4 MACsec 塊

以太網(wǎng)幀是數(shù)據(jù)鏈路層的數(shù)據(jù)單元，是底層以太網(wǎng)物理層傳輸機(jī)制。每個(gè)以太網(wǎng)幀都以以太網(wǎng)標(biāo)頭開始，其中包含目標(biāo)和源 MAC 地址作為前兩個(gè)字段。幀的中間部分是有效載荷數(shù)據(jù)，包括幀中攜帶的其他協(xié)議的標(biāo)頭。幀以幀校驗(yàn)序列 (FCS) 結(jié)束，該序列用于檢測(cè)任何傳輸中的數(shù)據(jù)損壞。

• 目標(biāo) MAC 地址：6 字節(jié) - 標(biāo)識(shí)收件人。
• 源 MAC 地址：6 字節(jié) - 標(biāo)識(shí)發(fā)件人。
• EtherType 或長度：2 字節(jié) - 指示有效載荷的類型或長度。
• 有效載荷：N 字節(jié) - 正在傳輸?shù)臄?shù)據(jù)。
• 幀校驗(yàn)序列 (FCS)：4 字節(jié) - 確保數(shù)據(jù)完整性的錯(cuò)誤檢查代碼。

MACsec 為標(biāo)準(zhǔn)以太網(wǎng)幀增加了安全功能。以下是 MACsec 幀的結(jié)構(gòu)：

• 目標(biāo) MAC 地址：6 字節(jié)
• 源 MAC 地址：6 字節(jié)
• SecTAG：8-16 字節(jié) - 安全標(biāo)簽，包括關(guān)鍵信息和安全參數(shù)。
• 有效載荷：N 字節(jié)（加密數(shù)據(jù)）
• 完整性檢查值 (ICV)：8 或 16 字節(jié) - 確保數(shù)據(jù)的完整性。
• 幀校驗(yàn)序列 (FCS)：4 字節(jié)

SecTAG 是 MACsec 幀的關(guān)鍵組成部分，提供了基本的安全信息。包含以下內(nèi)容：

• EtherType：2 字節(jié) - 表示該幀是 MACsec 幀。MACsec ethertype 為 0x88e5。
• TAG 控制信息 (TCI/AN)：1 字節(jié) - 包含多條信息，例如加密/機(jī)密性存在和關(guān)聯(lián)號(hào)。
• 數(shù)據(jù)包編號(hào) (PN)：4-6 字節(jié) - 通過對(duì)幀進(jìn)行編號(hào)來防止重放攻擊。
• 短長度 (SL)：1 字節(jié) - 指示有效載荷的長度（可選）。
• SCI（安全通道標(biāo)識(shí)符）：8 字節(jié) -唯一標(biāo)識(shí)安全通信通道。

在 MACsec 幀中實(shí)現(xiàn)的 MACsec 功能：

• EtherType：在普通幀和 MACsec 幀中，EtherType 字段表示有效載荷的類型。對(duì)于 MACsec，它明確標(biāo)識(shí)該幀包含 MACsec 數(shù)據(jù)。
• SecTAG：
  • SCI：安全通道標(biāo)識(shí)符確保幀屬于特定的安全通道。
  • AN：區(qū)分同一通道內(nèi)的不同安全關(guān)聯(lián)，允許同時(shí)進(jìn)行多個(gè)安全連接。
  • PN：確保每個(gè)幀都有唯一的編號(hào)，防止重放攻擊。
• 有效載荷：在 MACsec 幀中，有效載荷是加密的。確保傳輸數(shù)據(jù)的機(jī)密性。
• ICV：通過確保幀在傳輸過程中未被更改，來確保完整性。使用預(yù)共享密鑰在整個(gè)幀（FCS 除外）上計(jì)算加密校驗(yàn)和。