目  录

1 FIPS配置

1.1 简介

1.2 配置FIPS

1.2.1 配置准备

1.2.2 使能FIPS模式

1.3 FIPS模式下的配置变化

1.4 FIPS的自检处理

1.4.1 启动自检（Power-up Self-tests）

1.4.2 条件自检（Conditional Self-tests）

1.4.3 手工触发算法自检

1.5 FIPS的显示和维护

1 FIPS配置

1.1  简介

FIPS（Federal Information Processing Standards，联邦信息处理标准）140-2 是NIST（National Institute of Standard and Technology，美国标准与技术研究所）颁布的针对密码算法安全的一个标准，它规定了一个安全系统中的密码模块应该满足的安全性要求。FIPS 140-2定义了四个安全级别：Level 1、Level 2、Level 3和Level 4，它们安全级别依次递增，可广泛适应于密码模块的各种应用环境。目前，设备支持Level 2。

若无特殊说明，文中的FIPS即表示FIPS 140-2。

1.2  配置FIPS

通过使能FIPS模式，使得设备运行于支持FIPS 140-2标准的工作模式下。

1.2.1  配置准备

使能FIPS模式之前，还需要完成以下配置任务：

l              设置登录设备的用户名和密码，密码必须是大写字母、小写字母、数字以及特殊字符的组合，且最小长度为6位；

l              删除所有包含MD5算法的数字证书；

l              删除所有RSA密钥对和长度小于1024比特的DSA密钥对。

1.2.2  使能FIPS模式

使能FIPS模式并重启设备之后，设备将进入FIPS模式。

表1-1 使能FIPS模式

1.3  FIPS模式下的配置变化

使能FIPS模式并重启设备后，设备上的以下功能将发生变化：

l              FTP/TFTP服务器功能被禁用。

l              Telnet服务器功能被禁用。

l              HTTP服务器功能被禁用。

l              SNMP v1和SNMP v2c版本的SNMP功能被禁用，只允许使用SNMP v3版本。

l              SSL服务器只支持TLS1.0协议。

l              SSH服务器不兼容SSHv1客户端。

l              仅支持生成1024～2048位的RSA/DSA密钥对。

l              SSH、SNMPv3、IPsec和SSL不支持DES、RC4、MD5算法。

1.4  FIPS的自检处理

使能FIPS模式并重启设备后，系统会进行启动自检和条件自检来确保密码模块的功能正常运行。算法自检或条件自检失败后，设备均会自动重启。

1.4.1  启动自检（Power-up Self-tests）

启动自检是在设备启动过程中对FIPS允许使用的密码算法进行的自检。启动自检也称为已知结果的自检，即使用密码算法对已知的密钥和明文进行运算，如果运算结果与已知结果相同，则表示该算法的启动自检通过，否则表示自检失败。

启动自检又分为三种类型，具体内容如表1-2所示：

表1-2 启动自检列表

1.4.2  条件自检（Conditional Self-tests）

条件自检是在非对称密码模块和随机数生成模块被使用时进行的自检，具体包括以下两种测试：

l              密钥对有效性测试：生成DSA/RSA非对称密钥对时进行的自检，具体为，首先使用公钥加密任意一段明文，然后使用对应的私钥对生成的密文进行解密，如果解密成功，则表示自检通过，否则自检失败。

l              随机数连续性测试：生成随机数的过程中进行的自检，如果前后两次生成的随机数不同，则表示自检通过，否则自检失败。该自检过程也会在生成DSA/RSA非对称密钥对时进行。

1.4.3  手工触发算法自检

当管理员需要确认当前系统中的密码算法模块是否正常工作时，可以手动触发密码算法自检。手工触发的密码算法自检内容与设备启动时自动进行的启动自检内容相同。

该自检失败后，设备会自动重启。

表1-3 手工执行算法自检

1.5  FIPS的显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后FIPS模式的状态，通过查看显示信息验证配置的效果。

表1-4 FIPS的显示和维护