草榴社区

在云计算中有效的保护笔颁滨别和颁齿尝中的数据

草榴社区 安全 IP 高级产物营销经理 Dana Neustadter

介绍

随着越来越多的设备进入市场并推动云数据的指数级增长,云计算正在经历一场重大变革。随着大数据和分析领域的“超大规模”云提供商的不断增加、用于快速 IoT 连接的 5G 的普及以及用于原始数据处理和涵义提取的 AI 的广泛使用,联网数据量剧增并且数据漏洞变得更加严重。

为了跟上数据的快速增长,设计人员正在推动接口和存储技术的创新,以支持容量和性能的增长,并满足更多的加速集成和新的计算架构。诸如 PCI Express? (PCIe?) 5.0/6.0 和 Compute Express Link? (CXL?) 2.0 之类的高速接口正在激增:

  • 云计算系统更快的数据速率为 PCIe 5.0 和 PCIe 6.0 创造了应用需求,它们正在取代 PCIe 4.0 接口
  • 存储/SSD 正在迁移到 PCIe 5.0/6.0 接口
  • 通常需要高带宽设备和大量共享内存池的数据中心正在转向 CXL 2.0 接口

系统架构师如何保护包含机密、敏感或关键信息的云数据(这些信息可能被攻击者破坏、替换、修改或窃取)? I/O 互连需要从设计之初就实现安全性。在安全措施有限的情况下,攻击者的目标可能是从窃取的机密中获利,干扰目标公司的运作,或阻挠政府机构。黑客攻击的类型具有各种不同的性质,而且还在不断发展,比如通过 PCIe 连接的恶意外设发起的攻击,或者通过访问其他进程的内存来窃取机密和/或篡改代码执行的根访问攻击。

此外,行业还面临越来越多的法律法规,例如:

  • 欧洲的《通用数据保护条例》(GDPR) 规定,如果私人用户数据被泄露,将对公司处以高额罚款
  • 美国的《健康保险流通和责任法案》(HIPAA) 规定了如何保护由医疗保健和医疗保险行业维护的个人身份信息 (PII) 免受欺诈和盗窃
  • 《支付卡行业数据安全标准》及许多其他法规

随着攻击变得越来越复杂,安全标准必须不断调整,以更好地保护敏感数据和通信,并最终保护我们的互联世界。为此,PCI-SIG 和 CXL 标准组织在 2020 年末将完整性和数据加密等安全要求添加到 PCIe 5.0 和 CXL 2.0 规范中。预计下一代 PCIe 6.0 和 CXL 3.0 互连还将继续采用安全功能。

PCIe 和 CXL 安全系统组件

PCI 和 CXL 接口的安全功能包含两个主要组成部分:1) 认证和密钥管理,以及 2) 完整性和数据加密 (IDE),如图 1 所示。

PCIe 和 CXL 安全功能系统级视图

图 1:PCIe 和 CXL 安全功能系统级视图

认证和密钥管理

认证和密钥管理包括认证、鉴权、测量、识别和密钥交换等功能,所有功能都在可信的执行环境/安全模块中运行。

认证和密钥管理的主要参考标准是由分布式管理任务组 (DMTF) 管理的安全协议和数据模块 (SPDM)。SPDM 定义了用于通过各种传输和物理介质在设备之间执行交换的消息、数据对象和序列,并支持对安全功能的高效访问和操作。消息交换的描述包括硬件的认证和固件身份的测量。

PCI-SIG 引入了两个用于认证和密钥管理的工程变更通知 (ECN):

  • 组件测量和认证 (CMA) 定义了 SPDM 如何应用于 PCIe/CXL 系统
  • 数据对象交换 (DOE) 支持通过不同互连进行数据对象传输

完整性和数据加密 (IDE)

IDE 为 PCIe 的事务层数据包 (TLP) 和 CXL 的流量控制单元 (FLIT) 提供保密性、完整性和重放保护,确保线路上的数据不会被观察、篡改、删除、插入和重放。IDE 基于 AES-GCM 加密算法,并从认证和密钥管理安全组件接收密钥。

