Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

FIPS 模式下的 Junos OS 操作环境概述

在 FIPS 模式下运行瞻博网络 Junos 操作系统 (Junos OS) 的瞻博网络设备会形成一种特殊类型的硬件和软件操作环境,该操作环境与非 FIPS 模式下的设备环境不同:

FIPS 模式下的 Junos OS 硬件环境

FIPS 模式下的 Junos OS 可在设备中建立密码边界,使关键安全参数 (CSP) 无法使用纯文本进行交叉。设备中要求 FIPS 140-2 合规性加密边界的每个硬件组件都是一个单独的加密模块。 在 FIPS 模式下,Junos OS 有两种具有加密边界的硬件:一种用于每个路由引擎,一种用于整个机箱。

密码方法不能取代物理安全。硬件必须位于安全的物理环境中。各类用户不得泄露密钥或密码,也不得允许未经授权的人员查看书面记录或笔记。

FIPS 模式下的 Junos OS 软件环境

在 FIPS 模式下运行 Junos OS 的瞻博网络设备会形成一种特殊类型的不可分解操作环境。为了在设备上实现此环境,系统将阻止在 FIPS 模式分布中不是认证 Junos OS 一部分的任何二进制文件的执行。当设备处于 FIPS 模式时,只能运行 Junos OS。

在安全管理员成功在设备上启用 FIPS 模式后,将建立 FIPS 模式软件环境中的 Junos OS。包括 FIPS 模式的 Junos OS 映像可在瞻博网络网站上获得,可以安装在正常运行的设备上。

为了符合 FIPS 140-2 标准,我们建议您在启用 FIPS 模式之前将设备 归零 ,删除所有用户创建的文件和数据。

启用 FIPS 模式会禁用许多通常的 Junos OS 协议和服务。特别是,您无法在 FIPS 模式的 Junos OS 中配置以下服务:

  • 手指

  • Ftp

  • rlogin

  • Telnet

  • Tftp

  • xnm 明文

尝试配置这些服务,或使用这些服务配置加载配置,将导致配置语法错误。

您只能将 SSH 用作远程访问服务。

在 FIPS 模式下为 Junos OS 升级后为用户建立的所有密码都必须符合 FIPS 模式规格中的 Junos OS。密码长度必须为 10 到 20 个字符,并且要求至少使用 5 个已定义的字符集中的 3 个(大写和小写字母、数字、标点符号和键盘字符,如% 和 &,不包括在其他四个类别中)。尝试配置不符合这些规则的密码将导致错误。用于验证对等方的所有密码和密钥长度必须至少为 10 个字符,在某些情况下,长度必须与摘要大小匹配。

注意:

在安全管理员通过本地控制台连接完成配置之前,不要将设备连接到网络。

为严格合规,请勿在 FIPS 模式下检查 Junos OS 中本地控制台上的核心和故障转储信息,因为某些 CSP 可能会以纯文本显示。

关键安全参数

关键安全参数 (CSP) 是安全相关信息,例如密钥和密码,这些密钥和密码会损害加密模块的安全,或者受到该模块保护的信息(如果它们被泄露或修改)。。

系统归零 会擦除所有 CSP 的痕迹,以便为将设备或路由引擎作为加密模块进行操作做准备。

表 1 列出了运行 Junos OS 的设备上的 CSP。

表 1:关键安全参数

Csp

描述

归零

使用

SSHv2 私有主机密钥

首次配置 SSH 时生成用于识别主机的 ECDSA/RSA 密钥。

将命令归零。

用于识别主机。

SSHv2 会话密钥

会话密钥与 SSHv2 一起使用,并用作 Diffie-Hellman 私钥。

加密:AES-128、AES-256。

MAC:HMAC-SHA-1、HMAC-SHA-2-256、HMAC-SHA2-512。

密钥交换:dh-group14-sha1、ECDH-sha2-nistp256、ECDH-sha2-nistp384 和 ECDH-sha2-nistp521。

重新启动并终止会话。

用于加密主机和客户端之间数据的对称密钥。

用户身份验证密钥

用户密码哈希:SHA256、SHA512。

将命令归零。

用于通过加密模块对用户进行身份验证。

加密官员身份验证密钥

加密官员密码的哈希:SHA256、SHA512。

将命令归零。

用于向加密模块验证安全管理员。

HMAC DRBG 种子

确定性 randon 位生成器 (DRBG) 的种子。

种子不会由加密模块存储。

用于播种 DRBG。

HMAC DRBG V 值

输出块长度 (outlen) 的值 (V),单位位,每次生成另一个外伸位时都会更新此值。

开机周期。

DRBG 内部状态的关键值。

HMAC DRBG 关键值

外位密钥的当前值,每次 DRBG 机制生成伪随机位时,都会至少更新一次。

开机周期。

DRBG 内部状态的关键值。

NDRNG 平均信息量

用作 HMAC DRBG 的平均信息量输入字符串。

开机周期。

DRBG 内部状态的关键值。

在 FIPS 模式下的 Junos OS 中,所有 CSP 都必须以加密形式进出加密模块。使用未经批准的算法加密的任何 CSP 都将被 FIPS 视为纯文本。

本地密码使用 SHA256 或 SHA512 算法进行散列。在 FIPS 模式下的 Junos OS 中,无法恢复密码。FIPS 模式下的 Junos OS 如果没有正确的 root 密码,将无法启动到单用户模式。

相关文档