隨著接入云端的器件數量呈指數級增長，加之傳感器、應用與服務的種類不斷豐富，數據流量迎來爆發式增長，帶寬需求也因此水漲船高。這進而推動了以太網、PCIe/CXL、DDR等高帶寬接口的普及——這些接口為更快的數據傳輸、更強的處理能力和更大的存儲容量提供了支撐。在互聯互通的生態系統中，端到端的數據安全已變得至關重要：無論是數據處于靜態存儲狀態，還是在動態傳輸過程中（包括器件與云端的通信環節，以及數據在器件內的處理或存儲階段），安全保障都不可或缺。

計算機、服務器、集線器、路由器等連入以太網的設備，其應用場景正全方位拓展至高性能計算、5G、移動終端及汽車等領域，且所有場景都對安全性提出要求。互聯網及其他以太網網絡的安全核心在于加密：加密應用越深入，攻擊者竊取數據、竊聽通信或破壞系統的難度就越大。

為何要對以太網流量進行加密？

原因不勝枚舉，其中最常見的一點是合規性要求——這往往涉及一項或多項關于敏感數據或個人身份信息處理的標準。這類標準的示例包括美國1996年《健康保險流通與責任法案》（HIPAA），以及歐盟與之類似的《通用數據保護條例》（GDPR）。對于收集和使用兒童數據的機構而言，《家庭教育權利與隱私法案》（FERPA）中的相關條款同樣可能適用。即便未發生數據泄露，違反適用標準也可能招致重罰。

數據竊取并非僅針對受監管內容——任何研究成果、知識產權、專有數據或代碼都可能成為竊取或惡意篡改的目標。入侵檢測與防御的核心前提，是保障賬戶憑證及敏感/高價值數據在傳輸中的私密性。源驗證與身份認證服務是這一基礎設施的關鍵要素；值得注意的是，并非所有數據泄露都來自組織外部，而基于權限的數據管理，也高度依賴安全（私密且可靠）的身份驗證。

什么是MACsec？

保障以太網流量安全的核心標準是MACsec。MACsec為以太網連接設備間的動態數據提供安全防護，可抵御網絡通信面臨的拒絕服務（DoS）攻擊、竊聽及中間人攻擊。

作為基于AES-GCM加密算法的成熟協議，MACsec通過提供機密性、數據完整性、數據來源真實性及防重放保護，為數據鏈路層（通信的起始環節）筑牢安全防線。

OSI協議棧安全協議及MACsec的定位

互聯網或其他以太網網絡的安全性依賴于加密技術，通過共享的認證密鑰保障通信的私密性、完整性與真實性。以太網流量的加密方式有多種，且分別作用于其依托的OSI協議棧的不同層級：

TLS：1999年推出，是對SSL的增強，部署在TCP/IP協議的傳輸層（OSI第4層）。DTLS最初于2006年4月通過RFC 4347提出，適用于UDP/IP等數據報協議（同樣位于第4層）。因此，TLS和DTLS不局限于以太網環境，但每次只能保護單個數據流或一條通信信道。TLS可保護網頁瀏覽器、客戶端應用以及這些應用與云服務之間的所有通信。HTTPS和SSH等協議都能借助TLS實現安全傳輸，且其部署完全由軟件控制。

IPsec：若需通過加密手段保護網絡（以及所有基于IP協議傳輸的內容），IPsec是一種可行方案。它部署在OSI協議棧的網絡層（第3層），常以VPN連接的形式實現。IPsec通常作為軟件棧部署，由用戶自主選擇使用。

MACsec：當以太網網絡要求對所有流量進行加密（無論涉及何種上層協議）時，需要在硬件層面（鏈路層或媒體接入層，即OSI第2層）強制實施加密。而這正是MACsec（又名IEEE 802.1AE）的用武之地。MACsec用于保護網絡與網絡之間或設備與網絡之間的連接。在以太網中，若加密控制在高層協議實施，每條連接（主機到主機、主機到交換機或交換機到交換機）上會同時存在加密流量和未加密流量；但一旦為某條鏈路啟用MACsec，該連接上的所有流量都會被加密，避免遭受窺探。與上層同類安全協議一樣，MACsec同樣提供加密與認證服務，具體通過在以太網幀中添加兩個額外字段實現：

