Skip to main content

在部署聚合式 5G 網路前確保安全

5G 網路可為物聯網應用帶來無窮可能。 但不斷增加的安全問題,可能在部署 5G 之前就讓效能無法發揮。

首先會遭遇到的挑戰,就是物聯網的裝置密度。 5G 可在每平方英哩內支援 260 萬個裝置,每一個連線都必須確保安全。 需要的安全性功能還在日益增加。 封包偵測、產生和儲存金鑰,以及端至端加密等,都是在網路架構中必須考量的幾個問題。

這些安全需求可能會造成嚴重的瓶頸,導致效能不彰。 舉例來說,單次的 SSL/TLS 交握就需要耗費百分之 2 處理器資源,並增加 5 ms 的延遲。

安全需求也可能增加系統成本。 例如,深度封包檢測 (DPI) 經常需要額外的專用多核心處理器或硬體加速器。

通訊服務供應商如果想要將 5G 應用在服務上,就應格外注意安全性可能會影響系統的方式,以及可彌補這些限制的解決方案。

將 5G 安全性瓶頸轉變為防洪閘門

Intel® Xeon® 可擴充處理器提供一種可行的解決方案。 這全新處理器可在八插槽設置中支援最多 224 個核心和 12 TB 的記憶體(圖 1),提供 5G 網路安全運作所需的封包處理與控制平面資源。

圖 1. Intel® Xeon® 可擴充處理器能在八插槽設置中提供最多 224 個核心和 12 TB 的記憶體。 這為安全的 5G 通訊提供了充裕的資源。 (來源︰PC Perspective

全新晶片使 5G 系列工作的效能大幅提昇。 包括更快 1.77 倍的 L3 封包轉遞、加速 2.5 倍的 IPSec 效能,以及提昇 2.4 倍的 SSL Web Proxy 傳輸(圖 2)。

圖 2. Intel® Xeon® 可擴充處理器加速重要的安全工作負載。 (資料來源:Intel)

相較於前一代處理器,Intel® Xeon® 可擴充處理器亦可使每台伺服器支援的虛擬機器數量增加更多 1.5 倍。 因此,通訊服務供應商可以整合多個伺服器平台,減少推出 5G 時的成本與複雜度。

全新打造的進階網路安全性平台

全新 Intel® Xeon® 處理器包含數種顯著的架構強化功能,使其達成上述標竿。 特別是 Intel® Advanced Vector Extensions 512 (Intel® AVX-512),這是經過改進的晶片架構,具有最新的互連和光纖介面,能協助保持 5G 網路安全。

Intel® AVX-512 是全新的指令集,經過專門設計,最佳化用於產生加密基元等作用的超廣(512 位元)向量運作。 每個核心有兩個 512 位元的浮點乘加 (FMA) 單元支援此指令集,相較於上一代產品,AVX-512 能提供兩倍的每時脈週期 FLOP。

擁有這樣的效能提昇,運用 Intel® AVX-512 即可使 SHA 運算的雜湊速度更快 3.1 倍,並讓 Reed Solomon 抹除代碼 (Erasure Code) 的處理更快 2 倍

為了避免全新 Intel® Xeon® 的強大效能受到 I/O 限制,14 奈米的 Skylake-SP 微架構亦已網狀拓撲重新設計(圖 3)。 晶片內建網狀互聯功能可帶來更高的頻寬,以及更低的核心對核心通訊延遲。 這有助於最佳化網路伺服器與 UTM 系統中的工作排程/傳輸,並降低能源消耗。

圖 3.  Skylake-SP 微架構具有全新的晶片內建網狀拓撲功能,可為資源密集的多核心網路應用增進頻寬並減少延遲。 (來源︰Hardware.Info

晶片外 I/O 亦經過更新,將效能擴張至單處理器之外。 首先,全新 Intel® Xeon® 可擴充處理器包含最多 48 個 PCIe 3.0 連結,以及六個支援 2666 MHz DDR4 DRAM 的記憶體通道。 後者提供了較上一代產品更高百分之 50 的記憶體頻寬。

但針對可擴充性相當大的 5G 網路基礎架構,主要的 I/O 強化是插槽對插槽和系統對系統的連接性。

在插槽之間,Intel® Ultra Path Interconnect (Intel® UPI) 在 CPU 插槽間提供快取一致的 10.4 GTps 資料路徑(圖 4)。 互連功能可以擴展,在單一共用位址空間最多支援每個系統八個處理器,在每一個 Intel® Xeon® 可擴充處理器內包含兩個或三個原生的 Intel® UPI 連結。

圖 4. Intel® Ultra Path Interconnect (Intel® UPI) 為 CPU 插槽之間提供快取一致的 10.4 GTps 通訊。 可使用同一個共用位址空間擴展至八個插槽。 (資料來源:Intel)

