思科系统公司®多服务路由器和集成多业务路由器系列的媒体验证和加密特性可确保语音会话不受窃听影响。
思科统一通信系统由语音和ip通信产品及应用组成,使机构能更高效地通信—帮助它们使业务流程流畅、立即获得适当的人员和资源的支持,并提高利润。思科统一通信系列是思科商业通信解决方案的一个重要组件,思科商业通信解决方案则是一个集成解决方案,适用于各种规模的企业,包括网络基础设施、安全和网络治理产品、无线连接、生命周期服务方式,以及灵活的部署和外包治理选择、最终用户和合作伙伴融资服务包,和第三方通信应用。
产品概述
企业目前正致力于运用IP通信降低运营开支、提高生产率,和简化网络治理。思科多服务路由器和集成多业务路由器产品包括从Cisco 1700系列到Cisco 3800系列的路由器平台,为要求最严格的企业环境提供了功能强大、可扩展的IP通信解决方案。
思科多服务路由器和集成多业务路由器都拥有丰富的语音安全特性,可为部署IP通信解决方案的企业提供高水平的安全保护。基于自防御网络模式的思科多层架构起始于网络自身,扩展至端点和应用。思科的SAFE蓝图则为保障企业网络的安全提供了最佳实践和工具的具体架构。
利用安全实时传输协议(SRTP)实施的媒体加密技术可加密语音对话,使获得语音域接入权的内部或外部窃听者无法了解其含义,从而提供了保护功能。专门为语音分组设计的SRTP支持AES加密算法,它是一种IETF RFC 3711标准。
思科路由器的媒体加密技术与Cisco Unified CallManager软件、Cisco Unified IP 电话的媒体加密特性相结合,可以充分保障网关到网关呼叫和IP电话到网关呼叫的安全性。因而,可以根据媒体被终结的网关接口类型,提供安全的模拟电话呼叫、传真呼叫或IP电话和网关之间的呼叫。借助传输层安全(TLS)技术,Cisco Unified CallManager 生成的语音加密密钥可以通过加密信令路径安全地发送到Cisco Unified IP电话,以及通过IP安全(IPSec)受保护链路安全地发送至网关。
从Cisco IOS® 软件12.3(11)T2版本开始,通过升级至Advanced EnterPRise Services和Advanced IP Services IOS软件特性集,可在路由器上提供媒体加密特性。PVDM2、EVM-HD、NM-HD-AIM-VOICE和NM-HDV2语音网关网络模块的数字信号处理模块(DSP)都提供了上述特性。
特性表
表1列举了媒体验证和加密解决方案的具体信息。
应用
思科多服务路由器和集成多业务路由器的媒体验证和加密功能与Cisco Unifed IP电话和Cisco Unified CallManager上的媒体加密功能相结合,为WAN或LAN的IP通信提供了一个高度安全的环境。如图1所示,SRTP被用于加密分支机构A中语音网关网络模块上的语音呼叫,提供了从模拟电话到模拟电话,或传真机到传真机的机构内安全呼叫功能。同样地,从时分多路复用(TDM)终端或分支机构A的模拟电话到总部的Cisco Unified IP 电话间也实现了安全呼叫。分支机构A的网关和Cisco Unified CallManager 间的信令也通过IPSec获得了安全保护,而总部IP电话和Cisco Unified CallManager 间的信令则利用TLS保障安全。
图 1. 媒体验证和加密
要害特性和优势
媒体验证和加密
当前,媒体加密技术为Cisco Unified IP电话间的语音呼叫提供了端到端加密功能。思科路由器提供的媒体加密功能保障了IP电话到网关和网关到网关呼叫的安全。现在,呼叫方可以利用基于IETF RFC3711标准的SRTP实现到PSTN网关的呼叫加密。SRTP仅加密语音分组的负载,而不会添加额外的加密报头。因此,SRTP加密的语音分组几乎与RTP语音分组没有什么差别,所以,可以直接支持服务质量 (QoS)和压缩RTP等特性,无需进行额外的开发或分组操作。另外,SRTP采用了AES加密标准所支持的最大实际密钥,提高了安全性。由于每次呼叫都生成语音加密密钥,因而提供了更高级的安全保护功能。媒体验证还可对呼叫的加密设备进行身份验证。
采用SRTP的媒体加密技术适于提供语音保密和LAN保密,以防范内部威胁。此外,借助为数据部署的VPN基础设施,也可在IP WAN或互联网上提供媒体加密。
信令验证和加密
网关和Cisco Unified CallManager 间的信令验证和加密功能由IPSec提供保护,因而确保了双音多频 (DTMF) 数字、密码、PIN和语音加密密钥等信令信息的安全。它支持Cisco IOS软件中基于软件的IPSec,和采用AIM-VPN模块的基于硬件的IPSec。
