思科系統公司®多服務路由器和集成多業務路由器系列的媒體驗證和加密特性可確保語音會話不受竊聽影響。

思科統一通信系統由語音和ip通信產品及應用組成，使機構能更高效地通信—幫助它們使業務流程流暢、立即獲得適當的人員和資源的支持，并提高利潤。思科統一通信系列是思科商業通信解決方案的一個重要組件，思科商業通信解決方案則是一個集成解決方案，適用于各種規模的企業，包括網絡基礎設施、安全和網絡治理產品、無線連接、生命周期服務方式，以及靈活的部署和外包治理選擇、最終用戶和合作伙伴融資服務包，和第三方通信應用。

產品概述

企業目前正致力于運用IP通信降低運營開支、提高生產率，和簡化網絡治理。思科多服務路由器和集成多業務路由器產品包括從Cisco 1700系列到Cisco 3800系列的路由器平臺，為要求最嚴格的企業環境提供了功能強大、可擴展的IP通信解決方案。

思科多服務路由器和集成多業務路由器都擁有豐富的語音安全特性，可為部署IP通信解決方案的企業提供高水平的安全保護?；谧苑烙W絡模式的思科多層架構起始于網絡自身，擴展至端點和應用。思科的SAFE藍圖則為保障企業網絡的安全提供了最佳實踐和工具的具體架構。

利用安全實時傳輸協議(SRTP)實施的媒體加密技術可加密語音對話，使獲得語音域接入權的內部或外部竊聽者無法了解其含義，從而提供了保護功能。專門為語音分組設計的SRTP支持AES加密算法，它是一種IETF RFC 3711標準。

思科路由器的媒體加密技術與Cisco Unified CallManager軟件、Cisco Unified IP 電話的媒體加密特性相結合，可以充分保障網關到網關呼叫和IP電話到網關呼叫的安全性。因而，可以根據媒體被終結的網關接口類型，提供安全的模擬電話呼叫、傳真呼叫或IP電話和網關之間的呼叫。借助傳輸層安全（TLS）技術，Cisco  Unified CallManager 生成的語音加密密鑰可以通過加密信令路徑安全地發送到Cisco Unified IP電話，以及通過IP安全（IPSec）受保護鏈路安全地發送至網關。

從Cisco IOS® 軟件12.3(11)T2版本開始，通過升級至Advanced EnterPRise Services和Advanced IP Services IOS軟件特性集，可在路由器上提供媒體加密特性。PVDM2、EVM-HD、NM-HD-AIM-VOICE和NM-HDV2語音網關網絡模塊的數字信號處理模塊（DSP）都提供了上述特性。

特性表

表1列舉了媒體驗證和加密解決方案的具體信息。

• 利用SRTP實施語音RTP信息流的媒體加密
• 利用安全的RTCP進行RTP控制協議(RTCP)信息交換
• 安全端點和不安全端點間呼叫的SRTP到RTP 回退
• WAN故障轉換過程以Cisco Unified SRST模式支持安全呼叫
• 利用SRTP對呼叫進行媒體加密，支持壓縮RTP (CRTP)

• 支持AES-128加密算法
• 支持HMAC安全散列驗證算法 (SHA 1)

• 網關到Cisco Unified CallManager的信令和加密將IPSec用于媒體網關控制協議(MGCP)和H.323網關
• IP電話到Cisco Unified SRST路由器的信令和加密采用TLS (傳輸層安全)

• MGCP 0.1 (利用Cisco Unified CallManager支持MGCP網關)
• H.323 (在H.323網關和IPIP網關上支持；可選擇Cisco Unified CallManager 互操作)
• SRST模式的SCCP (Cisco Unified IP電話)

• PVDM模塊：PVDM2-8、PVDM2-16、PVDM2-32、PVDM2-48、 PVDM2-64
• 模擬語音模塊：EVM-HD (帶PVDM)、NM-HD-1V、NM-HD-2V、 NM-HD-2VE
• 數字語音模塊：NM-HDV2、NM-HDV2-1T1/E1、NM-HDV2-2T1/E1、 NM-HDV (所有版本)、 AIM-VOICE-30、AIM-ATM-VOICE-30

• G.711、G.729A和G.729

應用

思科多服務路由器和集成多業務路由器的媒體驗證和加密功能與Cisco Unifed IP電話和Cisco Unified CallManager上的媒體加密功能相結合，為WAN或LAN的IP通信提供了一個高度安全的環境。如圖1所示，SRTP被用于加密分支機構A中語音網關網絡模塊上的語音呼叫，提供了從模擬電話到模擬電話，或傳真機到傳真機的機構內安全呼叫功能。同樣地，從時分多路復用（TDM）終端或分支機構A的模擬電話到總部的Cisco Unified IP 電話間也實現了安全呼叫。分支機構A的網關和Cisco Unified CallManager 間的信令也通過IPSec獲得了安全保護，而總部IP電話和Cisco Unified CallManager 間的信令則利用TLS保障安全。

圖 1. 媒體驗證和加密

要害特性和優勢

媒體驗證和加密

當前，媒體加密技術為Cisco Unified IP電話間的語音呼叫提供了端到端加密功能。思科路由器提供的媒體加密功能保障了IP電話到網關和網關到網關呼叫的安全?，F在，呼叫方可以利用基于IETF RFC3711標準的SRTP實現到PSTN網關的呼叫加密。SRTP僅加密語音分組的負載，而不會添加額外的加密報頭。因此，SRTP加密的語音分組幾乎與RTP語音分組沒有什么差別，所以，可以直接支持服務質量 (QoS)和壓縮RTP等特性，無需進行額外的開發或分組操作。另外，SRTP采用了AES加密標準所支持的最大實際密鑰，提高了安全性。由于每次呼叫都生成語音加密密鑰，因而提供了更高級的安全保護功能。媒體驗證還可對呼叫的加密設備進行身份驗證。

