Web 會議流量周遊
上次修改主題的時間: 2009-03-10
若要啟用包含外部使用者的 Web 會議,則需要 Access Edge Service 處理設立和移除會議所需的 SIP 訊號。此外還需要 Web Conferencing Edge Service 做為 Proxy,於內部和外部使用者之間傳輸會議內容,例如投影片、白板和問答。另外還需要 HTTP 反向 Proxy,才能下載和解密投影片。圖 1 中描述的通話程序如下:
圖 1. 啟用包含外部使用者之 Web 會議的通話程序
- 外部使用者收到邀請參加 Web 會議的電子郵件。此電子郵件包含會議金鑰和會議的 URI 連結。金鑰和 URI 都是這個特殊會議專用。
會議 URL 不是 HTTP 型的 URI。因此,使用者無法透過複製 URI 並貼入瀏覽器的方式參加會議。URI 的格式為 meet:sip:Organizer@domain;ms-app=conf;ms-conf-id=1234。受邀的使用者按一下會議 URI 時,[Live Meeting 主控台] 便會啟動,並嘗試為每一個 [Live Meeting 主控台] 設定 (手動或自動設定) 連線到伺服器。 - 外部使用者按一下電子郵件中的會議 URI,啟動參加程序。這樣會啟動 Live Meeting 主控台,它會傳送包含使用者認證的 SIP INVITE。同盟使用者或遠端使用者可以使用企業認證參加會議。若為同盟使用者,SIP INVITE 會先傳送到其主伺服器,該伺服器會驗證使用者並且將 INVITE 轉寄至主控會議的企業。匿名使用者則需通過摘要式驗證。如需摘要式驗證的詳細資訊,請參閱Office Communications Server 2007 R2 的驗證。
- Director 或前端伺服器會驗證遠端或匿名使用者,並且通知用戶端 (如步驟 2 中所述,參加會議的同盟使用者會由其企業驗證)。
- 用戶端會傳送 INFO 要求,以便將使用者加入 Web 會議。
- Web 會議會傳送加入「使用者」回應,其中除了其他資訊之外,還包含要向 Web Conferencing Edge Service 提供的權杖。
請注意,上述所有 SIP 流量都會通過 Access Edge Service。 - 用戶端連線到 Web 會議伺服器,該伺服器會驗證權杖,並且將其中包含另一個授權權杖的要求轉送至內部 Web 會議伺服器。Web 會議伺服器會驗證原本經由 SIP 通道發出的授權權杖,以便進一步確認參加會議的是有效使用者。
- Web 會議伺服器會將會議的投影片 URL 連同解密投影片的金鑰,一起傳送給外部使用者。
投影片內容的 URL 是隨機產生,且使用者無法看見。它不包含在啟動電子郵件中,也無法在用戶端上探索。Web 元件伺服器上也同樣會禁止進行目錄瀏覽。投影片的金鑰與會議金鑰不同,而且是這個會議資源和這個特定會議專用。使用者在 SIP 通道上通過驗證之後,才會收到這個金鑰。 - 外部使用者可下載投影片,並且使用專屬投影片金鑰進行解密。
投影片和其他會議資源使用 128 位元 AES 進行加密。若採用 AES 加密,解密內容的唯一方式是透過暴力密碼破解 (Brute Force),但是可能的金鑰數量非常龐大,因此無法在暴露於攻擊的短暫時間內完成暴力密碼破解。請注意,會議內容和金鑰僅保存在處理序中,不會實際儲存在使用者的硬碟機上。