目前思科接入路由器的應(yīng)用很廣泛，介質(zhì)驗(yàn)證和加密特性是思科接入路由器的特點(diǎn)之一，于是我研究了一下如何使用安全RTP的介質(zhì)驗(yàn)證和加密特性，在這里拿出來和大家分享一下，希望對(duì)大家有用。思科接入路由器提供的介質(zhì)驗(yàn)證和加密特性可防止竊聽端接在TDM或模擬話音網(wǎng)關(guān)端口上的話音會(huì)話。這些可靠、可擴(kuò)展的特性為LAN（局域網(wǎng)）或WAN（廣域網(wǎng)）上的IP通信提供了安全的環(huán)境。

產(chǎn)品概述

大企業(yè)的分支機(jī)構(gòu)和中小企業(yè)紛紛開展IP通信，以降低運(yùn)營成本、提高生產(chǎn)率并簡化網(wǎng)絡(luò)管理工作。從思科1700到思科3800平臺(tái)的廣泛的思科接入路由器專門用于為要求最苛刻的企業(yè)環(huán)境提供廣泛的、功能強(qiáng)大且可擴(kuò)展的IP話音通信解決方案。思科接入路由器提供了廣泛的話音安全特性，能夠?yàn)椴渴鹆诉@些IP通信解決方案的企業(yè)提供最高級(jí)別的安全保護(hù)。與其它廠商通過依賴逐步增強(qiáng)單點(diǎn)產(chǎn)品來保護(hù)通信解決方案各組件不同的是，思科基于自防御網(wǎng)絡(luò)計(jì)劃的多層解決方案以網(wǎng)絡(luò)本身作為起點(diǎn)，并一路擴(kuò)展到端點(diǎn)和應(yīng)用。這個(gè)全面的分層安全方法在業(yè)界首屈一指，無與倫比?？蛻艨蓞㈤啞瓹isco SAFE藍(lán)圖’，詳細(xì)了解最佳方法架構(gòu)和工具，以幫助保護(hù)網(wǎng)絡(luò)安全。

雖然一級(jí)防御是控制并防止訪問話音域，使用安全RTP（SRTP）的介質(zhì)加密可提供更高級(jí)別的保護(hù)。它加密話音會(huì)話，將其以難以破解的方式呈現(xiàn)在獲得話音域訪問權(quán)的內(nèi)外部黑客面前。SRTP特別設(shè)計(jì)用于話音分組，支持AES加密算法，并符合互聯(lián)網(wǎng)工程任務(wù)組(IETF) RFC 3711標(biāo)準(zhǔn)。使用RTP的介質(zhì)加密的帶寬效率高于IPSec。

思科接入路由器的介質(zhì)加密功能同時(shí)與思科IP電話上的Cisco CallManager和介質(zhì)加密特性兼容，以同時(shí)保護(hù)網(wǎng)關(guān)間呼叫一級(jí)MGCP模式的IP電話到網(wǎng)關(guān)的呼叫。這使客戶能夠在IP電話與網(wǎng)關(guān)間進(jìn)行安全的普通呼叫、模擬呼叫或傳真呼叫，取決于終端介質(zhì)的網(wǎng)關(guān)接口類型。由Cisco CallManager派生出的話音加密密鑰通過加密的信令路徑發(fā)送到TLS（傳輸層安全性）上的思科IP電話，或IPSec上的網(wǎng)關(guān)。

思科接入路由器上的介質(zhì)加密特性自IOS軟件V 12.3(第5代)T (IOS PI-5 版本)起開始提供，可升級(jí)到Advanced Enterprise Services和Advanced IP Services IOS軟件特性集。PVDM2、NM-HD和NM-HDV2 話音網(wǎng)關(guān)網(wǎng)絡(luò)模塊通過數(shù)字信號(hào)處理模塊（DSP）提供這些特性。

應(yīng)用

思科接入路由器的介質(zhì)驗(yàn)證和加密特性與思科IP電話和Cisco CallManager上的介質(zhì)加密特性結(jié)合在一起，可為整個(gè)WAN或LAN上的IP通信提供安全的環(huán)境。如下圖所示，SRTP用于加密分支機(jī)構(gòu)A中話音網(wǎng)絡(luò)模塊上的話音呼叫。這可在辦公室中提供模擬電話間或傳真機(jī)間的安全呼叫。同樣，用戶也可從分支機(jī)構(gòu)A中的時(shí)分復(fù)用（TDM）端點(diǎn)或模擬電話向位于總部的思科IP電話發(fā)出安全呼叫。分支機(jī)構(gòu)A中的網(wǎng)關(guān)與Cisco CallManager間的信令通過IPSec得到保護(hù)，而總部IP電話與Cisco CallManager間的信令則通過TLS得到保護(hù)。

介質(zhì)驗(yàn)證和加密

介質(zhì)驗(yàn)證目前為話音呼叫提供端到端的（從思科IP電話到思科IP電話）的加密。思科接入路由器的介質(zhì)加密特性使路由器添加了對(duì)IP電話到網(wǎng)關(guān)以及網(wǎng)關(guān)間安全呼叫的支持?？蛻衄F(xiàn)已能夠使用基于IETF RFC3711標(biāo)準(zhǔn)的安全RTP向PSTN網(wǎng)關(guān)發(fā)出加密呼叫。SRTP只加密話音分組的有效負(fù)荷，無需添加加密報(bào)頭。因此，SRTP加密的話音分組幾乎不能與RTP話音分組區(qū)分開來，從而允許支持QoS（服務(wù)質(zhì)量）和壓縮的RTP等特性，無需任何其他的開發(fā)或分組處理工作。此外，安全的RTP還使用密鑰規(guī)模更大的AES加密算法，以提供更高的安全性。話音加密密鑰按呼叫生成，確保了更高級(jí)別的安全保護(hù)。介質(zhì)驗(yàn)證功能還可驗(yàn)證加密呼叫的網(wǎng)關(guān)或IPT電話的身份。使用SRTP的介質(zhì)加密適用于LAN上的話音保護(hù)，防止內(nèi)部威脅。此外，介質(zhì)加密還可部署在IP WAN或互聯(lián)網(wǎng)上，使用用于數(shù)據(jù)的相同的VPN基礎(chǔ)設(shè)施。