目前思科接入路由器的應用很廣泛，介質驗證和加密特性是思科接入路由器的特點之一，于是我研究了一下如何使用安全RTP的介質驗證和加密特性，在這里拿出來和大家分享一下，希望對大家有用。思科接入路由器提供的介質驗證和加密特性可防止竊聽端接在TDM或模擬話音網關端口上的話音會話。這些可靠、可擴展的特性為LAN（局域網）或WAN（廣域網）上的IP通信提供了安全的環境。

產品概述

大企業的分支機構和中小企業紛紛開展IP通信，以降低運營成本、提高生產率并簡化網絡管理工作。從思科1700到思科3800平臺的廣泛的思科接入路由器專門用于為要求最苛刻的企業環境提供廣泛的、功能強大且可擴展的IP話音通信解決方案。思科接入路由器提供了廣泛的話音安全特性，能夠為部署了這些IP通信解決方案的企業提供最高級別的安全保護。與其它廠商通過依賴逐步增強單點產品來保護通信解決方案各組件不同的是，思科基于自防御網絡計劃的多層解決方案以網絡本身作為起點，并一路擴展到端點和應用。這個全面的分層安全方法在業界首屈一指，無與倫比。客戶可參閱‘Cisco SAFE藍圖’，詳細了解最佳方法架構和工具，以幫助保護網絡安全。

雖然一級防御是控制并防止訪問話音域，使用安全RTP（SRTP）的介質加密可提供更高級別的保護。它加密話音會話，將其以難以破解的方式呈現在獲得話音域訪問權的內外部黑客面前。SRTP特別設計用于話音分組，支持AES加密算法，并符合互聯網工程任務組(IETF) RFC 3711標準。使用RTP的介質加密的帶寬效率高于IPSec。

思科接入路由器的介質加密功能同時與思科IP電話上的Cisco CallManager和介質加密特性兼容，以同時保護網關間呼叫一級MGCP模式的IP電話到網關的呼叫。這使客戶能夠在IP電話與網關間進行安全的普通呼叫、模擬呼叫或傳真呼叫，取決于終端介質的網關接口類型。由Cisco CallManager派生出的話音加密密鑰通過加密的信令路徑發送到TLS（傳輸層安全性）上的思科IP電話，或IPSec上的網關。

思科接入路由器上的介質加密特性自IOS軟件V 12.3(第5代)T (IOS PI-5 版本)起開始提供，可升級到Advanced Enterprise Services和Advanced IP Services IOS軟件特性集。PVDM2、NM-HD和NM-HDV2 話音網關網絡模塊通過數字信號處理模塊（DSP）提供這些特性。

應用

思科接入路由器的介質驗證和加密特性與思科IP電話和Cisco CallManager上的介質加密特性結合在一起，可為整個WAN或LAN上的IP通信提供安全的環境。如下圖所示，SRTP用于加密分支機構A中話音網絡模塊上的話音呼叫。這可在辦公室中提供模擬電話間或傳真機間的安全呼叫。同樣，用戶也可從分支機構A中的時分復用（TDM）端點或模擬電話向位于總部的思科IP電話發出安全呼叫。分支機構A中的網關與Cisco CallManager間的信令通過IPSec得到保護，而總部IP電話與Cisco CallManager間的信令則通過TLS得到保護。

介質驗證和加密

介質驗證目前為話音呼叫提供端到端的（從思科IP電話到思科IP電話）的加密。思科接入路由器的介質加密特性使路由器添加了對IP電話到網關以及網關間安全呼叫的支持。客戶現已能夠使用基于IETF RFC3711標準的安全RTP向PSTN網關發出加密呼叫。SRTP只加密話音分組的有效負荷，無需添加加密報頭。因此，SRTP加密的話音分組幾乎不能與RTP話音分組區分開來，從而允許支持QoS（服務質量）和壓縮的RTP等特性，無需任何其他的開發或分組處理工作。此外，安全的RTP還使用密鑰規模更大的AES加密算法，以提供更高的安全性。話音加密密鑰按呼叫生成，確保了更高級別的安全保護。介質驗證功能還可驗證加密呼叫的網關或IPT電話的身份。使用SRTP的介質加密適用于LAN上的話音保護，防止內部威脅。此外，介質加密還可部署在IP WAN或互聯網上，使用用于數據的相同的VPN基礎設施。