互聯(lián)網(wǎng)MACsec技術的設計與實踐

摘 要：MACsec是一個用以保護局域網(wǎng)安全的主要協(xié)議，這一協(xié)議通過識別局域網(wǎng)上非授信站點來阻止其通信，從而保證網(wǎng)絡正常運行，同時還能保護信息完整性和保密信，并減少對2層協(xié)議的攻擊，很好的保護局域同多不受被動接線、假冒、中間人以及部分拒絕任務攻擊等襲擊。本文就互聯(lián)網(wǎng)MACsec技術的設計與實踐進行探討，提出了有效的應用方案。

關鍵詞：MACsec；網(wǎng)中安全；設計實踐；802.1ae

中圖分類號：TN929.11

以太網(wǎng)技術是當今局域網(wǎng)普遍使用的通信協(xié)議標準，是一種二層媒質訪問控制技術，并與其它接入媒質結合后形成多種寬帶接入技術，包括EPON、WLAN等。在以太網(wǎng)技術應用中，所有計算機由同軸電纜相連，采用競爭機制共享傳輸媒體，既是應用最廣泛的局域網(wǎng)技術，也是寬帶接入網(wǎng)中的主流技術。雖然隨著技術和標準的不斷完善，以太網(wǎng)技術應用得到了巨大的發(fā)展，但以太網(wǎng)技術起源于企業(yè)風部網(wǎng)，是建立在所有網(wǎng)絡用戶都是互相信任的前提之上的，在安全方面的考慮較弱，應用于互不信任的公共網(wǎng)絡中存在著大量安全漏洞，造成信息泄露、信息破壞、非法信息傳播、網(wǎng)絡資源錯誤使用等安全問題，這種廣播式的通信協(xié)議必須采取強力的安全措施構建出安全的環(huán)境。2005年，IEEE 802.1ae媒體訪問控制安全（MACsec）協(xié)議的提出有效的提高了以太網(wǎng)的安全水平，這一協(xié)議將安全保護集成到有線以太網(wǎng)中，能使局域網(wǎng)避免受到被動接線、假冒、中間人、拒絕服務攻擊等安全影響，減少2層協(xié)議所受到的攻擊。

1 MACsec技術體系結構

1.1 MACsec協(xié)議結構

Macsec在物理層上是透明的，這一協(xié)議通過提供逐跳的安全性來保護網(wǎng)絡基礎設施的可信賴部件間的通信，網(wǎng)絡管理員僅需對網(wǎng)絡設備進行配置即可在到相應的需求。在數(shù)據(jù)發(fā)送過程中，需要協(xié)議號（AN）一聲明幀的類型、安全協(xié)議的密鑰（SAK）以及下一個數(shù)據(jù)包號（PN），并與安全通道標識（SCI）以及下一個數(shù)據(jù)包號（PN）一起做為幀頭由以太網(wǎng)傳送，在這一過程中利用保護模塊（PROTECT）對數(shù)據(jù)進行加密處理，并與安全協(xié)議密鑰（SAK）、數(shù)據(jù)包號（PN）、安全通道標識（SCI）、源站點地址、目的站點地址一起作為輸入信息得到完整性校驗值（ICV）。在數(shù)據(jù)接收過程中，用戶從幀頭獲得協(xié)議號、安全通道標識、數(shù)據(jù)包號等信息并獲得安全協(xié)議密鑰，通過確認模塊（VALIDATE）根據(jù)安全協(xié)議密鑰（SAK）、數(shù)據(jù)包號、安全通道標識、源站點地址、目的站點地址、完整性校驗值一起來判斷所接收的數(shù)據(jù)包是否有效，如果拉收的數(shù)據(jù)包有效則對數(shù)據(jù)進行解密處理，如果無效則拋棄處理。

1.2 幀結構

MACsec所提供的數(shù)據(jù)傳輸是源站點與目的站點間未經(jīng)認可的數(shù)據(jù)傳輸，每一個傳輸請求的幀結構都包括目的站點地址、源站點地址、優(yōu)先級、MAC服務數(shù)據(jù)單元幾個部分，其中MAC服務數(shù)據(jù)單元又包括幀類型標識、加密數(shù)據(jù)、完整性校驗值三部分。在MACsec中，對數(shù)據(jù)傳輸?shù)牟煌瑑?yōu)先級提供了相應的支持，可以根據(jù)優(yōu)先級參數(shù)來處理站點請求。在MAC服務請求發(fā)出后將會執(zhí)行相應的服務操作，所有參與安全MAC服務的端口都會分配相應的MAC安全密鑰協(xié)議實體和安全實體，每一個安全密鑰協(xié)議實體都會監(jiān)測同一局域網(wǎng)中的其它協(xié)議實體，并互相鑒別和授權，保證可靠偵的傳送與接收。

1.3 GCM-AES算法

在應用MACsec技術時，采用GCM-AES-128算法對幀進行加密解密和完整性校驗，這一算法分為授權加密和鑒別解密兩個過程，在對數(shù)據(jù)進行加密時需要輸入加密密鑰、初始向量、明文、附加鑒別信息，輸出密文和鑒別標識；在解密過程中輸入密文、鑒別標識、加密密鑰、初始向量、附加鑒別信息，輸出明文和可信性指標信息，如果得到的鑒別標識與輸入的不同則表示該信息不可信，如果一致則輸出解密后的明文。這一加密算法采用128位密鑰，一般采用96位初始化向量來提高處理效率。

2 互聯(lián)網(wǎng)MACsec技術的硬件實現(xiàn)

