跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
IKE 守护进程 in.iked 以安全方式为 IPsec SA 协商和验证加密材料。该守护进程使用来自 OS 提供的内部函数的随机密钥种子。IKE 提供完全正向保密 (perfect forward secrecy, PFS)。在 PFS 中,不能使用保护数据传输的密钥派生其他密钥。此外,不重新使用用于创建数据传输密钥的种子。请参见 in.iked(1M) 手册页。
下表列出在密钥协商中使用的术语,提供其常用的首字母缩略词,并给出每个术语的定义和用法。
表 9-1 密钥协商术语及其首字母缩略词和用法
|
阶段 1 交换称为主模式。在阶段 1 交换中,IKE 使用公钥加密方法向对等 IKE 实体进行自我验证。结果是 Internet 安全关联和密钥管理协议 (Internet Security Association and Key Management Protocol, ISAKMP) 安全关联 (security association, SA)。ISAKMP SA 是 IKE 用于协商 IP 数据报的加密材料的安全信道。与 IPsec SA 不同,ISAKMP SA 是双向的,因此只需要一个安全关联。
IKE 在阶段 1 交换中协商加密材料的方式是可配置的。IKE 从 /etc/inet/ike/config 文件读取配置信息。配置信息包括:
全局参数,如公钥证书的名称
是否使用完全正向保密 (perfect forward secrecy, PFS)
受影响的接口
安全协议及其算法
验证方法
两种验证方法是预先共享的密钥和公钥证书。公钥证书可以自签名。或者,证书可以由来自公钥基础结构 (public key infrastructure, certificate authority, CA(证书颁发机构)) 组织的 PKI颁发。
阶段 2 交换称为快速模式。在阶段 2 交换中,IKE 在运行 IKE 守护进程的系统之间创建和管理 IPsec SA。IKE 使用在阶段 1 交换中创建的安全信道保护加密材料的传输。IKE 守护进程使用 /dev/random 设备从随机数生成器创建密钥。该守护进程按可配置的速率刷新密钥。加密材料可供在 IPsec 策略的配置文件 ipsecinit.conf 中指定的算法使用。