TECHnalysis Research公司總裁Bob O’Donnell
摘要
在5G網絡的演進過程中,向開放式無線接入網絡(ORAN)架構的遷移無疑是最吸引人,最激動人心的一個方面。與蜂窩網絡中占據主導地位的專有架構不同,基于ORAN的網絡采用了來自多個供應商的組件來創建最佳的解決方案,擁有很高的靈活性。這有助于電信公司和其他服務提供商快速應變、降低成本并且更快、更輕松地實現新特性和新技術。但是,放棄單一供應商解決方案也增加了潛在的攻擊面,同時可能給關鍵基礎設施帶來安全風險。為了避免這些問題,網絡設備供應商和服務提供商需要考慮采用哪些必要組件來保護網絡和通過網絡的數據。一個很容易被忽視的關鍵器件就是低功耗FPGA,它可以用于實現各種功能,包括硬件可信根、網絡功能加速和ORAN環境中的安全通信等。
引言
當今十分復雜的技術需要考慮的最重要的一個方面就是靈活性。無論是把人送入太空、應對自動駕駛的挑戰,還是構建5G蜂窩網絡的基礎設施,硬件設計工程師總是希望組件不僅能夠提供所需的功能,還能以多種方式來實現他們的設計目標。這就是FPGA(現場可編程門陣列)在眾多此類極其復雜的設計中顯得如此重要的原因。這些芯片本身可以進行編程和重新編程,從而可以提供某些關鍵功能,滿足許多先進技術特定和苛刻的需求。
電信網絡數十年來一直依賴各種類型的FPGA來完成加速網絡、無線傳輸數據等功能。如今,隨著行業開始向ORAN架構過渡,FPGA,尤其是低功耗FPGA,再次證明了其在硬件可信根、多組件同步、實時網絡數據包加密和解密等應用中的價值。
然而,在深入了解更多細節之前,我們有必要先回顧一下蜂窩網絡是如何發展的,以及虛擬化、軟件定義、開放標準驅動的網絡等趨勢如何創造新的機遇和挑戰。
網絡的發展
近年來愛立信、諾基亞和三星網絡等主要網絡設備供應商都構建了非常復雜的專有解決方案,讓蜂窩通信和無線數據的影響力遍及全球。除了少數例外,這些設備與其他供應商的設備不具備互操作性,電信供應商的每個區域子網都要依賴單一的解決方案。鑒于RF(射頻)信號本身比較復雜以及每一代蜂窩技術提供的功能相對固定,這種模式盡管有很多局限性,但大多數人依然認為這是相對合理的解決方案。事實上,由于這些系統是閉環、專有的,一些人甚至認為它們具有安全優勢——因為不必擔心私有領域的安全問題。
然而,多種趨勢的匯合產生了這樣一種概念,即需要一種新的更加靈活、更具適應性的方法來構建蜂窩網絡。首先是向5G的過渡,這種網絡增加了一系列新頻率,增加更多連接到網絡的設備的數量和類型,還有潛力顯著降低網絡數據傳輸的延遲。此外,在傳統的電信環境中,向軟件定義架構的轉變已經十分明顯,某些關鍵網絡硬件組件的解聚合也是如此。例如,上一代網絡中手機信號發射塔的標準基帶單元被拆分為DU(分布式單元)、CU(控制單元)和RU(無線單元)。隨著網絡數據流和應用需求的增加,這種新結構可以提供更專業的功能和靈活的架構。
下一代網絡對網絡切片等功能也提出了新的要求(將單個組織甚至用戶的數據包與其他網絡通信數字隔離,以減少延遲、提高性能并提供更好的整體服務)。最后,隨著更快的通用計算硬件和專用加速器的出現,網絡性能需求得到滿足,為網絡架構的重大轉變奠定了基礎。
雖然這種轉變尚處于早期階段,但世界各地的電信公司都開始采使用戴爾、HPE和聯想等公司的COTS(商用現貨)服務器硬件以及微軟、IBM和英偉達等主要廠商以及Mavenir、Altiostar和Accelleran等一眾較小企業的軟件為來為他們的部分網絡提供解決方案。
最初,大多數軟件方面的工作都集中在虛擬化網絡資源上,正如過去幾十年里虛擬化推動了數據中心的發展和架構重組。然而,隨著專用軟件的開發以及蜂窩網絡設備組件之間建立了互連的開放標準,現在可以以全新的方式將蜂窩網絡組合在一起。此外還可以利用CI/CD(持續創新/持續交付)和云原生、容器化的軟件架構等新的軟件開發方法來加快創新步伐。由于電信公司要求極高的可靠性,整個網絡轉型可能需要十年或更長時間才能完成。第一步已經完成,但是這反過來又引發了新的擔憂,即組合使用來自不同供應商組件引發的問題。
保障連接安全
最主要的擔心是安全方面的問題。雖然ORAN架構帶來了更高的靈活性,但它也大大增加了網絡的潛在攻擊面。新架構下不僅可以混合使用來自不同供應商的硬件和軟件,而且硬件中單獨的組件(例如服務器中基于PCI的加速卡)可以有多個選擇。因此,網絡架構師和硬件設計人員必須考慮每一種可能的連接,確保所有連接安全可靠。此外,設計人員必須確保每個硬件中的基礎固件沒有遭到篡改。
