【51CTO独家特稿】微软发布的OCS( Office Communications Server)是集即时消息、多媒体会议、VoIP等于一体的通信软件,目前已在各企业进行广泛应用,本文将就其安全机制进行相关探析。
1、身份验证服务
身份验证是向可信服务器提供用户凭据的过程。Office Communications Server 2007 R2 使用以下三种身份验证协议,具体取决于用户的状态和位置。
1. MIT Kerberos 版本 5 安全协议 - 用于具有 Active Directory 凭据的内部用户。Kerberos 要求客户端与 Active Directory 域服务器建立连接,这就是此协议不能用于对企业防火墙外部的客户端进行身份验证的原因。
2. NTLM 协议 - 用于具有 Active Directory 凭据且从企业防火墙外部的终结点进行连接的用户。访问边缘服务将登录请求传递给 Director(如果存在)或前端服务器以进行身份验证。而访问边缘服务本身不执行任何身份验证。
3. 摘要式协议 - 用于所谓的匿名用户。匿名用户是指满足以下条件的外部用户:这些用户虽然不具备认可的 Active Directory 凭据,但已被邀请参与内部会议并且拥有有效的会议密钥。摘要式身份验证不能用于其他客户端交互活动。
Office Communications Server 2007 R2 身份验证包括以下两个阶段:
1. 在客户端和服务器之间建立安全关联。
2. 客户端和服务器使用现有的安全关联签署它们发送的消息并验证接收到的消息。如果在服务器上启用了身份验证,则不会接受来自客户端的未经身份验证的消息。
2、网络加密
为保护在网络中不断流通的数据的安全,OCS 2007默认状态下对通讯过程进行了加密。通过使用传输层安全协议(TLS,Transport Layer Security )和相互传输层安全协议(MTLS,Mutual Transport Layer Security ),来实现端点认证以及端点加密。服务器到服务器的SIP通讯使用的是MTLS,而客户端服务器使用的是TLS。这些协议能够使通讯数据免受中间人攻击和窃听的威胁。
TLS和MTLS同时还被用来加密即时通讯信息。对于客户端到客户端的即时通讯,TLS加密是作为可选项来供企业选择的。而OCS通讯与公共即时通讯服务器之间的通讯则是被自动加密的,另外,是否对公共即时通讯服务器与外部客户端间的通讯,则取决于公共即时通讯供应商。
安全实时传输协议(SRTP)是用来对流媒体进行加密的。SRTP能够通过添加身份验证、保密性和重放保护来保障RTP数据的安全。
3、 公钥基础设施
OCS 2007的服务器验证服务是通过使用由公司内部的CA证书服务器签发的数字证书来实现的。 OCS是默认设计为与Windows 公钥基础设施(PKI)一起来实现服务器验证。
对于OCS,所有的服务器证书都必须能够支持增强型密钥用法(EKU)以便对服务器进行验证。MTLS采用的也是这种方式。服务器证书还必须包括至少一个证书撤消列表(CRL)分发点。
【51CTO独家特稿,合作站点转载请注明原文译者和出处。】
【编辑推荐】
