MACSECとは | Ethernet(イーサネット)技術コラム
MACSECとは
MACSEC(Media Access Control Security)とは
MACSECとは、IEEE802.1AEで定義されたLayer2(MAC: Media ⁄ Medium Access Control)の保護を目的としたセキュリティプロトコルです。
MAC Layerでのフレームにおけるユーザーデータの暗号化を行うことが特徴です。
End point間をセキュリティ対象としたLayer3のIPSECとは異なり、MACSECはセキュリティ対象がMAC Layerに限定されているため、暗号化される領域は、端末-スイッチ間、といった特定のノード間の通信が対象となります。(下図)
IPSECと組み合わせることにより、セキュリティの向上が見込まれます。
MACSECのフレーム構成
MACSECに用いられるフレーム構成は、下記の通りです。
通常のEthernetパケットにMACSEC用のパラメータ(オレンジ)が追加されます。
MACSECのフレーム構成パラメータ
MACSECで用いられるパラメータの概要は、下記の通りです。
| Parameter | 内容 |
|---|---|
| MACSEC Ether Type |
MACSEC用のEther Typeを設定 設定値は「0x88E5」であり、設定することで 後続のフレームがMACSECフレームであることを示します |
| TCI/AN |
Tag Control Information ⁄ Association Number 暗号化PayloadやVersion番号等の情報が1Bitごとに配置されています
|
| SL |
Short Length 暗号化されたデータ長を示します |
| PN |
Packet Number MACSECパケット送信時にPNを付与、パケット送信ごとにPNを1ずつインクリメントする これにより外部からの同じフレームの繰り返し送信(Replay攻撃)を防止する |
| SCI |
Secure Channel Identifier 8 バイトのセキュアチャネル識別子を使用して、トラフィックがどのセキュリティアソシエーションに属しているかを識別できます
|
| ICV |
Integrity check value MACSEC用のCheck Sumです |
MACSECの暗号化概要
MACSECの暗号化では、暗号鍵が用いられ、MKA(MACsec Key Agreement protocol)と呼ばれるIEEE802.1Xに含まれるプロトコルにより必要な暗号鍵の提供 ⁄ 管理を行います。
フレーム中のセキュリティ タグ (Security TAG) で、プロトコルおよび受信フレームの検証に使用されるキーを識別します。
Secure dataが、暗号化されたユーザーデータに該当します。
本アンケートは、Googleフォームを使用しています。匿名のアンケートで、個人情報が取得されることはありません。
記入いただいた内容は、本コンテンツの改善目的のみに使用します。
個別で返信をご希望される場合は、ページ下部の「お問い合わせはこちら」よりお問い合わせください。
詳細のお問い合わせは下記のボタンよりお願いいたします。
