新型智算中心以太网物理层安全PHYSec架构白皮书.pdf
《新型智算中心以太网物理层安全PHYSec架构白皮书.pdf》由会员分享,可在线阅读,更多相关《新型智算中心以太网物理层安全PHYSec架构白皮书.pdf(33页珍藏版)》请在咨信网上搜索。
1、新型新型智算中心以太网物理智算中心以太网物理层安全层安全(PHYSec)(PHYSec)架构白皮架构白皮书书(20242024 年)年)发布单位:发布单位:中移智库中移智库编制单位:中国移动通信研究院编制单位:中国移动通信研究院前前言言随着 AI 大模型对算力的需求呈现指数级增长,具有大规模算力的智算中心正在全球范围内进行大规模建设与部署。智算中心通过以太网传输涉及到企业安全生产的 AI 模型参数以及敏感数据,其在传输的过程中面临着泄露的风险,具有极高的安全诉求。本白皮书面向未来智算中心规模建设和 AI 大模型发展及部署需求,提出以太网物理层安全(PHYSec)体系架构及技术方案,解决 RDM
2、ASec、MACSec 等现有安全方案在智算中心场景下面临的安全漏洞与性能瓶颈问题,为智算中心的网络保驾护航。本白皮书旨在提出中国移动及产业合作伙伴对以太网物理层安全 PHYSec 技术的愿景、架构设计和能力要求。希望能够为产业在规划设计以太网物理层安全相关技术、产品和解决方案时提供参考和指引。本白皮书由中国移动通信有限公司研究院中国移动通信有限公司研究院主编,腾讯云腾讯云、清华大清华大学、东南大学、华为技术有限公司、中兴通讯有限公司、博通公司学、东南大学、华为技术有限公司、中兴通讯有限公司、博通公司、默升科技默升科技(上海上海)有限公司有限公司、上海橙科微电子科技有限公司上海橙科微电子科技有
3、限公司、烽火通烽火通信科技股份有限公司信科技股份有限公司、新华三技术有限公司新华三技术有限公司、锐捷网络股份有限公司锐捷网络股份有限公司、英特尔英特尔(中国中国)有限公司有限公司、苏州盛科通信股份有限公司苏州盛科通信股份有限公司、杭州云合智杭州云合智网技术有限公司、深圳市楠菲微电子有限公司、网技术有限公司、深圳市楠菲微电子有限公司、篆芯半导体(南京篆芯半导体(南京)有限公司有限公司、苏州旭创科技有限公司苏州旭创科技有限公司、索尔思光电索尔思光电、苏州卓昱光子科技苏州卓昱光子科技有限公司有限公司、武汉光迅科技股份有限公司武汉光迅科技股份有限公司、迈普通信技术股份有限公司迈普通信技术股份有限公司(
4、中国电子中国电子-迈普通信迈普通信)、思博伦通信科技思博伦通信科技(北京有限公司北京有限公司)、是德科技是德科技(中国(中国)有限公司有限公司、唯亚威通信技术唯亚威通信技术(北京北京)有限公司有限公司、珠海星云智珠海星云智联科技有限公司联科技有限公司、中科驭数中科驭数(北京北京)科技有限公司科技有限公司、上海云脉芯联科上海云脉芯联科技公司、深圳云豹智能有限公司技公司、深圳云豹智能有限公司联合编撰。本白皮书不包含我国科技发展战略、方针、政策、计划等敏感信息。不包含涉密项目的背景、研制目标、路线和过程,敏感领域资源、数据,关键技术诀窍、参数和工艺信息。本白皮书的版权归中国移动所有,未经授权,任何单
5、位或个人不得复制或拷贝本建议之部分或全部内容。中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)目目录录1.技术背景与需求.12.以太网物理层安全技术架构.52.1 技术愿景.52.2 设计原则.62.2.1 兼容性原则.62.2.2 互通性原则.72.2.3 一致性原则.72.3 技术体系与关键机制.72.3.1 物理层身份认证机制.102.3.2 物理层密钥管理机制.112.3.3 物理层数据加解密机制.142.4 技术优势.173.应用与部署.223.1 应用场景.223.2 部署架构.244.总结与展望.26缩略语列表.27参考文献.29中国移动新型智算中心以太
6、网物理层安全(PHYSec)架构白皮书(2024)11.1.技术背景与需求技术背景与需求随着 AI 大模型的迭代速度呈指数级增长,AIGC(AI-GeneratedContent)等应用预计将在全球范围内产生数万亿美元的经济价值。作为 AI 技术发展的基础设施底座,智算中心也逐渐在全球范围内大规模建设和部署。传统数据中心网络存在时延及吞吐受限、负载分担不均、拥塞控制精度低、安全保护机制难部署等问题。针对这些问题,全调度以太网(GSE)在兼容现有以太生态前提下,提出基于虚拟容器的调度转发,逐包的动态负载均衡机制,以及精细流控反压等创新技术,获得业内广泛认可,并在中国通信标准化协会(CCSA)TC
