您可以启用 Cisco Unified Communications Manager 以在增强的安全环境下运行。 这些增强功能可以使您的电话网络在严格的安全和风险管理控制下运行,以保障您和用户的安全。

增强的安全环境包括以下功能:

  • 联系人搜索身份验证。

  • 使用 TCP 作为远程审计日志记录的默认协议。

  • FIPS 模式。

  • 经过改进的凭证策略。

  • 支持数字签名使用 SHA-2 系列哈希值。

  • 支持 512 位和 4096 位的 RSA 密钥大小。

对于 Cisco Unified Communications Manager 版本 14.0 和 Cisco 视频电话固件版本 2.1 及更高版本,这些电话支持 SIP OAuth 身份验证。

Cisco Unified Communications Manager 发行版 14.0(1)SU1 或更高版本的代理琐碎文件传输协议(TFTP)支持 OAuth。 Mobile Remote Access (MRA) 不支持代理 TFTP 以及适用于代理 TFTP 的 OAuth。

有关安全的其他信息,请参阅以下文档:

您的电话只能存储有限数量的身份信任列表格 (ITL) 文件。 ITL 文件在电话上不能超出 64K,因此应限制 Cisco Unified Communications Manager 发送到电话的文件数。

支持的安全功能

安全功能可防范威胁,包括对电话身份或数据造成的威胁。 这些功能会建立和维持电话与 Cisco Unified Communications Manager 服务器之间经验证的通讯流,并确保电话只使用数字签名的文件。

默认情况下,Cisco Unified Communications Manager 8.5(1) 版及更高版本包括安全性,这可为 Cisco IP 电话提供以下安全功能(无需运行 CTL 客户端):

  • 电话配置文件签名

  • 电话配置文件加密

  • Tomcat 和其他 Web 服务的 HTTPS

安全信令和媒体功能仍需您运行 CTL 客户端和使用硬件电子令牌。

在 Cisco Unified Communications Manager 系统中实施安全性,防止电话和 Cisco Unified Communications Manager 服务器的身份被窃、防止数据被篡改以及防止呼叫信令和媒体流被篡改。

要减轻这些威胁,Cisco IP 电话网络在电话与服务器之间建立和维护安全(加密的)通信流,以数字方式签名这些文件,然后将其传输到电话,并加密 Cisco IP 电话媒体流和呼叫信令。

本地有效证书 (LSC) 会在您执行与证书权限代理功能 (CAPF) 关联的必要任务后安装在电话上。 您可使用 Cisco Unified Communications Manager Administration 来配置 LSC,如《Cisco Unified Communications Manager 安全指南》中所述。 或者,您可以从电话上的安全设置菜单启动 LSC 安装。 此菜单还可用于更新或移除 LSC。

LSC 无法用作使用 WLAN 验证的 EAP-TLS 的用户证书。

电话使用电话安全性配置文件,该文件定义设备为不安全还是安全。 有关将安全性配置文件应用到电话的信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

如果您在 Cisco Unified Communications Manager Administration 中配置了安全相关的设置,电话配置文件将包含敏感信息。 为确保配置文件的私密性,您必须将其配置为加密。 有关详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

电话符合联邦信息处理标准(FIPS)。 在 FIPS 模式下,需要使用 2048 位或更大的密钥电话才可以正常工作。 如果证书小于 2048 位,则电话将无法在 Cisco Unified Communications Manager 上注册,并且电话上会显示电话注册失败。 在电话上显示的证书密钥大小不符合 FIPS 标准。

如果电话有 LSC,您需要在启用 FIPS 之前将 LSC 密钥长度更新为 2048 位或更大。

下表列出了电话支持的安全功能。 有关详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

要查看安全模式,请按 设置 “设置”硬键 ,然后导航到 网络和服务 > 安全设置

表格 1. 安全功能概述

功能

说明

图像验证

签名的二进制文件可以防止固件映像在映像加载到电话上之前被篡改。

篡改映像会导致电话验证过程失败并拒绝新的映像。

客户现场证书安装

每部 Cisco IP 电话都需要具有唯一的证书才能进行设备验证。 电话包含厂商预装证书 (MIC),但为了额外的安全性,您可以使用证书权限代理功能 (CAPF) 在 Cisco Unified Communications Manager Administration 中指定证书安装。 您也可以从电话的“安全配置”菜单中安装本地有效证书 (LSC)。

设备验证

当每个实体都接受了其他实体的证书时,在 Cisco Unified Communications Manager 服务器和电话之间进行。 确定电话和 Cisco Unified Communications Manager 之间是否进行了安全的连接;如有必要,请使用 TLS 协议在实体之间创建一个安全信令路径。 Cisco Unified Communications Manager 不会注册电话,除非其能够进行验证。

文件身份验证

验证电话下载的数字签名文件。 电话验证该签名以确保文件在创建之后未经篡改。 验证失败的文件不会写入电话的闪存。 电话会拒绝此类文件,并且不会再进行进一步的处理。

文件加密

加密可阻止敏感信息在文件传输到电话时泄露。 此外,电话验证该签名以确保文件在创建之后未经篡改。 验证失败的文件不会写入电话的闪存。 电话会拒绝此类文件,并且不会再进行进一步的处理。

