內建安全性釋放 5G 優勢

July 15, 2021

Brandon Lewis

5G 網路

自從行動數據服務問世以來，無線電存取網路（RAN）一直是無線通訊的神經系統，至今未曾改變。從無線電存取網路發展史來看，Ericsson、Nokia 和 Cisco 少數幾個網路設備供應商（NEP），已經為這類網路普及趨勢建立了大量完整的解決方案，涵蓋層面從路由設備到安全性應用裝置。

安全技術尤其已經與 RAN 架構緊密整合，其中包含連網設備、安全閘道和防火牆內建專屬對策這類解決方案。經證實，目前為止這類安全性大致上足以因應 RAN 部署所需，但是網路透過 OpenRAN 這類多供應商生態系統所需要的效能和靈活度越來越高，這些實務非改變不可。

從純商業角度來看，RAN 設備的專屬性質是此等改變的主要驅動因素。不過遺憾的是，相較於較開放的市場，受限的供應商生態系統成本較高，而且透過單一來源解決方案獲得高利潤的 RAN 供應商之間，互通性微乎其微。

5G 與 OpenRAN

未來 RAN 發展的目標之一，就是儘可能利用常見的現成硬體解決這些難題。隨著邊緣網路移轉至 5G 改良的處理量與延遲，OpenRAN 這類方案可為 RAN 部署提供全新的軟體導向策略，改善網路靈活度、互通性，並且降低成本。

OpenRAN 有多個版本，包括 5G New Radio (5G NR) 專案專用的版本，其中以 Telecom Infra Project（圖 1）管理的廣泛型方案與本文的討論相關性最高。OpenRAN 的這個想法設法「根據一般用途的供應商中立型硬體、開放式介面與軟體，定義及建置 2G、3G、4G 和 5G RAN 解決方案」，而且所有種類的連網設備全都適用。

OpenRAN 網路示意圖與情境 — **圖 1**。OpenRAN 方案將開放式的一般用途連網硬體，分布在無線電存取網路。（資料來源：Telecom Infra Project）

顯然 OpenRAN 準備為邊緣締造 SDN 與 NFV 帶給網路/資料中心的優勢，前提是以它為基礎的網路，在多個供應商旗下的解決方案都能安全無虞。

開放卻安全

解構網路基礎架構以及開放傳統的 RAN 模式，確實引發了關於如何保護這些部署的疑慮。相較於過去，OpenRAN 網路的安全性，必須包含延伸至多家供應商旗下設備的信任鏈。在許多情況下，這包含同一個基地台不同供應商旗下的硬體。

第 3 代 Intel^® Xeon^® 可擴充處理器（舊稱 Ice Lake SP）這類平台，整合了各式各樣的功能，可以保護開放式網路免受不確定性的影響。這類功能包括辨識其他網路實體值得信賴與否、控制在 RAN 基礎架構安全部署資料與工作負載的位置，以及抵禦進階惡意軟體。

處理器透過從矽晶片聯繫應用程式層和網路本身的多層安全性堆疊，實現了這項目標：

Intel^® Total Memory Encryption (Intel^® TME) 保護裝置的實體記憶體，包括儲存於記憶體的任何資料，例如平台韌體和軟體配置的安全金鑰。
Intel^® Platform Firmware Resilience (Intel^® PFR) 利用整合式 Intel^® MAX 10 FPGA，監測系統匯流排是否有惡意流量，並且在執行前先驗證韌體的完整性。
Intel^® Software Guard Extensions (Intel^® SGX) 利用硬體輔助的機密性與完整性機制，將應用程式程式碼與資料，分割為最高達 1 TB 的安全記憶體指定位址空間。完成之後，即使是權限更高的程序或不受信賴的作業系統也無法存取或修改它。
Multi-Buffer 與 Function Stitching 這類新穎的技術，在第 3 代 Intel Xeon 可擴充處理器結合其他硬體與軟體創新技術，讓密碼編譯演算法執行效能比起前一代微架構，改善了 8 倍。

利用安全的基礎革新 RAN

Axiomtek 這間 IPC 與內嵌系統的設計及製造公司旗下的 NA870 Rackmount Network Appliance Platform（圖 2），兼具以上所有措施。應用裝置搭載雙第 3 代 Xeon 可擴充處理器，CPU 核心最高可達 40 個，上述所有安全機制一應俱全。這套系統還包含值得信賴的平台模組 2.0 安全晶片，進一步延伸 Intel 安全性技術提供的完整性。