新思科技如何使用MACsec协议更好地保护以太网接口

不法分子经常通过中间人攻击、窃听、拒绝服务、权限升级等以太网络中的漏洞来窃取数据，而数据正是我们这个时代最有价值的资产之一。随着技术进步，世界变得更加互联，每台设备都愈发智能，但与此同时，数据在网络传输时被窃取或破坏的途径也在增多。以太网互连的触角正在伸向各处，包括服务器、存储、路由器、交换机、计算机等设备，近年来也开始广泛应用于汽车领域。

面对一系列针对片上系统（SoC）接口的潜在安全漏洞，保护以太网接口对于保障网络安全至关重要。网络攻击导致的影响切实存在，据Statista统计，2022年，单次数据攻击导致的全球平均损失为435万美元。为防止数据泄露并保护以太网络安全，一个有效方法是使用IEEE 802.1AE标准中定义的媒介访问控制安全（MACsec）点对点协议，IEEE 802.1AE标准是以太网安全领域最常用的标准。本文将探讨推动以太网安全发展的关键行业、以太网安全面临的挑战，以及如何使用MACsec协议更好地保护以太网接口。

什么是MACSec协议？

MACsec是一种安全协议，通过加密以太网连接设备之间的数据来防止网络数据泄露。MACsec最初由IEEE于2006年推出，用于保护以太网络，并分别于2011年和2013年进行了更新。近年来，汽车、5G、移动通信和高性能计算（HPC）等行业的快速发展推动了对更高安全性的需求。MACsec协议并非新技术，如今仍可使用它来保护以太网接口，满足最新要求，更好地保护整个系统。

MACsec的核心是AES-GCM加密技术，与PCI Express（PCIe）和CXL安全防护中使用的加密技术相同。具体来说，它可以保护系统免受数据链路层上（数据通信的开始位置）发生的攻击。数据链路层是开放式系统互连（OSI）网络模型的第二层，靠近整个网络堆栈的底部，位于物理层上方。通过保护第二层，可为第二层以上直至顶部应用层的整个网络堆栈奠定安全基础，提供数据有效载荷完整性和机密性，从而实现端到端的安全防护，保护系统免受漏洞攻击，例如MAC过载攻击、端口窃取和广播攻击。

▲基于AES-GCM加密技术的MACsec构成了网络堆栈端到端安全防护的基础。

使用MACsec协议来保护网络数据有以下优势：

数据机密性：通过加密实现数据机密性，防止数据（MAC帧）被未获授权方监听。

数据完整性：通过身份验证实现数据完整性，确保MAC帧在传输过程中无法在未被检测到的情况下被篡改。

数据来源证明：保证MAC帧由经过身份验证的设备发送。

防止重放攻击：确保从网络中恶意复制的MAC帧不会在未被检测到的情况下被重新发送。

有界接收延迟：防止MAC帧被中间人拦截，并确保可检测到超过几秒钟的延迟。

除了以上安全特性外，MACsec还具有其他优势，比如支持扩展到高速网络，以实现最新的接口速率。它还可以完全在硬件中实现，并且由于采用了预处理，能够尽可能地缩短延迟。

汽车、5G/移动通信和HPC推动了以太网安全发展

无论身处哪个行业，都会切实面临数据损坏和未获授权访问的威胁。虽然敏感度或严重程度因信息而异，但事实上所有电子系统都容易受到攻击。

以下是一些有助于推动以太网安全发展的行业：

汽车

近些年来，自动驾驶、OTA软件更新、共享连接和移动出行等创新技术开始进入汽车行业，推动了对于增强数据安全和纵深防御的需求。

对于汽车而言，网络的完整性不仅关系到数据安全，还关系到道路安全。正因如此，汽车行业一直是各种接口安全的推动者。如今，MACsec已在电子控制单元（ECU）中采用，并且非常适合几乎所有车载网络安全用例。

