19-安全呼叫配置案例
本章节下载: 19-安全呼叫配置案例 (388.16 KB)
关键词: TLS/SRTP、MIXED、FULL、安全呼叫
摘 要: TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPS。RFC3711提出了一种对媒体流进行加密的方法,即通过对RTP负载的加密,成为SRTP流在通话者之间交互,达到安全通话的目的。本文主要介绍如何配置VCX进行安全呼叫。
缩略语:
缩略语 |
英文全名 |
中文解释 |
TLS |
Transport Layer Security |
传输层安全 |
SRTP |
Secure Real-time Transport Protocol |
安全的实时传输协议 |
VCX |
Voice Core exchange |
语音核心交换系统 |
目 录
TLS是基于传输层的安全保护协议,应用于保护上层协议,如HTTPS。
本项目即在VCX上使用TLS对SIP信令加密,使用SRTP对媒体加密,保护语音链路安全。
用户可以通过Phone Profile、可信节点来指定终端的安全类型。并且VCX服务器中IPT组件根据用户配置的Phone Profile、可信节点的安全模式对用户呼叫、注册进行安全检查,保护用户通话。
在以VCX为服务器、IP phone做终端、奥科或MSR设备做终端的组网环境中,使用SIP协议交互信令,RTP交互媒体流。由于此两种协议均基于UDP,用户的安全性难以得到保证。
无,单机即可
(1) 添加安全的Phone Profile或可信节点
(2) 使用支持安全特性的IP话机或者其他设备注册到VCX服务器上
(3) 进行呼叫
本举例是在VCX9.5.10版本上进行配置和验证的。
(1) Admin登陆VCX中央管理器,进入以下目录:用户>电话机>电话机档案,点击“添加电话机配置文件”按钮,输入电话机配置文件的名称。在下方选择安全模式为Full,传输协议自动设为TLS。
如果选择安全模式为MIXED,则传输协议可以选择:TCP、UDP、TLS三种。要进行安全的呼叫请选择TLS协议。
(2) 配置完毕后,保存
(3) 把要进行安全呼叫的话机使用该Phone Profile
如果安全模式选择FULL,则要求通信设备必须支持SRTP
(1) 进入AudioCode的以下路径:Protocol Configuration > Protocol Definition > SIP General Parameters ,配置以下两个参数,并提交。
SIP Transportation Type:TLS
SIP Destination Port:5061
(2) 进入以下路径:Protocol Configuration > Protocol Definition > Proxy & Registration
配置注册服务器的地址
Registrar Transport Type为TLS
配置完毕后提交修改。
(3) 进入以下目录:Media Settings > Media Security
配置以下参数:Media Security—enable、Media Security Behavior—Mandatory
该配置设置通话时使用SRTP,用于安全模式为FULL的情况。
(4) 其他配置按照AudioCode的普通配置,就可以注册VCX上使用安全Phone Profile的话机号码:9006。如图7所示:
(5) 按照以上步骤再注册一个AudioCode,如图8所示:9007
(6) 9006呼叫9007,用抓包工具抓不到报文。
(1) 安装CA服务器——安装RSA keon
获取RSA Keon安装包,执行安装目录下的setup.exe文件,进入RSA CA服务器安装向导,选择默认配置进行安装。
详细安装步骤请参考《语音SIP支持TLS传输相关配置指导书》
(2) telnet登陆MSR,申请证书
l 配置KPI实体,一个证书必须要有一个实体与之对应,实体描述了证书的身份信息。CA根据证书的身份信息来标示一个申请者。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]pki entity h3c_b
[H3C-pki-entity-h3c_b] common-name h3c_b
[H3C-pki-entity-h3c_b] organization H3C
[H3C-pki-entity-h3c_b] country CN
[H3C-pki-entity-h3c_b] dis th
#
pki entity h3c_b
common-name h3c_b
organization H3C
country CN
#
return
[H3C-pki-entity-h3c_b] quit
l 配置PKI域,PKI域表示某一个实体需要向CA申请证书时的一些注册信息,PKI域是一个本地概念,对于CA是不可见的,主要就是方便一个实体能够顺利向CA注册,获取证书。
[H3C-pki-domain-h3c_b] ca identifier VOICE
[H3C-pki-domain-h3c_b] certificate request url
http://172.31.90.100:446/2c661bdf14822f57c2f8cbbffca871d2766244ce
[H3C-pki-domain-h3c_b] certificate request from ca
[H3C-pki-domain-h3c_b] certificate request entity h3c_b
[H3C-pki-domain-h3c_b] crl check disable
[H3C-pki-domain-h3c_b] ldap-server ip 192.168.0.88
[H3C-pki-domain-h3c_b]dis th
#
pki domain h3c_b
ca identifier VOICE
certificate request url http://172.31.90.100:446/2c661bdf14822f57c2f8cbbffca871d2766244ce
certificate request from ca
certificate request entity h3c_b
crl check disable
ldap-server ip 172.31.90.100
#
return
[H3C-pki-domain-h3c_b]quit
蓝色部分的ID是CA服务器上的生成的VOICE的Issuing Jurisdiction ID,通过修改该ID值,来向不同的CA申请证书。
IP地址是CA服务器的地址。
l 生成本地密钥对:
[H3C]public-key local create rsa
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++
++++++++++++++++++++++
[H3C]
l 获取CA证书,申请本地证书
[H3C] pki retrieval-certificate ca domain h3c_b
The trusted CA's finger print is:
MD5 fingerprint:0BA8 C1CC B039 E20D DA94 24C2 8C58 23E1
SHA1 fingerprint:930D 2222 C1B0 9977 F2D8 EA91 4E29 F906 4640 C22C
Is the finger print correct?(Y/N):
Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:y
Saving CA/RA certificates chain, please wait a moment......
