在 SuperCluster 上托管的加密应用程序依赖于 Oracle Solaris 的加密框架功能,该功能已针对 FIPS 140-2 级别 1 符合性进行了验证。Oracle Solaris 加密框架是 Oracle Solaris 的中央加密存储库,它提供了两个 FIPS 140 验证的模块,它们支持用户空间和内核级进程。这些库模块为应用程序提供加密、解密、散列、签名生成和验证、证书生成和验证以及消息验证功能。调用这些模块的用户级应用程序在 FIPS 140 模式下运行。
除 Oracle Solaris 加密框架之外,与 Oracle Solaris 捆绑在一起的 OpenSSL 对象模块也针对 FIPS 140-2 级别 1 符合性进行了验证,该模块支持基于安全 Shell 和 TLS 协议对应用程序进行加密。云服务提供商可选择在符合 FIPS 140 的模式下启用租户主机。在符合 FIPS 140 的模式下运行时,Oracle Solaris 和 OpenSSL(FIPS 140-2 提供者)会强制使用 FIPS 140 验证的加密算法。
另请参见(如果需要)启用以符合 FIPS-140 的模式运行 (Oracle ILOM)。
下表列出了 FIPS 认可的且 Oracle Solaris 在 SuperCluster M7 上支持的算法。
|
Oracle Solaris 提供了两个针对 FIPS 140-2 级别 1 进行了验证的加密算法提供者。
Oracle Solaris 的加密框架功能是 Oracle Solaris 系统上的中央加密存储库,它提供了两个 FIPS 140 模块。用户级模块为在用户空间中运行的应用程序提供加密,内核模块为内核级进程提供加密。这些库模块为应用程序提供加密、解密、散列、签名生成和验证、证书生成和验证以及消息验证功能。调用这些模块的用户级应用程序在 FIPS 140 模式下运行,例如 passwd 命令和 IKEv2。内核级使用者(例如 Kerberos 和 IPsec)使用专有 API 调用内核加密框架。
OpenSSL 对象模块为 SSH 和 Web 应用程序提供加密。OpenSSL 是安全套接字层 (Secure Sockets Layer, SSL) 和传输层安全 (Transport Layer Security, TLS) 协议的开源工具包,提供加密库。在 Oracle Solaris 中,SSH 和 Apache Web 服务器是 OpenSSL FIPS 140 模块的使用者。Oracle Solaris 11.2 随附 OpenSSL 的 FIPS 140 版本,该版本可供所有使用者使用,但是 Oracle Solaris 11.1 随附的版本只能由 Solaris SSH 使用。因为 FIPS 140-2 提供者模块占用大量 CPU,所以默认情况下不启用它们。作为管理员,您负责在 FIPS 140 模式下启用提供者并配置使用者。
有关在 Oracle Solaris 上启用 FIPS-140 提供者的更多信息,请参阅 "Securing the Oracle Solaris 11 Operating System"(确保 Oracle Solaris 11 操作系统安全)标题下名为《Using a FIPS 140 Enabled System in Oracle Solaris 11.2》(《在 Oracle Solaris 11.2 中使用支持 FIPS 140 的系统》)的文档,网址为:http://docs.oracle.com/cd/E36784_01。