新型智算中心以太網(wǎng)物理層安全PHYSec架構白皮書

新型智算中心以太網(wǎng)物理層安全(PHYSec)架構白皮書發(fā)布單位：中移智庫編制單位：中國移動通信研究院太網(wǎng)傳輸涉及到企業(yè)安全生產(chǎn)的AI模型參數(shù)以及敏感數(shù)據(jù)，其在傳未來智算中心規(guī)模建設和AI大模型發(fā)展及部署需求，提出以太網(wǎng)物本白皮書旨在提出中國移動及產(chǎn)業(yè)合作伙伴對以太網(wǎng)物理層安全PHYSec技術的愿景、架構設計和能力要求。希望能夠為產(chǎn)業(yè)在規(guī)學、東南大學、華為技術有限公司、中興通訊有限公司、博通公司、網(wǎng)技術有限公司、深圳市楠菲微電子有限公司、篆芯半導體（南京）技公司、深圳云豹智能有限公司聯(lián)合編撰。中國移動新型智算中心以太 1 5 5 6 6 7 7 7 10 11 14 17 22 22 24 26 27 29中國移動新型智算中心以太1隨著AI大模型的迭代速度呈指數(shù)級增長，AIGC（AI-GeneratedContent）等應用預計將在全球范圍內產(chǎn)生數(shù)萬億美元的經(jīng)濟價值。全調度以太網(wǎng)（GSE）在兼容現(xiàn)有以太生態(tài)前提下，提出基于虛擬容技術,獲得業(yè)內廣泛認可，并在中國通信標準化協(xié)會（CCSA）TC3工當前，智算中心以大量數(shù)據(jù)為資源，利用強大算力驅動AI用戶設備實時上傳的敏感或隱私數(shù)據(jù)須經(jīng)過廣域網(wǎng)或城域網(wǎng)等入算網(wǎng)絡到達智算中心用于AI大模型訓練，這些數(shù)據(jù)在傳輸過程中存在泄露的風險。對于算內場景，AI訓練與推理過程中使用到的模型、中國移動新型智算中心以太2對日益嚴峻的安全挑戰(zhàn)?？紤]到智算中心場景所承載的AI與HPC業(yè)二是低時延、低開銷的數(shù)據(jù)加解密能力。隨著AIGC等應用的發(fā)中國移動新型智算中心以太3無法同時滿足上述的關鍵能力需求。在傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡中，RDMA技術得到了廣泛應用。部分標準組織提出在RDMA改進方案，來嘗試滿足智算中心的安全需求[2]。此外，基于IEEE802.1AE標準的MACSec可以為以太網(wǎng)設備之間提供數(shù)據(jù)鏈路層逐幀利用進行流量分析攻擊[3,4]。無法保護基于優(yōu)先級的流量控制幀要消耗大量的CPU資源及網(wǎng)卡內存資源來維護節(jié)點間建立的安全會中國移動新型智算中心以太4時延、低開銷、協(xié)議透明的數(shù)據(jù)加解密。本白皮書的發(fā)布有望推動PHYSec技術的標準共識、技術成熟與商用落地，支撐智算中心的安中國移動新型智算中心以太5但基于物理層加密的以太網(wǎng)技術還未曾出現(xiàn)[5]?，F(xiàn)有圖2-1安全機制演進趨勢本白皮書提出將物理層加密的理念與以太網(wǎng)物理層技術相融合中國移動新型智算中心以太6有上層協(xié)議的信息防護。如前所述，PHYSec是一種工作在以太網(wǎng)物所有的管控協(xié)議以及幀間空隙均被物理層統(tǒng)一編碼，可以被PHYSec有效保護，從而掩蓋流量特征，具有極高的安全性。如圖2-2所示,為明文數(shù)據(jù)、MACSec加密以及PHYSec加密三種傳輸方式的示例。PHYSec可以加密包括以太幀頭部在內的全部用戶信息，掩蓋幀頻率以及幀長度等流量特征，解決了RDMASec和MACSec難以防護流量分析攻擊的問題。與此同時，PHYSec的加密對象是物理層的比特流，轉發(fā)邏輯和協(xié)議處理無關。在構造合適的加密對象之后，PHYSec利圖2-2明文傳輸、MACSec加密以及PHYSec加密示例PHYSec技術可以在以太網(wǎng)物理層PHY的不同位置實現(xiàn)。在PHY中國移動新型智算中心以太7PHYSec原則上可支持鏈路級和通道級的技術方案，類似MACSecPHYSec作為網(wǎng)絡安全技術，技術邏輯同MACSec（解決如何將密應用于網(wǎng)絡層的問題解決如何將密碼學算法應用于網(wǎng)絡物理層的本白皮書提出的PHYSec技術體系架構主要包括三個層次：認證中國移動新型智算中心以太8圖2-3PHYSec技術體系架構?認證通道層：負責對設備及光模塊的身份認證與身份管理，確保相互通信的兩端是合法的以太網(wǎng)設備。認證通過后，需要對認證?