企业内部的通信系统一般部署在私网内部，在网络边缘部署 SBC 或者语音网关与外部进行通信，因此大部分场景下企业通信都很安全。然而越来越多的企业在云端部署 SIP 服务器，而企业内部的 SIP 终端也越来越多地从外部网络接入企业 SIP 服务器，这使得部分（或者全部）企业通信系统暴露在公共网络中，安全问题日益严重。

企业 SIP 通信安全涉及网络系统的许多方面，例如防火墙等。仅就 SIP 通信本身而言必须加密，避免将通信信息暴露给其他网络用户。加密的 SIP 通信包含两个部分：（1）SIP 消息（信令）加密，以及（2）语音流（RTP）加密，如下图所示：

当然，企业可以部署 VPN 将整个网络系统（不仅仅是通信系统，也包括办公系统等）进行加密，加密的 SIP 通信也可以建立在 VPN 之上。建立企业 VPN 成本比较高、系统比较复杂，本文仅讨论加密的 SIP 通信，不涉及VPN 等其他网络安全技术。

SIP 消息的加密通过「SIP over TLS」实现，云 miniSIPServer、本地 miniSIPServer 以及 miniSIPPhone 都支持 SIP over TLSv1.2 / TLSv1.3。请参考在线文档，本文不再赘述。

语音流通过 SRTP 传输实现加密，SRTP 的 master key 和 master salt 通过 SIP 消息的 SDP （ RFC4568 ）传输、协商，因此 SIP 消息加密才能确保 SRTP 的关键信息不会泄露，仅仅 SRTP 传输加密语音流、但是明文传递 SIP 消息，不能确保整个 SIP 通信的安全性。

RFC4568 中定义了几种加密套件，目前我们选择支持默认的 AES_CM_128_HMAC_SHA1_80 ，暂不支持其他加密套件。

SRTP 协议族包含诸多扩展，目前 miniSIPServer 和 miniSIPPhone 支持最基础的 RFC3711 协议，这也是绝大多数 SIP 设备（包括服务器、PBX、SBC 以及终端）都支持的基础 SRTP 协议。目前不支持 DTLS-SRTP，主要考虑以下几点：（1）SIP over TLS 已经可以确保 master key & salt 的安全性，与 DTLS 的作用等效；（2）虽然 WebRTC 等互联网技术广泛采用了 DTLS-SRTP，但大部分 SIP 设备并不支持 DTLS-SRTP，在企业 SIP 通信领域会有互联互通的问题。

miniSIPServer 和 miniSIPPhone 默认可以选择 SRTP，无需额外的配置。部分 SIP 设备需要明确配置是否选择 SRTP，例如 MicroSIP 在配置账号时，「Media Encryption」需做以下设定：