不法分子經(jīng)常通過中間人攻擊、竊聽、拒絕服務(wù)、權(quán)限升級等以太網(wǎng)絡(luò)中的漏洞來竊取數(shù)據(jù)，而數(shù)據(jù)正是我們這個時代最有價值的資產(chǎn)之一。隨著技術(shù)進(jìn)步，世界變得更加互聯(lián)，每臺設(shè)備都愈發(fā)智能，但與此同時，數(shù)據(jù)在網(wǎng)絡(luò)傳輸時被竊取或破壞的途徑也在增多。以太網(wǎng)互連的觸角正在伸向各處，包括服務(wù)器、存儲、路由器、交換機(jī)、計算機(jī)等設(shè)備，近年來也開始廣泛應(yīng)用于汽車領(lǐng)域。

面對一系列針對片上系統(tǒng)（SoC）接口的潛在安全漏洞，保護(hù)以太網(wǎng)接口對于保障網(wǎng)絡(luò)安全至關(guān)重要。網(wǎng)絡(luò)攻擊導(dǎo)致的影響切實(shí)存在，據(jù)Statista統(tǒng)計，2022年，單次數(shù)據(jù)攻擊導(dǎo)致的全球平均損失為435萬美元。為防止數(shù)據(jù)泄露并保護(hù)以太網(wǎng)絡(luò)安全，一個有效方法是使用IEEE 802.1AE標(biāo)準(zhǔn)中定義的媒介訪問控制安全（MACsec）點(diǎn)對點(diǎn)協(xié)議，IEEE 802.1AE標(biāo)準(zhǔn)是以太網(wǎng)安全領(lǐng)域最常用的標(biāo)準(zhǔn)。本文將探討推動以太網(wǎng)安全發(fā)展的關(guān)鍵行業(yè)、以太網(wǎng)安全面臨的挑戰(zhàn)，以及如何使用MACsec協(xié)議更好地保護(hù)以太網(wǎng)接口。

什么是MACSec協(xié)議？

MACsec是一種安全協(xié)議，通過加密以太網(wǎng)連接設(shè)備之間的數(shù)據(jù)來防止網(wǎng)絡(luò)數(shù)據(jù)泄露。MACsec最初由IEEE于2006年推出，用于保護(hù)以太網(wǎng)絡(luò)，并分別于2011年和2013年進(jìn)行了更新。近年來，汽車、5G、移動通信和高性能計算（HPC）等行業(yè)的快速發(fā)展推動了對更高安全性的需求。MACsec協(xié)議并非新技術(shù)，如今仍可使用它來保護(hù)以太網(wǎng)接口，滿足最新要求，更好地保護(hù)整個系統(tǒng)。

MACsec的核心是AES-GCM加密技術(shù)，與PCI Express（PCIe）和CXL安全防護(hù)中使用的加密技術(shù)相同。具體來說，它可以保護(hù)系統(tǒng)免受數(shù)據(jù)鏈路層上（數(shù)據(jù)通信的開始位置）發(fā)生的攻擊。數(shù)據(jù)鏈路層是開放式系統(tǒng)互連（OSI）網(wǎng)絡(luò)模型的第二層，靠近整個網(wǎng)絡(luò)堆棧的底部，位于物理層上方。通過保護(hù)第二層，可為第二層以上直至頂部應(yīng)用層的整個網(wǎng)絡(luò)堆棧奠定安全基礎(chǔ)，提供數(shù)據(jù)有效載荷完整性和機(jī)密性，從而實(shí)現(xiàn)端到端的安全防護(hù)，保護(hù)系統(tǒng)免受漏洞攻擊，例如MAC過載攻擊、端口竊取和廣播攻擊。

▲基于AES-GCM加密技術(shù)的MACsec構(gòu)成了網(wǎng)絡(luò)堆棧端到端安全防護(hù)的基礎(chǔ)。

使用MACsec協(xié)議來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)有以下優(yōu)勢：

