您可以启用Cisco Unified Communications Manager在增强的安全环境中运行。通过这些增强功能,您的电话网络将在一套严格的安全和风险管理控制下运行,以保护您和您的用户。

增强的安全环境包括以下功能:

  • 联系人搜索验证。

  • TCP作为远程审核日志的默认协议。

  • FIPS模式。

  • 改进了凭证政策。

  • 支持用于数字签名的SHA-2哈希家族。

  • 支持512位和4096位的RSA密钥大小。

使用Cisco Unified Communications Manager版本14.0和Cisco Video Phone固件版本2.1及更高版本,电话支持SIP OAuth身份验证。

OAuth支持Cisco Unified Communications Manager版本14.0(1)SU1或更高版本的Proxy Trivial File Transfer Protocol (TFTP)。移动远程访问(MRA)不支持代理TFTP和OAuth for Proxy TFTP。

有关安全的其他信息,请参见以下内容:

您的电话只能存储有限数量的身份信任列表(ITL)文件。电话上的ITL文件不能超过64K,因此限制Cisco Unified Communications Manager发送到电话的文件数量。

受支持的安全功能

安全功能可防止威胁,包括对电话身份和数据的威胁。这些功能可在电话与Cisco Unified Communications Manager服务器之间建立和维护经过验证的通信流,并确保电话仅使用数字签名文件。

Cisco Unified Communications Manager版本8.5(1)及更高版本包含默认安全功能,它在不运行CTL客户端的情况下为Cisco IP电话提供以下安全功能:

  • 签署电话配置文件

  • 电话配置文件加密

  • 使用Tomcat和其他网络服务的HTTPS

安全的信号和媒体功能仍然需要运行CTL客户端并使用硬件eToken。

在Cisco Unified Communications Manager系统中实施安全措施可防止电话和Cisco Unified Communications Manager服务器的身份盗窃、数据篡改、以及呼叫信号和媒体流篡改。

为了缓解这些威胁,Cisco IP电话网络在电话和服务器之间建立和维护安全(加密)的通信流,在文件传输到电话之前对其进行数字签名,并对Cisco IP电话之间的媒体流和呼叫信号进行加密。

执行与证书授权代理功能(CAPF)相关的必要任务后,在电话上安装本地重要证书(LSC)。您可以使用Cisco Unified Communications Manager Administration配置LSC,如Cisco Unified Communications Manager安全指南中所述。或者,您可以从电话上的“安全设置”菜单开始安装LSC。此菜单还允许您更新或删除LSC。

LSC不能用作具有WLAN身份验证的EAP-TLS的用户证书。

电话使用电话安全配置文件,该文件定义设备是非安全还是非安全。有关将安全配置文件应用于电话的信息,请参阅特定的Cisco Unified Communications Manager版本文档。

如果您在Cisco Unified Communications Manager Administration中配置安全相关设置,电话配置文件包含敏感信息。要确保配置文件的隐私,您必须将其配置为加密。有关详细信息,请参阅特定的Cisco Unified Communications Manager版本文档。

该电话符合联邦信息处理标准(FIPS)。要正常运行,FIPS模式需要密钥大小为2048位或以上。如果证书小于2048位,电话不会向Cisco Unified Communications Manager注册,电话注册失败。在电话上显示证书密钥大小不符合FIPS要求

如果电话有LSC,您需要将LSC密钥大小更新至2048位或以上,然后才能启用FIPS。

下表概述了电话所支持的安全功能。有关详细信息,请参阅特定的Cisco Unified Communications Manager版本文档。

要查看安全模式,请按设置“设置”硬键 并导航至网络和服务 > 安全设置

表1。 安全功能概述

功能

描述

图像验证

已签署的二进制文件在将图像加载到电话之前防止篡改固件图像。

篡改图像会导致电话无法验证过程并拒绝新图像。

客户站点证书安装

每个Cisco IP电话都需要一个唯一的设备验证证书。电话包含制造安装证书(MIC),但为了获得额外的安全性,您可以使用Certificate Authority Proxy Function (CAPF)在Cisco Unified Communications Manager Administration中指定证书安装。或者,您可以从电话上的“安全配置”菜单中安装本地重要证书(LSC)。

设备身份验证

当每个实体接受其他实体的证书时,发生在Cisco Unified Communications Manager服务器和电话之间。确定电话与Cisco Unified Communications Manager之间是否应该发生安全连接;并在必要时使用TLS协议在实体之间创建安全的信号路径。Cisco Unified Communications Manager不会注册电话,除非能够对其进行身份验证。

