目前思科接入路由器的應用很廣泛，介質(zhì)驗證和加密特性是思科接入路由器的特點之一，于是我研究了一下如何使用安全RTP的介質(zhì)驗證和加密特性，在這里拿出來和大家分享一下，希望對大家有用。思科接入路由器提供的介質(zhì)驗證和加密特性可防止竊聽端接在TDM或模擬話音網(wǎng)關端口上的話音會話。這些可靠、可擴展的特性為LAN（局域網(wǎng)）或WAN（廣域網(wǎng)）上的IP通信提供了安全的環(huán)境。

產(chǎn)品概述

大企業(yè)的分支機構(gòu)和中小企業(yè)紛紛開展IP通信，以降低運營成本、提高生產(chǎn)率并簡化網(wǎng)絡管理工作。從思科1700到思科3800平臺的廣泛的思科接入路由器專門用于為要求最苛刻的企業(yè)環(huán)境提供廣泛的、功能強大且可擴展的IP話音通信解決方案。思科接入路由器提供了廣泛的話音安全特性，能夠為部署了這些IP通信解決方案的企業(yè)提供最高級別的安全保護。與其它廠商通過依賴逐步增強單點產(chǎn)品來保護通信解決方案各組件不同的是，思科基于自防御網(wǎng)絡計劃的多層解決方案以網(wǎng)絡本身作為起點，并一路擴展到端點和應用。這個全面的分層安全方法在業(yè)界首屈一指，無與倫比?？蛻艨蓞㈤啞瓹isco SAFE藍圖’，詳細了解最佳方法架構(gòu)和工具，以幫助保護網(wǎng)絡安全。

雖然一級防御是控制并防止訪問話音域，使用安全RTP（SRTP）的介質(zhì)加密可提供更高級別的保護。它加密話音會話，將其以難以破解的方式呈現(xiàn)在獲得話音域訪問權(quán)的內(nèi)外部黑客面前。SRTP特別設計用于話音分組，支持AES加密算法，并符合互聯(lián)網(wǎng)工程任務組(IETF) RFC 3711標準。使用RTP的介質(zhì)加密的帶寬效率高于IPSec。

思科接入路由器的介質(zhì)加密功能同時與思科IP電話上的Cisco CallManager和介質(zhì)加密特性兼容，以同時保護網(wǎng)關間呼叫一級MGCP模式的IP電話到網(wǎng)關的呼叫。這使客戶能夠在IP電話與網(wǎng)關間進行安全的普通呼叫、模擬呼叫或傳真呼叫，取決于終端介質(zhì)的網(wǎng)關接口類型。由Cisco CallManager派生出的話音加密密鑰通過加密的信令路徑發(fā)送到TLS（傳輸層安全性）上的思科IP電話，或IPSec上的網(wǎng)關。

思科接入路由器上的介質(zhì)加密特性自IOS軟件V 12.3(第5代)T (IOS PI-5 版本)起開始提供，可升級到Advanced Enterprise Services和Advanced IP Services IOS軟件特性集。PVDM2、NM-HD和NM-HDV2 話音網(wǎng)關網(wǎng)絡模塊通過數(shù)字信號處理模塊（DSP）提供這些特性。

應用

思科接入路由器的介質(zhì)驗證和加密特性與思科IP電話和Cisco CallManager上的介質(zhì)加密特性結(jié)合在一起，可為整個WAN或LAN上的IP通信提供安全的環(huán)境。如下圖所示，SRTP用于加密分支機構(gòu)A中話音網(wǎng)絡模塊上的話音呼叫。這可在辦公室中提供模擬電話間或傳真機間的安全呼叫。同樣，用戶也可從分支機構(gòu)A中的時分復用（TDM）端點或模擬電話向位于總部的思科IP電話發(fā)出安全呼叫。分支機構(gòu)A中的網(wǎng)關與Cisco CallManager間的信令通過IPSec得到保護，而總部IP電話與Cisco CallManager間的信令則通過TLS得到保護。

介質(zhì)驗證和加密

介質(zhì)驗證目前為話音呼叫提供端到端的（從思科IP電話到思科IP電話）的加密。思科接入路由器的介質(zhì)加密特性使路由器添加了對IP電話到網(wǎng)關以及網(wǎng)關間安全呼叫的支持。客戶現(xiàn)已能夠使用基于IETF RFC3711標準的安全RTP向PSTN網(wǎng)關發(fā)出加密呼叫。SRTP只加密話音分組的有效負荷，無需添加加密報頭。因此，SRTP加密的話音分組幾乎不能與RTP話音分組區(qū)分開來，從而允許支持QoS（服務質(zhì)量）和壓縮的RTP等特性，無需任何其他的開發(fā)或分組處理工作。此外，安全的RTP還使用密鑰規(guī)模更大的AES加密算法，以提供更高的安全性。話音加密密鑰按呼叫生成，確保了更高級別的安全保護。介質(zhì)驗證功能還可驗證加密呼叫的網(wǎng)關或IPT電話的身份。使用SRTP的介質(zhì)加密適用于LAN上的話音保護，防止內(nèi)部威脅。此外，介質(zhì)加密還可部署在IP WAN或互聯(lián)網(wǎng)上，使用用于數(shù)據(jù)的相同的VPN基礎設施。