跳过导航链接 | |
退出打印视图 | |
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
25. Oracle Solaris 中的 IP 过滤器(概述)
IKE 守护进程 in.iked 以受保护方式协商和验证 SA 的加密材料。该守护进程使用来自 Solaris 操作系统提供的内部函数的随机密钥种子。IKE 提供完全正向保密 (perfect forward secrecy, PFS)。在 PFS 中,不能使用保护数据传输的密钥派生其他密钥。此外,不重新使用用于创建数据传输密钥的种子。请参见 in.iked(1M) 手册页。
当 IKE 守护进程搜索到远程系统的公共加密密钥时,本地系统就可以使用该密钥。该系统使用远程系统的公钥对消息进行加密。消息只能由该远程系统读取。IKE 守护进程分两个阶段执行作业。这两个阶段称为交换。
下表列出在密钥协商中使用的术语,提供其常用的首字母缩略词,并给出每个术语的定义和用法。
表 22-1 密钥协商术语及其首字母缩略词和用法
|
阶段 1 交换称为主模式。在阶段 1 交换中,IKE 使用公钥加密方法向对等 IKE 实体进行自我验证。结果是 Internet 安全关联和密钥管理协议 (Internet Security Association and Key Management Protocol, ISAKMP) 安全关联 (security association, SA)。ISAKMP SA 是 IKE 用于协商 IP 数据报的加密材料的安全通道。与 IPsec SA 不同,ISAKMP SA 是双向的,因此只需要一个安全关联。
IKE 在阶段 1 交换中协商加密材料的方式是可配置的。IKE 从 /etc/inet/ike/config 文件读取配置信息。配置信息包括:
全局参数,如公钥证书的名称
是否使用完全正向保密 (perfect forward secrecy, PFS)
受影响的接口
安全协议及其算法
验证方法
两种验证方法是预先共享的密钥和公钥证书。公钥证书可以自签名。或者,证书可以由来自公钥基础结构 (public key infrastructure, PKI) 组织的 certificate authority, CA(证书颁发机构)颁发。这样的组织包括 beTrusted、Entrust、GeoTrust、RSA Security 和 Verisign。
阶段 2 交换称为快速模式。在阶段 2 交换中,IKE 在运行 IKE 守护进程的系统之间创建和管理 IPsec SA。IKE 使用在阶段 1 交换中创建的安全通道保护加密材料的传输。IKE 守护进程使用 /dev/random 设备从随机数生成器创建密钥。该守护进程按可配置的速率刷新密钥。加密材料可供在 IPsec 策略的配置文件 ipsecinit.conf 中指定的算法使用。