Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 FIPS 自检

加密模块强制执行安全规则,以确保以 FIPS 操作模式运行瞻博网络 Junos 操作系统 (Junos OS) 的设备满足 FIPS 140-3 级别 2 的安全要求。为了验证批准用于 FIPS 的加密算法的输出并测试某些系统模块的完整性,设备执行以下一系列已知应答测试 (KAT) 自检:

  • kernel_kats- KAT 表示内核加密例程

  • md_kats- KAT 代表 libmd 和 libc

  • openssl_kats—用于 OpenSSL 加密实现的 KAT

  • openssl-102_kats- 用于 OpenSSL v1.0.2 加密实现的 KAT

  • quicksec_7_0_kats- 用于Quicksec_7_0Toolkit加密实现的 KAT

  • octcrypto_kats- KAT 代表八进制

  • srxpfe_kats— 用于 SRX 数据包转发引擎的 KAT

当设备上启用了 FIPS 操作模式时,KAT 自检会在启动和重新启动时自动执行。还会自动执行条件自检,以验证经过数字签名的软件包、生成的随机数、RSA 和 ECDSA 密钥对以及手动输入的密钥。

如果 KAT 成功完成,则会更新系统日志 (syslog) 文件以显示已执行的测试。

如果设备未通过 KAT,设备会将详细信息写入系统日志文件,进入 FIPS 错误状态(死),然后重新启动。

file show /var/log/messages 命令将显示系统日志。

重新启动完成后继续正常操作。如果发生错误,请联系瞻博网络技术支持中心 (JTAC)。

您必须具有管理 权限才能配置 FIPS 自检。设备必须在 FIPS 模式软件中运行评估版本的 Junos OS。

在此示例中,FIPS 自检于每周三上午 9:00 在美国纽约市执行。

注意:您可以通过包含月份和月份中的日期语句来配置每月测试,而不是每周测试。

在设备上执行开机自检

每次打开加密模块电源时,该模块都会测试加密算法是否仍正常运行以及敏感数据是否未损坏。通过重启模块电源,按需执行上电自检。打开设备电源或重置设备时,模块将执行以下自检。在模块使用任何其他加密之前,必须成功完成所有 KAT。如果其中一个 KAT 失败,模块将进入严重故障错误状态。运行上电自检时,模块显示SRX5400和SRX5800设备的以下状态输出:
注意:该模块实现在批准的操作模式下未使用的加密库和算法。

当开机自检失败时,模块显示SRX5400和SRX5800设备的以下状态输出: