NFON oferuje klientom sygnalizację VoIP i szyfrowanie parą nośników. W trakcie tego procesu, połączenie z linkiem, a następnie dane głosowe są szyfrowane. Jest to proces typu end-to-end, tzn. od telefonu do centrum danych NFON, w którym obsługiwany jest system telefoniczny.

W trakcie zabezpieczania urządzeń końcowych, dane certyfikatu są ładowane do urządzeń końcowych w celu zabezpieczenia sygnalizacji SIP za pomocą protokołu TLS. Urządzenia końcowe są następnie rejestrowane za pomocą przydzielonej bramy szyfrującej, która jest obsługiwana w centrach danych NFON, posiadających wiele warstw zabezpieczeń.

W trakcie konfigurowania zabezpieczonego połączenia za pomocą TLS (256 bitów AES), klucze są wymieniane w celu późniejszego zaszyfrowania strumieni multimedialnych (poprzez SDES).Są one używane jednorazowo do zabezpieczenia połączeń. Jeśli jest to obsługiwane przez urządzenie końcowe, wyświetlacz wskazuje, kiedy połączenia są zabezpieczone.

Ścieżka od urządzenia końcowego do centrum danych jest więc w pełni zabezpieczona (a więc również w sieci LAN klienta). Brama szyfrująca znajduje się w tej samej sieci co serwer systemu telefonicznego. Ponieważ szyfrowanie odbywa się wyłącznie w oparciu o protokół IP, połączenia z centrum przetwarzania danych do publicznej sieci telefonicznej (sieci stacjonarnej i komórkowej) nie są szyfrowane.

Opisane rozwiązanie szyfrujące jest kompatybilne z następującymi urządzeniami końcowymi:

• telefony stacjonarne
• Telefony DECT
  • Gigaset N670 IP Pro
  • Gigaset N870 IP Pro
• ATA's
  • Grandstream
  • Patton

Inne urządzenia, które również obsługują szyfrowanie:

Nsoftphone premium (Softphone) od wersji 8.0.0 (i wyższej)

Ponieważ szyfrowanie sygnalizacji odbywa się już w urządzeniach końcowych, routery krawędziowe klienta nie są w stanie śledzić sygnalizacji i dlatego dynamicznie otwierają i zamykają porty dla strumieni mediów.

W związku z tym należy otworzyć szeroki zakres portów UDP dla ruchu wychodzącego; wszystkie strumienie mediów muszą być uruchamiane przez połączenie internetowe.

Po włączeniu szyfrowania dla klienta wszystkie urządzenia zatwierdzone do szyfrowania zostaną automatycznie przełączone na to ustawienie. W rozliczeniach zawsze będą uwzględniane tylko te urządzenia, które są zgodne z szyfrowaniem.