IEEE 802.1AE (หรือที่รู้จักกันในชื่อMACsec ) เป็นมาตรฐานความปลอดภัยเครือข่ายที่ทำงานที่ เลเยอร์ ควบคุมการเข้าถึงสื่อและกำหนดความลับและความสมบูรณ์ของข้อมูลแบบไร้การเชื่อมต่อสำหรับโปรโตคอลอิสระในการเข้าถึงสื่อ มาตรฐานนี้ได้รับการกำหนดโดยกลุ่มทำงานIEEE 802.1 ^{[ 1 ]}

การจัดการคีย์และการสร้างการเชื่อมโยงที่ปลอดภัยอยู่นอกขอบเขตของ 802.1AE แต่มีการระบุไว้ใน802.1X- 2010

มาตรฐาน 802.1AE กำหนดการใช้งานMAC Security Entities (SecY) ซึ่งสามารถมองได้ว่าเป็นส่วนหนึ่งของสถานีที่เชื่อมต่อกับ LAN เดียวกัน โดยให้บริการ MAC ที่ปลอดภัยแก่ไคลเอ็นต์ มาตรฐานนี้กำหนด...

• รูปแบบเฟรม MACsecซึ่งคล้ายกับ เฟรม Ethernetแต่มีฟิลด์เพิ่มเติมดังนี้:
  • Security Tagซึ่งเป็นส่วนขยายของEtherType
  • รหัสยืนยันความถูกต้องของข้อความ (ค่าตรวจสอบความสมบูรณ์, ICV )
• สมาคมการเชื่อมต่อที่ปลอดภัยซึ่งเป็นตัวแทนของกลุ่มสถานีที่เชื่อมต่อกันผ่านช่องทางที่ปลอดภัย แบบทิศทางเดียว
• การเชื่อมโยงความปลอดภัยภายในแต่ละช่องทางที่ปลอดภัย การเชื่อมโยงแต่ละรายการจะใช้คีย์การเชื่อมโยงที่ปลอดภัย (SAK) ของตนเอง อนุญาตให้มีการเชื่อมโยงมากกว่าหนึ่งรายการภายในช่องทางเดียวกัน เพื่อวัตถุประสงค์ในการเปลี่ยนคีย์โดยไม่ขัดจังหวะการรับส่งข้อมูล (มาตรฐานกำหนดให้อุปกรณ์ต้องรองรับอย่างน้อยสองรายการ)
• ชุด การเข้ารหัสเริ่มต้นคือGCM-AES-128 (Galois/Counter Mode of Advanced Encryption Standard cipher with 128-bit key)
  • GCM-AES-256ซึ่งใช้คีย์ 256 บิต ถูกเพิ่มเข้าไปในมาตรฐานในอีก 5 ปีต่อมา

แท็กความปลอดภัยภายในแต่ละเฟรม นอกเหนือจากEtherType แล้ว ยัง ประกอบด้วย:

• หมายเลขสมาคมการเชื่อมต่อ (CA) ภายในช่องสัญญาณ
• หมายเลขแพ็กเก็ต (PN) ใช้เพื่อกำหนดเวกเตอร์เริ่มต้นที่ ไม่ซ้ำกัน สำหรับอัลกอริธึมการเข้ารหัสและการตรวจสอบสิทธิ์ รวมถึงการป้องกันการโจมตีแบบเล่นซ้ำ
• ตัวระบุช่องสัญญาณที่ปลอดภัย (Secure Channel Identifier หรือ SCI) สำหรับเครือข่าย LAN ทั้งหมดเป็นตัวเลือกเสริม ซึ่งไม่จำเป็นสำหรับลิงก์แบบจุดต่อจุด

มาตรฐาน IEEE 802.1AE (MACsec) กำหนดชุดโปรโตคอลเพื่อตอบสนองความต้องการด้านความปลอดภัยในการปกป้องข้อมูลที่ส่งผ่านเครือข่าย LAN อีเทอร์เน็ต

MACsec ช่วยให้สามารถระบุและแยกการเชื่อมต่อ LAN ที่ไม่ได้รับอนุญาตออกจากการสื่อสารภายในเครือข่ายได้ เช่นเดียวกับIPsecและTLS MACsec กำหนดโครงสร้างพื้นฐานด้านความปลอดภัยเพื่อให้มั่นใจได้ถึงการรักษาความลับของข้อมูลความสมบูรณ์ของข้อมูลและ การตรวจ สอบ แหล่งที่มาของข้อมูล

ด้วยการรับประกันว่าเฟรมนั้นมาจากสถานีที่อ้างว่าเป็นผู้ส่ง MACSec จึงสามารถลดผลกระทบจากการโจมตีโปรโตคอลเลเยอร์ 2 ได้

ประวัติการตีพิมพ์:

• 2549 – การตีพิมพ์ครั้งแรก (802.1AE-2549) ^{[ 2 ]}
• 2011 – การแก้ไข 802.1AEbn เพิ่มตัวเลือกในการใช้คีย์ 256 บิตให้กับมาตรฐาน (802.1AEbn-2011) ^{[ 2 ]}
• 2013 – การแก้ไข 802.1AEbw กำหนดชุดการเข้ารหัส GCM-AES-XPN-128 และ GCM-AES-XPN-256 เพื่อขยายจำนวนแพ็กเก็ตเป็น 64 บิต (802.1AEbw-2013) ^{[ 3 ]}
• 2017 – การแก้ไข 802.1AEcg ระบุอุปกรณ์การเข้ารหัสข้อมูลอีเธอร์เน็ต (802.1AEcg-2017) ^{[ 4 ]}
• 2018 – 802.1AE-2018 ^{[ 5 ]}
• 2023 – 802.1AEdk-2023 ^{[ 6 ]}การแก้ไขเพิ่มเติมโดยเพิ่มตัวเลือกเพื่อลดความสามารถของผู้สังเกตการณ์ภายนอกในการเชื่อมโยงเฟรมข้อมูลผู้ใช้ ขนาด เวลาการส่ง และความถี่ในการส่งกับข้อมูลประจำตัวและกิจกรรมของผู้ใช้

• เคอร์เบรอส – การใช้ตั๋วเพื่ออนุญาตให้โหนดที่สื่อสารกันผ่านเครือข่ายที่ไม่ปลอดภัยสามารถพิสูจน์ตัวตนซึ่งกันและกันได้อย่างปลอดภัย
• แบบจำลอง OSI § เลเยอร์ 2: เลเยอร์เชื่อมโยงข้อมูล
• เครือข่าย LAN เสมือน (VLAN) – โดเมนการกระจายสัญญาณใดๆ ที่ถูกแบ่งและแยกออกจากกันในเครือข่ายคอมพิวเตอร์ที่เลเยอร์การเชื่อมโยงข้อมูล
• IEEE 802.11i-2004 (WPA2)
• การเข้าถึงแบบป้องกันด้วย Wi-Fi (WPA)
• ระบบรักษาความปลอดภัยข้อมูลแบบมีสาย (WEP)

• 802.1AE-2018 ( ต้องลงทะเบียน )
• MACsec Toolkit - ชุดเครื่องมือซอร์สโค้ดที่นำมาตรฐาน IEEE 802.1X-2010 (MACsec control plane) และ IEEE802.1AE (MACsec data plane) มาใช้งาน