不法分子經常通過中間人攻擊、竊聽、拒絕服務、權限升級等以太網絡中的漏洞來竊取數據，而數據正是我們這個時代最有價值的資產之一。隨著技術進步，世界變得更加互聯，每臺設備都愈發智能，但與此同時，數據在網絡傳輸時被竊取或破壞的途徑也在增多。以太網互連的觸角正在伸向各處，包括服務器、存儲、路由器、交換機、計算機等設備，近年來也開始廣泛應用于汽車領域。

面對一系列針對片上系統（SoC）接口的潛在安全漏洞，保護以太網接口對于保障網絡安全至關重要。網絡攻擊導致的影響切實存在，據Statista統計，2022年，單次數據攻擊導致的全球平均損失為435萬美元。為防止數據泄露并保護以太網絡安全，一個有效方法是使用IEEE 802.1AE標準中定義的媒介訪問控制安全（MACsec）點對點協議，IEEE 802.1AE標準是以太網安全領域最常用的標準。本文將探討推動以太網安全發展的關鍵行業、以太網安全面臨的挑戰，以及如何使用MACsec協議更好地保護以太網接口。

什么是MACSec協議？

MACsec是一種安全協議，通過加密以太網連接設備之間的數據來防止網絡數據泄露。MACsec最初由IEEE于2006年推出，用于保護以太網絡，并分別于2011年和2013年進行了更新。近年來，汽車、5G、移動通信和高性能計算（HPC）等行業的快速發展推動了對更高安全性的需求。MACsec協議并非新技術，如今仍可使用它來保護以太網接口，滿足最新要求，更好地保護整個系統。

MACsec的核心是AES-GCM加密技術，與PCI Express（PCIe）和CXL安全防護中使用的加密技術相同。具體來說，它可以保護系統免受數據鏈路層上（數據通信的開始位置）發生的攻擊。數據鏈路層是開放式系統互連（OSI）網絡模型的第二層，靠近整個網絡堆棧的底部，位于物理層上方。通過保護第二層，可為第二層以上直至頂部應用層的整個網絡堆棧奠定安全基礎，提供數據有效載荷完整性和機密性，從而實現端到端的安全防護，保護系統免受漏洞攻擊，例如MAC過載攻擊、端口竊取和廣播攻擊。

▲基于AES-GCM加密技術的MACsec構成了網絡堆棧端到端安全防護的基礎。

使用MACsec協議來保護網絡數據有以下優勢：

數據機密性：通過加密實現數據機密性，防止數據（MAC幀）被未獲授權方監聽。

數據完整性：通過身份驗證實現數據完整性，確保MAC幀在傳輸過程中無法在未被檢測到的情況下被篡改。

數據來源證明：保證MAC幀由經過身份驗證的設備發送。

防止重放攻擊：確保從網絡中惡意復制的MAC幀不會在未被檢測到的情況下被重新發送。

有界接收延遲：防止MAC幀被中間人攔截，并確保可檢測到超過幾秒鐘的延遲。

除了以上安全特性外，MACsec還具有其他優勢，比如支持擴展到高速網絡，以實現最新的接口速率。它還可以完全在硬件中實現，并且由于采用了預處理，能夠盡可能地縮短延遲。

汽車、5G/移動通信和HPC推動了以太網安全發展

無論身處哪個行業，都會切實面臨數據損壞和未獲授權訪問的威脅。雖然敏感度或嚴重程度因信息而異，但事實上所有電子系統都容易受到攻擊。

以下是一些有助于推動以太網安全發展的行業：

汽車

近些年來，自動駕駛、OTA軟件更新、共享連接和移動出行等創新技術開始進入汽車行業，推動了對于增強數據安全和縱深防御的需求。

對于汽車而言，網絡的完整性不僅關系到數據安全，還關系到道路安全。正因如此，汽車行業一直是各種接口安全的推動者。如今，MACsec已在電子控制單元（ECU）中采用，并且非常適合幾乎所有車載網絡安全用例。

