SA(보안 연관)에는 인증 및 암호화를 위한 키 입력 자료가 필요합니다. 이 키 입력 도구를 관리하는 작업을 키 관리라고 합니다. Oracle Solaris에서는 IPsec SA에 대한 키를 IKE와 수동 키 관리라는 두 가지 방법으로 관리합니다.
IKE(Internet Key Exchange) 프로토콜에서는 키 관리를 자동으로 처리합니다. Oracle Solaris 11.2에서는 IKE 프로토콜의 IKE 버전 2(IKEv2) 및 IKE 버전 1(IKEv1)을 지원합니다.
IKE를 사용하여 IPsec SA를 관리하는 것이 좋습니다. 이러한 키 관리 프로토콜을 사용하면 다음과 같은 이점이 있습니다.
간단한 구성
강력한 피어 인증 제공
고품질의 임의 키 소스를 사용하여 SA를 자동으로 생성
관리자 개입 없이 새 SA 생성 가능
자세한 내용은 IKE 작동 방식을 참조하십시오.
IKE를 구성하려면 Chapter 9, IKEv2 구성을 참조하십시오. IKEv2 프로토콜을 지원하지 않는 시스템과 통신하는 경우에는 Chapter 10, IKEv1 구성의 지침을 따르십시오.
수동 키를 사용하면 IKE보다 더 복잡하며 위험할 수도 있습니다. 시스템 파일 /etc/inet/secret/ipseckeys에는 암호 키가 포함됩니다. 이러한 키는 손상되는 경우 기록된 네트워크 트래픽을 해독하는 데 사용될 수 있습니다. IKE에서는 키를 자주 변경하므로 이러한 손상에 노출되는 기간이 훨씬 작습니다. IKE를 지원하지 않는 시스템에서만 ipseckeys 파일이나 해당 명령 인터페이스 ipseckey를 사용하는 것이 좋습니다.
ipseckey 명령에는 제한된 수의 일반 옵션만 있지만 명령은 풍부한 명령 언어를 지원합니다. 수동 키 입력에 대한 프로그래밍 인터페이스로 해당 요청이 전달되도록 지정할 수 있습니다. 자세한 내용은 ipseckey(1M) 및 pf_key(7P) 매뉴얼 페이지를 참조하십시오.
일반적으로 수동 SA 생성은 사정상 IKE를 사용할 수 없을 때 사용됩니다. 하지만 SPI 값이 고유한 경우 수동 SA 생성과 IKE를 동시에 사용할 수 있습니다.