低延迟介质访问控制安全认证制造技术

公开了一种装置，该装置可以包括：流水线电路，该流水线电路被配置为处理分组；和认证引擎，该认证引擎被配置为对分组进行认证并且基于分组是否已被认证而将认证信号提供给流水线电路。该装置可以进一步包括控制电路，该控制电路被配置为将给定传入分组路由到该认证引擎和旁路路径两者。旁路路径可以被配置为将给定传入分组的副本提供给流水线电路以避开认证引擎。开认证引擎。开认证引擎。

【技术实现步骤摘要】
【国外来华专利技术】低延迟介质访问控制安全认证
[0001]优先权
[0002]本专利申请要求于2020年3月16日提交的美国临时专利申请第62/990,003号的优先权，该申请的内容据此全文并入本文。


[0003]本公开涉及电子联网和通信，并且更具体地，涉及用于低延迟MACsec认证的系统和方法。

技术介绍

[0004]IEEE 802.1AE是IEEE介质访问控制(MAC)安全标准，也称为MACsec。MACsec可以定义用于第二层介质访问协议(诸如以太网)的数据保密性和完整性。
[0005]MACsec使用加密协议来在数据传输中提供完整性和可选保密性。MACsec可以在第二层提供用于更高层协议(诸如TCP/IP)的本机安全性。由MACsec保护的数据将作为MACsec分组或帧传输。MACsec分组可以包括标头，诸如以太网标头。MACsec分组标头之后可以是MACsec安全标记，其包含用于识别所使用的加密和解密的信息(如果有的话)。可以包括用于识别分组编号的信息。MACsec分组可以包括可被加密的有效载荷。MACsec分组可以包括用于认证的完整性检查值(ICV)，该ICV可以指示MACsec分组由拥有指定加密密钥的节点创建或源自该节点，并且MACsec有效载荷在传输期间尚未被修改。
[0006]本公开的专利技术人已发现各种标准和技术中的问题，因为MACsec和其他专用的加密和认证标准可以替换或添加到标准以太网具体实施。本公开的专利技术人已发现，这些可能具有显著的延迟。因此，本公开的专利技术人已开发出可以提供安全性和低延迟的实施方案，以便解决这些需求中的一个或多个需求。这些实施方案可以适用于MACsec和其他安全协议和应用。
附图说明
[0007]图1是根据本公开的实施方案的用于低延迟MACsec认证的系统的图示。
[0008]图2是用于低延迟MACsec认证的设备的实例的更详细图示，包括将设备配置为在对在设备之间传送的分组进行加密/解密并且进行认证或不进行认证的模式下操作。
[0009]图3是根据本公开的实施方案的用于低延迟MACsec认证的方法的图示。
[0010]图4是根据本公开的实施方案的用于低延迟MACsec认证的另一方法的图示。

