选择区域语言: EN CN HK

09-安全命令参考

24-FIPS命令

本章节下载  (120.26 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5560/S5560X-EI/Command/Command_Manual/H3C_S5560X-EI_CR-R1118[1118P07]-6W101/09/201906/1191795_30005_0.htm

24-FIPS命令


1 FIPS

1.1  FIPS配置命令

1.1.1  display crypto version

display crypto version命令用来显示算法库的版本号。

【命令】

display crypto version

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

相同的算法库版本号表示了一套相同的密码学算法。

【举例】

# 显示当前设备算法库的版本号。

<Sysname> display crypto version

7.1.1.1.1.57

表1-1 display crypto version命令显示信息描述表

字段

描述

7.1.1.1.1.57

版本号信息,格式为7.1.X,其中7.1表示Comware V700R001,X表示算法库的版本号

 

1.1.2  display fips status

display fips status命令用来显示FIPS模式状态。

【命令】      

display fips status

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示FIPS模式状态。

<Sysname> display fips status

FIPS mode is enabled.

【相关命令】

·     fips mode enable

1.1.3  fips mode enable

fips mode enable命令用来开启FIPS模式。

undo fips mode enable命令用来关闭FIPS模式。

【命令】

fips mode enable

undo fips mode enable

【缺省情况】

FIPS模式处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启FIPS模式并重启设备之后,设备会运行于支持FIPS 140-2标准的工作模式下。在该工作模式下,系统将具有更为严格的安全性要求,并会对密码模块进行相应的自检处理,以确认其处于正常运行状态。

用户执行了fips mode enable命令后,系统提供以下两种启动方式来进入FIPS模式:

·     自动重启方式:

该方式下,系统自动创建一个FIPS缺省配置文件(名称为fips-startup.cfg),同时将其指定为下次启动配置文件,并且要求用户手工配置设备重启后登录设备的用户名和密码。如果用户在输入过程中想退出配置流程,可以使用<Ctrl+C>组合键中断配置流程,配置流程中断后,当前的fips mode enable命令设置也相应失败。

用户成功设置安全管理员用户名和登录密码之后,系统将自动使用指定的启动配置文件重启。

·     手动重启方式:

该方式下,系统不自动创建进入FIPS模式的下次启动配置文件。需要用户手工完成进入FIPS模式所需的所有必要配置,主要包括:

¡     开启全局Password Control功能。

¡     设置全局Password Control密码组合类型的个数为4,每种类型至少1个字符。

¡     设置全局Password Control的密码最小长度为15。

¡     添加设备管理类本地用户,设置密码、用户角色和服务类型。本地用户的密码需要符合以上Password Control配置的限制,用户角色必须是network-admin,服务类型为terminal。

¡     删除不符合FIPS标准的本地用户服务类型(Telnet、HTTP和FTP)。

然后手工保存当前配置文件为下次启动配置文件,并将二进制类型的下次启动配置文件删除后重启设备。

执行fips mode enable命令之后,系统会提示用户选择启动方式,若用户未在30秒内作出选择,则系统默认用户采用了手动启动方式。

用户执行了undo fips mode enable命令后,系统提供以下两种启动选择来退出FIPS模式:

·     自动重启方式:系统自动创建一个非FIPS缺省配置文件(名称为non-fips-startup.cfg),同时将其指定为下次启动配置文件,之后自动使用非FIPS缺省配置文件重启。重启之后,当前登录用户不需要输入任何信息即可直接登录到非FIPS模式的系统。

·     手动重启方式:系统不自动创建进入非FIPS模式的下次启动配置文件,需要用户手工完成进入非FIPS模式所需的所有必要配置之后,手工重启设备。重启之后,当前登录用户需要根据配置的登录认证方式输入相应的用户信息登录到非FIPS模式的系统。

【举例】

# 开启FIPS模式,并选择自动重启方式进入FIPS模式。

<Sysname> system-view

[Sysname] fips mode enable

FIPS mode change requires a device reboot. Continue? [Y/N]:y

Reboot the device automatically? [Y/N]:y

The system will create a new startup configuration file for FIPS mode. After you set the login username and password for FIPS mode, the device will reboot automatically.