2.1 MACsec技術硬件系統(tǒng)結構

MACsec技術主要包括MAC和GCM-AES兩個功能，其中MAC負責接收發(fā)送幀，GCM-AES負責對發(fā)送數(shù)據(jù)加密和附加完整性校驗值，以及對接收數(shù)據(jù)的完整性校驗和解密。目前常用的硬件結構有三種方案，分別為MAC模塊實例調(diào)用GCM-AES模塊、MAC和GCM-AES作為獨立模塊分別配置、MAC和GCM-AES作為獨立模塊同時建立額外數(shù)據(jù)交互接口模式。在第三種模式中，MAC模塊和GCM-AES模塊能夠分別配置，但當僅進行幀的加密解密工作而不需要利用總線傳輸數(shù)據(jù)時，則可以直接利用兩者間的數(shù)據(jù)交互接口完成數(shù)據(jù)交互工作，這一結構能有效的降低總線負載，提高系統(tǒng)資源利用率，相較前兩種模式性能更為優(yōu)異，本文設計實踐中即采用第三種硬件結構模式。

2.2 MAC模塊設計

MAC模塊主要承擔幀的接收與發(fā)送工作，不過在發(fā)送幀前需要利用GCM-AES模塊對數(shù)據(jù)進行加密并附加完整性校驗值，在接收幀后對數(shù)據(jù)進行解密并進行完整性校驗。MAC模塊的硬件結構主要包括AHB總線接口、PHY接口、GCM-AES交互接口三個接口，并包括幀發(fā)送模塊、幀接收模塊、PHY讀寫模塊、AHB接口模塊以及寄存器讀寫模塊幾個模塊。在MAC模塊硬件設計中，包含了系統(tǒng)時鐘、PHY發(fā)送時鐘、PHY接收時鐘、MII控制模塊時鐘四個時鐘域，四個時鐘域容易造成數(shù)據(jù)不穩(wěn)定現(xiàn)象，需要對異步時鐘域數(shù)據(jù)進行較為可靠的轉換。

在發(fā)送模塊中，當數(shù)需要發(fā)送數(shù)據(jù)時MAC首先偵聽是否存在載波，如果存在載波則標明信道上被占用有其它站點在傳輸信息，保持偵聽狀態(tài)。當信道內(nèi)幀間縫隙時間內(nèi)處于空閑狀態(tài)則表明信道未被占用，MAC開始執(zhí)信數(shù)據(jù)發(fā)送操作，并繼續(xù)偵聽發(fā)送數(shù)據(jù)過程中是否存在沖突，如果存在沖突則停止本次發(fā)送進入等待狀態(tài)至信道空閑再重新發(fā)送，如果多次沖突則放棄發(fā)送。從這一流程可以看出，MAC發(fā)送模塊包含狀態(tài)控制模塊、退避模塊、重發(fā)計數(shù)模塊、數(shù)據(jù)緩沖區(qū)模塊幾個部分，包括系統(tǒng)時鐘和MII控制模塊時鐘兩個異步時鐘域，可以采用雙端口讀寫來解決異步時鐘域造成的數(shù)據(jù)亞穩(wěn)定問題。

在接收模塊中，當MAC檢測到有偵傳入即開始檢查目標地址，如果地址匹配則接收幀，將幀傳輸至GCM-AES模塊進行完整性校驗，如果校驗通過則對數(shù)據(jù)進行解密獲取明文，如果校驗不通過則拋棄幀。這一模塊包括接收控制模塊、地址比較模塊、緩沖區(qū)模塊、MII模塊等幾部分，包含系統(tǒng)時鐘和MII控制模塊時鐘兩個異步時鐘域，同樣可以采用雙端口讀寫來解決異步時鐘域造成的數(shù)據(jù)亞穩(wěn)定問題。

2.3 GCM-AES模塊設計

GCM-AE模塊主要承擔數(shù)據(jù)發(fā)送時的加密和數(shù)據(jù)接收后的解密工作，在GCM-AES模塊加密過程中實際上均只用到了AES的加密過程，可以共用大部分電路，可以極大的簡化算法實現(xiàn)途徑?？梢詫CM-AES模塊考慮為AES加密模塊、遞加模塊、乘法模塊三個部分，以這三個部分為基礎構建出GCM-AES模塊的硬件結構。在GCM-AE模塊中，乘法器和加密模塊是核心部分。

GCM-AES采用2128有限域乘法器模塊進行乘法運算，可以利用組合電路或時序機構建，組合電路運行速度較快但占用空間較大，時序機占用空間小但運算時鐘周期較多，不過基本上能滿足運算的需要。AES算法加密模塊需要滿足128位AES加密算法的需要，所采用的是迭代分組密碼算法，在GCM-AES數(shù)據(jù)加密和解密過程中實際只使用AES加密過程，因此只需要設計AES加密即可。

3 結束語

MACsec技術有效的提升了網(wǎng)絡安全水平，降低了傳統(tǒng)網(wǎng)絡應用中的風險，在設計與實踐中，應當根據(jù)具體需要，對硬件模塊、系統(tǒng)結構進行分析，采用合適的算法和硬件系統(tǒng)結構，使其達到應有的安全水平，切實提升MACsec技術的安全應用能力。

參考文獻：

[1]周卓嬌.EPON系統(tǒng)中基于MACsec安全協(xié)議的研究[J].光通信技術，2008（10）.

[2]曹云鵬，錢敏.雙速自適應以太網(wǎng)MAC設計及FPGA驗證[J].通信技術，2010（11）.

作者單位：長慶鉆井總公司，西安 710018