تجربة المستخدم

يختار المستخدمون نوع الاجتماع عند جدولة اجتماع. عند قبول المشاركين من القاعة، وكذلك أثناء الاجتماع، يمكن للمضيف رؤية حالة التحقق من هوية كل مشارك. هناك أيضًا رمز اجتماع مشترك بين جميع المشاركين الحاليين في الاجتماع، والذي يمكنهم استخدامه للتحقق من أن اجتماعهم لم يتم اعتراضه بواسطة هجوم Meddler In The Middle (MITM) غير المرغوب فيه من قبل جهة خارجية.

شارك المعلومات التالية مع مضيفي الاجتماعات:

التحقق من الهوية باستخدام سلطة التصديق الداخلية أو الخارجية

التحقق من الهوية

يوفر التشفير الشامل مع التحقق من الهوية أمانًا إضافيًا للاجتماع المشفر الشامل.

عندما ينضم المشاركون أو الأجهزة إلى مجموعة MLS (أمان طبقة الرسائل) المشتركة، فإنهم يعرضون شهاداتهم على أعضاء المجموعة الآخرين، الذين يقومون بعد ذلك بالتحقق من صحة الشهادات مقابل هيئات إصدار الشهادات (CA). من خلال التأكد من صحة الشهادات، تقوم سلطة التصديق بالتحقق من هوية المشاركين، ويظهر الاجتماع المشاركين/الأجهزة على أنها تم التحقق منها.

يقوم مستخدمو تطبيق Webex بمصادقة أنفسهم على مخزن هويات Webex، والذي يصدر لهم رمز وصول عند نجاح المصادقة. إذا احتاجوا إلى شهادة للتحقق من هويتهم في اجتماع مشفر من البداية إلى النهاية، تصدر لهم هيئة CA في Webex شهادة بناءً على رمز الوصول الخاص بهم. في الوقت الحالي، لا نقدم طريقة لمستخدمي Webex Meetings للحصول على شهادة صادرة عن جهة خارجية/CA.

يمكن للأجهزة مصادقة نفسها باستخدام شهادة صادرة عن المرجع المصدق الداخلي (Webex) أو شهادة صادرة عن مرجع مصدق خارجي:

  • سلطة التصديق الداخلية—تصدر Webex شهادة داخلية استنادًا إلى رمز الوصول الخاص بحساب جهاز الجهاز. يتم توقيع الشهادة بواسطة Webex CA. لا تحتوي الأجهزة على معرفات مستخدم بنفس الطريقة التي يمتلكها المستخدمون، لذا يستخدم Webex أحد نطاقات مؤسستك عند كتابة هوية شهادة الجهاز (الاسم الشائع (CN)).

  • سلطة التصديق الخارجية - اطلب شهادات الجهاز وقم بشرائها مباشرةً من الجهة المصدرة التي اخترتها. يجب عليك تشفير الشهادات وتحميلها مباشرة وتفويضها باستخدام سر معروف لك فقط.

    لا تشارك شركة Cisco في هذا الأمر، مما يجعل هذه الطريقة هي الطريقة لضمان التشفير الحقيقي من البداية إلى النهاية والتحقق من الهوية، ومنع الاحتمال النظري بأن شركة Cisco قد تتنصت على اجتماعك/تفك تشفير الوسائط الخاصة بك.

شهادة الجهاز الصادرة داخليا

يصدر Webex شهادة إلى الجهاز عند تسجيله بعد بدء التشغيل ، ويجددها عند الضرورة. بالنسبة إلى الأجهزة، تتضمن الشهادة معرف الحساب ونطاقا.

إذا لم يكن لدى مؤسستك مجال، فسيصدر Webex CA الشهادة بدون مجال.

إذا كان لدى مؤسستك نطاقات متعددة، يمكنك استخدام مركز التحكم لإخبار Webex بالنطاق الذي سيستخدمه الجهاز لهويته. يمكنك أيضًا استخدام واجهة برمجة التطبيقات xConfiguration Conference EndToEndEndEncryption Identity PreferredDomain: "example.com".

إذا كان لديك نطاقات متعددة ولم تقم بتعيين النطاق المفضل للجهاز ، فسيختار Webex نطاقا لك.