采用SRTP的媒體加密技術適于提供語音保密和LAN保密，以防范內部威脅。此外，借助為數據部署的VPN基礎設施，也可在IP WAN或互聯網上提供媒體加密。

信令驗證和加密

網關和Cisco Unified CallManager 間的信令驗證和加密功能由IPSec提供保護，因而確保了雙音多頻 (DTMF) 數字、密碼、PIN和語音加密密鑰等信令信息的安全。它支持Cisco IOS軟件中基于軟件的IPSec，和采用AIM-VPN模塊的基于硬件的IPSec。

加密呼叫的可擴展性

SRTP媒體加密在DSP模塊而非路由器CPU上執行。因此支持高效可擴展性，如增加與DSP相連的語音網關接口數量，或增加集成多業務路由器等平臺上集成的DSP數量，從而增加了可用于安全呼叫的DSP數量。

有效的延遲優化和通道容量影響

加密呼叫不會造成呼叫建立延遲，因為密鑰交換在正常的MGCP呼叫設置中即已完成，無需添加額外的信息。由于SRTP媒體加密在DSP中完成，而非由路由器CPU或另一種處理完整語音分組的獨立加密引擎完成，因此也不會造成語音媒體延遲。

在G.729和G.729a模式下，加密呼叫對通道容量沒有任何影響，而G.711模式也將影響降至了最低限度 。

治理特性

借助命令行界面(CLI)，在思科路由器上配置媒體驗證和加密十分簡便。另外，思科IP電話上的鎖定圖標指示燈等特性也為到支持網關的呼叫提供了直觀的可視加密確認信息。假如呼叫途經的設備不支持媒體加密或安全性被破壞，鎖定圖標就會消失。CLI命令還可用于確認加密呼叫并提供其詳情，也可用于調試呼叫。

Cisco Unified SRST模式下的安全性

當與Cisco Unified CallManager的連接丟失時， Cisco Unified SRST可提供呼叫處理冗余功能。從Cisco IOS軟件12.3(14)T版本開始， Cisco Unified SRST模式也支持媒體驗證和加密，當WAN鏈路或Cisco Unified CallManager發生故障時，可為遠程分支機構提供呼叫安全保障。WAN鏈路或Cisco Unified CallManager恢復后，Cisco Unified CallManager重新開始執行安全呼叫處理功能。Cisco Unified SRST路由器到IP電話的信令利用TLS技術加密。

SRTP和IPSec VPN

SRTP和IPSec均為VPN補充技術。主要差別在于SRTP可以提供端到端（即IP電話到IP電話）加密，而IPSec VPN則為一種基于隧道的路由器到路由器加密技術。另外，SRTP僅加密語音分組，而IPSec VPN隧道可以傳輸數據、語音和視頻 (稱為V3PN)。這意味著SRTP可以利用IPSec VPN為語音流量添加額外的保護功能。

對擁有可信WAN網絡的大、中、小型企業而言， SRTP可用于端到端地加密該網絡的語音。但是，大多數企業都是通過互聯網或電信運營商治理的WAN開展業務。因為WAN不一定安全，所以分支機構間使用一條VPN隧道來安全傳輸數據。在用于數據傳輸的IPSec VPN網絡中， SRTP可為WAN提供語音安全保障，如圖2所示。

圖2  安全的RTP和V3PN

特性可用性

模塊可用性

* PVDM2分組/語音DSP模塊可與Cisco 2801、2811、2821和2851集成多業務路由器的板載VIC/VWIC共用，還可與Cisco 2821、2851、3825和3845集成多業務路由器支持的高密度模擬和數字擴展模塊(EVM-HD)共用。

注：思科多服務路由器和集成多業務路由器上的語音網關模塊可與支持媒體加密的Cisco  Unified IP電話7940G、7960G和7970G互操作。Cisco Unified IP電話7970G借助Cisco Unified CallManager 4.0 版本支持媒體加密，而Cisco Unified IP 電話7960G和7940G則使用Cisco Unified CallManager 4.1版本來支持媒體加密。

思科統一通信服務和支持

思科系統公司及其合作伙伴利用思科生命周期服務方式，提供了廣泛的端到端服務產品系列。這些服務采用了先進成熟的部署、運行和優化IP通信解決方案的方法。例如，前期規劃和設計服務可幫助你達成符合要求嚴格的部署日程安排，并最大限度地降低對網絡的干擾。運行服務則可通過專家技術支持，有效降低通信中斷的風險。而優化服務能提高解決方案性能，以實現出色運行。思科及其合作伙伴提供了系統級服務和支持方式，來幫助您創建和維護永續、融合的網絡，以滿足您的業務需求。

總結

媒體驗證和加密技術為部署IP通信的大、中、小型企業提供了一個額外的安全保護層。借助基于標準的加密技術，可保護終止于TDM、模擬語音網關端口或Cisco Unified IP電話的語音會話，使其在LAN或WAN上都可免遭竊聽。

產品兼容性

• Cisco 2600XM, 2691, 3725和3745多服務平臺
• Cisco 2811, 2821, 2851, 3825和3845集成多業務路由器
• Cisco VG224模擬電話網關
• Cisco IAD 2430系列集成接入設備
• Cisco Unified CallManager 4.1，用于MCGP和SCCP (Cisco Unified SRST模式)
• Cisco Unified CallManager 5.0 (H.323)

• Advanced IP Services鏡像
• Advanced Enterprise Services鏡像