隨著針對(duì)高速網(wǎng)絡(luò)的攻擊成倍增加，從邊緣到云端，以網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露形式出現(xiàn)的安全挑戰(zhàn)空前嚴(yán)峻。不僅大量數(shù)據(jù)面臨著安全風(fēng)險(xiǎn)，包括重要物理基礎(chǔ)設(shè)施在內(nèi)的物理資源同樣也面臨著風(fēng)險(xiǎn)。加密和身份驗(yàn)證是抵御上述攻擊的有效措施。英特爾 Agilex 7 FPGA 家族的多個(gè)成員（AGF 023/AGF 019 和 AGI 041/AGI 040/AGI 035/AGI 023/ AGI 019）采用高性能加密模塊與 MACsec 軟核 IP 配對(duì)，有助于降低風(fēng)險(xiǎn)，控制網(wǎng)絡(luò)攻擊的影響。

網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露：癥結(jié)所在

據(jù)面向首席安全官的在線出版物 CSO 近期估計(jì)，在 21 世紀(jì) 15 起最大的數(shù)據(jù)泄露事件中，僅前兩起事件就有大約 35 億人的個(gè)人數(shù)據(jù)被盜1 。數(shù)據(jù)泄露涉及的對(duì)象不乏 Adobe、 eBay、Equifax、LinkedIn、萬(wàn)豪國(guó)際、麥當(dāng)勞和大眾汽車這些全球性大企業(yè)和大品牌的數(shù)據(jù)庫(kù)。即使是列入 CSO 榜單的最小事件也牽涉到 1.34 億人的個(gè)人數(shù)據(jù)被盜。

面臨網(wǎng)絡(luò)攻擊威脅的不僅僅是數(shù)據(jù)，實(shí)物資產(chǎn)同樣未能幸免。舉個(gè)例子，因 IT 網(wǎng)絡(luò)遭遇勒索軟件攻擊，科洛尼爾管道運(yùn)輸公司 (Colonial Pipeline) 被迫切斷其 IT 和 OT （Operational Technology，運(yùn)營(yíng)技術(shù)）網(wǎng)絡(luò)之間的連接，以防止事態(tài)擴(kuò)大。此舉導(dǎo)致該公司在 2021 年 5 月不得不將其 5,500 英里的運(yùn)輸管道關(guān)閉了數(shù)日。科洛尼爾的運(yùn)輸管道承擔(dān)著向美國(guó)東部供應(yīng)大量燃料的重要作用，管道的關(guān)閉引發(fā)市民恐慌性搶購(gòu)汽油，一度導(dǎo)致汽油短缺。

毫不夸張地說(shuō)，網(wǎng)絡(luò)攻擊已經(jīng)發(fā)展到了“流行病”的程度。數(shù)據(jù)加密和身份驗(yàn)證可以顯著降低這些網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)和影響。一些有助于降低風(fēng)險(xiǎn)的加密和身份驗(yàn)證方法包括：

保護(hù)所有往返云端（網(wǎng)絡(luò)）的數(shù)據(jù)

保護(hù)所有應(yīng)用之間和微服務(wù)之間發(fā)送的數(shù)據(jù)

保護(hù)所有實(shí)時(shí)數(shù)據(jù)以及存儲(chǔ)在云端和數(shù)據(jù)中心的備份數(shù)據(jù)庫(kù)

保護(hù)所有通過(guò)蜂窩基站和 5G 網(wǎng)絡(luò)基站傳輸?shù)臄?shù)據(jù)

隨著網(wǎng)絡(luò)數(shù)據(jù)傳輸速率不斷攀升，額外產(chǎn)生的加密開銷卻因?qū)е聲r(shí)延增加和可用帶寬減少而讓問(wèn)題變得更棘手。因此，行業(yè)迫切需要能夠盡量減少這種額外開銷的解決方案。理想情況下，身份驗(yàn)證和加密功能會(huì)集成到數(shù)據(jù)中心、云網(wǎng)絡(luò)和存儲(chǔ)系統(tǒng)基礎(chǔ)設(shè)施中，這樣一來(lái)，就可以自動(dòng)添加這種保護(hù)，而不是選擇性添加。

數(shù)據(jù)加密和網(wǎng)絡(luò)接入控制

加密是保護(hù)數(shù)據(jù)不受安全威脅的第一步。得到妥善加密的數(shù)據(jù)即便被成功竊取，只要網(wǎng)絡(luò)攻擊者沒(méi)有加密密鑰，這些數(shù)據(jù)對(duì)他們而言就毫無(wú)用處。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 2001 年制定的高級(jí)加密標(biāo)準(zhǔn) (AES) 已成為全球公認(rèn)的數(shù)據(jù)加密標(biāo)準(zhǔn)。據(jù)該研究院稱，AES 目前的保護(hù)范圍覆蓋了從密級(jí)數(shù)據(jù)和銀行交易到線上 購(gòu)物和社交媒體應(yīng)用在內(nèi)的各種場(chǎng)景2。

