「Switching Security」- MACsec(提供二层数据安全传输,Media Access Control Security,IEEE 802.1AE)

  CREATED BY JENKINSBOT

问题描述

绝大部分数据在局域网链路中都是以明文形式传输的,在某些安全性要求较高的场景下存在安全隐患。

解决方案

MACsec 定义基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性,对应的标准为 802.1AE。

原理简述

在设备运行点到点 MACsec 时,工作流程如下:
1)网络管理员在两台设备上通过命令行预配置相同的 CAK(密钥),
2)两台设备会通过 MKA 协议选举出一个 Key Server,而 Key Server决定加密方案,
3)Key Server 会根据 CAK 等参数使用某种加密算法生成 SAK 数据密钥,
4)Key Server 将 SAK 分发给对端设备,这样两台设备拥有相同的 SAK 数据密钥,
5)而后可以进行后续 MACsec 数据报文加解密收发。

特性说明

数据帧完整性检查
用户数据加密
数据源真实性校验
重放保护

应用场景

在交换机间,部署 MACsec 保护数据安全,例如在接入交换机与上联的汇聚或核心交换机之间部署 。

当交换机间存在传输设备时,可部署 MACsec 保护数据安全。

概念术语

CAK, Secure Connectivity Association Key

CAK(Secure Connectivity Association Key,安全连接关联密钥)不直接用于数据报文的加密,由它和其他参数派生出数据报文的加密密钥。

CAK 可以在 802.1X 认证过程中下发,也可以由用户直接静态配置。

SAK, Secure Association Key

SAK(Secure Association Key,安全关联密钥)由 CAK 根据算法推导产生,用于加密安全通道间传输的数据。

MKA, MACsec Key Agreement

MKA(MACsec Key Agreement),用于 MACsec 数据加密密钥的协商协议。

MKA 对每个 SAK 可加密的报文数目有所限制:当使用某 SAK 加密的 PN 耗尽,该 SAK 会被刷新。例如,在 10Gbps 的链路上,SAK 最快 4.8min 刷新一次。

Key Server

两台设备会通过 MKA 协议选举出一个 Key Server

Key Server 决定加密方案和进行密钥分发的 MKA 实体。

配置案例

在华为设备中,并非所有型号都支持 MACsec 特性,配置细节请参考设备文档。