使用經(jīng)過(guò)驗(yàn)證的CXL IDE構(gòu)建安全芯片

歡迎來(lái)到安全流量的美妙而神秘的世界，CXL 是采用它的最新規(guī)范。隨著對(duì)高性能數(shù)據(jù)中心的攻擊變得越來(lái)越復(fù)雜，安全標(biāo)準(zhǔn)必須不斷適應(yīng)，以更好地保護(hù)敏感數(shù)據(jù)和通信，并最終保護(hù)我們的互聯(lián)世界。為此，CXL 標(biāo)準(zhǔn)組織在 CXL 2.0 規(guī)范中添加了完整性和數(shù)據(jù)加密 （IDE） 的安全要求。

CXL 2.0規(guī)范為 CXL.io 和CXL.cache/CXL.mem協(xié)議引入了IDE原理圖。CXL.io 途徑使用 PCIe 規(guī)范定義的 IDE，而 CXL.cache/CXL.mem 相關(guān)更新在 CXL 2.0 規(guī)范中引入。在本博客中，我們將概述安全設(shè)置的外觀以及 CXL 采用的安全策略。

CXL IDE 可用于使用 TEE（可信執(zhí)行環(huán)境）保護(hù)流量。TEE是一個(gè)隔離和安全的環(huán)境，用于存儲(chǔ)和處理敏感數(shù)據(jù)。TEE 對(duì) IDE 執(zhí)行身份驗(yàn)證和密鑰管理。

IDE 為 CXL.io 的事務(wù)層數(shù)據(jù)包 （TLP） 和 CXL.cache/CXL.mem 協(xié)議的數(shù)據(jù)鏈路層協(xié)議 Flits 提供機(jī)密性、完整性和重放保護(hù)，確保網(wǎng)絡(luò)上的數(shù)據(jù)不受數(shù)據(jù)包的觀察、篡改、刪除、插入和重放。CXL.io 和CXL.cache/mem IDE都基于AES-GCM加密算法，并從身份驗(yàn)證和密鑰管理安全組件（包括TEE）接收密鑰。

使用 TEE 時(shí)，CXL IDE 通過(guò)使用對(duì)稱(chēng)加密密鑰（CXL 為 AES GCM 選擇 256 位密鑰長(zhǎng)度）來(lái)保護(hù)物理鏈路上兩個(gè)設(shè)備之間交換的事務(wù)（數(shù)據(jù)和元數(shù)據(jù)）。

TEE 中的每個(gè)安全組件都實(shí)現(xiàn)一個(gè) TCB（可信計(jì)算庫(kù)），該庫(kù)具有針對(duì)硬件、固件、軟件以及用于實(shí)施安全策略的任意組合的保護(hù)機(jī)制。對(duì)于 CXL，TCB 包括：

實(shí)現(xiàn)加密算法的硬件塊

配置加密引擎的模塊（用于 CXL 的 AES-GCM，在即將發(fā)布的博客中詳細(xì)介紹）

與上述兩個(gè)塊直接或間接通信的任何其他塊

Synopsys 最近宣布推出業(yè)界首款安全模塊，用于保護(hù)使用 CXL 2.0 協(xié)議的高性能計(jì)算 SoC 中的數(shù)據(jù)。適用于 CXL 2.0 的 DesignWare? IDE 安全模塊 IP 已在超大規(guī)模云提供商處部署。強(qiáng)大的 IDE 安全模塊使設(shè)計(jì)人員能夠更快、更輕松地防止鏈路上的數(shù)據(jù)篡改和物理攻擊，同時(shí)遵守最新版本的互連協(xié)議。IDE 安全模塊使用 DesignWare 控制器 IP for CXL 進(jìn)行設(shè)計(jì)和驗(yàn)證，可加快 SoC 的上市時(shí)間，同時(shí)提供適應(yīng)設(shè)計(jì)特定用例所需的可配置性。

驗(yàn)證 IDE 功能的互操作性

為了驗(yàn)證 IDE 功能的互操作性，Synopsys VIP 支持 CXL.cache-mem IDE 開(kāi)箱即用，如 CXL 11.2 規(guī)范第 0 章和 IDE 鏈路建立中所述。VIP 具有各種控件，允許用戶(hù)調(diào)整 VIP 行為的功能，例如：

TX 和 RX 鍵編程（包括運(yùn)行時(shí)鍵刷新）

TX 和 RX 截?cái)嘌舆t

帶/不帶PCRC的密閉和撬塊聚合模式

密鑰刷新時(shí)間

安全的<>不安全的流程

用于 Rx 錯(cuò)誤狀態(tài)寄存器驗(yàn)證的錯(cuò)誤插入功能

CXL 緩存/內(nèi)存 IDE 合規(guī)性測(cè)試，用于 CXL 設(shè)備 DUT 的互操作性測(cè)試。

特定于 IDE 的調(diào)試和日志記錄

AES-GCM加密引擎需要3個(gè)輸入（AAD，P，PText），這是加密引擎的VIPsTX和RX路徑輸出的片段。以下是示例流量和 MAC 的 IDE 特定 Flit 格式 （H6） 的代碼段。

AES GCM 數(shù)據(jù)流：

H6 閃光：

審核編輯：郭婷