以太网安全依赖于高效的介质访问控制安全 (MACsec)

简介

由于连接到云的设备数量呈指数级增长，加之传感器、应用和服务种类越来越多，从而导致数据流量激增，对带宽的需求不断增加。这反过来又推动了以太网、PCIe/CXL 和 DDR 等高带宽接口的普及，以保持更快的数据移动，并提高处理和存储能力。互联生态系统中的端到端数据安全比以往任何时候都更加重要，无论静态数据还是动态数据，它们在设备和云之间传输，或是在设备中被处理或存储。

计算机、服务器、集线器、路由器等以太网连接设备逐渐延伸到包括高性能计算、5G、移动和汽车市场在内的各个领域，所有这些领域都需要安全保障。互联网或任何其他以太网网络的安全都取决于加密。使用的加密方法越多，攻击者越难窃取数据、窃听通信和/或破坏系统。

互联网或任何其他以太网网络的安全都取决于加密，加密使用经过身份验证的共享密钥，以确保通信隐私、完整性和身份验证。有多种不同的方式可以对以太网流量进行加密，每种方式的加密分别发生在作为基础的 OSI 堆栈的不同层：

• TLS 于 1999 年制定，作为对 SSL 的增强，在 TCP/IP 的传输层（OSI 的第 4 层）实现。DTLS 最初于 2006 年 4 月通过 RFC 4347 提出，适用于数据报协议，例如 UDP/IP（也是第 4 层）。因此，它不仅局限于以太网，但一次只能保护单个数据流或一个通信通道。TLS 保护网络浏览器、客户端应用程序以及所有应用程序与云服务的通信。HTTPS 和 SSH 是可以利用 TLS 的其中两个协议，它们的实现完全在软件的控制范围内。
• IPsec：如果需要加密来保护网络（以及遍历 IP 协议的任何其他内容），则 IPsec 是理想之选。IPsec 在 OSI 堆栈的网络层（第 3 层）实现，通常作为 VPN 连接。IPsec 通常作为软件堆栈实现，由用户自愿使用。
  
• MACsec：当需要对所有以太网流量，无论涉及的上层协议如何，都进行加密时，则需要在硬件级别（链路或媒体访问层 2）执行加密。好消息是，这正是 MACsec（也称为 IEEE 802.1AE）的作用所在。MACsec 用于保护网络到网络或设备到网络的连接。如果在更高层对加密施加控制，则以太网网络上的每个连接（主机到主机、主机到交换机或交换机到交换机）将遍历已加密和未加密的流量，但是，一旦链路启用了 MACsec，该连接上的所有流量都将受到保护，免遭窥探。与上层协议一样，MACsec 通过向以太网帧添加两个额外字段来提供加密和身份验证服务：
  
  • 安全标签，是 EtherType 字段的扩展，也用于 VLAN 标记
  • 消息身份验证代码 (ICV) 用于定义完整性检查值算法

设置 MACsec 加密连接涉及五个步骤：

• 第 1 步：使用预共享密钥 (PSK) 建立相互对等身份验证。
• 第 2 步：身份验证成功后，交换安全连接关联密钥名称 (CKN)，以在对等设备之间形成连接关联。MKA ICV 使用连接关联密钥 (CAK) 进行验证（该密钥实际上是私钥）。
• 第 3 步：两个端点的优先级值用于选择哪个设备成为密钥服务器，另一个设备则充当密钥客户端。
• 第 4 步：然后，密钥服务器生成安全关联密钥 (SAK) 并将其分发给密钥客户端（对等设备），以形成安全关联。
• 第 5 步：现在可以在对等设备之间交换加密数据了。

与在 OSI 堆栈的更高层实现的方案相比，MACsec 硬件加密是延迟最低的安全保护方案。

借助 Synopsys MACsec 安全模块，设计人员可以利用以下优势：

• 符合 IEEE 802.1AE 标准
• 每帧安全处理，包括封装/解封装和帧验证
• 基于流水线 AES-GCM 加密的可扩展吞吐量，高达 100 Gbps 以上，而且延迟更低
• 模式
  • 加密/解密和身份验证
  • 仅身份验证
• 128 位和 256 位密钥大小
• 固定入口/出口延迟
• 符合 IEEE 802.1AEbn 标准的扩展数据包编号
• 巨型帧支持
• 安全标签插入和移除
• 可配置的安全通道和关联数量
• 可配置的重放保护窗口大小
• 可配置的偏移
• 可编程的机密性补偿
• 明确支持的 VLAN 标签
• 可选旁路模式