確保安全的下一步措施是禁止未經(jīng)授權(quán)的實(shí)體訪問(wèn)網(wǎng)絡(luò)和數(shù)據(jù)。媒體接入控制安全協(xié)議（MACsec，IEEE 標(biāo)準(zhǔn) 802.1AE）為以太網(wǎng)鏈路提供點(diǎn)對(duì)點(diǎn)安全性。MACsec 可以識(shí)別并阻止拒絕服務(wù)、入侵、中間人攻擊、偽裝攻擊、被動(dòng)竊聽(tīng)和回放攻擊等大多數(shù)安全威脅，能夠保護(hù)幾乎所有網(wǎng)絡(luò)流量的以太網(wǎng)鏈路，包括來(lái)自鏈路層發(fā)現(xiàn)協(xié)議 (LLDP)、鏈路匯聚控制協(xié)議(LACP)、動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 和地址解析協(xié)議 (ARP) 等多個(gè)協(xié)議的幀。

安全和加密用例

隨著網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的威脅不斷增加，安全加密通信的用例也日漸豐富。以下是全新英特爾 Agilex FPGA 直接支持的三個(gè)此類用例：

OvS：Open vSwitch (OvS) 是一種具備量產(chǎn)級(jí)質(zhì)量的多層虛擬交換機(jī)，用于在數(shù)據(jù)中心的虛擬機(jī) (VM) 之間路由網(wǎng)絡(luò)數(shù)據(jù)包。連接數(shù)據(jù)中心內(nèi)部和多個(gè)數(shù)據(jù)中心之間各部分的龐大網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越需要借助安全加密連接來(lái)防止網(wǎng)絡(luò)攻擊。在虛擬機(jī)之間路由數(shù)據(jù)包的 OvS 開源網(wǎng)絡(luò)堆?？梢宰鳛檐浖?CPU 上運(yùn)行，也可以在硬件中實(shí)現(xiàn)。最初，數(shù)據(jù)中心架構(gòu)師僅在數(shù)據(jù)中心之間部署安全網(wǎng)關(guān)，這是因?yàn)槿藗冋J(rèn)為數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)通信在物理上是安全的。但隨著虛擬機(jī)和微服務(wù)的出現(xiàn)和普及，現(xiàn)在所有網(wǎng)絡(luò)通信都可能存在安全風(fēng)險(xiǎn)，因此，整個(gè)云網(wǎng)絡(luò)中使用安全加密通信的情況越來(lái)越多。加密技術(shù)的廣泛使用，以及網(wǎng)絡(luò)線速的不斷提升，導(dǎo)致加密成為一個(gè)頗為棘手的通信瓶頸。而采用設(shè)計(jì)合理的 SmartNIC 和基礎(chǔ) 設(shè)施處理單元 (IPU) 在云和數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)施中建立硬件加密支持，可以從服務(wù)器 CPU 卸載加解密任務(wù)，進(jìn)而消除這一瓶頸。

面向5G網(wǎng)絡(luò)的MACsec：在3GPP術(shù)語(yǔ)中，Evolved Node B（演進(jìn)型 Node B，eNB）指 5G 網(wǎng)絡(luò)中的小基站。這些小基站使用 IPsec 安全協(xié)議與更廣泛的 5G 網(wǎng)絡(luò)進(jìn)行通信。隨著基站設(shè)計(jì)向虛擬無(wú)線接入網(wǎng) (vRAN) 遷移，部分基站相關(guān)的 數(shù)字處理操作會(huì)轉(zhuǎn)移到射頻頭 (RU)，RU 再通過(guò)未受保護(hù)的 CPRI 接口與其余的基站硬件進(jìn)行通信。要將部分?jǐn)?shù)字處理操作轉(zhuǎn)移到 RU，RU 硬件必須支持?jǐn)?shù)據(jù)加解密。保護(hù)這些 RU 通信的一種方法是通過(guò) RU 設(shè)計(jì)固有的 CPRI 接口使用 MACsec 協(xié)議。

