TECHnalysis Research公司總裁Bob O’Donnell

　　摘要

　　在5G網(wǎng)絡的演進過程中，向開放式無線接入網(wǎng)絡（ORAN）架構的遷移無疑是最吸引人，最激動人心的一個方面。與蜂窩網(wǎng)絡中占據(jù)主導地位的專有架構不同，基于ORAN的網(wǎng)絡采用了來自多個供應商的組件來創(chuàng)建最佳的解決方案，擁有很高的靈活性。這有助于電信公司和其他服務提供商快速應變、降低成本并且更快、更輕松地實現(xiàn)新特性和新技術。但是，放棄單一供應商解決方案也增加了潛在的攻擊面，同時可能給關鍵基礎設施帶來安全風險。為了避免這些問題，網(wǎng)絡設備供應商和服務提供商需要考慮采用哪些必要組件來保護網(wǎng)絡和通過網(wǎng)絡的數(shù)據(jù)。一個很容易被忽視的關鍵器件就是低功耗FPGA，它可以用于實現(xiàn)各種功能，包括硬件可信根、網(wǎng)絡功能加速和ORAN環(huán)境中的安全通信等。

　　引言

　　當今十分復雜的技術需要考慮的最重要的一個方面就是靈活性。無論是把人送入太空、應對自動駕駛的挑戰(zhàn)，還是構建5G蜂窩網(wǎng)絡的基礎設施，硬件設計工程師總是希望組件不僅能夠提供所需的功能，還能以多種方式來實現(xiàn)他們的設計目標。這就是FPGA（現(xiàn)場可編程門陣列）在眾多此類極其復雜的設計中顯得如此重要的原因。這些芯片本身可以進行編程和重新編程，從而可以提供某些關鍵功能，滿足許多先進技術特定和苛刻的需求。

　　電信網(wǎng)絡數(shù)十年來一直依賴各種類型的FPGA來完成加速網(wǎng)絡、無線傳輸數(shù)據(jù)等功能。如今，隨著行業(yè)開始向ORAN架構過渡，F(xiàn)PGA，尤其是低功耗FPGA，再次證明了其在硬件可信根、多組件同步、實時網(wǎng)絡數(shù)據(jù)包加密和解密等應用中的價值。

　　然而，在深入了解更多細節(jié)之前，我們有必要先回顧一下蜂窩網(wǎng)絡是如何發(fā)展的，以及虛擬化、軟件定義、開放標準驅(qū)動的網(wǎng)絡等趨勢如何創(chuàng)造新的機遇和挑戰(zhàn)。

　　網(wǎng)絡的發(fā)展

　　近年來愛立信、諾基亞和三星網(wǎng)絡等主要網(wǎng)絡設備供應商都構建了非常復雜的專有解決方案，讓蜂窩通信和無線數(shù)據(jù)的影響力遍及全球。除了少數(shù)例外，這些設備與其他供應商的設備不具備互操作性，電信供應商的每個區(qū)域子網(wǎng)都要依賴單一的解決方案。鑒于RF（射頻）信號本身比較復雜以及每一代蜂窩技術提供的功能相對固定，這種模式盡管有很多局限性，但大多數(shù)人依然認為這是相對合理的解決方案。事實上，由于這些系統(tǒng)是閉環(huán)、專有的，一些人甚至認為它們具有安全優(yōu)勢——因為不必擔心私有領域的安全問題。

　　然而，多種趨勢的匯合產(chǎn)生了這樣一種概念，即需要一種新的更加靈活、更具適應性的方法來構建蜂窩網(wǎng)絡。首先是向5G的過渡，這種網(wǎng)絡增加了一系列新頻率，增加更多連接到網(wǎng)絡的設備的數(shù)量和類型，還有潛力顯著降低網(wǎng)絡數(shù)據(jù)傳輸?shù)难舆t。此外，在傳統(tǒng)的電信環(huán)境中，向軟件定義架構的轉(zhuǎn)變已經(jīng)十分明顯，某些關鍵網(wǎng)絡硬件組件的解聚合也是如此。例如，上一代網(wǎng)絡中手機信號發(fā)射塔的標準基帶單元被拆分為DU（分布式單元）、CU（控制單元）和RU（無線單元）。隨著網(wǎng)絡數(shù)據(jù)流和應用需求的增加，這種新結構可以提供更專業(yè)的功能和靈活的架構。

