《電子技術(shù)應(yīng)用》
欢迎订阅(电子2025)
欢迎订阅(网数2025)
您所在的位置:首頁 > 模擬設(shè)計 > 業(yè)界動態(tài) > 實現(xiàn)安全的5G ORAN部署
2024测试测量培训202410

實現(xiàn)安全的5G ORAN部署

2022-06-30
來源:電子創(chuàng)新網(wǎng)
關(guān)鍵詞: 5G ORAN TECHnalysisResearch

  TECHnalysis Research公司總裁Bob O’Donnell

  摘要

  在5G網(wǎng)絡(luò)的演進過程中,向開放式無線接入網(wǎng)絡(luò)(ORAN)架構(gòu)的遷移無疑是最吸引人,最激動人心的一個方面。與蜂窩網(wǎng)絡(luò)中占據(jù)主導(dǎo)地位的專有架構(gòu)不同,基于ORAN的網(wǎng)絡(luò)采用了來自多個供應(yīng)商的組件來創(chuàng)建最佳的解決方案,擁有很高的靈活性。這有助于電信公司和其他服務(wù)提供商快速應(yīng)變、降低成本并且更快、更輕松地實現(xiàn)新特性和新技術(shù)。但是,放棄單一供應(yīng)商解決方案也增加了潛在的攻擊面,同時可能給關(guān)鍵基礎(chǔ)設(shè)施帶來安全風(fēng)險。為了避免這些問題,網(wǎng)絡(luò)設(shè)備供應(yīng)商和服務(wù)提供商需要考慮采用哪些必要組件來保護網(wǎng)絡(luò)和通過網(wǎng)絡(luò)的數(shù)據(jù)。一個很容易被忽視的關(guān)鍵器件就是低功耗FPGA,它可以用于實現(xiàn)各種功能,包括硬件可信根、網(wǎng)絡(luò)功能加速和ORAN環(huán)境中的安全通信等。

  引言

  當(dāng)今十分復(fù)雜的技術(shù)需要考慮的最重要的一個方面就是靈活性。無論是把人送入太空、應(yīng)對自動駕駛的挑戰(zhàn),還是構(gòu)建5G蜂窩網(wǎng)絡(luò)的基礎(chǔ)設(shè)施,硬件設(shè)計工程師總是希望組件不僅能夠提供所需的功能,還能以多種方式來實現(xiàn)他們的設(shè)計目標。這就是FPGA(現(xiàn)場可編程門陣列)在眾多此類極其復(fù)雜的設(shè)計中顯得如此重要的原因。這些芯片本身可以進行編程和重新編程,從而可以提供某些關(guān)鍵功能,滿足許多先進技術(shù)特定和苛刻的需求。

  電信網(wǎng)絡(luò)數(shù)十年來一直依賴各種類型的FPGA來完成加速網(wǎng)絡(luò)、無線傳輸數(shù)據(jù)等功能。如今,隨著行業(yè)開始向ORAN架構(gòu)過渡,F(xiàn)PGA,尤其是低功耗FPGA,再次證明了其在硬件可信根、多組件同步、實時網(wǎng)絡(luò)數(shù)據(jù)包加密和解密等應(yīng)用中的價值。

  然而,在深入了解更多細節(jié)之前,我們有必要先回顧一下蜂窩網(wǎng)絡(luò)是如何發(fā)展的,以及虛擬化、軟件定義、開放標準驅(qū)動的網(wǎng)絡(luò)等趨勢如何創(chuàng)造新的機遇和挑戰(zhàn)。

  網(wǎng)絡(luò)的發(fā)展

  近年來愛立信、諾基亞和三星網(wǎng)絡(luò)等主要網(wǎng)絡(luò)設(shè)備供應(yīng)商都構(gòu)建了非常復(fù)雜的專有解決方案,讓蜂窩通信和無線數(shù)據(jù)的影響力遍及全球。除了少數(shù)例外,這些設(shè)備與其他供應(yīng)商的設(shè)備不具備互操作性,電信供應(yīng)商的每個區(qū)域子網(wǎng)都要依賴單一的解決方案。鑒于RF(射頻)信號本身比較復(fù)雜以及每一代蜂窩技術(shù)提供的功能相對固定,這種模式盡管有很多局限性,但大多數(shù)人依然認為這是相對合理的解決方案。事實上,由于這些系統(tǒng)是閉環(huán)、專有的,一些人甚至認為它們具有安全優(yōu)勢——因為不必擔(dān)心私有領(lǐng)域的安全問題。

