• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

14-FIPS配置

本章节下载 14-FIPS配置  (134.65 KB)

14-FIPS配置


1 FIPS配置

说明

FIPS配置的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。

 

1.1  简介

FIPS(Federal Information Processing Standards,联邦信息处理标准)140-2 是NIST(National Institute of Standard and Technology,美国标准与技术研究所)颁布的针对密码算法安全的一个标准,它规定了一个安全系统中的密码模块应该满足的安全性要求。FIPS 140-2定义了四个安全级别:Level 1、Level 2、Level 3和Level 4,它们安全级别依次递增,可广泛适应于密码模块的各种应用环境。目前,设备支持Level 2。

若无特殊说明,文中的FIPS即表示FIPS 140-2。

1.2  配置FIPS

通过使能FIPS模式,使得设备运行于支持FIPS 140-2标准的工作模式下。在该工作模式下,系统将具有更为严格的安全性要求,并会对密码模块进行相应的自检处理,以确认其处于正常运行状态。

1.2.1  配置准备

使能FIP模式之前,还需要完成以下配置任务:

·              设置登录设备的用户名和密码,密码必须是大写字母、小写字母、数字以及特殊字符的组合,且最小长度为6位;

·              删除所有包含MD5算法的数字证书;

·              删除所有RSA密钥对和长度小于1024比特的DSA密钥对。

1.2.2  使能FIPS模式

使能FIPS模式并重启设备之后,设备将进入FIPS模式。

表1-1 使能FIPS模式

操作

命令

说明

进入系统视图

system-view

-

使能FIPS模式

fips mode enable

必选

缺省情况下,FIPS模式处于关闭状态

 

注意

若要同时使能FIPS模式和Password Control功能,则必须先使能FIPS模式,再开启Password Control功能;若要同时关闭FIPS模式和Password Control功能,则必须先关闭Password Control功能,再关闭FIPS模式。

 

1.3  FIP模式下的配置变化

使能FIPS模式并重启设备后,设备上的以下功能将发生变化:

·              FTP/TFTP服务器功能被禁用。

·              Telnet服务器功能被禁用。

·              HTTP服务器功能被禁用。

·              SNMP v1和SNMP v2c版本的SNMP功能被禁用,只允许使用SNMP v3版本。

·              SSL服务器只支持TLS1.0协议。

·              SSH服务器不兼容SSHv1客户端。

·              仅支持生成1024~2048位的RSA/DSA密钥对。

·              SSH、SNMPv3、IPsec和SSL不支持DES、RC4、MD5算法。

1.4  FIPS的自检处理

FIPS模式处于使能状态之后,为确保密码模块的功能正常运行,系统会进行一定的自检处理,具体包括启动自检和条件自检。算法自检或条件自检失败后,设备均会自动重启。

1.4.1  启动自检(Power-up Self-tests

启动自检是在设备启动过程中对FIPS允许使用的密码算法进行的自检。启动自检也称为已知结果的自检,即使用密码算法对已知的密钥和明文进行运算,如果运算结果与已知结果相同,则表示该算法的启动自检通过,否则表示自检失败。

启动自检又分为三种类型,具体内容如表1-2所示:

表1-2 启动自检列表

启动自检类型

自检操作

软件加密算法自检

对以下软件加密算法进行自检:

·       DSA(签名和验证)

·       RSA(签名和验证)

·       RSA(加密和解密)

·       AES

·       3DES

·       SHA1

·       HMAC-SHA1

·       随机数生成算法

加密引擎自检

在支持加密引擎的设备上,对以下加密引擎使用的算法进行自检:

·       DSA(签名和验证)

·       RSA(签名和验证)

·       RSA(加密和解密)

·       AES

·       3DES

·       SHA1

·       HMAC-SHA1

·       随机数生成算法

加密卡自检

在支持加密卡的设备上,对以下加密卡使用的算法进行自检:

·       AES

·       3DES

·       SHA1

·       HMAC-SHA1

 

1.4.2  条件自检(Conditional Self-tests

条件自检是在非对称密码模块和随机数生成模块被使用时进行的自检,具体包括以下两种测试:

·              密钥对有效性测试:生成DSA/RSA非对称密钥对时进行的自检,具体为,首先使用公钥加密任意一段明文,然后使用对应的私钥对生成的密文进行解密,如果解密成功,则表示自检通过,否则自检失败。

·              随机数连续性测试:生成随机数的过程中进行的自检,如果前后两次生成的随机数不同,则表示自检通过,否则自检失败。该自检过程也会在生成DSA/RSA非对称密钥对时进行。

1.4.3  手工触发密码算法自检

设备运行过程当中,当用户或管理员需要确认当前系统中的密码模块是否正常工作时,可以通过执行命令行来手工触发系统进行密码算法自检工作。手工触发的密码算法自检内容与设备启动时自动进行的启动自检(Power-up Self-tests)内容相同。该自检失败后,设备会自动重启。

表1-3 手工触发密码算法自检

操作

命令

说明

手工触发密码算法自检

fips self-test

必选

 

1.5  FIPS的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后FIPS模式的状态,通过查看显示信息验证配置的效果。

表1-4 FIPS的显示和维护

操作

命令

显示FIPS模式的状态

display fips status

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们