信令验证

使用 TLS 协议验证传输期间信令信息包未发生篡改。

厂商预装证书

每部 Cisco IP 电话都包含唯一的厂商预装证书 (MIC) 用于进行设备验证。 MIC 为电话提供永久且唯一的身份证明,它允许 Cisco Unified Communications Manager 对电话进行验证。

媒体加密

使用 SRTP 确保支持的设备之间的媒体流以证明安全性,并且只有预期设备会收到并读取数据。 包括为设备创建媒体主密钥对、交付密钥给设备以及传输密钥期间确保安全交付密钥。

CAPF(证书权限代理功能)

实施对于电话而言处理太密集的证书生成程序,并与电话交互以生成密钥和安装证书。 可以将 CAPF 配置为代表电话向客户指定的证书颁发机构要求证书,或将其配置为本地生成证书。

同时支持 EC(椭圆曲线)和 RSA 键类型。 要使用 EC 密钥,请确保已启用参数“端点高级加密算法支持”(来自 System > Enterprise 参数)。

有关 CAPF 及相关配置的更多信息,请参阅以下文档:

安全性配置文件

定义电话是不安全、已验证、已加密还是受保护。 该表中的其他条目介绍安全功能。

加密配置文件

让您确保电话配置文件的隐私性。

(可选)禁用电话的 Web 服务器

出于安全性的考虑,您可以阻止访问电话的网页(其中显示电话的各种运行统计信息)和 Self Care 门户网站。

电话强化

额外的安全性选项,您可以从 Cisco Unified Communications Manager Administration 控制这些选项:

  • 禁用 PC 端口
  • 禁用免费 ARP (GARP)
  • 禁用 PC 语音 VLAN 接入
  • 禁用对“设置”菜单的访问或提供受限访问权限
  • 禁止访问电话网页
  • 禁用蓝牙配件端口
  • 限制 TLS 密码

802.1x 验证

Cisco IP 电话可以使用 802.1X 验证要求并获取网络访问权限。 有关详细信息,请参阅 802.1X 验证

用于 SRST 的安全 SIP 故障转移

当您配置用于保证安全性的 Survivable Remote Site Telephony (SRST) 参考并在 Cisco Unified Communications Manager Administration 中重置相关设备后,TFTP 服务器会在 phone cnf.xml 文件中添加 SRST 证书,然后将该文件发送至电话。 然后,安全电话使用 TLS 连接与启用了 SRST 的路由器交互。

信令加密

确保设备和 Cisco Unified Communications Manager 服务器之间发送的所有 SIP 和信令消息均已加密。

信任列表更新警报

信任列表在电话上更新时,Cisco Unified Communications Manager 会收到警报,表明更新成功或失败。 详细信息请参阅下表。

AES 256 加密

连接至 Cisco Unified Communications Manager 版本 10.5(2) 及更高版本时,电话支持用于 TLS 的 AES 256 加密支持以及用于信令和媒体加密的 SIP。 这样,电话就可以使用符合 SHA-2(安全的哈希算法)标准以及联邦信息处理标准 (FIPS) 的基于 AES-256 的密码,发起并支持 TLS 1.2 连接。 密码包括:

  • 对于 TLS 连接:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 对于 sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

有关详细信息,请参阅 Cisco Unified Communications Manager 文档。

椭圆曲线数字签名算法 (ECDSA) 证书

作为通用标准 (CC) 认证的一部分,Cisco Unified Communications Manager 在版本 11.0 中增加了 ECDSA 证书。 这将影响运行 CUCM 11.5 及更高版本的所有语音操作系统 (VOS) 产品。

带 Cisco UCM 的多服务器(SAN)Tomcat 证书

电话支持配置了多服务器(SAN)Tomcat 证书的 Cisco UCM。 正确的 TFTP 服务器地址可以在电话 ITL 文件中找到,用于电话注册。

有关该功能的更多信息,请参阅以下内容:

下表包含信任列表更新警报消息和含义。 有关详细信息,请参阅 Cisco Unified Communications Manager 文档。

表格 2. 信任列表更新警报消息
代码和消息 说明

1 - TL_SUCCESS

接收新的 CTL 和/或 ITL

2 - CTL_INITIAL_SUCCESS

接收新的 CTL,不存在 TL

3 - ITL_INITIAL_SUCCESS

接收新的 ITL,不存在 TL

4 - TL_INITIAL_SUCCESS

接收新的 CTL 和 ITL,不存在 TL

5 - TL_FAILED_OLD_CTL

更新为新 CTL 失败,但有以前的 TL

6 - TL_FAILED_NO_TL

更新为新 TL 失败,并且没有旧 TL

7 - TL_FAILED

一般失败

8 - TL_FAILED_OLD_ITL

更新为新 ITL 失败,但有以前的 TL

9 - TL_FAILED_OLD_TL

更新为新 TL 失败,但有以前的 TL

“安全设置”菜单提供有关各种安全设置的信息。 该菜单还可用于访问“信任列表”菜单并指示是否在电话上安装 CTL 或 ITL 文件。

下表介绍“安全设置”菜单中的选项。

表格 3. 安全设置菜单

选项

说明

要更改

安全模式

显示为电话设置的安全模式。

在 Cisco Unified Communications Manager 管理中,选择设备 > 电话。 设置将在“电话配置”窗口的“协议特定信息”部分中显示。

