安全关联 (security association, SA) 需要加密材料来进行验证和加密。加密材料的管理称作密钥管理。Oracle Solaris 可以为 IPsec SA 提供两种密钥管理方法:IKE 和手动密钥管理。
Internet 密钥交换 (Internet Key Exchange, IKE) 协议可以自动处理密钥管理。Oracle Solaris 11.2 支持 IKE 版本 2 (IKEv2) 和 IKE 版本 1 (IKEv1)。
建议用户使用 IKE 管理 IPsec SA。这些密钥管理协议可以提供以下优势:
配置简单
提供强大的对等方验证功能
自动使用高质量的随机密钥源生成 SA
无需管理员干预就能生成新的 SA
有关更多信息,请参见IKE 的工作原理。
要配置 IKE,请参见Chapter 9, 配置 IKEv2。如果与不支持 IKEv2 协议的系统通信,请遵循Chapter 10, 配置 IKEv1 中的说明。
使用手动密钥比使用 IKE 更加复杂,而且有可能带来风险。系统文件 /etc/inet/secret/ipseckeys 包含加密密钥。如果这些密钥泄密,它们可用于解密记录的网络通信。因为 IKE 会频繁更改密钥,所以泄密暴露窗口要小得多。请仅对不支持 IKE 的系统使用 ipseckeys 文件或其命令接口 ipseckey。
虽然 ipseckey 命令只有有限的常规选项,但是此命令支持丰富的命令语言。您可以指定使用专用于手动加密的程序接口发送请求。有关其他信息,请参见 ipseckey(1M) 和 pf_key(7P) 手册页。
通常,由于某种原因而无法使用 IKE 时,会使用手动 SA 生成。但是,如果 SPI 值是唯一的,可以同时使用手动 SA 生成和 IKE。