شهادة الجهاز الصادرة خارجيا

يمكن للمسؤول توفير جهاز بشهادته الخاصة التي تم توقيعها باستخدام أحد المراجع المصدقة العامة.

يجب أن تستند الشهادة إلى زوج مفاتيح ECDSA P-256 ، على الرغم من أنه يمكن توقيعها بواسطة مفتاح RSA.

القيم الموجودة في الشهادة هي وفقا لتقدير المؤسسة. سيتم عرض الاسم الشائع (CN) واسم الموضوع البديل (SAN) في واجهة مستخدم اجتماع Webex، كما هو موضح في التشفير الشامل مع التحقق من الهوية لاجتماعات Webex.

نوصي باستخدام شهادة منفصلة لكل جهاز والحصول على رقم CN فريد لكل جهاز. على سبيل المثال، "meeting-room-1.example.com" للمنظمة التي تمتلك النطاق "example.com".

من أجل حماية الشهادة الخارجية بالكامل من العبث ، يتم استخدام ميزة سرية للعميل لتشفير وتوقيع أوامر xcommand المختلفة.

عند استخدام سر العميل، من الممكن إدارة شهادة هوية Webex الخارجية بشكل آمن عبر xAPI. يقتصر هذا حاليا على الأجهزة عبر الإنترنت.

يوفر Webex حاليًا أوامر API لإدارة هذا.

الميزات والقيود

الأجهزة

يمكن لأجهزة سلسلة Webex Room وسلسلة Webex Desk المسجلة في السحابة التالية الانضمام إلى اجتماعات E2EE:

  • Webex Board

  • Webex Desk Pro

  • Webex Desk

  • Webex Room Kit

  • Webex Room Kit Mini

لا يمكن للأجهزة التالية الانضمام إلى اجتماعات E2EE:

  • سلسلة Webex C

  • سلسلة Webex DX

  • سلسلة Webex EX

  • سلسلة Webex MX

  • أجهزة SIP التابعة لجهات خارجية

عملاء البرمجيات

  • يمكن لتطبيق Webex لأجهزة سطح المكتب والأجهزة المحمولة الانضمام إلى اجتماعات E2EE.

  • لا يمكن لعميل الويب Webex الانضمام إلى اجتماعات E2EE.

  • لا يمكن لعملاء SIP التابعين لجهات خارجية الانضمام إلى اجتماعات E2EE.

الهوية

  • من خلال التصميم، لا نقدم لك خيارات مركز التحكم لإدارة هوية الجهاز التي تم التحقق منها خارجيًا. للحصول على تشفير حقيقي من البداية إلى النهاية، يجب أن تكون أنت وحدك من يعرف/يتمكن من الوصول إلى الأسرار والمفاتيح. إذا قدمنا خدمة سحابية لإدارة هذه المفاتيح ، فهناك فرصة لاعتراضها.

  • نحن نقدم لك حاليًا "وصفة" لتصميم أدواتك الخاصة، استنادًا إلى تقنيات التشفير القياسية في الصناعة، للمساعدة في طلب أو تشفير شهادات هوية جهازك ومفاتيحها الخاصة. لا نريد أن يكون لدينا أي وصول حقيقي أو متصور إلى أسرارك أو مفاتيحك.

Meetings

  • تدعم اجتماعات E2EE حاليًا ما يصل إلى 1000 مشارك كحد أقصى.

  • يمكنك مشاركة السبورة البيضاء الجديدة في اجتماعات E2EE. هناك بعض الاختلافات عن السبورة البيضاء في الاجتماعات العادية:
    • في اجتماعات E2EE، لا يمكن للمستخدمين الوصول إلى السبورة البيضاء التي تم إنشاؤها خارج الاجتماع، بما في ذلك السبورة البيضاء الخاصة، والسبورة البيضاء التي يشاركها الآخرون، والسبورة البيضاء من مساحات Webex.
    • لا تتوفر اللوحات البيضاء التي تم إنشاؤها في اجتماعات E2EE إلا أثناء الاجتماع. لا يتم حفظها ولا يمكن الوصول إليها بعد انتهاء الاجتماع.
    • إذا قام شخص ما بمشاركة محتوى في اجتماع E2EE، فيمكنك التعليق عليه. لمزيد من المعلومات حول التعليقات التوضيحية، راجع تطبيق Webex | وضع علامة على المحتوى المشترك باستخدام التعليقات التوضيحية.

