础滨驱动的设计应用
Synopsys 安全 IP 高级产物营销经理 Dana Neustadter
随着越来越多的设备进入市场并推动云数据的指数级增长,云计算正在经历一场重大变革。随着大数据和分析领域的“超大规模”云提供商的不断增加、用于快速 IoT 连接的 5G 的普及以及用于原始数据处理和涵义提取的 AI 的广泛使用,联网数据量剧增并且数据漏洞变得更加严重。
为了跟上数据的快速增长,设计人员正在推动接口和存储技术的创新,以支持容量和性能的增长,并满足更多的加速集成和新的计算架构。诸如 PCI Express? (PCIe?) 5.0/6.0 和 Compute Express Link? (CXL?) 2.0 之"类的高速接口正在激增:
系统架构师如何保护包含机密、敏感或关键信息的云数据(这些信息可能被攻击者破坏、替换、修改或窃取)? I/O 互连需要从设计之"初就实现安全性。在安全措施有限的情况下,攻击者的目标可能是从窃取的机密中获利,干扰目标公司的运作,或阻挠政府机构。黑客攻击的类型具有各种不同的性质,而且还在不断发展,比如通过 PCIe 连接的恶意外设发起的攻击,或者通过访问其他进程的内存来窃取机密和/或篡改代码执行的根访问攻击。
此外,行业还面临越来越多的法律法规,例如:
随着攻击变得越来越复杂,安全标准必须不断调整,以更好地保护敏感数据和通信,并最终保护我们的互联世界。为此,PCI-SIG 和 CXL 标准组织在 2020 年末将完整性和数据加密等安全要求添加到 PCIe 5.0 和 CXL 2.0 规范中。预计下一代 PCIe 6.0 和 CXL 3.0 互连还将继续采用安全功能。
PCI 和 CXL 接口的安全功能包含两个主要组成部分:1) 认证和密钥管理,以及 2) 完整性和数据加密 (IDE),如图 1 所示。
图 1:PCIe 和 CXL 安全功能系统级视图
认证和密钥管理包括认证、鉴权、测量、识别和密钥交换等功能,所有功能都在可信的执行环境/安全模块中运行。
认证和密钥管理的主要参考标准是由分布式管理任务组 (DMTF) 管理的安全协议和数据模块 (SPDM)。SPDM 定义了用于通过各种传输和物理介质在设备之"间执行交换的消息、数据对象和序列,并支持对安全功能的高效访问和操作。消息交换的描述包括硬件的认证和固件身份的测量。
PCI-SIG 引入了两个用于认证和密钥管理的工程变更通知 (ECN):
IDE 为 PCIe 的事务层数据包 (TLP) 和 CXL 的流量控制单元 (FLIT) 提供保密性、完整性和重放保护,确保线路上的数据不会被观察、篡改、删除、插入和重放。IDE 基于 AES-GCM 加密算法,并从认证和密钥管理安全组件接收密钥。
在寻找具有安全功能的 PCIe 和 CXL 解决方案时,重要的是要考虑从值得信任的 IP 提供商获得优化的解决方案,这些解决方案提供最高的性能、最低的延迟和最佳面积,符合最新的标准,并得到专家的支持。
Synopsys 最近发布了业界首款安全模块,用于保护使用 PCIe 5.0 或 CXL 2.0 协议的高性能计算片上系统 (SoC) 中的数据。用于 PCIe 5.0 或 CXL 2.0 的 DesignWare? IDE 安全模块 IP 已随超大规模云提供商一起部署。稳定的 IDE 安全模块使设计人员可以更快、更轻松地防止链路上的数据篡改和物理攻击,同时遵守最新版本的互连协议。IDE 安全模块与 PCIe/CXL 的 DesignWare 控制器 IP 一同进行设计和验证,以缩短 SoC 的上市时间,同时提供所需的可配置性以满足设计的特定需求。
借助符合标准的即插即用型 DesignWare IDE 安全模块,设计人员可以利用以下优势:
图 2 描绘了用于 PCIe 5.0 的 DesignWare IDE 安全模块框图,以及通过 DesignWare PCIe 5.0 控制器 IP 进行的无缝预验证,为 SoC 设计人员提供完整的解决方案、低风险和快速上市时间。
图 2:DesignWare PCIe IDE 安全模块框图及与 DesignWare PCIe 控制器的集成
同样,图 3 描绘了用于 CXL 2.0 的 DesignWare IDE 安全模块框图,以及通过 DesignWare CXL 控制器进行的预验证。
图 3:DesignWare CXL IDE 安全模块框图及与 DesignWare CXL 控制器的集成
随着我们互联世界中数据的巨大增长,在跨系统(包括通过 PCIe 和 CXL 等高性能互联接口)传输数据时,安全功能对于保护数据中的私人和敏感信息至关重要。Synopsys 在市场上具有独特的地位,它拥有符合标准的完整安全接口解决方案,符合最新的技术需求,使 SoC 设计人员能够以低风险和快速的上市时间快速实现所需的安全性。
除了 PCIe 和 CXL IDE 安全模块之"外,Synopsys 还提供一系列高度集成的安全 IP 解决方案,这些解决方案使用一套通用的基于标准的构建模块和安全概念,为移动设备、汽车、数字家庭、IoT 和云计算市场中的各类产物实现最高效的芯片设计和最高级别的安全性。
Synopsys 的高度可配置性安全 IP 解决方案包括可集成到片上系统 (SoC) 的信任根、内容保护、加密,以及安全协议加速器。这些集成解决方案实现了许多安全标准的核心内容,支持机密性、数据完整性、用户/系统认证、不可否认性以及授权。综合来看,Synopsys 的安全 IP 解决方案有助于防止连接的设备遭受各种威胁,例如盗窃、篡改、旁路通道攻击、恶意软件和数据泄露等。