Marvel PHY 88E1548P在其LinkCryCore中支持MACSec功能;
以下內容為此PHY的加密/解密通路結構,配置及編程使用介紹;
此款PHY結合了LinkCry Core和一些相關的緩存及邏輯。MACsec Core、Buffers、mac和設備特有的所有其他邏輯被稱為“LinkCrypt Core”。半雙工模式下不支持LinkCrypt。
下面的兩個框圖說明了設備內的總體結構,圖39更詳細地介紹了slice的內容,以及每個slice中內置的各種復用器,這些復用器允許啟用/禁用特定塊、非中斷環回或完全繞過LinkCrypt核心。圖39中的重定向塊也包含一個小的(32B)遲滯FIFO。
MarvellLinkCrypt實現提供了IEEE 802.1AE規范要求的以下功能:
1. 支持一個端口多個安全通道;
2. 根據報文內容分離受控端口流量和非受控端口流量;
3. 能夠選擇和過濾非受控端口流量;
4. 能夠通過SCI以外的方式選擇安全通道;
5. 數據包重定向增加了新的MAC、DA、SA和以太類型;
6. 支持專有的系統頭,以及插入和刪除這些頭;
7. FIPS符合性測試;
8. 中斷和非中斷環回;
9. 流量控制數據包的延遲最小化;
10. 自適應速率控制以補償包的擴展;
11. 支持診斷,包括MACsec報頭保留和其他統計計數器;
12. 非受控路徑的以太類型匹配。
LinkCry CORE運行原理
LinkCrypt核心執行IEEE 802.1AE標準中定義的加密、解密、身份驗證和封裝。它還提供了標準之外的額外查找、選擇、數據包處理和診斷功能。
Core分為三個主要部分:出口(加密)管道、入口(解密)管道和集中的統計數據收集塊。出口管道和入口管道具有一些共同的屬性,并且具有相似的功能單元; 兩者之間的主要區別在于執行操作的順序,以及向入口管道添加身份驗證檢查。
這兩個管道都是為“實時”操作而設計的,因此可以在進行加密或解密操作時進行各種表的配置。在管道運行時執行更改需要遵循正確的順序,每個管道都描述了正確的順序。不遵循正確的順序可能導致損壞或流量下降。
由于802.3規范下PHY可用的寄存器空間有限,LinkCrypt核心使用間接訪問機制來訪問其內部配置狀態。這種存取機制由四個22條款寄存器組成。它們包括兩個地址寄存器,每個地址寄存器用于讀和寫,以及兩個數據寄存器,它們形成32位數據訪問。
MACSec Packet Format
MACsec報文遵循IEEE 802格式報文的規則,由一個具有DA、SA和Ethertype的報文組成。報文中的ethertype表示該報文是MACsec報文,MACsec報頭后面的第二個ethertype表示報文內容的類型或下一個報頭。
對于遵守IEEE長度約束(非jumbo)的數據包,這將導致有效負載大小在1到1502字節之間。對于MACsec來說,零大小的有效載荷是非法的。大于1502字節的數據包有效載荷超出了IEEE規范的范圍,但由LinkCrypt核支持。
請注意,將MACsec報頭和ICV添加到最大大小的以太網幀中會導致在線上的幀大于1518字節的802.3最大值。這些幀通過802.1as規范是合法的,并且在任何情況下,這些802.1AE數據包應該可以被任何能夠處理MACsec幀的設備接受。
每個MACsec幀包含一個8或16字節的報頭,其中包含標識該幀為MACsec幀的Ethertype,以及處理和認證/解密數據包所需的信息。
Tag Control Information (TCI) Field
TCI字段包含描述包和頭格式的位。它包含一個版本位(零)、端站位、安全通道報頭位、單拷貝廣播位、加密位、更改位和2位關聯號字段。
其中,ES和SC位是互斥的; 在數據包上同時置位這兩個是非法的。SCB位可以與ES位配合使用,但SC位不能。E位和C位共同表示數據包是否被加密;當這兩個位都為1時,數據包被加密;當這兩個位都為0時,數據包只經過身份驗證。
AN字段指定應該使用哪個安全關聯(和相應的密鑰)來解密此數據包,并執行身份驗證檢查。
Short Length (SL) Field
該字段包含MACsec有效載荷小于48字節的數據包的有效載荷長度。對于負載較大的報文,該字段設置為0。該字段的目的是允許MACsec實體找到ICV,該ICV跟隨那些數據包上的有效載荷,足夠短,可能需要以太網填充。
Packet Number (PN) Field
該字段包含該報文的Packet Number。PN用于加密和防止重放攻擊。由于這兩個原因,給定的包號可能不會在給定的安全關聯中重用。驅動程序/密鑰交換協議負責在PN計數器轉滾之前為MACsec實體提供新的SA。
Secure Channel Identifier (SCI) Field
安全通道標識符標識給定的安全通道。一個安全通道包含1個或多個安全關聯,這些安全關聯通過上面的關聯號(AN)來區分。如果SC位在TCI字段中設置,則SCI可以顯式地存在于數據包中,也可以是隱式的。在隱式SCI的情況下,SCI是由MACsec引擎維護的狀態和包中包含的信息構建的。
這個構造的SCI用于入方向的表匹配,也是計算數據包ICV的一個因素。(也就是說,如果本地出端口沒有將SCI顯示帶在包中時,那么對端入端口就需要構造這個SCI,而且用這個構造出來的SCI匹配到的密鑰等解密關聯與本地端的加密關聯必須一致 。本地端出口方向只用SCI作為ICV的計算參數,并不用其來進行表項匹配)
審核編輯:劉清
-
寄存器
+關注
關注
31文章
5336瀏覽量
120261 -
計數器
+關注
關注
32文章
2256瀏覽量
94488 -
復用器
+關注
關注
1文章
707瀏覽量
28311 -
PHY
+關注
關注
2文章
301瀏覽量
51733
原文標題:88E1548P MACSec使用(1)---介紹
文章出處:【微信號:數字芯片設計工程師,微信公眾號:數字芯片設計工程師】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論