واجهة الإدارة

نوصيك بشدة باستخدام Control Hub لإدارة موقع اجتماعاتك، حيث تتمتع مؤسسات Control Hub بهوية مركزية للمؤسسة بأكملها.

موارد إضافية
المتطلبات الأساسية

  • اجتماعات Webex 41.7.

  • أجهزة سلسلة Webex Room وWebex Desk المسجلة في السحابة، والتي تعمل بنظام التشغيل 10.6.1-RoomOS_August_2021.

  • الوصول الإداري إلى موقع الاجتماع في Control Hub.

  • نطاق واحد أو أكثر تم التحقق منه في مؤسسة مركز التحكم (إذا كنت تستخدم المرجع المصدق المصدق ل Webex لإصدار شهادات الجهاز للهوية التي تم التحقق منها).

  • يجب تشغيل غرف اجتماعات التعاون حتى يتمكن الأشخاص من الانضمام من نظام الفيديو الخاص بهم. لمزيد من المعلومات، راجع السماح لأنظمة الفيديو بالانضمام إلى الاجتماعات والأحداث على موقع Webex الخاص بك.

الحصول على شهادات الجهاز

يمكنك تخطي هذه الخطوة إذا لم تكن بحاجة إلى هويات تم التحقق منها خارجيًا.

للحصول على أعلى مستوى من الأمان والتحقق من الهوية، يجب أن يكون لكل جهاز شهادة فريدة صادرة عن هيئة شهادة عامة موثوقة (CA).

تحتاج إلى التفاعل مع المرجع المصدق لطلب الشهادات الرقمية وشرائها واستلامها وإنشاء المفاتيح الخاصة المقترنة. عند طلب الشهادة، استخدم المعلمات التالية:

  • يجب إصدار الشهادة وتوقيعها من قبل مرجع مصدق عام معروف.

  • فريد: نوصي بشدة باستخدام شهادة فريدة لكل جهاز. إذا كنت تستخدم شهادة واحدة لجميع الأجهزة، فهذا يعني أنك تعرض أمانك للخطر.

  • الاسم الشائع (CN) والاسم / الأسماء البديلة للموضوع (SAN / s): هذه ليست مهمة ل Webex ، ولكن يجب أن تكون قيما يمكن للبشر قراءتها وربطها بالجهاز. ستظهر CN للمشاركين الآخرين في الاجتماع كهوية أساسية تم التحقق منها للجهاز، وإذا قام المستخدمون بفحص الشهادة من خلال واجهة مستخدم الاجتماع، فسيرون SAN/s. قد ترغب في استخدام أسماء مثل name.model@example.com.

  • تنسيق الملف: يجب أن تكون الشهادات والمفاتيح بتنسيق .pem .

  • قصد: يجب أن يكون الغرض من الشهادة هو Webex Identity.

  • مفاتيح التوليد: يجب أن تستند الشهادات إلى أزواج مفاتيح ECDSA P-256 (خوارزمية التوقيع الرقمي للمنحنى البيضاوي باستخدام منحنى P-256).

    لا يمتد هذا المطلب إلى مفتاح التوقيع. يمكن للمرجع المصدق استخدام مفتاح RSA لتوقيع الشهادة.

الاستعداد لتركيب الأجهزة على متن الطائرة

يمكنك تخطي هذه الخطوة إذا كنت لا ترغب في استخدام هوية تم التحقق منها خارجيًا مع أجهزتك.

إذا كنت تستخدم أجهزة جديدة ، فلا تقم بتسجيلها في Webex حتى الآن. من أجل سلامتك، لا تقم بتوصيلهم بالشبكة في هذه المرحلة.

إذا كان لديك أجهزة موجودة وتريد ترقيتها لاستخدام هوية تم التحقق منها خارجيًا، فيجب عليك إعادة ضبط الأجهزة إلى إعدادات المصنع.

