新型智算中心以太网物理层安全PHYSec架构白皮书

新型智算中心以太网物理层安全(PHYSec)架构白皮书发布单位：中移智库编制单位：中国移动通信研究院太网传输涉及到企业安全生产的AI模型参数以及敏感数据，其在传未来智算中心规模建设和AI大模型发展及部署需求，提出以太网物本白皮书旨在提出中国移动及产业合作伙伴对以太网物理层安全PHYSec技术的愿景、架构设计和能力要求。希望能够为产业在规学、东南大学、华为技术有限公司、中兴通讯有限公司、博通公司、网技术有限公司、深圳市楠菲微电子有限公司、篆芯半导体（南京）技公司、深圳云豹智能有限公司联合编撰。中国移动新型智算中心以太 1 5 5 6 6 7 7 7 10 11 14 17 22 22 24 26 27 29中国移动新型智算中心以太1随着AI大模型的迭代速度呈指数级增长，AIGC（AI-GeneratedContent）等应用预计将在全球范围内产生数万亿美元的经济价值。全调度以太网（GSE）在兼容现有以太生态前提下，提出基于虚拟容技术,获得业内广泛认可，并在中国通信标准化协会（CCSA）TC3工当前，智算中心以大量数据为资源，利用强大算力驱动AI用户设备实时上传的敏感或隐私数据须经过广域网或城域网等入算网络到达智算中心用于AI大模型训练，这些数据在传输过程中存在泄露的风险。对于算内场景，AI训练与推理过程中使用到的模型、中国移动新型智算中心以太2对日益严峻的安全挑战。考虑到智算中心场景所承载的AI与HPC业二是低时延、低开销的数据加解密能力。随着AIGC等应用的发中国移动新型智算中心以太3无法同时满足上述的关键能力需求。在传统数据中心网络中，RDMA技术得到了广泛应用。部分标准组织提出在RDMA改进方案，来尝试满足智算中心的安全需求[2]。此外，基于IEEE802.1AE标准的MACSec可以为以太网设备之间提供数据链路层逐帧利用进行流量分析攻击[3,4]。无法保护基于优先级的流量控制帧要消耗大量的CPU资源及网卡内存资源来维护节点间建立的安全会中国移动新型智算中心以太4时延、低开销、协议透明的数据加解密。本白皮书的发布有望推动PHYSec技术的标准共识、技术成熟与商用落地，支撑智算中心的安中国移动新型智算中心以太5但基于物理层加密的以太网技术还未曾出现[5]。现有图2-1安全机制演进趋势本白皮书提出将物理层加密的理念与以太网物理层技术相融合中国移动新型智算中心以太6有上层协议的信息防护。如前所述，PHYSec是一种工作在以太网物所有的管控协议以及帧间空隙均被物理层统一编码，可以被PHYSec有效保护，从而掩盖流量特征，具有极高的安全性。如图2-2所示,为明文数据、MACSec加密以及PHYSec加密三种传输方式的示例。PHYSec可以加密包括以太帧头部在内的全部用户信息，掩盖帧频率以及帧长度等流量特征，解决了RDMASec和MACSec难以防护流量分析攻击的问题。与此同时，PHYSec的加密对象是物理层的比特流，转发逻辑和协议处理无关。在构造合适的加密对象之后，PHYSec利图2-2明文传输、MACSec加密以及PHYSec加密示例PHYSec技术可以在以太网物理层PHY的不同位置实现。在PHY中国移动新型智算中心以太7PHYSec原则上可支持链路级和通道级的技术方案，类似MACSecPHYSec作为网络安全技术，技术逻辑同MACSec（解决如何将密应用于网络层的问题解决如何将密码学算法应用于网络物理层的本白皮书提出的PHYSec技术体系架构主要包括三个层次：认证中国移动新型智算中心以太8图2-3PHYSec技术体系架构•认证通道层：负责对设备及光模块的身份认证与身份管理，确保相互通信的两端是合法的以太网设备。认证通过后，需要对认证•密钥管理层：负责运行过程中密钥的派生与管理、密钥定期更新分发以及密钥超期等异常状态处理。密钥分发完成后，还需要对使用该密钥的加密链路进行保活。