IEEE 802.1AE

802.1АЕ — стандарт безопасности IEEE для MAC (также известный как MACsec), в котором определена конфиденциальность и целостность данных без установления соединения для доступа к среде независимых протоколов. Стандартизирован рабочей группой IEEE 802.1.

Управление ключами и установление защищенных объединений выходит за рамки 802.1АЕ, но определено стандартом 802.1X-2010.

Стандарт 802.1АЕ определяет реализацию MAC Security Entities (SecY), которую можно рассматривать как часть станций, подключенных к той же локальной сети, обеспечивающую защищенное MAC обслуживание клиента. Стандарт определяет:

• Формат фрейма MACsec, который похож на Ethernet-фрейм, но включает в себя дополнительные поля:
  • Метка безопасности, которая является расширением поля EtherType
  • Код проверки подлинности сообщения (Message authentication code, ICV)
• Ассоциации защищённого подключения (Security Connectivity Associations), которые представляют собой группы станций, подключенных через однонаправленные защищённые каналы (Secure Channels)
• Ассоциации защиты (Security Associations) в пределах каждого канала. Каждое объединение использует свой ключ (SAK). Допускается больше одного соединения в контексте одного канала в целях внесения ключевого изменения без прерывания трафика (стандарт требует от устройства поддержку как минимум двух объединений)
• Набор шифрования GCM-AES-128 (режим счётчика с аутентификацией Галуа и AES-шифрование со 128-разрядным ключом). Позднее была введена поддержка набора GCM-AES-256 с 256-битным ключом.

Метка безопасности внутри каждого кадра в дополнение к EtherType включает в себя:

• Количество связей в пределах канала
• Номер пакета, чтобы предоставить уникальный вектор инициализации для шифрования и аутентификации данных, а также защиту от атаки повторного воспроизведения
• Необязательный идентификатор защищённого канала в пределах локальной сети (не требуется для соединений точка-точка)

Стандарт IEEE 802.1АЕ (MACsec) определяет набор протоколов в соответствии с требованиями безопасности для защиты данных, проходящих локальных сетей. Эта норма обеспечивает неполное функционирование сети путём выявления несанкционированных действий в локальной сети и предотвращение общения с ними.

MACsec позволяет выявить несанкционированные соединения и исключить их из сети. В общем, с помощью IPSec и SSL, MACsec определяется инфраструктура безопасности, для обеспечения конфиденциальности и целостности данных, а также определение источника данных.

Оригинальный протокол был стандартизирован в 2006 году (802.1AE-2006). В 2011 году в спецификации была добавлена поддержка 256-битных ключей шифрования (2011—802.1AEbn). В 2013 году протокол был расширен для поддержки наборов шифрования GCM-AES-XPN-128 и GCM-AES-XPN-256, необходимых для увеличения длины номера пакета до 64 бит (802.1AEbw-2013).