以太網(wǎng)系統(tǒng)如何將附加功能添加到嵌入式IP核中

在第 1 部分中，我們查看了有關(guān)加密的一些注意事項(xiàng)。在第 2 部分中，我們介紹了消息身份驗(yàn)證的概念，以增加我們的安全系統(tǒng)中提供的保護(hù)。在許多應(yīng)用中，消息的加密和認(rèn)證足以保護(hù)有價(jià)值的數(shù)據(jù)。然而，隨著攻擊者變得越來(lái)越老練，有必要為安全性添加更多功能。我一直認(rèn)為它增加了安全層，就像洋蔥皮一樣。如果惡意代理克服了其中一個(gè)保護(hù)層，那么他將面臨另一個(gè)保護(hù)層。在這里，我將討論以太網(wǎng)系統(tǒng)如何將附加功能添加到嵌入式 IP 核中。

以太網(wǎng)傳輸已經(jīng)發(fā)展到主導(dǎo)通信，因?yàn)樗雀咝в挚蓴U(kuò)展到高速傳輸。已指定對(duì)以太網(wǎng)的擴(kuò)展，在 IEEE 802.1AE 規(guī)范下添加了一系列全新的安全措施，該規(guī)范具有集成的安全系統(tǒng)，可加密和驗(yàn)證消息以及檢測(cè)和抵御網(wǎng)絡(luò)上的一系列攻擊。該規(guī)范被稱(chēng)為媒體訪(fǎng)問(wèn)控制安全標(biāo)準(zhǔn)，或者更常見(jiàn)的是 MACsec。

MACsec 在它所基于的 AES-GCM 加密之外提供了三種基本的安全功能。首先，MACsec 通過(guò)安全通道的概念增加了密鑰管理，允許將不同的密鑰用于不同的通信鏈路。其次，MACsec 提供重放保護(hù)，防止攻擊者通過(guò)捕獲有效數(shù)據(jù)包并再次發(fā)送它來(lái)破壞系統(tǒng)。第三，除了通過(guò)加密阻止攻擊外，它還提供統(tǒng)計(jì)數(shù)據(jù)收集以允許檢測(cè)攻擊并采取更高級(jí)別的措施來(lái)應(yīng)對(duì)攻擊，例如調(diào)查其來(lái)源。

MACsec IP 核是一種復(fù)雜的硬件設(shè)計(jì)，用于嵌入在第 2 層工作的 FPGA。MACsec 方案基于網(wǎng)絡(luò)節(jié)點(diǎn)，這些節(jié)點(diǎn)形成一組稱(chēng)為安全實(shí)體 （SecY） 的可信實(shí)體。每個(gè) SecY 都被分配了一個(gè)唯一的安全通道來(lái)傳輸數(shù)據(jù)包。該通道最多可以鏈接四個(gè)安全關(guān)聯(lián) （SA），每個(gè)安全關(guān)聯(lián)都有一個(gè)密鑰。因此，每個(gè)節(jié)點(diǎn)都使用不同的密鑰，這意味著只有系統(tǒng)管理員提供該密鑰的節(jié)點(diǎn)才能解密該節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包。

MACsec 在每個(gè)數(shù)據(jù)包離開(kāi)以太網(wǎng) LAN 時(shí)對(duì)其進(jìn)行解密和驗(yàn)證。因此，通過(guò)兩個(gè) LAN 之間的網(wǎng)橋的數(shù)據(jù)包??將在離開(kāi)第一個(gè)時(shí)被解密，并在進(jìn)入第二個(gè)時(shí)再次加密，因此該系統(tǒng)被稱(chēng)為逐跳方案。這意味著可以驗(yàn)證所有數(shù)據(jù)包。身份驗(yàn)證是通過(guò)將數(shù)據(jù)附加到消息末尾的一個(gè)稱(chēng)為完整性檢查值 （ICV） 的字段中來(lái)實(shí)現(xiàn)的。這與加密密鑰一起工作以驗(yàn)證幀，包括標(biāo)頭和 MACsec 標(biāo)記，以確保即使是幀的源地址或目標(biāo)地址也不會(huì)被操縱。