主要挑战——信息安全防护措施必须同时符合功能安全合规要求

在汽车设计中，信息安全和功能安全同样重要，彼此相互依赖。换言之，在实施信息安全防护措施的同时，必须具备功能安全机制、满足功能安全合规要求并提供所有功能安全文档。例如，汽车设计中的一项常见要求是减轻ISO 26262中汽车安全完整性等级D（ASIL-D）风险分类中定义的最高级别风险或伤害，此类功能安全要求必须与信息安全一起高效实施。

5G/移动通信

多年来，移动通信计算中一直在使用MACsec来保护以太网安全，但由于需要在多样化的5G应用领域进一步优化，传统的MACsec解决方案开始发生转变。

主要挑战——支持聚合，提供可扩展的性能和面积高效的解决方案，适用于各种用例

5G涉及大量通信，需要增强的移动宽带，从而提供多分段网络、多连接网络功能等。因此，除了单端口解决方案外，还需要考虑多端口，相比于过去，如今需要更高效的可配置性，而且要支持聚合并具有可扩展的性能。

高性能计算（HPC）

在高性能计算领域，面向PCIe和CXL的接口安全已被迅速采用，因此，对于高性能以太网MACsec的采用也有可能遵循类似的轨迹。800G和1.6T的以太网速度在过去似乎遥不可及，但现在正在成为现实。HPC需要更快的速度和更高的带宽，因此也成为了MACsec解决方案发展的主要推动因素。

主要挑战——扩展至高数据速率和多样化带宽，同时保持尽可能小的延迟和面积

虽然MACsec协议允许通过AES-GCM流水化加密来扩展至高数据速率，但这对于云服务来说可能有些棘手，因为扩展速率时需要支持多种高性能接口带宽。在高性能计算领域中，以太网接口安全面临的挑战就在于，要在满足上述要求的同时，保持尽可能小的延迟和面积。

如今的高级系统都非常复杂，因此在数据安全方面，并不存在一种通用的解决方案。此外，接口的数量不断增加，同时还不断有新的法律和法规出台，力求解决数据隐私和系统安全问题。SoC安全防护措施除了要满足行业和用例的独特需求，还应在整体系统设计中发挥全面作用，在离线、启动和运行期间提供安全保护。

但要如何满足所有这些要求并保障以太网络的安全呢？

明智地选择接口安全合作伙伴

从头构建安全防护并非易事。为简化设计路径并降低风险，应考虑使用完整且经过验证的安全解决方案。新思科技在接口安全解决方案方面拥有丰富的经验，比如具有完整性和数据加密（IDE）的安全PCIe和CXL接口、具有内嵌存储加密（IME）的安全DDR/LPDDR接口、具有HDCP 2.3安全防护的安全HDMI和DisplayPort接口、具有MACsec的以太网接口等。我们的解决方案符合标准并经过验证，有助于开发者降低风险。与新思科技合作，开发者可以获得经验丰富的安全专家和完整解决方案的支持，从而能够腾出更多时间打造核心竞争力，快速地将差异化产品推向市场。

无论开发者需要的是符合功能安全要求的信息安全、可自定义的配置，还是在控制延迟和面积的情况下扩展带宽和速度，新思科技以太网IP解决方案和MACsec安全模块都能助开发者一臂之力，为以太网流量提供端到端的安全防护。新思科技MACsec安全模块是完整的内嵌式全双工解决方案，可与新思科技以太网MAC和PCS IP无缝集成，支持数据速率扩展和低延迟。我们还在产品组合中添加了经过验证、预集成和嵌入式的MACSec解决方案，为最终用户打造无缝体验。长期以来，我们一直都在为客户提供整体的设计解决方案，助力客户实现更强大的集成式安全防护，满足先进设计中的需求。

我们将不断推出新的安全解决方案，与客户一起打造安全可靠的未来。新思科技拥有先进的技术和丰富的经验，能够帮助开发者保护SoC中的各种接口，可提供用于以太网的MACsec解决方案等产品。我们的安全接口IP产品不仅能让应用保持安全可靠，还有助于简化设计流程，让开发者能够以更低的风险更快地进入市场。