在第 1 部分中，我們查看了有關(guān)加密的一些注意事項。在第 2 部分中，我們介紹了消息身份驗證的概念，以增加我們的安全系統(tǒng)中提供的保護(hù)。在許多應(yīng)用中，消息的加密和認(rèn)證足以保護(hù)有價值的數(shù)據(jù)。然而，隨著攻擊者變得越來越老練，有必要為安全性添加更多功能。我一直認(rèn)為它增加了安全層，就像洋蔥皮一樣。如果惡意代理克服了其中一個保護(hù)層，那么他將面臨另一個保護(hù)層。在這里，我將討論以太網(wǎng)系統(tǒng)如何將附加功能添加到嵌入式 IP 核中。

以太網(wǎng)傳輸已經(jīng)發(fā)展到主導(dǎo)通信，因為它既高效又可擴(kuò)展到高速傳輸。已指定對以太網(wǎng)的擴(kuò)展，在 IEEE 802.1AE 規(guī)范下添加了一系列全新的安全措施，該規(guī)范具有集成的安全系統(tǒng)，可加密和驗證消息以及檢測和抵御網(wǎng)絡(luò)上的一系列攻擊。該規(guī)范被稱為媒體訪問控制安全標(biāo)準(zhǔn)，或者更常見的是 MACsec。

MACsec 在它所基于的 AES-GCM 加密之外提供了三種基本的安全功能。首先，MACsec 通過安全通道的概念增加了密鑰管理，允許將不同的密鑰用于不同的通信鏈路。其次，MACsec 提供重放保護(hù)，防止攻擊者通過捕獲有效數(shù)據(jù)包并再次發(fā)送它來破壞系統(tǒng)。第三，除了通過加密阻止攻擊外，它還提供統(tǒng)計數(shù)據(jù)收集以允許檢測攻擊并采取更高級別的措施來應(yīng)對攻擊，例如調(diào)查其來源。

MACsec IP 核是一種復(fù)雜的硬件設(shè)計，用于嵌入在第 2 層工作的 FPGA。MACsec 方案基于網(wǎng)絡(luò)節(jié)點(diǎn)，這些節(jié)點(diǎn)形成一組稱為安全實體 （SecY） 的可信實體。每個 SecY 都被分配了一個唯一的安全通道來傳輸數(shù)據(jù)包。該通道最多可以鏈接四個安全關(guān)聯(lián) （SA），每個安全關(guān)聯(lián)都有一個密鑰。因此，每個節(jié)點(diǎn)都使用不同的密鑰，這意味著只有系統(tǒng)管理員提供該密鑰的節(jié)點(diǎn)才能解密該節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包。

MACsec 在每個數(shù)據(jù)包離開以太網(wǎng) LAN 時對其進(jìn)行解密和驗證。因此，通過兩個 LAN 之間的網(wǎng)橋的數(shù)據(jù)包??將在離開第一個時被解密，并在進(jìn)入第二個時再次加密，因此該系統(tǒng)被稱為逐跳方案。這意味著可以驗證所有數(shù)據(jù)包。身份驗證是通過將數(shù)據(jù)附加到消息末尾的一個稱為完整性檢查值 （ICV） 的字段中來實現(xiàn)的。這與加密密鑰一起工作以驗證幀，包括標(biāo)頭和 MACsec 標(biāo)記，以確保即使是幀的源地址或目標(biāo)地址也不會被操縱。

解密的消息（有時稱為明文）現(xiàn)在可以在機(jī)器內(nèi)部使用，以供上層軟件進(jìn)行進(jìn)一步的可選處理。這可能是深度數(shù)據(jù)包檢查，以識別數(shù)據(jù)包是否包含惡意軟件或病毒。明文數(shù)據(jù)包也可以被送入流量管理器，該流量管理器調(diào)節(jié)數(shù)據(jù)的流出或在出現(xiàn)過載情況時決定丟棄哪些數(shù)據(jù)包。請記住，將安全標(biāo)簽 （SecTag） 和 ICV 添加到數(shù)據(jù)包意味著減少了鏈路的最大容量。當(dāng)系統(tǒng)準(zhǔn)備好轉(zhuǎn)發(fā)數(shù)據(jù)包時，它將被重新加密，但這一次使用本地機(jī)器的安全通道傳輸 SecY。

此外，SecY 在數(shù)據(jù)包級別收集和記錄一系列統(tǒng)計信息。這允許系統(tǒng)管理員查看有多少數(shù)據(jù)包因多種不同的原因被 MACsec 拒絕。例如，它們可能會被拒絕，因為它們由于無效的解密密鑰或使用了錯誤的密鑰而未能通過完整性檢查。這可以幫助識別和擊敗網(wǎng)絡(luò)上嘗試的拒絕服務(wù) （DoS） 攻擊。每個數(shù)據(jù)包也被編號，如果數(shù)據(jù)包到達(dá)時已經(jīng)被處理，這個重放可能表明所謂的中間人攻擊。同樣，MACsec 統(tǒng)計數(shù)據(jù)可以記錄和標(biāo)記嘗試的重放事件。

IP 核使用 MACsec 數(shù)據(jù)包的 SecTag 標(biāo)頭中的安全通道標(biāo)識符 （SCI） 在解密消息之前檢索適當(dāng)?shù)拿荑€。一些 IP 內(nèi)核支持多個虛擬 SecY，使一個以太網(wǎng) MAC 能夠擁有多個與其關(guān)聯(lián)的 MACsec SecY，用于多路訪問 LAN 等應(yīng)用。因此，對于系統(tǒng)而言，該設(shè)備可能看起來像是多個消息源（每個消息源都有一個唯一的加密密鑰）。這有利于將系統(tǒng)劃分為邏輯域，例如，工廠員工無法使用會計數(shù)據(jù)，而工程設(shè)計僅可供授權(quán)人員使用。

MACsec 最初的設(shè)想是支持城域網(wǎng)，但現(xiàn)在它也可用于數(shù)據(jù)中心和云等一系列應(yīng)用，這增加了對基于 FPGA 的嵌入式解決方案的整體需求。

工程師選擇使用第 2 層連接的原因是為了在數(shù)據(jù)包中以最小的延遲和開銷數(shù)據(jù)實現(xiàn)高速。逐跳設(shè)計還有助于在組織邊界的防火墻中進(jìn)行數(shù)據(jù)包檢查，在這種情況下，像 IPsec 這樣的端到端加密系統(tǒng)將通過防火墻傳遞加密數(shù)據(jù)并屏蔽其不受檢查。MACsec 核心包括一個 AES-GCM 加密引擎和附加邏輯，用于執(zhí)行協(xié)議處理、密鑰查找、統(tǒng)計整理和存儲功能。核心速度可以輕松達(dá)到 10 Gigabit 以太網(wǎng)，并將隨著以太網(wǎng)速度的增加而擴(kuò)大。另一個重要的考慮因素是，與使用軟件解決方案執(zhí)行加密功能等算法相比，F(xiàn)PGA 的能效要高得多。

在第 4 部分中，我將討論嵌入式 IP 內(nèi)核如何加速常用的第 3 層技術(shù)，稱為 IPsec。

審核編輯：郭婷