Enter username(1-55 characters): root

Enter password(15-63 characters):

Confirm password:

Waiting for reboot... After reboot, the device will enter FIPS mode.

# 开启FIPS模式,并选择手动重启方式进入FIPS模式。

<Sysname> system-view

[Sysname] fips mode enable

FIPS mode change requires a device reboot. Continue? [Y/N]:y

Reboot the device automatically? [Y/N]:n

Change the configuration to meet FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter FIPS mode.

# 关闭FIPS模式,并选择自动重启方式进入非FIPS模式。

[Sysname] undo fips mode enable

FIPS mode change requires a device reboot. Continue? [Y/N]:y

The system will create a new startup configuration file for non-FIPS mode and then reboot automatically. Continue? [Y/N]:y

Waiting for reboot... After reboot, the device will enter non-FIPS mode.

# 关闭FIPS模式,并选择手动重启方式进入非FIPS模式。

[Sysname] undo fips mode enable

FIPS mode change requires a device reboot. Continue? [Y/N]:y

The system will create a new startup configuration file for non-FIPS mode, and then reboot automatically. Continue? [Y/N]:n

Change the configuration to meet non-FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter non-FIPS mode.

【相关命令】

·     display fips status

1.1.4  fips self-test

fips self-test命令用来手工触发密码算法自检。

【命令】

fips self-test

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

此命令仅在FIPS模式下支持。当管理员需要确认当前处于FIPS模式的系统中的密码算法模块是否正常工作时,可以执行本命令触发密码算法自检。手工触发的密码算法自检内容与设备启动时自动进行的启动自检内容相同。

只有所有密码算法自检都通过了,整个密码算法自检才算成功。密码算法自检失败后,设备会自动重启。

【举例】

# 手工触发密码算法自检。

<Sysname> system-view

[Sysname] fips self-test

Cryptographic Algorithms Known-Answer Tests are running ...

Slot 1:

Starting Known-Answer tests in the user space.

Known-answer test for 3DES passed.

Known-answer test for SHA1 passed.

Known-answer test for SHA224 passed.

Known-answer test for SHA256 passed.

Known-answer test for SHA384 passed.

Known-answer test for SHA512 passed.

Known-answer test for HMAC-SHA1 passed.

Known-answer test for HMAC-SHA224 passed.

Known-answer test for HMAC-SHA256 passed.

Known-answer test for HMAC-SHA384 passed.

Known-answer test for HMAC-SHA512 passed.

Known-answer test for AES passed.

Known-answer test for RSA(signature/verification) passed.

Pairwise conditional test for RSA(signature/verification) passed.

Pairwise conditional test for RSA(encrypt/decrypt) passed.

Pairwise conditional test for DSA(signature/verification) passed.

Pairwise conditional test for ECDSA(signature/verification) passed.

Known-answer test for ECDH passed.

Known-answer test for random number generator(x931) passed.

Known-answer test for DRBG passed.

Known-Answer tests in the user space passed.

Starting Known-Answer tests in the kernel.

Known-answer test for 3DES passed.

Known-answer test for AES passed.

Known-answer test for HMAC-SHA1 passed.

Known-answer test for HMAC-SHA256 passed.

Known-answer test for HMAC-SHA384 passed.

Known-answer test for HMAC-SHA512 passed.

Known-answer test for SHA1 passed.

Known-answer test for SHA256 passed.

Known-answer test for SHA384 passed.

Known-answer test for SHA512 passed.

Known-answer test for GCM passed.

Known-answer test for GMAC passed.

Known-Answer tests in the kernel passed.

Cryptographic Algorithms Known-Answer Tests passed.

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!