您的位置:360文档中心› 智简园区交换机MACsec技术白皮书

智简园区交换机MACsec技术白皮书

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为智简园区交换机 MACsec

技术白皮书

前言

摘要

MACsec(802.1AE)提供同一个局域网内,设备端口MAC 层之间的安全通信服务,主

要包含以下方面:数据机密性、数据完整性、数据来源真实性以及重放保护。

关键词

MACsec 802.1AE

目录

前言 (ii)

1概述 (4)

2MACsec 技术原理 (5)

2.1 MACsec 典型组网模式 (5)

2.1.1面向主机点到点模式 (5)

2.1.2面向设备点到点模式 (6)

2.2 MACsec 基本概念 (6)

2.3 MACsec 运行机制 (8)

2.4 MACsec 密钥体系 (10)

2.4.1密钥体系结构 (10)

2.4.2密钥派生关系 (11)

2.5 MKA 密钥协商交互流程 (12)

2.6 MACsec 数据加解密转发 (13)

3典型组网应用 (15)

3.1 局域网MACsec 典型组网 (15)

3.2 中间有传输设备MACsec 典型组网 (15)

4 附录 (17)

1 概述

MACsec(Media Access Control Security)定义了基于IEEE 802 局域网络的数据安全通信的方法。MACsec 可为用户提供安全的MAC 层数据发送和接收服务,包括用户数据加密(C o n fid e n tia l ity)、数据帧完整性检查(D a ta in te g rit y)、数据源真实性校验(D a t a o rigin a u th e n tic it y)及重放保护(Re p l ay p r o te c tio n)。

MACsec 主要涉及IEEE802.1AE 和802.1X 两个协议规范:IEEE802.1AE-2006 定义了数据封装、加密和认证的帧格式;802.1X-2010 中的MKA(MACsec Key Agreement)定义了密钥管理协议,提供了Peer-to-Peer 方式或Group 方式的密钥建立机制,使用MKA 协议协商生成的密钥对已认证的用户数据进行加密和完整性检查,可以避免端口处理未认证设备的报文或者未认证设备篡改的报文。

MACsec 不是对现有端到端IPSec、TLS 等三层安全技术的替代,而是它们的互补技术。MACsec 使用二层加密技术,提供逐跳设备的数据安全传输,适用于政府、军队、金融等对数据机密性要求较高的场合,如局域网两台交换机设备之间经过光传输设备,通过MACsec 加密技术可保证数据在中间传输设备上安全传输。

2 MACsec 技术原理

2.1 MACsec 典型组网模式

MACsec 常用的组网模式有:面向主机点到点模式、面向设备点到点模式。

2.1.1面向主机点到点模式

如图2-1 所示,面向主机点到点模式用于保护Client 主机和设备之间的数据帧传输。

图2-1 面向主机点到点模式

该组网模式包括以下三个组成元素:

●客户端(Client)

客户端是请求接入局域网的用户终端,由局域网中接入设备对其进行认证,并执行

MACsec 密钥协商和报文加密功能。

●接入设备(Device)

接入设备控制客户端的接入,通过与认证服务器的交互,对连接的客户端进行802.1X

认证,并执行MACsec 密钥协商和报文加密功能。

●认证服务器(Authentication Server)

认证服务器通常是AAA 服务器,用于对客户端进行Radius 认证、授权和计费。客户端

通过认证后,认证服务器为客户端和接入设备分发密钥,用于后续的MACsec 密钥协商。

2.1.2面向设备点到点模式

如图2-2 所示,面向设备点到点模式用于保护两台设备之间的数据帧传输。该模式下,

无客户端和接入设备角色之分,可以不需要认证服务器,互连的两台设备可直接通过命令

行配置CAK 密钥进行MACsec 密钥协商和报文加密功能。

图2-2 面向设备点到点模式

☛说明

华为交换机MACsec 暂不支持面向主机点到点模式,支持面向设备点到点模式,本文后续

主要介绍该模式原理。

2.2 MACsec 基本概念

➢MKA

MKA(MACsec Key Agreement protocol)用于MACsec 数据加密密钥的协商协议。

➢CA

CA(Secure Connectivity Association,安全连接关联)指通过一个LAN 互连的支持

MACsec 的全连接的端口集合。CA 由MKA 创建和维护,CA 成员称为CA 的参与者。

➢CAK

CAK(Secure Connectivity Association Key,安全连接关联密钥)不直接用于数据报

文的加密,由它和其他参数派生出数据报文的加密密钥。CAK 可以在802.1X 认证过程

中下发,也可以由用户直接静态配置。

➢CKN

CKN(Secure Connectivity Association Key Name,安全连接关联密钥名称)是对应

CAK 的名称。

➢SC

SC(Secure Channel,安全通道)是CA 参与者之间用于传输MAC 安全数据的安全通

道。每个SC 提供单向点到点或点到多点的通信。如对于点对点的两台设备A 和设备B,A

到B 单向数据转发链路可认为一个SC(a) ,B 到A 单向数据转发链路可认为另外一个

SC(b) 。

➢SCI

相关文档
最新文档