隨著接入云端的器件數(shù)量呈指數(shù)級增長，加之傳感器、應用與服務的種類不斷豐富，數(shù)據(jù)流量迎來爆發(fā)式增長，帶寬需求也因此水漲船高。這進而推動了以太網(wǎng)、PCIe/CXL、DDR等高帶寬接口的普及——這些接口為更快的數(shù)據(jù)傳輸、更強的處理能力和更大的存儲容量提供了支撐。在互聯(lián)互通的生態(tài)系統(tǒng)中，端到端的數(shù)據(jù)安全已變得至關重要：無論是數(shù)據(jù)處于靜態(tài)存儲狀態(tài)，還是在動態(tài)傳輸過程中（包括器件與云端的通信環(huán)節(jié)，以及數(shù)據(jù)在器件內(nèi)的處理或存儲階段），安全保障都不可或缺。

計算機、服務器、集線器、路由器等連入以太網(wǎng)的設備，其應用場景正全方位拓展至高性能計算、5G、移動終端及汽車等領域，且所有場景都對安全性提出要求?；ヂ?lián)網(wǎng)及其他以太網(wǎng)網(wǎng)絡的安全核心在于加密：加密應用越深入，攻擊者竊取數(shù)據(jù)、竊聽通信或破壞系統(tǒng)的難度就越大。

為何要對以太網(wǎng)流量進行加密？

原因不勝枚舉，其中最常見的一點是合規(guī)性要求——這往往涉及一項或多項關于敏感數(shù)據(jù)或個人身份信息處理的標準。這類標準的示例包括美國1996年《健康保險流通與責任法案》（HIPAA），以及歐盟與之類似的《通用數(shù)據(jù)保護條例》（GDPR）。對于收集和使用兒童數(shù)據(jù)的機構而言，《家庭教育權利與隱私法案》（FERPA）中的相關條款同樣可能適用。即便未發(fā)生數(shù)據(jù)泄露，違反適用標準也可能招致重罰。

數(shù)據(jù)竊取并非僅針對受監(jiān)管內(nèi)容——任何研究成果、知識產(chǎn)權、專有數(shù)據(jù)或代碼都可能成為竊取或惡意篡改的目標。入侵檢測與防御的核心前提，是保障賬戶憑證及敏感/高價值數(shù)據(jù)在傳輸中的私密性。源驗證與身份認證服務是這一基礎設施的關鍵要素；值得注意的是，并非所有數(shù)據(jù)泄露都來自組織外部，而基于權限的數(shù)據(jù)管理，也高度依賴安全（私密且可靠）的身份驗證。

什么是MACsec？

保障以太網(wǎng)流量安全的核心標準是MACsec。MACsec為以太網(wǎng)連接設備間的動態(tài)數(shù)據(jù)提供安全防護，可抵御網(wǎng)絡通信面臨的拒絕服務（DoS）攻擊、竊聽及中間人攻擊。

作為基于AES-GCM加密算法的成熟協(xié)議，MACsec通過提供機密性、數(shù)據(jù)完整性、數(shù)據(jù)來源真實性及防重放保護，為數(shù)據(jù)鏈路層（通信的起始環(huán)節(jié)）筑牢安全防線。

OSI協(xié)議棧安全協(xié)議及MACsec的定位

互聯(lián)網(wǎng)或其他以太網(wǎng)網(wǎng)絡的安全性依賴于加密技術，通過共享的認證密鑰保障通信的私密性、完整性與真實性。以太網(wǎng)流量的加密方式有多種，且分別作用于其依托的OSI協(xié)議棧的不同層級：

TLS：1999年推出，是對SSL的增強，部署在TCP/IP協(xié)議的傳輸層（OSI第4層）。DTLS最初于2006年4月通過RFC 4347提出，適用于UDP/IP等數(shù)據(jù)報協(xié)議（同樣位于第4層）。因此，TLS和DTLS不局限于以太網(wǎng)環(huán)境，但每次只能保護單個數(shù)據(jù)流或一條通信信道。TLS可保護網(wǎng)頁瀏覽器、客戶端應用以及這些應用與云服務之間的所有通信。HTTPS和SSH等協(xié)議都能借助TLS實現(xiàn)安全傳輸，且其部署完全由軟件控制。

IPsec：若需通過加密手段保護網(wǎng)絡（以及所有基于IP協(xié)議傳輸?shù)膬?nèi)容），IPsec是一種可行方案。它部署在OSI協(xié)議棧的網(wǎng)絡層（第3層），常以VPN連接的形式實現(xiàn)。IPsec通常作為軟件棧部署，由用戶自主選擇使用。

