802.1АЕ — стандарт безопасности IEEE для MAC (также известный как MACsec), в котором определена конфиденциальность и целостность данных без установления соединения для доступа к среде независимых протоколов. Стандартизирован рабочей группой IEEE 802.1.
Управление ключами и установление защищенных объединений выходит за рамки 802.1АЕ, но определено стандартом 802.1X-2010.
Стандарт 802.1АЕ определяет реализацию MAC Security Entities (SecY), которую можно рассматривать как часть станций, подключенных к той же локальной сети, обеспечивающую защищенное MAC обслуживание клиента. Стандарт определяет:
Формат фрейма MACsec, который похож на Ethernet-фрейм, но включает в себя дополнительные поля: Метка безопасности, которая является расширением поля EtherType Код проверки подлинности сообщения (Message authentication code, ICV) Ассоциации защищённого подключения (Security Connectivity Associations), которые представляют собой группы станций, подключенных через однонаправленные защищённые каналы (Secure Channels) Ассоциации защиты (Security Associations) в пределах каждого канала. Каждое объединение использует свой ключ (SAK). Допускается больше одного соединения в контексте одного канала в целях внесения ключевого изменения без прерывания трафика (стандарт требует от устройства поддержку как минимум двух объединений) Набор шифрования GCM-AES-128 (режим счётчика с аутентификацией Галуа и AES-шифрование со 128-разрядным ключом). Позднее была введена поддержка набора GCM-AES-256 с 256-битным ключом. Метка безопасности внутри каждого кадра в дополнение к EtherType включает в себя:
Количество связей в пределах канала Номер пакета, чтобы предоставить уникальный вектор инициализации для шифрования и аутентификации данных, а также защиту от атаки повторного воспроизведения Необязательный идентификатор защищённого канала в пределах локальной сети (не требуется для соединений точка-точка) Стандарт IEEE 802.1АЕ (MACsec) определяет набор протоколов в соответствии с требованиями безопасности для защиты данных, проходящих локальных сетей. Эта норма обеспечивает неполное функционирование сети путем выявления несанкционированных действий в локальной сети и предотвращение общения с ними.
MACsec позволяет выявить несанкционированные соединения и исключить их из сети. В общем, с помощью IPSec и SSL, MACsec определяется инфраструктура безопасности, для обеспечения конфиденциальности и целостности данных, а также определение источника данных.
История развития Оригинальный протокол был стандартизирован в 2006 году (802.1AE-2006). В 2011 году в спецификации была добавлена поддержка 256-битных ключей шифрования (2011—802.1AEbn). В 2013 году протокол был расширен для поддержки наборов шифрования GCM-AES-XPN-128 и GCM-AES-XPN-256, необходимых для увеличения длины номера пакета до 64 бит (802.1AEbw-2013).
Управление ключами и установление защищенных объединений выходит за рамки 802.1АЕ, но определено стандартом 802.1X-2010.
Стандарт 802.1АЕ определяет реализацию MAC Security Entities (SecY), которую можно рассматривать как часть станций, подключенных к той же локальной сети, обеспечивающую защищенное MAC обслуживание клиента. Стандарт определяет:
Формат фрейма MACsec, который похож на Ethernet-фрейм, но включает в себя дополнительные поля:
Метка безопасности, которая является расширением поля EtherType
Код проверки подлинности сообщения (Message authentication code, ICV)
Ассоциации защищённого подключения (Security Connectivity Associations), которые представляют собой группы станций, подключенных через однонаправленные защищённые каналы (Secure Channels)
Ассоциации защиты (Security Associations) в пределах каждого канала. Каждое объединение использует свой ключ (SAK). Допускается больше одного соединения в контексте одного канала в целях внесения ключевого изменения без прерывания трафика (стандарт требует от устройства поддержку как минимум двух объединений)
Набор шифрования GCM-AES-128 (режим счётчика с аутентификацией Галуа и AES-шифрование со 128-разрядным ключом). Позднее была введена поддержка набора GCM-AES-256 с 256-битным ключом.
Метка безопасности внутри каждого кадра в дополнение к EtherType включает в себя:
Количество связей в пределах канала
Номер пакета, чтобы предоставить уникальный вектор инициализации для шифрования и аутентификации данных, а также защиту от атаки повторного воспроизведения
Необязательный идентификатор защищённого канала в пределах локальной сети (не требуется для соединений точка-точка)
Стандарт IEEE 802.1АЕ (MACsec) определяет набор протоколов в соответствии с требованиями безопасности для защиты данных, проходящих локальных сетей. Эта норма обеспечивает неполное функционирование сети путем выявления несанкционированных действий в локальной сети и предотвращение общения с ними.
MACsec позволяет выявить несанкционированные соединения и исключить их из сети. В общем, с помощью IPSec и SSL, MACsec определяется инфраструктура безопасности, для обеспечения конфиденциальности и целостности данных, а также определение источника данных.
Оригинальный протокол был стандартизирован в 2006 году (802.1AE-2006). В 2011 году в спецификации была добавлена поддержка 256-битных ключей шифрования (2011—802.1AEbn). В 2013 году протокол был расширен для поддержки наборов шифрования GCM-AES-XPN-128 и GCM-AES-XPN-256, необходимых для увеличения длины номера пакета до 64 бит (802.1AEbw-2013).