借助新思科技MACsec安全模块的以太网解决方案

随着接入云端的器件数量呈指数级增长，加之传感器、应用与服务的种类不断丰富，数据流量迎来爆发式增长，带宽需求也因此水涨船高。这进而推动了以太网、PCIe/CXL、DDR等高带宽接口的普及——这些接口为更快的数据传输、更强的处理能力和更大的存储容量提供了支撑。在互联互通的生态系统中，端到端的数据安全已变得至关重要：无论是数据处于静态存储状态，还是在动态传输过程中（包括器件与云端的通信环节，以及数据在器件内的处理或存储阶段），安全保障都不可或缺。

计算机、服务器、集线器、路由器等连入以太网的设备，其应用场景正全方位拓展至高性能计算、5G、移动终端及汽车等领域，且所有场景都对安全性提出要求。互联网及其他以太网网络的安全核心在于加密：加密应用越深入，攻击者窃取数据、窃听通信或破坏系统的难度就越大。

为何要对以太网流量进行加密？

原因不胜枚举，其中最常见的一点是合规性要求——这往往涉及一项或多项关于敏感数据或个人身份信息处理的标准。这类标准的示例包括美国1996年《健康保险流通与责任法案》（HIPAA），以及欧盟与之类似的《通用数据保护条例》（GDPR）。对于收集和使用儿童数据的机构而言，《家庭教育权利与隐私法案》（FERPA）中的相关条款同样可能适用。即便未发生数据泄露，违反适用标准也可能招致重罚。

数据窃取并非仅针对受监管内容——任何研究成果、知识产权、专有数据或代码都可能成为窃取或恶意篡改的目标。入侵检测与防御的核心前提，是保障账户凭证及敏感/高价值数据在传输中的私密性。源验证与身份认证服务是这一基础设施的关键要素；值得注意的是，并非所有数据泄露都来自组织外部，而基于权限的数据管理，也高度依赖安全（私密且可靠）的身份验证。

什么是MACsec？

保障以太网流量安全的核心标准是MACsec。MACsec为以太网连接设备间的动态数据提供安全防护，可抵御网络通信面临的拒绝服务（DoS）攻击、窃听及中间人攻击。

作为基于AES-GCM加密算法的成熟协议，MACsec通过提供机密性、数据完整性、数据来源真实性及防重放保护，为数据链路层（通信的起始环节）筑牢安全防线。

OSI协议栈安全协议及MACsec的定位

互联网或其他以太网网络的安全性依赖于加密技术，通过共享的认证密钥保障通信的私密性、完整性与真实性。以太网流量的加密方式有多种，且分别作用于其依托的OSI协议栈的不同层级：

TLS：1999年推出，是对SSL的增强，部署在TCP/IP协议的传输层（OSI第4层）。DTLS最初于2006年4月通过RFC 4347提出，适用于UDP/IP等数据报协议（同样位于第4层）。因此，TLS和DTLS不局限于以太网环境，但每次只能保护单个数据流或一条通信信道。TLS可保护网页浏览器、客户端应用以及这些应用与云服务之间的所有通信。HTTPS和SSH等协议都能借助TLS实现安全传输，且其部署完全由软件控制。

IPsec：若需通过加密手段保护网络（以及所有基于IP协议传输的内容），IPsec是一种可行方案。它部署在OSI协议栈的网络层（第3层），常以VPN连接的形式实现。IPsec通常作为软件栈部署，由用户自主选择使用。

MACsec：当以太网网络要求对所有流量进行加密（无论涉及何种上层协议）时，需要在硬件层面（链路层或媒体接入层，即OSI第2层）强制实施加密。而这正是MACsec（又名IEEE 802.1AE）的用武之地。MACsec用于保护网络与网络之间或设备与网络之间的连接。在以太网中，若加密控制在高层协议实施，每条连接（主机到主机、主机到交换机或交换机到交换机）上会同时存在加密流量和未加密流量；但一旦为某条链路启用MACsec，该连接上的所有流量都会被加密，避免遭受窥探。与上层同类安全协议一样，MACsec同样提供加密与认证服务，具体通过在以太网帧中添加两个额外字段实现：

○安全标签：是EtherType字段的扩展，也用于VLAN标记

○ 消息认证码（ICV）：用于定义完整性校验值算法

建立MACsec加密连接涉及以下五个步骤：

步骤1：通过预共享密钥（PSK）建立通信双方的双向认证。

步骤2：认证成功后，双方交换安全的连接关联密钥名称（CKN），以此在彼此间建立连接关联。同时，利用连接关联密钥（CAK，本质上是一种密钥）对MKA ICV进行验证。

步骤3：根据两个端点的优先级值，选举其中一方作为密钥服务器，另一方则作为密钥客户端。

步骤4：随后，密钥服务器生成安全关联密钥（SAK）并分发给密钥客户端（对等设备），从而建立安全关联。

步骤5：此时，通信双方即可开始交换加密数据。

与在OSI协议栈上层实现的安全方案相比，基于硬件的MACsec加密还能提供最低的安全延迟。

新思科技以太网解决方案（含MACsec安全功能）

新思科技MACsec安全模块可为交换机、路由器及桥接器的片上系统（SoC）提供全面安全防护，通过保障数据机密性、完整性、源认证及重放保护，有效抵御拒绝服务（DoS）攻击、窃听与中间人攻击，广泛适用于云计算、5G、移动及汽车等应用场景。

这些模块符合标准且支持全双工模式，能与新思科技以太网MAC及PCS IP无缝集成，在支持可扩展数据速率的同时，兼具低延迟特性，可实现网络优先级划分，并为各类安全以太网连接提供多样化支持。图1展示了集成新思科技MACsec模块的以太网解决方案，该方案能帮助片上系统（SoC）开发者在系统中快速集成安全功能，加快产品上市速度、降低开发风险。

▲图1：新思科技以太网安全解决方案框图

借助新思科技MACsec安全模块，开发者可获得以下优势：

符合IEEE 802.1AE标准

支持每帧安全处理，包括封装/解封装和帧验证

基于流水线AES-GCM加密技术，实现高达100+ Gbps的可扩展吞吐量，且延迟优化

模式

○加密/解密和认证

○ 仅身份验证

128位和256位密钥长度

固定的入口/出口延迟

支持符合IEEE 802.1AEbn标准的扩展包编号

支持巨型帧

安全标签（SecTag）插入和移除

可配置的安全通道和关联数量

可配置的重放保护窗口大小

可配置的偏移量

可编程的机密性偏移量

VLAN标签明文传输

可选择的旁路模式

结语

数据留存政策在全球范围内千差万别；政府机构也可能试图依据监控、所有权、监管政策或相关法规，主张对数据的访问权或留存权。仅对静态数据进行加密并不足以提供充分保护。为确保数据在穿越互联网基础设施中未知且不受控的环节时仍能保持私密性与完整性，可能需要采用多层网络加密机制。若缺乏加密技术提供的验证与保护，零日漏洞、恶意软件及病毒便会有机可乘，轻易构成威胁。

保障以太网流量安全的主要标准是MACsec，它能为以太网连接设备之间的动态数据保驾护航。MACsec协商第一步中使用的预共享密钥可阻止非可信设备接入受保护的以太网架构。在共享基础设施上进行计算会使这一挑战更趋复杂——除非能验证某一连接是安全的，否则切勿轻信！

通过在新思科技以太网IP解决方案中集成新思科技MACsec安全模块，网络片上系统（SoC）开发者能够保护高速网络流量，实现以太网连接设备之间动态数据的端到端安全防护。