Communications Infrastructure

保护思科多服务路由器和集成多业务路由器上的语音安全

思科系统公司®多服务路由器和集成多业务路由器系列的媒体验证和加密特性可确保语音会话不受窃听影响。

思科统一通信系统由语音和IP通信产品及应用组成,使机构能更高效地通信—帮助它们使业务流程流畅、立即获得适当的人员和资源的支持,并提高利润。思科统一通信系列是思科商业通信解决方案的一个重要组件,思科商业通信解决方案则是一个集成解决方案,适用于各种规模的企业,包括网络基础设施、安全和网络管理产品、无线连接、生命周期服务方式,以及灵活的部署和外包管理选择、最终用户和合作伙伴融资服务包,和第三方通信应用。

产品概述

企业目前正致力于运用IP通信降低运营开支、提高生产率,和简化网络管理。思科多服务路由器和集成多业务路由器产品包括从Cisco 1700系列到Cisco 3800系列的路由器平台,为要求最严格的企业环境提供了功能强大、可扩展的IP通信解决方案。

思科多服务路由器和集成多业务路由器都拥有丰富的语音安全特性,可为部署IP通信解决方案的企业提供高水平的安全保护。基于自防御网络模式的思科多层架构起始于网络自身,扩展至端点和应用。思科的SAFE蓝图则为保障企业网络的安全提供了最佳实践和工具的详细架构。

利用安全实时传输协议(SRTP)实施的媒体加密技术可加密语音对话,使获得语音域接入权的内部或外部窃听者无法了解其含义,从而提供了保护功能。专门为语音分组设计的SRTP支持AES加密算法,它是一种IETF RFC 3711标准。

思科路由器的媒体加密技术与Cisco Unified CallManager软件、Cisco Unified IP 电话的媒体加密特性相结合,可以充分保障网关到网关呼叫和IP电话到网关呼叫的安全性。因而,可以根据媒体被终结的网关接口类型,提供安全的模拟电话呼叫、传真呼叫或IP电话和网关之间的呼叫。借助传输层安全(TLS)技术,Cisco  Unified CallManager 生成的语音加密密钥可以通过加密信令路径安全地发送到Cisco Unified IP电话,以及通过IP安全(IPSec)受保护链路安全地发送至网关。

从Cisco IOS® 软件12.3(11)T2版本开始,通过升级至Advanced Enterprise Services和Advanced IP Services IOS软件特性集,可在路由器上提供媒体加密特性。PVDM2、EVM-HD、NM-HD-AIM-VOICE和NM-HDV2语音网关网络模块的数字信号处理模块(DSP)都提供了上述特性。

特性表

表1列举了媒体验证和加密解决方案的具体信息。

表 1  特性表
验证和加密特性
  • 利用SRTP实施语音RTP信息流的媒体加密
  • 利用安全的RTCP进行RTP控制协议(RTCP)信息交换
  • 安全端点和不安全端点间呼叫的SRTP到RTP 回退
  • WAN故障转换过程以Cisco Unified SRST模式支持安全呼叫
  • 利用SRTP对呼叫进行媒体加密,支持压缩RTP (CRTP)
验证和加密算法
  • 支持AES-128加密算法
  • 支持HMAC安全散列验证算法 (SHA 1)
信令验证和加密特性
  • 网关到Cisco Unified CallManager的信令和加密将IPSec用于媒体网关控制协议(MGCP)和H.323网关
  • IP电话到Cisco Unified SRST路由器的信令和加密采用TLS (传输层安全)
协议支持
  • MGCP 0.1 (利用Cisco Unified CallManager支持MGCP网关)
  • H.323 (在H.323网关和IPIP网关上支持;可选择Cisco Unified CallManager 互操作)
  • SRST模式的SCCP (Cisco Unified IP电话)
模块支持
  • PVDM模块:PVDM2-8、PVDM2-16、PVDM2-32、PVDM2-48、 PVDM2-64
  • 模拟语音模块:EVM-HD (带PVDM)、NM-HD-1V、NM-HD-2V、 NM-HD-2VE
  • 数字语音模块:NM-HDV2、NM-HDV2-1T1/E1、NM-HDV2-2T1/E1、 NM-HDV (所有版本)、 AIM-VOICE-30、AIM-ATM-VOICE-30
编译码器支持
  • G.711、G.729A和G.729

应用

思科多服务路由器和集成多业务路由器的媒体验证和加密功能与Cisco Unifed IP电话和Cisco Unified CallManager上的媒体加密功能相结合,为WAN或LAN的IP通信提供了一个高度安全的环境。如图1所示,SRTP被用于加密分支机构A中语音网关网络模块上的语音呼叫,提供了从模拟电话到模拟电话,或传真机到传真机的机构内安全呼叫功能。同样地,从时分多路复用(TDM)终端或分支机构A的模拟电话到总部的Cisco Unified IP 电话间也实现了安全呼叫。分支机构A的网关和Cisco Unified CallManager 间的信令也通过IPSec获得了安全保护,而总部IP电话和Cisco Unified CallManager 间的信令则利用TLS保障安全。