LSC

指示用于安全功能的本地重要证书是安装在手机上(已安装)还是未安装在电话上(未安装)。

有关如何管理电话的 LSC 的信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

设置本地有效证书 (LSC)

此任务适用于使用验证字串方法设置 LSC。

开始之前

确保相应的 Cisco Unified Communications Manager 和证书权限代理功能 (CAPF) 安全性配置都已完成:

  • CTL 或 ITL 文件具有 CAPF 证书。

  • 在 Cisco Unified Communications 操作系统管理中,确认已安装 CAPF 证书。

  • CAPF 正在运行且已配置。

有关这些设置的详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。

1

获取在配置 CAPF 时设置的 CAPF 验证代码。

2

在电话上,按 设置 the Settings hard key.

3

如果出现提示,输入密码以访问“ 设置 ”菜单。 您可以从管理员处获取密码。

4

导航到 网络和服务 > 安全设置 > LSC

您可通过使用 Cisco Unified Communications Manager 中的设置访问权限字段,控制对“设置”菜单的访问权限。

5

输入身份验证字符串并选择 提交

电话会开始安装、更新或移除 LSC,具体取决于配置 CAPF 的方式。 当此程序完成后,电话上会显示“已安装”或“未安装”。

LSC 安装、更新或移除过程需要较长时间才能完成。

如果电话安装过程成功,则会显示已安装的消息。 如果电话显示未安装,则可能是授权字符串不正确,也可能是电话升级未启用。 如果 CAPF 操作删除了 LSC,电话会显示未安装来标识该操作已成功。 CAPF 服务器会记录错误消息。 请参阅 CAPF 服务器文档,以查找日志并理解错误消息的含义。

启用 FIPS 模式

1

在 Cisco Unified Communications Manager 管理中,依次选择设备 > 电话,然后找到相应的电话。

2

导航至产品特定配置区域。

3

FIPS 模式字段设置为启用

4

选择保存

5

选择应用配置

6

重新启动电话。

关闭电话上的免提电话、耳机和听筒

您可以选择为用户永久关闭电话上的免提电话、头戴式耳机和听筒。

1

在 Cisco Unified Communications Manager 管理中,依次选择设备 > 电话,然后找到相应的电话。

2

导航至产品特定配置区域。

3

选中以下一个或多个复选框以关闭电话的功能:

  • 禁用免持话筒
  • 禁用免持话筒和头戴式耳机
  • 禁用听筒

缺省情况下,这些复选框未选中。

4

选择保存

5

选择应用配置

802.1x 验证

Cisco IP 电话支持 802.1X 验证。

Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。 CDP 不识别本地连接的工作站。 Cisco IP 电话提供 EAPOL 传递机制。 利用此机制,连接至 Cisco IP 电话的工作站会将 EAPOL 消息传递给 LAN 交换机处的 802.1X 验证器。 该传递机制可确保,在访问网络前 IP 电话不会充当 LAN 交换机来验证数据终端。

Cisco IP 电话还提供代理 EAPOL 注销机制。 如果本地连接的 PC 与 IP 电话断开,LAN 交换机看不到物理链路失效,因为保持了 LAN 交换机与 IP 电话之间的链路。 为了避免损害网络完整性,IP 电话会代表下游 PC 向交换机发送一则 EAPOL 注销的消息,这会触发 LAN 交换机清除下游 PC 的验证条目。

对 802.1X 验证的支持需要多个组件:

  • Cisco IP 电话:电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。 网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。 电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。

  • 身份验证服务器:身份验证服务器和交换机都必须配置用于对电话进行身份验证的共享密钥。

  • 交换机:交换机必须支持 802.1X,这样它才能充当验证器,并在电话和验证服务器之间传递消息。 在交换完成后,交换机会授予或拒绝电话访问网络的权限。

您必须执行以下操作来配置 802.1X。

  • 在电话上启用 802.1X 验证前配置其他组件。

  • 配置 PC 端口:802.1X 标准不会考虑 VLAN,因此建议只验证连接至特定交换机端口的单个设备。 但是,某些交换机支持多域验证。 交换机配置决定是否可以将 PC 连接至电话的 PC 端口。

    • 启用:如果您使用的是支持多域验证的交换机,可以启用 PC 端口并将 PC 连接至该端口。 在此情况下,Cisco IP 电话支持代理 EAPOL 注销,来监控交换机与所连 PC 之间的验证交换。

      有关 Cisco Catalyst 交换机上支持 IEEE 802.1X 的详细信息,请参阅位于以下网址的 Cisco Catalyst 交换机配置指南:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 禁用:如果交换机不支持同一端口上的多个符合 802.1X 的设备,应在启用 802.1X 验证后禁用 PC 端口。 如果不禁用此端口,后来又尝试将 PC 连接至该端口,交换机会拒绝对电话和 PC 的网络访问。

