ZHCAEZ1 January 2025 DP83TC817S-Q1

3 MACsec 如何在系統(tǒng)中工作

MACsec 在鏈路層提供加密功能，而 IEEE 802.1X 則提供了一種對希望加入網(wǎng)絡(luò)的器件進(jìn)行身份驗(yàn)證的方法，確保只有受信任的器件才能訪問網(wǎng)絡(luò)。MACsec 使用一種稱為 EAPOL 的協(xié)議來處理身份驗(yàn)證過程，在 MACsec 中，MKA 協(xié)議有助于安全交換密鑰以進(jìn)行加密通信。

為使 MACsec 正常工作，SoC 必須具有專用數(shù)據(jù)庫來存儲連接關(guān)聯(lián)密鑰 (CAK) 和連接關(guān)聯(lián)密鑰名稱 (CKN)。在許多實(shí)現(xiàn)中，SoC 依靠 WPA Supplicant 來管理 CAK-CKN 數(shù)據(jù)庫，以便與更高級別的身份驗(yàn)證協(xié)議和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)集成。

圖 3-1 MACsec 系統(tǒng)架構(gòu)

表 3-1 MACsec 關(guān)鍵術(shù)語

MACsec 術(shù)語	定義
CKN/CAK	CKN（連接關(guān)聯(lián)密鑰名稱）和 CAK（連接關(guān)聯(lián)密鑰）由用戶配置，必須在鏈路兩端匹配才能初始啟用 MACsec。這必須在兩個處理器上預(yù)設(shè)。CAK 是一個 32 十六進(jìn)制或 64 十六進(jìn)制密鑰。CKN 是長度不超過 32 個字符的十六進(jìn)制數(shù)字字符串。
SecY	表示網(wǎng)絡(luò)器件上啟用 MACsec 的端口或接口的實(shí)體。
安全通道 (SC)	通常是兩個節(jié)點(diǎn)之間的邏輯連接。該連接為 MACsec 提供了安全的通信路徑。負(fù)責(zé)管理 MACsec 密鑰和多個 Secy 的安全關(guān)聯(lián)。
安全通道標(biāo)識符 (SCI)	與每個 SC 關(guān)聯(lián)。這是傳輸器件的 MAC 地址和端口標(biāo)識符的組合。與每個 SecY 關(guān)聯(lián)，用于標(biāo)識 MACsec 會話中的參與者。
安全關(guān)聯(lián) (SA)	表示兩個 MACsec 器件之間的安全關(guān)聯(lián)，SA 定義了用于保護(hù)器件之間通信的算法和密鑰等安全參數(shù)。每個安全通道包含兩個安全關(guān)聯(lián)。還包含數(shù)據(jù)包編號。
安全關(guān)聯(lián)密鑰 (SAK)	用于保護(hù) SA 中器件的加密密鑰。SAK 是動態(tài)生成的，在器件之間分發(fā)。SAK 使用 AES-GCM 算法對數(shù)據(jù)幀進(jìn)行加密和解密，在 MKA 過程中推導(dǎo)出來，且在特定安全通道中是唯一的。