  然而,多種趨勢的匯合產(chǎn)生了這樣一種概念,即需要一種新的更加靈活、更具適應(yīng)性的方法來構(gòu)建蜂窩網(wǎng)絡(luò)。首先是向5G的過渡,這種網(wǎng)絡(luò)增加了一系列新頻率,增加更多連接到網(wǎng)絡(luò)的設(shè)備的數(shù)量和類型,還有潛力顯著降低網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)难舆t。此外,在傳統(tǒng)的電信環(huán)境中,向軟件定義架構(gòu)的轉(zhuǎn)變已經(jīng)十分明顯,某些關(guān)鍵網(wǎng)絡(luò)硬件組件的解聚合也是如此。例如,上一代網(wǎng)絡(luò)中手機信號發(fā)射塔的標準基帶單元被拆分為DU(分布式單元)、CU(控制單元)和RU(無線單元)。隨著網(wǎng)絡(luò)數(shù)據(jù)流和應(yīng)用需求的增加,這種新結(jié)構(gòu)可以提供更專業(yè)的功能和靈活的架構(gòu)。

  下一代網(wǎng)絡(luò)對網(wǎng)絡(luò)切片等功能也提出了新的要求(將單個組織甚至用戶的數(shù)據(jù)包與其他網(wǎng)絡(luò)通信數(shù)字隔離,以減少延遲、提高性能并提供更好的整體服務(wù))。最后,隨著更快的通用計算硬件和專用加速器的出現(xiàn),網(wǎng)絡(luò)性能需求得到滿足,為網(wǎng)絡(luò)架構(gòu)的重大轉(zhuǎn)變奠定了基礎(chǔ)。

  雖然這種轉(zhuǎn)變尚處于早期階段,但世界各地的電信公司都開始采使用戴爾、HPE和聯(lián)想等公司的COTS(商用現(xiàn)貨)服務(wù)器硬件以及微軟、IBM和英偉達等主要廠商以及Mavenir、Altiostar和Accelleran等一眾較小企業(yè)的軟件為來為他們的部分網(wǎng)絡(luò)提供解決方案。

  最初,大多數(shù)軟件方面的工作都集中在虛擬化網(wǎng)絡(luò)資源上,正如過去幾十年里虛擬化推動了數(shù)據(jù)中心的發(fā)展和架構(gòu)重組。然而,隨著專用軟件的開發(fā)以及蜂窩網(wǎng)絡(luò)設(shè)備組件之間建立了互連的開放標準,現(xiàn)在可以以全新的方式將蜂窩網(wǎng)絡(luò)組合在一起。此外還可以利用CI/CD(持續(xù)創(chuàng)新/持續(xù)交付)和云原生、容器化的軟件架構(gòu)等新的軟件開發(fā)方法來加快創(chuàng)新步伐。由于電信公司要求極高的可靠性,整個網(wǎng)絡(luò)轉(zhuǎn)型可能需要十年或更長時間才能完成。第一步已經(jīng)完成,但是這反過來又引發(fā)了新的擔(dān)憂,即組合使用來自不同供應(yīng)商組件引發(fā)的問題。

  保障連接安全

  最主要的擔(dān)心是安全方面的問題。雖然ORAN架構(gòu)帶來了更高的靈活性,但它也大大增加了網(wǎng)絡(luò)的潛在攻擊面。新架構(gòu)下不僅可以混合使用來自不同供應(yīng)商的硬件和軟件,而且硬件中單獨的組件(例如服務(wù)器中基于PCI的加速卡)可以有多個選擇。因此,網(wǎng)絡(luò)架構(gòu)師和硬件設(shè)計人員必須考慮每一種可能的連接,確保所有連接安全可靠。此外,設(shè)計人員必須確保每個硬件中的基礎(chǔ)固件沒有遭到篡改。

  為實現(xiàn)這一目標,需要針對不同的要求采取多種不同的安全解決方案。第一步就是讓每臺設(shè)備在啟動時通過硬件可信根驗證其有效性,并確認器件上的固件沒有被修改。萊迪思半導(dǎo)體基于Nexus?平臺的低功耗、安全FPGA以及Lattice Sentry?解決方案集合可提供平臺固件保護恢復(fù)(PFR)機制。多年來,硬件公司一直在服務(wù)器和其他關(guān)鍵設(shè)備中使用這些功能,并且它們也逐步用于ORAN相關(guān)的硬件。此外,可以使用硬件可信根確保器件從制造到交付和安裝期間沒有遭到任何篡改,從而在整個供應(yīng)鏈環(huán)節(jié)避免克隆、偽造、木馬植入或任何其他問題。最后,由于這些低功耗FPGA自帶加密功能,可以加密和解密進出固件的數(shù)據(jù),再次確保了安全執(zhí)行固件更新。

  安全鏈路的下一步是與硬件中可能連接到主機CPU的任何組件進行安全的通信,或者更簡潔地說,是“保護線路(wire)”。在零信任安全模型下,每個組件都需要通過加密消息向主機系統(tǒng)確認其真實性。這就是全新的萊迪思ORAN?解決方案集合發(fā)揮作用的地方,它可以通過PCI和其他總線提供安全通信,來連接主機和這些組件。與萊迪思其他的解決方案集合產(chǎn)品一樣,萊迪思ORAN是一個全面的解決方案,包括了定制設(shè)計服務(wù)、參考設(shè)計和演示、軟件工具、IP核和硬件平臺,還針對小型低功耗FPGA進行了優(yōu)化。該產(chǎn)品旨在便捷地集成到多種硬件設(shè)計中,它包括一個可編程的RISC CPU核心,可以實現(xiàn)各種加密和安全通信協(xié)議。此外,它在設(shè)計上與Lattice Sentry解決方案集合兼容,擴展了所使用的器件的安全特性。

