在部署聚合式 5G 網路前確保安全

October 2, 2017 Maurizio Di Paolo Emilio

5G 網路可為物聯網應用帶來無窮可能。 但不斷增加的安全問題,可能在部署 5G 之前就讓效能無法發揮。

首先會遭遇到的挑戰,就是物聯網的裝置密度。 5G 可在每平方英哩內支援 260 萬個裝置,每一個連線都必須確保安全。 需要的安全性功能還在日益增加。 封包偵測、產生和儲存金鑰,以及端至端加密等,都是在網路架構中必須考量的幾個問題。

這些安全需求可能會造成嚴重的瓶頸,導致效能不彰。 舉例來說,單次的 SSL/TLS 交握就需要耗費百分之 2 處理器資源,並增加 5 ms 的延遲。

安全需求也可能增加系統成本。 例如,深度封包檢測 (DPI) 經常需要額外的專用多核心處理器或硬體加速器。

通訊服務供應商如果想要將 5G 應用在服務上,就應格外注意安全性可能會影響系統的方式,以及可彌補這些限制的解決方案。

將 5G 安全性瓶頸轉變為防洪閘門

Intel® Xeon® 可擴充處理器提供一種可行的解決方案。 這全新處理器可在八插槽設置中支援最多 224 個核心和 12 TB 的記憶體(圖 1),提供 5G 網路安全運作所需的封包處理與控制平面資源。

圖 1. Intel® Xeon® 可擴充處理器能在八插槽設置中提供最多 224 個核心和 12 TB 的記憶體。 這為安全的 5G 通訊提供了充裕的資源。 (來源︰PC Perspective

全新晶片使 5G 系列工作的效能大幅提昇。 包括更快 1.77 倍的 L3 封包轉遞、加速 2.5 倍的 IPSec 效能,以及提昇 2.4 倍的 SSL Web Proxy 傳輸(圖 2)。

圖 2. Intel® Xeon® 可擴充處理器加速重要的安全工作負載。 (資料來源:Intel)

相較於前一代處理器,Intel® Xeon® 可擴充處理器亦可使每台伺服器支援的虛擬機器數量增加更多 1.5 倍。 因此,通訊服務供應商可以整合多個伺服器平台,減少推出 5G 時的成本與複雜度。

全新打造的進階網路安全性平台

全新 Intel® Xeon® 處理器包含數種顯著的架構強化功能,使其達成上述標竿。 特別是 Intel® Advanced Vector Extensions 512 (Intel® AVX-512),這是經過改進的晶片架構,具有最新的互連和光纖介面,能協助保持 5G 網路安全。

Intel® AVX-512 是全新的指令集,經過專門設計,最佳化用於產生加密基元等作用的超廣(512 位元)向量運作。 每個核心有兩個 512 位元的浮點乘加 (FMA) 單元支援此指令集,相較於上一代產品,AVX-512 能提供兩倍的每時脈週期 FLOP。

擁有這樣的效能提昇,運用 Intel® AVX-512 即可使 SHA 運算的雜湊速度更快 3.1 倍,並讓 Reed Solomon 抹除代碼 (Erasure Code) 的處理更快 2 倍

為了避免全新 Intel® Xeon® 的強大效能受到 I/O 限制,14 奈米的 Skylake-SP 微架構亦已網狀拓撲重新設計(圖 3)。 晶片內建網狀互聯功能可帶來更高的頻寬,以及更低的核心對核心通訊延遲。 這有助於最佳化網路伺服器與 UTM 系統中的工作排程/傳輸,並降低能源消耗。

圖 3.  Skylake-SP 微架構具有全新的晶片內建網狀拓撲功能,可為資源密集的多核心網路應用增進頻寬並減少延遲。 (來源︰Hardware.Info

晶片外 I/O 亦經過更新,將效能擴張至單處理器之外。 首先,全新 Intel® Xeon® 可擴充處理器包含最多 48 個 PCIe 3.0 連結,以及六個支援 2666 MHz DDR4 DRAM 的記憶體通道。 後者提供了較上一代產品更高百分之 50 的記憶體頻寬。

但針對可擴充性相當大的 5G 網路基礎架構,主要的 I/O 強化是插槽對插槽和系統對系統的連接性。

在插槽之間,Intel® Ultra Path Interconnect (Intel® UPI) 在 CPU 插槽間提供快取一致的 10.4 GTps 資料路徑(圖 4)。 互連功能可以擴展,在單一共用位址空間最多支援每個系統八個處理器,在每一個 Intel® Xeon® 可擴充處理器內包含兩個或三個原生的 Intel® UPI 連結。

圖 4. Intel® Ultra Path Interconnect (Intel® UPI) 為 CPU 插槽之間提供快取一致的 10.4 GTps 通訊。 可使用同一個共用位址空間擴展至八個插槽。 (資料來源:Intel)

為了實現在每平方英哩中包含數以百萬裝置的 5G 部署,並確保安全,Intel® Omni-Path Architecture (Intel® OPA) 架構可為每個高效能運算 (HPC) 網路叢集提供 10,000 或更多節點的支援。

Intel® OPA 是 Intel® TrueScale Fabric 的後續產品,定位為 InfiniBand 的新一代替代品。 雖然目前在成本與 100 Gbps 線路速率與競爭技術相當,但 Intel® OPA 的功能組合才是 5G 網路的關鍵區隔條件︰

