集成式端到端的IP通信安全解决方案

来源：《思科技术透视》作者：出处：巧巧读书 2007-12-12 进入讨论组

访问地址 http://www.qqread.com/net-case/g791299808.html

思科 CallManager呼叫管理系统的整体安全架构总结

图2：思科CallManager呼叫管理系统安全整体架构

思科 CallManager 呼叫管理系统利用介质加密和信令加密提供安全连接。如果使用了媒体加密，IP电话液晶显示屏上将显示一个小图标，以表示安全呼叫状态。

128位先进加密标准（AES）媒体加密通过安全实时协议（SRTP）实施，这是对在IP电话环境中传输语音的协议的标准扩展。由于SRTP的延迟很低，增加加密后对通话质量几乎没有影响，用户几乎感觉不到有任何差别。

利用新型信用和身份管理特性，拨打加密电话既容易又安全。考虑到某些厂商推出的需要人工加密认证的电话可能被盗用，思科 CallManager 呼叫管理器及大部分思科IP电话都支持X.509第3版数字证书，即嵌入了加密密钥，自动完成通话加密过程。另外，该解决方案还支持第三方证书机构，以保护现有投资。利用数字证书提供的信用，用户可以绝对相信自己是在与适当的人通话。不仅如此，借助加密和安全密钥交换，还可以利用Message Digest 5（MD5）安全散列算法（SHA）签署和验证IP电话中的软件映像，以保证映像的合法性。在此之上，如果是在安全模式中，还可以利用传输层安全（TLS）或安全套接字层（SSL）3.0对IP电话系统中使用的信令加密，从而防止遭受中间人袭击，最终破坏系统的完整性。思科的IP通信系统将呼叫管理器、IP电话、会议桥接器、语音网关以及语音留言和统一消息等应用集成到安全的体系结构中，保证有意义的端到端加密。

所有的思科 CallManager 管理员和用户都以HTTPS（安全的HTTP）的形式访问Web页面。HTTPS提供服务器和用户端之间加密和解密的安全Web通信。Web服务器通过证书的方式对用户端进行认证。HTTPS通信的内容包括用户名和密码、系统的配置修改、系统的服务管理功能，以及用户端的快速拨号、呼叫转移等功能的配置。CallManager呼叫管理系统的目录服务也支持SSL安全通信，它提供用户数据（包括密码）到目录服务器的发送和接受的安全传送。

SRST（远程电话再生）支持安全的通信功能，SRST设备的证书通过COM Object接口恢复并增加到CallManager的数据库中。

思科安全代理（ CSA）在包括呼叫管理器、Unity统一消息和IP联络中心在内的思科IP通信产品中是免费捆绑提供的。利用CSA嵌入版能够提供更好的威胁防御，它通过在IP通信基础设施中添加异常入侵检测和策略控制实现建立思科自防御网络的观点。

作为新的发展方向，思科 IP通信的集成式网络安全将通过与数据网络安全功能的紧密配合提供全面的安全性、系统级保护、完整性和私密性。思科为IP通信解决方案制定的集成式自防御网络安全计划不但能够保护现有的思科AVVID基础设施和IP通信解决方案投资，还能帮助客户将安全性提高到TDM PBX系统无法实现的水平，同时在保护IP通信资源的同时，节省运作开支，提高企业的生产效率。

详情垂询

如果想详细了解思科 IP通信和思科话音解决方案请访问： http://www.cisco.com/en/US/partner/products/sw/voicesw/index.html ；如果想详细阅读思科SAFE蓝图的白皮书或者想了解思科V3PN话音和视频VPN解决方案请访问： www.cisco.com/go/safe

另外思科和某些思科合作伙伴还提供全套设计、实施、咨询和外包服务以帮助企业建立和运行安全的 IP通信系统和网络，欲知详情请访问： www.cisco.com/go/securitypartners 或 www.cisco.com/go/avvidpartners