【51CTO獨家特稿】微軟發(fā)布的OCS（ Office Communications Server）是集即時消息、多媒體會議、VoIP等于一體的通信軟件，目前已在各企業(yè)進行廣泛應用，本文將就其安全機制進行相關探析。

1、身份驗證服務

身份驗證是向可信服務器提供用戶憑據(jù)的過程。Office Communications Server 2007 R2 使用以下三種身份驗證協(xié)議，具體取決于用戶的狀態(tài)和位置。

1. MIT Kerberos 版本 5 安全協(xié)議 - 用于具有 Active Directory 憑據(jù)的內(nèi)部用戶。Kerberos 要求客戶端與 Active Directory 域服務器建立連接，這就是此協(xié)議不能用于對企業(yè)防火墻外部的客戶端進行身份驗證的原因。

2. NTLM 協(xié)議 - 用于具有 Active Directory 憑據(jù)且從企業(yè)防火墻外部的終結(jié)點進行連接的用戶。訪問邊緣服務將登錄請求傳遞給 Director（如果存在）或前端服務器以進行身份驗證。而訪問邊緣服務本身不執(zhí)行任何身份驗證。

3. 摘要式協(xié)議 - 用于所謂的匿名用戶。匿名用戶是指滿足以下條件的外部用戶：這些用戶雖然不具備認可的 Active Directory 憑據(jù)，但已被邀請參與內(nèi)部會議并且擁有有效的會議密鑰。摘要式身份驗證不能用于其他客戶端交互活動。

Office Communications Server 2007 R2 身份驗證包括以下兩個階段：

1. 在客戶端和服務器之間建立安全關聯(lián)。

2. 客戶端和服務器使用現(xiàn)有的安全關聯(lián)簽署它們發(fā)送的消息并驗證接收到的消息。如果在服務器上啟用了身份驗證，則不會接受來自客戶端的未經(jīng)身份驗證的消息。

2、網(wǎng)絡加密

為保護在網(wǎng)絡中不斷流通的數(shù)據(jù)的安全，OCS 2007默認狀態(tài)下對通訊過程進行了加密。通過使用傳輸層安全協(xié)議(TLS，Transport Layer Security )和相互傳輸層安全協(xié)議(MTLS，Mutual Transport Layer Security )，來實現(xiàn)端點認證以及端點加密。服務器到服務器的SIP通訊使用的是MTLS，而客戶端服務器使用的是TLS。這些協(xié)議能夠使通訊數(shù)據(jù)免受中間人攻擊和竊聽的威脅。

TLS和MTLS同時還被用來加密即時通訊信息。對于客戶端到客戶端的即時通訊，TLS加密是作為可選項來供企業(yè)選擇的。而OCS通訊與公共即時通訊服務器之間的通訊則是被自動加密的，另外，是否對公共即時通訊服務器與外部客戶端間的通訊，則取決于公共即時通訊供應商。

安全實時傳輸協(xié)議(SRTP)是用來對流媒體進行加密的。SRTP能夠通過添加身份驗證、保密性和重放保護來保障RTP數(shù)據(jù)的安全。

3、 公鑰基礎設施

OCS 2007的服務器驗證服務是通過使用由公司內(nèi)部的CA證書服務器簽發(fā)的數(shù)字證書來實現(xiàn)的。 OCS是默認設計為與Windows 公鑰基礎設施(PKI)一起來實現(xiàn)服務器驗證。

對于OCS，所有的服務器證書都必須能夠支持增強型密鑰用法(EKU)以便對服務器進行驗證。MTLS采用的也是這種方式。服務器證書還必須包括至少一個證書撤消列表(CRL)分發(fā)點。

【51CTO獨家特稿，合作站點轉(zhuǎn)載請注明原文譯者和出處?！?/p>

【編輯推薦】

1. 相互融合 當Windows Phone遭遇Office Mobile 2010
2. 微軟Office 2010今年6月上市 預熱活動上線
3. 云應用之戰(zhàn)：谷歌Apps vs.微軟Office