文件验证

验证电话下载的数字签名文件。电话验证签名,以确保文件创建后不会发生文件篡改。验证失败的文件不会写入电话上的Flash存储器。电话拒绝此类文件,无需进一步处理。

文件加密

加密可防止敏感信息在文件传输到电话时泄露。此外,电话会验证签名,以确保文件创建后不会发生文件篡改。验证失败的文件不会写入电话上的Flash存储器。电话拒绝此类文件,无需进一步处理。

信号身份验证

使用TLS协议验证传输过程中未发生对信号包的篡改。

制造已安装证书

每个Cisco IP电话都包含一个独特的制造安装证书(MIC),用于设备验证。MIC为电话提供永久唯一的身份证明,并允许Cisco Unified Communications Manager验证电话。

媒体加密

使用SRTP确保支持的设备之间的媒体流是安全的,并且只有预期设备接收和读取数据。包括为设备创建媒体主要密钥对,将密钥交付到设备,并在密钥传输期间确保密钥的交付。

CAPF(证书授权代理功能)

实施对电话来说太密集的证书生成程序的部分,并与电话进行密钥生成和证书安装。CAPF可以配置为代表电话向客户指定的证书机构请求证书,也可以配置为在本地生成证书。

支持EC(椭圆曲线)和RSA密钥类型。要使用EC密钥,请确保已启用“端点高级加密算法支持”参数(来自系统 > 企业参数)。

有关CAPF和相关配置的更多信息,请参阅以下文档:

安全配置文件

定义电话是否不安全、验证、加密或受保护。此表中的其他条目描述了安全功能。

加密配置文件

允许您确保电话配置文件的隐私。

为电话禁用可选的Web服务器

出于安全考虑,您可以防止访问电话的网页(显示电话的各种操作统计数据)和自助门户网站。

电话硬化

您可以从Cisco Unified Communications Manager Administration控制的其他安全选项:

  • 禁用PC端口
  • 禁用免费ARP (GARP)
  • 禁用PC语音VLAN访问
  • 禁用对“设置”菜单的访问或提供受限访问权限
  • 禁用电话访问网页的权限
  • 禁用蓝牙辅助端口
  • 限制TLS密码

802.1X身份验证

Cisco IP电话可以使用802.1X身份验证来请求和获得对网络的访问权限。有关更多信息,请参阅 802.1X身份验证

适用于SRST的安全SIP故障转移

配置安全可存活远程站点电话(SRST)引用并重置CISCO统一通信管理器管理中的依赖设备后,TFTP服务器将SRST证书添加到电话cnf.xml文件并将文件发送到电话。然后,安全电话使用TLS连接与启用SRST的路由器交互。

信号加密

确保设备与Cisco Unified Communications Manager服务器之间发送的所有SIP信号消息都经过加密。

信任列表更新警报

当电话上的“信任列表”更新时,Cisco Unified Communications Manager会收到警报,表示更新成功或失败。有关更多信息,请参阅下表。

AES 256加密

连接到Cisco Unified Communications Manager 10.5(2)及更高版本后,电话支持TLS和SIP的AES 256加密支持,用于信号和媒体加密。这使得电话能够使用基于AES-256的密码启动TLS 1.2连接,这些密码符合SHA-2(安全哈希算法)标准,并且符合联邦信息处理标准(FIPS)。密码包括:

  • 对于TLS连接:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 对于sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

有关详细信息,请参阅Cisco Unified Communications Manager文档。

椭圆曲线数字签名算法(ECDSA)证书

作为通用标准(CC)认证的一部分,Cisco Unified Communications Manager;在11.0版中添加了ECDSA证书。这会影响运行CUCM 11.5及更高版本的所有语音操作系统(VOS)产品。

带有Cisco UCM的多服务器(SAN) Tomcat证书

该电话支持配置多服务器(SAN) Tomcat证书的Cisco UCM。正确的TFTP服务器地址可以在电话ITL文件中找到,用于电话注册。

有关该功能的更多信息,请参阅以下内容:

