隨著接入云端的器件數(shù)量呈指數(shù)級增長，加之傳感器、應(yīng)用與服務(wù)的種類不斷豐富，數(shù)據(jù)流量迎來爆發(fā)式增長，帶寬需求也因此水漲船高。這進(jìn)而推動了以太網(wǎng)、PCIe/CXL、DDR等高帶寬接口的普及——這些接口為更快的數(shù)據(jù)傳輸、更強(qiáng)的處理能力和更大的存儲容量提供了支撐。在互聯(lián)互通的生態(tài)系統(tǒng)中，端到端的數(shù)據(jù)安全已變得至關(guān)重要：無論是數(shù)據(jù)處于靜態(tài)存儲狀態(tài)，還是在動態(tài)傳輸過程中（包括器件與云端的通信環(huán)節(jié)，以及數(shù)據(jù)在器件內(nèi)的處理或存儲階段），安全保障都不可或缺。

計(jì)算機(jī)、服務(wù)器、集線器、路由器等連入以太網(wǎng)的設(shè)備，其應(yīng)用場景正全方位拓展至高性能計(jì)算、5G、移動終端及汽車等領(lǐng)域，且所有場景都對安全性提出要求?；ヂ?lián)網(wǎng)及其他以太網(wǎng)網(wǎng)絡(luò)的安全核心在于加密：加密應(yīng)用越深入，攻擊者竊取數(shù)據(jù)、竊聽通信或破壞系統(tǒng)的難度就越大。

為何要對以太網(wǎng)流量進(jìn)行加密？

原因不勝枚舉，其中最常見的一點(diǎn)是合規(guī)性要求——這往往涉及一項(xiàng)或多項(xiàng)關(guān)于敏感數(shù)據(jù)或個(gè)人身份信息處理的標(biāo)準(zhǔn)。這類標(biāo)準(zhǔn)的示例包括美國1996年《健康保險(xiǎn)流通與責(zé)任法案》（HIPAA），以及歐盟與之類似的《通用數(shù)據(jù)保護(hù)條例》（GDPR）。對于收集和使用兒童數(shù)據(jù)的機(jī)構(gòu)而言，《家庭教育權(quán)利與隱私法案》（FERPA）中的相關(guān)條款同樣可能適用。即便未發(fā)生數(shù)據(jù)泄露，違反適用標(biāo)準(zhǔn)也可能招致重罰。

數(shù)據(jù)竊取并非僅針對受監(jiān)管內(nèi)容——任何研究成果、知識產(chǎn)權(quán)、專有數(shù)據(jù)或代碼都可能成為竊取或惡意篡改的目標(biāo)。入侵檢測與防御的核心前提，是保障賬戶憑證及敏感/高價(jià)值數(shù)據(jù)在傳輸中的私密性。源驗(yàn)證與身份認(rèn)證服務(wù)是這一基礎(chǔ)設(shè)施的關(guān)鍵要素；值得注意的是，并非所有數(shù)據(jù)泄露都來自組織外部，而基于權(quán)限的數(shù)據(jù)管理，也高度依賴安全（私密且可靠）的身份驗(yàn)證。

什么是MACsec？

保障以太網(wǎng)流量安全的核心標(biāo)準(zhǔn)是MACsec。MACsec為以太網(wǎng)連接設(shè)備間的動態(tài)數(shù)據(jù)提供安全防護(hù)，可抵御網(wǎng)絡(luò)通信面臨的拒絕服務(wù)（DoS）攻擊、竊聽及中間人攻擊。

作為基于AES-GCM加密算法的成熟協(xié)議，MACsec通過提供機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)來源真實(shí)性及防重放保護(hù)，為數(shù)據(jù)鏈路層（通信的起始環(huán)節(jié)）筑牢安全防線。

OSI協(xié)議棧安全協(xié)議及MACsec的定位

互聯(lián)網(wǎng)或其他以太網(wǎng)網(wǎng)絡(luò)的安全性依賴于加密技術(shù)，通過共享的認(rèn)證密鑰保障通信的私密性、完整性與真實(shí)性。以太網(wǎng)流量的加密方式有多種，且分別作用于其依托的OSI協(xié)議棧的不同層級：

