Webkonferenz-Datenverkehrdurchquerung

Letztes Änderungsdatum des Themas: 2011-07-17

Um Webkonferenzen mit externen Benutzern zu ermöglichen, muss der für das Einrichten und Beenden von Konferenzen erforderliche SIP-Signaldatenverkehr über einen Zugriffs-Edgedienst geregelt werden. Außerdem muss der Webkonferenz-Edgedienst als Proxy für die Übermittlung von Besprechungsinhalten wie z. B. Folien, Whiteboards oder Fragen und Antworten zwischen internen und externen Benutzern fungieren. Darüber hinaus wird für das Herunterladen und Entschlüsseln von Folien ein HTTP-Reverseproxy benötigt. Die folgende Abbildung stellt die Anruffolge dar.

Anruffolge zur Ermöglichung von Webkonferenzen mit externen Benutzern

1. Ein externer Benutzer erhält per E-Mail eine Einladung zur Teilnahme an einer Webkonferenz. Die E-Mail-Nachricht enthält einen Konferenzschlüssel und einen URI für die Konferenzverbindung. Schlüssel und URI gelten nur für diese spezielle Besprechung.

   Die Besprechungs-URL ist kein HTTP-basierter URI. Aus diesem Grund kann ein Endbenutzer nicht an einer Konferenz teilnehmen, indem er den URI in einen Browser kopiert.

2. Der externe Benutzer startet den Beitrittsvorgang durch Anklicken des Besprechungs-URI in der E-Mail. Daraufhin wird die Live Meeting-Konsole gestartet, die eine SIP INVITE-Anforderung mit den Anmeldeinformationen des Benutzers sendet. Ein Verbund- oder Remotebenutzer tritt einer Konferenz über die Anmeldeinformationen des Unternehmens bei. Bei einem Verbundbenutzer wird die SIP INVITE-Anforderung zunächst an den Homeserver gesendet, der den Benutzer authentifiziert und die INVITE-Anforderung an das hostende Unternehmen weiterleitet. Ein anonymer Benutzer muss die Digestauthentifizierung erfolgreich bestehen. Ausführliche Informationen zur Digestauthentifizierung finden Sie unter Benutzer- und Clientauthentifizierung für Lync Server 2010.

3. Ein Director oder Front-End-Server authentifiziert den anonymen bzw. den Remotebenutzer und benachrichtigt den Client. (Wie in Schritt 2 erwähnt, werden Verbundbenutzer, die einer Konferenz beitreten, von ihrem Unternehmen authentifiziert.)

4. Der Client sendet eine INFO-Anfrage, um den Benutzer der Webkonferenz hinzuzufügen.

5. Die Webkonferenzen senden eine entsprechende Antwort, die neben anderen Informationen das Token für den Webkonferenz-Edgedienst enthält.

   Beachten Sie, dass der gesamte vorhergehende SIP-Datenverkehr über den Zugriffs-Edgedienst geleitet wurde.

6. Der Client verbindet sich mit dem Webkonferenzserver, der das Token überprüft und als Proxy die Anfrage, die ein weiteres Autorisierungstoken enthält, an den internen Webkonferenzserver weiterleitet. Der Webkonferenzserver überprüft das Autorisierungstoken, das er ursprünglich über den SIP-Kanal ausgegeben hatte, um die Berechtigung des der Konferenz beitretenden Benutzers eingehender zu prüfen.

7. Der Webkonferenzserver sendet dem externen Benutzer die Folien-URL zur Besprechung sowie einen Schlüssel für die Entschlüsselung der Folie.

   Die URL des Folieninhalts wird zufällig generiert und ist für den Benutzer unsichtbar. Sie ist in der anfänglichen E-Mail nicht enthalten und kann auf dem Client nicht entdeckt werden. Das Durchsuchen von Verzeichnissen ist auf dem Webkomponentenserver ebenfalls untersagt. Der Schlüssel zu den Folien ist vom Konferenzschlüssel getrennt und speziell auf die Konferenzressource und die spezielle Besprechung zugeschnitten. Der Benutzer erhält diesen Schlüssel erst nach seiner Authentifizierung auf dem SIP-Kanal.

8. Der externe Benutzer lädt die Folien herunter und entschlüsselt sie mithilfe des eindeutigen Folienschlüssels.

   Folien und andere Konferenzressourcen werden mit 128-Bit-AES verschlüsselt. Der einzige Weg zur Entschlüsselung AES-verschlüsselter Inhalte besteht in der Brute-Force-Methode. Die Zahl der möglichen Schlüssel ist jedoch so groß, dass ein erfolgreicher Brute-Force-Angriff in der Kürze der zur Verfügung stehenden Zeit rechnerisch unmöglich ist. Beachten Sie, dass die Besprechungsinhalte und der Schlüssel lediglich für den Prozess festgehalten und nicht physisch auf dem Festplattelaufwerk des Benutzers gespeichert werden.