下表包含信任列表更新警报消息和含义。有关详细信息,请参阅Cisco Unified Communications Manager文档。

表2。 信任列表更新警报消息
代码和消息 描述

1 - _成功

已收到新的CTL和/或ITL

2 - _初步_成功

已收到新的CTL,没有现有TL

3 - _初始_成功

已收到新的ITL,没有现有TL

4 - _初步_成功

收到新的CTL和ITL,没有现有TL

5 - _失败_旧_CTL

更新到新CTL失败,但之前的TL

6 - TL_失败_无_TL

更新到新TL失败,并且没有旧TL

7 - _失败

一般失败

8 - _失败_旧_ITL

更新到新ITL失败,但之前有TL

9 - _失败_旧_

更新到新TL失败,但之前的TL

“安全设置”菜单提供有关各种安全设置的信息。该菜单还提供对“信任列表”菜单的访问权限,并指示电话中是否安装了CTL或ITL文件。

下表描述了安全设置菜单中的选项。

表3. 安全设置菜单

选项

描述

要更改

安全模式

显示为电话设置的安全模式。

从Cisco Unified Communications Manager Administration中,选择设备 > 电话。该设置显示在“电话配置”窗口的“协议特定信息”部分中。

LSC

指示用于安全功能的本地重要证书是否已安装在电话上(已安装)或未安装在电话上(未安装)。

有关如何管理电话的LSC的信息,请参阅特定的Cisco Unified Communications Manager版本文档。

设置本地重要证书(LSC)

此任务适用于使用验证字符串方法设置LSC。

开始之前

确保适当的Cisco Unified Communications Manager和Certificate Authority Proxy Function (CAPF)安全配置已完成:

  • CTL或ITL文件具有CAPF证书。

  • 在Cisco Unified Communications操作系统管理中,验证是否已安装CAPF证书。

  • CAPF正在运行并配置。

有关这些设置的更多信息,请参阅特定的Cisco Unified Communications Manager版本文档。

1

获取配置CAPF时设置的CAPF验证码。

2

在电话上,按设置“设置”硬键

3

如果出现提示,请输入密码访问设置 菜单。您可以从管理员获取密码。

4

导航至网络和服务 > 安全设置 > LSC

您可以使用Cisco Unified Communications Manager Administration中的 设置访问 字段来控制对“设置”菜单的访问。

5

输入验证字符串,然后选择提交

电话开始安装、更新或删除LSC,具体取决于如何配置CAPF。当程序完成时,已安装或未安装在电话上显示。

LSC安装、更新或删除过程可能需要很长时间才能完成。

电话安装程序成功后,会显示已安装 消息。如果电话显示未安装,则授权字符串可能不正确,或电话升级可能无法启用。如果CAPF操作删除LSC,电话会显示未安装 以表示操作成功。CAPF服务器记录错误消息。查看CAPF服务器文档以查找日志并了解错误消息的含义。

启用FIPS模式

1

在Cisco Unified Communications Manager Administration中,选择设备 > 电话 并找到电话。

2

导航至产品特定配置 区域。

3

FIPS模式 字段设置为启用

4

选择保存

5

选择应用配置

6

重新启动电话。

关闭电话上的扬声器、耳机和手机

您可以选择为用户永久关闭电话上的扬声器、耳机和手机。

1

在Cisco Unified Communications Manager Administration中,选择设备 > 电话 并找到电话。

2

导航至产品特定配置 区域。

3

勾选以下一个或多个复选框以关闭电话功能:

  • 禁用语音电话
  • 禁用语音电话和耳机
  • 禁用手机

默认情况下,这些复选框未选中。

4

选择保存

5

选择应用配置

802.1X身份验证

Cisco IP电话支持802.1X身份验证。

Cisco IP电话和Cisco Catalyst交换机传统上使用Cisco Discovery协议(CDP)来互相识别,并确定诸如VLAN分配和内联电源要求等参数。CDP不会识别本地连接的工作站。Cisco IP电话提供EAPOL传递机制。此机制允许连接到Cisco IP电话的工作站将EAPOL消息传递到LAN交换机上的802.1X验证器。传递机制确保IP电话不作为LAN交换机在访问网络之前验证数据端点。

Cisco IP电话还提供代理EAPOL Logoff机制。如果本地连接的PC从IP电话断开连接,LAN交换机不会看到物理链接失败,因为LAN交换机与IP电话之间的链接保持不变。为了避免危及网络完整性,IP电话代表下游PC向交换机发送EAPOL-Logoff消息,这触发LAN交换机以清除下游PC的身份验证条目。

支持802.1X身份验证需要多个组件:

  • Cisco IP电话:电话启动访问网络的请求。Cisco IP电话包含一个802.1X求助器。此请求允许网络管理员控制IP电话与LAN交换机的连接。当前版本的802.1X电话请求者使用EAP-FAST和EAP-TLS选项进行网络验证。