TLS：1999年推出，是對SSL的增強(qiáng)，部署在TCP/IP協(xié)議的傳輸層（OSI第4層）。DTLS最初于2006年4月通過RFC 4347提出，適用于UDP/IP等數(shù)據(jù)報(bào)協(xié)議（同樣位于第4層）。因此，TLS和DTLS不局限于以太網(wǎng)環(huán)境，但每次只能保護(hù)單個(gè)數(shù)據(jù)流或一條通信信道。TLS可保護(hù)網(wǎng)頁瀏覽器、客戶端應(yīng)用以及這些應(yīng)用與云服務(wù)之間的所有通信。HTTPS和SSH等協(xié)議都能借助TLS實(shí)現(xiàn)安全傳輸，且其部署完全由軟件控制。

IPsec：若需通過加密手段保護(hù)網(wǎng)絡(luò)（以及所有基于IP協(xié)議傳輸?shù)膬?nèi)容），IPsec是一種可行方案。它部署在OSI協(xié)議棧的網(wǎng)絡(luò)層（第3層），常以VPN連接的形式實(shí)現(xiàn)。IPsec通常作為軟件棧部署，由用戶自主選擇使用。

MACsec：當(dāng)以太網(wǎng)網(wǎng)絡(luò)要求對所有流量進(jìn)行加密（無論涉及何種上層協(xié)議）時(shí)，需要在硬件層面（鏈路層或媒體接入層，即OSI第2層）強(qiáng)制實(shí)施加密。而這正是MACsec（又名IEEE 802.1AE）的用武之地。MACsec用于保護(hù)網(wǎng)絡(luò)與網(wǎng)絡(luò)之間或設(shè)備與網(wǎng)絡(luò)之間的連接。在以太網(wǎng)中，若加密控制在高層協(xié)議實(shí)施，每條連接（主機(jī)到主機(jī)、主機(jī)到交換機(jī)或交換機(jī)到交換機(jī)）上會同時(shí)存在加密流量和未加密流量；但一旦為某條鏈路啟用MACsec，該連接上的所有流量都會被加密，避免遭受窺探。與上層同類安全協(xié)議一樣，MACsec同樣提供加密與認(rèn)證服務(wù)，具體通過在以太網(wǎng)幀中添加兩個(gè)額外字段實(shí)現(xiàn)：

○安全標(biāo)簽：是EtherType字段的擴(kuò)展，也用于VLAN標(biāo)記

○ 消息認(rèn)證碼（ICV）：用于定義完整性校驗(yàn)值算法

建立MACsec加密連接涉及以下五個(gè)步驟：

步驟1：通過預(yù)共享密鑰（PSK）建立通信雙方的雙向認(rèn)證。

步驟2：認(rèn)證成功后，雙方交換安全的連接關(guān)聯(lián)密鑰名稱（CKN），以此在彼此間建立連接關(guān)聯(lián)。同時(shí)，利用連接關(guān)聯(lián)密鑰（CAK，本質(zhì)上是一種密鑰）對MKA ICV進(jìn)行驗(yàn)證。

步驟3：根據(jù)兩個(gè)端點(diǎn)的優(yōu)先級值，選舉其中一方作為密鑰服務(wù)器，另一方則作為密鑰客戶端。

步驟4：隨后，密鑰服務(wù)器生成安全關(guān)聯(lián)密鑰（SAK）并分發(fā)給密鑰客戶端（對等設(shè)備），從而建立安全關(guān)聯(lián)。

步驟5：此時(shí)，通信雙方即可開始交換加密數(shù)據(jù)。

與在OSI協(xié)議棧上層實(shí)現(xiàn)的安全方案相比，基于硬件的MACsec加密還能提供最低的安全延遲。

新思科技以太網(wǎng)解決方案（含MACsec安全功能）

新思科技MACsec安全模塊可為交換機(jī)、路由器及橋接器的片上系統(tǒng)（SoC）提供全面安全防護(hù)，通過保障數(shù)據(jù)機(jī)密性、完整性、源認(rèn)證及重放保護(hù)，有效抵御拒絕服務(wù)（DoS）攻擊、竊聽與中間人攻擊，廣泛適用于云計(jì)算、5G、移動及汽車等應(yīng)用場景。

