在云计算中有效的保护PCIe和CXL中的数据

简介

随着越来越多的设备进入市场并推动云数据的指数级增长，云计算正在经历一场重大变革。随着大数据和分析领域的“超大规模”云提供商的不断增加、用于快速 IoT 连接的 5G 的普及以及用于原始数据处理和涵义提取的 AI 的广泛使用，联网数据量剧增并且数据漏洞变得更加严重。

为了跟上数据的快速增长，设计人员正在推动接口和存储技术的创新，以支持容量和性能的增长，并满足更多的加速集成和新的计算架构。诸如 PCI Express® (PCIe®) 5.0/6.0 和 Compute Express Link™ (CXL™) 2.0 之类的高速接口正在激增：

• 云计算系统更快的数据速率为 PCIe 5.0 和 PCIe 6.0 创造了应用需求，它们正在取代 PCIe 4.0 接口
• 存储/SSD 正在迁移到 PCIe 5.0/6.0 接口
• 通常需要高带宽设备和大量共享内存池的数据中心正在转向 CXL 2.0 接口

系统架构师如何保护包含机密、敏感或关键信息的云数据（这些信息可能被攻击者破坏、替换、修改或窃取）？ I/O 互连需要从设计之初就实现安全性。在安全措施有限的情况下，攻击者的目标可能是从窃取的机密中获利，干扰目标公司的运作，或阻挠政府机构。黑客攻击的类型具有各种不同的性质，而且还在不断发展，比如通过 PCIe 连接的恶意外设发起的攻击，或者通过访问其他进程的内存来窃取机密和/或篡改代码执行的根访问攻击。

此外，行业还面临越来越多的法律法规，例如：

• 欧洲的《通用数据保护条例》(GDPR) 规定，如果私人用户数据被泄露，将对公司处以高额罚款
• 美国的《健康保险流通和责任法案》(HIPAA) 规定了如何保护由医疗保健和医疗保险行业维护的个人身份信息 (PII) 免受欺诈和盗窃
• 《支付卡行业数据安全标准》及许多其他法规

随着攻击变得越来越复杂，安全标准必须不断调整，以更好地保护敏感数据和通信，并最终保护我们的互联世界。为此，PCI-SIG 和 CXL 标准组织在 2020 年末将完整性和数据加密等安全要求添加到 PCIe 5.0 和 CXL 2.0 规范中。预计下一代 PCIe 6.0 和 CXL 3.0 互连还将继续采用安全功能。

认证和密钥管理

认证和密钥管理包括认证、鉴权、测量、识别和密钥交换等功能，所有功能都在可信的执行环境/安全模块中运行。

认证和密钥管理的主要参考标准是由分布式管理任务组 (DMTF) 管理的安全协议和数据模块 (SPDM)。SPDM 定义了用于通过各种传输和物理介质在设备之间执行交换的消息、数据对象和序列，并支持对安全功能的高效访问和操作。消息交换的描述包括硬件的认证和固件身份的测量。

PCI-SIG 引入了两个用于认证和密钥管理的工程变更通知 (ECN)：

• 组件测量和认证 (CMA) 定义了 SPDM 如何应用于 PCIe/CXL 系统
• 数据对象交换 (DOE) 支持通过不同互连进行数据对象传输

完整性和数据加密 (IDE)

IDE 为 PCIe 的事务层数据包 (TLP) 和 CXL 的流量控制单元 (FLIT) 提供保密性、完整性和重放保护，确保线路上的数据不会被观察、篡改、删除、插入和重放。IDE 基于 AES-GCM 加密算法，并从认证和密钥管理安全组件接收密钥。

• 参考标准
  • PCI-SIG：PCIe IDE ECN
  • CXL 2.0：用于 CXL.cache/mem 协议的 IDE。CXL.io 协议引述 PCIe IDE ECN。

结语

随着我们互联世界中数据的巨大增长，在跨系统（包括通过 PCIe 和 CXL 等高性能互联接口）传输数据时，安全功能对于保护数据中的私人和敏感信息至关重要。Synopsys 在市场上具有独特的地位，它拥有符合标准的完整安全接口解决方案，符合最新的技术需求，使 SoC 设计人员能够以低风险和快速的上市时间快速实现所需的安全性。

除了 PCIe 和 CXL IDE 安全模块之外，Synopsys 还提供一系列高度集成的安全 IP 解决方案，这些解决方案使用一套通用的基于标准的构建模块和安全概念，为移动设备、汽车、数字家庭、IoT 和云计算市场中的各类产品实现最高效的芯片设计和最高级别的安全性。

Synopsys 的高度可配置性安全 IP 解决方案包括可集成到片上系统 (SoC) 的信任根、内容保护、加密，以及安全协议加速器。这些集成解决方案实现了许多安全标准的核心内容，支持机密性、数据完整性、用户/系统认证、不可否认性以及授权。综合来看，Synopsys 的安全 IP 解决方案有助于防止连接的设备遭受各种威胁，例如盗窃、篡改、旁路通道攻击、恶意软件和数据泄露等。