解密的消息（有時(shí)稱(chēng)為明文）現(xiàn)在可以在機(jī)器內(nèi)部使用，以供上層軟件進(jìn)行進(jìn)一步的可選處理。這可能是深度數(shù)據(jù)包檢查，以識(shí)別數(shù)據(jù)包是否包含惡意軟件或病毒。明文數(shù)據(jù)包也可以被送入流量管理器，該流量管理器調(diào)節(jié)數(shù)據(jù)的流出或在出現(xiàn)過(guò)載情況時(shí)決定丟棄哪些數(shù)據(jù)包。請(qǐng)記住，將安全標(biāo)簽 （SecTag） 和 ICV 添加到數(shù)據(jù)包意味著減少了鏈路的最大容量。當(dāng)系統(tǒng)準(zhǔn)備好轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)，它將被重新加密，但這一次使用本地機(jī)器的安全通道傳輸 SecY。

此外，SecY 在數(shù)據(jù)包級(jí)別收集和記錄一系列統(tǒng)計(jì)信息。這允許系統(tǒng)管理員查看有多少數(shù)據(jù)包因多種不同的原因被 MACsec 拒絕。例如，它們可能會(huì)被拒絕，因?yàn)樗鼈冇捎跓o(wú)效的解密密鑰或使用了錯(cuò)誤的密鑰而未能通過(guò)完整性檢查。這可以幫助識(shí)別和擊敗網(wǎng)絡(luò)上嘗試的拒絕服務(wù) （DoS） 攻擊。每個(gè)數(shù)據(jù)包也被編號(hào)，如果數(shù)據(jù)包到達(dá)時(shí)已經(jīng)被處理，這個(gè)重放可能表明所謂的中間人攻擊。同樣，MACsec 統(tǒng)計(jì)數(shù)據(jù)可以記錄和標(biāo)記嘗試的重放事件。

IP 核使用 MACsec 數(shù)據(jù)包的 SecTag 標(biāo)頭中的安全通道標(biāo)識(shí)符 （SCI） 在解密消息之前檢索適當(dāng)?shù)拿荑€。一些 IP 內(nèi)核支持多個(gè)虛擬 SecY，使一個(gè)以太網(wǎng) MAC 能夠擁有多個(gè)與其關(guān)聯(lián)的 MACsec SecY，用于多路訪(fǎng)問(wèn) LAN 等應(yīng)用。因此，對(duì)于系統(tǒng)而言，該設(shè)備可能看起來(lái)像是多個(gè)消息源（每個(gè)消息源都有一個(gè)唯一的加密密鑰）。這有利于將系統(tǒng)劃分為邏輯域，例如，工廠(chǎng)員工無(wú)法使用會(huì)計(jì)數(shù)據(jù)，而工程設(shè)計(jì)僅可供授權(quán)人員使用。

MACsec 最初的設(shè)想是支持城域網(wǎng)，但現(xiàn)在它也可用于數(shù)據(jù)中心和云等一系列應(yīng)用，這增加了對(duì)基于 FPGA 的嵌入式解決方案的整體需求。

工程師選擇使用第 2 層連接的原因是為了在數(shù)據(jù)包中以最小的延遲和開(kāi)銷(xiāo)數(shù)據(jù)實(shí)現(xiàn)高速。逐跳設(shè)計(jì)還有助于在組織邊界的防火墻中進(jìn)行數(shù)據(jù)包檢查，在這種情況下，像 IPsec 這樣的端到端加密系統(tǒng)將通過(guò)防火墻傳遞加密數(shù)據(jù)并屏蔽其不受檢查。MACsec 核心包括一個(gè) AES-GCM 加密引擎和附加邏輯，用于執(zhí)行協(xié)議處理、密鑰查找、統(tǒng)計(jì)整理和存儲(chǔ)功能。核心速度可以輕松達(dá)到 10 Gigabit 以太網(wǎng)，并將隨著以太網(wǎng)速度的增加而擴(kuò)大。另一個(gè)重要的考慮因素是，與使用軟件解決方案執(zhí)行加密功能等算法相比，F(xiàn)PGA 的能效要高得多。

在第 4 部分中，我將討論嵌入式 IP 內(nèi)核如何加速常用的第 3 層技術(shù)，稱(chēng)為 IPsec。

審核編輯：郭婷