  • 流量最佳化 – 無論封包順序,可將具有更高優先度的封包先於低優先度封包處理
  • 動態通道擴展 – 可在通道故障時保持連結持續性
  • 封包完整性防護 – 所有資料封包皆會進行連結層級錯誤檢查,使傳輸錯誤的偵測與修復都清楚無比

Xeon® 可擴充處理器整合 Intel® OPA,簡化 HPC 網路與安全性應用的部署。

搭配幾乎無負荷的加密

為了最大化處理器效能,Intel® C620 系列晶片組(之前的代號為「Lewisburg」)能為主處理器分擔加密工作負載。 晶片組預先搭載 Intel® QuickAssist Technology (Intel® QAT),以避免網路安全性故障,包括︰

  • 對稱加密與驗證
  • 非對稱加密
  • 數位簽章
  • 無損資料壓縮
  • RSA、Diffie-Hellman 和橢圓曲線加密 (ECC) 功能

此外,晶片組結合了 Intel® Key Protection Technology (Intel® KPT)。 Intel® KPT 是全新的功能,有助於保護儲存於硬體中的敏感私密金鑰,不受軟體與刺探性攻擊(圖 5)。

圖 5. Intel® KPT 保護儲存於硬體中的敏感私密金鑰,不受軟體與刺探性攻擊。 (資料來源:Intel)

Intel® KPT 與 Intel® QAT 共同作業,為非使用中資料和運作中資料提供幾乎無負荷的加密,減少對專用硬體安全性模組 (HSM) 的需求。

Intel® QAT 亦支援所有標準裝置虛擬化模型。 這能將 Intel® QAT 和 Intel® KPT 的功能延伸至系統中運行的所有虛擬機器 (VMs) 上。

5G 與聚合式基礎架構轉變

5G 網路架構的特性就是具有「聚合式」的基礎架構。 在這個架構中,運用可同時處理多種網路功能的系統,取代專用的網路設備。

因此,網路設備供應商 (NEP) 可將以各種標準為基礎的硬體平台導入市場,透過單一封裝支援網路、儲存設備、安全性,以及其他功能。

舉例來說,ADLINK TechnologyMCN-2610 就是以 Intel® Xeon® 可擴充處理器為基礎的運算節點(圖 6)。 其提供 4 條 10 GbE 通道,在 UTM 系統和 5G 網路伺服器中最大化 Intel® Xeon® 可擴充處理器的效能。

圖 6. ADLINK Technology MCN-2610 是以最多 28 核心的 Intel® Xeon® 可擴充處理器為基礎的資料中心運算節點。 (資料來源:ADLINK Technology)

MCN-2610 遵循開放式運算專案 (OCP) 的 OpenSled 規格。 OpenSled 衍生自 ADLINK Technology 的開放電信級邊緣運算架構(OCCERA),在模組化工業設計標準之外,更加強調 NFV 和 SDN 原則。

OpenSled 是以標準為基礎的方法,使模組可在聚合式基礎架構平台中隨需求提供資源。 例如,UTM 系統中的 MCN-2610 模組可根據需求變更,在 DPI 和通用路由間動態切換。

這樣的架構有助於簡化移轉至 5G 網路架構的過程。

在部署 5G 網路前確保安全

因為效能大幅進步,使得 5G 網路擁有能帶來全新價值鏈體系與服務的潛力。 除了傳統的網路應用,這些優勢也會顯現在大量增長的物聯網商機上。

通訊服務供應商如果想要將 5G 的優點應用在服務上,就應格外注意安全性可能會影響系統效能的方式,以及可彌補這些開銷的解決方案。

Intel® Xeon® 可擴充處理器以及如 MCN-2610 等運算節點,就是移轉至聚合式 5G 架構的最佳選擇。

作者簡介

Maurizio Di Paolo Emilio

Maurizio Di Paolo Emilio is the author of Microelectronic Circuit Design for Energy Harvesting Systems, a book covering the design of microelectronic circuits for energy harvesting, broadband energy conversion, and new methods and technologies for energy conversion.

Follow on Linkedin More Content by Maurizio Di Paolo Emilio
上個動畫書
物聯網軟體成功的 5 個秘訣
物聯網軟體成功的 5 個秘訣

下個文章
將資料中心運算帶到戰術邊緣
將資料中心運算帶到戰術邊緣

最新版的 Intel® Xeon® 處理器配有一系列可提升運算效能、資料傳輸量,以及卸載能力的硬體式功能,因此可處理?...

×

名字
Company Name
Phone Number
Country/Region
提交本網站上的表單,即表示你確認你是一個年滿18週歲的成人,且你同意受Intel(英特爾)和 Intel® 物聯網解決方案聯盟成員透過與營銷相關的電子郵件或電話與您聯絡。你可以隨時取消訂閱。英特爾的網站和通信受制於我們的隱私政策和使用條款
我希望這篇公司聯絡我: -可選
!
Thank you!
Error - something went wrong!
×

取得關於網路與通訊的最新消息。

Country/Region
insightTechOptIn
Intel GDPR Optin
提交本網站上的表單,即表示你確認你是一個年滿18週歲的成人,且你同意受Intel(英特爾)和 Intel® 物聯網解決方案聯盟成員透過與營銷相關的電子郵件或電話與您聯絡。你可以隨時取消訂閱。英特爾的網站和通信受制於我們的隱私政策和使用條款
謝謝
Error - something went wrong!