為實現這一目標,需要針對不同的要求采取多種不同的安全解決方案。第一步就是讓每臺設備在啟動時通過硬件可信根驗證其有效性,并確認器件上的固件沒有被修改。萊迪思半導體基于Nexus?平臺的低功耗、安全FPGA以及Lattice Sentry?解決方案集合可提供平臺固件保護恢復(PFR)機制。多年來,硬件公司一直在服務器和其他關鍵設備中使用這些功能,并且它們也逐步用于ORAN相關的硬件。此外,可以使用硬件可信根確保器件從制造到交付和安裝期間沒有遭到任何篡改,從而在整個供應鏈環節避免克隆、偽造、木馬植入或任何其他問題。最后,由于這些低功耗FPGA自帶加密功能,可以加密和解密進出固件的數據,再次確保了安全執行固件更新。
安全鏈路的下一步是與硬件中可能連接到主機CPU的任何組件進行安全的通信,或者更簡潔地說,是“保護線路(wire)”。在零信任安全模型下,每個組件都需要通過加密消息向主機系統確認其真實性。這就是全新的萊迪思ORAN?解決方案集合發揮作用的地方,它可以通過PCI和其他總線提供安全通信,來連接主機和這些組件。與萊迪思其他的解決方案集合產品一樣,萊迪思ORAN是一個全面的解決方案,包括了定制設計服務、參考設計和演示、軟件工具、IP核和硬件平臺,還針對小型低功耗FPGA進行了優化。該產品旨在便捷地集成到多種硬件設計中,它包括一個可編程的RISC CPU核心,可以實現各種加密和安全通信協議。此外,它在設計上與Lattice Sentry解決方案集合兼容,擴展了所使用的器件的安全特性。
同步數據
除了保護ORAN解決方案中的硬件外,還須確保各個組件發送數據的時間保持同步。正如之前所討論過的,核心網絡組件的解聚合決定了數據同步會是一個擔憂。尤其是無線單元(RU)和分布式單元(DU)的拆分帶來了新的挑戰。對于傳統的封閉網絡,模擬無線信號在無線組件的天線處接收,然后轉換為數字形式。之后對數據執行幾個實時數字信號處理步驟,從而實現現代蜂窩網絡必不可或缺的一些功能,例如載波聚合——將接受到的不同頻率的信號綁定到單個“聚合”的數字數據模塊中。在ORAN環境中,也需要執行類似的步驟。
之前的專有系統有一個共享時鐘信號來協調這些工作,在ORAN環境中則需要使用IEE1588標準對數據包進行時間戳記,以便它們跨組件同步。
由于FPGA以并行一致的方式運行,它們已在許多不同的應用中充當可靠的時序資源。因此,它們非常適合ORAN網絡架構的同步需求,特別是在RU和DU功能拆分的方案中。萊迪思計劃在今年擴展ORAN解決方案,納入此類基于時序的功能。此外萊迪思還將添加定時和同步服務功能,通過標準的eCPRI(增強型通用公共無線接口)鏈路在RU和DU之間建立前傳連接。
此外,由于該連接未受保護,萊迪思還打算加速實現MACsec功能,便于在該連接上加密和解密以太網數據包。然而,與多年來在傳統網絡設備中使用的大型FPGA不同,實現ORAN解決方案的萊迪思FPGA是小型、低功耗器件,非常適合多種類型的應用,包括對功耗敏感的小型蜂窩應用 ,這是現代5G網絡中越來越重要的一部分應用。
結論和建議
過去幾十年中正如我們在數據中心和云計算架構所見證的那樣,蜂窩網絡正在從專有硬件驅動轉變為由軟件驅動、虛擬化、容器化和標準化的API定義,它們將釋放新的潛力。企業也在尋求這些新型架構所帶來的靈活性、速度和多樣化的選擇,努力讓蜂窩網絡更具功能性和適應性。隨著5G的興起,電信公司的愿景是從簡單的管道供應商轉變為更加全面且盈利更強的服務供應商,根據不同行業和不同類型消費者的獨特需求提供定制服務。
這樣的轉變并不容易,也很難快速進行;還需要解決許多關鍵問題,才能確保他們在實現這些新目標的同時仍然保持當前可靠的運行狀態。其中的關鍵是需要保護器件、跨組件的互連和數據。尤其是必須保護傳輸中、使用中和靜態的數據,讓這些更靈活的架構可以像它們所取代的專有架構一樣安全。
想要獲得進行這種轉變所需要的信任度,就需要關注最微小的細節并確保解決方案的所有方面都滿足要求。建立在小型、低功耗FPGA上的完善的安全解決方案在實現該目標時可以發揮關鍵作用,盡管這一點不太為人所知。重點就是確保網絡設計人員充分考慮構建解決方案所需的所有組件,在為電信公司提供其所需的靈活性的同時,為他們帶來安全性、同步和低功耗加速。