7、3 工作组推动全调度以太网总体技术要求和智能计算中心网络协议能力总体技术要求 立项,为智算中心提供开放标准的网络解决方案。当前,智算中心以大量数据为资源,利用强大算力驱动 AI 大模型对数据进行深度加工,产生各种智慧计算能力,以云服务形式提供给组织及个人。在此过程中,涉及大量数据资源在入算、算内和算间网络场景的处理和传递。这些数据已成为企业十分重要的商业资产,一旦被窃听攻击或泄露,将产生难以估计的经济损失,因此如何保障数据安全将是智算中心发展的核心问题。对于入算场景,互联网或者用户设备实时上传的敏感或隐私数据须经过广域网或城域网等入算网络到达智算中心用于 AI 大模型训练,这些数据在传输过程中
8、存在泄露的风险。对于算内场景,AI 训练与推理过程中使用到的模型、参数以及用户数据需要在计算节点间频繁传递,同样存在泄露或被窃中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)2听的风险。对于算间场景,用于传输智算中心间算力资源的高速互联光纤链路以及相关设施暴露在物理环境中,存在被攻击窃听的风险。综上所述,用户数据在入算上传、算内传递以及算间传输这三个场景都存在安全加密的需求。上述智算中心三个网络场景的底层承载网络主流技术是以太网,为此须对以太网提供安全认证、密钥管理以及数据加解密能力,以应对日益严峻的安全挑战。考虑到智算中心场景所承载的 AI 与 HPC 业务对时延、
9、带宽等网络性能的极致追求,智算中心以太网安全技术需要具备如下核心能力:一是存量设备和芯片的兼容能力。为了使加密流量可以达到线速,加密模块会在芯片中硬化实现。以太网已部署的存量设备可能存在硬件芯片无法更换的情况,因此以太网数据加密技术需要利旧现有网络设备,具备向下兼容能力。二是低时延、低开销的数据加解密能力。随着 AIGC 等应用的发展,对海量算力芯片间高吞吐、低时延数据传输的需求更为迫切。因此在对以太网链路提供安全加密的同时,也需要关注数据加解密带来的时延与开销。三是以太帧和管控协议的全加密能力。以太网链路会发送一些特殊的协议帧,如基于优先级的流量控制帧等。这些特殊的协议帧无法被传统的网络安全
10、机制所保护。针对隐私保护要求高的场景,也需要对以太帧进行全加密保护,包括加密帧头部以及掩盖帧发送频率、帧长等流量特征,以防止流量分析攻击。中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)3四是简单高效的认证和密钥管理机制。认证和密钥管理涉及大量的安全会话,需要消耗计算节点的 CPU 以及网卡内存资源,影响计算节点的算效。因此需要简单高效的认证和密钥管理机制降低安全会话数量。现有安全加密机制可以提供不同网络层级的数据安全防护,但是无法同时满足上述的关键能力需求。在传统数据中心网络中,RDMA技术得到了广泛应用。部分标准组织提出在 RDMA 的网络层实现端到端的数据加密机
11、制(RDMASec)1。业界已有厂家发布基于 IPSec 的改进方案,来尝试满足智算中心的安全需求2。此外,基于 IEEE802.1AE 标准的 MACSec 可以为以太网设备之间提供数据链路层逐帧的安全加密通信,在园区办公场景得到较广泛应用3。然而 RDMAsec及 MACSec 应用于智算中心场景时仍存在如下问题:1)难以兼容全部存量设备。业界现有芯片硬化的 RDMASec 及 MACSec 方案,需要在 PHY芯片中进行比特流到包或帧的背靠背转换,将引入额外的实现复杂度与转换时延,也需要对设备硬件进行替换。2)引入封装开销。尤其是对短帧场景,会明显挤占业务带宽,影响 AI 业务算效。3)
12、暴露以太帧头部信息,且无法完全掩盖报文长度、发包频率等流量特征,易被利用进行流量分析攻击3,4。无法保护基于优先级的流量控制帧(PFC)或 pause 帧等以太帧。4)认证机制仅限于服务器、交换机等网络设备,无法对光模块进行认证;密钥管理机制安全复杂度高,需要消耗大量的 CPU 资源及网卡内存资源来维护节点间建立的安全会话,影响算效。中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)4针对上述智算中心安全需求以及 RDMASec、MACSec 存在的问题,中国移动联合业界合作伙伴提出以太网物理层安全(PHYSec)技术架构,通过在以太网物理层对比特流进行加解密来保护所有
13、上层协议,通过掩盖流量特征,解决流量分析攻击带来的安全威胁,同时实现低时延、低开销、协议透明的数据加解密。本白皮书的发布有望推动PHYSec 技术的标准共识、技术成熟与商用落地,支撑智算中心的安全建设与快速发展。中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)52.2.以太网物理层安全技术架构以太网物理层安全技术架构2.12.1 技术愿景技术愿景物理层加密的概念早在 1989 年就在标准 ISO 7498-2 中有所提及,但基于物理层加密的以太网技术还未曾出现5。现有网络安全技术的加密层次及密文保护范围如图 2-1 所示。从各层次网络安全技术的演进过程可以看到,越往上