  • 配置语音 VLAN:由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。
    • 启用:如果您使用的是支持多域验证的交换机,则可以继续使用语音 VLAN。
    • 禁用:如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。
  • (仅适用于 Cisco 座机 9800 系列)

    Cisco 座机 9800 系列在 PID 中的前缀与其他 Cisco 电话的前缀不同。 要使您的电话通过 802.1X 身份验证,请设置 Radius·用户名 参数,用于包含您的 Cisco 座机 9800 系列。

    例如,电话 9841 的 PID 是 DP-9841;您可以设置 半径·以 DP 开头或 包含 DP 的用户名 您可以在以下两个部分中设置它:

    • 政策 > 条件 > 库条件

    • 策略 > 策略集 > 授权策略 > 授权规则 1

启用 802.1X 验证

您可以按照以下步骤为电话启用 802.1 X 验证:

1

设置the Settings hard key.

2

如果出现提示,输入密码以访问“ 设置 ”菜单。 您可以从管理员处获取密码。

3

导航到 网络和服务 > 安全设置 > 802.1X 身份验证

4

打开 IEEE 802.1X 身份验证。

5

选择应用

查看有关电话安全设置的信息

您可以在电话菜单中查看有关安全设置的信息。 信息的可用性取决于您组织中的网络设置。

1

设置the Settings key.

2

导航到 网络和服务 > 安全设置

3

在“安全性” 设置中,查看以下信息。

表 4. 安全设置参数

参数

说明

安全模式

显示为电话设置的安全模式。

LSC

指示用于安全功能的本地有效证书在电话上已安装(是)还是未在电话上安装(否)。

信任列表

“信任列表”提供 CTL、ITL 和签名配置文件的子菜单。

“CTL 文件”子菜单显示 CTL 文件的内容。 “ITL 文件”子菜单显示 ITL 文件的内容。

“信任列表”菜单还会显示以下信息:

  • CTL 签名:CTL 文件的 SHA1 哈希
  • Unified CM/TFTP 服务器:电话所使用的 Cisco Unified Communications Manager 和 TFTP 服务器的名称。 如果此服务器已安装证书,显示证书图标。
  • CAPF 服务器:电话所使用的 CAPF 服务器的名称。 如果此服务器已安装证书,显示证书图标。
  • SRST 路由器:电话能够使用的受信任 SRST 路由器的 IP 地址。 如果此服务器已安装证书,显示证书图标。

电话呼叫安全性

当为电话实施安全性时,可通过电话屏幕上的图标来识别安全电话呼叫。 如果在呼叫开始时播放安全音,则也可确定连接的电话是否安全并获得保护。

在安全呼叫中,所有呼叫信令和媒体流都会加密。 安全呼叫提供高级安全性,确保呼叫的完整性和私密性。 当呼叫进行中被加密时,您可以看到安全图标 安全呼叫的锁定图标 在线上。 对于安全电话,您还可以查看已验证的图标 或加密图标 在电话菜单(设置> 关于此设备 中连接的服务器旁边。

如果呼叫通过非 IP 呼叫分支(例如 PSTN)路由,则呼叫可能不安全,即使其已在 IP 网络内加密并且具有与之关联的锁定图标也不例外。

在安全的呼叫中,呼叫开始时会播放安全音,表示其他连接的电话也会接收和传输安全音。 如果您的呼叫连接到不安全的电话,则不会播放安全音。

只有两个电话之间的连接支持安全呼叫。 在配置安全呼叫后,某些功能(例如电话会议和共享线路)不可用。

当电话在 Cisco Unified Communications Manager 中配置为安全(加密和受信任)时,可以为其分配 保护 地位。 然后,如需要,受保护电话可以配置为在呼叫的开头播放提示音:

  • 受保护设备:要将安全电话的状态更改为受保护,请在 Cisco Unified Communications Manager 管理(设备 > 电话)中的“电话配置”窗口中选中“受保护设备”复选框。

  • 播放安全提示音:要使受保护电话播放安全或不安全提示音,请将“播放安全提示音”设置设为“真”。 默认情况下,“播放安全提示音”设置为“假”。 您可在 Cisco Unified Communications Manager 管理中设置此选项(系统 > 服务参数)。 选择此服务器,然后选择 Unified Communications Manager 服务。 在“服务参数配置”窗口中,选择“功能 - 安全音”区域中的选项。 默认值为“假”。

安全会议呼叫标识

您可启动安全电话会议并监控参加者的安全性级别。 使用此过程建立安全电话会议:

  1. 用户从安全电话启动会议。

  2. Cisco Unified Communications Manager 将安全会议桥分配给呼叫。

  3. 在添加参加者后,Cisco Unified Communications Manager 会验证每个电话的安全模式,并为会议维持安全级别。

  4. 电话会显示电话会议的安全性级别。 安全会议将显示安全图标 安全呼叫的锁定图标.

