88E1548P MACSec使用介绍
marvel phy 88e1548p在其linkcrycore中支持macsec功能;
以下内容为此phy的加密/解密通路结构,配置及编程使用介绍;
此款phy结合了linkcry core和一些相关的缓存及逻辑。macsec core、buffers、mac和设备特有的所有其他逻辑被称为“linkcrypt core”。半双工模式下不支持linkcrypt。
下面的两个框图说明了设备内的总体结构,图39更详细地介绍了slice的内容,以及每个slice中内置的各种复用器,这些复用器允许启用/禁用特定块、非中断环回或完全绕过linkcrypt核心。图39中的重定向块也包含一个小的(32b)迟滞fifo。
marvelllinkcrypt实现提供了ieee 802.1ae规范要求的以下功能:
1. 支持一个端口多个安全通道;
2. 根据报文内容分离受控端口流量和非受控端口流量;
3. 能够选择和过滤非受控端口流量;
4. 能够通过sci以外的方式选择安全通道;
5. 数据包重定向增加了新的mac、da、sa和以太类型;
6. 支持专有的系统头,以及插入和删除这些头;
7. fips符合性测试;
8. 中断和非中断环回;
9. 流量控制数据包的延迟最小化;
10. 自适应速率控制以补偿包的扩展;
11. 支持诊断,包括macsec报头保留和其他统计计数器;
12. 非受控路径的以太类型匹配。
linkcry core 运行原理
linkcrypt核心执行ieee 802.1ae标准中定义的加密、解密、身份验证和封装。它还提供了标准之外的额外查找、选择、数据包处理和诊断功能。
core分为三个主要部分:出口(加密)管道、入口(解密)管道和集中的统计数据收集块。出口管道和入口管道具有一些共同的属性,并且具有相似的功能单元; 两者之间的主要区别在于执行操作的顺序,以及向入口管道添加身份验证检查。
这两个管道都是为“实时”操作而设计的,因此可以在进行加密或解密操作时进行各种表的配置。在管道运行时执行更改需要遵循正确的顺序,每个管道都描述了正确的顺序。不遵循正确的顺序可能导致损坏或流量下降。
由于802.3规范下phy可用的寄存器空间有限,linkcrypt核心使用间接访问机制来访问其内部配置状态。这种存取机制由四个22条款寄存器组成。它们包括两个地址寄存器,每个地址寄存器用于读和写,以及两个数据寄存器,它们形成32位数据访问。
macsec packet format
macsec报文遵循ieee 802格式报文的规则,由一个具有da、sa和ethertype的报文组成。报文中的ethertype表示该报文是macsec报文,macsec报头后面的第二个ethertype表示报文内容的类型或下一个报头。
对于遵守ieee长度约束(非jumbo)的数据包,这将导致有效负载大小在1到1502字节之间。对于macsec来说,零大小的有效载荷是非法的。大于1502字节的数据包有效载荷超出了ieee规范的范围,但由linkcrypt核支持。
请注意,将macsec报头和icv添加到最大大小的以太网帧中会导致在线上的帧大于1518字节的802.3最大值。这些帧通过802.1as规范是合法的,并且在任何情况下,这些802.1ae数据包应该可以被任何能够处理macsec帧的设备接受。
macsec header format
每个macsec帧包含一个8或16字节的报头,其中包含标识该帧为macsec帧的ethertype,以及处理和认证/解密数据包所需的信息。
tag control information (tci) field
tci字段包含描述包和头格式的位。它包含一个版本位(零)、端站位、安全通道报头位、单拷贝广播位、加密位、更改位和2位关联号字段。
其中,es和sc位是互斥的; 在数据包上同时置位这两个是非法的。scb位可以与es位配合使用,但sc位不能。e位和c位共同表示数据包是否被加密;当这两个位都为1时,数据包被加密;当这两个位都为0时,数据包只经过身份验证。
an字段指定应该使用哪个安全关联(和相应的密钥)来解密此数据包,并执行身份验证检查。
short length (sl) field
该字段包含macsec有效载荷小于48字节的数据包的有效载荷长度。对于负载较大的报文,该字段设置为0。该字段的目的是允许macsec实体找到icv,该icv跟随那些数据包上的有效载荷,足够短,可能需要以太网填充。
