简介

由于连接到云的设备数量呈指数级增长,加之传感器、应用和服务种类越来越多,从而导致数据流量激增,对带宽的需求不断增加。这反过来又推动了以太网、PCIe/CXL 和 DDR 等高带宽接口的普及,以保持更快的数据移动,并提高处理和存储能力。互联生态系统中的端到端数据安全比以往任何时候都更加重要,无论静态数据还是动态数据,它们在设备和云之间传输,或是在设备中被处理或存储。

计算机、服务器、集线器、路由器等以太网连接设备逐渐延伸到包括高性能计算、5G、移动和汽车市场在内的各个领域,所有这些领域都需要安全保障。互联网或任何其他以太网网络的安全都取决于加密。使用的加密方法越多,攻击者越难窃取数据、窃听通信和/或破坏系统。

为什么要对以太网流量进行加密

有许多原因促使要对以太网流量进行加密。合规是最常见的原因之一,其中可能涉及处理敏感数据或个人身份数据的一个或多个标准。美国 1996 年颁布的《健康保险可携性与责任法案》(HIPAA) 或欧洲适用的类似法规《通用数据保护条例》(GDPR) 中定义了此类标准的示例。对于获得和使用儿童数据的机构,《家庭教育权利和隐私法案》(FERPA) 中的规定也可能适用。即使没有发生数据泄露,不遵守适用标准也可能导致严厉处罚。

数据盗窃不仅局限于受监管的内容,任何研究、知识产权、专有数据或代码都可能是盗窃或恶意篡改的目标。入侵检测和防御始于确保在交换帐户凭据和敏感数据或重要数据时的隐私。来源验证和身份验证服务是这种基础设施的关键要素,并非所有数据泄露都发生在组织外部,基于权限的数据管理在很大程度上依赖于安全(专用和可靠)的身份验证。

什么是 MACsec

保护以太网流量的主要安全标准是介质访问控制安全 (MACsec)。MACsec 在以太网连接设备之间提供动态数据安全,并保护网络通信免受 DoS 攻击、窃听和中间人攻击。

MACsec 是基于 AES-GCM 加密的既定协议,通过提供机密性、数据完整性、数据来源真实性和重放保护来保护数据链路层(通信的起点)。

OSI 堆栈安全协议和 MACsec 适用的情况

互联网或任何其他以太网网络的安全都取决于加密,加密使用经过身份验证的共享密钥,以确保通信隐私、完整性和身份验证。有多种不同的方式可以对以太网流量进行加密,每种方式的加密分别发生在作为基础的 OSI 堆栈的不同层:

  • TLS 于 1999 年制定,作为对 SSL 的增强,在 TCP/IP 的传输层(OSI 的第 4 层)实现。DTLS 最初于 2006 年 4 月通过 RFC 4347 提出,适用于数据报协议,例如 UDP/IP(也是第 4 层)。因此,它不仅局限于以太网,但一次只能保护单个数据流或一个通信通道。TLS 保护网络浏览器、客户端应用程序以及所有应用程序与云服务的通信。HTTPS 和 SSH 是可以利用 TLS 的其中两个协议,它们的实现完全在软件的控制范围内。
  • IPsec:如果需要加密来保护网络(以及遍历 IP 协议的任何其他内容),则 IPsec 是理想之选。IPsec 在 OSI 堆栈的网络层(第 3 层)实现,通常作为 VPN 连接。IPsec 通常作为软件堆栈实现,由用户自愿使用。
  • MACsec:当需要对所有以太网流量,无论涉及的上层协议如何,都进行加密时,则需要在硬件级别(链路或媒体访问层 2)执行加密。好消息是,这正是 MACsec(也称为 IEEE 802.1AE)的作用所在。MACsec 用于保护网络到网络或设备到网络的连接。如果在更高层对加密施加控制,则以太网网络上的每个连接(主机到主机、主机到交换机或交换机到交换机)将遍历已加密和未加密的流量,但是,一旦链路启用了 MACsec,该连接上的所有流量都将受到保护,免遭窥探。与上层协议一样,MACsec 通过向以太网帧添加两个额外字段来提供加密和身份验证服务:
    • 安全标签,是 EtherType 字段的扩展,也用于 VLAN 标记
    • 消息身份验证代码 (ICV) 用于定义完整性检查值算法