數(shù)據(jù)機(jī)密性：通過加密實(shí)現(xiàn)數(shù)據(jù)機(jī)密性，防止數(shù)據(jù)（MAC幀）被未獲授權(quán)方監(jiān)聽。

數(shù)據(jù)完整性：通過身份驗(yàn)證實(shí)現(xiàn)數(shù)據(jù)完整性，確保MAC幀在傳輸過程中無法在未被檢測到的情況下被篡改。

數(shù)據(jù)來源證明：保證MAC幀由經(jīng)過身份驗(yàn)證的設(shè)備發(fā)送。

防止重放攻擊：確保從網(wǎng)絡(luò)中惡意復(fù)制的MAC幀不會在未被檢測到的情況下被重新發(fā)送。

有界接收延遲：防止MAC幀被中間人攔截，并確?？蓹z測到超過幾秒鐘的延遲。

除了以上安全特性外，MACsec還具有其他優(yōu)勢，比如支持?jǐn)U展到高速網(wǎng)絡(luò)，以實(shí)現(xiàn)最新的接口速率。它還可以完全在硬件中實(shí)現(xiàn)，并且由于采用了預(yù)處理，能夠盡可能地縮短延遲。

汽車、5G/移動通信和HPC推動了以太網(wǎng)安全發(fā)展

無論身處哪個行業(yè)，都會切實(shí)面臨數(shù)據(jù)損壞和未獲授權(quán)訪問的威脅。雖然敏感度或嚴(yán)重程度因信息而異，但事實(shí)上所有電子系統(tǒng)都容易受到攻擊。

以下是一些有助于推動以太網(wǎng)安全發(fā)展的行業(yè)：

汽車

近些年來，自動駕駛、OTA軟件更新、共享連接和移動出行等創(chuàng)新技術(shù)開始進(jìn)入汽車行業(yè)，推動了對于增強(qiáng)數(shù)據(jù)安全和縱深防御的需求。

對于汽車而言，網(wǎng)絡(luò)的完整性不僅關(guān)系到數(shù)據(jù)安全，還關(guān)系到道路安全。正因如此，汽車行業(yè)一直是各種接口安全的推動者。如今，MACsec已在電子控制單元（ECU）中采用，并且非常適合幾乎所有車載網(wǎng)絡(luò)安全用例。

主要挑戰(zhàn)——信息安全防護(hù)措施必須同時符合功能安全合規(guī)要求

在汽車設(shè)計中，信息安全和功能安全同樣重要，彼此相互依賴。換言之，在實(shí)施信息安全防護(hù)措施的同時，必須具備功能安全機(jī)制、滿足功能安全合規(guī)要求并提供所有功能安全文檔。例如，汽車設(shè)計中的一項(xiàng)常見要求是減輕ISO 26262中汽車安全完整性等級D（ASIL-D）風(fēng)險分類中定義的最高級別風(fēng)險或傷害，此類功能安全要求必須與信息安全一起高效實(shí)施。

5G/移動通信

多年來，移動通信計算中一直在使用MACsec來保護(hù)以太網(wǎng)安全，但由于需要在多樣化的5G應(yīng)用領(lǐng)域進(jìn)一步優(yōu)化，傳統(tǒng)的MACsec解決方案開始發(fā)生轉(zhuǎn)變。

主要挑戰(zhàn)——支持聚合，提供可擴(kuò)展的性能和面積高效的解決方案，適用于各種用例

5G涉及大量通信，需要增強(qiáng)的移動寬帶，從而提供多分段網(wǎng)絡(luò)、多連接網(wǎng)絡(luò)功能等。因此，除了單端口解決方案外，還需要考慮多端口，相比于過去，如今需要更高效的可配置性，而且要支持聚合并具有可擴(kuò)展的性能。

高性能計算（HPC）

在高性能計算領(lǐng)域，面向PCIe和CXL的接口安全已被迅速采用，因此，對于高性能以太網(wǎng)MACsec的采用也有可能遵循類似的軌跡。800G和1.6T的以太網(wǎng)速度在過去似乎遙不可及，但現(xiàn)在正在成為現(xiàn)實(shí)。HPC需要更快的速度和更高的帶寬，因此也成為了MACsec解決方案發(fā)展的主要推動因素。

