TECHnalysis Research公司總裁Bob O’Donnell

　　摘要

　　在5G網(wǎng)絡(luò)的演進(jìn)過程中，向開放式無線接入網(wǎng)絡(luò)（ORAN）架構(gòu)的遷移無疑是最吸引人，最激動(dòng)人心的一個(gè)方面。與蜂窩網(wǎng)絡(luò)中占據(jù)主導(dǎo)地位的專有架構(gòu)不同，基于ORAN的網(wǎng)絡(luò)采用了來自多個(gè)供應(yīng)商的組件來創(chuàng)建最佳的解決方案，擁有很高的靈活性。這有助于電信公司和其他服務(wù)提供商快速應(yīng)變、降低成本并且更快、更輕松地實(shí)現(xiàn)新特性和新技術(shù)。但是，放棄單一供應(yīng)商解決方案也增加了潛在的攻擊面，同時(shí)可能給關(guān)鍵基礎(chǔ)設(shè)施帶來安全風(fēng)險(xiǎn)。為了避免這些問題，網(wǎng)絡(luò)設(shè)備供應(yīng)商和服務(wù)提供商需要考慮采用哪些必要組件來保護(hù)網(wǎng)絡(luò)和通過網(wǎng)絡(luò)的數(shù)據(jù)。一個(gè)很容易被忽視的關(guān)鍵器件就是低功耗FPGA，它可以用于實(shí)現(xiàn)各種功能，包括硬件可信根、網(wǎng)絡(luò)功能加速和ORAN環(huán)境中的安全通信等。

　　引言

　　當(dāng)今十分復(fù)雜的技術(shù)需要考慮的最重要的一個(gè)方面就是靈活性。無論是把人送入太空、應(yīng)對(duì)自動(dòng)駕駛的挑戰(zhàn)，還是構(gòu)建5G蜂窩網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，硬件設(shè)計(jì)工程師總是希望組件不僅能夠提供所需的功能，還能以多種方式來實(shí)現(xiàn)他們的設(shè)計(jì)目標(biāo)。這就是FPGA（現(xiàn)場(chǎng)可編程門陣列）在眾多此類極其復(fù)雜的設(shè)計(jì)中顯得如此重要的原因。這些芯片本身可以進(jìn)行編程和重新編程，從而可以提供某些關(guān)鍵功能，滿足許多先進(jìn)技術(shù)特定和苛刻的需求。

　　電信網(wǎng)絡(luò)數(shù)十年來一直依賴各種類型的FPGA來完成加速網(wǎng)絡(luò)、無線傳輸數(shù)據(jù)等功能。如今，隨著行業(yè)開始向ORAN架構(gòu)過渡，F(xiàn)PGA，尤其是低功耗FPGA，再次證明了其在硬件可信根、多組件同步、實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包加密和解密等應(yīng)用中的價(jià)值。

　　然而，在深入了解更多細(xì)節(jié)之前，我們有必要先回顧一下蜂窩網(wǎng)絡(luò)是如何發(fā)展的，以及虛擬化、軟件定義、開放標(biāo)準(zhǔn)驅(qū)動(dòng)的網(wǎng)絡(luò)等趨勢(shì)如何創(chuàng)造新的機(jī)遇和挑戰(zhàn)。

　　網(wǎng)絡(luò)的發(fā)展

　　近年來愛立信、諾基亞和三星網(wǎng)絡(luò)等主要網(wǎng)絡(luò)設(shè)備供應(yīng)商都構(gòu)建了非常復(fù)雜的專有解決方案，讓蜂窩通信和無線數(shù)據(jù)的影響力遍及全球。除了少數(shù)例外，這些設(shè)備與其他供應(yīng)商的設(shè)備不具備互操作性，電信供應(yīng)商的每個(gè)區(qū)域子網(wǎng)都要依賴單一的解決方案。鑒于RF（射頻）信號(hào)本身比較復(fù)雜以及每一代蜂窩技術(shù)提供的功能相對(duì)固定，這種模式盡管有很多局限性，但大多數(shù)人依然認(rèn)為這是相對(duì)合理的解決方案。事實(shí)上，由于這些系統(tǒng)是閉環(huán)、專有的，一些人甚至認(rèn)為它們具有安全優(yōu)勢(shì)——因?yàn)椴槐負(fù)?dān)心私有領(lǐng)域的安全問題。

