请告诉我们如何提高我们的文档：

过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
--选择-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) 其他语言 其他

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见？

前往问卷调查不。谢谢。

IPsec 安全关联

IPsec 安全关联 (security association, SA) 指定由通信主机识别的安全属性。单个 SA 保护单一方向的数据，此保护针对单个主机或一组（多播）地址。由于多数通信为对等通信或客户机/服务器通信，因此，必须存在两个 SA 来保证两个方向的通信安全。

以下三个元素唯一地标识 IPsec SA：

• 安全协议（AH 或 ESP）

• 目标 IP 地址

• security parameter index, SPI（安全参数索引）

SPI 是任意 32 位的值，与 AH 或 ESP 包一起传输。ipsecah(7P) 和 ipsecesp(7P) 手册页说明了由 AH 和 ESP 提供的保护范围。完整性校验和值用于验证包。如果验证失败，则会丢弃包。

安全关联存储在安全关联数据库 (security associations database, SADB) 中。基于套接字的管理接口 PF_KEY 使特权应用程序可以管理数据库。例如，IKE 应用程序和 ipseckeys 命令会使用 PF_KEY 套接字接口。

• 有关 IPsec SADB 的更为完整的说明，请参见IPsec 的安全关联数据库。

• 有关如何管理 SADB 的更多信息，请参见 pf_key(7P) 手册页。

IPsec 中的密钥管理

安全关联 (Security association, SA) 需要加密材料来进行验证和加密。对此加密材料的管理称为密钥管理。Internet 密钥交换 (Internet Key Exchange, IKE) 协议自动处理密钥管理。您还可以使用 ipseckey 命令手动管理密钥。

IPv4 和 IPv6 包上的 SA 可以使用任一密钥管理方法。除非您有充分的理由使用手动密钥管理，否则，请首选使用 IKE。

Oracle Solaris 的服务管理工具 (Service Management Facility, SMF) 功能为 IPsec 提供以下密钥管理服务：

• svc:/network/ipsec/ike:default 服务－为用于进行自动密钥管理的 SMF 服务。ike 服务运行 in.iked 守护进程以提供自动密钥管理。有关 IKE 的说明，请参见第 9 章。有关 in.iked 守护进程的更多信息，请参见 in.iked(1M) 手册页。有关 ike 服务的信息，请参见IKE 服务。

• svc:/network/ipsec/manual-key:default 服务－为用于进行手动密钥管理的 SMF 服务。manual-key 服务运行带有各种选项的 ipseckey 命令来手动管理密钥。有关 ipseckey 命令的说明，请参见IPsec 中用于生成 SA 的实用程序。有关 ipseckey 命令选项的详细说明，请参见 ipseckey(1M) 手册页。