技术实现思路

[0011]本公开的实施方案包括一种装置。该装置可以包括：流水线电路，该流水线电路被配置为处理分组；和认证引擎，该认证引擎被配置为对分组进行认证并且基于分组是否已被认证而将认证信号提供给流水线电路。该装置可以进一步包括控制电路，该控制电路被配置为将给定传入分组路由到该认证引擎和旁路路径两者。该旁路路径可以被配置为将该
给定传入分组的副本提供给该流水线电路以避开该认证引擎。
[0012]本公开的实施方案可包括一种方法。该方法可以包括：在装置处接收给定传入分组；以及将该给定传入分组路由到旁路路径和该装置的认证引擎两者。该方法可以进一步包括在该认证引擎处，对该给定传入分组进行认证并且基于分组是否已被认证而将认证信号提供给该流水线电路。将该给定传入分组路由到该旁路路径可以包括将该给定传入分组的副本提供给该流水线电路以避开该认证引擎。
[0013]本公开的实施方案可包括一种制品。该制品可包括非暂态机器可读介质上的指令。当由处理器读取和加载时，该指令可以使得该处理器在装置处接收给定传入分组，并且将该给定传入分组路由到旁路路径和该装置的认证引擎两者。该指令可以进一步使得该处理器在该认证引擎处，对该给定传入分组进行认证并且基于分组是否已被认证而将认证信号提供给该流水线电路。将该给定传入分组路由到该旁路路径可以包括将该给定传入分组的副本提供给该流水线电路以避开该认证引擎。
具体实施方式
[0014]本公开的实施方案可以包括使用MACsec的传输技术，但可以适用于其他数据安全协议。
[0015]使用MACsec可能增加分组传输和处理延迟。MACsec基于以太网，因此总体吞吐量可能极高。然而，发送或接收信息的初始请求与该信息的实际传输之间的时间延迟形式的延迟可能由于MACsec而增加。该延迟可为往返延迟，这意味着MACsec连接的发送方和接收方都经受相同或类似的延迟。单一传输方向上的延迟的总量可能包括由诸如以太网MAC和PHY功能等内部延迟引起的延迟的总和，可取决于电缆长度和其中材料、内部布线、切换的电缆延迟，以及排队延迟诸如帧存储器的输入和输出的延迟，以及MACsec特有的延迟。MACsec特有的延迟可以包括由MACsec功能诸如加密、解密和认证的传输等产生的延迟。
[0016]本公开的实施方案可包括一种装置。该装置可以包括被配置为处理分组的流水线电路。分组可以具有任何合适的网络流量结构，如MACsec分组。分组可以是以其他方式由装置处理的中间分组。该装置可以包括认证引擎，该认证引擎被配置为对分组进行认证并且基于分组是否已被认证而将认证信号提供给流水线电路。认证信号可以是用于指示认证结果的任何合适的信号，诸如分组、单个位或其他信息。该装置可以包括控制电路，该控制电路被配置为将给定传入分组路由到认证引擎和旁路路径两者。旁路路径可以被配置为将给定传入分组的副本提供给流水线电路以避开认证引擎。
[0017]结合上述实施方案中的任一实施方案，该装置可以进一步包括加密和解密引擎。认证引擎、加密和解密引擎和流水线电路可以以任何合适的方式实现，包括模拟电路、数字电路、可配置逻辑部件、由执行本文功能的处理器执行的指令，或它们的任何合适的组合。
[0018]控制电路可以被配置为以任何合适的方式路由传入分组。例如，控制电路可以被配置为控制解复用器、多路复用器、切换器或以任何合适的方式互连认证引擎、加密和解密引擎和流水线电路的切换结构。装置中的分组的路由可以通过以任何合适的方式指定的操作模式来确定，诸如由用户或系统偏好或命令指定，并且记录在寄存器中。控制电路可以被配置为读取配置并且应用或引起对分组的路由，如本文所述。
[0019]结合上述实施方案中的任一实施方案，第一分组可到达该装置。控制电路可以被
配置为将第一分组选择性地路由到认证引擎、加密和解密引擎以及流水线电路。该第一分组可以并行地路由到认证引擎和子电路。该子电路可以包括与旁路路径并行的加密和解密引擎。子电路的输出可以通往流水线电路。加密和解密引擎可以被配置为对分组进行加密或解密，并且将所得的经加密或解密的分组提供给流水线电路。结合上述实施方案中的任一实施方案，控制电路可以被进一步配置为将给定传入分组选择性地路由到旁路路径或子电路内的加密和解密引擎。将给定传入分组路由到旁路路径可以避开加密和解密引擎的操作。因此，路由通过旁路路径的第一分组可以产生路由到流水线电路的第二分组，该第二分组与第一分组保持不变。路由通过加密和解密引擎的第一分组可以产生作为第一分组的解密或加密版本的第二分组。
[0020]结合上述实施方案中的任一实施方案，控制电路可以被进一步配置为基于确定传入分组将被认证而不被解密或加密来将给定传入分组选择性地路由到认证引擎本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种装置，所述装置包括：流水线电路，所述流水线电路被配置为处理分组；以及认证引擎，所述认证引擎被配置为对分组进行认证并且基于分组是否已被认证而将认证信号提供给所述流水线电路；以及控制电路，所述控制电路被配置为将给定传入分组路由到所述认证引擎和旁路路径两者，所述旁路路径被配置为将所述给定传入分组的副本提供给所述流水线电路以避开所述认证引擎。2.根据权利要求1所述的装置，进一步包括加密和解密引擎，所述加密和解密引擎被配置为对分组进行加密或解密并且将所得的经加密或解密的分组提供给所述流水线电路，其中所述控制电路被进一步配置为将所述给定传入分组选择性地路由到所述旁路路径或所述加密和解密引擎。3.根据权利要求1至2中任一项所述的装置，其中所述控制电路被进一步配置为基于确定所述传入分组将被认证而不被解密来将所述给定传入分组选择性地路由到所述认证引擎和所述旁路路径。4.根据权利要求1至3中任一项所述的装置，其中所述控制电路被进一步配置为基于确定所述传入分组将被加密或解密来将所述给定传入分组选择性地路由到所述加密和解密引擎。5.根据权利要求1至4中任一项所述的装置，其中所述控制电路被进一步配置为并行地将所述给定传入分组的副本路由到所述认证引擎并且通过所述旁路路径路由到所述流水线电路。6.根据权利要求1至5中任一项所述的装置，其中所述流水线电路被进一步配置为：接收所述给定传入分组；接收所述认证信号；以及在接收到所述给定传入分组和所述认证信号之间，处理所述给定传入分组以生成输出分组。7.根据权利要求6所述的装置，其中所述流水线电路被进一步配置为：基于所述认证信号中的所述给定传入分组未通过认证的指示，采取纠正措施；以及基于所述认证信号中的所述给定传入分组已被认证的指示，发出所述输出分组。...

【专利技术属性】
技术研发人员：B，
申请(专利权)人：微芯片技术股份有限公司，
类型：发明
国别省市：