支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。

下表提供有关根据发起者电话安全性级别、参加者的安全性级别以及安全会议桥的可用性更改会议安全性级别的信息。

表格 5. 电话会议的安全性限制

发起者电话安全性级别

使用的功能

参与者的安全性级别

行动结果

不安全

会议

安全

不安全的会议桥

不安全的会议

安全

会议

至少一个成员不安全。

安全会议桥

不安全的会议

安全

会议

安全

安全会议桥

安全加密级别的会议

不安全

Meet Me

最低安全性级别已加密。

发起者接收消息“不满足安全级别,呼叫受拒”。

安全

Meet Me

最低安全性级别为不安全。

安全会议桥

会议接受所有呼叫。

安全电话呼叫标识

当您的电话与另一端的电话已配置为安全呼叫时,才可建立安全呼叫。 另一个电话可以位于相同的 Cisco IP 网络中或位于 IP 网络以外的网络。 安全呼叫只可以在两个电话之间进行。 在建立会议桥后,电话会议应支持安全呼叫。

遵照以下过程建立安全呼叫:

  1. 用户从安全电话(受保护的安全模式)启动呼叫。

  2. 电话将显示安全图标 安全呼叫的锁定图标 在电话屏幕上。 此图标表示电话已配置为安全呼叫,但这不表示其他连接的电话也会受保护。

  3. 如果呼叫连接至另一个安全电话,用户会听到一声安全音,表示对话两端已加密并受保护。 如果呼叫连接至不安全的电话,用户不会听到安全音。

支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。

只有受保护的电话才会播放这些安全或不安全的提示音。 不受保护的电话从不会播放提示音。 如果在呼叫过程中整个呼叫状态发生了变化,则提示音会改变并且受保护的电话会播放相应的提示音。

在以下情况下,受保护电话会播放提示音,但也可能不会播放:

  • 当“播放安全提示音”选项启用后:

    • 建立端到端安全媒体并且呼叫状态为安全时,电话会播放安全提示音(三声较长的哔声,中间停顿)。

    • 建立端对端非安全媒体并且呼叫状态为不安全时,电话将播放不安全提示音(六声短哔声并简短暂停)。

如果“播放安全提示音”选项禁用,不会播放任何提示音。

为插入提供加密

Cisco Unified Communications Manager 在建立会议时检查电话安全状态,然后更改会议的安全指示或阻止呼叫完成以保持系统中的完整性和安全性。

如果用于插入的电话没有配置为加密,则用户无法插入到加密的呼叫中。 在此情况下插入失败时,将在发起插入的电话上播放重拨提示音(急促的忙音)。

如果发起方电话配置为加密,则插入发起方可以从加密的电话插入到不安全的呼叫中。 进行插入后,Cisco Unified Communications Manager 将呼叫归类为不安全。

如果发起方电话配置为加密,则插入发起方可以插入到加密的呼叫中,并且电话指示呼叫已加密。

WLAN 安全

本节仅适用于具有 Wi-Fi 功能的电话型号。

WLAN 安全

由于范围内的所有 WLAN 设备均可接收所有其他 WLAN 流量,因此安全语音通信在 WLAN 中至关重要。 为了确保入侵者不会操纵或拦截语音流量,Cisco SAFE 安全体系结构支持该电话。 有关网络中安全性的详细信息,请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

Cisco 无线 IP 电话解决方案提供无线网络安全性,通过使用电话支持的以下身份验证方法防止未经授权的登录和通信中断:

  • 开放式验证:任何无线设备均可在开放式系统中请求验证。 收到请求的 AP 可允许任何请求方或仅允许用户列表中找到的请求方进行验证。 无线设备和接入点(AP)之间的通信可能未加密。

  • 可扩展身份验证协议 - 通过安全隧道(EAP-FAST)身份验证进行灵活身份验证:此客户端 - 服务器安全架构对 AP 和 RADIUS 服务器之间的传输层安全(TLS)隧道(如身份服务引擎(ISE))内的 EAP 事务进行加密。

    TLS 隧道使用受保护的访问凭证 (PAC) 进行客户端(电话)与 RADIUS 服务器之间的验证。 服务器将授权 ID (AID) 发送给客户端(电话),后者会选择适当的 PAC。 客户端(电话)将返回 PAC - 对 RADIUS 服务器不透明。 服务器通过主密钥解密 PAC。 现在,两个终端均包含 PAC 密钥,且 TLS 隧道已创建。 EAP-FAST 支持自动 PAC 部署,但您必须在 RADIUS 服务器上启用该功能。

    在 ISE 中,默认情况下,PAC 将在一周后过期。 如果电话有过期的 PAC,则电话获取新 PAC 时,与 RADIUS 服务器的验证要花较长的时间。 为避免 PAC 部署延迟,在 ISE 或 RADIUS 服务器上,将 PAC 过期期限设置为 90 天或更长时间。

  • 可扩展身份验证协议-传输层安全 (EAP-TLS) 验证:EAP-TLS 需要客户端证书用于身份验证和网络访问。 对于无线 EAP-TLS,客户端证书可以是 MIC、LSC 或用户安装的证书。

