不法分子經(jīng)常通過(guò)中間人攻擊、竊聽(tīng)、拒絕服務(wù)、權(quán)限升級(jí)等以太網(wǎng)絡(luò)中的漏洞來(lái)竊取數(shù)據(jù)，而數(shù)據(jù)正是我們這個(gè)時(shí)代最有價(jià)值的資產(chǎn)之一。隨著技術(shù)進(jìn)步，世界變得更加互聯(lián)，每臺(tái)設(shè)備都愈發(fā)智能，但與此同時(shí)，數(shù)據(jù)在網(wǎng)絡(luò)傳輸時(shí)被竊取或破壞的途徑也在增多。以太網(wǎng)互連的觸角正在伸向各處，包括服務(wù)器、存儲(chǔ)、路由器、交換機(jī)、計(jì)算機(jī)等設(shè)備，近年來(lái)也開(kāi)始廣泛應(yīng)用于汽車領(lǐng)域。

面對(duì)一系列針對(duì)片上系統(tǒng)（SoC）接口的潛在安全漏洞，保護(hù)以太網(wǎng)接口對(duì)于保障網(wǎng)絡(luò)安全至關(guān)重要。網(wǎng)絡(luò)攻擊導(dǎo)致的影響切實(shí)存在，據(jù)Statista統(tǒng)計(jì)，2022年，單次數(shù)據(jù)攻擊導(dǎo)致的全球平均損失為435萬(wàn)美元。為防止數(shù)據(jù)泄露并保護(hù)以太網(wǎng)絡(luò)安全，一個(gè)有效方法是使用IEEE 802.1AE標(biāo)準(zhǔn)中定義的媒介訪問(wèn)控制安全（MACsec）點(diǎn)對(duì)點(diǎn)協(xié)議，IEEE 802.1AE標(biāo)準(zhǔn)是以太網(wǎng)安全領(lǐng)域最常用的標(biāo)準(zhǔn)。本文將探討推動(dòng)以太網(wǎng)安全發(fā)展的關(guān)鍵行業(yè)、以太網(wǎng)安全面臨的挑戰(zhàn)，以及如何使用MACsec協(xié)議更好地保護(hù)以太網(wǎng)接口。

什么是MACSec協(xié)議？

MACsec是一種安全協(xié)議，通過(guò)加密以太網(wǎng)連接設(shè)備之間的數(shù)據(jù)來(lái)防止網(wǎng)絡(luò)數(shù)據(jù)泄露。MACsec最初由IEEE于2006年推出，用于保護(hù)以太網(wǎng)絡(luò)，并分別于2011年和2013年進(jìn)行了更新。近年來(lái)，汽車、5G、移動(dòng)通信和高性能計(jì)算（HPC）等行業(yè)的快速發(fā)展推動(dòng)了對(duì)更高安全性的需求。MACsec協(xié)議并非新技術(shù)，如今仍可使用它來(lái)保護(hù)以太網(wǎng)接口，滿足最新要求，更好地保護(hù)整個(gè)系統(tǒng)。

MACsec的核心是AES-GCM加密技術(shù)，與PCI Express（PCIe）和CXL安全防護(hù)中使用的加密技術(shù)相同。具體來(lái)說(shuō)，它可以保護(hù)系統(tǒng)免受數(shù)據(jù)鏈路層上（數(shù)據(jù)通信的開(kāi)始位置）發(fā)生的攻擊。數(shù)據(jù)鏈路層是開(kāi)放式系統(tǒng)互連（OSI）網(wǎng)絡(luò)模型的第二層，靠近整個(gè)網(wǎng)絡(luò)堆棧的底部，位于物理層上方。通過(guò)保護(hù)第二層，可為第二層以上直至頂部應(yīng)用層的整個(gè)網(wǎng)絡(luò)堆棧奠定安全基礎(chǔ)，提供數(shù)據(jù)有效載荷完整性和機(jī)密性，從而實(shí)現(xiàn)端到端的安全防護(hù)，保護(hù)系統(tǒng)免受漏洞攻擊，例如MAC過(guò)載攻擊、端口竊取和廣播攻擊。

▲基于AES-GCM加密技術(shù)的MACsec構(gòu)成了網(wǎng)絡(luò)堆棧端到端安全防護(hù)的基礎(chǔ)。

使用MACsec協(xié)議來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)有以下優(yōu)勢(shì)：

數(shù)據(jù)機(jī)密性：通過(guò)加密實(shí)現(xiàn)數(shù)據(jù)機(jī)密性，防止數(shù)據(jù)（MAC幀）被未獲授權(quán)方監(jiān)聽(tīng)。