  • 参考标准
    • PCI-SIG:PCIe IDE ECN
    • CXL 2.0:用于 CXL.cache/mem 协议的 IDE。CXL.io 协议引述 PCIe IDE ECN。

PCIe & CXL IDE IP 解决方案

在寻找具有安全功能的 PCIe 和 CXL 解决方案时,重要的是要考虑从值得信任的 IP 提供商获得优化的解决方案,这些解决方案提供最高的性能、最低的延迟和最佳面积,符合最新的标准,并得到专家的支持。

草榴社区 最近发布了业界首款安全模块,用于保护使用 PCIe 5.0 或 CXL 2.0 协议的高性能计算片上系统 (SoC) 中的数据。用于 PCIe 5.0 或 CXL 2.0 的 DesignWare? IDE 安全模块 IP 已随超大规模云提供商一起部署。稳定的 IDE 安全模块使设计人员可以更快、更轻松地防止链路上的数据篡改和物理攻击,同时遵守最新版本的互连协议。IDE 安全模块与 PCIe/CXL 的 DesignWare 控制器 IP 一同进行设计和验证,以缩短 SoC 的上市时间,同时提供所需的可配置性以满足设计的特定需求。

借助符合标准的即插即用型 DesignWare IDE 安全模块,设计人员可以利用以下优势:

  • 接收和发送方向的全双工最大化吞吐量
  • 无缝集成灵活的数据总线宽度以及与控制器相同的时钟配置
  • 基于 256 位密钥大小的 AES-GCM 加密算法,为 PCIe TLP 和 CXL FLIT 提供高效的加密、解密和认证
  • 密码和哈希算法的宽度可配置以满足方案的面积和延迟优化
  • 高效的动态密钥刷新,实现系统中密钥的无缝更改
  • 针对无保护流量的低延迟顺序旁路模式

图 2 描绘了用于 PCIe 5.0 的 DesignWare IDE 安全模块框图,以及通过 DesignWare PCIe 5.0 控制器 IP 进行的无缝预验证,为 SoC 设计人员提供完整的解决方案、低风险和快速上市时间。

DesignWare PCIe IDE 安全模块框图及与 DesignWare PCIe 控制器的集成

图 2:DesignWare PCIe IDE 安全模块框图及与 DesignWare PCIe 控制器的集成

同样,图 3 描绘了用于 CXL 2.0 的 DesignWare IDE 安全模块框图,以及通过 DesignWare CXL 控制器进行的预验证。

DesignWare CXL IDE 安全模块框图及与 DesignWare CXL 控制器的集成

图 3:DesignWare CXL IDE 安全模块框图及与 DesignWare CXL 控制器的集成

结语

随着我们互联世界中数据的巨大增长,在跨系统(包括通过 PCIe 和 CXL 等高性能互联接口)传输数据时,安全功能对于保护数据中的私人和敏感信息至关重要。草榴社区 在市场上具有独特的地位,它拥有符合标准的完整安全接口解决方案,符合最新的技术需求,使 SoC 设计人员能够以低风险和快速的上市时间快速实现所需的安全性。

除了 PCIe 和 CXL IDE 安全模块之外,草榴社区 还提供一系列高度集成的安全 IP 解决方案,这些解决方案使用一套通用的基于标准的构建模块和安全概念,为移动设备、汽车、数字家庭、IoT 和云计算市场中的各类产物实现最高效的芯片设计和最高级别的安全性。

草榴社区 的高度可配置性安全 IP 解决方案包括可集成到片上系统 (SoC) 的信任根内容保护加密,以及安全协议加速器。这些集成解决方案实现了许多安全标准的核心内容,支持机密性、数据完整性、用户/系统认证、不可否认性以及授权。综合来看,草榴社区 的安全 IP 解决方案有助于防止连接的设备遭受各种威胁,例如盗窃、篡改、旁路通道攻击、恶意软件和数据泄露等。