  • 受保护的可扩展验证协议 (PEAP):客户端(电话)与 RADIUS 服务器之间 Cisco 专有的、基于密码的相互验证方案。 电话可以使用 PEAP 对无线网络进行身份验证。 支持 PEAP-MSCHAPV2 和 PEAP-GTC 验证方法。

  • 预共享密钥(PSK):电话支持 ASCII 格式。 在设置 WPA/WPA2/SAE 预共享密钥时,您必须使用以下格式:

    ASCII:长度为 8 至 63 个字符的 ASCII 字符字符串(0-9、小写和大写 A-Z 以及特殊字符)

    示例:GREG123567@9ZX&W

以下验证方案使用 RADIUS 服务器管理验证密钥:

  • WPA/WPA2/WPA3:使用 RADIUS 服务器信息生成用于身份验证的唯一密钥。 由于这些密钥在中央 RADIUS 服务器生成,因此 WPA2/WPA3 提供比存储在 AP 和电话上的 WPA 预共享密钥更高的安全性。

  • 快速安全漫游:使用 RADIUS 服务器和无线域服务器 (WDS) 信息管理和验证密钥。 WDS 为启用 FT 的客户端设备创建安全凭证缓存,以便快速安全地重新进行身份验证。 Cisco 9861 和 9871 桌面电话以及 Cisco 8875 视频电话支持 802.11r(FT)。 支持无线和 DS,以实现快速、安全的漫游。 但我们强烈建议使用空中 802.11r (FT) 方法。

使用 WPA/WPA2/WPA3 时,加密密钥不会在电话上输入,而是在 AP 和电话之间自动派生。 但必须在每部电话上输入用于验证的 EAP 用户名和密码。

为确保语音流量安全,电话支持 TKIP 和 AES 加密。 当这些机制用于加密时,信令 SIP 数据包和语音实时传输协议(RTP)数据包在 AP 和电话之间都会被加密。

TKIP

WPA 使用 TKIP 加密,该加密比 WEP 有多项改进。 TKIP 提供每个信息包的密钥加密和更长的初始化向量 (IV) 来强化加密。 此外,消息完整性检查 (MIC) 可确保加密的信息包不会被更改。 TKIP 消除了有助于入侵者解密 WEP 密钥的 WEP 可预测性。

AES

用于 WPA2/WPA3 身份验证的加密方法。 此国家加密标准使用对称算法,加密和解密具有相同的密钥。 AES 使用大小为 128 位最小值的密码阻止链 (CBC) 加密,其支持的密钥大小为 128、192 和 256 位。 电话支持 256 位的密钥大小。

Cisco 9861 和 9871 桌面电话以及 Cisco 8875 视频电话不支持使用 CMIC 的 Cisco 密钥完整性协议(CKIP)。

验证和加密方案在无线 LAN 内设置。 VLAN 在网络和 AP 中配置,指定验证和加密的不同组合。 SSID 与 VLAN 以及特定验证和加密方案关联。 要使无线客户端设备成功进行身份验证,必须在 AP 和电话上配置相同的 SSID 及其身份验证和加密方案。

某些验证方案需要特定类型的加密。

  • 当您使用 WPA 预共享密钥、WPA2 预共享密钥或 SAE 时,必须在电话上静态设置预共享密钥。 这些密钥必须与 AP 上的密钥匹配。

  • 电话支持 FAST 或 PEAP 的自动 EAP 协商,但不支持 TLS。 对于 EAP-TLS 模式,您必须指定它。

下表中的验证和加密方案显示了与 AP 配置对应的电话的网络配置选项。

表格 6. 验证和加密方案
FSR 类型验证密钥管理加密受保护的管理帧(PMF)
802.11r(英尺)PSK

WPA-PSK

WPA-PSK-SHA256 格式

FT-PSK

AES
802.11r(英尺)WPA3 系列

SAE

FT-SAE 系列

AES
802.11r(英尺)EAP-TLS

WPA EAP

FT-EAP 系列

AES
802.11r(英尺)EAP-TLS(WPA3)

WPA-EAP-SHA256

FT-EAP 系列

AES
802.11r(英尺)EAP-FAST

WPA EAP

FT-EAP 系列

AES
802.11r(英尺)EAP-FAST(WPA3)

WPA-EAP-SHA256

FT-EAP 系列

AES
802.11r(英尺)EAP-PEAP

WPA EAP

FT-EAP 系列

AES
802.11r(英尺)EAP-PEAP(WPA3)

WPA-EAP-SHA256

FT-EAP 系列

AES

配置无线 LAN 配置文件

您可以通过配置凭证、频段、验证方法等来管理您的无线网络配置文件。

在配置 WLAN 配置文件之前,请牢记以下注意事项:

  • 用户名和密码

    • 当您的网络使用 EAP-FAST 和 PEAP 进行用户验证时,如果远程身份验证拨入用户服务 (RADIUS) 和电话需要,您必须配置用户名和密码。

    • 在无线 LAN 配置文件中输入的凭证必须与在 RADIUS 服务器上配置的凭证相同。

    • 如果在网络内使用域,则必须输入用户名及域名,格式为:domain\username

  • 以下操作可能会导致现有 Wi-Fi 密码被清除:

