比较 IKEv2 和 IKEv1
下表比较了 Oracle Solaris 系统上的 IKEv2 和 IKEv1 版本实现。
表 8-1 Oracle Solaris 中的 IKEv2 和 IKEv1 实现
| | |
|---|
|
| 隐式,基于密钥库中的对象
| ike/config 文件中的 cert_trust 参数
|
证书创建
| ikev2cert 命令
| ikecert certlocal 命令
|
证书导入
| ikev2cert import 命令可以将证书和密钥导入至 PKCS #11 密钥库
| ikecert certdb 命令可以将独立的证书导入至 IKE 密钥库
|
证书所有者 |
ikeuser
|
root
|
证书策略文件
| kmf-policy.xml
| ike/config 文件中的一些策略
|
证书存储
| PKCS #11 softtoken 库
| 本地 IKEv1 数据库
|
配置文件目录
| /etc/inet/ike/
| /etc/inet/ike/ 和 /etc/inet/secret/
|
配置所有者
| ikeuser 帐户
| root 帐户
|
守护进程
| in.ikev2d
| in.iked
|
适用于守护进程之间通信的 FIPS 140 算法
Oracle Solaris 11.1 SRU 5.5 和 SRU 3 的加密框架功能通过了第 1 级 FIPS 140-2 验证。如果启用了 FIPS 140 模式并且正在使用加密框架,则会使用 FIPS 140 验证算法。缺省情况下 FIPS 140 模式未启用。
|
IKE SA 使用加密框架
|
不是所有交换都使用加密框架
|
|
适用于 IPsec 通信 的 FIPS 140 算法
|
使用加密框架
|
使用加密框架
|
IKE 策略文件
| ike/ikev2.config
| ike/config
|
IKE 预先共享的密钥
| ike/ikev2.preshared
| secret/ike.preshared
|
NAT 端口
| UDP 端口 4500
| UDP 端口 4500
|
端口
| UDP 端口 500
| UDP 端口 500
|
权限配置文件
| 网络 IPsec 管理
| 网络 IPsec 管理
|
服务名称 (FMRI)
| svc:/ipsec/ike:ikev2
| svc:/ipsec/ike:default
|
|