Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
AnyConnect 中的 FIPS 功能
网络访问管理器模块
核心 VPN 模块
功能
软件中有线流量加密的 802.1AE
(MACsec) 的 128 位密钥
(MACsec) 的 128 位密钥
(Windows)。
用于 IKEv2 负载加密和身份验证
的 128 位、192 位和 256 位密
钥。
的 128 位、192 位和 256 位密
钥。
ESP 数据包加密和身份验证。
对称加密和完整性的 AES-GCM
支持。
支持。
能够在基于 TLS 的 EAP 方法中
使用 SHA-2 证书。
使用 SHA-2 证书。
IKEv2 负载身份验证和 ESP 数据
包身份验证。 (Windows 7 或更
高版本和 Mac OS X 10.7 或更高
版本。)
包身份验证。 (Windows 7 或更
高版本和 Mac OS X 10.7 或更高
版本。)
哈希值算法的 SHA-2 支持,采
用 256/384/512 位的 SHA。
用 256/384/512 位的 SHA。
能够在基于 TLS 的 EAP 方法中
使用 ECDH (Windows)。
使用 ECDH (Windows)。
组 19、20 和 21 IKEv2 密钥交换
及 IKEv2 PFS。
及 IKEv2 PFS。
密钥交换的 ECDH 支持。
能够在基于 TLS 的 EAP 方法中
使用 ECDSA 证书。
使用 ECDSA 证书。
IKEv2 用户身份验证和服务器证
书验证。
书验证。
不适用
IPsecV3 所需的所有加密算法预
期为空加密。
期为空加密。
IKEv2 的 Diffie-Hellman 组 14 和
24。
DTLS 和 IKEv2 的 4096 位密钥
RSA 证书。
其他支持
1
在 Linux 上,ECDSA 仅支持 AnyConnect 文件库。 要向文件存储库添加证书,请参阅
2
IPsecV3 还指定必须支持扩展序列号 (ESN),但是 AnyConnect 不支持 ESN。
AnyConnect FIPS 要求
• 套件 B 加密仅适用于 IKEv2/IPsec VPN 连接。
• 安全网关中需要 FIPS 和/或套件 B 支持。 思科在 ASA 9.0 版及更高版本中提供套件 B 功能,在
ASA 8.4.1 版及更高版本中提供 FIPS 功能。
• ECDSA 证书要求:
• 摘要强度必须大于或等于曲线强度。 例如,EC-384 密钥必须使用 SHA2-384 或更高版本。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
200
在本地策略中启用 FIPS
AnyConnect 中的 FIPS 功能