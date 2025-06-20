Cette norme réseau de couche 2 (IEEE 802.1AE) renforce les appareils connectés à Ethernet via plusieurs mécanismes clés :

Authentification d’origine : les appareils MACsec homologues s’authentifient les uns les autres à l’aide d’une clé d’association de connectivité (CAK) composée d’un nom et d’un secret, qui doivent tous deux correspondre exactement à ceux de leurs pairs.

Protection contre la relecture : une fenêtre configurable permet d'accepter un nombre défini de trames hors séquence, ce qui permet de se prémunir contre les attaques par relecture.

Confidentialité des données : dès qu'une session sécurisée est active, les données sont cryptées à l'aide d'une clé d'association sécurisée (SAK) dérivée du protocole MACsec Key Agreement (MKA), ce qui garantit la confidentialité des données.

Intégrité des données : chaque trame comprend une valeur de contrôle d'intégrité (ICV), qui doit correspondre aux valeurs attendues à la réception, ce qui garantit que les données n'ont pas été altérées.

Cette fonctionnalité fournit une politique MACsec configurable, avec un CAK primaire et un CAK de secours optionnel. Le CAK de secours agit comme une sauvegarde, sécurisant la session MACsec si un défaut de nom ou de secret survient avec le CAK primaire entre pairs. Les secrets CAK sont stockés de manière sécurisée en tant que ressources de clés Hyper Protect Crypto Services (HPCS) dans l’instance HPCS du client. Une fois les pairs configurés avec une politique MACsec et des CAK, Direct Link lance une session MACsec, protégeant les trames de données échangées entre l’appareil compatible MACsec du client et le switch cross-connect d’IBM.