以太网安全靠“神级”MACsec保驾护航
随着连接到云的设备数量呈指数级增长,并且传感器、应用和服务种类不断增加,导致数据流量激增,对带宽的需求也随之增加。为了提升数据传输速度、提高数据处理和存储能力,以太网、PCIe/CXL和DDR等高带宽接口得到广泛应用。诸如计算机、服务器、集线器、路由器等以太网连接设备已经成为高性能计算、5G和汽车在内的多个领域的重要组成部分。
在所有互联生态系统中,不论是静态或动态数据,无论是在设备和云之间或是在设备内部进行传输,数据安全变得比以往任何时候都更加重要,通过使用更多的加密措施,才能保证信息 不被窃取、窃听和/或破坏。
为什么要对以太网流量进行加密?
合规是最常见的因素,其中可能涉及处理敏感数据或个人身份数据的一个或多个标准。例如美国 1996 年颁布的《健康保险可携性与责任法案》(HIPAA) ,还有欧洲的《通用数据保护条例》(GDPR) 等。
数据盗窃不仅包含受监管的内容,任何研究、知识产权、专有数据或代码都可能是盗窃或恶意篡改的目标。入侵检测和防御用于确保在交换帐户凭据和重要数据时的隐私,来源验证和身份验证服务也是数据安全管理的重要组成部分。
全球各地的数据保留政策不同,某些政府机构甚至会对受监管政策或法律约束的数据施加访问权或保留权。同时,仅对静态数据加密是不够的,为确保隐私和完整性,需要使用多层网络加密来覆盖互联网基础设施的未知因素和不受控制的因素,否则零日漏洞、恶意软件和病毒很容易构成威胁。
几种常见的以太网加密方式
对以太网流量进行加密,通常要使用经过身份验证的共享密钥,以确保通信隐私和完整性。通过在不同的OSI堆栈层级上实施适当的加密措施,可以确保以太网流量的安全性和保护数据的机密性。下面是几种常见的加密方式:
TLS加密协议——TLS制定于1999年,作为对SSL的增强版本,TLS在TCP/IP的传输层(OSI的第4层)实现。TLS 可以保护网络浏览器、客户端应用程序以及所有应用程序与云服务的通信。常见的使用TLS的协议包括HTTPS和SSH,它们的实现完全受软件控制。DTLS是TLS加密协议的延伸,最初于2006年4月通过RFC 4347提出,适用于数据报协议,例如UDP/IP(同样位于第4层),DTLS仅用于以太网,一次只能保护单个数据流或一个通信通道。
IPsec——如果需要加密来保护网络(以及遍历 IP 协议的任何其他内容),IPsec是理想之选。IPsec在OSI堆栈的网络层(第 3 层)实现,通常作为VPN连接,IPsec通常作为软件堆栈实现,由用户自愿使用。
介质访问控制安全(MACsec)加密——这是本文要讨论的重点,当需要对所有以太网流量都进行加密时,则需要在硬件级别(链路或媒体访问层 2)执行加密,这正是MACsec(也称为 IEEE 802.1AE)的作用所在。
以太网加密的重要法宝——MACsec
在上述这几种加密方式中,保护以太网流量的主要安全标准是介质访问控制安全 (MACsec)。MACsec在以太网连接设备之间主要是保护动态数据安全,并保护网络通信免受DoS攻击、窃听和中间人攻击。与上层协议一样,MACsec 通过向以太网帧添加两个额外字段来提供加密和身份验证服务:
安全标签,是 EtherType 字段的扩展,也用于 VLAN 标记;
消息身份验证代码 (ICV) 用于定义完整性检查值算法。
MACsec是基于AES-GCM加密的既定协议,通过提供机密性、数据完整性、数据来源真实性和重放保护来保护数据链路层(通信的起点)。
设置MACsec加密连接主要涉及五个步骤:
第 1 步
使用预共享密钥 (PSK) 建立相互对等身份验证。
第 2步
身份验证成功后,交换安全连接关联密钥名称 (CKN),以在对等设备之间形成连接关联。MKA ICV 使用连接关联密钥 (CAK) 进行验证(该密钥实际上是私钥)。
第 3 步
两个端点的优先级值用于选择哪个设备成为密钥服务器,另一个设备则充当密钥客户端。
第 4 步
然后,密钥服务器生成安全关联密钥 (SAK) 并将其分发给密钥客户端(对等设备),以形成安全关联。
第 5 步
现在可以在对等设备之间交换加密数据了。
与在OSI堆栈的更高层实现的方案相比,MACsec硬件加密是延迟最低的安全保护方案。
新思科技为以太网加密提供坚强的“护盾”
为了满足SoC设计人员对于以太网连接设备之间传输数据安全的需求,新思科技 MACsec安全模块可在云计算、5G、移动和汽车应用的交换机、路由器和桥 SoC 中实现机密性、完整性、原始身份验证和重放保护,从而保护以太网流量免受拒绝服务 (DoS) 攻击、窃听和中间人攻击。这些符合标准的全双工解决方案可与新思科技以太网MAC和PCS IP无缝集成,支持可扩展的数据速率,具有最低延迟、网络优先级和多样性等优势,适用于各种安全以太网连接。
下图显示了包含新思科技 MACsec模块的以太网解决方案,该解决方案让SoC设计人员能够快速将安全性集成到系统中,从而缩短上市时间并降低风险。
新思科技以太网安全解决方案框图
借助新思科技 MACsec安全模块,设计人员可以利用以下优势:
符合 IEEE 802.1AE 标准
每帧安全处理,包括封装/解封装和帧验证
基于流水线 AES-GCM 加密的可扩展吞吐量,高达 100 Gbps 以上,而且延迟更低
模式:
加密/解密和身份验证
仅身份验证
128位和 256 位密钥大小
固定入口/出口延迟
符合 IEEE 802.1AEbn 标准的扩展数据包编号
巨型帧支持
安全标签插入和移除
可配置的安全通道和关联数量
可配置的重放保护窗口大小
可配置的偏移
可编程的机密性补偿
明确支持的 VLAN 标签
可选旁路模式
结语
在这个快速发展的数字化时代,面对日益复杂和智能的网络环境,数据的保护至关重要。借助新思科技的以太网安全解决方案,企业和组织能够构建更加安全可靠的网络环境,并为未来的数字化世界奠定坚实的基础。
*免责声明:本文由作者原创。文章内容系作者个人观点,半导体行业观察转载仅为了传达一种不同的观点,不代表半导体行业观察对该观点赞同或支持,如果有任何异议,欢迎联系半导体行业观察。
今天是《半导体行业观察》为您分享的第3465期内容,欢迎关注。
推荐阅读
半导体行业观察
『半导体第一垂直媒体』
实时 专业 原创 深度
识别二维码,回复下方关键词,阅读更多
晶圆|集成电路|设备|汽车芯片|存储|台积电|AI|封装
回复 投稿,看《如何成为“半导体行业观察”的一员 》
回复 搜索,还能轻松找到其他你感兴趣的文章!
微信扫码关注该文公众号作者