1 MACsec 簡介

媒體訪問控制安全 (MACsec) 可確保以太網連接器件之間交換的數據受到保護。MACsec 由 IEEE 標準 802.1AE 定義，允許授權系統連接到網絡中的 LAN 并進行互連，從而保持傳輸數據的機密性，并針對未經授權的器件傳輸或修改的幀采取措施。

MACsec 在 OSI 模型的第 2 層（數據鏈路層）運行。數據從之前的非結構化數據打包成幀，在數據鏈路層定義數據的格式。

圖 1-1 OSI 網絡堆棧

在 MACsec 之前，SSL 和 TLS 等安全協議已被廣泛使用，但其在軟件層運行，這帶來了挑戰。這些協議需要 SoC 提供大量的 CPU 和內存資源，因此可能降低性能。

如果啟用 MACsec，在兩個連接的器件之間交換和驗證安全密鑰后，會建立雙向安全鏈路。利用數據完整性檢查和加密的組合來保護傳輸的數據。

發送器件將唯一的 MACsec 標頭附加到所有要發送的以太網幀，對幀內的數據有效載荷進行加密。接收器件會檢查標頭和尾部的完整性。如果檢查失敗，流量會被丟棄。如果檢查成功，幀則會被解密。