图 1. 媒体验证和加密

媒体验证和加密

关键特性和优势

媒体验证和加密

当前,媒体加密技术为Cisco Unified IP电话间的语音呼叫提供了端到端加密功能。思科路由器提供的媒体加密功能保障了IP电话到网关和网关到网关呼叫的安全。现在,呼叫方可以利用基于IETF RFC3711标准的SRTP实现到PSTN网关的呼叫加密。SRTP仅加密语音分组的负载,而不会添加额外的加密报头。因此,SRTP加密的语音分组几乎与RTP语音分组没有什么差别,所以,可以直接支持服务质量 (QoS)和压缩RTP等特性,无需进行额外的开发或分组操作。另外,SRTP采用了AES加密标准所支持的最大实际密钥,提高了安全性。由于每次呼叫都生成语音加密密钥,因而提供了更高级的安全保护功能。媒体验证还可对呼叫的加密设备进行身份验证。

采用SRTP的媒体加密技术适于提供语音保密和LAN保密,以防范内部威胁。此外,借助为数据部署的VPN基础设施,也可在IP WAN或互联网上提供媒体加密。

信令验证和加密

网关和Cisco Unified CallManager 间的信令验证和加密功能由IPSec提供保护,因而确保了双音多频 (DTMF) 数字、密码、PIN和语音加密密钥等信令信息的安全。它支持Cisco IOS软件中基于软件的IPSec,和采用AIM-VPN模块的基于硬件的IPSec。

加密呼叫的可扩展性

SRTP媒体加密在DSP模块而非路由器CPU上执行。因此支持高效可扩展性,如增加与DSP相连的语音网关接口数量,或增加集成多业务路由器等平台上集成的DSP数量,从而增加了可用于安全呼叫的DSP数量。

有效的延迟优化和通道容量影响

加密呼叫不会造成呼叫建立延迟,因为密钥交换在正常的MGCP呼叫设置中即已完成,无需添加额外的信息。由于SRTP媒体加密在DSP中完成,而非由路由器CPU或另一种处理完整语音分组的独立加密引擎完成,因此也不会造成语音媒体延迟。

在G.729和G.729a模式下,加密呼叫对通道容量没有任何影响,而G.711模式也将影响降至了最低限度 (表2)。

表2 每种DSP的通道影响(以PVDM2为例)
编译码器 常规语音呼叫/DSP 加密语音呼叫/DSP
G.711 16个呼叫 10 个呼叫
G.729a 8 个呼叫 8 个呼叫
G.729 6 个呼叫 6 个呼叫

管理特性

借助命令行界面(CLI),在思科路由器上配置媒体验证和加密十分简便。另外,思科IP电话上的锁定图标指示灯等特性也为到支持网关的呼叫提供了直观的可视加密确认信息。如果呼叫途经的设备不支持媒体加密或安全性被破坏,锁定图标就会消失。CLI命令还可用于确认加密呼叫并提供其详情,也可用于调试呼叫。

Cisco Unified SRST模式下的安全性

当与Cisco Unified CallManager的连接丢失时, Cisco Unified SRST可提供呼叫处理冗余功能。从Cisco IOS软件12.3(14)T版本开始, Cisco Unified SRST模式也支持媒体验证和加密,当WAN链路或Cisco Unified CallManager发生故障时,可为远程分支机构提供呼叫安全保障。WAN链路或Cisco Unified CallManager恢复后,Cisco Unified CallManager重新开始执行安全呼叫处理功能。Cisco Unified SRST路由器到IP电话的信令利用TLS技术加密。

SRTP和IPSec VPN

SRTP和IPSec均为VPN补充技术。主要差别在于SRTP可以提供端到端(即IP电话到IP电话)加密,而IPSec VPN则为一种基于隧道的路由器到路由器加密技术。另外,SRTP仅加密语音分组,而IPSec VPN隧道可以传输数据、语音和视频 (称为V3PN)。这意味着SRTP可以利用IPSec VPN为语音流量添加额外的保护功能。

对拥有可信WAN网络的大、中、小型企业而言, SRTP可用于端到端地加密该网络的语音。但是,大多数企业都是通过互联网或电信运营商管理的WAN开展业务。因为WAN不一定安全,所以分支机构间使用一条VPN隧道来安全传输数据。在用于数据传输的IPSec VPN网络中, SRTP可为WAN提供语音安全保障,如图2所示。

图2  安全的RTP和V3PN

 安全的RTP和V3PN [删除三个 “(i)”]

