了解 FIPS 模式术语和支持的加密算法

与安全相关的信息（例如，秘密和私有加密密钥以及密码和个人标识号 （PIN） 等身份验证数据），泄露或修改这些信息可能会危及加密模块或其所保护信息的安全性。有关详细信息，请参阅 了解 FIPS 模式下 Junos OS 的操作环境。

实现经批准的安全功能（包括加密算法和密钥生成）并包含在加密边界内的硬件、软件和固件集。对于固定配置路由器，加密模块是路由器案例。对于模块化路由器，加密模块是路由引擎。

具有适当权限的人员，负责在路由器上以 FIPS 模式安全地启用、配置、监控和维护 Junos OS。有关详细信息，请参阅 了解 FIPS 模式下 Junos OS 的角色和服务。

联邦信息处理标准。FIPS 140-2 指定了安全和加密模块的要求。FIPS 模式下的 Junos OS 符合 FIPS 140-2 级别 1。

加密官承担的执行物理维护或逻辑维护服务（如硬件或软件诊断）的角色。为了符合 FIPS 140-2，加密官员在进入和退出 FIPS 维护角色时将路由引擎归零，以擦除所有纯文本密钥和私钥以及未受保护的 CSP。

已知答案测试。系统自检，用于验证经批准用于 FIPS 的加密算法的输出，并测试某些 Junos OS 模块的完整性。有关详细信息，请参阅 了解 FIPS 自检。

一种协议，它使用强身份验证和加密通过不安全的网络进行远程访问。SSH 提供远程登录、远程程序执行、文件复制等功能。它旨在作为 UNIX 环境中 rlogin、 rsh 和 rcp 的安全替代品。要保护通过管理连接发送的信息，请使用 SSHv2 进行 CLI 配置。在 Junos OS 中，默认情况下启用 SSHv2，而被视为不安全的 SSHv1 处于禁用状态。

在路由器作为 FIPS 加密模块运行之前，或准备将路由器重新用于非 FIPS 操作之前，擦除路由器上的所有 CSP 和其他用户创建的数据。加密官可以使用 CLI 操作命令将系统归零。有关详细信息，请参阅 了解清零以清除 FIPS 模式的系统数据。

在 FIPS PUB 197 中定义的高级加密标准 （AES）。AES 算法使用 128、192 或 256 位的密钥以 128 位块的形式加密和解密数据。

一种在不安全环境（如互联网）上进行密钥交换的方法。Diffie-Hellman 算法协商会话密钥，而无需通过网络发送密钥本身，允许每一方独立选择一个部分密钥并将该密钥的一部分发送给另一方。然后，每一方计算一个公共键值。这是一种对称方法 — 密钥通常只在短时间内使用、丢弃并重新生成。

椭圆曲线迪菲-赫尔曼。Diffie-Hellman 密钥交换算法的一种变体，它使用基于有限域上椭圆曲线代数结构的密码学。ECDH允许双方（每一方都有一个椭圆曲线公钥-私钥对）在不安全的通道上建立共享密钥。共享密钥既可以用作密钥，也可以派生另一个密钥，以便使用对称密钥密码加密后续通信。

椭圆曲线数字签名算法。数字签名算法 （DSA） 的一种变体，它使用基于有限域上椭圆曲线的代数结构的密码学。椭圆曲线的位大小决定了解密密钥的难度。据信ECDSA所需的公钥大约是安全强度的两倍，以位为单位。

HMAC 在 RFC 2104 中定义为“用于消息身份验证的密钥哈希”，它将哈希算法与用于消息身份验证的加密密钥相结合。

安全散列算法 （SHA），属于 FIPS PUB 180-2 中定义的 SHA-2 标准。由NIST开发的SHA-256产生256位哈希摘要，SHA-384产生384位哈希摘要，SHA-512产生512位哈希摘要。

加密标准基于 1970 年代的原始数据加密标准 （DES），该标准使用 56 位密钥，并于 1997 年被破解。更安全的 3DES 是 DES 增强版，具有三个多级和约 112 位的有效密钥长度。对于 FIPS 模式下的 Junos OS，3DES 通过密码块链接 （CBC） 实现。