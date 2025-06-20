这一第 2 层网络标准 (IEEE 802.1AE) 通过几个关键机制来增强以太网连接设备：

源认证： 对等 MACsec 设备使用由名称和密钥组成的连接关联密钥 (CAK) 相互验证，这两个密钥在对等设备之间必须完全匹配。

重播保护 ：可配置窗口允许接收一定数量的乱序帧，从而防御重播攻击。

数据保密性： 一旦激活安全会话，即可使用通过 Macsec 密钥协商 (MQA) 协议派生的安全关联密钥 (SAK) 对数据进行加密,以确保数据隐私。

数据完整性：每个帧都包含一个完整性检验值 (ICV)，该值必须与接收端的预期值相匹配，从而保证数据未被篡改。

此功能提供可配置的 MACsec 策略，具有主 CAK 和可选的后备 CAK。后备 CAK 可充当备份，当对等体之间的主 CAK 出现名称或密钥差异时，可确保 MACsec 会话的安全。CAK 密钥会作为 Hyper Protect Crypto Services (HPCS) 密钥资源安全地存储在客户的 HPCS 实例中。一旦双方配置了 MACsec 策略和 CAK，Direct Link 将启动 MACsec 会话，从而保护客户具备 MACsec 功能的设备与 IBM 交叉连接交换机之间交换的数据帧。