數(shù)據(jù)完整性：通過(guò)身份驗(yàn)證實(shí)現(xiàn)數(shù)據(jù)完整性，確保MAC幀在傳輸過(guò)程中無(wú)法在未被檢測(cè)到的情況下被篡改。

數(shù)據(jù)來(lái)源證明：保證MAC幀由經(jīng)過(guò)身份驗(yàn)證的設(shè)備發(fā)送。

防止重放攻擊：確保從網(wǎng)絡(luò)中惡意復(fù)制的MAC幀不會(huì)在未被檢測(cè)到的情況下被重新發(fā)送。

有界接收延遲：防止MAC幀被中間人攔截，并確保可檢測(cè)到超過(guò)幾秒鐘的延遲。

除了以上安全特性外，MACsec還具有其他優(yōu)勢(shì)，比如支持?jǐn)U展到高速網(wǎng)絡(luò)，以實(shí)現(xiàn)最新的接口速率。它還可以完全在硬件中實(shí)現(xiàn)，并且由于采用了預(yù)處理，能夠盡可能地縮短延遲。

汽車、5G/移動(dòng)通信和HPC推動(dòng)了以太網(wǎng)安全發(fā)展

無(wú)論身處哪個(gè)行業(yè)，都會(huì)切實(shí)面臨數(shù)據(jù)損壞和未獲授權(quán)訪問(wèn)的威脅。雖然敏感度或嚴(yán)重程度因信息而異，但事實(shí)上所有電子系統(tǒng)都容易受到攻擊。

以下是一些有助于推動(dòng)以太網(wǎng)安全發(fā)展的行業(yè)：

汽車

近些年來(lái)，自動(dòng)駕駛、OTA軟件更新、共享連接和移動(dòng)出行等創(chuàng)新技術(shù)開(kāi)始進(jìn)入汽車行業(yè)，推動(dòng)了對(duì)于增強(qiáng)數(shù)據(jù)安全和縱深防御的需求。

對(duì)于汽車而言，網(wǎng)絡(luò)的完整性不僅關(guān)系到數(shù)據(jù)安全，還關(guān)系到道路安全。正因如此，汽車行業(yè)一直是各種接口安全的推動(dòng)者。如今，MACsec已在電子控制單元（ECU）中采用，并且非常適合幾乎所有車載網(wǎng)絡(luò)安全用例。

主要挑戰(zhàn)——信息安全防護(hù)措施必須同時(shí)符合功能安全合規(guī)要求

在汽車設(shè)計(jì)中，信息安全和功能安全同樣重要，彼此相互依賴。換言之，在實(shí)施信息安全防護(hù)措施的同時(shí)，必須具備功能安全機(jī)制、滿足功能安全合規(guī)要求并提供所有功能安全文檔。例如，汽車設(shè)計(jì)中的一項(xiàng)常見(jiàn)要求是減輕ISO 26262中汽車安全完整性等級(jí)D（ASIL-D）風(fēng)險(xiǎn)分類中定義的最高級(jí)別風(fēng)險(xiǎn)或傷害，此類功能安全要求必須與信息安全一起高效實(shí)施。

5G/移動(dòng)通信

多年來(lái)，移動(dòng)通信計(jì)算中一直在使用MACsec來(lái)保護(hù)以太網(wǎng)安全，但由于需要在多樣化的5G應(yīng)用領(lǐng)域進(jìn)一步優(yōu)化，傳統(tǒng)的MACsec解決方案開(kāi)始發(fā)生轉(zhuǎn)變。

主要挑戰(zhàn)——支持聚合，提供可擴(kuò)展的性能和面積高效的解決方案，適用于各種用例

5G涉及大量通信，需要增強(qiáng)的移動(dòng)寬帶，從而提供多分段網(wǎng)絡(luò)、多連接網(wǎng)絡(luò)功能等。因此，除了單端口解決方案外，還需要考慮多端口，相比于過(guò)去，如今需要更高效的可配置性，而且要支持聚合并具有可擴(kuò)展的性能。

高性能計(jì)算（HPC）

在高性能計(jì)算領(lǐng)域，面向PCIe和CXL的接口安全已被迅速采用，因此，對(duì)于高性能以太網(wǎng)MACsec的采用也有可能遵循類似的軌跡。800G和1.6T的以太網(wǎng)速度在過(guò)去似乎遙不可及，但現(xiàn)在正在成為現(xiàn)實(shí)。HPC需要更快的速度和更高的帶寬，因此也成為了MACsec解決方案發(fā)展的主要推動(dòng)因素。

