Attraversamento del traffico dei servizi di conferenza Web

Ultima modifica dell'argomento: 2011-07-17

Per abilitare i servizi di conferenza Web con gli utenti esterni, è necessario un Access Edge Server per gestire la segnalazione SIP indispensabile per configurare e interrompere una conferenza. È inoltre necessario che un Web Conferencing Edge Server funga da proxy per il trasferimento del contenuto della riunione, ad esempio diapositive, lavagna e domande e risposte tra gli utenti interni ed esterni. È necessario anche un proxy inverso HTTP per consentire il download e la decrittografia delle diapositive. La sequenza di chiamate è illustrata nella figura seguente.

Sequenza di chiamate per abilitare i servizi di conferenza Web con gli utenti esterni

1. Un utente esterno riceve un messaggio di posta elettronica contenente un invito a partecipare a una conferenza Web. Il messaggio contiene una chiave conferenza e un URI di collegamento alla conferenza. Sia la chiave che l'URI sono univoci per questa particolare riunione.

   L'URL della riunione non è un URI basato su HTTP. Un utente finale non può pertanto accedere a una conferenza copiando l'URI e incollandolo in un browser.

2. L'utente esterno avvia la procedura di accesso facendo clic sull'URI della riunione nel messaggio di posta elettronica. Viene avviata la console Live Meeting, che invia una richiesta SIP INVITE contenente le credenziali dell'utente. Un utente federato o remoto accede a un servizio di conferenza utilizzando le credenziali aziendali. Per un utente federato, la richiesta SIP INVITE viene innanzitutto inviata al server principale, che autentica l'utente e inoltra la richiesta all'organizzazione che ospita la conferenza. Per un utente anonimo è necessario passare l'autenticazione del digest. Per informazioni dettagliate sull'autenticazione del digest, vedere Autenticazione utente e client per Lync Server 2010.

3. Un Director o un Front End Server autentica l'utente remoto o anonimo e invia una notifica al client. Come indicato nel passaggio 2, gli utenti federati che accedono a una conferenza vengono autenticati dalla propria organizzazione.

4. Il client invia una richiesta INFO per aggiungere l'utente alla conferenza Web.

5. La conferenza Web invia una risposta per l'aggiunta dell'utente, contenente il token da presentare, tra le altre informazioni, al Web Conferencing Edge Server.

   Si noti che tutto il traffico SIP precedente è passato attraverso il servizio Access Edge.

6. Il client si connette al Web Conferencing Server, che convalida il token e delega la richiesta, contenente un altro token di autorizzazione, al Web Conferencing Server interno. Il Web Conferencing Server convalida il token di autorizzazione, emesso in origine sul canale SIP, per avere un'ulteriore conferma che l'utente che sta accedendo alla conferenza sia valido.

7. Il Web Conferencing Server invia all'utente esterno l'URL della diapositiva per la riunione, insieme a una chiave per decrittografare la diapositiva.

   L'URL del contenuto della diapositiva viene generato casualmente e non è visibile per l'utente. Non è incluso nel messaggio di posta elettronica iniziale e non è individuabile nel client. L'esplorazione delle directory non è consentita neanche nel Web Components Server. La chiave delle diapositive è distinta da quella della conferenza ed è univoca per questa risorsa della conferenza e questa particolare riunione. L'utente riceve questa chiave solo dopo essere stato autenticato nel canale SIP.

8. L'utente esterno scarica le diapositive e le decrittografa con la chiave univoca.

   Le diapositive e le altre risorse della conferenza vengono crittografate tramite AES a 128 bit. Con la crittografia AES, il solo modo per decrittografare il contenuto è tramite un attacco di forza bruta, ma il numero di chiavi possibili è così elevato che è praticamente impossibile portare a termine un attacco di questo tipo nel breve intervallo di tempo in cui sarebbero disponibili. Si noti che le chiavi e il contenuto della riunione vengono archiviati solo durante il processo e non vengono fisicamente archiviate nel disco rigido dell'utente.