Việc quản lý khóa (key management) và thiết lập các association (hội) an toàn không nằm trong phạm vi của 802.1AE mà do 802.1X-2010 xác định.

Tiêu chuẩn 802.1AE xác định implementation của các thực thể an ninh MAC (MAC Security Entities (SecY)). Các thực thể này có thể được xem như một phần của các station gắn vào cùng một mạng LAN, cung cấp dịch vụ MAC an toàn cho client. Tiêu chuẩn xác định:

• Định dạng frame MACsec, tương tự frame Ethernet, nhưng có thêm các trường:
  • Security Tag (đuôi an ninh), là phần mở rộng của EtherType
  • Message authentication code (ICV) (mã chứng thực tin nhắn)
• Các Secure Connectivity Association (hội kết nối an toàn) đại diện cho nhóm các station kết nối thông qua các Secure Channel (kênh an toàn) một chiều
• Các Security Association (hội an ninh) bên trong mỗi kênh an toàn. Mỗi association (hội) sử dụng khóa riêng (SAK). Hơn một association được phép bên trong một kênh với mục đích thay đổi khóa mà không làm gián đoạn giao thông (tiêu chuẩn đòi hỏi các thiết bị hỗ trợ ít nhất hai cái)
• Một bộ cipher (mật mã) mặc định của GCM-AES-128 (Galois/Counter Mode của cipher Advanced Encryption Standard với khóa 128-bit)
  • GCM-AES-256 sử dụng khóa 256 bit đã được thêm vào tiêu chuẩn sau đó 5 năm.

Security tag bên trong mỗi frame ngoài EtherType còn có:

• Số hiệu association bên trong kênh
• Số hiệu gói (packet number) để cung cấp initialization vector (vector khởi tạo) duy nhất dành cho các thuật toán mã hóa và chứng thực cũng như chống lại replay attack (tấn công lặp lại)
• Identifier tùy chọn của kênh an toàn ở phạm vi mạng LAN (không bắt buộc ở các liên kết điểm-đến-điểm (point-to-point link)).

Tiêu chuẩn IEEE 802.1AE (MACsec) xác định một tập hợp các giao thức thỏa mãn các yêu cầu an ninh nhằm bảo vệ dữ liệu lưu thông qua các mạng LAN Ethernet.

MACsec cho phép các kết nối LAN trái phép được định danh và bị loại bỏ khỏi truyền thông bên trong mạng. Cùng với IPsec và SSL, MACsec xác định hạ tầng an ninh nhằm cung cấp sự bảo mật cho dữ liệu, toàn vẹn dữ liệu và data origin authentication (chứng thực nguồn gốc dữ liệu).

Bằng cách bảo đảm rằng một frame đến từ một station tuyên bố đã gửi nó, MACSec có thể làm dịu bớt tấn công lên các giao thức ở tầng thứ 2.

Lịch sử xuất bản:

• 2006 – Xuất bản lần đầu tiên (802.1AE-2006)[2]
• 2011 – 802.1AEbn phần sửa đổi thêm vào tiêu chuẩn tùy chọn sử dụng các khóa 256 bit. (802.1AEbn-2011)[2]
• 2013 – 802.1AEbw phần sửa đổi định nghĩa các bộ mật mã (cipher suite) GCM-AES-XPN-128 và GCM-AES-XPN-256 nhằm mở rộng số hiệu gói lên 64 bit. (802.1AEbw-2013)[3]