主要挑戰——信息安全防護措施必須同時符合功能安全合規要求

在汽車設計中，信息安全和功能安全同樣重要，彼此相互依賴。換言之，在實施信息安全防護措施的同時，必須具備功能安全機制、滿足功能安全合規要求并提供所有功能安全文檔。例如，汽車設計中的一項常見要求是減輕ISO 26262中汽車安全完整性等級D（ASIL-D）風險分類中定義的最高級別風險或傷害，此類功能安全要求必須與信息安全一起高效實施。

5G/移動通信

多年來，移動通信計算中一直在使用MACsec來保護以太網安全，但由于需要在多樣化的5G應用領域進一步優化，傳統的MACsec解決方案開始發生轉變。

主要挑戰——支持聚合，提供可擴展的性能和面積高效的解決方案，適用于各種用例

5G涉及大量通信，需要增強的移動寬帶，從而提供多分段網絡、多連接網絡功能等。因此，除了單端口解決方案外，還需要考慮多端口，相比于過去，如今需要更高效的可配置性，而且要支持聚合并具有可擴展的性能。

高性能計算（HPC）

在高性能計算領域，面向PCIe和CXL的接口安全已被迅速采用，因此，對于高性能以太網MACsec的采用也有可能遵循類似的軌跡。800G和1.6T的以太網速度在過去似乎遙不可及，但現在正在成為現實。HPC需要更快的速度和更高的帶寬，因此也成為了MACsec解決方案發展的主要推動因素。

主要挑戰——擴展至高數據速率和多樣化帶寬，同時保持盡可能小的延遲和面積

雖然MACsec協議允許通過AES-GCM流水化加密來擴展至高數據速率，但這對于云服務來說可能有些棘手，因為擴展速率時需要支持多種高性能接口帶寬。在高性能計算領域中，以太網接口安全面臨的挑戰就在于，要在滿足上述要求的同時，保持盡可能小的延遲和面積。

如今的高級系統都非常復雜，因此在數據安全方面，并不存在一種通用的解決方案。此外，接口的數量不斷增加，同時還不斷有新的法律和法規出臺，力求解決數據隱私和系統安全問題。SoC安全防護措施除了要滿足行業和用例的獨特需求，還應在整體系統設計中發揮全面作用，在離線、啟動和運行期間提供安全保護。

但要如何滿足所有這些要求并保障以太網絡的安全呢？

明智地選擇接口安全合作伙伴

從頭構建安全防護并非易事。為簡化設計路徑并降低風險，應考慮使用完整且經過驗證的安全解決方案。新思科技在接口安全解決方案方面擁有豐富的經驗，比如具有完整性和數據加密（IDE）的安全PCIe和CXL接口、具有內嵌存儲加密（IME）的安全DDR/LPDDR接口、具有HDCP 2.3安全防護的安全HDMI和DisplayPort接口、具有MACsec的以太網接口等。我們的解決方案符合標準并經過驗證，有助于開發者降低風險。與新思科技合作，開發者可以獲得經驗豐富的安全專家和完整解決方案的支持，從而能夠騰出更多時間打造核心競爭力，快速地將差異化產品推向市場。

無論開發者需要的是符合功能安全要求的信息安全、可自定義的配置，還是在控制延遲和面積的情況下擴展帶寬和速度，新思科技以太網IP解決方案和MACsec安全模塊都能助開發者一臂之力，為以太網流量提供端到端的安全防護。新思科技MACsec安全模塊是完整的內嵌式全雙工解決方案，可與新思科技以太網MAC和PCS IP無縫集成，支持數據速率擴展和低延遲。我們還在產品組合中添加了經過驗證、預集成和嵌入式的MACSec解決方案，為最終用戶打造無縫體驗。長期以來，我們一直都在為客戶提供整體的設計解決方案，助力客戶實現更強大的集成式安全防護，滿足先進設計中的需求。

我們將不斷推出新的安全解決方案，與客戶一起打造安全可靠的未來。新思科技擁有先進的技術和豐富的經驗，能夠幫助開發者保護SoC中的各種接口，可提供用于以太網的MACsec解決方案等產品。我們的安全接口IP產品不僅能讓應用保持安全可靠，還有助于簡化設計流程，讓開發者能夠以更低的風險更快地進入市場。