802.1AE là một tiêu chuẩn an ninh ở tầng Media Access Control của IEEE (IEEE MAC Security, còn được gọi là MACsec) xác định tính toàn vẹn (integrity) và tính bảo mật (confidentiality) của dữ liệu không kết nối (connectionless data) cho các giao thức truy cập media (media access protocol) độc lập. Nó đã được tiêu chuẩn hóa bởi nhóm công tác IEEE 802.1.[1]

Chi tiết

sửa

Việc quản lý khóa (key management) và thiết lập các association (hội) an toàn không nằm trong phạm vi của 802.1AE mà do 802.1X-2010 xác định.

Tiêu chuẩn 802.1AE xác định implementation của các thực thể an ninh MAC (MAC Security Entities (SecY)). Các thực thể này có thể được xem như một phần của các station gắn vào cùng một mạng LAN, cung cấp dịch vụ MAC an toàn cho client. Tiêu chuẩn xác định:

  • Định dạng frame MACsec, tương tự frame Ethernet, nhưng có thêm các trường:
  • Các Secure Connectivity Association (hội kết nối an toàn) đại diện cho nhóm các station kết nối thông qua các Secure Channel (kênh an toàn) một chiều
  • Các Security Association (hội an ninh) bên trong mỗi kênh an toàn. Mỗi association (hội) sử dụng khóa riêng (SAK). Hơn một association được phép bên trong một kênh với mục đích thay đổi khóa mà không làm gián đoạn giao thông (tiêu chuẩn đòi hỏi các thiết bị hỗ trợ ít nhất hai cái)
  • Một bộ cipher (mật mã) mặc định của GCM-AES-128 (Galois/Counter Mode của cipher Advanced Encryption Standard với khóa 128-bit)
    • GCM-AES-256 sử dụng khóa 256 bit đã được thêm vào tiêu chuẩn sau đó 5 năm.

Security tag bên trong mỗi frame ngoài EtherType còn có:

  • Số hiệu association bên trong kênh
  • Số hiệu gói (packet number) để cung cấp initialization vector (vector khởi tạo) duy nhất dành cho các thuật toán mã hóa và chứng thực cũng như chống lại replay attack (tấn công lặp lại)
  • Identifier tùy chọn của kênh an toàn ở phạm vi mạng LAN (không bắt buộc ở các liên kết điểm-đến-điểm (point-to-point link)).

Tiêu chuẩn IEEE 802.1AE (MACsec) xác định một tập hợp các giao thức thỏa mãn các yêu cầu an ninh nhằm bảo vệ dữ liệu lưu thông qua các mạng LAN Ethernet.

MACsec cho phép các kết nối LAN trái phép được định danh và bị loại bỏ khỏi truyền thông bên trong mạng. Cùng với IPsec và SSL, MACsec xác định hạ tầng an ninh nhằm cung cấp sự bảo mật cho dữ liệu, toàn vẹn dữ liệudata origin authentication (chứng thực nguồn gốc dữ liệu).

Bằng cách bảo đảm rằng một frame đến từ một station tuyên bố đã gửi nó, MACSec có thể làm dịu bớt tấn công lên các giao thức ở tầng thứ 2.

Lịch sử xuất bản:

  • 2006 – Xuất bản lần đầu tiên (802.1AE-2006)[2]
  • 2011 – 802.1AEbn phần sửa đổi thêm vào tiêu chuẩn tùy chọn sử dụng các khóa 256 bit. (802.1AEbn-2011)[2]
  • 2013 – 802.1AEbw phần sửa đổi định nghĩa các bộ mật mã (cipher suite) GCM-AES-XPN-128 và GCM-AES-XPN-256 nhằm mở rộng số hiệu gói lên 64 bit. (802.1AEbw-2013)[3]

Tham khảo

sửa
  1. ^ “802.1AE - Media Access Control (MAC) Security”. IEEE 802.1 working group. ngày 25 tháng 9 năm 2015.
  2. ^ a b “IEEE Standards Status Report: 802.1AE”. IEEE. Truy cập ngày 25 tháng 4 năm 2016.[liên kết hỏng]
  3. ^ “802.1AEbw - MAC Security Amendment: Extended Packet Numbering”. IEEE 802.1 working group. ngày 18 tháng 7 năm 2014.

Xem thêm

sửa
  • Kerberos – sử dụng các ticket (vé) cho phép các nốt mạng giao tiếp trên một mạng không an toàn để chứng minh identity (danh tính) của chúng cho nhau theo cách an toàn
  • Tầng thứ 2 mô hình OSI
  • Virtual LAN (VLAN) – bất cứ miền quảng bá (broadcast domain) nào được chia ra và cô lập trong một mạng máy tính ở tầng liên kết dữ liệu (data link layer)

Liên kết ngoài

sửa