Marvel PHY 88E1548P在其LinkCryCore中支持MACSec功能；

以下內(nèi)容為此PHY的加密/解密通路結(jié)構(gòu)，配置及編程使用介紹；

此款PHY結(jié)合了LinkCry Core和一些相關的緩存及邏輯。MACsec Core、Buffers、mac和設備特有的所有其他邏輯被稱為“LinkCrypt Core”。半雙工模式下不支持LinkCrypt。

下面的兩個框圖說明了設備內(nèi)的總體結(jié)構(gòu)，圖39更詳細地介紹了slice的內(nèi)容，以及每個slice中內(nèi)置的各種復用器，這些復用器允許啟用/禁用特定塊、非中斷環(huán)回或完全繞過LinkCrypt核心。圖39中的重定向塊也包含一個小的(32B)遲滯FIFO。

MarvellLinkCrypt實現(xiàn)提供了IEEE 802.1AE規(guī)范要求的以下功能:

1. 支持一個端口多個安全通道；

2. 根據(jù)報文內(nèi)容分離受控端口流量和非受控端口流量；

3. 能夠選擇和過濾非受控端口流量；

4. 能夠通過SCI以外的方式選擇安全通道；

5. 數(shù)據(jù)包重定向增加了新的MAC、DA、SA和以太類型；

6. 支持專有的系統(tǒng)頭，以及插入和刪除這些頭；

7. FIPS符合性測試；

8. 中斷和非中斷環(huán)回；

9. 流量控制數(shù)據(jù)包的延遲最小化；

10. 自適應速率控制以補償包的擴展；

11. 支持診斷，包括MACsec報頭保留和其他統(tǒng)計計數(shù)器；

12. 非受控路徑的以太類型匹配。

LinkCry CORE運行原理

LinkCrypt核心執(zhí)行IEEE 802.1AE標準中定義的加密、解密、身份驗證和封裝。它還提供了標準之外的額外查找、選擇、數(shù)據(jù)包處理和診斷功能。

Core分為三個主要部分:出口(加密)管道、入口(解密)管道和集中的統(tǒng)計數(shù)據(jù)收集塊。出口管道和入口管道具有一些共同的屬性，并且具有相似的功能單元; 兩者之間的主要區(qū)別在于執(zhí)行操作的順序，以及向入口管道添加身份驗證檢查。

這兩個管道都是為“實時”操作而設計的，因此可以在進行加密或解密操作時進行各種表的配置。在管道運行時執(zhí)行更改需要遵循正確的順序，每個管道都描述了正確的順序。不遵循正確的順序可能導致?lián)p壞或流量下降。

由于802.3規(guī)范下PHY可用的寄存器空間有限，LinkCrypt核心使用間接訪問機制來訪問其內(nèi)部配置狀態(tài)。這種存取機制由四個22條款寄存器組成。它們包括兩個地址寄存器，每個地址寄存器用于讀和寫，以及兩個數(shù)據(jù)寄存器，它們形成32位數(shù)據(jù)訪問。

MACSec Packet Format

MACsec報文遵循IEEE 802格式報文的規(guī)則，由一個具有DA、SA和Ethertype的報文組成。報文中的ethertype表示該報文是MACsec報文，MACsec報頭后面的第二個ethertype表示報文內(nèi)容的類型或下一個報頭。

對于遵守IEEE長度約束(非jumbo)的數(shù)據(jù)包，這將導致有效負載大小在1到1502字節(jié)之間。對于MACsec來說，零大小的有效載荷是非法的。大于1502字節(jié)的數(shù)據(jù)包有效載荷超出了IEEE規(guī)范的范圍，但由LinkCrypt核支持。

請注意，將MACsec報頭和ICV添加到最大大小的以太網(wǎng)幀中會導致在線上的幀大于1518字節(jié)的802.3最大值。這些幀通過802.1as規(guī)范是合法的，并且在任何情況下，這些802.1AE數(shù)據(jù)包應該可以被任何能夠處理MACsec幀的設備接受。

MACSec HeaderFormat

每個MACsec幀包含一個8或16字節(jié)的報頭，其中包含標識該幀為MACsec幀的Ethertype，以及處理和認證/解密數(shù)據(jù)包所需的信息。

Tag Control Information (TCI) Field

TCI字段包含描述包和頭格式的位。它包含一個版本位(零)、端站位、安全通道報頭位、單拷貝廣播位、加密位、更改位和2位關聯(lián)號字段。

其中，ES和SC位是互斥的; 在數(shù)據(jù)包上同時置位這兩個是非法的。SCB位可以與ES位配合使用，但SC位不能。E位和C位共同表示數(shù)據(jù)包是否被加密;當這兩個位都為1時，數(shù)據(jù)包被加密;當這兩個位都為0時，數(shù)據(jù)包只經(jīng)過身份驗證。

AN字段指定應該使用哪個安全關聯(lián)(和相應的密鑰)來解密此數(shù)據(jù)包，并執(zhí)行身份驗證檢查。

Short Length (SL) Field

該字段包含MACsec有效載荷小于48字節(jié)的數(shù)據(jù)包的有效載荷長度。對于負載較大的報文，該字段設置為0。該字段的目的是允許MACsec實體找到ICV，該ICV跟隨那些數(shù)據(jù)包上的有效載荷，足夠短，可能需要以太網(wǎng)填充。

Packet Number (PN) Field

該字段包含該報文的Packet Number。PN用于加密和防止重放攻擊。由于這兩個原因，給定的包號可能不會在給定的安全關聯(lián)中重用。驅(qū)動程序/密鑰交換協(xié)議負責在PN計數(shù)器轉(zhuǎn)滾之前為MACsec實體提供新的SA。

Secure Channel Identifier (SCI) Field

安全通道標識符標識給定的安全通道。一個安全通道包含1個或多個安全關聯(lián)，這些安全關聯(lián)通過上面的關聯(lián)號（AN）來區(qū)分。如果SC位在TCI字段中設置，則SCI可以顯式地存在于數(shù)據(jù)包中，也可以是隱式的。在隱式SCI的情況下，SCI是由MACsec引擎維護的狀態(tài)和包中包含的信息構(gòu)建的。

這個構(gòu)造的SCI用于入方向的表匹配，也是計算數(shù)據(jù)包ICV的一個因素。（也就是說，如果本地出端口沒有將SCI顯示帶在包中時，那么對端入端口就需要構(gòu)造這個SCI，而且用這個構(gòu)造出來的SCI匹配到的密鑰等解密關聯(lián)與本地端的加密關聯(lián)必須一致 。本地端出口方向只用SCI作為ICV的計算參數(shù)，并不用其來進行表項匹配）

審核編輯：劉清