802.1AE保护局域网安全

网络技术是从1990年代中期发展起来的新技术 , 它把互联网上分散的资源融为有机整体 , 实现资源的全面共享和有机协作 , 使人们能够透明地使用资源的整体能力并按需获取信息 。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等 。当前的互联网只限于信息共享 , 网络则被认为是互联网发展的第三阶段 。配置错误、错误的接线以及恶意攻击会中断企业和服务提供商的运营 。由于网络容易受到这些问题的影响 , 因此企业必须采用多种安全机制来保护数据、应用和网络功能 。即将推出的802.1AE标准通过保护局域网设备 , 防止它处理非授权的通信 , 来防止以太网网络造成破坏 。
安全任务组正在开发保护局域网安全的协议组 。一个主要的协议就是IEEE 802.1AE媒体访问控制安全(MACSec)协议 。MACSec将安全保护集成到有线以太网中 , 保护局域网免受被动接线、假冒、中间人以及某些拒绝服务攻击等的袭击 。MACSec目前进入了标准化的最后阶段 , 预计将于2006年年初公布 。

802.1AE保护局域网安全

文章插图
【802.1AE保护局域网安全】
MACSec通过识别局域网上的非授权站点 , 阻止来自它们的通信 , 来保证网络的持续运行 。它利用密码技术认证数据的起源 , 保护信息的完整性并提供重放保护和保密性 , 以此来保护管理桥接网络和其他数据的控制协议 。通过确保数据帧确实来自声称发送它的站 , MACSec可以确保减少对2层协议的攻击 。
这项建议的标准通过提供逐跳的安全性 , 保护网络基础设施的可信赖部件之间的通信 。这是它与在端到端的基础上保护应用的IPSec之间的不同之处 。网络管理员通过将网络设备配置为使用MACSec支持该协议 。
当数据帧到达一个MACSec站时 , MACSec安全实体(SecY)根据需要对帧进行解密 , 并计算帧中的完整性校验值(ICV) , 然后将计算得到的ICV与保存在帧中的ICV进行比较 。如果它们匹配的话 , MACSec站点将像正常帧那样处理这个帧 。如果它们不匹配 , 端口根据预先设置的策略处理这个帧 , 如丢弃帧 。
802.1AE为以太网保护提供了封装和加密框架 。它需要协议来提供密钥管理、认证和授权功能 。为了满足这些需要 , IEEE正在制定一项附加标准802.1af MAC密钥安全协议 。802.1af MAC密钥安全协议是管理用于加解密信息的短期会话密钥的802.1x的扩展 。初始密钥 , 或主密钥 , 一般通过802.1x和IETF的可扩展认证协议等外部方法获得 。正在开发的第三个相关协议是802.1AR:安全设备身份协议 。802.1AR保证可信赖的网络部件的身份 。
MACSec不会取代无线局域网安全协议802.11i , 也不会消除使用端到端的安全协议保护应用的需要 。MACSec关心的问题是保护网络运行的安全 。

    推荐阅读