密钥管理层的功能主要由平台•数据加解密层：分为链路级加解密与通道级加解密。基于系统下发的密钥，分别通过加密引擎和解密引擎对信号进行加密和解密PHYSec的认证通道层、密钥管理层以及数据加解密层都可以与9应用接入与控制平台也可以实时对认证通道层的安全身份进行管理PHYSec的整体流程包含加密能力查询及初始化、身份认证、密图2-4PHYSec整体技术流程•加密能力查询及初始化：在加密协商开始前，软件通过调用驱动如果不支持加密则中止流程；如果支持加密，则向对端通告加密能力，并协商加密方式，平台业务软件根据协商结果进行加密初设备协商出相同的对称密钥，并负责加解密运行过程中密钥的更图2-5PHYSec部署层级位置2.3.1物理层身份认证机制PHYSec的身份认证机制主要是确保相互通信的两端是合法的以中国移动新型智算中心以太无法确认光模块的合法性，存在一定的安全风险。如图2-6所示为图2-6PHYSec身份认证框架2.3.2物理层密钥管理机制PHYSec的密钥管理机制主要是解决数据加密密钥派生、分发和中国移动新型智算中心以太图2-7安全通道建立示意图2-9所示，对于每个通信节点，在worstcase下每个节点需要和其会话数是N×(N-1)。若考虑节点A和节点B之间通常只需要建立一条双向的安全会话，则总的安全会话数是N×(N-1)/2。对于大规模图2-8示例拓扑：6个通信节点图2-9传统安全机制通信节点间数据面与管控面安全链接图2-10PHYSec数据面安全连接示意图图2-11PHYSec管控面安全连接示意图中国移动新型智算中心以太2.3.3物理层数据加解密机制PHYSec的数据加密解密主要提供数据的机密性保护与完整性保图2-12PHYSec链路级与通道级解决方案示意安全性极高。PHYSec在物理层将加解密算法卸载到底层芯片或模块图2-13PHYSec数据加密流程据帧从发端MAC层经过RS进入发端PHY芯片后中国移动新型智算中心以太理层处理流程后进入光模块。发端光模块的oDSP先对收到的比特流图2-14PHYSec链路级加密解密架构中国移动新型智算中心以太图2-15复帧结构构如图2-16所示。数据帧从发端MAC层经过RS进入发端PHY芯片最后首位添加S、T码块，构造一个完整的加密段（Segment然后密所需的参数，对其余D码块内的用户信息实施解密，然后还原为中国移动新型智算中心以太图2-16PHYSec通道级加密解密架构解密侧是加密侧的逆操作。考虑压缩部分IDLE，PHYSec密技术方案可以做到不占用用户开销；考虑Worstcase情况下，不图2-17PHYSec通道级技术方案加密侧流程相比于RDMASec、MACSec等加密机制，PHYSec在安全性、带宽中国移动新型智算中心以太表2-1不同加密机制对比RDMASecMACSecPHYSec表2-2RDMASec、MACSec及PHYSec保护能力对比MACSecPHYSec是是是是是是是是是否是是否是否否是否否是否是是否是是否否是否否是是是是中国移动新型智算中心以太否否是否否是否是是否是是否否是否是是示。PHYSec使用以太网物理层的OAM码块来承载加解密参数，不引图2-18RDMASec、MACSec及PHYSec加密开销对比相较于RDMASec和MACSec，PHYSecRDMASec/MACSecPHY架构将加密功能下沉到PHY芯片内实现，只需要对交换机/路由器等设备端口进行升级便可支持加密功能，对模块，处理过程如图2-19所示。这种背靠背的架构实现需要在PHY中引入更多的芯片实现代价、处理时延和功耗。PHYSec是针对物理图2-19MACSec/RDMASec芯片架构PHYSec的加密对象是物理层的比特流，可以做到对上层业务和协议进行透明加解密，即不感知上层业务和协议，如图2-20所示。