1 MACsec 簡(jiǎn)介

媒體訪問控制安全 (MACsec) 可確保以太網(wǎng)連接器件之間交換的數(shù)據(jù)受到保護(hù)。MACsec 由 IEEE 標(biāo)準(zhǔn) 802.1AE 定義，允許授權(quán)系統(tǒng)連接到網(wǎng)絡(luò)中的 LAN 并進(jìn)行互連，從而保持傳輸數(shù)據(jù)的機(jī)密性，并針對(duì)未經(jīng)授權(quán)的器件傳輸或修改的幀采取措施。

MACsec 在 OSI 模型的第 2 層（數(shù)據(jù)鏈路層）運(yùn)行。數(shù)據(jù)從之前的非結(jié)構(gòu)化數(shù)據(jù)打包成幀，在數(shù)據(jù)鏈路層定義數(shù)據(jù)的格式。

圖 1-1 OSI 網(wǎng)絡(luò)堆棧

在 MACsec 之前，SSL 和 TLS 等安全協(xié)議已被廣泛使用，但其在軟件層運(yùn)行，這帶來了挑戰(zhàn)。這些協(xié)議需要 SoC 提供大量的 CPU 和內(nèi)存資源，因此可能降低性能。

如果啟用 MACsec，在兩個(gè)連接的器件之間交換和驗(yàn)證安全密鑰后，會(huì)建立雙向安全鏈路。利用數(shù)據(jù)完整性檢查和加密的組合來保護(hù)傳輸?shù)臄?shù)據(jù)。

發(fā)送器件將唯一的 MACsec 標(biāo)頭附加到所有要發(fā)送的以太網(wǎng)幀，對(duì)幀內(nèi)的數(shù)據(jù)有效載荷進(jìn)行加密。接收器件會(huì)檢查標(biāo)頭和尾部的完整性。如果檢查失敗，流量會(huì)被丟棄。如果檢查成功，幀則會(huì)被解密。