網(wǎng)絡(luò)存儲(chǔ)：如果網(wǎng)絡(luò)存儲(chǔ)僅限于一個(gè)數(shù)據(jù)中心，那么存儲(chǔ)通信在物理上是安全的。然而，隨著面向網(wǎng)絡(luò)存儲(chǔ)的 NVMe over Fabrics 協(xié)議應(yīng)用得越來(lái)越廣，存儲(chǔ)子系統(tǒng)可以位于世界上任何地方的任何數(shù)據(jù)中心。因此，網(wǎng)絡(luò)存儲(chǔ)通信如今需要安全的加密保護(hù)，因?yàn)榕c存儲(chǔ)子系統(tǒng)的通信不再局限于一個(gè)物理上安全的數(shù)據(jù)中心。添加這種加密保護(hù)時(shí)產(chǎn)生的開銷一定不要使時(shí)延或帶寬壓力增加太多，這樣就不會(huì)出現(xiàn)違反服務(wù)級(jí)別協(xié)議 (SLA) 的情況。實(shí)際上，實(shí)施加密安全措施必須做到增加的時(shí)延可忽略不計(jì)，并且不得降低網(wǎng)絡(luò)存儲(chǔ)通信的線速帶寬。

顛覆性產(chǎn)品：
英特爾 Agilex 7 FPGA 和 SoC

英特爾Agilex 7 FPGA 和 SoC 兼具出色的性能、每瓦性能、靈活性和敏捷性，可更好滿足日益以數(shù)據(jù)為中心的世界的需求。它們結(jié)合英特爾在多個(gè)技術(shù)優(yōu)勢(shì)領(lǐng)域的數(shù)項(xiàng)創(chuàng)新，為邊緣、整個(gè)網(wǎng)絡(luò)、數(shù)據(jù)中心和云的終端產(chǎn)品開發(fā)帶來(lái)重要價(jià)值。

這些設(shè)備使用英特爾 嵌入式多芯片互連橋接 (EMIB) 技術(shù)和先進(jìn)的 3D 封裝技術(shù)，將采用英特爾 10 納米 SuperFin 制程工藝制造的高性能 FPGA 內(nèi)核芯片與針對(duì)特定功能各異的通用 Tile （小芯片）結(jié)合在一起。Tile 具備額外的 I/O 功能，包括速度很快的高帶寬內(nèi)存 (HBM) DRAM 以及 PCIe 4.0、PCIe 5.0、CXL 和 116 Gbps 串行收發(fā)器端口，以連接到各種主機(jī)處理器，如全新 第四代英特爾 至強(qiáng) 可擴(kuò)展處理器。這種用于開發(fā) FPGA 和 SoC 的設(shè)計(jì)和生產(chǎn)方法，使英特爾能夠利用量身定制的靈活解決方案快速滿足廣泛的應(yīng)用需求。

面向 200G 和 400G 以太網(wǎng)的

加解密硬核支持

英特爾正為英特爾 Agilex 7 FPGA 和 SoC 家族增添新成員，這些產(chǎn)品采用高性能加密模塊和 MACsec 軟核 IP，能夠同時(shí)以線速支持經(jīng)過(guò)身份驗(yàn)證和加密保護(hù)的兩個(gè)雙向 200G 以太網(wǎng)端口或兩個(gè)單向 400G 以太網(wǎng)端口。這些英特爾 FPGA 和 SoC 針對(duì)IPU、SmartNIC 和 5G 無(wú)線網(wǎng)絡(luò)設(shè)備設(shè)計(jì)進(jìn)行了優(yōu)化。具備加解密硬核支持的英特爾 Agilex 7 FPGA 和 SoC 家族產(chǎn)品為：

英特爾 Agilex FPGA F 系列 AGF 019 和 AGF 023 設(shè)備， 它們具備面向數(shù)據(jù)中心、網(wǎng)絡(luò)和邊緣計(jì)算應(yīng)用優(yōu)化的高級(jí) 數(shù)字信號(hào)處理 (DSP) 功能

英特爾 Agilex FPGA I 系列 AGI 019 和 AGI 023 設(shè)備， 它們已面向需要 PCIe 5.0 處理器接口和 116 Gbps 收發(fā)器的 帶寬密集型應(yīng)用進(jìn)行了優(yōu)化

英特爾 Agilex FPGA I 系列 AGI 041 設(shè)備，支持 400 GbE 和 116 Gbps 收發(fā)器，并面向需要增強(qiáng)功能的多主機(jī) PCIe 5.0 以及 CXL 的 400G IPU 和帶寬密集型應(yīng)用進(jìn)行了優(yōu)化

英特爾 Agilex FPGA I 系列 AGI 035 和 AGI 040 設(shè)備， 它們已面向需要大量網(wǎng)絡(luò) I/O 的應(yīng)用進(jìn)行了優(yōu)化

