IPsec 中的密钥管理
安全关联 (Security association, SA) 需要加密材料来进行验证和加密。对此加密材料的管理称为密钥管理。Internet 密钥交换 (Internet Key Exchange, IKE) 协议自动处理密钥管理。您还可以使用 ipseckey 命令手动管理密钥。
IPv4 和 IPv6 包上的 SA 可以使用任一密钥管理方法。除非您有充分的理由使用手动密钥管理,否则,请首选使用自动密钥管理。例如,与 Solaris 系统之外的系统进行交互操作可能需要手动密钥管理。
在当前发行版中,SMF 为 IPsec 提供以下密钥管理服务:
-
svc:/network/ipsec/ike:default 服务-为用于进行自动密钥管理的 SMF 服务。ike 服务运行 in.iked 守护进程以提供自动密钥管理。有关 IKE 的说明,请参见第 22 章。有关 in.iked 守护进程的更多信息,请参见 in.iked(1M) 手册页。有关 ike 服务的信息,请参见IKE 服务管理工具。
-
svc:/network/ipsec/manual-key:default 服务-为用于进行手动密钥管理的 SMF 服务。manual-key 服务运行带有各种选项的 ipseckey 命令来手动管理密钥。有关 ipseckey 命令的说明,请参见用于在 IPsec 中生成密钥的实用程序。有关 ipseckey 命令选项的详细说明,请参见 ipseckey(1M) 手册页。
在 Solaris 10 4/09 发行版之前的发行版中,in.iked 和 ipseckey 命令用于管理加密材料。
-
in.iked 守护进程提供自动密钥管理。有关 IKE 的说明,请参见第 22 章。有关 in.iked 守护进程的更多信息,请参见 in.iked(1M) 手册页。
-
ipseckey 命令提供手动密钥管理。有关此命令的说明,请参见用于在 IPsec 中生成密钥的实用程序。有关 ipseckey 命令选项的详细说明,请参见 ipseckey(1M) 手册页。
- © 2010, Oracle Corporation and/or its affiliates