802.1AE保护局域网安全

配置错误、错误的接线以及恶意攻击会中断企业和服务提供商的运营。由于网络容易受到这些问题的影响，因此企业必须采用多种安全机制来保护数据、应用和网络功能。即将推出的802.1AE标准通过保护局域网设备，防止它处理非授权的通信，来防止以太网网络造成破坏。

安全任务组正在开发保护局域网安全的协议组。一个主要的协议就是IEEE 802.1AE媒体访问控制安全(MACSec)协议。MACSec将安全保护集成到有线以太网中，保护局域网免受被动接线、假冒、中间人以及某些拒绝服务攻击等的袭击。MACSec目前进入了标准化的最后阶段，预计将于2006年年初公布。

MACSec通过识别局域网上的非授权站点，阻止来自它们的通信，来保证网络的持续运行。它利用密码技术认证数据的起源，保护信息的完整性并提供重放保护和保密性，以此来保护管理桥接网络和其他数据的控制协议。通过确保数据帧确实来自声称发送它的站，MACSec可以确保减少对2层协议的攻击。

这项建议的标准通过提供逐跳的安全性，保护网络基础设施的可信赖部件之间的通信。这是它与在端到端的基础上保护应用的IPSec之间的不同之处。网络管理员通过将网络设备配置为使用MACSec支持该协议。

当数据帧到达一个MACSec站时，MACSec安全实体(SecY)根据需要对帧进行解密，并计算帧中的完整性校验值（ICV），然后将计算得到的ICV与保存在帧中的ICV进行比较。如果它们匹配的话，MACSec站点将像正常帧那样处理这个帧。如果它们不匹配，端口根据预先设置的策略处理这个帧，如丢弃帧。

802.1AE为以太网保护提供了封装和加密框架。它需要协议来提供密钥管理、认证和授权功能。为了满足这些需要，IEEE正在制定一项附加标准802.1af MAC密钥安全协议。802.1af MAC密钥安全协议是管理用于加解密信息的短期会话密钥的802.1x的扩展。初始密钥，或主密钥，一般通过802.1x和IETF的可扩展认证协议等外部方法获得。正在开发的第三个相关协议是802.1AR：安全设备身份协议。802.1AR保证可信赖的网络部件的身份。

MACSec不会取代无线局域网安全协议802.11i，也不会消除使用端到端的安全协议保护应用的需要。MACSec关心的问题是保护网络运行的安全。