云计算接口标准更迭,IP为其守好安全大关

随着“超大规模”云服务商的增加,5G的普及以及AI技术的广泛使用,联网数据量正在快速增长。与此同时,越来越多的联网设备进入市场,也极大地推动了云数据的增长。云计算正在经历一场重大变革。

更高速的接口登上舞台

为了跟上数据的快速增长,接口和存储技术需要不断创新,以具备更大容量和更强的性能,并满足更多的加速集成和新的计算架构。于是,诸如 PCI Express® (PCIe®) 5.0/6.0 和 Compute Express Link (CXL) 2.0 之类的高速接口闪亮登场。云计算系统、存储/SSD都在向PCIe 5.0/6.0 接口迁移,而需要高带宽设备和大量共享内存池的数据中心则正在转向CXL 2.0接口。

但是,在这些接口转移的过程中,一些机密、敏感数据可能会遭到恶意破坏、替换、修改或窃取,攻击者的目标可能是从窃取的机密中获利,干扰目标公司的运作,或阻挠政府机构。

此外,行业还有很多法律法规约束。比如,欧洲的《通用数据保护条例》(GDPR) 、美国的《健康保险流通和责任法案》(HIPAA) 、《支付卡行业数据安全标准》等等,都对用户个人信息和行业关键数据的保护提出了严格要求。因此,如何保护敏感数据和通信,最终保护我们的互联世界,是系统架构师们面临的重大挑战。

安全组件随之而来

为了保证数据安全性,PCI-SIG和CXL标准组织在2020年末将完整性和数据加密等安全要求添加到 PCIe 5.0和CXL 2.0规范中。预计下一代PCIe 6.0和CXL 3.0互连还将继续采用安全功能。

PCI和CXL接口的安全功能包含两个主要组成部分:

  1. 认证和密钥管理
  2. 完整性和数据加密 (IDE),如图 1 所示

图 1:PCIe 和 CXL 安全功能系统级视图

认证和密钥管理包括认证、鉴权、测量、识别和密钥交换等功能,所有功能都在可信的执行环境/安全模块中运行。

认证和密钥管理的主要参考标准是由分布式管理任务组 (DMTF) 管理的安全协议和数据模块 (SPDM)。SPDM 定义了用于通过各种传输和物理介质在设备之间执行交换的消息、数据对象和序列,并支持对安全功能的高效访问和操作。消息交换的描述包括硬件的认证和固件身份的测量。

PCI-SIG 标准组织引入了两个用于认证和密钥管理的工程变更通知 (ECN):一个是组件测量和认证 (CMA) 要定义了SPDM如何应用于 PCIe/CXL 系统;另一个是数据对象交换 (DOE) 需要支持通过不同互连进行数据对象传输。

完整性和数据加密 (IDE)是为PCIe 的事务层数据包 (TLP) 和 CXL 的流量控制单元 (FLIT) 提供保密性、完整性和重放保护,它确保线路上的数据不会被观察、篡改、删除、插入和重放。IDE 基于 AES-GCM 加密算法,并从认证和密钥管理安全组件接收密钥。

主要的参考标准有两个,一是PCI-SIG:PCIe IDE ECN;二是CXL 2.0:用于 CXL.cache/mem 协议的 IDE。CXL.io 协议引述 PCIe IDE ECN。

IP对安全标准至关重要

如何获得具有最高性能、最低延迟和最佳面积,符合最新标准,得到专家支持,且具有安全功能的PCIe 和 CXL 解决方案?向业内领先的IP供应商寻求支持是一个好的选择。

新思科技最近发布了业界首款安全模块,用于保护使用 PCIe 5.0 或 CXL 2.0 协议的高性能计算片上系统 (SoC) 中的数据。用于 PCIe 5.0 或 CXL 2.0 的 DesignWare® IDE 安全模块 IP 已随超大规模云提供商一起部署。稳定的 IDE 安全模块使设计人员可以更快、更轻松地防止链路上的数据篡改和物理攻击,同时遵守最新版本的互连协议。IDE 安全模块与 PCIe/CXL的DesignWare控制器IP一同进行设计和验证,此举可以缩短 SoC 的上市时间,同时提供所需的可配置性以满足设计的特定需求。

借助符合标准的即插即用型 DesignWare IDE 安全模块,SoC设计人员可以获得以下优势:

  • 接收和发送方向的全双工最大化吞吐量
  • 无缝集成灵活的数据总线宽度以及与控制器相同的时钟配置
  • 基于 256 位密钥大小的 AES-GCM 加密算法,为 PCIe TLP 和 CXL FLIT 提供高效的加密、解密和认证
  • 密码和哈希算法的宽度可配置以满足方案的面积和延迟优化
  • 高效的动态密钥刷新,实现系统中密钥的无缝更改
  • 针对无保护流量的低延迟顺序旁路模式

图 2 描绘了用于 PCIe 5.0 的 DesignWare IDE 安全模块框图,以及通过 DesignWare PCIe 5.0 控制器 IP 进行的无缝预验证,这些将为SoC设计人员提供完整的解决方案、低风险和快速上市时间。

图 2:DesignWare PCIe IDE 安全模块框图及与 DesignWare PCIe 控制器的集成

同样,图 3 描绘了用于 CXL 2.0 的 DesignWare IDE 安全模块框图,以及通过 DesignWare CXL 控制器进行的预验证。

图 3:DesignWare CXL IDE 安全模块框图及与 DesignWare CXL 控制器的集成

结语

随着互联世界中数据的快速增长,在跨系统(包括通过 PCIe 和 CXL 等高性能互联接口)传输数据时,安全功能对于保护数据中的私人和敏感信息至关重要。新思科技在市场上具有独特的地位,它拥有符合标准的完整安全接口解决方案,符合最新的技术需求,使得 SoC 设计人员能够快速实现所需的安全性,缩短产品上市时间

除了 PCIe 和 CXL IDE 安全模块之外,新思科技还提供一系列高度集成的安全 IP 解决方案,这些解决方案使用一套通用的基于标准的构建模块和安全概念,为移动设备、汽车、数字家庭、IoT 和云计算市场中的各类产品实现最高效的芯片设计和最高级别的安全性。

新思科技的高度可配置性安全 IP 解决方案包括可集成到片上系统 (SoC) 的信任根、内容保护、加密,以及安全协议加速器。这些集成解决方案实现了许多安全标准的核心内容,支持机密性、数据完整性、用户/系统认证、不可否认性以及授权。综合来看,新思科技 的安全 IP 解决方案有助于防止连接的设备遭受各种威胁,例如盗窃、篡改、旁路通道攻击、恶意软件和数据泄露等。

2 阅读 71
推荐阅读
0 条评论
关注数
2450
内容数
911
最有深度的半导体新媒体,实讯、专业、原创、深度,50万半导体精英关注。专注观察全球半导体最新资讯、技术前沿、发展趋势。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
Arm中国学堂公众号
关注Arm中国学堂
实时获取免费 Arm 教学资源信息
Arm中国招聘公众号
关注Arm中国招聘
实时获取 Arm 中国职位信息