  • احفظ التكوين الحالي إذا كنت تريد الاحتفاظ به.

  • جدولة نافذة عند عدم استخدام الأجهزة، أو استخدام نهج مرحلي. إعلام المستخدمين بالتغييرات التي يمكن أن يتوقعوها.

  • ضمان الوصول الفعلي إلى الأجهزة. إذا كان يجب عليك الوصول إلى الأجهزة عبر الشبكة ، فاعلم أن الأسرار تنتقل بنص عادي وأنك تعرض أمانك للخطر.

بمجرد إكمال هذه الخطوات، اسمح لأنظمة الفيديو بالانضمام إلى الاجتماعات والأحداث على موقع Webex الخاص بك.

فهم عملية الهوية الخارجية للأجهزة

للتأكد من أن وسائط جهازك لا يمكن تشفيرها من قبل أي شخص باستثناء الجهاز، يجب عليك تشفير المفتاح الخاص على الجهاز. لقد قمنا بتصميم واجهات برمجة التطبيقات للجهاز لتمكين إدارة المفتاح المشفر والشهادة، باستخدام تشفير الويب JSON (JWE).

لضمان التشفير الحقيقي من طرف إلى طرف من خلال سحابتنا، لا يمكننا المشاركة في تشفير وتحميل الشهادة والمفتاح. إذا كنت بحاجة إلى هذا المستوى من الأمان، فيجب عليك:

  1. اطلب شهاداتك.

  2. قم بإنشاء أزواج مفاتيح شهاداتك.

  3. قم بإنشاء (وحماية) سر أولي لكل جهاز ، لزرع قدرة تشفير الجهاز.

  4. قم بتطوير وصيانة أداتك الخاصة لتشفير الملفات باستخدام معيار JWE.

    يتم شرح العملية والمعلمات (غير السرية) التي ستحتاج إليها أدناه، بالإضافة إلى وصفة يجب اتباعها في أدوات التطوير التي تختارها. كما نقدم بعض بيانات الاختبار ونقاط JWE الناتجة كما نتوقعها ، لمساعدتك في التحقق من عمليتك.

    يتوفر تطبيق مرجعي غير مدعوم باستخدام Python3 ومكتبة JWCrypto من Cisco عند الطلب.

  5. قم بتسلسل الشهادة والمفتاح وتشفيرهما باستخدام أداتك والسر الأولي للجهاز.

  6. قم بتحميل فقاعة JWE الناتجة إلى الجهاز.

  7. قم بتعيين الغرض من الشهادة المشفرة لاستخدامها لهوية Webex، وقم بتنشيط الشهادة.

  8. (موصى به) قم بتوفير واجهة (أو توزيع) لأداتك لتمكين مستخدمي الأجهزة من تغيير السر الأولي وحماية الوسائط الخاصة بهم منك.

كيف نستخدم تنسيق JWE

يصف هذا القسم كيف نتوقع إنشاء JWE كإدخال إلى الأجهزة، بحيث يمكنك إنشاء الأداة الخاصة بك لإنشاء النقاط من الشهادات والمفاتيح.

راجع تشفير الويب JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 وتوقيع الويب JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

نحن نستخدم التسلسل المضغوط لمستند JSON لإنشاء كائنات JWE. المعلمات التي تحتاج إلى تضمينها عند إنشاء كائنات JWE هي:

  • JOSE Header (محمي). في رأس توقيع كائن JSON وتشفيره، يجب تضمين أزواج القيم الرئيسية التالية:

    • "alg":"dir"

      الخوارزمية المباشرة هي الوحيدة التي ندعمها لتشفير الحمولة ، ويجب عليك استخدام سر العميل الأولي للجهاز.

    • "enc":"A128GCM" أو "enc":"A256GCM"

      نحن ندعم هاتين الخوارزميتين للتشفير.

    • "cisco-action": "إضافة" أو "cisco-action": "إدراج" أو "cisco-action": "تنشيط" أو "cisco-action": "إلغاء التنشيط"

      هذا هو مفتاح الملكية وأربع قيم يمكن أن يتخذها. قدمنا هذا المفتاح للإشارة إلى الغرض من البيانات المشفرة إلى الجهاز المستهدف. تتم تسمية القيم بعد أوامر xAPI على الجهاز الذي تستخدم فيه البيانات المشفرة.

