- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
26-FIPS命令
本章節下載: 26-FIPS命令 (218.09 KB)
目 錄
display crypto version命令用來顯示算法庫的版本號。
【命令】
display crypto version
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
相同的算法庫版本號表示了一套相同的密碼學算法。
【舉例】
# 顯示當前設備算法庫的版本號。
<Sysname> display crypto version
7.1.1.1.1.186
表1-1 display crypto version命令顯示信息描述表
|
字段 |
描述 |
|
7.1.1.1.1.186 |
版本號信息,格式為7.1.X,其中7.1表示Comware V700R001,X表示算法庫的版本號 |
display fips status命令用來顯示FIPS模式狀態。
【命令】
display fips status
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示FIPS模式狀態。
<Sysname> display fips status
FIPS mode is enabled.
【相關命令】
· fips mode enable
fips mode enable命令用來開啟FIPS模式。
undo fips mode enable命令用來關閉FIPS模式。
【命令】
fips mode enable
undo fips mode enable
【缺省情況】
FIPS模式處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
· 開啟或者關閉FIPS模式,係統會提示用戶選擇啟動方式並重啟設備。重新啟動可能會導致業務中斷,請謹慎操作。
· 開啟FIPS模式時,如果用戶采用了手動重啟方式,則必須手工完成進入FIPS模式所需的所有必要配置,否則不能正常登錄係統。
開啟FIPS模式並重啟設備之後,設備會運行於支持FIPS 140-2標準的工作模式下。在該工作模式下,係統將具有更為嚴格的安全性要求,並會對密碼模塊進行相應的自檢處理,以確認其處於正常運行狀態。
用戶執行了fips mode enable命令後,係統提供以下兩種啟動方式來進入FIPS模式:
· 自動重啟方式:
該方式下,係統自動創建一個FIPS缺省配置文件(名稱為fips-startup.cfg),同時將其指定為下次啟動配置文件,並且要求用戶手工配置設備重啟後登錄設備的用戶名和密碼。如果用戶在輸入過程中想退出配置流程,可以使用<Ctrl+C>組合鍵中斷配置流程,配置流程中斷後,當前的fips mode enable命令設置也相應失敗。
用戶成功設置安全管理員用戶名和登錄密碼之後,係統將自動使用指定的啟動配置文件重啟。
· 手動重啟方式:
該方式下,係統不自動創建進入FIPS模式的下次啟動配置文件。需要用戶手工完成進入FIPS模式所需的所有必要配置,主要包括:
¡ 開啟全局Password Control功能。
¡ 設置全局Password Control密碼組合類型的個數為4,每種類型至少1個字符。
¡ 設置全局Password Control的密碼最小長度為15。
¡ 添加設備管理類本地用戶,設置密碼、用戶角色和服務類型。本地用戶的密碼需要符合以上Password Control配置的限製,用戶角色必須是network-admin,服務類型為terminal。
¡ 刪除不符合FIPS標準的本地用戶服務類型(Telnet、HTTP和FTP)。
然後手工保存當前配置文件為下次啟動配置文件,並將二進製類型的下次啟動配置文件刪除後重啟設備。
執行fips mode enable命令之後,係統會提示用戶選擇啟動方式,若用戶未在30秒內作出選擇,則係統默認用戶采用了手動啟動方式。
用戶執行了undo fips mode enable命令後,係統提供以下兩種啟動選擇來退出FIPS模式:
· 自動重啟方式:係統自動創建一個非FIPS缺省配置文件(名稱為non-fips-startup.cfg),同時將其指定為下次啟動配置文件,之後自動使用非FIPS缺省配置文件重啟。重啟之後,當前登錄用戶不需要輸入任何信息即可直接登錄到非FIPS模式的係統。
· 手動重啟方式:係統不自動創建進入非FIPS模式的下次啟動配置文件,需要用戶手工完成進入非FIPS模式所需的所有必要配置之後,手工重啟設備。重啟之後,當前登錄用戶需要根據配置的登錄認證方式輸入相應的用戶信息登錄到非FIPS模式的係統。
【舉例】
# 開啟FIPS模式,並選擇自動重啟方式進入FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
FIPS mode change requires a device reboot. Continue? [Y/N]:y
Reboot the device automatically? [Y/N]:y
The system will create a new startup configuration file for FIPS mode. After you set the login username and password for FIPS mode, the device will reboot automatically.
