在计算方面,隐私和安全一直是一个令人担忧的问题。 在过去的几十年里,对于大多数人来说,这意味着保护密码并锁定计算机。 然而,如今越来越多的用户将敏感数据存储在云中,需要在静态和移动时对其进行保护。 在 Synopsys 网络研讨会上,安全 IP 高级营销经理 Dana Neustadter 引用了 Skyhigh Networks 的数据,该数据显示上传到文件共享服务的文件中多达 21% 包含敏感数据,例如医疗、财务或个人信息。
虽然我们都认为数据中心和相关基础设施是安全的,但如果您曾经观看过“渗透测试人员”的视频,您就会发现不良行为者物理访问某些站点是多么容易。 如果您想观看这些视频之一,请在 Youtube 上搜索“pen tester”。 幸运的是,业界正在通过向 PCIe 和 CXL(Computer eXpress Link)等规范添加安全性来应对这一问题。 这些新增内容对于满足新法律法规的要求大有帮助,这些法律法规对存在敏感数据的系统安全性提出了要求。
当然,PCIe 和 CXL 中动态数据的安全性取决于 SOC 内适当的芯片安全性。 可信执行环境应通过硬件安全模块 (HSM) 提供开机、运行时和关机安全性。 PCIe 和 CXL 安全性的真正关键是添加完整性和数据加密 (IDE) 组件。 在 Synopsys 网络研讨会中,Dana 全面描述了 IDE 的功能和操作以及身份验证和密钥管理。 PCIe 5.0/6.0 和 CXL 2.0/3.0 规范需要这种附加功能来提供更高的安全性。
IDE 旨在位于 PCIe 事务层内。 这是设计的一个关键方面,因为虽然增加的安全性是一项基本要求,但它需要对延迟和性能的影响最小。 目前,规范允许 IDE 处理 TLP 流。 FLIT 模式将包含在 PCIe 6.0 版本中。 数据包受具有 256 位密钥和 96 位 MAC 标签的 AES-GCM 保护。 理想情况下,添加的 IDE 应该是即插即用的,Synopsys PCIe IDE 和控制器 IP 就是这种情况。 另一个重要因素是FIPS 140-3认证在行业中变得越来越重要,应该通过认证测试模式来支持。
CXL 操作和支持与 PCIe 相同。 当包含 IDE 时,Dana 包含 PCIe 和 CXL 的流程。 当然,CXL 由于支持三种类型的协议而存在一些差异。 CXL IDE 的 IP 需要包括遏制和滑动模式,以及运行 CXL.cache/mem 时 PCRC 的附加内容。 Dana 还讨论了设计中可以运行的大量流的密钥管理的细节。
本次网络研讨会内容全面,讨论了云应用程序中 PCIe 和 CXL 安全性的需求和要求。 它还深入介绍了 Synopsys DesignWare IP 支持的组件、架构和相关标准。 在网络研讨会即将结束时,Dana 展示了如何主要利用 Synopsys 提供的 IP 构建用于人工智能或网络的几种不同的 SOC。 该网络研讨会可在 新思科技网站。
通过以下方式分享此帖子: 来源:https://semiwiki.com/eda/306500-identity-and-data-encryption-for-pcie-and-cxl-security/