packet number (pn) field
该字段包含该报文的packet number。pn用于加密和防止重放攻击。由于这两个原因,给定的包号可能不会在给定的安全关联中重用。驱动程序/密钥交换协议负责在pn计数器转滚之前为macsec实体提供新的sa。
secure channel identifier (sci) field
安全通道标识符标识给定的安全通道。一个安全通道包含1个或多个安全关联,这些安全关联通过上面的关联号(an)来区分。如果sc位在tci字段中设置,则sci可以显式地存在于数据包中,也可以是隐式的。在隐式sci的情况下,sci是由macsec引擎维护的状态和包中包含的信息构建的。
这个构造的sci用于入方向的表匹配,也是计算数据包icv的一个因素。(也就是说,如果本地出端口没有将sci显示带在包中时,那么对端入端口就需要构造这个sci,而且用这个构造出来的sci匹配到的密钥等解密关联与本地端的加密关联必须一致 。本地端出口方向只用sci作为icv的计算参数,并不用其来进行表项匹配)
盛世美艳自拍,vivoX9用另一种姿势照亮你的美
今年年底会有48亿个物联网终端设备投入使用公用事业将是最大的用户
全球主要LCP企业产能分布如何
晶科电子与海信聚焦新型显示背光源Mini LED COB项目开发和测试
多路复用升压D类,无需额外的外部电路
88E1548P MACSec使用介绍
基于石墨烯/硅纳米线阵列异质结的响应式近红外光探测器
荣耀9最新消息:华为这款新机2周销量100万?居然还不是荣耀9?
单稳态多谐振荡器电路图
因三星SDI电池问题 宝马、福特巨量PHEV被召回
典型的MEMS工艺流程的简介
ams推出最新设计开发的磁性旋转位置传感器AS5116
锂电涂布模头技术派崛起 打造模头“六边形”战士
人工智能现在已经成熟了吗
合金焊接表面油脂污染度清洁度检测方案
智慧储能的意义是什么,比较火热储能产业是什么
安卓7.0应用引轰动,三星S7 Edge开始测试或年初发布
三星显示明年将占据iPhone OLED供应量近8成 中国大陆面板产能2020年预估占全球55%
人脸识别系统在校园中的应用
合肥公布中考考点,轻松备考你需要一台讯飞智能学习机
以下内容为此phy的加密/解密通路结构,配置及编程使用介绍;
此款phy结合了linkcry core和一些相关的缓存及逻辑。macsec core、buffers、mac和设备特有的所有其他逻辑被称为“linkcrypt core”。半双工模式下不支持linkcrypt。
下面的两个框图说明了设备内的总体结构,图39更详细地介绍了slice的内容,以及每个slice中内置的各种复用器,这些复用器允许启用/禁用特定块、非中断环回或完全绕过linkcrypt核心。图39中的重定向块也包含一个小的(32b)迟滞fifo。
marvelllinkcrypt实现提供了ieee 802.1ae规范要求的以下功能:
1. 支持一个端口多个安全通道;
2. 根据报文内容分离受控端口流量和非受控端口流量;
3. 能够选择和过滤非受控端口流量;
4. 能够通过sci以外的方式选择安全通道;
5. 数据包重定向增加了新的mac、da、sa和以太类型;
6. 支持专有的系统头,以及插入和删除这些头;
7. fips符合性测试;
8. 中断和非中断环回;
9. 流量控制数据包的延迟最小化;
10. 自适应速率控制以补偿包的扩展;
11. 支持诊断,包括macsec报头保留和其他统计计数器;
12. 非受控路径的以太类型匹配。
linkcry core 运行原理
linkcrypt核心执行ieee 802.1ae标准中定义的加密、解密、身份验证和封装。它还提供了标准之外的额外查找、选择、数据包处理和诊断功能。
core分为三个主要部分:出口(加密)管道、入口(解密)管道和集中的统计数据收集块。出口管道和入口管道具有一些共同的属性,并且具有相似的功能单元; 两者之间的主要区别在于执行操作的顺序,以及向入口管道添加身份验证检查。
这两个管道都是为“实时”操作而设计的,因此可以在进行加密或解密操作时进行各种表的配置。在管道运行时执行更改需要遵循正确的顺序,每个管道都描述了正确的顺序。不遵循正确的顺序可能导致损坏或流量下降。
