Skip to main content

內建安全性釋放 5G 優勢

5G 網路

自從行動數據服務問世以來,無線電存取網路(RAN)一直是無線通訊的神經系統,至今未曾改變。從無線電存取網路發展史來看,Ericsson、Nokia 和 Cisco 少數幾個網路設備供應商(NEP),已經為這類網路普及趨勢建立了大量完整的解決方案,涵蓋層面從路由設備到安全性應用裝置。

安全技術尤其已經與 RAN 架構緊密整合,其中包含連網設備、安全閘道和防火牆內建專屬對策這類解決方案。經證實,目前為止這類安全性大致上足以因應 RAN 部署所需,但是網路透過 OpenRAN 這類多供應商生態系統所需要的效能和靈活度越來越高,這些實務非改變不可。

從純商業角度來看,RAN 設備的專屬性質是此等改變的主要驅動因素。不過遺憾的是,相較於較開放的市場,受限的供應商生態系統成本較高,而且透過單一來源解決方案獲得高利潤的 RAN 供應商之間,互通性微乎其微。

5G 與 OpenRAN

未來 RAN 發展的目標之一,就是儘可能利用常見的現成硬體解決這些難題。隨著邊緣網路移轉至 5G 改良的處理量與延遲,OpenRAN 這類方案可為 RAN 部署提供全新的軟體導向策略,改善網路靈活度、互通性,並且降低成本。

OpenRAN 有多個版本,包括 5G New Radio (5G NR) 專案專用的版本,其中以 Telecom Infra Project(圖 1)管理的廣泛型方案與本文的討論相關性最高。OpenRAN 的這個想法設法「根據一般用途的供應商中立型硬體、開放式介面與軟體,定義及建置 2G、3G、4G 和 5G RAN 解決方案」,而且所有種類的連網設備全都適用。

OpenRAN 網路示意圖與情境
圖 1。OpenRAN 方案將開放式的一般用途連網硬體,分布在無線電存取網路。(資料來源:Telecom Infra Project

顯然 OpenRAN 準備為邊緣締造 SDN 與 NFV 帶給網路/資料中心的優勢,前提是以它為基礎的網路,在多個供應商旗下的解決方案都能安全無虞。

開放卻安全

解構網路基礎架構以及開放傳統的 RAN 模式,確實引發了關於如何保護這些部署的疑慮。相較於過去,OpenRAN 網路的安全性,必須包含延伸至多家供應商旗下設備的信任鏈。在許多情況下,這包含同一個基地台不同供應商旗下的硬體。

第 3 代 Intel® Xeon® 可擴充處理器(舊稱 Ice Lake SP)這類平台,整合了各式各樣的功能,可以保護開放式網路免受不確定性的影響。這類功能包括辨識其他網路實體值得信賴與否、控制在 RAN 基礎架構安全部署資料與工作負載的位置,以及抵禦進階惡意軟體。

處理器透過從矽晶片聯繫應用程式層和網路本身的多層安全性堆疊,實現了這項目標:

  • Intel® Total Memory Encryption (Intel® TME) 保護裝置的實體記憶體,包括儲存於記憶體的任何資料,例如平台韌體和軟體配置的安全金鑰。
  • Intel® Platform Firmware Resilience (Intel® PFR) 利用整合式 Intel® MAX 10 FPGA,監測系統匯流排是否有惡意流量,並且在執行前先驗證韌體的完整性。
  • Intel® Software Guard Extensions (Intel® SGX) 利用硬體輔助的機密性與完整性機制,將應用程式程式碼與資料,分割為最高達 1 TB 的安全記憶體指定位址空間。完成之後,即使是權限更高的程序或不受信賴的作業系統也無法存取或修改它。
  • Multi-BufferFunction Stitching 這類新穎的技術,在第 3 代 Intel Xeon 可擴充處理器結合其他硬體與軟體創新技術,讓密碼編譯演算法執行效能比起前一代微架構,改善了 8 倍。

利用安全的基礎革新 RAN

Axiomtek 這間 IPC 與內嵌系統的設計及製造公司旗下的 NA870 Rackmount Network Appliance Platform(圖 2),兼具以上所有措施。應用裝置搭載雙第 3 代 Xeon 可擴充處理器,CPU 核心最高可達 40 個,上述所有安全機制一應俱全。這套系統還包含值得信賴的平台模組 2.0 安全晶片,進一步延伸 Intel 安全性技術提供的完整性。

Axiomtek NA870 2U 機架裝載網路應用裝置
圖 2。Axiomtek NA870 2U 機架裝載網路應用裝置。(資料來源:Axiomtek

支援 OpenRAN 的 NA870 透過 8 個 LAN 擴充模組(包括 100 張 GbE 網路卡),以及各提供約 256 GT/s 處理量的兩個 PCIe gen 4.0 x16 擴充插槽,最多整合 66 個 LAN 連接埠。

這些介面選項結合了兩部內建 Xeon 處理器的效能與虛擬化功能,讓 NA870 能容納同時安全流經邊緣 RAN 的許多不同流量類型。

此外,它不需要使用任何專有或單一來源技術,即可達成這項目標。

透過安全性開放全新的生態系統

隨著我們捨棄單一網路移轉,擁抱先前這個領域缺乏的市場競爭種類,第 3 代 Xeon 處理器提供的靈活度,可以滿足全新 OpenRAN 供應商生態系統的需求。另外,它們隨附與生態系統結合的內建完整性與信賴技術。

Axiomtek 這類供應商目前正善用此基礎,支援更經濟實惠、更高效率且更安全的新世代邊緣存取網路。

作者簡介

Brandon is a long-time contributor to insight.tech going back to its days as Embedded Innovator, with more than a decade of high-tech journalism and media experience in previous roles as Editor-in-Chief of electronics engineering publication Embedded Computing Design, co-host of the Embedded Insiders podcast, and co-chair of live and virtual events such as Industrial IoT University at Sensors Expo and the IoT Device Security Conference. Brandon currently serves as marketing officer for electronic hardware standards organization, PICMG, where he helps evangelize the use of open standards-based technology. Brandon’s coverage focuses on artificial intelligence and machine learning, the Internet of Things, cybersecurity, embedded processors, edge computing, prototyping kits, and safety-critical systems, but extends to any topic of interest to the electronic design community. Drop him a line at techielew@gmail.com, DM him on Twitter @techielew, or connect with him on LinkedIn.

Profile Photo of Brandon Lewis