    • 输入无效的用户 ID 或密码
    • 当 EAP 类型设为 PEAP-MSCHAPV2 或 PEAP-GTC 时安装无效或过期的根 CA
    • 在将电话切换为新的 EAP 类型之前,禁用电话 RADIUS 服务器上所用的 EAP 类型
  • 要更改 EAP 类型,请确保首先在 RADIUS 服务器上启用新的 EAP 类型,然后再将电话切换到 EAP 类型。 当所有电话都已更改为新的 EAP 类型时,您便可以根据需要禁用以前的 EAP 类型。
1

在 Cisco Unified Communications Manager 管理中,选择设备 > 设备设置 > 无线 LAN 配置文件

2

选择您要配置的网络配置文件。

3

设置参数。

4

单击保存

手动安装验证服务器证书

如果简单证书注册协议 (SCEP) 不可用,您可以在电话上手动安装验证服务器证书。

必须为 EAP-TLS 安装用于颁发 RADIUS 服务器证书的根 CA 证书。

开始之前

在电话上安装证书之前,您必须将验证服务器证书保存到您的 PC 上。 证书必须采用 PEM (Base 64) 或 DER 编码格式。

1

在电话管理网页中选择证书

2

找到验证服务器 CA 字段,然后单击安装

3

浏览至您 PC 上的证书。

4

单击上传

5

上传完毕后需重新启动电话。

如果重新安装多个证书,则只会使用最后安装的证书。

手动安装用户证书

如果简单证书注册协议 (SCEP) 不可用,您可以在电话上手动安装用户证书。

厂商预装证书 (MIC) 可用作 EAP-TLS 用户证书。

用户证书安装完毕后,请将其添加到 RADIUS 服务器信任列表。

开始之前

在为电话安装用户证书之前,您必须拥有:

  • 保存到您 PC 上的用户证书。 证书必须是 PKCS #12 格式。

  • 用于提取证书的密码。

    此密码最长可达 16 个字符。

1

在电话管理网页中选择证书

2

找到用户安装字段,然后单击安装

3

浏览至您 PC 上的证书。

4

提取密码字段中,输入证书提取密码。

5

单击上传

6

上传完毕后需重新启动电话。

手动删除安全证书

如果简单证书注册协议 (SCEP) 不可用,您可以从电话中手动删除安全证书。

1

在电话管理网页中选择证书

2

证书页面找到证书。

3

单击删除

4

在删除过程完成后,重新启动电话。

配置 SCEP 参数

简单证书注册协议 (SCEP) 是用于自动配置和续订证书的一种标准。 SCEP 服务器可以自动维护您的用户和服务器证书。

您需要在电话网页上配置以下 SCEP 参数

  • RA IP 地址

  • SCEP 服务器根 CA 证书的 SHA-1 或 SHA-256 指纹

Cisco IOS 注册颁发机构 (RA) 可充当 SCEP 服务器的代理。 电话上的 SCEP 客户端使用从 Cisco Unified Communication Manager 下载的参数。 配置完这些参数后,电话会向 RA 发送 SCEP getcs 请求,然后设备使用定义的指纹验证根 CA 证书。

开始之前

在 SCEP 服务器上,将 SCEP 注册座席 (RA) 配置为:

  • 充当 PKI 信任点
  • 充当 PKI RA
  • 通过 RADIUS 服务器执行设备验证

有关详细信息,请参阅您的 SCEP 服务器文档。

1

在 Cisco Unified Communications Manager 管理中,选择设备 > 电话

2

找到此电话。

3

滚动至 Product Specific Configuration Layout(产品特定配置布局)区域。

4

选中 WLAN SCEP 服务器复选框以激活 SCEP 参数。

5

选中 WLAN 根 CA 指纹(SHA256 或 SHA1)复选框以激活 SCEP QED 参数。

设置支持的 TLS 版本

您可以分别设置客户端和服务器所需的最低 TLS 版本。

默认情况下,服务器和客户端的最低 TLS 版本均为 1.2。 该设置对以下功能有影响:

  • HTTPS Web 访问连接
  • 本地电话的载入
  • Mobile and Remote Access(MRA)入门
  • HTTPS 服务,例如 Directory 服务
  • 数据报传输层安全性(DTLS)
  • 端口访问实体(PAE)
  • 可扩展身份验证协议 - 传输层安全性(EAP-TLS)

有关 Cisco IP Phones 的 TLS 1.3 兼容性的详细信息,请参阅 Cisco 协作产品的 TLS 1.3 兼容性矩阵

1

以管理员身份登录到 Cisco Unified Communications Manager Administration 页面。

2

导航到以下窗口之一:

  • 系统 > 企业电话配置
  • 设备 > 设备设置 > 常用手机配置文件
  • Device > Phone > Phone 配置
3

设置 TLS 客户端最低版本 字段:

“TLS 1.3”选项在 Cisco Unified CM 15SU2 或更高版本上有空。
  • TLS 1.1:TLS 客户端支持从 1.1 到 1.3 的 TLS 版本。

