- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-FIPS配置
本章節下載: 18-FIPS配置 (147.5 KB)
目 錄
FIPS(Federal Information Processing Standards,聯邦信息處理標準)140-2 是NIST(National Institute of Standard and Technology,美國標準與技術研究所)頒布的針對密碼算法安全的一個標準,它規定了一個安全係統中的密碼模塊應該滿足的安全性要求。FIPS 140-2定義了四個安全級別:Level 1、Level 2、Level 3和Level 4,它們的安全級別依次遞增,可廣泛適應於密碼模塊的各種應用環境。目前,設備僅支持Level 2。
若無特殊說明,文中的FIPS即表示FIPS 140-2。
FIPS模式處於使能狀態之後,為確保密碼模塊的功能正常運行,係統會進行一定的自檢處理。FIPS的自檢處理分為係統自動進行的自檢處理和手工觸發的自檢處理。
係統自動進行的自檢處理包括啟動自檢和條件自檢。算法自檢或條件自檢失敗後,設備均會自動重啟。
· 啟動自檢(Power-up Self-tests)
啟動自檢是在設備啟動過程中對FIPS允許使用的密碼算法進行的自檢。啟動自檢也稱為已知結果的自檢,即使用密碼算法對已知的密鑰和明文進行運算,如果運算結果與已知結果相同,則表示該算法的啟動自檢通過,否則表示自檢失敗。
設備啟動過程中需對以下軟件加密算法進行自檢:DSA(簽名和驗證)、RSA(簽名和驗證)、RSA(加密和解密)、AES、3DES、SHA1、SHA256、SHA512、HMAC-SHA1和隨機數生成算法。
· 條件自檢(Conditional Self-tests)
條件自檢是在非對稱密碼模塊和隨機數生成模塊被使用時進行的自檢,具體包括以下兩種測試:
(1) 密鑰對有效性測試:生成DSA/RSA非對稱密鑰對時進行的自檢,具體為,首先使用公鑰加密任意一段明文,然後使用對應的私鑰對生成的密文進行解密,如果解密成功,則表示自檢通過,否則自檢失敗。
(2) 隨機數連續性測試:生成隨機數的過程中進行的自檢,如果前後兩次生成的隨機數不同,則表示自檢通過,否則自檢失敗。該自檢過程也會在生成DSA/RSA非對稱密鑰對時進行。
設備運行過程當中,當用戶或管理員需要確認當前係統中的密碼模塊是否正常工作時,可以通過執行命令行來手工觸發係統進行密碼算法自檢工作。
通過使能FIPS模式,使得設備運行於支持FIPS 140-2標準的工作模式下。在CC(Common Criteria,通用標準)認證中,進入FIPS模式後,同時相當於設備運行於支持CC標準的工作模式下。在該工作模式下,係統將具有更為嚴格的安全性要求,並會對密碼模塊進行相應的自檢處理,以確認其處於正常運行狀態。
FIPS模式在設備重啟之後才會生效。在重啟設備之前,還需要完成以下配置任務:
· 設置登錄設備的用戶名和密碼,密碼必須是大寫字母、小寫字母、數字以及特殊字符的組合,且最小長度為8位;
· 刪除所有包含MD5算法的數字證書;
· 刪除所有密鑰對。
配置FIPS的基本配置思路如下:
(1) 使能FIPS功能;
(2) 使能Password-control功能;
(3) 配置設備的本地用戶相關屬性(包括本地用戶名,服務類型和密碼等)
(4) 保存配置
完成上述配置並重啟動設備以後,設備進入FIPS模式,設備運行於支持FIPS 140-2標準的工作模式下。在CC認證中,進入FIPS模式後,同時相當於設備運行於支持CC標準的工作模式下。
表1-1 使能FIPS模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能FIPS模式 |
fips mode enable |
必選 缺省情況下,FIPS模式處於關閉狀態 |
使能FIPS模式並重啟設備後,設備上的以下功能將發生變化:
· FTP/TFTP功能被禁用。
· Telnet功能被禁用。
· HTTP功能被禁用。
· SNMP v1和SNMP v2c版本的SNMP功能被禁用,隻允許使用SNMP v3版本。
· SSL功能隻支持TLS1.0協議。
· SSH功能不兼容SSHv1客戶端。
· SSH隻支持RSA。
· RSA隻支持2048位的密鑰對,DSA支持至少1024位的密鑰對。
· SSH、SNMPv3、IPsec和SSL不支持DES、3DES、RC4、MD5算法。
配置手工觸發密碼算法自檢,可以通過執行命令行來觸發係統進行密碼算法自檢工作。手工觸發的密碼算法自檢內容與設備啟動時自動進行的啟動自檢(Power-up Self-tests)內容相同。該自檢失敗後,設備會自動重啟。如果設備重啟後問題仍存在,請及時聯係技術支持工程師排查。
表1-2 手工觸發密碼算法自檢
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
手工觸發密碼算法自檢 |
fips self-test |
必選 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後FIPS模式的狀態,通過查看顯示信息驗證配置的效果。
表1-3 FIPS的顯示和維護
|
操作 |
命令 |
|
顯示FIPS模式的狀態 |
display fips status |
· PC通過Console線與Switch相連。
· 通過配置Switch,使終端PC成功登錄交換機,並進入設備的FIPS模式。
圖1-1 進入設備FIPS模式登錄組網圖
# 配置FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
FIPS mode change requires a device reboot. Continue?[Y/N]:y
Change the configuration to meet FIPS mode requirements, save the configuration
to the next-startup configuration file, and then reboot to enter FIPS mode.
# 開啟密碼管理功能。
[Sysname] password-control enable
# 在設備上添加一個本地用戶test,服務類型為終端用戶類型,用戶級別為3級,並設置其認證密碼為AAbbcc1234%(密碼要包含大小寫字母,數字和特殊符號組成)。
[Sysname] local-user test
[Sysname-luser-test] service-type terminal
[Sysname-luser-test] authorization-attribute level 3
[Sysname-luser-test] password
Password:***********
Confirm :***********
Updating user(s) information, please wait...........
[Sysname-luser-test] quit
# 保存配置。
[Sysname] save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait..........................
Saved the current configuration to mainboard device successfully.
Configuration is saved to device successfully.
[Sysname] quit
# 重啟設備。
<Sysname> reboot
重啟設備後,輸入用戶名(test)密碼(AAbbcc1234%),提示首次登錄成功,請用戶輸入新密碼(新密碼和老密碼必須至少四個字符不同)並確認後,成功登錄設備。
User interface aux0 is available.
Please press ENTER.
Login authentication
Username:test
Password:
Info: First logged in. For security reasons you will need to change your password.
Please enter your new password.
Password:**********
Confirm :**********
Updating user(s) information, please wait...........
<Sysname>
顯示當前FIPS模式狀態,可見設備工作在FIPS模式下。
<Sysname> display fips status
FIPS mode is enabled
如果配置FIPS模式之前未配置本地用戶名或密碼,隻能通過忽略配置文件重啟或刪除配置文件後重新啟動設備,設備恢複到非FIPS模式啟動。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