  • 身份验证服务器:身份验证服务器和交换机必须均使用可验证电话的共享秘密进行配置。

  • 开关:交换机必须支持802.1X,因此可以充当身份验证器,并在电话和身份验证服务器之间传递消息。交换完成后,交换机授予或拒绝电话访问网络。

必须执行以下操作才能配置802.1X。

  • 在电话上启用802.1X身份验证之前配置其他组件。

  • 配置PC端口:802.1X标准不考虑VLAN,因此建议仅对特定交换机端口进行身份验证。但是,一些交换机支持多域验证。交换机配置决定您是否可以将PC连接到电话的PC端口。

    • Enabled(启用):如果您使用支持多域身份验证的交换机,则可以启用PC端口并将PC连接到它。在这种情况下,Cisco IP电话支持代理EAPOL-Logoff以监控交换机与所连接的PC之间的身份验证交换。

      有关Cisco Catalyst交换机上的IEEE 802.1X支持的更多信息,请参阅Cisco Catalyst交换机配置指南:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Disabled(禁用):如果交换机不支持同一端口上的多个802.1X兼容的设备,则应在启用802.1X身份验证时禁用PC端口。如果您未禁用此端口并尝试将其连接PC,交换机将拒绝对电话和PC的网络访问。

  • 配置语音VLAN:由于802.1X标准不包含VLAN,您应根据交换机支持配置此设置。
    • Enabled(启用):如果您使用支持多域身份验证的交换机,则可以继续使用语音VLAN。
    • Disabled(禁用):如果交换机不支持多域验证,请禁用语音VLAN,并考虑将端口分配给本机VLAN。
  • (仅适用于Cisco Desk Phone 9800系列)

    Cisco Desk Phone 9800系列在PID中具有与其他Cisco电话不同的前缀。要使您的电话通过802.1X身份验证,请将 Radius·用户名 参数设置为包括Cisco Desk Phone 9800系列。

    例如,电话9841的PID为DP-9841;您可以将 Radius·用户名 设为开始使用DP包含DP。您可以在以下两个部分进行设置:

    • 策略 > 条件 > 库条件

    • 政策 > 政策集 > 授权政策 > 授权规则1

启用802.1X身份验证

您可以通过以下步骤为电话启用802.1X身份验证:

1

设置“设置”硬键

2

如果出现提示,请输入密码访问设置 菜单。您可以从管理员获取密码。

3

导航至网络和服务 > 安全设置 > 802.1X身份验证

4

打开IEEE 802.1X身份验证。

5

选择应用

在电话上查看有关安全设置的信息

您可以在电话菜单中查看有关安全设置的信息。信息的可用性取决于组织中的网络设置。

1

设置设置键

2

导航至网络和服务 > 安全设置

3

安全设置中,查看以下信息。

表4。 安全设置参数

参数

描述

安全模式

显示为电话设置的安全模式。

LSC

表明用于安全功能的本地重要证书是否已安装在电话上(是)或未安装在电话上(否)。

信任列表

信任列表为CTL、ITL和已签名配置文件提供子菜单。

CTL文件子菜单显示CTL文件的内容。ITL文件子菜单显示ITL文件的内容。

信任列表菜单还显示以下信息:

  • CTL签名:CTL文件的SHA1哈希
  • 统一CM/TFTP服务器:电话使用的Cisco Unified Communications Manager和TFTP服务器的名称。如果为此服务器安装了证书,则显示证书图标。
  • CAPF服务器:电话使用的CAPF服务器的名称。如果为此服务器安装了证书,则显示证书图标。
  • SRST路由器:电话可使用的受信任的SRST路由器的IP地址。如果为此服务器安装了证书,则显示证书图标。

电话呼叫安全

当对电话实施安全时,您可以通过电话屏幕上的图标识别安全电话呼叫。如果呼叫开始时使用安全语调,您还可以确定连接的电话是否安全并受到保护。

在安全的呼叫中,所有呼叫信号和媒体流都经过加密。安全呼叫提供高水平的安全性,为呼叫提供完整性和隐私性。当正在进行的呼叫被加密时,您可以看到线路上的安全图标用于安全呼叫的锁定图标 。对于安全的电话,您还可以查看电话菜单(设置 > 关于此设备)中连接服务器旁的验证图标 或加密图标

如果呼叫是通过非IP呼叫分支(例如PSTN)路由的,即使呼叫在IP网络中经过加密,并且带有与之关联的锁定图标,该呼叫也可能不安全。

在安全呼叫中,在呼叫开始时使用安全音频,表示其他连接电话也在接收和传输安全音频。如果您的呼叫连接到不安全的电话,安全音调不会播放。

仅支持两个电话之间的连接。配置安全呼叫时,某些功能(例如会议呼叫和共享线)不可用。

在Cisco Unified Communications Manager中将电话配置为安全(加密和信任)时,可以赋予它一个受保护 状态。之后,如果需要,可配置受保护的电话以在呼叫开始时播放指示语调:

  • 受保护的设备:要将安全电话的状态更改为受保护,请勾选Cisco Unified Communications Manager Administration(设备 > 电话)中的“受保护设备”复选框。

  • 播放安全指示语调:要使受保护的电话能够播放安全或非安全指示音调,请将“播放安全指示音调”设置为“真”。默认情况下,播放安全指示音调设置为False。您在Cisco Unified Communications Manager Administration(系统 > 服务参数)中设置此选项。选择服务器,然后选择Unified Communications Manager服务。在“服务参数配置”窗口中,在“功能-安全音频”区域中选择“选项”。默认值为FALSE。

安全会议呼叫标识

您可以发起安全的电话会议并监控参加者的安全级别。使用此流程建立安全电话会议:

  1. 用户通过安全电话发起会议。

  2. Cisco Unified Communications Manager为呼叫分配一个安全的会议桥。

  3. 加入与会者后,Cisco Unified Communications Manager会验证每个电话的安全模式,并维护会议的安全级别。

  4. 电话显示电话会议的安全级别。安全会议将显示安全图标 用于安全呼叫的锁定图标

两个电话之间支持安全呼叫。对于受保护的电话,在配置安全呼叫时,某些功能(例如会议呼叫、共享线路和扩展移动)将无法使用。

下表提供有关会议安全级别更改的信息,具体取决于发起人电话安全级别、参加者的安全级别以及安全会议桥梁的可用性。

表 5. 包含电话的安全限制

发起人电话安全级别

已使用的功能

参加者的安全级别

行动结果

不安全

会议

安全

不安全的会议桥

不安全的会议

安全

会议

至少有一个成员不安全。

安全会议桥

不安全的会议

安全

会议

安全

安全会议桥

安全加密级别会议

不安全

与我见面

最低安全级别已加密。

发起人接收消息未达到安全级别,呼叫被拒绝

安全

与我见面

最低安全级别是不安全的。

安全会议桥

会议接受所有呼叫。

安全的电话呼叫标识

当您的电话以及另一端的电话被配置为安全呼叫时,将建立安全呼叫。其他电话可以位于同一个Cisco IP网络中,也可以位于IP网络之外的网络上。安全呼叫只能在两部电话之间进行。在设置安全会议桥后,电话应支持安全呼叫。

使用此流程建立安全呼叫:

  1. 用户从安全电话发起呼叫(安全模式)。

  2. 电话在电话屏幕上显示安全图标用于安全呼叫的锁定图标 。此图标表示电话已配置为安全呼叫,但这并不意味着其他连接电话也已安全。

  3. 如果呼叫连接到另一台受保护的电话,用户会听到安全语调,表示对话的两端都是加密和安全的。如果呼叫连接到不安全的电话,用户不会听到安全音调。

两个电话之间支持安全呼叫。对于受保护的电话,在配置安全呼叫时,某些功能(例如会议呼叫、共享线路和扩展移动)将无法使用。

只有受保护的电话才能播放这些安全或非安全指示语调。未受保护的电话从不播放声音。如果在呼叫期间整体呼叫状态发生变化,指示语调发生变化,受保护的电话会播放适当的语调。

受保护电话在下列情况下是否具有语气:

  • 启用Play Secure Indication Tone选项时:

    • 当端到端安全媒体建立并且呼叫状态安全时,电话会播放安全指示语调(三声长波,暂停)。

    • 当端到端不安全的媒体被建立并且呼叫状态不安全时,电话会播放不安全的指示语调(六声短波,短暂暂停)。

如果禁用了“播放安全指示语调”选项,则没有配音播放。

为驳船提供加密

Cisco Unified Communications Manager在建立会议时检查电话安全状态,并更改会议的安全指示或阻止呼叫完成以保持系统中的完整性和安全性。

如果用于拨打的电话未配置为加密,则用户无法拨打加密呼叫。在这种情况下,当驳船失败时,在启动驳船的电话上会播放重新排序(快速忙碌)语调。

如果发起人电话配置为加密,则驳船发起人可以从加密电话拨入不安全的呼叫。驳船发生后,Cisco Unified Communications Manager将呼叫分类为不安全。

如果发起人电话配置为加密,则驳船发起人可以驳船进入加密呼叫,并且电话表示呼叫已加密。

WLAN安全

由于位于范围内的所有WLAN设备都可以接收所有其他的WLAN流量,因此在WLAN中保护语音通信至关重要。为了确保入侵者不会操纵或拦截语音流量,Cisco SAFE安全架构支持电话。有关网络安全的更多信息,请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Wireless IP电话解决方案提供无线网络安全,通过使用电话支持的以下身份验证方法,防止未经授权的登录和受损通信:

  • 打开身份验证:任何无线设备都可以在打开的系统中请求身份验证。接收请求的AP可授予任何请求者身份验证,或仅授予用户列表中的请求者。无线设备和接入点(AP)之间的通信可能是非加密的。

  • 可扩展验证协议-通过安全隧道(EAP-FAST)验证灵活验证:此客户端-服务器安全架构对AP和RADIUS服务器之间的传输级安全(TLS)隧道中的EAP事务加密,例如身份服务引擎(ISE)。

    TLS隧道使用受保护访问凭证(PAC)在客户端(电话)和RADIUS服务器之间进行身份验证。服务器向客户端(电话)发送授权ID(援助),客户端(电话)然后选择适当的PAC。客户端(电话)向RADIUS服务器返回不透明的PAC。服务器使用主密钥解密PAC。两个端点现在都包含PAC密钥,并创建TLS隧道。EAP-FAST支持自动PAC配置,但您必须在RADIUS服务器上启用它。

    在ISE中,默认情况下,PAC将在一周内到期。如果电话的PAC已过期,当电话获得新的PAC时,使用RADIUS服务器进行身份验证需要更长时间。为了避免PAC配置延迟,在ISE或RADIUS服务器上将PAC到期时间设置为90天或以上。

  • 可扩展验证协议-传输层安全(EAP-TLS)验证:EAP-TLS需要客户端证书进行身份验证和网络访问。对于无线EAP-TLS,客户端证书可以是MIC、LSC或用户安装的证书。

  • 受保护的可扩展身份验证协议(PEAP):客户端(电话)和RADIUS服务器之间基于思科专有密码的相互验证方案。电话可以使用PEAP与无线网络进行身份验证。支持PEAP-MSCHAPV2和PEAP-GTC验证方法。

  • 预共享密钥(PSK):电话支持ASCII格式。在设置WPA/WPA2/SAE预共享密钥时必须使用此格式:

    ASCII:长度为8至63个字符的ASCII字符串(0-9、小写和大写字母A-Z以及特殊字符)

    示例:GREG123567@9ZX&W

以下身份验证方案使用RADIUS服务器管理身份验证密钥:

  • wpa/wpa2/wpa3:使用RADIUS服务器信息生成用于身份验证的独特密钥。由于这些密钥是在集中式RADIUS服务器上生成,WPA2/WPA3比存储在AP和电话上的WPA预共享密钥提供更多的安全性。

  • 快速安全漫游:使用RADIUS服务器和无线域服务器(WDS)信息来管理和验证密钥。WDS为启用FT的客户端设备创建安全凭证缓存,以便快速安全地重新验证。Cisco Desk Phone 9861和9871以及Cisco Video Phone 8875支持802.11r (FT)。空中和DS上都支持快速安全的漫游。但我们强烈建议使用802.11r (FT)而不是空气方法。

使用WPA/WPA2/WPA3,加密密钥不会在电话上输入,而是在AP和电话之间自动导出。但是,必须在每个电话上输入用于身份验证的EAP用户名和密码。

为确保语音流安全,电话支持TKIP和AES进行加密。当使用这些机制进行加密时,信号SIP数据包和语音实时传输协议(RTP)数据包都在AP和电话之间进行加密。

特基普

WPA使用TKIP加密,比WEP有几个改进。TKIP提供每包密钥密码和更长的初始化向量(IV),以加强加密。此外,消息完整性检查(MIC)可确保加密数据包不被更改。TKIP消除了帮助入侵者破解WEP密钥的WEP可预测性。

阿斯

用于WPA2/WPA3验证的加密方法。此国家加密标准使用一种对称算法,该算法具有相同的加密和解密密钥。AES使用128位大小的CBC加密功能,支持至少128位、192位和256位密钥大小。电话支持256位键大小。

Cisco Desk Phone 9861和9871以及Cisco Video Phone 8875不支持带有CMIC的CISCO密钥完整性协议(CKIP)。

在无线LAN中设置了身份验证和加密方案。VLAN在网络和AP上配置,并指定不同身份验证和加密组合。具有VLAN和特定身份验证和加密方案的SSID员工。要成功验证无线客户端设备,您必须在AP和电话上使用其身份验证和加密方案配置相同的SSID。

