IPsec 安全关联

IPsec 安全关联 (security association, SA) 指定由通信主机识别的安全属性。单个 SA 保护单一方向的数据，此保护针对单个主机或一组（多点传送）地址。由于多数通信为对等通信或客户机/服务器通信，因此，必须存在两个 SA 来保证两个方向的通信安全。

以下三个元素唯一地标识 IPsec SA：

• 安全协议（AH 或 ESP）

• 目标 IP 地址

• security parameter index, SPI（安全参数索引）

SPI 是任意 32 位的值，与 AH 或 ESP 包一起传输。ipsecah(7P) 和 ipsecesp(7P) 手册页说明了由 AH 和 ESP 提供的保护范围。完整性校验值用于验证包。如果验证失败，则会丢弃包。

安全关联存储在安全关联数据库 (security associations database, SADB) 中。基于套接字的管理引擎 PF_KEY 接口使特权应用程序可以管理数据库。例如，IKE 应用程序和 ipseckeys 命令会使用 PF_KEY 套接字接口。

• 有关 IPsec SADB 的更为完整的说明，请参见IPsec 的安全关联数据库。

• 有关如何管理 SADB 的更多信息，请参见 pf_key(7P) 手册页。

IPsec 中的密钥管理

安全关联 (Security association, SA) 需要加密材料来进行验证和加密。对此加密材料的管理称为密钥管理。Internet 密钥交换 (Internet Key Exchange, IKE) 协议自动处理密钥管理。您还可以使用 ipseckey 命令手动管理密钥。

IPv4 和 IPv6 包上的 SA 可以使用任一密钥管理方法。除非您有充分的理由使用手动密钥管理，否则，请首选使用自动密钥管理。例如，与 Solaris 系统之外的系统进行交互操作可能需要手动密钥管理。

在当前发行版中，SMF 为 IPsec 提供以下密钥管理服务：

• svc:/network/ipsec/ike:default 服务－为用于进行自动密钥管理的 SMF 服务。ike 服务运行 in.iked 守护进程以提供自动密钥管理。有关 IKE 的说明，请参见第 22 章。有关 in.iked 守护进程的更多信息，请参见 in.iked(1M) 手册页。有关 ike 服务的信息，请参见IKE 服务管理工具。

• svc:/network/ipsec/manual-key:default 服务－为用于进行手动密钥管理的 SMF 服务。manual-key 服务运行带有各种选项的 ipseckey 命令来手动管理密钥。有关 ipseckey 命令的说明，请参见用于在 IPsec 中生成密钥的实用程序。有关 ipseckey 命令选项的详细说明，请参见 ipseckey(1M) 手册页。

在 Solaris 10 4/09 发行版之前的发行版中，in.iked 和 ipseckey 命令用于管理加密材料。

• in.iked 守护进程提供自动密钥管理。有关 IKE 的说明，请参见第 22 章。有关 in.iked 守护进程的更多信息，请参见 in.iked(1M) 手册页。

• ipseckey 命令提供手动密钥管理。有关此命令的说明，请参见用于在 IPsec 中生成密钥的实用程序。有关 ipseckey 命令选项的详细说明，请参见 ipseckey(1M) 手册页。