%Jun 10 17:39:28:261 2009 H3C_Up PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain h3c_b is trusted.
[H3C]
%Jun 10 17:39:28:273 2009 H3C_Up PKI/4/Update_CA_Cert:Update CA certificates of the Domain h3c_b successfully.
%Jun 10 17:39:28:474 2009 H3C_Up PKI/4/CA_Cert_Retrieval:Retrieval CA certificates of the domain h3c_b successfully.
[H3C]pki request-certificate domain h3c_b 8888
Certificate is being requested, please wait......
[H3C]
Enrolling the local certificate,please wait a while......
Certificate request Successfully!
Saving the local certificate to device......
Done!
[H3C]dis pki certificate local domain h3c_b
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
95437609 34C37BC6 4934419C 86DB8671
Signature Algorithm: sha1WithRSAEncryption
Issuer:
C=CN
O=H3C
OU=H3C
CN=VOICE
Validity
Not Before: May 12 02:01:11 2010 GMT
Not After : May 9 02:01:11 2020 GMT
Subject:
C=CN
O=H3C
CN=h3c_b
………………
[H3C] pki request-certificate domain h3c_b 8888
以上命令中的“8888”是在后面步骤中配置的Pots实体中的端口号
(3) 配置SSl策略
<H3C>system-view
[H3C]ssl server-policy sip_server
[H3C-ssl-server-policy-sip_server]pki-domain h3c_b
[H3C-ssl-server-policy-sip_server]quit
[H3C]ssl client-policy sip_client
[H3C-ssl-client-policy-sip_client]pki-domain h3c_b
[H3C-ssl-client-policy-sip_client]quit
[H3C]dis curr
#
ssl server-policy sip_server
pki-domain h3c_b
#
ssl client-policy sip_client
pki-domain h3c_b
(4) SIP视图配置TLS信息及注册服务器信息
[H3C]voice-setup
[H3C-voice]sip
[H3C-voice-sip]crypto ssl-client-policy sip_client
[H3C-voice-sip]crypto ssl-server-policy sip_server
[H3C-voice-sip]listen transport tls
[H3C-voice-sip]sip-comp callee
[H3C-voice-sip]registrar ipv4 172.31.89.190 tls
[H3C-voice-sip]register-enable on
[H3C-voice-sip]dis th
#
#
sip
crypto ssl-client-policy sip_client
crypto ssl-server-policy sip_server
listen transport tls
sip-comp callee
registrar ipv4 172.31.89.190 tls
register-enable on
#
return
[H3C-voice-sip]
命令registrar ipv4 172.31.89.190 tls中的IP地址是VCX的callp地址
(5) 配置Pots实体
[H3C]voice-setup
[H3C-voice]dial-program
[H3C-voice-dial]entity 8888
[H3C-voice-dial-entity8888] line 1/0
[H3C-voice-dial-entity8888] user sip:1001@172.31.89.190 password simple 12345
[H3C-voice-dial-entity8888] match-template 1001
[H3C-voice-dial-entity8888] outband nte
user sip:1001@172.31.89.190 password simple 12345
“1001”是VCX服务器上的话机号码;172.31.89.190是VCX服务器的callp地址;密码“12345”根据话机的实际密码设定
(6) 管理员身份登录IPT,进入以下路径:用户菜单 > 电话机 > 电话机
点击相应话机1001对应“操作”栏中的“注册”链接,可以看到MSR已经注册到VCX服务器上
(1) 管理员登陆IPT,进入以下路径:目录菜单 > 转接方案 > 信任终点
(2) 点击“添加信任终点”按钮,如下图:
配置IP地址和网络掩码后保存。
如果要进行安全呼叫则勾选“安全检查”的复选框即可。
l 《语音链路安全开发项目 软件需求规格说明书》
l 《语音SIP支持TLS传输相关配置指导书》
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!