某些身份验证方案需要特定类型的加密。

  • 当您使用WPA预共享密钥、WPA2预共享密钥或SAE时,必须在电话上静态设置预共享密钥。这些密钥必须与AP上的密钥匹配。

  • 电话支持FAST或PEAP的自动EAP协商,但不支持TLS。对于EAP-TLS模式,您必须指定它。

下表中的身份验证和加密方案显示了与AP配置对应的电话的网络配置选项。

表 6. 身份验证和加密方案
FSR类型身份验证密钥管理加密受保护管理框架(PMF)
802.11r (FT)PSK

WPA-PSK

wpa-psk-sha

普斯克

阿斯
802.11r (FT)WPA3

萨伊

富士多德

阿斯
802.11r (FT)EAP-TLS

WPA-EAP

ft-eap

阿斯
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha

ft-eap

阿斯
802.11r (FT)EAP-FAST

WPA-EAP

ft-eap

阿斯
802.11r (FT)eap-fast (wpa3)

wpa-eap-sha

ft-eap

阿斯
802.11r (FT)EAP-PEAP

WPA-EAP

ft-eap

阿斯
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha

ft-eap

阿斯

配置无线LAN配置文件

您可以通过配置凭证、频段、验证方法等方式管理无线网络配置文件。

配置WLAN配置文件之前,请记住以下注释:

  • 用户名和密码

    • 当您的网络使用EAP-FAST和PEAP进行用户身份验证时,必须在“远程身份验证拨入用户服务”(RADIUS)和电话中配置用户名和密码(如果需要)。

    • 您在无线LAN配置文件中输入的凭据必须与您在RADIUS服务器上配置的凭据相同。

    • 如果您在网络中使用域名,则必须以以下格式输入带有域名的用户名:域名\username

  • 以下操作可能导致清除现有Wi-Fi密码:

    • 输入无效的用户ID或密码
    • 将EAP类型设置为PEAP-MSCHAPV2或PEAP-GTC时,安装无效或已过期的根CA
    • 在将电话切换到新的EAP类型之前,在RADIUS服务器上禁用EAP类型
  • 要更改EAP类型,请确保先在RADIUS服务器上启用新的EAP类型,然后将电话切换到EAP类型。当所有电话都更改为新的EAP类型时,如果您愿意,可以禁用之前的EAP类型。
1

在Cisco Unified Communications Manager Administration中,选择设备 > 设备设置 > 无线局域配置文件

2

选择要配置的网络配置文件。

3

设置参数。

4

单击保存

配置SCEP参数

简单证书注册协议(SCEP)是自动配置和续订证书的标准。SCEP服务器可以自动维护您的用户和服务器证书。

您必须在您的电话网页上配置以下SCEP参数

  • RA IP地址

  • SCEP服务器的SHA-1或SHA-256根指纹

Cisco IOS注册授权(RA)作为SCEP服务器的代理。电话上的SCEP客户端使用从Cisco Unified Communication Manager下载的参数。配置参数后,电话向RA发送 SCEP getcs 请求,并使用指定的指纹验证根CA证书。

开始之前

在SCEP服务器上,将SCEP注册代理(RA)配置为:

  • 作为PKI信任点
  • 作为PKI RA
  • 使用RADIUS服务器执行设备身份验证

有关详细信息,请参阅SCEP服务器文档。

1

从Cisco Unified Communications Manager Administration中,选择设备 > 电话

2

找到电话。

3

滚动至产品特定配置布局 区域。

4

检查 WLAN SCEP服务器 复选框以激活SCEP参数。

5

检查 WLAN根号CA指纹(SHA 或SHA1) 复选框以激活SCEP QED参数。

设置支持的TLS版本

您可以分别设置客户端和服务器所需的最小版本TLS。

默认情况下,服务器和客户端的最小TLS版本均为1.2。该设置对以下功能有影响:

  • HTTPS网络访问连接
  • 内部电话入职
  • 针对移动和远程访问(MRA)的入职
  • HTTPS服务,例如Directory服务
  • 数据报传输层安全(DTLS)
  • 端口访问实体(PAE)
  • 可扩展的身份验证协议-传输层安全(EAP-TLS)

有关Cisco IP电话的TLS 1.3兼容性的更多信息,请参阅 Cisco协作产品的TLS 1.3兼容性矩阵

1

以管理员身份登录Cisco Unified Communications Manager Administration。

2

导航至以下窗口之一:

  • 系统 > 企业电话配置
  • 设备 > 设备设置 > 通用电话配置文件
  • 设备 > 电话 > 电话配置
3

设置 TLS客户端最小版本 字段:

“TLS 1.3”选项可在Cisco Unified CM 15SU2或更高版本上使用。
  • TLS 1.1:TLS客户端支持1.1到1.3的TLS版本。

    如果服务器中的TLS版本低于1.1(例如1.0),则无法建立连接。

  • TLS 1.2 (默认):TLS客户端支持TLS 1.2和1.3。

    如果服务器中的TLS版本低于1.2(例如1.1或1.0),则无法建立连接。

  • TLS 1.3:TLS客户端仅支持TLS 1.3。

    如果服务器中的TLS版本低于1.3(例如1.2、1.1或1.0),则无法建立连接。

4

设置 TLS服务器最低版本 字段:

  • TLS 1.1:TLS服务器支持从1.1到1.3的TLS版本。

    如果客户端中的TLS版本低于1.1(例如1.0),则无法建立连接。

  • TLS 1.2 (默认):TLS服务器支持TLS 1.2和1.3。

    如果客户端中的TLS版本低于1.2(例如1.1或1.0),则无法建立连接。

  • TLS 1.3:TLS服务器仅支持TLS 1.3。

    如果客户端中的TLS版本低于1.3(例如1.2、1.1或1.0),则无法建立连接。

从PhoneOS 3.2版本中,“禁用TLS 1.0和TLS 1.1 for Web访问”字段的设置不会对电话产生影响。
5

单击保存

6

单击应用配置

7

重新启动电话。

保险服务SIP

Assured Services SIP(AS-SIP)是一系列功能和协议,为Cisco IP电话和第三方电话提供高度安全的呼叫流。以下功能统称为AS-SIP:

  • 多级优先级和优先级(MLPP)
  • 差异化服务代码点(DSCP)
  • 传输层安全(TLS)和安全实时传输协议(SRTP)
  • 互联网协议版本6 (IPv6)

AS-SIP通常与多级优先级和优先级(MLPP)一起使用,以便在紧急情况下对呼叫进行优先排序。使用MLPP,您将优先级分配给您的呼叫,从1级(低)到5级(高)。接听呼叫时,电话上会显示优先级图标,显示呼叫优先级。

要配置AS-SIP,请在Cisco Unified Communications Manager上完成以下任务:

  • 配置摘要用户-配置最终用户以对SIP请求使用摘要验证。
  • 配置SIP电话安全端口—Cisco Unified Communications Manager使用此端口监听SIP电话通过TLS进行SIP线路注册。
  • 重新启动服务-配置安全端口后,重新启动Cisco Unified Communications Manager和Cisco CTL Provider服务。配置AS-SIP的SIP配置文件-使用AS-SIP端点和SIP集群的SIP设置配置SIP配置文件。电话特定参数不会下载到第三方AS-SIP电话。它们仅由Cisco Unified Manager使用。第三方电话必须在本地配置相同的设置。
  • 配置AS-SIP电话安全配置文件—您可以使用电话安全配置文件分配安全设置,如TLS、SRTP和摘要验证。
  • 配置AS-SIP端点-配置带有AS-SIP支持的Cisco IP电话或第三方端点。
  • 将设备与最终用户关联-将端点与用户关联。
  • 配置AS-SIP的SIP Trunk Security Profile-您可以使用sip Trunk Security Profile将安全功能(例如TLS或摘要身份验证)分配给SIP Trunk。
  • 配置AS-SIP的SIP支架—配置AS-SIP支持的SIP支架。
  • 配置AS-SIP功能—配置其他AS-SIP功能,如MLPP、TLS、V.150和IPv6。

有关配置AS-SIP的详细信息,请参阅 Cisco Unified Communications Manager功能配置指南中的“配置AS-SIP端点”章节。

多层优先级和优先级

多级优先级和优先级(MLPP)允许您在紧急情况或其他危机情况下对呼叫进行优先排序。您将优先级分配给从1到5的呼叫。传入呼叫显示图标和呼叫优先级。经过验证的用户可以先对目标站点进行呼叫,也可以通过完全订阅的TDM trunks进行呼叫。

此功能可确保高级人员与关键组织和人员进行沟通。

MLPP通常与保证服务SIP(AS-SIP)一起使用。有关配置MLPP的详细信息,请参阅Cisco Unified Communications Manager功能配置指南中的配置多级优先级和优先级章节。

设置FAC和CMC

当在电话上配置强制授权代码(FAC)或客户端事务代码(CMC)时,用户必须输入所需的密码才能拨打号码。

有关如何在Cisco Unified Communications Manager中设置FAC和CMC的更多信息,请参阅“Cisco Unified Communications Manager功能配置指南,版本12.5(1)或更高版本中的“客户端事务代码和强制授权代码”章节。