高速接口正在提出新的安全要求,以更好地保护敏感数据和通信。
随着越来越多的设备进入市场并推动云中的数据呈指数级增长,云计算正在经历一次重大变革。用于大数据和分析的“超大规模”云提供商越来越多,用于快速物联网连接的5G,以及用于自然数据处理和提取见解的人工智能的广泛使用,都加剧了连接数据的数量和数据脆弱性。
为了跟上数据的快速增长,设计人员正在推动接口和存储技术的创新,以支持更大的容量和性能,以及更多的加速和新的计算架构。高速接口如PCI Express (PCIe) 5.0/6.0和计算快速链路(CXL) 2.0正在激增:
系统架构师如何保护包含机密、敏感或关键信息的云数据,这些信息可能被恶意行为者破坏、替换、修改或窃取?I/O互连从设计之初就需要实现安全性。在安全措施有限的情况下,攻击者可能会试图从所掌握的秘密中获利,干扰目标公司的运营,或阻挠政府机构。黑客攻击的类型在性质上有所不同,并在不断发展,比如通过PCIe链路传输的恶意外围设备的攻击,或者访问其他进程的内存以获取秘密和/或改变代码执行的根访问攻击。
此外,行业面临着越来越多的法律法规,例如:
随着攻击变得越来越复杂,安全标准必须不断调整,以更好地保护敏感数据和通信,并最终保护我们互联的世界。为此,PCI-SIG和CXL标准组织于2020年底在PCIe 5.0和CXL 2.0规范中增加了完整性和数据加密等安全要求。预计下一代PCIe 6.0和CXL 3.0互连也将继续采用安全性。
PCI和CXL接口的安全性有两个主要组成部分:1)身份验证和密钥管理,以及2)完整性和数据加密(IDE),如图1所示。
认证和密钥管理
身份验证和密钥管理包括身份验证、认证、测量、识别和密钥交换等功能,所有这些功能都运行在可信的执行环境/安全模块中。
认证和密钥管理的主要参考标准是由分布式管理任务组(DMTF)管理的安全协议和数据模块(SPDM)。SPDM定义了消息、数据对象和序列,用于在各种传输和物理介质上的设备之间执行消息交换,并支持对安全功能和操作的高效访问。消息交换的描述包括硬件的身份验证和固件标识的测量。
PCI-SIG为认证和密钥管理引入了两个工程变更通知(ecn):
完整性和数据加密(IDE)
IDE为PCIe的tlp (Transaction Layer Packets)和CXL的FLITs (Flow Control UnITs)提供机密性、完整性和重放保护,确保导线上的数据不被观察、篡改、删除、插入和重放。IDE基于AES-GCM加密算法,从身份验证和密钥管理安全组件接收密钥。
在寻找具有安全性的PCIe和CXL解决方案时,要考虑的权衡是性能、延迟和面积。当然,所有这些都需要符合最新的标准,并得到专家的支持。
需要注意的事项包括:
图2:PCIe IDE安全模块框图和与PCIe控制器的集成。
图3描述了一个带有预验证的CXL 2.0 IDE安全模块。
图3:DesignWare CXL IDE安全模块框图及与DesignWare CXL控制器的集成。
随着互联世界中数据的巨大增长,安全性对于保护跨系统传输的数据中的隐私和敏感信息至关重要,包括通过PCIe和CXL等高性能互连进行传输。
Synopsys最近发布了业界首款安全模块,用于保护使用PCIe 5.0或CXL 2.0协议的高性能计算soc中的数据。的用于PCIe 5.0的DesignWare IDE安全模块IP或CXL 2.0已经与超大规模云提供商一起部署。强大的IDE安全模块通过PCIe或CXL的控制器IP进行预验证,使设计人员能够更快、更容易地防止数据篡改和链路物理攻击,同时符合最新版本的互连协议。Synopsys的安全IP解决方案有助于防止连接设备中各种不断发展的威胁,如盗窃、篡改、侧通道攻击、恶意软件和数据泄露。
留下回复