　　下一代網(wǎng)絡對網(wǎng)絡切片等功能也提出了新的要求（將單個組織甚至用戶的數(shù)據(jù)包與其他網(wǎng)絡通信數(shù)字隔離，以減少延遲、提高性能并提供更好的整體服務）。最后，隨著更快的通用計算硬件和專用加速器的出現(xiàn)，網(wǎng)絡性能需求得到滿足，為網(wǎng)絡架構的重大轉(zhuǎn)變奠定了基礎。

　　雖然這種轉(zhuǎn)變尚處于早期階段，但世界各地的電信公司都開始采使用戴爾、HPE和聯(lián)想等公司的COTS（商用現(xiàn)貨）服務器硬件以及微軟、IBM和英偉達等主要廠商以及Mavenir、Altiostar和Accelleran等一眾較小企業(yè)的軟件為來為他們的部分網(wǎng)絡提供解決方案。

　　最初，大多數(shù)軟件方面的工作都集中在虛擬化網(wǎng)絡資源上，正如過去幾十年里虛擬化推動了數(shù)據(jù)中心的發(fā)展和架構重組。然而，隨著專用軟件的開發(fā)以及蜂窩網(wǎng)絡設備組件之間建立了互連的開放標準，現(xiàn)在可以以全新的方式將蜂窩網(wǎng)絡組合在一起。此外還可以利用CI/CD（持續(xù)創(chuàng)新/持續(xù)交付）和云原生、容器化的軟件架構等新的軟件開發(fā)方法來加快創(chuàng)新步伐。由于電信公司要求極高的可靠性，整個網(wǎng)絡轉(zhuǎn)型可能需要十年或更長時間才能完成。第一步已經(jīng)完成，但是這反過來又引發(fā)了新的擔憂，即組合使用來自不同供應商組件引發(fā)的問題。

　　保障連接安全

　　最主要的擔心是安全方面的問題。雖然ORAN架構帶來了更高的靈活性，但它也大大增加了網(wǎng)絡的潛在攻擊面。新架構下不僅可以混合使用來自不同供應商的硬件和軟件，而且硬件中單獨的組件（例如服務器中基于PCI的加速卡）可以有多個選擇。因此，網(wǎng)絡架構師和硬件設計人員必須考慮每一種可能的連接，確保所有連接安全可靠。此外，設計人員必須確保每個硬件中的基礎固件沒有遭到篡改。

　　為實現(xiàn)這一目標，需要針對不同的要求采取多種不同的安全解決方案。第一步就是讓每臺設備在啟動時通過硬件可信根驗證其有效性，并確認器件上的固件沒有被修改。萊迪思半導體基于Nexus?平臺的低功耗、安全FPGA以及Lattice Sentry?解決方案集合可提供平臺固件保護恢復（PFR）機制。多年來，硬件公司一直在服務器和其他關鍵設備中使用這些功能，并且它們也逐步用于ORAN相關的硬件。此外，可以使用硬件可信根確保器件從制造到交付和安裝期間沒有遭到任何篡改，從而在整個供應鏈環(huán)節(jié)避免克隆、偽造、木馬植入或任何其他問題。最后，由于這些低功耗FPGA自帶加密功能，可以加密和解密進出固件的數(shù)據(jù)，再次確保了安全執(zhí)行固件更新。

　　安全鏈路的下一步是與硬件中可能連接到主機CPU的任何組件進行安全的通信，或者更簡潔地說，是“保護線路（wire）”。在零信任安全模型下，每個組件都需要通過加密消息向主機系統(tǒng)確認其真實性。這就是全新的萊迪思ORAN?解決方案集合發(fā)揮作用的地方，它可以通過PCI和其他總線提供安全通信，來連接主機和這些組件。與萊迪思其他的解決方案集合產(chǎn)品一樣，萊迪思ORAN是一個全面的解決方案，包括了定制設計服務、參考設計和演示、軟件工具、IP核和硬件平臺，還針對小型低功耗FPGA進行了優(yōu)化。該產(chǎn)品旨在便捷地集成到多種硬件設計中，它包括一個可編程的RISC CPU核心，可以實現(xiàn)各種加密和安全通信協(xié)議。此外，它在設計上與Lattice Sentry解決方案集合兼容，擴展了所使用的器件的安全特性。