    如果 server 中的 TLS 版本低于 1.1,例如 1.0,则无法建立连接。

  • TLS 1.2 (默认):TLS 客户端支持 TLS 1.2 和 1.3。

    如果 server 中的 TLS 版本低于 1.2,例如 1.1 或 1.0,则无法建立连接。

  • TLS 1.3:TLS 客户端仅支持 TLS 1.3。

    如果 server 中的 TLS 版本低于 1.3,例如 1.2、1.1 或 1.0,则无法建立连接。

4

设置 TLS Server Min Version 字段:

  • TLS 1.1:TLS 服务器支持从 1.1 到 1.3 的 TLS 版本。

    如果 client 中的 TLS 版本低于 1.1,例如 1.0,则无法建立连接。

  • TLS 1.2 (默认):TLS 服务器支持 TLS 1.2 和 1.3。

    如果客户端中的 TLS 版本低于 1.2,例如 1.1 或 1.0,则无法建立连接。

  • TLS 1.3:TLS 服务器仅支持 TLS 1.3。

    如果客户端中的 TLS 版本低于 1.3,例如 1.2、1.1 或 1.0,则无法建立连接。

从 PhoneOS 3.2 版本开始,“禁用 TLS 1.0 和 TLS 1.1 网页访问”字段的设置在话机上不起作用。
5

单击保存

6

单击应用配置

7

重新启动电话。

受保障服务 SIP

受保障服务 SIP (AS-SIP) 是各种功能和协议的集合,为 Cisco IP 电话和第三方电话提供高度安全的呼叫流程。 以下功能统称为 AS-SIP:

  • 多级优先与预占 (MLPP)
  • 差分服务代码点 (DSCP)
  • 传输层安全 (TLS) 和安全实时传输协议 (SRTP)
  • Internet 协议版本 6 (IPv6)

AS-SIP 通常与多级优先与预占 (MLPP) 一起用于在紧急情况下确定呼叫的优先级。 通过 MLPP,您可为去电分配优先级,从级别 1(低)到级别 5(高)。 当您收到呼叫时,电话上会显示表明呼叫优先级的优先级图标。

要配置 AS-SIP,请在 Cisco Unified Communications Manager 上完成以下任务:

  • 配置 Digest 用户 — 配置最终用户以对 SIP 请求使用 Digest 验证。
  • 配置 SIP 电话安全端口 — Cisco Unified Communications Manager 使用此端口通过 TLS 监听 SIP 电话的 SIP 线路注册。
  • 重新启动服务 — 在配置安全端口之后,重新启动 Cisco Unified Communications Manager 和 Cisco CTL 提供程序服务。 为 AS SIP 配置 SIP 配置文件 — 使用 SIP 设置为您的 AS-SIP 终端和 SIP 干线配置 SIP 配置文件。 电话特定参数不会下载到第三方 AS-SIP 电话。 它们仅供 Cisco Unified Manager 使用。 第三方电话必须在本地配置相同的设置。
  • 为 AS-SIP 配置电话安全配置文件 — 您可以使用电话安全配置文件分配 TLS、SRTP 和 Digest 验证等安全设置。
  • 配置 AS-SIP 终端 — 使用 AS-SIP 支持配置 Cisco IP 电话或第三方终端。
  • 将设备与最终用户关联 - 将终端与用户关联。
  • 为 AS-SIP 配置 SIP 干线安全配置文件 — 您可以使用 SIP 干线安全配置文件将 TLS 或 Digest 验证等安全功能分配给 SIP 干线。
  • 为 AS-SIP 配置 SIP 干线 — 使用 AS-SIP 支持配置 SIP 干线。
  • 配置 AS-SIP 功能 — 配置 MLPP、TLS、V.150 和 IPv6 等其他 AS-SIP 功能。

有关配置 AS-SIP 的详细信息,请参阅《Cisco Unified Communications Manager 功能配置指南》中的“配置 AS-SIP 终端”一章。

多级优先与预占

多级优先与预占 (MLPP) 可用于在紧急情况或其他危急情况期间确定呼叫的优先级。 您可以为拨出呼叫分配一个优先级,范围从 1 到 5。来电会显示一个图标和呼叫优先级。 已经过身份验证的用户可以预占到目标站或通过完全订阅 TDM 干线的呼叫。

此功能可确保高级人员与重要组织和人员的沟通。

MLPP 通常与受保障服务 SIP(AS-SIP) 配合使用。 有关配置 MLPP 的详细信息,请参阅《Cisco Unified Communications Manager 功能配置指南》中的 “配置多级优先和抢占 ”一章

设置 FAC 和 CMC

在电话上配置强制授权码(FAC)或客户码(CMC)或两者时,用户必须输入所需的密码才能拨出号码。

有关如何在 Cisco Unified Communications Manager 中设置 FAC 和 CMC 的更多信息,请参阅《Cisco Unified Communications Manager 功能配置指南》中的Client Matter 代码和强制授权代码 ”一章、版本 12.5 (1) 或更高版本