MACsec协议如何保持以太网网络安全
中间人攻击。窃听。拒绝服务。特权升级。在这样的以太网网络入侵中,坏人追求的是数据,这是我们这个时代最有价值的货币之一。随着技术的进步,我们的世界变得更加互联,每个设备都变得更加智能,在网络中传输数据时,窃取或破坏数据的途径也越来越多。以太网互连正在向服务器、存储、路由器、交换机、计算机和其他设备的各个方向扩展,包括最近在汽车上的应用。
在一系列潜在的片上系统(SoC)接口攻击漏洞中,保护以太网接口对于保护您的网络至关重要。影响是真实的Statista他指出,2022年美国单次数据攻击的平均成本为944万美元,全球平均成本为435万美元。一种帮助防止数据泄露的方法保护您的以太网网络是通过使用媒体存取控制保安(MACsec)点对点协议,定义在IEEE 802.1AE标准-最流行的以太网安全标准。本概述涵盖推动以太网安全性的主要行业、保护以太网网络的挑战,以及如何使用MACsec协议更好地保护以太网接口。
什么是MACSec协议?
MACsec是一种安全协议,通过加密以太网连接设备之间的数据流量来防止网络数据泄露。MACsec于2006年由IEEE首次引入,用于保护以太网网络,并在2011年和2013年进行了更新。从那时起,汽车、5G、移动和高性能计算(HPC)等行业的进步推动了对更高安全性的需求。虽然MACsec协议并不新鲜,但今天您可以使用它来保护以太网接口,使其符合最新要求,从而更好地保护整个系统。
MACsec的核心是高级加密标准- galois /Counter模式加密(AES-GCM),与PCI Express®(PCIe®)和CXL安全性中使用的密码相同。具体来说,它保护您的系统免受数据通信开始的开放系统互连(OSI)网络模型第二层(数据链路层)的攻击。通过保护靠近物理层之上堆栈底部的第2层,您可以为其之上的整个网络堆栈设置安全基础,直到顶部应用程序层,为端到端安全性提供数据有效负载完整性和机密性。这可以防止系统的漏洞,如MAC洪泛、端口窃取和广播攻击。
使用MACsec协议保护网络数据有很多好处:
- 数据机密性,通过加密实现,防止数据(MAC帧)被未授权方监视。
- 数据完整性,通过认证实现,确保MAC帧在传输过程中不能被修改而不被检测。
- 数据来源证明提供一个MAC帧已经被认证设备发送的保证。
- 重放保护确保从网络恶意复制的MAC帧不能在没有检测到的情况下重新发送。
- 有限接收延迟防止MAC帧被中间人拦截,并确保检测到超过几秒的延迟。
除了这些和其他安全功能之外,MACsec还提供了一些好处,例如能够扩展到高网络速度,以实现最新的接口速率。它也可以在硬件中完全实现,并且由于预处理,它可以实现最佳的延迟。
汽车、5G/移动和HPC驱动器更高的以太网安全性
无论您从事何种行业,数据损坏和未经授权访问的威胁都是普遍而真实的。虽然不同的信息有不同程度的敏感性或临界性,但事实是所有的电子系统都容易受到攻击。
以下是一些帮助推动以太网安全前景向前发展的行业示例:
- 汽车
自动驾驶、空中软件更新、共享连接和移动性是汽车行业的一些最新创新,有助于激发对更大数据安全和深度防御的需求。
对于汽车来说,网络的完整性不仅关乎数据安全,还关乎道路安全。正因为如此,该行业一直是所有类型的接口安全的驱动力(没有双关语)。如今,MACsec已被应用于电子控制单元(ecu),几乎适用于所有车载汽车网络安全用例。
关键挑战—安全措施还必须包含安全遵从性
在汽车设计中,没有安全就没有安全,反之亦然。这意味着您需要添加安全机制,具有安全遵从性,并在安全实现的同时拥有所有的安全文档。例如,这是一个普遍的要求,以减轻风险或伤害的最高级别定义ISO 26262中的汽车安全完整性D级(ASIL-D)风险分类.这些安全要求必须与安全性一起有效地实现。
- 5 g /移动
多年来,MACsec已被用于移动计算以确保以太网的安全,但由于需要在各种5G应用程序中进行更大的优化,MACsec的传统解决方案受到了破坏。
主要挑战——支持聚合,具有可伸缩的性能和区域高效的解决方案,适用于各种用例
5G涉及大量增强的移动宽带通信,提供多网络切片、多连接网络功能等。因此,除了单端口解决方案外,还需要考虑多端口解决方案,这就要求具有聚合支持和可伸缩性能的更有效的可配置性——比过去需要的更多。
- 高性能计算(HPC)
高性能计算已经迅速采用了PCIe和CXL的接口安全性,正因为如此,高性能以太网MACsec的采用很可能遵循类似的轨迹。在过去,我们梦想着800G和1.6T的以太网速度,现在这些速率正在成为现实。对加速性能和增加带宽的需求使HPC成为MACsec解决方案的驱动力。
主要挑战——以最佳的延迟和面积扩展高数据速率和不同的带宽
虽然MACsec协议允许您通过AES-GCM加密的管道扩展到高速,但这对于云来说可能很棘手,因为扩展需要支持各种高性能接口带宽。高性能计算中以太网接口安全的挑战是在保持区域受控的情况下以最低的延迟完成所有这些工作。
先进系统的复杂性意味着数据安全没有一个万能的答案。更复杂的是,接口的数量在不断增加,新的法律法规也在不断出台,以解决数据隐私和系统安全问题。SoC安全不仅应该满足您的行业和用例的独特需求,而且还应该在您的整体系统设计中整体工作,在脱机、上电和运行时提供保护。
但是如何确保满足所有这些要求并保证以太网的安全呢?
明智地选择接口安全合作伙伴
从头开始,建立正确的安全性是一个挑战。为了简化您的设计路径并降低风险,请考虑完整的、经过验证的安全解决方案。Synopsys对此有在接口安全解决方案方面有丰富经验例如具有完整性和数据加密(IDE)的安全PCIe和CXL接口,具有内联内存加密(IME)的安全DDR/LPDDR接口,具有HDCP 2.3安全的安全HDMI和DisplayPort接口,具有MACsec的以太网接口等等。我们的解决方案可降低您的风险,因为它们符合标准并经过验证。您可以放心,当您与我们合作时,我们将为您提供领先的安全专家和完整的解决方案,使您能够在核心竞争力上投入更多时间,以实现差异化产品的快速上市。
无论您需要安全性与安全性、可定制配置携手高效工作,还是能够在保持低延迟和低面积的同时扩展带宽和速度,具有Synopsys MACsec安全模块的Synopsys Ethernet IP解决方案均可实现以太网流量的端到端安全。Synopsys MACsec安全模块是完整的内联全双工解决方案,可与简介以太网MAC和pc IP支持可伸缩的数据速率和低延迟。我们通过验证、预集成和嵌入式MACSec来增强我们的产品,这对最终用户来说是无缝的。我们为客户提供整体设计解决方案的悠久历史使我们能够更好地实现集成安全性,以满足先进设计的要求。
新的安全解决方案将不可避免地成为我们集体安全和可靠未来的持续组成部分。Synopsys是确保SoC中所有接口安全的最佳定位,包括以太网和其他领域的MACsec解决方案。我们的安全接口IP产品使您的应用程序不仅保持安全,而且还简化了您的设计过程,使您能够以更低的风险更快地进入市场。
了解更多关于Synopsys用于汽车、5G/移动和高性能计算的安全接口。
