中文 英语
www.vw011.com
的意见

在数据中心的PCIe和CXL上保护数据

高速接口正在获得新的安全要求,以更好地保护敏感数据和通信。

受欢迎程度

随着更多设备进入市场并驱动云中数据的指数增长,云计算正在进行重大大修。对于大数据和分析,5G以快速连接的“超高”云提供商的存在以及用于自然数据处理的广泛使用以及用于提取洞察的广泛使用是连接的数据和数据漏洞。

为了跟上快速增长的数据,设计师正在推动界面和存储技术的创新,以支持增加的容量和性能,以及更多的加速和新的计算架构。高速接口如PCI Express (PCIe) 5.0/6.0和计算Express Link (CXL) 2.0正在大量涌现:

  • 基于云的计算系统的更快数据速率正在为PCIe 5.0和PCIe 6.0设置级,该级是替换PCIe 4.0接口的PCIe5.0
  • Storage / SSD正在移动到PCIe 5.0 / 6.0接口
  • 通常需要处理许多带宽要求很高的设备和大量共享内存池的数据中心正在转向CXL 2.0接口

系统架构师如何保护包含机密、敏感或关键信息的云数据,这些信息可能会被恶意行为者破坏、替换、修改或窃取?I/O互连需要从设计之初就实现安全性。在安全有限的情况下,攻击者的目标可能是从了解到的秘密中获利,干扰目标公司的运作,或阻挠政府机构。黑客攻击的类型在本质上有所不同,而且还在不断发展,比如通过PCIe链路传输的恶意外设发起的攻击,或者通过访问其他进程的内存来捕获秘密和/或改变代码执行的root访问攻击。

此外,行业面临着越来越多的法律法规,如:

  • 如果私人用户数据受到损害,欧洲的GDPR(全球数据保护规范)在公司对公司施加陡峭的罚款
  • 美国的健康保险可携性和责任法案(HIPAA)规定了如何保护由医疗保健和医疗保险行业维护的个人识别信息(PII)免受欺诈和盗窃
  • 支付卡行业数据安全标准,以及许多其他人

随着攻击变得越来越复杂,安全标准必须不断适应,以更好地保护敏感数据和通信,并最终保护我们的互联世界。为此,PCI-SIG和CXL标准组织在2020年底将完整性和数据加密等安全要求添加到PCIe 5.0和CXL 2.0规范中。预计下一代PCIe 6.0和CXL 3.0互连还将继续采用安全性。

PCIe和CXL安全系统组件

PCI和CXL接口的安全性有两个主要组件:1)身份验证和密钥管理,2)完整性和数据加密(IDE),如图1所示。

认证和密钥管理
身份验证和密钥管理包括身份验证、认证、测量、识别和密钥交换等功能,所有这些功能都运行在可信的执行环境/安全模块中。

认证和密钥管理的主要参考标准是由分布式管理任务组(DMTF)管理的安全协议和数据模块(SPDM)。SPDM定义了消息、数据对象和序列,用于在各种传输和物理介质上的设备之间执行消息交换,并实现了对安全功能和操作的高效访问。消息交换的描述包括硬件的验证和固件身份的测量。

PCI-SIG为认证和密钥管理引入了两个工程变更通知(ECNs):

  • CMA (Component Measurement and Authentication)定义了SPDM如何应用于PCIe/CXL系统
  • 数据对象Exchange(DOE)支持通过不同互连的数据对象传输

完整性和数据加密(IDE)
IDE为PCIe的交易层数据包(Transaction Layer Packets, TLPs)和CXL的流量控制单元(Flow Control UnITs, flit)提供保密性、完整性和重放保护,确保线路上的数据不会被观察、篡改、删除、插入和重放数据包。IDE基于AES-GCM加密算法,从认证和密钥管理安全组件接收密钥。

  • 参考标准
    • PCI-SIG:PCIe IDE ECN
    • CXL 2.0:用于CXL的IDE。缓存/ mem协议。CXL。io协议是指PCIe IDE的ECN。


图1:PCIe & CXL安全系统级别视图。

PCIe&CXL IDE IP解决方案

在寻找具有安全性的PCIe和CXL解决方案时,需要考虑的权衡是性能,延迟和区域。所有这些都需要遵守最新标准,当然是由专家支持的。

要寻找的事情包括:

  • 吞吐量全双工用于接收和发送方向
  • 集成灵活的数据总线宽度和相同的时钟配置的控制器
  • 用于PCIe tlp和CXL flit的加密、解密和认证,基于256位密钥大小的AES-GCM加密算法
  • 用于面积和延迟优化解决方案的密码和散列算法的可配置宽度
  • 机芯键刷新系统中键的无缝变化
  • 低延迟按顺序旁路模式,用于非保护流量


图2:PCIe IDE安全模块框图及与PCIe控制器的集成。

图3描述了一个带有预验证的CXL 2.0 IDE安全模块。


图3:DesignWare CXL IDE安全模块框图以及与DesignWare CXL控制器的集成。

结论

通过我们关联世界的巨大数据增长,安全对于在数据上传输数据,包括在数据中保护数据中的私有信息,包括高性能互连,如PCIe和CXL。

Synopsys最近宣布了行业的第一个安全模块,用于保护使用PCIe 5.0或CXL 2.0协议的高性能计算SOC中的数据。这用于PCIe 5.0的DesignWare IDE安全模块IPCXL 2.0已经被超级标量云提供商部署。健壮的IDE安全模块与PCIe或CXL的控制器IP进行预验证,使设计人员在遵守互连协议最新版本的同时,更快更容易地保护链路免受数据篡改和物理攻击。Synopsys的安全IP解决方案有助于防止连接设备中的各种不断演变的威胁,如盗窃、篡改、侧通道攻击、恶意软件和数据泄露。



发表评论


(注意:此名称将公开显示)