MACsec：當以太網(wǎng)網(wǎng)絡要求對所有流量進行加密（無論涉及何種上層協(xié)議）時，需要在硬件層面（鏈路層或媒體接入層，即OSI第2層）強制實施加密。而這正是MACsec（又名IEEE 802.1AE）的用武之地。MACsec用于保護網(wǎng)絡與網(wǎng)絡之間或設備與網(wǎng)絡之間的連接。在以太網(wǎng)中，若加密控制在高層協(xié)議實施，每條連接（主機到主機、主機到交換機或交換機到交換機）上會同時存在加密流量和未加密流量；但一旦為某條鏈路啟用MACsec，該連接上的所有流量都會被加密，避免遭受窺探。與上層同類安全協(xié)議一樣，MACsec同樣提供加密與認證服務，具體通過在以太網(wǎng)幀中添加兩個額外字段實現(xiàn)：

○安全標簽：是EtherType字段的擴展，也用于VLAN標記

○ 消息認證碼（ICV）：用于定義完整性校驗值算法

建立MACsec加密連接涉及以下五個步驟：

步驟1：通過預共享密鑰（PSK）建立通信雙方的雙向認證。

步驟2：認證成功后，雙方交換安全的連接關聯(lián)密鑰名稱（CKN），以此在彼此間建立連接關聯(lián)。同時，利用連接關聯(lián)密鑰（CAK，本質(zhì)上是一種密鑰）對MKA ICV進行驗證。

步驟3：根據(jù)兩個端點的優(yōu)先級值，選舉其中一方作為密鑰服務器，另一方則作為密鑰客戶端。

步驟4：隨后，密鑰服務器生成安全關聯(lián)密鑰（SAK）并分發(fā)給密鑰客戶端（對等設備），從而建立安全關聯(lián)。

步驟5：此時，通信雙方即可開始交換加密數(shù)據(jù)。

與在OSI協(xié)議棧上層實現(xiàn)的安全方案相比，基于硬件的MACsec加密還能提供最低的安全延遲。

新思科技以太網(wǎng)解決方案（含MACsec安全功能）

新思科技MACsec安全模塊可為交換機、路由器及橋接器的片上系統(tǒng)（SoC）提供全面安全防護，通過保障數(shù)據(jù)機密性、完整性、源認證及重放保護，有效抵御拒絕服務（DoS）攻擊、竊聽與中間人攻擊，廣泛適用于云計算、5G、移動及汽車等應用場景。

這些模塊符合標準且支持全雙工模式，能與新思科技以太網(wǎng)MAC及PCS IP無縫集成，在支持可擴展數(shù)據(jù)速率的同時，兼具低延遲特性，可實現(xiàn)網(wǎng)絡優(yōu)先級劃分，并為各類安全以太網(wǎng)連接提供多樣化支持。圖1展示了集成新思科技MACsec模塊的以太網(wǎng)解決方案，該方案能幫助片上系統(tǒng)（SoC）開發(fā)者在系統(tǒng)中快速集成安全功能，加快產(chǎn)品上市速度、降低開發(fā)風險。

▲圖1：新思科技以太網(wǎng)安全解決方案框圖

借助新思科技MACsec安全模塊，開發(fā)者可獲得以下優(yōu)勢：

符合IEEE 802.1AE標準

支持每幀安全處理，包括封裝/解封裝和幀驗證

基于流水線AES-GCM加密技術，實現(xiàn)高達100+ Gbps的可擴展吞吐量，且延遲優(yōu)化

模式

○加密/解密和認證

○ 僅身份驗證

128位和256位密鑰長度

固定的入口/出口延遲

支持符合IEEE 802.1AEbn標準的擴展包編號

支持巨型幀

安全標簽（SecTag）插入和移除

可配置的安全通道和關聯(lián)數(shù)量

可配置的重放保護窗口大小

可配置的偏移量

可編程的機密性偏移量

VLAN標簽明文傳輸

可選擇的旁路模式

結(jié)語

數(shù)據(jù)留存政策在全球范圍內(nèi)千差萬別；政府機構也可能試圖依據(jù)監(jiān)控、所有權、監(jiān)管政策或相關法規(guī)，主張對數(shù)據(jù)的訪問權或留存權。僅對靜態(tài)數(shù)據(jù)進行加密并不足以提供充分保護。為確保數(shù)據(jù)在穿越互聯(lián)網(wǎng)基礎設施中未知且不受控的環(huán)節(jié)時仍能保持私密性與完整性，可能需要采用多層網(wǎng)絡加密機制。若缺乏加密技術提供的驗證與保護，零日漏洞、惡意軟件及病毒便會有機可乘，輕易構成威脅。

保障以太網(wǎng)流量安全的主要標準是MACsec，它能為以太網(wǎng)連接設備之間的動態(tài)數(shù)據(jù)保駕護航。MACsec協(xié)商第一步中使用的預共享密鑰可阻止非可信設備接入受保護的以太網(wǎng)架構。在共享基礎設施上進行計算會使這一挑戰(zhàn)更趨復雜——除非能驗證某一連接是安全的，否則切勿輕信！

通過在新思科技以太網(wǎng)IP解決方案中集成新思科技MACsec安全模塊，網(wǎng)絡片上系統(tǒng)（SoC）開發(fā)者能夠保護高速網(wǎng)絡流量，實現(xiàn)以太網(wǎng)連接設備之間動態(tài)數(shù)據(jù)的端到端安全防護。