安全性增强功能

Solaris 10 8/07 发行版中添加了以下安全功能和增强功能。

Solaris 密钥管理框架

Solaris 密钥管理框架 (Key Management Framework, KMF) 提供了用于管理公钥 (PKI) 对象的工具及编程接口。通过 pktool 命令，管理员可以在一个实用程序中管理 nss、pkcs11 和基于文件的密钥库中的 PKI 对象。

使用 API 层，开发者可以指定要使用的密钥库的类型。KMF 还为这些 PKI 技术提供了插件模块。通过这些插件模块，开发者可以编写新的应用程序以使用任何支持的密钥库。

KMF 具有如下独特功能：即提供系统范围的策略数据库，无论密钥库的类型如何，KMF 应用程序都可以使用该策略数据库。通过使用 kmfcfg 命令，管理员可以在全局数据库中创建策略定义。KMF 应用程序随后可以选择一个要强制执行的策略，这样所有后续 KMF 操作都受该强制执行的策略的约束。策略定义包含适用于以下内容的规则：

• 执行验证的策略

• 密钥使用要求和扩展密钥使用要求

• 信任锚点 (Trust anchor) 定义

• OCSP 参数

• CRL DB 参数（例如位置）

详细信息，请参见以下内容：

• pktool(1) 手册页

• kmfcfg(1) 手册页

• 《System Administration Guide: Security Services》中的第 15  章 “Solaris Key Management Framework”

libmd－消息摘要库

从本发行版开始，libmd 库使用轻量级 API 提供了加密散列算法 MD4、MD5、SHA1 和 SHA2（包括 SHA256、SHA384、SHA512）的实现。有关 libmd 提供的这些 API 和功能的更多信息，请参见以下手册页：

• md4(3EXT)

• md5(3EXT)

• sha1(3EXT)

• sha2(3EXT)

Solaris 加密框架

Solaris 加密框架功能可为令牌设备中的签名密钥提供保护。elfsign 命令也可显示有关签名及证书的更多信息。

有关更多信息，请参见 elfsign(1) 手册页。

Solaris 数据加密补充资料

加密工具包 SUNWcry 和 SUNWcryr 软件包在缺省情况下包含在 Solaris 10 8/07 软件中。目前会缺省安装 Solaris 加密框架、Kerberos 和 OpenSSL 的完全强加密。