Skip to main content

内置安全,解锁 5G

5G 网络

自蜂窝网络服务诞生以来,无线接入网络 (RAN) 始终是当今无线通信的神经系统。长期以来,从路由设备到安全设备,爱立信、诺基亚和思科等部分网络设备提供商 (NEP) 为这些网络入口构建了完整的解决方案堆栈。

安全技术与 RAN 架构紧密集成,包括内置到网络设备、安全网关和防火墙中的专有对策等解决方案。到目前为止,这种安全性在 RAN 部署中已被证明是足够的,但是随着网络采用 OpenRAN 等多供应商生态系统,需要更高的性能和灵活性,安全解决方案必须进行相应改变。

从纯业务角度来看,这一变化的主要驱动因素是 RAN 设备的专有性质。不幸的是,相比起开放市场,有限的供应商生态系统导致了更高成本,并且 RAN 供应商之间几乎没有互操作性,其单一来源解决方案令利润持续高企。

5G 和 OpenRAN

未来 RAN 研发的目标之一是最大限度地借助现成的通用型硬件,以应对这些挑战。随着边缘网络转向吞吐量增加和 5G 延迟,OpenRAN 等计划为 RAN 部署提供了一种全新的软件驱动型方案,可以提高网络灵活性、互操作性,并降低成本。

OpenRAN 存在多个版本,其中之一专为 5G 新无线 (5G NR) 项目而设计,但与此讨论最密切相关的是由 Telecom Infra 项目管理的广泛计划(图 1)。此类 OpenRAN 试图“基于通用的供应商中立硬件、开放接口和软件,定义和构建 2G、3G、4G 和 5G RAN 解决方案”,可适用于各类网络设备。

OpenRAN 网络图示和场景
图 1。OpenRAN 计划在无线接入网络中分发开放的通用网络硬件。(资料来源:Telecom Infra Project

OpenRAN 将效仿 SDN 和 NFV 为云/数据中心提供的服务,为边缘提供类似服务,前提是基于此的网络能够为多供应商解决方案提供足够保护。

开放却安全

拆分网络基础设施并开放传统 RAN 模式,确实会引起人们对如何保护这些部署的担忧。与过去相比,OpenRAN 网络的安全性必须由多台设备的信任链组成,这些设备来源于多家供应商。在许多情况下,同一蜂窝基站或基站内包含不同供应商的硬件。

第 3 代英特尔® 至强® 可扩展处理器(前身为 Ice Lake SP)等平台集成了一系列功能,可保护开放网络免受不确定性的影响。这些功能包括识别是否可以信任其他网络实体,控制数据和工作负载在 RAN 基础设施上的安全部署位置,以及防范高级恶意软件。

该处理器通过多层安全堆栈来实现这一目标,该堆栈从芯片向外延伸到应用层,再到网络本身:

  • 英特尔® Total Memory Encryption(英特尔® TME)可保护设备的物理内存,包括存储在内存中的数据,如平台固件和软件配置的安全密钥。
  • 英特尔® Platform Firmware Resilience(英特尔® PFR)利用集成的英特尔® MAX 10 FPGA 技术,监测系统总线的恶意流量,并在执行前验证固件的完整性。
  • 英特尔® Software Guard Extensions(英特尔® SGX)借助硬件辅助的保密性和完整性机制,将应用程序代码和数据分区到高达 1TB 的安全内存飞地。分区后,即使是更高权限的进程或不受信任的操作系统也无法访问或修改它。
  • 多缓冲区功能拼接等新技术,结合第 3 代英特尔至强可扩展处理器的其它硬件和软件创新,可将加密算法的执行性能相比上一代微架构提高多达 8 倍

借助安全基础对 RAN 进行革新

这些措施均可在 Axiomtek 的 NA870 机架式网络设备平台(图 2)中实现,Axiomtek 是 IPC 和嵌入式系统设计和制造公司。该设备基于 2 个第 3 代至强可扩展处理器,可配备多达 40 个 CPU 内核,集成了上述所有安全机制。系统还包含受信任的平台模块 2.0 安全芯片,以进一步扩展英特尔® 安全技术提供的完整性。

Axiomtek NA870 2U 机架式网络设备
图 2。Axiomtek NA870 2U 机架式网络设备。(资料来源:Axiomtek

支持 OpenRAN 的 NA870 通过 8 个 LAN 扩展模块集成了多达 66 个 LAN 端口,包括 100 GbE 网络卡,以及两个 PCIe gen 4.0 x 16 扩展插槽,每个插槽提供大约 256 GT/s 的吞吐量。

这些接口选项,结合两个板载至强处理器的性能和虚拟化功能,使 NA870 能够同时安全地支持流经边缘 RAN 的多种不同流量类型。

而且它无需使用任何专有或单一来源的技术即可实现这一点。

通过安全开启新生态系统

在我们从单体网络转向此前缺少的市场竞争时,第 3 至强处理器可提供灵活性,以满足 OpenRAN 供应商的新生态系统的要求。它们还提供内置的完整性和信任技术,可将生态系统联系在一起。

Axiomtek 等供应商现在正利用这一基础,支持新一代的边缘接入网络,这些网络更经济、更高效、更安全。

作者简介

Brandon is responsible for Embedded Computing Design’s IoT Design, Automotive Embedded Systems, Security by Design, and Industrial Embedded Systems brands, where he drives content strategy, positioning, and community engagement. He is also Embedded Computing Design’s IoT Insider columnist, and enjoys covering topics that range from development kits and tools to cyber security and technology business models. Brandon received a BA in English Literature from Arizona State University, where he graduated cum laude.

Profile Photo of Brandon Lewis