○安全標簽：是EtherType字段的擴展，也用于VLAN標記

○ 消息認證碼（ICV）：用于定義完整性校驗值算法

建立MACsec加密連接涉及以下五個步驟：

步驟1：通過預共享密鑰（PSK）建立通信雙方的雙向認證。

步驟2：認證成功后，雙方交換安全的連接關聯密鑰名稱（CKN），以此在彼此間建立連接關聯。同時，利用連接關聯密鑰（CAK，本質上是一種密鑰）對MKA ICV進行驗證。

步驟3：根據兩個端點的優先級值，選舉其中一方作為密鑰服務器，另一方則作為密鑰客戶端。

步驟4：隨后，密鑰服務器生成安全關聯密鑰（SAK）并分發給密鑰客戶端（對等設備），從而建立安全關聯。

步驟5：此時，通信雙方即可開始交換加密數據。

與在OSI協議棧上層實現的安全方案相比，基于硬件的MACsec加密還能提供最低的安全延遲。

新思科技以太網解決方案（含MACsec安全功能）

新思科技MACsec安全模塊可為交換機、路由器及橋接器的片上系統（SoC）提供全面安全防護，通過保障數據機密性、完整性、源認證及重放保護，有效抵御拒絕服務（DoS）攻擊、竊聽與中間人攻擊，廣泛適用于云計算、5G、移動及汽車等應用場景。

這些模塊符合標準且支持全雙工模式，能與新思科技以太網MAC及PCS IP無縫集成，在支持可擴展數據速率的同時，兼具低延遲特性，可實現網絡優先級劃分，并為各類安全以太網連接提供多樣化支持。圖1展示了集成新思科技MACsec模塊的以太網解決方案，該方案能幫助片上系統（SoC）開發者在系統中快速集成安全功能，加快產品上市速度、降低開發風險。

▲圖1：新思科技以太網安全解決方案框圖

借助新思科技MACsec安全模塊，開發者可獲得以下優勢：

符合IEEE 802.1AE標準

支持每幀安全處理，包括封裝/解封裝和幀驗證

基于流水線AES-GCM加密技術，實現高達100+ Gbps的可擴展吞吐量，且延遲優化

模式

○加密/解密和認證

○ 僅身份驗證

128位和256位密鑰長度

固定的入口/出口延遲

支持符合IEEE 802.1AEbn標準的擴展包編號

支持巨型幀

安全標簽（SecTag）插入和移除

可配置的安全通道和關聯數量

可配置的重放保護窗口大小

可配置的偏移量

可編程的機密性偏移量

VLAN標簽明文傳輸

可選擇的旁路模式

結語

數據留存政策在全球范圍內千差萬別；政府機構也可能試圖依據監控、所有權、監管政策或相關法規，主張對數據的訪問權或留存權。僅對靜態數據進行加密并不足以提供充分保護。為確保數據在穿越互聯網基礎設施中未知且不受控的環節時仍能保持私密性與完整性，可能需要采用多層網絡加密機制。若缺乏加密技術提供的驗證與保護，零日漏洞、惡意軟件及病毒便會有機可乘，輕易構成威脅。

保障以太網流量安全的主要標準是MACsec，它能為以太網連接設備之間的動態數據保駕護航。MACsec協商第一步中使用的預共享密鑰可阻止非可信設備接入受保護的以太網架構。在共享基礎設施上進行計算會使這一挑戰更趨復雜——除非能驗證某一連接是安全的，否則切勿輕信！

通過在新思科技以太網IP解決方案中集成新思科技MACsec安全模塊，網絡片上系統（SoC）開發者能夠保護高速網絡流量，實現以太網連接設備之間動態數據的端到端安全防護。