88E1548P MACSec使用介紹

Marvel PHY 88E1548P在其LinkCryCore中支持MACSec功能；

以下內(nèi)容為此PHY的加密/解密通路結(jié)構(gòu)，配置及編程使用介紹；

此款PHY結(jié)合了LinkCry Core和一些相關(guān)的緩存及邏輯。MACsec Core、Buffers、mac和設(shè)備特有的所有其他邏輯被稱為“LinkCrypt Core”。半雙工模式下不支持LinkCrypt。

下面的兩個(gè)框圖說(shuō)明了設(shè)備內(nèi)的總體結(jié)構(gòu)，圖39更詳細(xì)地介紹了slice的內(nèi)容，以及每個(gè)slice中內(nèi)置的各種復(fù)用器，這些復(fù)用器允許啟用/禁用特定塊、非中斷環(huán)回或完全繞過(guò)LinkCrypt核心。圖39中的重定向塊也包含一個(gè)小的(32B)遲滯FIFO。

MarvellLinkCrypt實(shí)現(xiàn)提供了IEEE 802.1AE規(guī)范要求的以下功能:

1. 支持一個(gè)端口多個(gè)安全通道；

2. 根據(jù)報(bào)文內(nèi)容分離受控端口流量和非受控端口流量；

3. 能夠選擇和過(guò)濾非受控端口流量；

4. 能夠通過(guò)SCI以外的方式選擇安全通道；

5. 數(shù)據(jù)包重定向增加了新的MAC、DA、SA和以太類型；

6. 支持專有的系統(tǒng)頭，以及插入和刪除這些頭；

7. FIPS符合性測(cè)試；

8. 中斷和非中斷環(huán)回；

9. 流量控制數(shù)據(jù)包的延遲最小化；

10. 自適應(yīng)速率控制以補(bǔ)償包的擴(kuò)展；

11. 支持診斷，包括MACsec報(bào)頭保留和其他統(tǒng)計(jì)計(jì)數(shù)器；

12. 非受控路徑的以太類型匹配。

LinkCry CORE運(yùn)行原理

LinkCrypt核心執(zhí)行IEEE 802.1AE標(biāo)準(zhǔn)中定義的加密、解密、身份驗(yàn)證和封裝。它還提供了標(biāo)準(zhǔn)之外的額外查找、選擇、數(shù)據(jù)包處理和診斷功能。

Core分為三個(gè)主要部分:出口(加密)管道、入口(解密)管道和集中的統(tǒng)計(jì)數(shù)據(jù)收集塊。出口管道和入口管道具有一些共同的屬性，并且具有相似的功能單元; 兩者之間的主要區(qū)別在于執(zhí)行操作的順序，以及向入口管道添加身份驗(yàn)證檢查。

這兩個(gè)管道都是為“實(shí)時(shí)”操作而設(shè)計(jì)的，因此可以在進(jìn)行加密或解密操作時(shí)進(jìn)行各種表的配置。在管道運(yùn)行時(shí)執(zhí)行更改需要遵循正確的順序，每個(gè)管道都描述了正確的順序。不遵循正確的順序可能導(dǎo)致?lián)p壞或流量下降。

由于802.3規(guī)范下PHY可用的寄存器空間有限，LinkCrypt核心使用間接訪問(wèn)機(jī)制來(lái)訪問(wèn)其內(nèi)部配置狀態(tài)。這種存取機(jī)制由四個(gè)22條款寄存器組成。它們包括兩個(gè)地址寄存器，每個(gè)地址寄存器用于讀和寫，以及兩個(gè)數(shù)據(jù)寄存器，它們形成32位數(shù)據(jù)訪問(wèn)。

MACSec Packet Format

MACsec報(bào)文遵循IEEE 802格式報(bào)文的規(guī)則，由一個(gè)具有DA、SA和Ethertype的報(bào)文組成。報(bào)文中的ethertype表示該報(bào)文是MACsec報(bào)文，MACsec報(bào)頭后面的第二個(gè)ethertype表示報(bào)文內(nèi)容的類型或下一個(gè)報(bào)頭。

