IPsec 中的验证算法和加密算法

IPsec 安全协议使用两种类型的算法，即验证和加密。AH 模块使用验证算法。ESP 模块可以使用加密算法以及验证算法。您可以使用 ipsecalgs 命令获取系统上的算法及其属性的列表。有关更多信息，请参见 ipsecalgs(1M) 手册页。您也可以使用 getipsecalgbyname(3NSL) 手册页中介绍的功能来检索算法属性。

Solaris 系统上的 IPsec 利用 Solaris 加密框架来使用算法。此框架提供了一个主要的算法仓库，同时还提供了其他服务。使用此框架，IPsec 可以利用高性能的加密硬件加速器。此框架还提供了资源控制功能。例如，您可以使用此框架来限制在内核的加密操作中花费的 CPU 时间。

详细信息，请参见以下内容：

• 《系统管理指南：安全性服务》中的第 13  章 “Solaris 加密框架（概述）”

• 《Solaris 开发者安全性指南》中的第 8  章 “Solaris 加密框架介绍”

IPsec 中的验证算法

验证算法将生成完整性校验和值或基于数据和密钥的摘要。AH 模块使用验证算法。ESP 模块也可以使用验证算法。

IPsec 中的加密算法

加密算法使用密钥来加密数据。IPsec 中的 ESP 模块使用加密算法。算法以块大小为单位对数据进行操作。

不同的 Solaris 10 OS 发行版提供不同的缺省加密算法。

从 Solaris 10 7/07 发行版开始，将不会在您的系统中添加 Solaris 加密工具包。该工具包降低了您系统上加密的修补程序级别。此工具包与系统上的加密不兼容。

• 从此 Solaris 10 7/07 发行版开始，Solaris 加密工具包的内容由 Solaris 安装介质安装。此发行版会添加以下 SHA2 验证算法：sha256、sha384 和 sha512。SHA2 实现符合 RFC 4868 规范。此发行版还会添加较大的 Diffie-Hellman 组：2048 位（组 14）、3072 位（组 15）和 4096 位（组 16）。请注意，采用酷线程 (CoolThreads) 技术的 Sun 系统仅会加速 2048 位组。

• 在Solaris 10 7/07 以前的发行版中，Solaris 安装介质会提供基本的算法，并且可以从 Solaris 加密工具包添加更强大的算法。

  缺省情况下，将安装 DES-CBC、3DES-CBC、AES-CBC 和 Blowfish-CBC 算法。AES-CBC 和 Blowfish-CBC 算法支持的密钥大小限制在 128 位。

  安装 Solaris 加密工具后，IPsec 可以使用支持多于 128 位的密钥大小的 AES-CBC 和 Blowfish-CBC 算法。但是，在美国国外并非所有的加密算法都可用。不属于 Solaris 10 安装包的单独 CD 上提供此工具包。《Solaris 10 Encryption Kit Installation Guide》说明了如何安装该工具包。有关详细信息，请参见 Sun Downloads Web 站点。要下载该工具包，请单击 "Downloads A-Z" 选项卡，然后单击字母 S。Solaris 10 加密工具包位于前 20 项中。