Rambus使用MACsec硅IP22 3 3 4 5 7 9 33這種方法在使用?速以太網(wǎng)和各種其他計算資源所帶來的可擴展44在汽車以太網(wǎng)中使用IEEE802.1AEMACsec安全協(xié)議可以提供以太網(wǎng)數(shù)據(jù)包機密性保在硬件中實施MACsec可以以盡可能短的系統(tǒng)響應(yīng)時間檢測或過濾硬件層面的問題，同統(tǒng)的深度集成都在不斷增長。MACsec控制平面(MKA)在IEEE802.1X中定義，而汽車制理、使用HSM進(jìn)行密鑰保護(hù)等。讓我們詳細(xì)了解MACsec的工作原理以及它如何處理區(qū)域網(wǎng)關(guān)之間通信的安全方面。55什么是具有MACsec功能的系統(tǒng)？支持MACsec的系統(tǒng)可以使用一個或多個以太網(wǎng)端口與其他支持MACsec的系統(tǒng)進(jìn)行安全通信，并且數(shù)據(jù)包受到MACsec安全協(xié)議的保護(hù)。DeviceB(Authenticator)SessionDeviceB(Authenticator)SessionControl/StatusKeyManagementPacketsAuthorization(pre-sharedkeyorauthenticationprotocol)RADIUSAuthenticationServer(optional)?Encryptedpackets?Keymanagementpackets?OtherunprotectedpacketsTunnelATunnelBDeviceA(Supplicant)KeyManagementPacketsSessionControl/Status圖1.系統(tǒng)中的MACsec鏈路加密在系統(tǒng)中實現(xiàn)MACsec需要實現(xiàn)MACsec控制平面、MACsec數(shù)據(jù)平面并將其集成到網(wǎng)控制平面(CP)實現(xiàn)MACsec安全連接管理。通常，這是MACsec密鑰協(xié)議(MKA)，它是數(shù)據(jù)平面(DP)實現(xiàn)分類、MACsec策略和MACsec加密轉(zhuǎn)換功能，并提供所需的數(shù)據(jù)包對于硬件組件，這包括MACsec實現(xiàn)與以太網(wǎng)MAC、系統(tǒng)數(shù)據(jù)路徑、MKA數(shù)據(jù)包捕獲/注66于MACsec的用例和拓?fù)?。TransformClassifier/RuleMatchResultAnalysisClassifier/RuleMatchResultAnalysis/StatisticsHeaderParserPolicyProcessingdecrypt/bypass/drop)NotstandardizedinIEEEIEEE802.1AEMACsecdataplane圖2.MACsec數(shù)據(jù)平面功能?SoC計算資源的參與度為零或極低?bump?in?the?stack的數(shù)據(jù)流完全卸載到硬件上?CPU僅處理極少數(shù)的控制平面任務(wù)?最佳功耗使用?專用?硬件數(shù)據(jù)平面實施具有功耗節(jié)省措施77RambusMACsecIP解決方案RambusMACsecIP核符合最新的MACsec標(biāo)準(zhǔn)，并支持多種擴展和功能。部分IP還包括全線速IPsec協(xié)議支持。該IP附帶驅(qū)動程序開發(fā)軟件包(DDK)，可輕松將MACsecAPIRambus汽車MACsec產(chǎn)品包括：?具有集成安全措施和經(jīng)過認(rèn)證的ASIL?BReady的MACsecIP產(chǎn)品?適用于汽車硅片的MACsecIP產(chǎn)品，同時依賴外部安全措施MACsec產(chǎn)品組合的主要特性包括：?具有單端口和多端口(TDM)架構(gòu)的產(chǎn)品?MACsecIEEE802.1AE?2018合規(guī)性?具有VLAN?in?clear的MACsec?FIPSCAVP認(rèn)證支持AES和AES?GCM?低延遲?固定延遲或可在上層實現(xiàn)的功能?支持搶占的選項?經(jīng)過硅驗證的架構(gòu),和跨多代產(chǎn)品的多個Tier1客戶的DesignWins案例。?