IKEv1 守护进程 in.iked 能够以安全的方式协商密钥并验证 IPsec SA。IKEv1 提供完全正向保密 (perfect forward secrecy, PFS)。在 PFS 中,不能使用保护数据传输的密钥派生其他密钥。此外,不重新使用用于创建数据传输密钥的种子。请参见 in.iked(1M) 手册页。
IKEv1 协议有两个阶段。Oracle Solaris 支持主要模式阶段 1 交换。主要模式交换会协商可接受的参数,以便在两个对等方之间创建 ISAKMP 安全关联 (security association, SA)。此 ISAKMP SA 使用非对称加密交换其加密材料,并使用预先共享的密钥或公钥证书验证其对等方。与 IPsec SA 不同,ISAKMP SA 是双向的,因此只需要一个安全关联。
IKEv1 在阶段 1 交换中协商 ISAKAMP SA 的方式可以配置。IKEv1 会从 /etc/inet/ike/config 文件读取配置信息。配置信息包括:
全局参数,如公钥证书的名称
是否需要使用完全正向保密 (perfect forward secrecy, PFS)
此系统的 IKE 对等方
保护阶段 1 交换的算法
验证方法
两种验证方法是预先共享的密钥和公钥证书。公钥证书可以自签名,或者由 certificate authority, CA(证书颁发机构)颁发。
有关更多信息,请参见 ike.config(4) 手册页。
阶段 2 交换称为快速模式。快速模式交换会协商创建 IPsec SA 所需的 IPsec 算法和加密材料。此交换由在阶段 1 中协商的 ISAKMP SA 保护(加密)。
快速模式交换中的算法和安全协议来自 IPsec 策略文件 /etc/inet/ipsecinit.conf。
到期后,IPsec SA 需要重设密钥。创建 IPsec SA 时,SA 的生命周期由 in.iked 守护进程设置。此值可配置。
有关更多信息,请参见 ipsecconf(1M) 和 in.iked(1M) 手册页。