　　然而，多種趨勢(shì)的匯合產(chǎn)生了這樣一種概念，即需要一種新的更加靈活、更具適應(yīng)性的方法來構(gòu)建蜂窩網(wǎng)絡(luò)。首先是向5G的過渡，這種網(wǎng)絡(luò)增加了一系列新頻率，增加更多連接到網(wǎng)絡(luò)的設(shè)備的數(shù)量和類型，還有潛力顯著降低網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)难舆t。此外，在傳統(tǒng)的電信環(huán)境中，向軟件定義架構(gòu)的轉(zhuǎn)變已經(jīng)十分明顯，某些關(guān)鍵網(wǎng)絡(luò)硬件組件的解聚合也是如此。例如，上一代網(wǎng)絡(luò)中手機(jī)信號(hào)發(fā)射塔的標(biāo)準(zhǔn)基帶單元被拆分為DU（分布式單元）、CU（控制單元）和RU（無線單元）。隨著網(wǎng)絡(luò)數(shù)據(jù)流和應(yīng)用需求的增加，這種新結(jié)構(gòu)可以提供更專業(yè)的功能和靈活的架構(gòu)。

　　下一代網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)切片等功能也提出了新的要求（將單個(gè)組織甚至用戶的數(shù)據(jù)包與其他網(wǎng)絡(luò)通信數(shù)字隔離，以減少延遲、提高性能并提供更好的整體服務(wù)）。最后，隨著更快的通用計(jì)算硬件和專用加速器的出現(xiàn)，網(wǎng)絡(luò)性能需求得到滿足，為網(wǎng)絡(luò)架構(gòu)的重大轉(zhuǎn)變奠定了基礎(chǔ)。

　　雖然這種轉(zhuǎn)變尚處于早期階段，但世界各地的電信公司都開始采使用戴爾、HPE和聯(lián)想等公司的COTS（商用現(xiàn)貨）服務(wù)器硬件以及微軟、IBM和英偉達(dá)等主要廠商以及Mavenir、Altiostar和Accelleran等一眾較小企業(yè)的軟件為來為他們的部分網(wǎng)絡(luò)提供解決方案。

　　最初，大多數(shù)軟件方面的工作都集中在虛擬化網(wǎng)絡(luò)資源上，正如過去幾十年里虛擬化推動(dòng)了數(shù)據(jù)中心的發(fā)展和架構(gòu)重組。然而，隨著專用軟件的開發(fā)以及蜂窩網(wǎng)絡(luò)設(shè)備組件之間建立了互連的開放標(biāo)準(zhǔn)，現(xiàn)在可以以全新的方式將蜂窩網(wǎng)絡(luò)組合在一起。此外還可以利用CI/CD（持續(xù)創(chuàng)新/持續(xù)交付）和云原生、容器化的軟件架構(gòu)等新的軟件開發(fā)方法來加快創(chuàng)新步伐。由于電信公司要求極高的可靠性，整個(gè)網(wǎng)絡(luò)轉(zhuǎn)型可能需要十年或更長時(shí)間才能完成。第一步已經(jīng)完成，但是這反過來又引發(fā)了新的擔(dān)憂，即組合使用來自不同供應(yīng)商組件引發(fā)的問題。

