安全性增强功能

Solaris 10 5/09 发行版中添加了以下安全功能和增强功能。

适用于 IPsec 密钥管理开发者的 NAT 遍历

Solaris 10 5/09 发行版包含一个用于用户数据报协议 (User Datagram Protocol, UDP) 套接字的公共 API，这些套接字用作 IPsec 网络地址转换器 (Network Address Translator, NAT) 遍历端点。

如果启用 UDP_NAT_T_ENDPOINT 套接字选项，则会使 UDP 通信对出站通信在前面加上四字节的零安全参数索引 (security parameters index, SPI) 值，并对入站通信去除零 SPI。发往具有非零 SPI 的此类套接字的入站通信将自动传输到 IPsec 的封装安全有效负荷 (encapsulating security payload, ESP)，以取消封装 UDP 中的 ESP (ESP-in-UDP)。UDP 中的 ESP (ESP-in-UDP) 封装由 IPsec 安全关联 (Security Association, SA) 中的一个属性确定。

使用此功能，IPsec 密钥管理软件开发者可以创建可转接 NAT 设备的密钥管理协议。iked(1M) 中的 Solaris IKE 守护进程会使用这种功能，使用 pfiles(1M) 命令可显示此类套接字。

适用于 IPsec 的更强算法

Solaris 10 5/09 发行版针对 IPsec 和 IKE 引入了以下算法：

• 三个更大的 Diffie-Hellman 整数-模数组（包括 2048 位、3072 位和 4096 位）－更大的 Diffie-Hellman 组在 IKE 阶段 1 和阶段 2 中可用。这些组根据 RFC 3526 按组号进行指定：组号 14 表示 2048 位，15 表示 3072 位，16 表示 4096 位。

• SHA-2 系列的散列（包括 sha256、sha384 和 sha512）－使用 HMAC 的 SHA-2 可用于 IPsec 的验证头 (Authentication Header, AH) 和 ESP，以及在交互期间可用于 IKE。SHA-2 根据 RFC 4868 在 IPsec 中使用，SHA256、SHA384 和 SHA512 的截断 ICV 长度分别为 16 字节、24 字节和 32 字节。

  ---

  注 –

  SHA-2 对使用 ikecert(1M) 生成的证书不可用。

  ---

支持 OpenSSL PKCS#11 引擎的 SunSSH

此功能允许 SunSSH 服务器和客户机通过 OpenSSL PKCS#11 引擎使用 Solaris 加密框架。SunSSH 将加密框架用于对称加密算法的硬件加密加速，这对于数据传输速度很重要。此功能针对具有 n2cp(7D) 加密驱动程序的 UltraSPARC® T2 处理器平台。

此功能不影响 UltraSPARC T1 处理器平台，因为 ncp(7D) 驱动程序不支持对称加密算法。无论为 UseOpenSSLEngine 选项设置什么值，此功能都不影响没有任何硬件加密插件的平台。UseOpenSSLEngine 选项的缺省值设置为 on，无需更新服务器和客户机的 SSH 配置文件。

SunSSH 应与装有以下修补程序的 Sun Crypto Accelerator 6000 板软件 1.1 版一起使用：

• 128365-02（基于 SPARC 的系统）

• 128366-02（基于 x86 的系统）

没有可用于 Sun Crypto Accelerator 6000 板软件 1.0 版的修补程序。要解决此问题，请在服务器和客户机这两端上，从 Ciphers 选项关键字中删除 AES 计数器模式。

有关更多信息，请参见 ssh_config(4) 和 sshd_config(4)。