跳过导航链接 | |
退出打印视图 | |
![]() |
Oracle Solaris 管理:IP 服务 Oracle Solaris 10 1/13 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
Oracle Solaris 10 发行版对 IKE 的更改
25. Oracle Solaris 中的 IP 过滤器(概述)
IKE 守护进程 in.iked 以安全方式为 IPsec SA 协商和验证加密材料。该守护进程使用来自 OS 提供的内部函数的随机密钥种子。IKE 提供完全正向保密 (Perfect Forward Secrecy, PFS)。在 PFS 中,不能使用保护数据传输的密钥派生其他密钥。此外,不重新使用用于创建数据传输密钥的种子。请参见 in.iked(1M) 手册页。
下表列出在密钥协商中使用的术语,提供其常用的首字母缩略词,并给出每个术语的定义和用法。
表 22-1 密钥协商术语及其首字母缩略词和用法
|
阶段 1 交换称为主模式。在阶段 1 交换中,IKE 使用公钥加密方法向对等 IKE 实体进行自我验证。结果是 Internet 安全关联和密钥管理协议 (Internet Security Association and Key Management Protocol, ISAKMP) 安全关联 (Security Association, SA)。ISAKMP SA 是 IKE 用于协商 IP 数据报的加密材料的安全信道。与 IPsec SA 不同,ISAKMP SA 是双向的,因此只需要一个安全关联。
IKE 在阶段 1 交换中协商加密材料的方式是可配置的。IKE 从 /etc/inet/ike/config 文件读取配置信息。配置信息包括:
全局参数,如公钥证书的名称
是否使用完全正向保密 (Perfect Forward Secrecy, PFS)
受影响的接口
安全协议及其算法
验证方法
两种验证方法是预先共享的密钥和公钥证书。公钥证书可以自签名。或者,证书可以由来自公钥基础结构 (Public Key Infrastructure, PKI) 组织的 certificate authority, CA(证书颁发机构)颁发。
阶段 2 交换称为快速模式。在阶段 2 交换中,IKE 在运行 IKE 守护进程的系统之间创建和管理 IPsec SA。IKE 使用在阶段 1 交换中创建的安全通道保护加密材料的传输。IKE 守护进程使用 /dev/random 设备从随机数生成器创建密钥。该守护进程按可配置的速率刷新密钥。加密材料可供在 IPsec 策略的配置文件 ipsecinit.conf 中指定的算法使用。