加密呼叫的可扩展性
SRTP媒体加密在DSP模块而非路由器CPU上执行。因此支持高效可扩展性,如增加与DSP相连的语音网关接口数量,或增加集成多业务路由器等平台上集成的DSP数量,从而增加了可用于安全呼叫的DSP数量。
有效的延迟优化和通道容量影响
加密呼叫不会造成呼叫建立延迟,因为密钥交换在正常的MGCP呼叫设置中即已完成,无需添加额外的信息。由于SRTP媒体加密在DSP中完成,而非由路由器CPU或另一种处理完整语音分组的独立加密引擎完成,因此也不会造成语音媒体延迟。
在G.729和G.729a模式下,加密呼叫对通道容量没有任何影响,而G.711模式也将影响降至了最低限度 。
治理特性
借助命令行界面(CLI),在思科路由器上配置媒体验证和加密十分简便。另外,思科IP电话上的锁定图标指示灯等特性也为到支持网关的呼叫提供了直观的可视加密确认信息。假如呼叫途经的设备不支持媒体加密或安全性被破坏,锁定图标就会消失。CLI命令还可用于确认加密呼叫并提供其详情,也可用于调试呼叫。
Cisco Unified SRST模式下的安全性
当与Cisco Unified CallManager的连接丢失时, Cisco Unified SRST可提供呼叫处理冗余功能。从Cisco IOS软件12.3(14)T版本开始, Cisco Unified SRST模式也支持媒体验证和加密,当WAN链路或Cisco Unified CallManager发生故障时,可为远程分支机构提供呼叫安全保障。WAN链路或Cisco Unified CallManager恢复后,Cisco Unified CallManager重新开始执行安全呼叫处理功能。Cisco Unified SRST路由器到IP电话的信令利用TLS技术加密。
SRTP和IPSec VPN
SRTP和IPSec均为VPN补充技术。主要差别在于SRTP可以提供端到端(即IP电话到IP电话)加密,而IPSec VPN则为一种基于隧道的路由器到路由器加密技术。另外,SRTP仅加密语音分组,而IPSec VPN隧道可以传输数据、语音和视频 (称为V3PN)。这意味着SRTP可以利用IPSec VPN为语音流量添加额外的保护功能。
对拥有可信WAN网络的大、中、小型企业而言, SRTP可用于端到端地加密该网络的语音。但是,大多数企业都是通过互联网或电信运营商治理的WAN开展业务。因为WAN不一定安全,所以分支机构间使用一条VPN隧道来安全传输数据。在用于数据传输的IPSec VPN网络中, SRTP可为WAN提供语音安全保障,如图2所示。
图2 安全的RTP和V3PN
特性可用性
表 3 特性可用性协议/特性支持 平台支持(带表4中的支持模块) 版本MGCP网关(MGCP 0.1)Cisco 2600XM, 2691, 3660, 3725和3745多服务平台
模块可用性
* PVDM2分组/语音DSP模块可与Cisco 2801、2811、2821和2851集成多业务路由器的板载VIC/VWIC共用,还可与Cisco 2821、2851、3825和3845集成多业务路由器支持的高密度模拟和数字扩展模块(EVM-HD)共用。
注:思科多服务路由器和集成多业务路由器上的语音网关模块可与支持媒体加密的Cisco Unified IP电话7940G、7960G和7970G互操作。Cisco Unified IP电话7970G借助Cisco Unified CallManager 4.0 版本支持媒体加密,而Cisco Unified IP 电话7960G和7940G则使用Cisco Unified CallManager 4.1版本来支持媒体加密。
思科统一通信服务和支持
思科系统公司及其合作伙伴利用思科生命周期服务方式,提供了广泛的端到端服务产品系列。这些服务采用了先进成熟的部署、运行和优化IP通信解决方案的方法。例如,前期规划和设计服务可帮助你达成符合要求严格的部署日程安排,并最大限度地降低对网络的干扰。运行服务则可通过专家技术支持,有效降低通信中断的风险。而优化服务能提高解决方案性能,以实现出色运行。思科及其合作伙伴提供了系统级服务和支持方式,来帮助您创建和维护永续、融合的网络,以满足您的业务需求。
总结
媒体验证和加密技术为部署IP通信的大、中、小型企业提供了一个额外的安全保护层。借助基于标准的加密技术,可保护终止于TDM、模拟语音网关端口或Cisco Unified IP电话的语音会话,使其在LAN或WAN上都可免遭窃听。
产品兼容性
表 5 产品兼容性 产品兼容性新闻热点
疑难解答
