IKEv1 데몬 in.iked는 안전한 방식으로 키를 협상하고 IPsec SA를 인증합니다. IKEv1에서는 PFS(Perfect Forward Secrecy)를 제공합니다. PFS에서 데이터 전송을 보호하는 키는 추가 키를 파생하는 데 사용되지 않습니다. 또한 데이터 전송 키를 만드는 데 사용된 시드는 재사용되지 않습니다. in.iked(1M) 매뉴얼 페이지를 참조하십시오.
IKEv1 프로토콜에는 2가지 단계가 있습니다. Oracle Solaris에서는 주 모드 1단계 교환을 지원합니다. 주 모드 교환에서는 허용 가능한 매개변수를 협상하여 두 피어 간의 ISAKMP 보안 연관(SA)을 만듭니다. 이 ISAKMP SA는 비대칭 암호화를 사용하여 키 입력 도구를 교환하고 미리 공유한 키나 공개 키 인증서를 사용하여 피어를 인증합니다. IPsec SA와 달리, ISAKMP SA는 양방향이므로 하나의 보안 연관만 필요합니다.
IKEv1이 1단계에서 ISAKAMP SA를 협상하는 방법을 구성할 수 있습니다. IKEv1은 /etc/inet/ike/config 파일에서 구성 정보를 읽습니다. 구성 정보는 다음과 같습니다.
공개 키 인증서 이름과 같은 전역 매개변수
PFS(Perfect Forward Secrecy)가 필요한지 여부
이 시스템의 IKE 피어
1단계 교환을 보호하는 알고리즘
인증 방법
두 가지 인증 방법은 미리 공유한 키와 공개 키 인증서입니다. 공개 키 인증서는 자체 서명되거나 certificate authority(CA, 인증 기관)에서 발행할 수 있습니다.
자세한 내용은 ike.config(4) 매뉴얼 페이지를 참조하십시오.
2단계 교환은 빠른 모드라고 합니다. 빠른 모드 교환에서는 IPsec SA를 만드는 데 필요한 IPsec 알고리즘과 키 입력 도구를 협상합니다. 이 교환은 1단계에서 협상된 ISAKMP SA로 보호(암호화)됩니다.
빠른 모드 교환의 알고리즘 및 보안 프로토콜은 IPsec 정책 파일 /etc/inet/ipsecinit.conf에서 가져옵니다.
IPsec SA는 만료되면 다시 입력됩니다. SA의 수명은 in.iked 데몬이 IPsec SA를 만들 때 설정합니다. 이 값은 구성할 수 있습니다.
자세한 내용은 ipsecconf(1M) 및 in.iked(1M) 매뉴얼 페이지를 참조하십시오.