對(duì)于遵守IEEE長(zhǎng)度約束(非jumbo)的數(shù)據(jù)包，這將導(dǎo)致有效負(fù)載大小在1到1502字節(jié)之間。對(duì)于MACsec來(lái)說(shuō)，零大小的有效載荷是非法的。大于1502字節(jié)的數(shù)據(jù)包有效載荷超出了IEEE規(guī)范的范圍，但由LinkCrypt核支持。

請(qǐng)注意，將MACsec報(bào)頭和ICV添加到最大大小的以太網(wǎng)幀中會(huì)導(dǎo)致在線上的幀大于1518字節(jié)的802.3最大值。這些幀通過(guò)802.1as規(guī)范是合法的，并且在任何情況下，這些802.1AE數(shù)據(jù)包應(yīng)該可以被任何能夠處理MACsec幀的設(shè)備接受。

MACSec HeaderFormat

每個(gè)MACsec幀包含一個(gè)8或16字節(jié)的報(bào)頭，其中包含標(biāo)識(shí)該幀為MACsec幀的Ethertype，以及處理和認(rèn)證/解密數(shù)據(jù)包所需的信息。

Tag Control Information (TCI) Field

TCI字段包含描述包和頭格式的位。它包含一個(gè)版本位(零)、端站位、安全通道報(bào)頭位、單拷貝廣播位、加密位、更改位和2位關(guān)聯(lián)號(hào)字段。

其中，ES和SC位是互斥的; 在數(shù)據(jù)包上同時(shí)置位這兩個(gè)是非法的。SCB位可以與ES位配合使用，但SC位不能。E位和C位共同表示數(shù)據(jù)包是否被加密;當(dāng)這兩個(gè)位都為1時(shí)，數(shù)據(jù)包被加密;當(dāng)這兩個(gè)位都為0時(shí)，數(shù)據(jù)包只經(jīng)過(guò)身份驗(yàn)證。

AN字段指定應(yīng)該使用哪個(gè)安全關(guān)聯(lián)(和相應(yīng)的密鑰)來(lái)解密此數(shù)據(jù)包，并執(zhí)行身份驗(yàn)證檢查。

Short Length (SL) Field

該字段包含MACsec有效載荷小于48字節(jié)的數(shù)據(jù)包的有效載荷長(zhǎng)度。對(duì)于負(fù)載較大的報(bào)文，該字段設(shè)置為0。該字段的目的是允許MACsec實(shí)體找到ICV，該ICV跟隨那些數(shù)據(jù)包上的有效載荷，足夠短，可能需要以太網(wǎng)填充。

Packet Number (PN) Field

該字段包含該報(bào)文的Packet Number。PN用于加密和防止重放攻擊。由于這兩個(gè)原因，給定的包號(hào)可能不會(huì)在給定的安全關(guān)聯(lián)中重用。驅(qū)動(dòng)程序/密鑰交換協(xié)議負(fù)責(zé)在PN計(jì)數(shù)器轉(zhuǎn)滾之前為MACsec實(shí)體提供新的SA。

Secure Channel Identifier (SCI) Field

安全通道標(biāo)識(shí)符標(biāo)識(shí)給定的安全通道。一個(gè)安全通道包含1個(gè)或多個(gè)安全關(guān)聯(lián)，這些安全關(guān)聯(lián)通過(guò)上面的關(guān)聯(lián)號(hào)（AN）來(lái)區(qū)分。如果SC位在TCI字段中設(shè)置，則SCI可以顯式地存在于數(shù)據(jù)包中，也可以是隱式的。在隱式SCI的情況下，SCI是由MACsec引擎維護(hù)的狀態(tài)和包中包含的信息構(gòu)建的。

這個(gè)構(gòu)造的SCI用于入方向的表匹配，也是計(jì)算數(shù)據(jù)包ICV的一個(gè)因素。（也就是說(shuō)，如果本地出端口沒(méi)有將SCI顯示帶在包中時(shí)，那么對(duì)端入端口就需要構(gòu)造這個(gè)SCI，而且用這個(gè)構(gòu)造出來(lái)的SCI匹配到的密鑰等解密關(guān)聯(lián)與本地端的加密關(guān)聯(lián)必須一致 。本地端出口方向只用SCI作為ICV的計(jì)算參數(shù)，并不用其來(lái)進(jìn)行表項(xiàng)匹配）

審核編輯：劉清