内置安全，解锁 5G

自蜂窝网络服务诞生以来，无线接入网络 (RAN) 始终是当今无线通信的神经系统。长期以来，从路由设备到安全设备，爱立信、诺基亚和思科等部分网络设备提供商 (NEP) 为这些网络入口构建了完整的解决方案堆栈。

安全技术与 RAN 架构紧密集成，包括内置到网络设备、安全网关和防火墙中的专有对策等解决方案。到目前为止，这种安全性在 RAN 部署中已被证明是足够的，但是随着网络采用 OpenRAN 等多供应商生态系统，需要更高的性能和灵活性，安全解决方案必须进行相应改变。

从纯业务角度来看，这一变化的主要驱动因素是 RAN 设备的专有性质。不幸的是，相比起开放市场，有限的供应商生态系统导致了更高成本，并且 RAN 供应商之间几乎没有互操作性，其单一来源解决方案令利润持续高企。

5G 和 OpenRAN

未来 RAN 研发的目标之一是最大限度地借助现成的通用型硬件，以应对这些挑战。随着边缘网络转向吞吐量增加和 5G 延迟，OpenRAN 等计划为 RAN 部署提供了一种全新的软件驱动型方案，可以提高网络灵活性、互操作性，并降低成本。

OpenRAN 存在多个版本，其中之一专为 5G 新无线 (5G NR) 项目而设计，但与此讨论最密切相关的是由 Telecom Infra 项目管理的广泛计划（图 1）。此类 OpenRAN 试图“基于通用的供应商中立硬件、开放接口和软件，定义和构建 2G、3G、4G 和 5G RAN 解决方案”，可适用于各类网络设备。

OpenRAN 将效仿 SDN 和 NFV 为云/数据中心提供的服务，为边缘提供类似服务，前提是基于此的网络能够为多供应商解决方案提供足够保护。

开放却安全

拆分网络基础设施并开放传统 RAN 模式，确实会引起人们对如何保护这些部署的担忧。与过去相比，OpenRAN 网络的安全性必须由多台设备的信任链组成，这些设备来源于多家供应商。在许多情况下，同一蜂窝基站或基站内包含不同供应商的硬件。

第 3 代英特尔^® 至强^® 可扩展处理器（前身为 Ice Lake SP）等平台集成了一系列功能，可保护开放网络免受不确定性的影响。这些功能包括识别是否可以信任其他网络实体，控制数据和工作负载在 RAN 基础设施上的安全部署位置，以及防范高级恶意软件。

该处理器通过多层安全堆栈来实现这一目标，该堆栈从芯片向外延伸到应用层，再到网络本身：

• 英特尔^® Total Memory Encryption（英特尔^® TME）可保护设备的物理内存，包括存储在内存中的数据，如平台固件和软件配置的安全密钥。
• 英特尔^® Platform Firmware Resilience（英特尔^® PFR）利用集成的英特尔^® MAX 10 FPGA 技术，监测系统总线的恶意流量，并在执行前验证固件的完整性。
• 英特尔^® Software Guard Extensions（英特尔^® SGX）借助硬件辅助的保密性和完整性机制，将应用程序代码和数据分区到高达 1TB 的安全内存飞地。分区后，即使是更高权限的进程或不受信任的操作系统也无法访问或修改它。
• 多缓冲区和功能拼接等新技术，结合第 3 代英特尔至强可扩展处理器的其它硬件和软件创新，可将加密算法的执行性能相比上一代微架构提高多达 8 倍。

借助安全基础对 RAN 进行革新

这些措施均可在 Axiomtek 的 NA870 机架式网络设备平台（图 2）中实现，Axiomtek 是 IPC 和嵌入式系统设计和制造公司。该设备基于 2 个第 3 代至强可扩展处理器，可配备多达 40 个 CPU 内核，集成了上述所有安全机制。系统还包含受信任的平台模块 2.0 安全芯片，以进一步扩展英特尔^® 安全技术提供的完整性。

支持 OpenRAN 的 NA870 通过 8 个 LAN 扩展模块集成了多达 66 个 LAN 端口，包括 100 GbE 网络卡，以及两个 PCIe gen 4.0 x 16 扩展插槽，每个插槽提供大约 256 GT/s 的吞吐量。

这些接口选项，结合两个板载至强处理器的性能和虚拟化功能，使 NA870 能够同时安全地支持流经边缘 RAN 的多种不同流量类型。

而且它无需使用任何专有或单一来源的技术即可实现这一点。

通过安全开启新生态系统

在我们从单体网络转向此前缺少的市场竞争时，第 3 ^代至强处理器可提供灵活性，以满足 OpenRAN 供应商的新生态系统的要求。它们还提供内置的完整性和信任技术，可将生态系统联系在一起。

Axiomtek 等供应商现在正利用这一基础，支持新一代的边缘接入网络，这些网络更经济、更高效、更安全。