主要挑戰(zhàn)——擴(kuò)展至高數(shù)據(jù)速率和多樣化帶寬，同時保持盡可能小的延遲和面積

雖然MACsec協(xié)議允許通過AES-GCM流水化加密來擴(kuò)展至高數(shù)據(jù)速率，但這對于云服務(wù)來說可能有些棘手，因?yàn)閿U(kuò)展速率時需要支持多種高性能接口帶寬。在高性能計算領(lǐng)域中，以太網(wǎng)接口安全面臨的挑戰(zhàn)就在于，要在滿足上述要求的同時，保持盡可能小的延遲和面積。

如今的高級系統(tǒng)都非常復(fù)雜，因此在數(shù)據(jù)安全方面，并不存在一種通用的解決方案。此外，接口的數(shù)量不斷增加，同時還不斷有新的法律和法規(guī)出臺，力求解決數(shù)據(jù)隱私和系統(tǒng)安全問題。SoC安全防護(hù)措施除了要滿足行業(yè)和用例的獨(dú)特需求，還應(yīng)在整體系統(tǒng)設(shè)計中發(fā)揮全面作用，在離線、啟動和運(yùn)行期間提供安全保護(hù)。

但要如何滿足所有這些要求并保障以太網(wǎng)絡(luò)的安全呢？

明智地選擇接口安全合作伙伴

從頭構(gòu)建安全防護(hù)并非易事。為簡化設(shè)計路徑并降低風(fēng)險，應(yīng)考慮使用完整且經(jīng)過驗(yàn)證的安全解決方案。新思科技在接口安全解決方案方面擁有豐富的經(jīng)驗(yàn)，比如具有完整性和數(shù)據(jù)加密（IDE）的安全PCIe和CXL接口、具有內(nèi)嵌存儲加密（IME）的安全DDR/LPDDR接口、具有HDCP 2.3安全防護(hù)的安全HDMI和DisplayPort接口、具有MACsec的以太網(wǎng)接口等。我們的解決方案符合標(biāo)準(zhǔn)并經(jīng)過驗(yàn)證，有助于開發(fā)者降低風(fēng)險。與新思科技合作，開發(fā)者可以獲得經(jīng)驗(yàn)豐富的安全專家和完整解決方案的支持，從而能夠騰出更多時間打造核心競爭力，快速地將差異化產(chǎn)品推向市場。

無論開發(fā)者需要的是符合功能安全要求的信息安全、可自定義的配置，還是在控制延遲和面積的情況下擴(kuò)展帶寬和速度，新思科技以太網(wǎng)IP解決方案和MACsec安全模塊都能助開發(fā)者一臂之力，為以太網(wǎng)流量提供端到端的安全防護(hù)。新思科技MACsec安全模塊是完整的內(nèi)嵌式全雙工解決方案，可與新思科技以太網(wǎng)MAC和PCS IP無縫集成，支持?jǐn)?shù)據(jù)速率擴(kuò)展和低延遲。我們還在產(chǎn)品組合中添加了經(jīng)過驗(yàn)證、預(yù)集成和嵌入式的MACSec解決方案，為最終用戶打造無縫體驗(yàn)。長期以來，我們一直都在為客戶提供整體的設(shè)計解決方案，助力客戶實(shí)現(xiàn)更強(qiáng)大的集成式安全防護(hù)，滿足先進(jìn)設(shè)計中的需求。

我們將不斷推出新的安全解決方案，與客戶一起打造安全可靠的未來。新思科技擁有先進(jìn)的技術(shù)和豐富的經(jīng)驗(yàn)，能夠幫助開發(fā)者保護(hù)SoC中的各種接口，可提供用于以太網(wǎng)的MACsec解決方案等產(chǎn)品。我們的安全接口IP產(chǎn)品不僅能讓應(yīng)用保持安全可靠，還有助于簡化設(shè)計流程，讓開發(fā)者能夠以更低的風(fēng)險更快地進(jìn)入市場。