互联网MACsec技术的设计与实践.docVIP

互联网MACsec技术的设计与实践 　　摘 要：MACsec是一个用以保护局域网安全的主要协议，这一协议通过识别局域网上非授信站点来阻止其通信，从而保证网络正常运行，同时还能保护信息完整性和保密信，并减少对2层协议的攻击，很好的保护局域同多不受被动接线、假冒、中间人以及部分拒绝任务攻击等袭击。本文就互联网MACsec技术的设计与实践进行探讨，提出了有效的应用方案。 　　关键词：MACsec；网中安全；设计实践；802.1ae 　　中图分类号：TN929.11 　　以太网技术是当今局域网普遍使用的通信协议标准，是一种二层媒质访问控制技术，并与其它接入媒质结合后形成多种宽带接入技术，包括EPON、WLAN等。在以太网技术应用中，所有计算机由同轴电缆相连，采用竞争机制共享传输媒体，既是应用最广泛的局域网技术，也是宽带接入网中的主流技术。虽然随着技术和标准的不断完善，以太网技术应用得到了巨大的发展，但以太网技术起源于企业风部网，是建立在所有网络用户都是互相信任的前提之上的，在安全方面的考虑较弱，应用于互不信任的公共网络中存在着大量安全漏洞，造成信息泄露、信息破坏、非法信息传播、网络资源错误使用等安全问题，这种广播式的通信协议必须采取强力的安全措施构建出安全的环境。2005年，IEEE 802.1ae媒体访问控制安全（MACsec）协议的提出有效的提高了以太网的安全水平，这一协议将安全保护集成到有线以太网中，能使局域网避免受到被动接线、假冒、中间人、拒绝服务攻击等安全影响，减少2层协议所受到的攻击。 　　1 MACsec技术体系结构 　　1.1 MACsec协议结构 　　Macsec在物理层上是透明的，这一协议通过提供逐跳的安全性来保护网络基础设施的可信赖部件间的通信，网络管理员仅需对网络设备进行配置即可在到相应的需求。在数据发送过程中，需要协议号（AN）一声明帧的类型、安全协议的密钥（SAK）以及下一个数据包号（PN），并与安全通道标识（SCI）以及下一个数据包号（PN）一起做为帧头由以太网传送，在这一过程中利用保护模块（PROTECT）对数据进行加密处理，并与安全协议密钥（SAK）、数据包号（PN）、安全通道标识（SCI）、源站点地址、目的站点地址一起作为输入信息得到完整性校验值（ICV）。在数据接收过程中，用户从帧头获得协议号、安全通道标识、数据包号等信息并获得安全协议密钥，通过确认模块（VALIDATE）根据安全协议密钥（SAK）、数据包号、安全通道标识、源站点地址、目的站点地址、完整性校验值一起来判断所接收的数据包是否有效，如果拉收的数据包有效则对数据进行解密处理，如果无效则抛弃处理。 　　1.2 帧结构 　　MACsec所提供的数据传输是源站点与目的站点间未经认可的数据传输，每一个传输请求的帧结构都包括目的站点地址、源站点地址、优先级、MAC服务数据单元几个部分，其中MAC服务数据单元又包括帧类型标识、加密数据、完整性校验值三部分。在MACsec中，对数据传输的不同优先级提供了相应的支持，可以根据优先级参数来处理站点请求。在MAC服务请求发出后将会执行相应的服务操作，所有参与安全MAC服务的端口都会分配相应的MAC安全密钥协议实体和安全实体，每一个安全密钥协议实体都会监测同一局域网中的其它协议实体，并互相鉴别和授权，保证可靠侦的传送与接收。 　　1.3 GCM-AES算法 　　在应用MACsec技术时，采用GCM-AES-128算法对帧进行加密解密和完整性校验，这一算法分为授权加密和鉴别解密两个过程，在对数据进行加密时需要输入加密密钥、初始向量、明文、附加鉴别信息，输出密文和鉴别标识；在解密过程中输入密文、鉴别标识、加密密钥、初始向量、附加鉴别信息，输出明文和可信性指标信息，如果得到的鉴别标识与输入的不同则表示该信息不可信，如果一致则输出解密后的明文。这一加密算法采用128位密钥，一般采用96位初始化向量来提高处理效率。 　　2 互联网MACsec技术的硬件实现 　　2.1 MACsec技术硬件系统结构 　　MACsec技术主要包括MAC和GCM-AES两个功能，其中MAC负责接收发送帧，GCM-AES负责对发送数据加密和附加完整性校验值，以及对接收数据的完整性校验和解密。目前常用的硬件结构有三种方案，分别为MAC模块实例调用GCM-AES模块、MAC和GCM-AES作为独立模块分别配置、MAC和GCM-AES作为独立模块同时建立额外数据交互接口模式。在第三种模式中，MAC模块和GCM-AES模块能够分别配置，但当仅进行帧的加密解密工作而不需要利用总线传输数据时，则可以直接利用两者间的数据交互接口完成数据交互工作，这一结构能有效的降低总线负载，提高系统资源利用率，相较前两种模式性能更为优异，本文