　　保障連接安全

　　最主要的擔(dān)心是安全方面的問題。雖然ORAN架構(gòu)帶來了更高的靈活性，但它也大大增加了網(wǎng)絡(luò)的潛在攻擊面。新架構(gòu)下不僅可以混合使用來自不同供應(yīng)商的硬件和軟件，而且硬件中單獨(dú)的組件（例如服務(wù)器中基于PCI的加速卡）可以有多個(gè)選擇。因此，網(wǎng)絡(luò)架構(gòu)師和硬件設(shè)計(jì)人員必須考慮每一種可能的連接，確保所有連接安全可靠。此外，設(shè)計(jì)人員必須確保每個(gè)硬件中的基礎(chǔ)固件沒有遭到篡改。

　　為實(shí)現(xiàn)這一目標(biāo)，需要針對(duì)不同的要求采取多種不同的安全解決方案。第一步就是讓每臺(tái)設(shè)備在啟動(dòng)時(shí)通過硬件可信根驗(yàn)證其有效性，并確認(rèn)器件上的固件沒有被修改。萊迪思半導(dǎo)體基于Nexus?平臺(tái)的低功耗、安全FPGA以及Lattice Sentry?解決方案集合可提供平臺(tái)固件保護(hù)恢復(fù)（PFR）機(jī)制。多年來，硬件公司一直在服務(wù)器和其他關(guān)鍵設(shè)備中使用這些功能，并且它們也逐步用于ORAN相關(guān)的硬件。此外，可以使用硬件可信根確保器件從制造到交付和安裝期間沒有遭到任何篡改，從而在整個(gè)供應(yīng)鏈環(huán)節(jié)避免克隆、偽造、木馬植入或任何其他問題。最后，由于這些低功耗FPGA自帶加密功能，可以加密和解密進(jìn)出固件的數(shù)據(jù)，再次確保了安全執(zhí)行固件更新。

　　安全鏈路的下一步是與硬件中可能連接到主機(jī)CPU的任何組件進(jìn)行安全的通信，或者更簡潔地說，是“保護(hù)線路（wire）”。在零信任安全模型下，每個(gè)組件都需要通過加密消息向主機(jī)系統(tǒng)確認(rèn)其真實(shí)性。這就是全新的萊迪思ORAN?解決方案集合發(fā)揮作用的地方，它可以通過PCI和其他總線提供安全通信，來連接主機(jī)和這些組件。與萊迪思其他的解決方案集合產(chǎn)品一樣，萊迪思ORAN是一個(gè)全面的解決方案，包括了定制設(shè)計(jì)服務(wù)、參考設(shè)計(jì)和演示、軟件工具、IP核和硬件平臺(tái)，還針對(duì)小型低功耗FPGA進(jìn)行了優(yōu)化。該產(chǎn)品旨在便捷地集成到多種硬件設(shè)計(jì)中，它包括一個(gè)可編程的RISC CPU核心，可以實(shí)現(xiàn)各種加密和安全通信協(xié)議。此外，它在設(shè)計(jì)上與Lattice Sentry解決方案集合兼容，擴(kuò)展了所使用的器件的安全特性。

　　同步數(shù)據(jù)

　　除了保護(hù)ORAN解決方案中的硬件外，還須確保各個(gè)組件發(fā)送數(shù)據(jù)的時(shí)間保持同步。正如之前所討論過的，核心網(wǎng)絡(luò)組件的解聚合決定了數(shù)據(jù)同步會(huì)是一個(gè)擔(dān)憂。尤其是無線單元（RU）和分布式單元（DU）的拆分帶來了新的挑戰(zhàn)。對(duì)于傳統(tǒng)的封閉網(wǎng)絡(luò)，模擬無線信號(hào)在無線組件的天線處接收，然后轉(zhuǎn)換為數(shù)字形式。之后對(duì)數(shù)據(jù)執(zhí)行幾個(gè)實(shí)時(shí)數(shù)字信號(hào)處理步驟，從而實(shí)現(xiàn)現(xiàn)代蜂窩網(wǎng)絡(luò)必不可或缺的一些功能，例如載波聚合——將接受到的不同頻率的信號(hào)綁定到單個(gè)“聚合”的數(shù)字?jǐn)?shù)據(jù)模塊中。在ORAN環(huán)境中，也需要執(zhí)行類似的步驟。

