図 イーサネット・レイヤーで暗号化を処理するMACsecの概要
[画像のクリックで拡大表示]
MACsec(MAC security)は,イーサネットの通信を暗号化する技術。イーサネットの通信でやりとりされるMAC(media access control)フレームに暗号をかけることから,この名称が付いた。現在,IEEE802委員外の802.1AEと同1afというワーキンググループで規格化の作業が進行中である。
MACsecの役割は,WEP(wired equivalent privacy)など無線LANの暗号化技術と同じ。端末とLANスイッチの間など,LANの伝送路で暗号通信を行うための技術だ。端末やルーター間の通信を暗号化するIPsec(IP security)やSSL(secure sockets layer)などとは適用範囲が異なる。
MACsecは,プロトコルの階層で見るとイーサネット(IEEE802.3)の上位に位置し,「SecY」と「KaY」の二つで構成する(図)。
SecYは暗号化を処理する部分だ。フレーム・フォーマットや改ざんの検出方法,上位および下位プロトコルとのインタフェースなどを決めている。ただし,暗号化アルゴリズムは既存のものから選択できるようになっており,標準的に使われるもの以外は規定しない。
一方のKaYは,暗号化に必要となる暗号鍵の交換方法などを決める。LAN向けのユーザー認証技術であるIEEE802.1Xを基盤に機能を拡張し,最終的には仕様を802.1Xに組み込む予定だ。
MACsecのうち,SecY(P802.1AE)は標準化の最終段階に入っている。ただ,KaY(P802.1af)が固まるのはまだ先になりそうだ。