這些模塊符合標(biāo)準(zhǔn)且支持全雙工模式，能與新思科技以太網(wǎng)MAC及PCS IP無縫集成，在支持可擴(kuò)展數(shù)據(jù)速率的同時(shí)，兼具低延遲特性，可實(shí)現(xiàn)網(wǎng)絡(luò)優(yōu)先級劃分，并為各類安全以太網(wǎng)連接提供多樣化支持。圖1展示了集成新思科技MACsec模塊的以太網(wǎng)解決方案，該方案能幫助片上系統(tǒng)（SoC）開發(fā)者在系統(tǒng)中快速集成安全功能，加快產(chǎn)品上市速度、降低開發(fā)風(fēng)險(xiǎn)。

▲圖1：新思科技以太網(wǎng)安全解決方案框圖

借助新思科技MACsec安全模塊，開發(fā)者可獲得以下優(yōu)勢：

符合IEEE 802.1AE標(biāo)準(zhǔn)

支持每幀安全處理，包括封裝/解封裝和幀驗(yàn)證

基于流水線AES-GCM加密技術(shù)，實(shí)現(xiàn)高達(dá)100+ Gbps的可擴(kuò)展吞吐量，且延遲優(yōu)化

模式

○加密/解密和認(rèn)證

○ 僅身份驗(yàn)證

128位和256位密鑰長度

固定的入口/出口延遲

支持符合IEEE 802.1AEbn標(biāo)準(zhǔn)的擴(kuò)展包編號

支持巨型幀

安全標(biāo)簽（SecTag）插入和移除

可配置的安全通道和關(guān)聯(lián)數(shù)量

可配置的重放保護(hù)窗口大小

可配置的偏移量

可編程的機(jī)密性偏移量

VLAN標(biāo)簽明文傳輸

可選擇的旁路模式

結(jié)語

數(shù)據(jù)留存政策在全球范圍內(nèi)千差萬別；政府機(jī)構(gòu)也可能試圖依據(jù)監(jiān)控、所有權(quán)、監(jiān)管政策或相關(guān)法規(guī)，主張對數(shù)據(jù)的訪問權(quán)或留存權(quán)。僅對靜態(tài)數(shù)據(jù)進(jìn)行加密并不足以提供充分保護(hù)。為確保數(shù)據(jù)在穿越互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中未知且不受控的環(huán)節(jié)時(shí)仍能保持私密性與完整性，可能需要采用多層網(wǎng)絡(luò)加密機(jī)制。若缺乏加密技術(shù)提供的驗(yàn)證與保護(hù)，零日漏洞、惡意軟件及病毒便會有機(jī)可乘，輕易構(gòu)成威脅。

保障以太網(wǎng)流量安全的主要標(biāo)準(zhǔn)是MACsec，它能為以太網(wǎng)連接設(shè)備之間的動態(tài)數(shù)據(jù)保駕護(hù)航。MACsec協(xié)商第一步中使用的預(yù)共享密鑰可阻止非可信設(shè)備接入受保護(hù)的以太網(wǎng)架構(gòu)。在共享基礎(chǔ)設(shè)施上進(jìn)行計(jì)算會使這一挑戰(zhàn)更趨復(fù)雜——除非能驗(yàn)證某一連接是安全的，否則切勿輕信！

通過在新思科技以太網(wǎng)IP解決方案中集成新思科技MACsec安全模塊，網(wǎng)絡(luò)片上系統(tǒng)（SoC）開發(fā)者能夠保護(hù)高速網(wǎng)絡(luò)流量，實(shí)現(xiàn)以太網(wǎng)連接設(shè)備之間動態(tài)數(shù)據(jù)的端到端安全防護(hù)。