　　之前的專有系統(tǒng)有一個(gè)共享時(shí)鐘信號(hào)來協(xié)調(diào)這些工作，在ORAN環(huán)境中則需要使用IEE1588標(biāo)準(zhǔn)對(duì)數(shù)據(jù)包進(jìn)行時(shí)間戳記，以便它們跨組件同步。

　　由于FPGA以并行一致的方式運(yùn)行，它們已在許多不同的應(yīng)用中充當(dāng)可靠的時(shí)序資源。因此，它們非常適合ORAN網(wǎng)絡(luò)架構(gòu)的同步需求，特別是在RU和DU功能拆分的方案中。萊迪思計(jì)劃在今年擴(kuò)展ORAN解決方案，納入此類基于時(shí)序的功能。此外萊迪思還將添加定時(shí)和同步服務(wù)功能，通過標(biāo)準(zhǔn)的eCPRI（增強(qiáng)型通用公共無線接口）鏈路在RU和DU之間建立前傳連接。

　　此外，由于該連接未受保護(hù)，萊迪思還打算加速實(shí)現(xiàn)MACsec功能，便于在該連接上加密和解密以太網(wǎng)數(shù)據(jù)包。然而，與多年來在傳統(tǒng)網(wǎng)絡(luò)設(shè)備中使用的大型FPGA不同，實(shí)現(xiàn)ORAN解決方案的萊迪思FPGA是小型、低功耗器件，非常適合多種類型的應(yīng)用，包括對(duì)功耗敏感的小型蜂窩應(yīng)用 ，這是現(xiàn)代5G網(wǎng)絡(luò)中越來越重要的一部分應(yīng)用。

　　結(jié)論和建議

　　過去幾十年中正如我們?cè)跀?shù)據(jù)中心和云計(jì)算架構(gòu)所見證的那樣，蜂窩網(wǎng)絡(luò)正在從專有硬件驅(qū)動(dòng)轉(zhuǎn)變?yōu)橛绍浖?qū)動(dòng)、虛擬化、容器化和標(biāo)準(zhǔn)化的API定義，它們將釋放新的潛力。企業(yè)也在尋求這些新型架構(gòu)所帶來的靈活性、速度和多樣化的選擇，努力讓蜂窩網(wǎng)絡(luò)更具功能性和適應(yīng)性。隨著5G的興起，電信公司的愿景是從簡單的管道供應(yīng)商轉(zhuǎn)變?yōu)楦尤媲矣鼜?qiáng)的服務(wù)供應(yīng)商，根據(jù)不同行業(yè)和不同類型消費(fèi)者的獨(dú)特需求提供定制服務(wù)。

　　這樣的轉(zhuǎn)變并不容易，也很難快速進(jìn)行；還需要解決許多關(guān)鍵問題，才能確保他們?cè)趯?shí)現(xiàn)這些新目標(biāo)的同時(shí)仍然保持當(dāng)前可靠的運(yùn)行狀態(tài)。其中的關(guān)鍵是需要保護(hù)器件、跨組件的互連和數(shù)據(jù)。尤其是必須保護(hù)傳輸中、使用中和靜態(tài)的數(shù)據(jù)，讓這些更靈活的架構(gòu)可以像它們所取代的專有架構(gòu)一樣安全。

　　想要獲得進(jìn)行這種轉(zhuǎn)變所需要的信任度，就需要關(guān)注最微小的細(xì)節(jié)并確保解決方案的所有方面都滿足要求。建立在小型、低功耗FPGA上的完善的安全解決方案在實(shí)現(xiàn)該目標(biāo)時(shí)可以發(fā)揮關(guān)鍵作用，盡管這一點(diǎn)不太為人所知。重點(diǎn)就是確保網(wǎng)絡(luò)設(shè)計(jì)人員充分考慮構(gòu)建解決方案所需的所有組件，在為電信公司提供其所需的靈活性的同時(shí)，為他們帶來安全性、同步和低功耗加速。