14、层的安全机制越灵活,而越往下层的加密机制可以提供更大的保护范围,且更易于与硬件结合。RDMASec 是介于 IPSec 与 TLS 之间的改良技术,但是引入的时延与开销难以满足智算中心的安全需求。以太网物理层处于网络协议栈的更低层次,将安全加密与以太网物理层特性相融合来构建全新的以太网安全机制,有望解决上述 RDMASec 及 MACSec 所不能解决的问题。同时,物理层的加密更便于实现低时延、低开销、高吞吐、高安全的数据加密,满足智算中心场景对安全技术的要求。图 2-1 安全机制演进趋势本白皮书提出将物理层加密的理念与以太网物理层技术相融合构建以太网物理层安全技术PHYSec,以实现低时延、
15、高吞吐、高安全、低开销和协议透明等特性的安全加密机制,满足数据链路层及所中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)6有上层协议的信息防护。如前所述,PHYSec 是一种工作在以太网物理层的安全加密技术,对物理层的比特流进行加解密。所有以太帧、所有的管控协议以及帧间空隙均被物理层统一编码,可以被 PHYSec有效保护,从而掩盖流量特征,具有极高的安全性。如图 2-2 所示,为明文数据、MACSec 加密以及 PHYSec 加密三种传输方式的示例。PHYSec 可以加密包括以太帧头部在内的全部用户信息,掩盖帧频率以及帧长度等流量特征,解决了 RDMASec 和 MA
16、CSec 难以防护流量分析攻击的问题。与此同时,PHYSec 的加密对象是物理层的比特流,对上层业务和协议透明,构建加密对象时可以不受限于报文,与业务转发逻辑和协议处理无关。在构造合适的加密对象之后,PHYSec 利用物理层原生 OAM 码块承载加解密所必需的安全参数,具有低开销的优势。图 2-2 明文传输、MACSec 加密以及 PHYSec 加密示例2.22.2 设计原则设计原则2.2.12.2.1 兼容性原则兼容性原则PHYSec 技术可以在以太网物理层 PHY 的不同位置实现。在 PHY单元实现,要求兼容 IEEE802.3 标准,不影响标准规范的功能与协议;在 PMD 模块实施,要求
17、兼容 PMD 模块已有标准及架构,不影响标准规范的功能与协议。中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)72.2.22.2.2 互通性原则互通性原则PHYSec 原则上可支持链路级和通道级的技术方案,类似 MACSec(802.1AEbw-2013 for port,802.1AEcg-2017 for channel),实施部署载体可以是 PHY 接口,也可是光模块或其他载体。同一层次方案,要求技术与协议一致,满足互联互通要求。协议承载方案,要求少占用或不占用业务带宽。2.2.32.2.3 一致性原则一致性原则对于IEEE802.3规范的以太网100G/200
18、G/400G/800G/1.6T接口,虽然 PHY 各逻辑子层技术方案有区别,但 PHYSec 原则上要求采用一套解决方案和协议。协议的承载方式可以根据 PHY 逻辑子层的要求变化,但要求遵循前述兼容性原则与互通性原则等设计原则。PHYSec 作为网络安全技术,技术逻辑同 MACSec(解决如何将密码学算法应用于数据链路层的问题)、IPSec(解决如何将密码学算法应用于网络层的问题),解决如何将密码学算法应用于网络物理层的问题。2.32.3 技术体系与关键机制技术体系与关键机制本白皮书提出的 PHYSec 技术体系架构主要包括三个层次:认证通道层、密钥管理层和数据加解密层,如图 2-3 所示。
19、中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)8图 2-3 PHYSec 技术体系架构认证通道层:负责对设备及光模块的身份认证与身份管理,确保相互通信的两端是合法的以太网设备。认证通过后,需要对认证通道进行保活。认证通道层的功能主要由平台业务软件实现。密钥管理层:负责运行过程中密钥的派生与管理、密钥定期更新分发以及密钥超期等异常状态处理。密钥分发完成后,还需要对使用该密钥的加密链路进行保活。密钥管理层的功能主要由平台业务软件实现。数据加解密层:分为链路级加解密与通道级加解密。基于系统下发的密钥,分别通过加密引擎和解密引擎对信号进行加密和解密操作。数据加解密层可以在光