密鑰管理層：負責運行過程中密鑰的派生與管理、密鑰定期更新分發(fā)以及密鑰超期等異常狀態(tài)處理。密鑰分發(fā)完成后，還需要對使用該密鑰的加密鏈路進行?；?。密鑰管理層的功能主要由平臺?數(shù)據(jù)加解密層：分為鏈路級加解密與通道級加解密?；谙到y(tǒng)下發(fā)的密鑰，分別通過加密引擎和解密引擎對信號進行加密和解密PHYSec的認證通道層、密鑰管理層以及數(shù)據(jù)加解密層都可以與9應用接入與控制平臺也可以實時對認證通道層的安全身份進行管理PHYSec的整體流程包含加密能力查詢及初始化、身份認證、密圖2-4PHYSec整體技術流程?加密能力查詢及初始化：在加密協(xié)商開始前，軟件通過調用驅動如果不支持加密則中止流程；如果支持加密，則向對端通告加密能力，并協(xié)商加密方式，平臺業(yè)務軟件根據(jù)協(xié)商結果進行加密初設備協(xié)商出相同的對稱密鑰，并負責加解密運行過程中密鑰的更圖2-5PHYSec部署層級位置2.3.1物理層身份認證機制PHYSec的身份認證機制主要是確保相互通信的兩端是合法的以中國移動新型智算中心以太無法確認光模塊的合法性，存在一定的安全風險。如圖2-6所示為圖2-6PHYSec身份認證框架2.3.2物理層密鑰管理機制PHYSec的密鑰管理機制主要是解決數(shù)據(jù)加密密鑰派生、分發(fā)和中國移動新型智算中心以太圖2-7安全通道建立示意圖2-9所示，對于每個通信節(jié)點，在worstcase下每個節(jié)點需要和其會話數(shù)是N×(N-1)。若考慮節(jié)點A和節(jié)點B之間通常只需要建立一條雙向的安全會話，則總的安全會話數(shù)是N×(N-1)/2。對于大規(guī)模圖2-8示例拓撲：6個通信節(jié)點圖2-9傳統(tǒng)安全機制通信節(jié)點間數(shù)據(jù)面與管控面安全鏈接圖2-10PHYSec數(shù)據(jù)面安全連接示意圖圖2-11PHYSec管控面安全連接示意圖中國移動新型智算中心以太2.3.3物理層數(shù)據(jù)加解密機制PHYSec的數(shù)據(jù)加密解密主要提供數(shù)據(jù)的機密性保護與完整性保圖2-12PHYSec鏈路級與通道級解決方案示意安全性極高。PHYSec在物理層將加解密算法卸載到底層芯片或模塊圖2-13PHYSec數(shù)據(jù)加密流程據(jù)幀從發(fā)端MAC層經(jīng)過RS進入發(fā)端PHY芯片后中國移動新型智算中心以太理層處理流程后進入光模塊。發(fā)端光模塊的oDSP先對收到的比特流圖2-14PHYSec鏈路級加密解密架構中國移動新型智算中心以太圖2-15復幀結構構如圖2-16所示。數(shù)據(jù)幀從發(fā)端MAC層經(jīng)過RS進入發(fā)端PHY芯片最后首位添加S、T碼塊，構造一個完整的加密段（Segment然后密所需的參數(shù)，對其余D碼塊內的用戶信息實施解密，然后還原為中國移動新型智算中心以太圖2-16PHYSec通道級加密解密架構解密側是加密側的逆操作?？紤]壓縮部分IDLE，PHYSec密技術方案可以做到不占用用戶開銷；考慮Worstcase情況下，不圖2-17PHYSec通道級技術方案加密側流程相比于RDMASec、MACSec等加密機制，PHYSec在安全性、帶寬中國移動新型智算中心以太表2-1不同加密機制對比RDMASecMACSecPHYSec表2-2RDMASec、MACSec及PHYSec保護能力對比MACSecPHYSec是是是是是是是是是否是是否是否否是否否是否是是否是是否否是否否是是是是中國移動新型智算中心以太否否是否否是否是是否是是否否是否是是示。PHYSec使用以太網(wǎng)物理層的OAM碼塊來承載加解密參數(shù)，不引圖2-18RDMASec、MACSec及PHYSec加密開銷對比相較于RDMASec和MACSec，PHYSecRDMASec/MACSecPHY架構將加密功能下沉到PHY芯片內實現(xiàn)，只需要對交換機/路由器等設備端口進行升級便可支持加密功能，對模塊，處理過程如圖2-19所示。這種背靠背的架構實現(xiàn)需要在PHY中引入更多的芯片實現(xiàn)代價、處理時延和功耗。PHYSec是針對物理圖2-19MACSec/RDMASec芯片架構PHYSec的加密對象是物理層的比特流，可以做到對上層業(yè)務和協(xié)議進行透明加解密，即不感知上層業(yè)務和協(xié)議，如圖2-20所示。