　　同步數(shù)據(jù)

　　除了保護ORAN解決方案中的硬件外，還須確保各個組件發(fā)送數(shù)據(jù)的時間保持同步。正如之前所討論過的，核心網(wǎng)絡組件的解聚合決定了數(shù)據(jù)同步會是一個擔憂。尤其是無線單元（RU）和分布式單元（DU）的拆分帶來了新的挑戰(zhàn)。對于傳統(tǒng)的封閉網(wǎng)絡，模擬無線信號在無線組件的天線處接收，然后轉(zhuǎn)換為數(shù)字形式。之后對數(shù)據(jù)執(zhí)行幾個實時數(shù)字信號處理步驟，從而實現(xiàn)現(xiàn)代蜂窩網(wǎng)絡必不可或缺的一些功能，例如載波聚合——將接受到的不同頻率的信號綁定到單個“聚合”的數(shù)字數(shù)據(jù)模塊中。在ORAN環(huán)境中，也需要執(zhí)行類似的步驟。

　　之前的專有系統(tǒng)有一個共享時鐘信號來協(xié)調(diào)這些工作，在ORAN環(huán)境中則需要使用IEE1588標準對數(shù)據(jù)包進行時間戳記，以便它們跨組件同步。

　　由于FPGA以并行一致的方式運行，它們已在許多不同的應用中充當可靠的時序資源。因此，它們非常適合ORAN網(wǎng)絡架構的同步需求，特別是在RU和DU功能拆分的方案中。萊迪思計劃在今年擴展ORAN解決方案，納入此類基于時序的功能。此外萊迪思還將添加定時和同步服務功能，通過標準的eCPRI（增強型通用公共無線接口）鏈路在RU和DU之間建立前傳連接。

　　此外，由于該連接未受保護，萊迪思還打算加速實現(xiàn)MACsec功能，便于在該連接上加密和解密以太網(wǎng)數(shù)據(jù)包。然而，與多年來在傳統(tǒng)網(wǎng)絡設備中使用的大型FPGA不同，實現(xiàn)ORAN解決方案的萊迪思FPGA是小型、低功耗器件，非常適合多種類型的應用，包括對功耗敏感的小型蜂窩應用 ，這是現(xiàn)代5G網(wǎng)絡中越來越重要的一部分應用。

　　結論和建議

　　過去幾十年中正如我們在數(shù)據(jù)中心和云計算架構所見證的那樣，蜂窩網(wǎng)絡正在從專有硬件驅(qū)動轉(zhuǎn)變?yōu)橛绍浖?qū)動、虛擬化、容器化和標準化的API定義，它們將釋放新的潛力。企業(yè)也在尋求這些新型架構所帶來的靈活性、速度和多樣化的選擇，努力讓蜂窩網(wǎng)絡更具功能性和適應性。隨著5G的興起，電信公司的愿景是從簡單的管道供應商轉(zhuǎn)變?yōu)楦尤媲矣鼜姷姆展?，根?jù)不同行業(yè)和不同類型消費者的獨特需求提供定制服務。

　　這樣的轉(zhuǎn)變并不容易，也很難快速進行；還需要解決許多關鍵問題，才能確保他們在實現(xiàn)這些新目標的同時仍然保持當前可靠的運行狀態(tài)。其中的關鍵是需要保護器件、跨組件的互連和數(shù)據(jù)。尤其是必須保護傳輸中、使用中和靜態(tài)的數(shù)據(jù)，讓這些更靈活的架構可以像它們所取代的專有架構一樣安全。

　　想要獲得進行這種轉(zhuǎn)變所需要的信任度，就需要關注最微小的細節(jié)并確保解決方案的所有方面都滿足要求。建立在小型、低功耗FPGA上的完善的安全解決方案在實現(xiàn)該目標時可以發(fā)揮關鍵作用，盡管這一點不太為人所知。重點就是確保網(wǎng)絡設計人員充分考慮構建解決方案所需的所有組件，在為電信公司提供其所需的靈活性的同時，為他們帶來安全性、同步和低功耗加速。