20、模块或 PHY 芯片实现。PHYSec 的认证通道层、密钥管理层以及数据加解密层都可以与更上层的管控系统进行交互,从而对安全状态进行监控,如查询安全身份是否过期、密钥超期上报、以及加解密失败告警等安全管控操作。中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)9应用接入与控制平台也可以实时对认证通道层的安全身份进行管理与控制。PHYSec 的整体流程包含加密能力查询及初始化、身份认证、密钥协商与管理以及数据加解密,如图 2-4 所示。图 2-4 PHYSec 整体技术流程加密能力查询及初始化:在加密协商开始前,软件通过调用驱动接口获取光模块/PHY 芯片的规格。若返回规
21、格失败,则终止流程;若返回规格成功,则软件判断光模块/PHY芯片是否具备加密能力。如果不支持加密则中止流程;如果支持加密,则向对端通告加密能力,并协商加密方式,平台业务软件根据协商结果进行加密初始化配置。身份认证:PHYSec 的身份认证机制主要是确保相互通信的设备及光模块具有合法身份。中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)10密钥协商及管理:PHYSec 的密钥协商机制主要是确保相互通信的设备协商出相同的对称密钥,并负责加解密运行过程中密钥的更新与切换。当密钥协商完成后,相互通信的设备建立起安全通道。数据面加解密:在完成认证与密钥协商后,PHYSec 基于
22、系统下发的密钥对物理层比特流采用“流加密”方式进行加密发送与接收解密。需要停止加解密时,系统下发停止加解密的指令,模块内对应的密钥信息清除,同时清除各种统计信息。PHYSec 链路级方案的数据加解密和通道级方案的数据加解密在以太网物理层的不同层次实现,以 200G/400G/800G 为例,PHYSec 的部署层级架构如图 2-5 所示。图 2-5 PHYSec 部署层级位置2.3.12.3.1 物理层身份认证机制物理层身份认证机制PHYSec 的身份认证机制主要是确保相互通信的两端是合法的以中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)11太网设备。传统以太网认证
23、方式是基于链路层设备(如交换机)端口认证的机制,如 802.1X、MAC 地址认证等。这种认证方式在认证过程中只利用了通信设备的信息,并没有利用接口上光模块的信息,所以无法确认光模块的合法性,存在一定的安全风险。如图 2-6 所示为PHYSec 的身份认证框架。PHYSec 的认证机制将光模块的唯一身份标识(ID)融入到认证过程当中,确保了设备与光模块均具有合法性。图 2-6 PHYSec 身份认证框架通信设备通过提前配置预共享密钥 PSK,设备通过 IIC 接口将存放在光模块中的标识 ID 读取到设备内,双方设备通过交互认证信息进行双向身份认证。认证信息可以是设备 PSK 对设备 ID、光模
24、块 ID以及安全随机数进行加密运算得到的密文。此处对加密算法不做限制,满足安全性要求即可,如标准化的 AES 或 SM4 算法。当执行插拔以及更换光模块等操作时,需要重新进行认证流程。2.3.22.3.2 物理层物理层密钥密钥管理机制管理机制PHYSec 的密钥管理机制主要是解决数据加密密钥派生、分发和管理的问题。如图 2-7 所示,在加密通信前,通信节点间首先会建立安全通道并持续维护安全通道的状态;在建立了安全通道后,通信双中国移动新型智算中心以太网物理层安全(PHYSec)架构白皮书(2024)12方会运行密钥协商协议,从而安全、及时地分配用于数据面加密的对称密钥。图 2-7 安全通道建立
25、示意图现有的安全技术如 TLS、IPSec 以及 RDMASec 等在 N 个通信节点的组网场景下,理论上都需要建立 N2级的安全会话数。如图 2-8 与图2-9 所示,对于每个通信节点,在 worst case 下每个节点需要和其他 N-1 个节点建立安全会话,共有 N 个这样的节点,所以建立的安全会话数是 N(N-1)。若考虑节点 A 和节点 B 之间通常只需要建立一条双向的安全会话,则总的安全会话数是 N(N-1)/2。对于大规模通信网络,比如具有上万个计算节点的智算中心,每个节点峰值期间需要维护大量的安全会话与密钥,安全管控面复杂度太高,这对节点CPU 资源以及网卡中内存资源提出极大挑
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 新型 中心 以太网 物理层 安全 PHYSec 架构 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。