配置错误、错误的接线以及恶意攻击会中断企业和服务提供商的运营。由于网络轻易受到这些问题的影响,因此企业必须采用多种安全机制来保护数据、应用和网络功能。即将推出的802.1AE标准通过保护局域网设备,防止它处理非授权的通信,来防止以太网网络造成破坏。
IEEE 802.1安全任务组正在开发保护局域网安全的协议组。一个主要的协议就是IEEE 802.1AE媒体访问控制安全(MACSec)协议。MACSec将安全保护集成到有线以太网中,保护局域网免受被动接线、假冒、中间人以及某些拒绝服务攻击等的袭击。MACSec目前进入了标准化的最后阶段,预计将于2006年年初公布。
MACSec通过识别局域网上的非授权站点,阻止来自它们的通信,来保证网络的持续运行。它利用密码技术认证数据的起源,保护信息的完整性并提供重放保护和保密性,以此来保护治理桥接网络和其他数据的控制协议。通过确保数据帧确实来自声称发送它的站,MACSec可以确保减少对2层协议的攻击。
这项建议的标准通过提供逐跳的安全性,保护网络基础设施的可信赖部件之间的通信。这是它与在端到端的基础上保护应用的ipSec之间的不同之处。网络治理员通过将网络设备配置为使用MACSec支持该协议。
当数据帧到达一个MACSec站时,MACSec安全实体(SecY)根据需要对帧进行解密,并计算帧中的完整性校验值(ICV),然后将计算得到的ICV与保存在帧中的ICV进行比较。假如它们匹配的话,MACSec站点将像正常帧那样处理这个帧。假如它们不匹配,端口根据预先设置的策略处理这个帧,如丢弃帧。
802.1AE为以太网保护提供了封装和加密框架。它需要协议来提供密钥治理、认证和授权功能。为了满足这些需要,IEEE正在制定一项附加标准802.1af MAC密钥安全协议。802.1af MAC密钥安全协议是治理用于加解密信息的短期会话密钥的802.1x的扩展。初始密钥,或主密钥,一般通过802.1x和IETF的可扩展认证协议等外部方法获得。正在开发的第三个相关协议是802.1AR:安全设备身份协议。802.1AR保证可信赖的网络部件的身份。
MACSec不会取代无线局域网安全协议802.11i,也不会消除使用端到端的安全协议保护应用的需要。MACSec关心的问题是保护网络运行的安全。