中国移动新型智算中心以太图2-20PHYSec加密层级中国移动新型智算中心以太PHYSec技术可以被应用于各种以太网链路级安全场景，本白皮书重点介绍PHYSec在智算中心相关应用场景，包括智算中心入算流AI大模型及其应用需要大量的数据作为训练集，企业等高价值用户敏感数据到智算中心或从智算中心下载训练好的模型及参数等低开销对接入智算中心专线至关重要，相比于使用RDMASec/MACSec带来的20%以上的开销，PHYSec占用宽，节省专线成本。此外，PHYSec可以对用户所有信息和所有的网中国移动新型智算中心以太图3-1智算中心流量入算场景传统的数据中心内无网络安全机制，对东西向流量无安全防护，战。PHYSec适用于这两种常见的智算中心组网拓扑，可以将加解密通过光模块实现PHYSec,则无需更换服中国移动新型智算中心以太图3-2智算中心典型拓扑示例。①CLOS架构②直连架构智算中心间的高速互联光纤以及铺设光纤的管井等暴露的物理设施，存在被攻击窃听的风险。使用PHYSec光模块可以杜绝光纤信MACSec对互联链路进行保护，PHYSec可以对用户所有信息和所有的图3-3智算中心互联场景PHYSec可以根据不同场景来灵活选择合适的部署模式。不同的1)面向以太网中已有存量设备无法进行硬件芯片更换的场景，可以兼容现有网络设备，迅速升级链路安全通信能力，保护现有设备与通信资产。加解密功能主要运行在以太网物理层的PCS底层，中国移动新型智算中心以太图3-4PHYSec实现方式—光模块部署加解密功能主要运行在以太网物理层的PCS层，其架构如图3-5图3-5PHYSec实现方式—PHY芯片部署3)面向以太网链路两端分别为存量设备和新增设备的安全场景，可以在新增设备的PHY芯片中部署PHYSec，在存量设备所示。其中，PHY芯片主要在PCS层实现PHYSec，光模块中由电图3-6PHYSec实现方式—混合部署中国移动新型智算中心以太上进行传输。PHYSec作为以太网物理层安全技术，可以保护智算中易部署等优点，符合技术与产业的发展趋势。同时，PHYSec在卫星应用潜力，将为IT和电信领域的安全市场创造巨大的价值增长点。要求。PHYSec在保护卫星通信链路安全的前提下，实现极低开销，满足卫星通信高带宽利用率的需求。在可以预见的未来，PHYSec作会被监听或截取的密钥分发技术。如果利用量子密钥分发技术为PHYSec提供密钥，将为以太网带来史无前例的安全性，可以应对高中国移动新型智算中心以太缩略语列表缩略语英文全名中文解释AIArtificialIntelligence人工智能AIGCAIGeneratedContent人工智能生成内容HPCHighPerformanceComputing高性能计算CPUCentralProcessingUnit中央处理单元EEPROMElectricallyErasableProgrammableReadOnlyMemory电可擦除可编程只读存储器IEEEInstituteofElectricalandElectronicsEngineers电气与电子工程师协会UDPUserDatagramProtocol用户数据报协议InternetProtocol网际协议RDMARemoteDirectMemoryAccess远程直接内存访问NPNetworkProcessor网络处理器ECUElectronicControlUnit电子控制单元PFCPriority-basedFlowControl基于优先级的流量控制TLSTransportLayerSecurity传输层安全协议IPSecInternetProtocolSecurity因特网协议安全协议RDMASecRemoteDirectMemoryAccessSecurity远程直接内存访问安全协议MACSecMediaAccessControlSecurity媒体接入控制安全协议PHYSecPhysicalLayerSecurity物理层安全协议AESAdvancedEncryptionStandard高级加密标准NIST