具有安全措施和經(jīng)過認(rèn)證的ASIL?BReady的產(chǎn)品配置88推出MACsec?IP?361:一款符合ASIL?BReady的產(chǎn)品Software持10/100/1000M速率的行業(yè)標(biāo)準(zhǔn)MII/GMII接口以及更?速率的相應(yīng)XGMII接口。底層MACsec?IP?161引擎實現(xiàn)了完全兼容的MACsecSoftwareRambusMACsecToolkit(IEEE802.1X)Platform-specificmiddlewareDDK-161DriverDevelopmentKitDMAMACSystemDMAMACSysteminterfaceadapterxMIIoutputadapteradapterxMIIoutputadapterMACsec-IP-161EgressxMIIoutputadapteradapterMACsec-IP-161IngressGlobalGlobalcontrols圖3.RambusMACsec-IP-361MACsec?IP?361解決方案的主要優(yōu)勢在于，它將MACsec處理置于以太網(wǎng)子系統(tǒng)xMIIIEEE1588PTP分類和時間戳處理。MACsec?IP?361是經(jīng)過ISO26262認(rèn)證的ASIL?BReady產(chǎn)品，包含所有必要的安全措99用例1：MACsec?IP?361集成到xMII的SoC或PHY中?行業(yè)標(biāo)準(zhǔn)全雙工GMII/MII/XGMII接口，具有符合IEEE802.3br的可選的搶占功能?具有多種吞吐量和面積優(yōu)化配置，目標(biāo)是10Mbps至50Gbps數(shù)據(jù)速率?ASIL?BReadySoCInterconnect/SwitchTSNMACRambusMACsec-IP-361SoCInterconnect/SwitchSoCInterconnect/SwitchTSNMACRambusMACsec-IP-361SoCInterconnect/SwitchTSNMACPCS/PMARambusMACsec-IP-361SoCSoCInterconnect/SwitchTSNMACRambusRambusMACsec-IP-361PCSPCS/PMA圖4.MACsec-IP-361在SoC或PHY中集成于xMII接口用例2：MACsec?IP?161集成到SoC或PHY?全雙工FIFO接口，具有符合IEEE802.3br的可選的搶占功能?具有多種吞吐量和面積優(yōu)化配置，目標(biāo)是10Mbps至50Gbps數(shù)據(jù)速率?ASIL?BReadyRambusMACsec-IP-161TSNMAC/PCSSoCInterconnectTSNMAC/PCSPCS/PMARambusRambusMACsec-IP-161TSNMAC/PCSSoCInterconnectTSNMAC/PCSPCS/PMARambusMACsec-IP-161PCS/PMASoCSoCInterconnect/SwitchRambusMACsec-IP-161TSNTSNMAC/PCSPCSPCS/PMA圖5.用于集成到SoC或PHY中的MACsec-IP-161用例3：用于10Base?T1SPHY、MAC?PHY或SoC的MACsec?IP?161?提供具有半雙工操作的FIFO接口?ASIL?BReadySoCMCU/SoCInterconnectSPIMasterSoCMCU/SoCInterconnectSPIMasterSoCMCU/SoCInterconnectRambusMACsec-IP-161MACMACT1SPHYPCS/PMAPCS/PMASPIT1SPIT1SMAC-PHYSPIHostInterfaceRambusMACsec-IP-161SoCMCU/SoCInterconnectRambusMACsec-IP-161SPISPIMasterMAC/PCS/PMASPIMAC/PCS/PMAT1SMAC-PHYSPIHostInterfaceMAC/PCS/PMAMAC/PCS/PMA圖6.適用于10Base-T1SPHY、MAC-PHY或SoC的MACsec-IP-161?具有最多64個端口的多通道(TDM)架構(gòu)的面積?效解決方案?每個端口的數(shù)據(jù)速率范圍在10Mbps至100Gbps之間完全靈活?總吞吐量通常為幾百Gbps，最?可達(dá)800GbpsPCS/PMAPCS/PMATSNSwitchSoCSwitchSwitc