為了實現在每平方英哩中包含數以百萬裝置的 5G 部署,並確保安全,Intel® Omni-Path Architecture (Intel® OPA) 架構可為每個高效能運算 (HPC) 網路叢集提供 10,000 或更多節點的支援。

Intel® OPA 是 Intel® TrueScale Fabric 的後續產品,定位為 InfiniBand 的新一代替代品。 雖然目前在成本與 100 Gbps 線路速率與競爭技術相當,但 Intel® OPA 的功能組合才是 5G 網路的關鍵區隔條件︰

  • 流量最佳化 – 無論封包順序,可將具有更高優先度的封包先於低優先度封包處理
  • 動態通道擴展 – 可在通道故障時保持連結持續性
  • 封包完整性防護 – 所有資料封包皆會進行連結層級錯誤檢查,使傳輸錯誤的偵測與修復都清楚無比

Xeon® 可擴充處理器整合 Intel® OPA,簡化 HPC 網路與安全性應用的部署。

搭配幾乎無負荷的加密

為了最大化處理器效能,Intel® C620 系列晶片組(之前的代號為「Lewisburg」)能為主處理器分擔加密工作負載。 晶片組預先搭載 Intel® QuickAssist Technology (Intel® QAT),以避免網路安全性故障,包括︰

  • 對稱加密與驗證
  • 非對稱加密
  • 數位簽章
  • 無損資料壓縮
  • RSA、Diffie-Hellman 和橢圓曲線加密 (ECC) 功能

此外,晶片組結合了 Intel® Key Protection Technology (Intel® KPT)。 Intel® KPT 是全新的功能,有助於保護儲存於硬體中的敏感私密金鑰,不受軟體與刺探性攻擊(圖 5)。

圖 5. Intel® KPT 保護儲存於硬體中的敏感私密金鑰,不受軟體與刺探性攻擊。 (資料來源:Intel)

Intel® KPT 與 Intel® QAT 共同作業,為非使用中資料和運作中資料提供幾乎無負荷的加密,減少對專用硬體安全性模組 (HSM) 的需求。

Intel® QAT 亦支援所有標準裝置虛擬化模型。 這能將 Intel® QAT 和 Intel® KPT 的功能延伸至系統中運行的所有虛擬機器 (VMs) 上。

5G 與聚合式基礎架構轉變

5G 網路架構的特性就是具有「聚合式」的基礎架構。 在這個架構中,運用可同時處理多種網路功能的系統,取代專用的網路設備。

因此,網路設備供應商 (NEP) 可將以各種標準為基礎的硬體平台導入市場,透過單一封裝支援網路、儲存設備、安全性,以及其他功能。

舉例來說,ADLINK TechnologyMCN-2610 就是以 Intel® Xeon® 可擴充處理器為基礎的運算節點(圖 6)。 其提供 4 條 10 GbE 通道,在 UTM 系統和 5G 網路伺服器中最大化 Intel® Xeon® 可擴充處理器的效能。

圖 6. ADLINK Technology MCN-2610 是以最多 28 核心的 Intel® Xeon® 可擴充處理器為基礎的資料中心運算節點。 (資料來源:ADLINK Technology)

MCN-2610 遵循開放式運算專案 (OCP) 的 OpenSled 規格。 OpenSled 衍生自 ADLINK Technology 的開放電信級邊緣運算架構(OCCERA),在模組化工業設計標準之外,更加強調 NFV 和 SDN 原則。

OpenSled 是以標準為基礎的方法,使模組可在聚合式基礎架構平台中隨需求提供資源。 例如,UTM 系統中的 MCN-2610 模組可根據需求變更,在 DPI 和通用路由間動態切換。

這樣的架構有助於簡化移轉至 5G 網路架構的過程。

在部署 5G 網路前確保安全

因為效能大幅進步,使得 5G 網路擁有能帶來全新價值鏈體系與服務的潛力。 除了傳統的網路應用,這些優勢也會顯現在大量增長的物聯網商機上。

通訊服務供應商如果想要將 5G 的優點應用在服務上,就應格外注意安全性可能會影響系統效能的方式,以及可彌補這些開銷的解決方案。

Intel® Xeon® 可擴充處理器以及如 MCN-2610 等運算節點,就是移轉至聚合式 5G 架構的最佳選擇。

作者簡介

Maurizio Di Paolo Emilio is the author of Microelectronic Circuit Design for Energy Harvesting Systems, a book covering the design of microelectronic circuits for energy harvesting, broadband energy conversion, and new methods and technologies for energy conversion.

Profile Photo of Maurizio Di Paolo Emilio