设置 MACsec 加密连接涉及五个步骤:

  • 第 1 步:使用预共享密钥 (PSK) 建立相互对等身份验证。
  • 第 2 步:身份验证成功后,交换安全连接关联密钥名称 (CKN),以在对等设备之间形成连接关联。MKA ICV 使用连接关联密钥 (CAK) 进行验证(该密钥实际上是私钥)。
  • 第 3 步:两个端点的优先级值用于选择哪个设备成为密钥服务器,另一个设备则充当密钥客户端。
  • 第 4 步:然后,密钥服务器生成安全关联密钥 (SAK) 并将其分发给密钥客户端(对等设备),以形成安全关联。
  • 第 5 步:现在可以在对等设备之间交换加密数据了。

与在 OSI 堆栈的更高层实现的方案相比,MACsec 硬件加密是延迟最低的安全保护方案。

具有 MACsec 安全功能的 Synopsys 以太网解决方案

Synopsys MACsec 安全模块可在云计算、5G、移动和汽车应用的交换机、路由器和桥 SoC 中实现机密性、完整性、原始身份验证和重放保护,从而保护以太网流量免受拒绝服务 (DoS) 攻击、窃听和中间人攻击。

这些符合标准的全双工解决方案可与 Synopsys 以太网 MAC 和 PCS IP 无缝集成,支持可扩展的数据速率,具有最低延迟、网络优先级和多样性,适用于各种安全以太网连接。图 1 显示了包含 Synopsys MACsec 模块的 Synopsys 以太网解决方案,该解决方案使片上系统 (SoC) 设计人员能够快速将安全性集成到系统中,从而缩短上市时间并降低风险。

图 1:Synopsys 以太网安全解决方案框图

借助 Synopsys MACsec 安全模块,设计人员可以利用以下优势:

  • 符合 IEEE 802.1AE 标准
  • 每帧安全处理,包括封装/解封装和帧验证
  • 基于流水线 AES-GCM 加密的可扩展吞吐量,高达 100 Gbps 以上,而且延迟更低
  • 模式
    • 加密/解密和身份验证
    • 仅身份验证
  • 128 位和 256 位密钥大小
  • 固定入口/出口延迟
  • 符合 IEEE 802.1AEbn 标准的扩展数据包编号
  • 巨型帧支持
  • 安全标签插入和移除
  • 可配置的安全通道和关联数量
  • 可配置的重放保护窗口大小
  • 可配置的偏移
  • 可编程的机密性补偿
  • 明确支持的 VLAN 标签
  • 可选旁路模式

订阅 Synopsys IP 技术公告

包括深度技术文章、白皮书、视频、即将举行的网络研讨会、产品公告等等。

结语

全球各地的数据保留政策各不相同;一些政府行为者甚至也会试图将访问权或保留权强加于受监督、具有所有权或者受监管政策或法律约束的数据。仅对静态数据进行加密是不够的。为确保隐私和完整性,可能需要使用多层网络加密,以涵盖互联网基础设施的未知因素和不受控因素。在没有加密技术提供验证和保护的情况下,零日漏洞、恶意软件和病毒很容易构成威胁。

保护以太网流量的主要安全标准是 MACsec,该标准在以太网连接设备之间提供动态数据安全。MACsec 协商第一步中使用的预共享密钥可防止不可信设备成功连接到安全的以太网结构。在共享基础设施上进行的计算使这一挑战变得更加复杂—不要信任未经过安全验证的任何连接!

通过将 Synopsys MACsec 安全模块添加到 Synopsys 以太网 IP 解决方案中,网络 SoC 设计人员可以保护高速网络流量,确保在以太网连接设备之间传输的数据的端到端安全。

详细了解如何使用 Synopsys 安全接口实现最高级别的 SoC 安全性。

Synopsys IP 技术公告

深度技术文章、白皮书、视频、网络研讨会、产品公告等等。

继续阅读