特性可用性

表 3  特性可用性
协议/特性支持 平台支持(带表4中的支持模块) 版本
MGCP网关(MGCP 0.1) Cisco 2600XM, 2691, 3660, 3725和3745多服务平台
Cisco 2811, 2821, 2851, 3825和3845集成多业务路由器
Cisco VG224模拟电话网关
Cisco IOS软件12.3(11)T2版本和Cisco Unified CallManager 4.1
H.323网关和IPIP网关 Cisco 2600XM, 2691, 3725和3745多服务平台
Cisco 2811, 2821, 2851, 3825和3845集成多业务路由器
Cisco VG224模拟电话网关
Cisco IAD 2430系列集成接入设备
在流直通和流绕行模式下都支持IPIP网关
Cisco IOS软件12.4(6)T版本
支持与Cisco Unified CallManager 5.0互操作,但为可选项
Cisco Unified SRST 模式下的SCCP IP电话 Cisco 2600XM, 2691, 3660, 3725和3745多服务平台
Cisco 2811, 2821, 2851, 3825和3845集成多业务路由器
Cisco IOS软件12.3(14)T版本和Cisco Unified CallManager 4.1

模块可用性

表 4  模块可用性
模块支持 平台支持 版本
NM-HD-1V, NM-HD-2V, NM-HD-2VE Cisco 2600XM, 2691, 3660, 3725和3745 多服务平台
Cisco 2811, 2821, 2851, 3825和3845集成多业务路由器
Cisco IOS软件12.3(11)T2 版本
NM-HDV2, NM-HDV2-1T1/E1, NM-HDV2-2T1/E1 Cisco 2600XM, 2691, 3725和3745多服务平台
Cisco 2811, 2821, 2851, 3825和3845集成多业务路由器
Cisco IOS软件12.3(11)T2版本
PVDM2-8, PVDM2-16, PVDM2-32, PVDM2-48, PVDM2-64 * Cisco 2801, 2811, 2821, 2851, 3825和3845集成多业务路由器 Cisco IOS 软件12.3(11)T2版本—除2801外的所有平台
Cisco IOS软件12.3(14)T版本—2801平台
EVM-HD Cisco 2821, 2851, 3825和3845 集成多业务路由器 Cisco IOS软件12.3(11)T2版本和 Cisco Unified CallManager 4.1
NM-HDV (包括所有捆绑类型) Cisco 2600XM, 2691, 3725和3745多服务平台
Cisco 2811, 2821, 2851, 3825和3845集成多业务路由器
Cisco IOS软件12.3(14)T版本 和 Cisco Unified CallManager 4.1
AIM-VOICE-30, AIM-ATM-VOICE-30, NM-HDA Cisco 2600XM, 2691, 3725和3745多服务平台 Cisco IOS 软件12.3(6)T版本

* PVDM2分组/语音DSP模块可与Cisco 2801、2811、2821和2851集成多业务路由器的板载VIC/VWIC共用,还可与Cisco 2821、2851、3825和3845集成多业务路由器支持的高密度模拟和数字扩展模块(EVM-HD)共用。

注:思科多服务路由器和集成多业务路由器上的语音网关模块可与支持媒体加密的Cisco  Unified IP电话7940G、7960G和7970G互操作。Cisco Unified IP电话7970G借助Cisco Unified CallManager 4.0 版本支持媒体加密,而Cisco Unified IP 电话7960G和7940G则使用Cisco Unified CallManager 4.1版本来支持媒体加密。

思科统一通信服务和支持

思科系统公司及其合作伙伴利用思科生命周期服务方式,提供了广泛的端到端服务产品系列。这些服务采用了先进成熟的部署、运行和优化IP通信解决方案的方法。例如,前期规划和设计服务可帮助你达成符合要求严格的部署日程安排,并最大限度地降低对网络的干扰。运行服务则可通过专家技术支持,有效降低通信中断的风险。而优化服务能提高解决方案性能,以实现出色运行。思科及其合作伙伴提供了系统级服务和支持方式,来帮助您创建和维护永续、融合的网络,以满足您的业务需求。

总结

媒体验证和加密技术为部署IP通信的大、中、小型企业提供了一个额外的安全保护层。借助基于标准的加密技术,可保护终止于TDM、模拟语音网关端口或Cisco Unified IP电话的语音会话,使其在LAN或WAN上都可免遭窃听。

产品兼容性

表 5  产品兼容性
产品兼容性
  • Cisco 2600XM, 2691, 3725和3745多服务平台
  • Cisco 2811, 2821, 2851, 3825和3845集成多业务路由器
  • Cisco VG224模拟电话网关
  • Cisco IAD 2430系列集成接入设备
  • Cisco Unified CallManager 4.1,用于MCGP和SCCP (Cisco Unified SRST模式)
  • Cisco Unified CallManager 5.0 (H.323)
软件兼容性
  • Advanced IP Services镜像
  • Advanced Enterprise Services镜像
协议 MGCP 0.1, H.323, SCCP (SRST模式)

联系我们