表 1 所示為具有高性能硬核加密模塊的英特爾 Agilex 7 FPGA 和 SoC 家族產(chǎn)品。有關(guān)這些產(chǎn)品更詳細(xì)的信息，請(qǐng)見(jiàn)英特爾Agilex 7 FPGA 和 SoC FPGA3 網(wǎng)頁(yè)。

全新英特爾 Agilex FPGA 和 SoC 的先進(jìn)加密功能對(duì)于開發(fā)采用 100 GbE、200 GbE 和 400 GbE 端口的高性能 IPU 和 SmartNIC 以及安全的 5G 無(wú)線網(wǎng)絡(luò)設(shè)備至關(guān)重要。這些設(shè)備的內(nèi)存資源已針對(duì)目標(biāo)應(yīng)用進(jìn)行了調(diào)優(yōu)，這有助于降低功耗，與具有類似邏輯元件密度的其他英特爾 Agilex 設(shè)備相比，能以更小的封裝形式提供。值得一提的是，F(xiàn)PGA 的可重新配置性使這些應(yīng)用的開發(fā)者能夠更新自身的產(chǎn)品，以利用硬件加速措施應(yīng)對(duì)新的安全威脅，即使這些應(yīng)用已經(jīng)部署到現(xiàn)場(chǎng)，也可以做到。

表 1. 具有硬核加密模塊的英特爾Agilex 7 FPGA 和 SoC設(shè)備概述請(qǐng)見(jiàn)英特爾 Agilex 7 FPGA 和 SoC 設(shè)備概述網(wǎng)頁(yè)4

例如，英特爾 基礎(chǔ)設(shè)施處理單元（Intel Infrastructure Processing Unit，英特爾 IPU）平臺(tái) F2000X-PL 利用 英特爾 Agilex FPGA AGF 023 實(shí)現(xiàn)基于 FPGA 的高 性能云基礎(chǔ)設(shè)施加速平臺(tái)，該平臺(tái)具有 2 個(gè) 100 GbE 網(wǎng)絡(luò)接口和硬件加密模塊，能以線速實(shí)現(xiàn)安全防護(hù)。它能夠 支持云基礎(chǔ)設(shè)施工作負(fù)載，例如 Open vSwitch、NVMe Over Fabrics (NVMe-oF) 和 RDMA over Converged Ethernet v2 (RoCEv2)。更多信息請(qǐng)見(jiàn)英特爾基礎(chǔ)設(shè)施處理單元平臺(tái) F2000X-PL 5網(wǎng)頁(yè)。

有助于優(yōu)化 TCO 的

英特爾 eASIC 設(shè)備

英特爾 Agilex FPGA 的可編程邏輯結(jié)構(gòu)還能讓開發(fā)人員對(duì)快速變化的標(biāo)準(zhǔn)和不斷演進(jìn)的協(xié)議及時(shí)作出響應(yīng)，包括系統(tǒng)部署到現(xiàn)場(chǎng)后的更新。

除此之外，英特爾還提供英特爾 eASIC 設(shè)備。英特爾 eASIC 設(shè)備屬于結(jié)構(gòu)化 ASIC，這是一種介于 FPGA 和標(biāo)準(zhǔn)單元 ASIC 二者之間的中間技術(shù)。與 FPGA 相比， 這些設(shè)備的單位成本和功耗更低；與標(biāo)準(zhǔn)單元 ASIC 相比，它們的上市時(shí)間 (TTM) 更快、一次性成本投入 (NRE) 更低。一旦基于英特爾 Agilex 7 FPGA 的設(shè)計(jì)得到驗(yàn)證，該設(shè)計(jì)就可以被固化然后置入成本和功耗更低的英特爾 eASIC 設(shè)備（圖 2）。

具體來(lái)說(shuō)，對(duì)于 IPU 和 SmartNIC 應(yīng)用，英特爾 eASIC N5X080 設(shè)備具備以下特性：

877萬(wàn)個(gè) eCell/邏輯元件、按照客戶要求定制的封裝

8MB Mega SRAM、高達(dá) 229 Mb 的 bRAM 10K 嵌入式 內(nèi)存，加上高達(dá) 20 Mb 的寄存器文件內(nèi)存

支持 64 路 SerDes (NRZ) 收發(fā)器，速率范圍是 250 Mbps 至 32.44 Gbps

8路支持高達(dá) 53 Gbps 傳輸速率的 SerDes (PAM4) 收發(fā)器

8個(gè)硬核 PCIe 5.0 控制器，支持 x8 和 x4 配置

2個(gè)可連接至 8 個(gè) 53G SerDes 收發(fā)器的硬核 200G 以太網(wǎng) MAC*

注*：硬核控制器采用旁路模式支持其他 SerDes 通道協(xié)議。

審核編輯：湯梓紅