  同步數(shù)據(jù)

  除了保護ORAN解決方案中的硬件外,還須確保各個組件發(fā)送數(shù)據(jù)的時間保持同步。正如之前所討論過的,核心網(wǎng)絡(luò)組件的解聚合決定了數(shù)據(jù)同步會是一個擔(dān)憂。尤其是無線單元(RU)和分布式單元(DU)的拆分帶來了新的挑戰(zhàn)。對于傳統(tǒng)的封閉網(wǎng)絡(luò),模擬無線信號在無線組件的天線處接收,然后轉(zhuǎn)換為數(shù)字形式。之后對數(shù)據(jù)執(zhí)行幾個實時數(shù)字信號處理步驟,從而實現(xiàn)現(xiàn)代蜂窩網(wǎng)絡(luò)必不可或缺的一些功能,例如載波聚合——將接受到的不同頻率的信號綁定到單個“聚合”的數(shù)字數(shù)據(jù)模塊中。在ORAN環(huán)境中,也需要執(zhí)行類似的步驟。

  之前的專有系統(tǒng)有一個共享時鐘信號來協(xié)調(diào)這些工作,在ORAN環(huán)境中則需要使用IEE1588標準對數(shù)據(jù)包進行時間戳記,以便它們跨組件同步。

  由于FPGA以并行一致的方式運行,它們已在許多不同的應(yīng)用中充當(dāng)可靠的時序資源。因此,它們非常適合ORAN網(wǎng)絡(luò)架構(gòu)的同步需求,特別是在RU和DU功能拆分的方案中。萊迪思計劃在今年擴展ORAN解決方案,納入此類基于時序的功能。此外萊迪思還將添加定時和同步服務(wù)功能,通過標準的eCPRI(增強型通用公共無線接口)鏈路在RU和DU之間建立前傳連接。

  此外,由于該連接未受保護,萊迪思還打算加速實現(xiàn)MACsec功能,便于在該連接上加密和解密以太網(wǎng)數(shù)據(jù)包。然而,與多年來在傳統(tǒng)網(wǎng)絡(luò)設(shè)備中使用的大型FPGA不同,實現(xiàn)ORAN解決方案的萊迪思FPGA是小型、低功耗器件,非常適合多種類型的應(yīng)用,包括對功耗敏感的小型蜂窩應(yīng)用 ,這是現(xiàn)代5G網(wǎng)絡(luò)中越來越重要的一部分應(yīng)用。

  結(jié)論和建議

  過去幾十年中正如我們在數(shù)據(jù)中心和云計算架構(gòu)所見證的那樣,蜂窩網(wǎng)絡(luò)正在從專有硬件驅(qū)動轉(zhuǎn)變?yōu)橛绍浖?qū)動、虛擬化、容器化和標準化的API定義,它們將釋放新的潛力。企業(yè)也在尋求這些新型架構(gòu)所帶來的靈活性、速度和多樣化的選擇,努力讓蜂窩網(wǎng)絡(luò)更具功能性和適應(yīng)性。隨著5G的興起,電信公司的愿景是從簡單的管道供應(yīng)商轉(zhuǎn)變?yōu)楦尤媲矣鼜姷姆?wù)供應(yīng)商,根據(jù)不同行業(yè)和不同類型消費者的獨特需求提供定制服務(wù)。

  這樣的轉(zhuǎn)變并不容易,也很難快速進行;還需要解決許多關(guān)鍵問題,才能確保他們在實現(xiàn)這些新目標的同時仍然保持當(dāng)前可靠的運行狀態(tài)。其中的關(guān)鍵是需要保護器件、跨組件的互連和數(shù)據(jù)。尤其是必須保護傳輸中、使用中和靜態(tài)的數(shù)據(jù),讓這些更靈活的架構(gòu)可以像它們所取代的專有架構(gòu)一樣安全。

  想要獲得進行這種轉(zhuǎn)變所需要的信任度,就需要關(guān)注最微小的細節(jié)并確保解決方案的所有方面都滿足要求。建立在小型、低功耗FPGA上的完善的安全解決方案在實現(xiàn)該目標時可以發(fā)揮關(guān)鍵作用,盡管這一點不太為人所知。重點就是確保網(wǎng)絡(luò)設(shè)計人員充分考慮構(gòu)建解決方案所需的所有組件,在為電信公司提供其所需的靈活性的同時,為他們帶來安全性、同步和低功耗加速。





圖片.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。