登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07-安全配置指導

目錄

14-FIPS配置

本章節下載 14-FIPS配置  (134.65 KB)

14-FIPS配置

  錄

1 FIPS配置

1.1 簡介

1.2 配置FIPS

1.2.1 配置準備

1.2.2 使能FIPS模式

1.3 FIP模式下的配置變化

1.4 FIPS的自檢處理

1.4.1 啟動自檢(Power-up Self-tests)

1.4.2 條件自檢(Conditional Self-tests)

1.4.3 手工觸發密碼算法自檢

1.5 FIPS的顯示和維護

 

1 FIPS配置

說明

FIPS配置的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。

 

1.1  簡介

FIPS(Federal Information Processing Standards,聯邦信息處理標準)140-2 是NIST(National Institute of Standard and Technology,美國標準與技術研究所)頒布的針對密碼算法安全的一個標準,它規定了一個安全係統中的密碼模塊應該滿足的安全性要求。FIPS 140-2定義了四個安全級別:Level 1、Level 2、Level 3和Level 4,它們安全級別依次遞增,可廣泛適應於密碼模塊的各種應用環境。目前,設備支持Level 2。

若無特殊說明,文中的FIPS即表示FIPS 140-2。

1.2  配置FIPS

通過使能FIPS模式,使得設備運行於支持FIPS 140-2標準的工作模式下。在該工作模式下,係統將具有更為嚴格的安全性要求,並會對密碼模塊進行相應的自檢處理,以確認其處於正常運行狀態。

1.2.1  配置準備

使能FIP模式之前,還需要完成以下配置任務:

·              設置登錄設備的用戶名和密碼,密碼必須是大寫字母、小寫字母、數字以及特殊字符的組合,且最小長度為6位;

·              刪除所有包含MD5算法的數字證書;

·              刪除所有RSA密鑰對和長度小於1024比特的DSA密鑰對。

1.2.2  使能FIPS模式

使能FIPS模式並重啟設備之後,設備將進入FIPS模式。

表1-1 使能FIPS模式

操作

命令

說明

進入係統視圖

system-view

-

使能FIPS模式

fips mode enable

必選

缺省情況下,FIPS模式處於關閉狀態

 

注意

若要同時使能FIPS模式和Password Control功能,則必須先使能FIPS模式,再開啟Password Control功能;若要同時關閉FIPS模式和Password Control功能,則必須先關閉Password Control功能,再關閉FIPS模式。

 

1.3  FIP模式下的配置變化

使能FIPS模式並重啟設備後,設備上的以下功能將發生變化:

·              FTP/TFTP服務器功能被禁用。

·              Telnet服務器功能被禁用。

·              HTTP服務器功能被禁用。

·              SNMP v1和SNMP v2c版本的SNMP功能被禁用,隻允許使用SNMP v3版本。

·              SSL服務器隻支持TLS1.0協議。

·              SSH服務器不兼容SSHv1客戶端。

·              僅支持生成1024~2048位的RSA/DSA密鑰對。

·              SSH、SNMPv3、IPsec和SSL不支持DES、RC4、MD5算法。

1.4  FIPS的自檢處理

FIPS模式處於使能狀態之後,為確保密碼模塊的功能正常運行,係統會進行一定的自檢處理,具體包括啟動自檢和條件自檢。算法自檢或條件自檢失敗後,設備均會自動重啟。

1.4.1  啟動自檢(Power-up Self-tests

啟動自檢是在設備啟動過程中對FIPS允許使用的密碼算法進行的自檢。啟動自檢也稱為已知結果的自檢,即使用密碼算法對已知的密鑰和明文進行運算,如果運算結果與已知結果相同,則表示該算法的啟動自檢通過,否則表示自檢失敗。

啟動自檢又分為三種類型,具體內容如表1-2所示:

表1-2 啟動自檢列表

啟動自檢類型

自檢操作

軟件加密算法自檢

對以下軟件加密算法進行自檢:

·       DSA(簽名和驗證)

·       RSA(簽名和驗證)

·       RSA(加密和解密)

·       AES

·       3DES

·       SHA1

·       HMAC-SHA1

·       隨機數生成算法

加密引擎自檢

在支持加密引擎的設備上,對以下加密引擎使用的算法進行自檢:

·       DSA(簽名和驗證)

·       RSA(簽名和驗證)

·       RSA(加密和解密)

·       AES

·       3DES

·       SHA1

·       HMAC-SHA1

·       隨機數生成算法

加密卡自檢

在支持加密卡的設備上,對以下加密卡使用的算法進行自檢:

·       AES

·       3DES

·       SHA1

·       HMAC-SHA1

 

1.4.2  條件自檢(Conditional Self-tests

條件自檢是在非對稱密碼模塊和隨機數生成模塊被使用時進行的自檢,具體包括以下兩種測試:

·              密鑰對有效性測試:生成DSA/RSA非對稱密鑰對時進行的自檢,具體為,首先使用公鑰加密任意一段明文,然後使用對應的私鑰對生成的密文進行解密,如果解密成功,則表示自檢通過,否則自檢失敗。

·              隨機數連續性測試:生成隨機數的過程中進行的自檢,如果前後兩次生成的隨機數不同,則表示自檢通過,否則自檢失敗。該自檢過程也會在生成DSA/RSA非對稱密鑰對時進行。

1.4.3  手工觸發密碼算法自檢

設備運行過程當中,當用戶或管理員需要確認當前係統中的密碼模塊是否正常工作時,可以通過執行命令行來手工觸發係統進行密碼算法自檢工作。手工觸發的密碼算法自檢內容與設備啟動時自動進行的啟動自檢(Power-up Self-tests)內容相同。該自檢失敗後,設備會自動重啟。

表1-3 手工觸發密碼算法自檢

操作

命令

說明

手工觸發密碼算法自檢

fips self-test

必選

 

1.5  FIPS的顯示和維護

在完成上述配置後,在任意視圖下執行display命令可以顯示配置後FIPS模式的狀態,通過查看顯示信息驗證配置的效果。

表1-4 FIPS的顯示和維護

操作

命令

顯示FIPS模式的狀態

display fips status

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們