安全(专用和可靠)的身份验证。
保护以太网流量的主要安全标准是介质访问控制安全 (MACsec)。MACsec 在以太网连接设备之"间提供动态数据安全,并保护网络通信免受 DoS 攻击、窃听和中间人攻击。
MACsec 是基于 AES-GCM 加密的既定协议,通过提供机密性、数据完整性、数据来源真实性和重放保护来保护数据链路层(通信的起点)。
互联网或任何其他以太网网络的安全都取决于加密,加密使用经过身份验证的共享密钥,以确保通信隐私、完整性和身份验证。有多种不同的方式可以对以太网流量进行加密,每种方式的加密分别发生在作为基础的 OSI 堆栈的不同层:
设置 MACsec 加密连接涉及五个步骤:
与在 OSI 堆栈的更高层实现的方案相比,MACsec 硬件加密是延迟最低的安全保护方案。
Synopsys MACsec 安全模块可在云计算、5G、移动和汽车应用的交换机、路由器和桥 SoC 中实现机密性、完整性、原始身份验证和重放保护,从而保护以太网流量免受拒绝服务 (DoS) 攻击、窃听和中间人攻击。
这些符合标准的全双工解决方案可与 Synopsys 以太网 MAC 和 PCS IP 无缝集成,支持可扩展的数据速率,具有最低延迟、网络优先级和多样性,适用于各种安全以太网连接。图 1 显示了包含 Synopsys MACsec 模块的 Synopsys 以太网解决方案,该解决方案使片上系统 (SoC) 设计人员能够快速将安全性集成到系统中,从而缩短上市时间并降低风险。
图 1:Synopsys 以太网安全解决方案框图
借助 Synopsys MACsec 安全模块,设计人员可以利用以下优势:
包括深度技术文章、白皮书、视频、即将举行的网络研讨会、产物公告等等。
全球各地的数据保留政策各不相同;一些政府行为者甚至也会试图将访问权或保留权强加于受监督、具有所有权或者受监管政策或法律约束的数据。仅对静态数据进行加密是不够的。为确保隐私和完整性,可能需要使用多层网络加密,以涵盖互联网基础设施的未知因素和不受控因素。在没有加密技术提供验证和保护的情况下,零日漏洞、恶意软件和病毒很容易构成威胁。
保护以太网流量的主要安全标准是 MACsec,该标准在以太网连接设备之"间提供动态数据安全。MACsec 协商第一步中使用的预共享密钥可防止不可信设备成功连接到安全的以太网结构。在共享基础设施上进行的计算使这一挑战变得更加复杂—不要信任未经过安全验证的任何连接!
通过将 Synopsys MACsec 安全模块添加到 Synopsys 以太网 IP 解决方案中,网络 SoC 设计人员可以保护高速网络流量,确保在以太网连接设备之"间传输的数据的端到端安全。
详细了解如何使用 Synopsys 安全接口实现最高级别的 SoC 安全性。
深度技术文章、白皮书、视频、网络研讨会、产物公告等等。