中國移動新型智算中心以太圖2-20PHYSec加密層級中國移動新型智算中心以太PHYSec技術可以被應用于各種以太網(wǎng)鏈路級安全場景，本白皮書重點介紹PHYSec在智算中心相關應用場景，包括智算中心入算流AI大模型及其應用需要大量的數(shù)據(jù)作為訓練集，企業(yè)等高價值用戶敏感數(shù)據(jù)到智算中心或從智算中心下載訓練好的模型及參數(shù)等低開銷對接入智算中心專線至關重要，相比于使用RDMASec/MACSec帶來的20%以上的開銷，PHYSec占用寬，節(jié)省專線成本。此外，PHYSec可以對用戶所有信息和所有的網(wǎng)中國移動新型智算中心以太圖3-1智算中心流量入算場景傳統(tǒng)的數(shù)據(jù)中心內無網(wǎng)絡安全機制，對東西向流量無安全防護，戰(zhàn)。PHYSec適用于這兩種常見的智算中心組網(wǎng)拓撲，可以將加解密通過光模塊實現(xiàn)PHYSec,則無需更換服中國移動新型智算中心以太圖3-2智算中心典型拓撲示例。①CLOS架構②直連架構智算中心間的高速互聯(lián)光纖以及鋪設光纖的管井等暴露的物理設施，存在被攻擊竊聽的風險。使用PHYSec光模塊可以杜絕光纖信MACSec對互聯(lián)鏈路進行保護，PHYSec可以對用戶所有信息和所有的圖3-3智算中心互聯(lián)場景PHYSec可以根據(jù)不同場景來靈活選擇合適的部署模式。不同的1)面向以太網(wǎng)中已有存量設備無法進行硬件芯片更換的場景，可以兼容現(xiàn)有網(wǎng)絡設備，迅速升級鏈路安全通信能力，保護現(xiàn)有設備與通信資產(chǎn)。加解密功能主要運行在以太網(wǎng)物理層的PCS底層，中國移動新型智算中心以太圖3-4PHYSec實現(xiàn)方式—光模塊部署加解密功能主要運行在以太網(wǎng)物理層的PCS層，其架構如圖3-5圖3-5PHYSec實現(xiàn)方式—PHY芯片部署3)面向以太網(wǎng)鏈路兩端分別為存量設備和新增設備的安全場景，可以在新增設備的PHY芯片中部署PHYSec，在存量設備所示。其中，PHY芯片主要在PCS層實現(xiàn)PHYSec，光模塊中由電圖3-6PHYSec實現(xiàn)方式—混合部署中國移動新型智算中心以太上進行傳輸。PHYSec作為以太網(wǎng)物理層安全技術，可以保護智算中易部署等優(yōu)點，符合技術與產(chǎn)業(yè)的發(fā)展趨勢。同時，PHYSec在衛(wèi)星應用潛力，將為IT和電信領域的安全市場創(chuàng)造巨大的價值增長點。要求。PHYSec在保護衛(wèi)星通信鏈路安全的前提下，實現(xiàn)極低開銷，滿足衛(wèi)星通信高帶寬利用率的需求。在可以預見的未來，PHYSec作會被監(jiān)聽或截取的密鑰分發(fā)技術。如果利用量子密鑰分發(fā)技術為PHYSec提供密鑰，將為以太網(wǎng)帶來史無前例的安全性，可以應對高中國移動新型智算中心以太縮略語列表縮略語英文全名中文解釋AIArtificialIntelligence人工智能AIGCAIGeneratedContent人工智能生成內容HPCHighPerformanceComputing高性能計算CPUCentralProcessingUnit中央處理單元EEPROMElectricallyErasableProgrammableReadOnlyMemory電可擦除可編程只讀存儲器IEEEInstituteofElectricalandElectronicsEngineers電氣與電子工程師協(xié)會UDPUserDatagramProtocol用戶數(shù)據(jù)報協(xié)議InternetProtocol網(wǎng)際協(xié)議RDMARemoteDirectMemoryAccess遠程直接內存訪問NPNetworkProcessor網(wǎng)絡處理器ECUElectronicControlUnit電子控制單元PFCPriority-basedFlowControl基于優(yōu)先級的流量控制TLSTransportLayerSecurity傳輸層安全協(xié)議IPSecInternetProtocolSecurity因特網(wǎng)協(xié)議安全協(xié)議RDMASecRemoteDirectMemoryAccessSecurity遠程直接內存訪問安全協(xié)議MACSecMediaAccessControlSecurity媒體接入控制安全協(xié)議PHYSecPhysicalLayerSecurity物理層安全協(xié)議AESAdvancedEncryptionStandard高級加密標準NIST