Cisco Cisco AnyConnect Secure Mobility Client v4.x Administrator's Guide
AnyConnect 中的 FIPS 功能
网络访问管理器模块
核心 VPN 模块
功能
软件中有线流量加密的 802.1AE
(MACsec) 128 位密钥
(MACsec) 128 位密钥
(Windows)。
用于 IKEv2 负载加密和身份验证
的 128 位、192 位和 256 位密
钥。
的 128 位、192 位和 256 位密
钥。
ESP 数据包加密和身份验证。
对称加密和完整性的 AES-GCM
支持。
支持。
能够在基于 TLS 的 EAP 方法中
使用 SHA-2 证书。
使用 SHA-2 证书。
IKEv2 负载身份验证和 ESP 数据
包身份验证。 (Windows 7 或更
高版本和 Mac OS X 10.7 或更高
版本。)
包身份验证。 (Windows 7 或更
高版本和 Mac OS X 10.7 或更高
版本。)
哈希值算法的 SHA-2 支持,采
用 256/384/512 位的 SHA。
用 256/384/512 位的 SHA。
能够在基于 TLS 的 EAP 方法中
使用 ECDH (Windows)。
使用 ECDH (Windows)。
组 19、20 和 21 IKEv2 密钥交换
及 IKEv2 PFS。
及 IKEv2 PFS。
密钥交换的 ECDH 支持。
能够在基于 TLS 的 EAP 方法中
使用 ECDSA 证书。
使用 ECDSA 证书。
IKEv2 用户身份验证和服务器证
书验证。
书验证。
不适用
IPsecV3 应对 NULL 加密使用的
所有必需加密算法。
所有必需加密算法。
IKEv2 的 Diffie-Hellman 组 14 和
24。
DTLS 和 IKEv2 的 4096 位密钥
RSA 证书。
其他支持:
1
(1) 在 Linux 中,对 ECDSA 仅支持 AnyConnect 文件存储。 要向文件存储库添加证书,请参阅
2
(3) IPsecV3 还规定必须支持扩展序列号 (ESN),但 AnyConnect 不支持 ESN。
AnyConnect FIPS 要求
• Suite B 加密仅适用于 IKEv2/IPsec VPN 连接。
• 安全网关中需要 FIPS 和/或 Suite B 支持。 思科在 ASA 9.0 版及更高版本中提供 Suite B 功能,
在 ASA 8.4.1 版及更高版本中提供 FIPS 功能。
• ECDSA 证书要求:
• Digest(消解)强度必须大于或等于 Curve(曲线)强度。 例如,EC-384 密钥必须使用
SHA2-384 或更高版本。
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
198
在本地策略中启用 FIPS
AnyConnect 中的 FIPS 功能