主要挑戰(zhàn)——擴(kuò)展至高數(shù)據(jù)速率和多樣化帶寬，同時(shí)保持盡可能小的延遲和面積

雖然MACsec協(xié)議允許通過(guò)AES-GCM流水化加密來(lái)擴(kuò)展至高數(shù)據(jù)速率，但這對(duì)于云服務(wù)來(lái)說(shuō)可能有些棘手，因?yàn)閿U(kuò)展速率時(shí)需要支持多種高性能接口帶寬。在高性能計(jì)算領(lǐng)域中，以太網(wǎng)接口安全面臨的挑戰(zhàn)就在于，要在滿足上述要求的同時(shí)，保持盡可能小的延遲和面積。

如今的高級(jí)系統(tǒng)都非常復(fù)雜，因此在數(shù)據(jù)安全方面，并不存在一種通用的解決方案。此外，接口的數(shù)量不斷增加，同時(shí)還不斷有新的法律和法規(guī)出臺(tái)，力求解決數(shù)據(jù)隱私和系統(tǒng)安全問(wèn)題。SoC安全防護(hù)措施除了要滿足行業(yè)和用例的獨(dú)特需求，還應(yīng)在整體系統(tǒng)設(shè)計(jì)中發(fā)揮全面作用，在離線、啟動(dòng)和運(yùn)行期間提供安全保護(hù)。

但要如何滿足所有這些要求并保障以太網(wǎng)絡(luò)的安全呢？

明智地選擇接口安全合作伙伴

從頭構(gòu)建安全防護(hù)并非易事。為簡(jiǎn)化設(shè)計(jì)路徑并降低風(fēng)險(xiǎn)，應(yīng)考慮使用完整且經(jīng)過(guò)驗(yàn)證的安全解決方案。新思科技在接口安全解決方案方面擁有豐富的經(jīng)驗(yàn)，比如具有完整性和數(shù)據(jù)加密（IDE）的安全PCIe和CXL接口、具有內(nèi)嵌存儲(chǔ)加密（IME）的安全DDR/LPDDR接口、具有HDCP 2.3安全防護(hù)的安全HDMI和DisplayPort接口、具有MACsec的以太網(wǎng)接口等。我們的解決方案符合標(biāo)準(zhǔn)并經(jīng)過(guò)驗(yàn)證，有助于開(kāi)發(fā)者降低風(fēng)險(xiǎn)。與新思科技合作，開(kāi)發(fā)者可以獲得經(jīng)驗(yàn)豐富的安全專家和完整解決方案的支持，從而能夠騰出更多時(shí)間打造核心競(jìng)爭(zhēng)力，快速地將差異化產(chǎn)品推向市場(chǎng)。

無(wú)論開(kāi)發(fā)者需要的是符合功能安全要求的信息安全、可自定義的配置，還是在控制延遲和面積的情況下擴(kuò)展帶寬和速度，新思科技以太網(wǎng)IP解決方案和MACsec安全模塊都能助開(kāi)發(fā)者一臂之力，為以太網(wǎng)流量提供端到端的安全防護(hù)。新思科技MACsec安全模塊是完整的內(nèi)嵌式全雙工解決方案，可與新思科技以太網(wǎng)MAC和PCS IP無(wú)縫集成，支持?jǐn)?shù)據(jù)速率擴(kuò)展和低延遲。我們還在產(chǎn)品組合中添加了經(jīng)過(guò)驗(yàn)證、預(yù)集成和嵌入式的MACSec解決方案，為最終用戶打造無(wú)縫體驗(yàn)。長(zhǎng)期以來(lái)，我們一直都在為客戶提供整體的設(shè)計(jì)解決方案，助力客戶實(shí)現(xiàn)更強(qiáng)大的集成式安全防護(hù)，滿足先進(jìn)設(shè)計(jì)中的需求。

我們將不斷推出新的安全解決方案，與客戶一起打造安全可靠的未來(lái)。新思科技擁有先進(jìn)的技術(shù)和豐富的經(jīng)驗(yàn)，能夠幫助開(kāi)發(fā)者保護(hù)SoC中的各種接口，可提供用于以太網(wǎng)的MACsec解決方案等產(chǎn)品。我們的安全接口IP產(chǎn)品不僅能讓應(yīng)用保持安全可靠，還有助于簡(jiǎn)化設(shè)計(jì)流程，讓開(kāi)發(fā)者能夠以更低的風(fēng)險(xiǎn)更快地進(jìn)入市場(chǎng)。