IEEE 802.1AE

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

802.1АЕ — стандарт безопасности IEEE для MAC (также известный как MACsec), в котором определена конфиденциальность и целостность данных без установления соединения для доступа к среде независимых протоколов. Стандартизирован рабочей группой IEEE 802.1.

Управление ключами и установление защищенных объединений выходит за рамки 802.1АЕ, но определено стандартом 802.1X-2010.

Стандарт 802.1АЕ определяет реализацию MAC Security Entities (SecY), которую можно рассматривать как часть станций, подключенных к той же локальной сети, обеспечивающую защищенное MAC обслуживание клиента. Стандарт определяет:

  • Формат фрейма MACsec, который похож на Ethernet-фрейм, но включает в себя дополнительные поля:
  • Ассоциации защищённого подключения (Security Connectivity Associations), которые представляют собой группы станций, подключенных через однонаправленные защищённые каналы (Secure Channels)
  • Ассоциации защиты (Security Associations) в пределах каждого канала. Каждое объединение использует свой ключ (SAK). Допускается больше одного соединения в контексте одного канала в целях внесения ключевого изменения без прерывания трафика (стандарт требует от устройства поддержку как минимум двух объединений)
  • Набор шифрования GCM-AES-128 (режим счётчика с аутентификацией Галуа и AES-шифрование со 128-разрядным ключом). Позднее была введена поддержка набора GCM-AES-256 с 256-битным ключом.

Метка безопасности внутри каждого кадра в дополнение к EtherType включает в себя:

  • Количество связей в пределах канала
  • Номер пакета, чтобы предоставить уникальный вектор инициализации для шифрования и аутентификации данных, а также защиту от атаки повторного воспроизведения
  • Необязательный идентификатор защищённого канала в пределах локальной сети (не требуется для соединений точка-точка)

Стандарт IEEE 802.1АЕ (MACsec) определяет набор протоколов в соответствии с требованиями безопасности для защиты данных, проходящих локальных сетей. Эта норма обеспечивает неполное функционирование сети путём выявления несанкционированных действий в локальной сети и предотвращение общения с ними.

MACsec позволяет выявить несанкционированные соединения и исключить их из сети. В общем, с помощью IPSec и SSL, MACsec определяется инфраструктура безопасности, для обеспечения конфиденциальности и целостности данных, а также определение источника данных.

История развития[править | править код]

Оригинальный протокол был стандартизирован в 2006 году (802.1AE-2006). В 2011 году в спецификации была добавлена поддержка 256-битных ключей шифрования (2011—802.1AEbn). В 2013 году протокол был расширен для поддержки наборов шифрования GCM-AES-XPN-128 и GCM-AES-XPN-256, необходимых для увеличения длины номера пакета до 64 бит (802.1AEbw-2013).