UALinkSec合规IP为AI集群的UALink 链路构建安全防护

网络领域的经典难题是通过数据加密保障连接安全，但以线速运行高强度加密算法往往会影响性能；而如果搭建超高速互联链路却缺乏加密策略，系统又会面临安全漏洞。包含新思科技在内的 UALink 联盟架构师们深知这一课题的关键。UALink 协议为点对点加速器链路制定了交换式架构标准，可将 AI 集群扩展至 1024 个加速器，而最新的 UALink 200G 规范进一步完善了 UALinkSec 安全框架。作为旗下 UALink 控制器 IP 和高性能 224G 物理层（PHY）IP 的配套产品，新思科技推出了 UALinkSec_200 安全模块，这是首款符合 UALink 安全规范的落地实现方案。

为 UALink 网络层集成 UALinkSec 安全组件

UALink 协议沿用了标准以太网的物理层（PHY），并新增了专属的链路层、事务层和协议层，为点对点连接打造多项高级特性。这一物理层的选型设计，使其能直接复用符合以太网 802.3dj 标准的物理层组件，其中就包括新思科技的 224G PHY IP。低延迟是 UALink 协议的核心设计考量，而一系列简化设定进一步保障了这一特性：固定有效载荷为 64 字节或 640 字节；线缆长度限制在 4 米以内；终端节点数量不超过 1024 个。链路层重传机制和基于信用量的流控技术保障了数据的连续传输，且重传响应时间可控制在 1 微秒以内。以下是基于 UALink 200 v1.0 规范的协议栈高层概述：

UALink 事务层 / 数据链路层特性与设计目标

固定有效载荷（64 字节 / 640 字节）、虚拟通道、链路层重传（LLR）、基于信用量的流控

加速器核心、安全防护

统一地址排序、低延迟运行设计、线缆长度＜4 米、请求 - 响应往返时延＜1 微秒、支持 1-4 个机柜、终端节点≤1000 个

UALink 各层核心属性

• 事务层 / 协议层：UALink 专属设计

• 链路层支持：多源 - 目的对的请求与响应可打包传输、端到端加密与身份认证

• 数据链路层：UALink 专属设计

• 应用层：操作系统 / 驱动 / 类库

• 链路控制层：UALink 逻辑链路控制、链路层重试

UALinkSec 安全组件部署在事务层与协议层之间，虽仅被描述为实现 “端到端加密与身份认证”，看似轻量，但其核心作用是保护网络流量与交换机免受各类攻击，无论攻击者是物理接入还是远程入侵。UALinkSec 支持对 UALink 协议的所有信道（请求信道、读响应信道、写响应信道）进行加密和身份认证，启用后可同时保障数据的机密性与完整性。下图为标注了 UALinkSec 工作环节的简化架构图：

（加速器 X 功能 / 协议层）——（UALinkSec 安全组件）——（加速器 Y 功能 / 协议层）

采用 AES-GCM 加密算法，兼顾安全与传输速度

UALinkSec 与 UALink 的其他网络层实现了清晰的解耦，这使其非常适合通过专用硬件协处理器模块来实现。但加密算法的运算本身属于高负载任务，而 AI 数据中心的能效问题正日益受到关注，尤其是能效消耗会随 AI 节点数量的增加而同步攀升。在加密运算的设计中，运算耗时和功耗是核心考量指标，而能否做好这一点，关键只在一个简单的决策：选择合适的加密算法。若算法本身具备高效性，那么围绕其搭建运算架构、以更低功耗实现加密数据的线速传输，就会成为一项更易实现的任务。

在制定全新的安全规范时，研发者可选择一款兼具安全性与高速性的现代加密算法，而 UALinkSec 最终选定了 AES-GCM 算法。该算法是高级加密标准（AES）的衍生版本，基于伽罗华 / 计数器模式实现，是一款超高速的对称密钥分组密码算法，通过低成本的专用硬件即可充分释放其高速运算的潜力。

基于上述设计背景，新思科技研发了全新的 IP 模块 ——UALinkSec_200 安全模块，作为 UALink 控制器 IP 和 224G PHY IP 的配套产品，共同构成一套完整的 UALink IP 解决方案。该安全模块完全符合 UALink 200 规范中关于 UALinkSec 组件的各项要求，除核心的加解密功能外，还支持密钥派生功能和可选的身份认证功能，且所有功能均可在 UALink 单通道 200 吉比特 / 秒的全速下运行。模块的结构框图清晰展示了其对发送和接收两条数据通路的处理逻辑：

（UALinkSec 200 安全模块结构框图）