用于保护装置的算法、密码套件和协议

HPE OneView 提供了将管理装置配置为符合联邦信息处理标准 FIPS-140-2 (FIPS 140-2) 和美国国家商用安全算法 (CNSA) 标准或继续使用传统加密模式的选项。在 FIPS 140-2 和 CNSA 模式下,装置分别将协议版本、密码套件和数字证书强度限制为符合 FIPS 140-2 和 CNSA 标准的设置。

关于加密模式设置提供详细信息。

注意:

启用 FIPS 可能会禁用与增强安全模式不兼容的旧 API。

符合 CNSA 的密码套件是符合 FIPS 的密码套件的子集,后者满足比 CNSA 规范更严格的安全要求。

HPE OneView 使用以下经过 FIPS 140-2 验证的模块进行加密操作:
  • Hewlett Packard Enterprise SSL 加密模块(证书编号 3018)

  • Hewlett Packard Enterprise NSS 加密模块(证书编号 2908)

  • Hewlett Packard Enterprise Libgcrypt 加密模块(证书编号 2915)

  • Hewlett Packard Enterprise Java 加密模块(证书编号 3138)

HPE OneView 使用以下依赖经过 FIPS 验证的加密模块的通信协议和服务:
  • 传输层安全性 (TLS) 通信
    • OpenSSL、Apache 和 Curl:使用经过 FIPS 140-2 验证的底层 OpenSSL 加密模块

    • Java:使用经过 FIPS 140-2 验证的底层 Java 加密模块

    • RabbitMQ:使用经过 FIPS 140-2 验证的底层 OpenSSL 加密模块

    • Firefox:使用经过 FIPS 140-2 验证的底层 NSS 加密模块

    • 数字签名算法:使用经过 FIPS 140-2 验证的底层 OpenSSL 和 Java 加密模块

    • 公钥算法:使用经过 FIPS 140-2 验证的底层 OpenSSL 和 Java 加密模块

  • SNMP 通信:
    • 服务器管理:使用 SNMP4J 库进行 SNMP 通信。SNMP4J 使用经过 FIPS 140-2 验证的 Java 加密扩展 (JCE) 提供的标准 JCE 哈希和加密算法。

    • 互连模块管理:使用经过 FIPS 140-2 验证的底层 OpenSSL 加密模块

  • SSH 通信
    • OpenSSH:使用经过 FIPS 140-2 验证的底层 OpenSSL 加密模块

  • RPM 签名验证:使用经过 FIPS 140-2 验证的底层 Libgcrypt 加密模块

密码套件是一组算法,它们帮助确保使用 TLS 进行通信的网络连接安全可靠。密码套件通常包含的一组算法包括:密钥交换算法、批量加密算法和消息身份验证代码 (MAC) 算法。

本单元涵盖以下各项:

注意:

在 FIPS 140-2 模式下使用的密码套件是在传统模式下使用的符合 FIPS 140-2 模式的安全强度要求的密码套件的子集。此外,在 CNSA 模式下使用的密码套件是符合更严格的 CNSA 模式安全要求的 FIPS 140-2 模式密码套件的子集。即使在传统模式下,HPE OneView 也首选更安全的协议和密码套件。但是,根据设备、服务器或浏览器支持的协议和密码套件,设备允许在传统模式下与强度较低的协议或密码套件进行通信。

下面列出一些常用的加密算法及其执行的功能:
算法 功能
高级加密标准 (AES) 用于保护信息的对称分组加密
椭圆曲线 Diffie Hellman (ECDH) 密钥交换 用于建立密钥的非对称算法
椭圆曲线数字签名算法 (ECDSA) 用于验证数字签名的非对称算法
Diffie-Hellman (DH) 密钥交换 用于建立密钥的非对称算法
RSA 用于建立密钥和数字签名的非对称算法
安全哈希算法 (SHA) 用于计算信息的压缩表示形式的算法