国家 / 地区

12-安全命令参考

08-keychain命令

本章节下载  (164.67 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR_Winet/H3C_MSR_810_WiNet/Command/Command_Manual/H3C_MSR_WiNet_CR(V7)-R0605-6W200/12/201911/1244962_30005_0.htm

08-keychain命令


1 keychain

1.1  keychain配置命令

1.1.1  accept-lifetime utc

accept-lifetime utc命令用来配置用于报文接收的key的绝对时间模式的生命周期。

undo accept-lifetime命令用来恢复缺省情况。

【命令】

accept-lifetime utc start-time start-date { duration { duration-value | infinite } | to end-time end-date }

undo accept-lifetime

【缺省情况】

未配置用于报文接收的key的生命周期。

【视图】

key视图

【缺省用户角色】

network-admin

【参数】

start-time:开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。

start-date:开始日期,格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。

duration duration-value:指定key的生命周期从设置的start-timestart-date开始所持续时间,取值范围为1~2147483646,单位为秒。

duration infinite:表示从设置的start-timestart-date开始,key永远可以用来验证接收的报文。

to:指定结束时间和日期。

end-time:结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。

end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。

【使用指导】

只有同时满足如下条件的key,才是有效key,才可被应用程序用于对接收的报文进行校验:

·     配置了认证密钥

·     配置了认证算法

·     系统当前的绝对时间处于accept-lifetime utc指定的时间范围内

如果应用程序接收到的报文中携带key-id信息,且该key-id对应的key是有效的,则使用该key对接收到的报文进行校验;否则,应用程序将使用当前keychain中所有的有效key对接收到的报文进行校验,如果接收到的报文无法通过任何一个有效key的校验,则报文校验失败。

应用程序可以使用多个有效key对接收到的报文进行校验。

【举例】

# 在工作于绝对时间模式的keychain abc中,配置用来校验接收报文时key 1的生命周期。

<Sysname> system-view

[Sysname] keychain abc mode absolute

[Sysname-keychain-abc] key 1

[Sysname-keychain-abc-key-1] accept-lifetime utc 12:30 2015/1/21 to 18:30 2015/1/21

1.1.2  authentication-algorithm

authentication-algorithm命令用来配置key的认证算法。

undo authentication-algorithm命令用来恢复缺省情况。

【命令】

authentication-algorithm { hmac-md5 | md5 }

undo authentication-algorithm

【缺省情况】

未配置key的认证算法。

【视图】

key视图

【缺省用户角色】

network-admin

【参数】

hmac-md5:HMAC-MD5认证算法。

md5:MD5认证算法。

【使用指导】

如果应用程序不支持authentication-algorithm配置的认证算法,则无法使用该key进行报文校验。

【举例】

# 在工作于绝对时间模式的keychain abc中,配置key 1的认证算法为MD5。

<Sysname> system-view

[Sysname] keychain abc mode absolute

[Sysname-keychain-abc] key 1

[Sysname-keychain-abc-key-1] authentication-algorithm md5

1.1.3  display keychain

display keychain命令用来显示keychain的信息。

【命令】

display keychain [ name keychain-name [ key key-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name keychain-name:keychain名称,为1~63个字符的字符串,区分大小写。如果不指定本参数,则显示所有keychain的信息。

key key-id:key的标识符,取值范围为0~281474976710655。如果不指定本参数,则显示属于某keychain的全部key的信息。

【举例】

# 显示keychain的信息。

<Sysname> display keychain

 

 Keychain name          : abc

   Mode                 : absolute

   Accept tolerance     : 0

   TCP kind value       : 254

   TCP algorithm value

     HMAC-MD5           : 5

     MD5                : 3

   Default send key ID  : None

   Active send key ID   : 1

   Active accept key IDs: 1 2

 

   Key ID               : 1

     Key string         : $c$3$vuJpEX3Lah7xcSR2uqmrTK2IZQJZguJh3g==

     Algorithm          : md5

     Send lifetime      : 01:00:00 2015/01/22 to 01:00:00 2015/01/25

     Send status        : Active

     Accept lifetime    : 01:00:00 2015/01/22 to 01:00:00 2015/01/27

     Accept status      : Active

 

   Key ID               : 2

     Key string         : $c$3$vuJpEX3Lah7xcSR2uqmrTK2IZQJZguJh3g==

     Algorithm          : md5

     Send lifetime      : 01:00:01 2015/01/25 to 01:00:00 2015/01/27

     Send status        : Inactive

     Accept lifetime    : 01:00:00 2015/01/22 to 01:00:00 2015/01/27

     Accept status      : Active

表1-1 display keychain命令显示信息描述表

字段

描述

Keychain name

keychain名称

Mode

keychain的时间模式:

absolute:绝对时间模式

Accept tolerance

key在报文接收时的容忍度

TCP kind value

TCP增强认证选项中的类型值。缺省情况下为254

TCP algorithm value

TCP认证算法所对应的算法ID。缺省情况下,HMAC-MD5对应的算法ID为5,MD5对应的算法ID为3

Default send key ID

(暂不支持)缺省发送key的ID、以及缺省发送key的状态

Active send key ID

用于对发送报文进行校验的有效key

Active accept key IDs

用于对接收报文进行校验的有效key

Key ID

key的标识符

Key string

key的认证密钥(密文形式)

Algorithm

key的认证算法:

·     hmac-md5:HMAC-MD5认证算法

·     md5:MD5认证算法

Send lifetime

配置用来校验发送报文时key的生命周期

Send status

用于对发送报文进行校验的key的是否有效:

·     Active:用于对发送报文进行校验的key有效

·     Inactive:用于对发送报文进行校验的key无效

Accept lifetime

配置用来校验接收报文时key的生命周期

Accept status

用于对接收报文进行校验的key是否有效:

·     Active:用于对接收报文进行校验的key有效

·     Inactive:用于对接收报文进行校验的key无效

 

1.1.4  key

key命令用来创建一个key,并进入key视图。如果指定的key已经存在,则直接进入key视图。

undo key命令用来删除指定的key及key视图下的所有配置。

【命令】

key key-id

undo key key-id

【缺省情况】

不存在key。

【视图】

keychain视图

【缺省用户角色】

network-admin

【参数】

key-id:key的标识符,取值范围为0~281474976710655。

【使用指导】

一个keychain下可以配置多个key,各个key必须指定不同的key-id

【举例】

# 创建标识符为1的key,并进入key视图。

<Sysname> system-view

[Sysname] keychain abc mode absolute

[Sysname-keychain-abc] key 1

[Sysname-keychain-abc-key-1]

1.1.5  key-string

key-string命令用来配置key的认证密钥。

undo key-string命令用来恢复缺省情况。

【命令】

key-string { cipher | plain } string

undo key-string

【缺省情况】

未配置key的认证密钥。

【视图】

key视图

【缺省用户角色】

network-admin

【参数】

cipher:以密文方式设置密钥。

plain:以明文方式设置密钥,该密码将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串,密文密钥为33~373个字符的字符串。

【使用指导】

key的认证密钥的明文长度有可能会超出应用程序支持的范围,这种情况下应用程序需要截取自己支持的长度范围的明文密钥来对报文进行校验。

【举例】

# 在key视图下,以明文形式设置key 1的密钥为123456。

<Sysname> system-view

[Sysname] keychain abc mode absolute

[Sysname-keychain-abc] key 1

[Sysname-keychain-abc-key-1] key-string plain 123456

1.1.6  keychain

keychain命令用来创建一个keychain,并进入keychain视图。如果指定的keychain已经存在,则直接进入keychain视图。

undo keychain命令用来删除指定的keychain及keychain视图下的所有配置。

【命令】

keychain keychain-name [ mode absolute ]

undo keychain keychain-name

【缺省情况】

不存在keychain。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keychain-name:keychain名,为1~63个字符的字符串,区分大小写。

mode:keychain工作的时间模式。

absolute:绝对时间模式。该模式的keychain中,key的生命周期是从指定的起始日期、时间到指定的结束日期、时间,各个日期和时间都是UTC(UTC,Coordinated Universal Time,国际协调时间)绝对时间,不受系统的时区和夏令时的影响。

【使用指导】

创建keychain时必须指定其工作的时间模式。对于已存在的keychain,不可修改其工作的时间模式。进入已存在的keychain视图时可以不指定其工作的时间模式。

【举例】

# 创建名为abc的keychain,指定其工作在绝对时间模式下,并进入keychain视图。

<Sysname> system-view

[Sysname] keychain abc mode absolute

[Sysname-keychain-abc]

1.1.7  send-lifetime utc

send-lifetime utc命令用来配置用于报文发送的key的绝对时间模式的生命周期。

undo send-lifetime命令用来恢复缺省情况。

【命令】

send-lifetime utc start-time start-date { duration { duration-value | infinite } | to end-time end-date }

undo send-lifetime

【缺省情况】

未配置用于报文发送的key的生命周期。

【视图】

key视图

【缺省用户角色】

network-admin

【参数】

start-time:开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。

start-date:开始日期,格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。

duration duration-value:指定key的生命周期从设置的start-timestart-date开始所持续时间,取值范围为1~2147483646,单位为秒。

duration infinite:表示从设置的start-timestart-date开始,key永远可以用来验证发送的报文。

to:指定结束时间和日期。

end-time:结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。

end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。

【使用指导】

只有同时满足如下条件的key,才是有效key,才可被应用程序用于对发送的报文进行校验:

·     配置了认证密钥

·     配置了认证算法

·     系统当前的绝对时间处于send-lifetime utc指定的时间范围内

同一个keychain内的各个key使用send-lifetime utc指定的生命周期不可重叠,以确保在同一时刻,应用程序只使用一个key对发送的报文进行校验。

【举例】

# 在工作于绝对时间模式的keychain abc下,配置用来校验发送报文时key 1的生命周期。

<Sysname> system-view

[Sysname] keychain abc mode absolute

[Sysname-keychain-abc] key 1

[Sysname-keychain-abc-key-1] send-lifetime utc 12:30 2015/1/21 to 18:30 2015/1/21

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!