Enter username(1-55 characters): root
Enter password(15-63 characters):
Confirm password:
Waiting for reboot... After reboot, the device will enter FIPS mode.
# 開啟FIPS模式,並選擇手動重啟方式進入FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
FIPS mode change requires a device reboot. Continue? [Y/N]:y
Reboot the device automatically? [Y/N]:n
Change the configuration to meet FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter FIPS mode.
# 關閉FIPS模式,並選擇自動重啟方式進入非FIPS模式。
[Sysname] undo fips mode enable
FIPS mode change requires a device reboot. Continue? [Y/N]:y
The system will create a new startup configuration file for non-FIPS mode and then reboot automatically. Continue? [Y/N]:y
Waiting for reboot... After reboot, the device will enter non-FIPS mode.
# 關閉FIPS模式,並選擇手動重啟方式進入非FIPS模式。
[Sysname] undo fips mode enable
FIPS mode change requires a device reboot. Continue? [Y/N]:y
The system will create a new startup configuration file for non-FIPS mode, and then reboot automatically. Continue? [Y/N]:n
Change the configuration to meet non-FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter non-FIPS mode.
【相關命令】
· display fips status
fips self-test命令用來手工觸發密碼算法自檢。
【命令】
fips self-test
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有所有密碼算法自檢都通過了,整個密碼算法自檢才算成功。密碼算法自檢失敗後,設備會自動重啟。
此命令僅在FIPS模式下支持。當管理員需要確認當前處於FIPS模式的係統中的密碼算法模塊是否正常工作時,可以執行本命令觸發密碼算法自檢。手工觸發的密碼算法自檢內容與設備啟動時自動進行的啟動自檢內容相同。
【舉例】
# 手工觸發密碼算法自檢。
<Sysname> system-view
[Sysname] fips self-test
Cryptographic Algorithms Known-Answer Tests are running ...
Slot 1:
Starting Known-Answer tests in the user space.
Known-answer test for 3DES passed.
Known-answer test for SHA1 passed.
Known-answer test for SHA224 passed.
Known-answer test for SHA256 passed.
Known-answer test for SHA384 passed.
Known-answer test for SHA512 passed.
Known-answer test for HMAC-SHA1 passed.
Known-answer test for HMAC-SHA224 passed.
Known-answer test for HMAC-SHA256 passed.
Known-answer test for HMAC-SHA384 passed.
Known-answer test for HMAC-SHA512 passed.
Known-answer test for AES passed.
Known-answer test for RSA(signature/verification) passed.
Pairwise conditional test for RSA(signature/verification) passed.
Pairwise conditional test for RSA(encrypt/decrypt) passed.
Pairwise conditional test for DSA(signature/verification) passed.
Pairwise conditional test for ECDSA(signature/verification) passed.
Known-answer test for ECDH passed.
Known-answer test for random number generator(x931) passed.
Known-answer test for DRBG passed.
Known-Answer tests in the user space passed.
Starting Known-Answer tests in the kernel.
Known-answer test for 3DES passed.
Known-answer test for AES passed.
Known-answer test for HMAC-SHA1 passed.
Known-answer test for HMAC-SHA256 passed.
Known-answer test for HMAC-SHA384 passed.
Known-answer test for HMAC-SHA512 passed.
Known-answer test for SHA1 passed.
Known-answer test for SHA256 passed.
Known-answer test for SHA384 passed.
Known-answer test for SHA512 passed.
Known-answer test for GCM passed.
Known-answer test for GMAC passed.
Known-Answer tests in the kernel passed.
Cryptographic Algorithms Known-Answer Tests passed.
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
