跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
框架为管理员、用户和开发提供者的开发者提供命令:
管理命令-cryptoadm 命令提供了 list 子命令,用于列出可用提供者及其功能。一般用户可以运行 cryptoadm list 和 cryptoadm --help 命令。
所有其他 cryptoadm 子命令要求您承担拥有 Crypto Management(加密管理)权限配置文件的角色或者成为超级用户。子命令(如 disable、install 和 uninstall)可用于管理框架。有关更多信息,请参见 cryptoadm(1M) 手册页。
svcadm 命令用于管理 kcfd 守护进程和在内核中刷新加密策略。有关更多信息,请参见 svcadm(1M) 手册页。
用户级命令-digest 和 mac 命令可提供文件完整性服务。encrypt 和 decrypt 命令,用于保护文件不被窃听。有关使用这些命令的信息,请参见使用加密框架保护文件(任务列表)。
cryptoadm 命令可管理正在运行的加密框架。该命令包括在 Crypto Management(加密管理)权限配置文件中。可以将此配置文件指定给角色,以实现加密框架的安全管理。cryptoadm 命令可管理以下任务:
显示加密提供者的信息
禁用或启用提供者机制
禁用或启用 metaslot
svcadm 命令用于启用、刷新和禁用加密服务守护进程 kcfd。此命令是 Oracle Solaris 的服务管理工具 (Service Management Facility, SMF) 的一部分。svc:/system/cryptosvcs 是加密框架的服务实例。有关更多信息,请参见 smf(5) 和 svcadm(1M) 手册页。
加密框架提供了用户级命令,用于检查文件完整性、加密和解密文件。独立命令 elfsign 使提供者可以对要在框架中使用的二进制文件进行签名。
digest 命令-计算一个或多个文件或 stdin 的 message digest(消息摘要)。摘要对检验文件的完整性非常有用。摘要功能的示例有 SHA1 和 MD5。
mac 命令-计算一个或多个文件或 stdin 的 message authentication code, MAC(消息验证代码)。MAC 可将数据与通过验证的消息相关联。MAC 使接收者可以验证消息是否来自发送者,以及消息是否被篡改。使用 sha1_mac 和 md5_hmac 机制可以计算 MAC。
encrypt 命令-使用对称密码算法加密文件或 stdin。encrypt -l 命令可以列出可用的算法。用户级库下列出的机制可用于 encrypt 命令。框架提供了 AES、DES、3DES(Triple-DES,三重 DES)和 ARCFOUR 机制来实现用户加密。
decrypt 命令-解密使用 encrypt 命令加密的文件或 stdin。decrypt 命令使用的密钥和机制与用于加密原始文件的密钥和机制相同。
elfsign 命令提供了对要用于加密框架的提供者进行签名的方法。通常,此命令由提供者的开发者运行。
elfsign 命令包含一些用于申请证书、对二进制文件进行签名以及验证二进制文件上签名的子命令。加密框架无法使用未签名的二进制文件。具有可验证已签名二进制文件的提供者可以使用框架。
第三方可以将其提供者插入到加密框架中。第三方提供者可以是以下对象之一:
提供者目标文件必须由 Oracle 提供的证书签名。证书申请基于第三方选择的私钥,以及 Oracle 提供的证书。证书申请将会发送到 Oracle,Oracle 注册第三方然后颁发该证书。之后第三方使用 Oracle 提供的证书对其提供者目标文件进行签名。
可装入内核软件模块和硬件加速器的内核设备驱动程序也必须在内核中注册。注册通过加密框架 SPI(service provider interface,服务提供者接口)进行。