由于802.3规范下phy可用的寄存器空间有限,linkcrypt核心使用间接访问机制来访问其内部配置状态。这种存取机制由四个22条款寄存器组成。它们包括两个地址寄存器,每个地址寄存器用于读和写,以及两个数据寄存器,它们形成32位数据访问。
macsec packet format
macsec报文遵循ieee 802格式报文的规则,由一个具有da、sa和ethertype的报文组成。报文中的ethertype表示该报文是macsec报文,macsec报头后面的第二个ethertype表示报文内容的类型或下一个报头。
对于遵守ieee长度约束(非jumbo)的数据包,这将导致有效负载大小在1到1502字节之间。对于macsec来说,零大小的有效载荷是非法的。大于1502字节的数据包有效载荷超出了ieee规范的范围,但由linkcrypt核支持。
请注意,将macsec报头和icv添加到最大大小的以太网帧中会导致在线上的帧大于1518字节的802.3最大值。这些帧通过802.1as规范是合法的,并且在任何情况下,这些802.1ae数据包应该可以被任何能够处理macsec帧的设备接受。
macsec header format
每个macsec帧包含一个8或16字节的报头,其中包含标识该帧为macsec帧的ethertype,以及处理和认证/解密数据包所需的信息。
tag control information (tci) field
tci字段包含描述包和头格式的位。它包含一个版本位(零)、端站位、安全通道报头位、单拷贝广播位、加密位、更改位和2位关联号字段。
其中,es和sc位是互斥的; 在数据包上同时置位这两个是非法的。scb位可以与es位配合使用,但sc位不能。e位和c位共同表示数据包是否被加密;当这两个位都为1时,数据包被加密;当这两个位都为0时,数据包只经过身份验证。
an字段指定应该使用哪个安全关联(和相应的密钥)来解密此数据包,并执行身份验证检查。
short length (sl) field
该字段包含macsec有效载荷小于48字节的数据包的有效载荷长度。对于负载较大的报文,该字段设置为0。该字段的目的是允许macsec实体找到icv,该icv跟随那些数据包上的有效载荷,足够短,可能需要以太网填充。
packet number (pn) field
该字段包含该报文的packet number。pn用于加密和防止重放攻击。由于这两个原因,给定的包号可能不会在给定的安全关联中重用。驱动程序/密钥交换协议负责在pn计数器转滚之前为macsec实体提供新的sa。
secure channel identifier (sci) field
安全通道标识符标识给定的安全通道。一个安全通道包含1个或多个安全关联,这些安全关联通过上面的关联号(an)来区分。如果sc位在tci字段中设置,则sci可以显式地存在于数据包中,也可以是隐式的。在隐式sci的情况下,sci是由macsec引擎维护的状态和包中包含的信息构建的。
这个构造的sci用于入方向的表匹配,也是计算数据包icv的一个因素。(也就是说,如果本地出端口没有将sci显示带在包中时,那么对端入端口就需要构造这个sci,而且用这个构造出来的sci匹配到的密钥等解密关联与本地端的加密关联必须一致 。本地端出口方向只用sci作为icv的计算参数,并不用其来进行表项匹配)
盛世美艳自拍,vivoX9用另一种姿势照亮你的美
今年年底会有48亿个物联网终端设备投入使用公用事业将是最大的用户
全球主要LCP企业产能分布如何
晶科电子与海信聚焦新型显示背光源Mini LED COB项目开发和测试
多路复用升压D类,无需额外的外部电路
88E1548P MACSec使用介绍
基于石墨烯/硅纳米线阵列异质结的响应式近红外光探测器
荣耀9最新消息:华为这款新机2周销量100万?居然还不是荣耀9?
单稳态多谐振荡器电路图
因三星SDI电池问题 宝马、福特巨量PHEV被召回
典型的MEMS工艺流程的简介
ams推出最新设计开发的磁性旋转位置传感器AS5116
锂电涂布模头技术派崛起 打造模头“六边形”战士
人工智能现在已经成熟了吗
合金焊接表面油脂污染度清洁度检测方案
智慧储能的意义是什么,比较火热储能产业是什么
安卓7.0应用引轰动,三星S7 Edge开始测试或年初发布
三星显示明年将占据iPhone OLED供应量近8成 中国大陆面板产能2020年预估占全球55%
人脸识别系统在校园中的应用
合肥公布中考考点,轻松备考你需要一台讯飞智能学习机