      أطلقنا عليه اسم cisco-action للتخفيف من التعارضات المحتملة مع ملحقات JWE المستقبلية.

    • "cisco-kdf": { "الإصدار": "1"، "salt": "base64URLEncodedRandom4+Bytes" }

      مفتاح ملكية آخر. نحن نستخدم القيم التي تقدمها كمدخلات لاشتقاق المفاتيح على الجهاز. يجب أن يكون الإصدار هو 1 (إصدار دالة اشتقاق المفتاح الخاصة بنا). يجب أن تكون قيمة salt عبارة عن تسلسل مشفر بتنسيق URL بتنسيق base64 يتكون من 4 بايت على الأقل، ويجب عليك اختياره عشوائيًا.

  • مفتاح تشفير JWE. هذا الحقل فارغ. يستمد الجهاز ذلك من ClientSecret الأولي.

  • متجه تهيئة JWE. يجب توفير متجه تهيئة ترميز base64url لفك تشفير الحمولة. يجب أن تكون IV قيمة عشوائية 12 بايت (نحن نستخدم عائلة تشفير AES-GCM ، والتي تتطلب أن يكون طول IV 12 بايت).

  • JWE AAD (بيانات إضافية معتمدة). يجب حذف هذا الحقل لأنه غير معتمد في التسلسل المضغوط.

  • JWE النص المشفر: هذه هي الحمولة المشفرة التي تريد الحفاظ على سريتها.

    قد تكون الحمولة فارغة. على سبيل المثال، لإعادة تعيين سر العميل، يجب عليك استبداله بقيمة فارغة.

    هناك أنواع مختلفة من الحمولات ، اعتمادا على ما تحاول القيام به على الجهاز. تتوقع أوامر xAPI المختلفة حمولات مختلفة، ويجب عليك تحديد غرض الحمولة باستخدام المفتاح cisco-action ، على النحو التالي:

    • مع "cisco-action":"populate" يكون النص المشفر هو ClientSecret الجديد.

    • مع ""cisco-action":"add" يكون النص المشفر عبارة عن كتلة PEM تحمل الشهادة ومفتاحها الخاص (مترابط).

    • مع ""cisco-action":"activate" ، يكون النص المشفر هو بصمة الإصبع (التمثيل السداسي عشر لـ sha-1) للشهادة التي نقوم بتنشيطها للتحقق من هوية الجهاز.

    • مع ""cisco-action":"deactivate" ، يكون النص المشفر هو بصمة الإصبع (التمثيل السداسي عشر لـ sha-1) للشهادة التي نقوم بإلغاء تنشيطها حتى لا يتم استخدامها للتحقق من هوية الجهاز.

  • علامة مصادقة JWE: يحتوي هذا الحقل على علامة المصادقة للتأكد من سلامة نقطة JWE المضغوطة بالكامل

كيف نحصل على مفتاح التشفير من ClientSecret

بعد أول مجموعة من السر ، لا نقبل أو نخرج السر كنص عادي. هذا لمنع هجمات القاموس المحتملة من قبل شخص يمكنه الوصول إلى الجهاز.

يستخدم برنامج الجهاز سر العميل كمدخل لدالة اشتقاق المفتاح (kdf) ثم يستخدم المفتاح المشتق لفك تشفير / تشفير المحتوى على الجهاز.

ما يعنيه هذا بالنسبة لك هو أن أداتك لإنتاج نقاط JWE يجب أن تتبع نفس الإجراء لاشتقاق نفس مفتاح التشفير / فك التشفير من سر العميل.

تستخدم الأجهزة scrypt لاشتقاق المفاتيح (انظر https://en.wikipedia.org/wiki/Scrypt) ، مع المعلمات التالية:

  • كوست فاكتور (N) هو 32768

  • BlockSizeFactor (ص) هو 8

  • عامل التوازي (ع) هو 1

  • الملح عبارة عن تسلسل عشوائي يتكون من 4 بايت على الأقل؛ يجب عليك توفير نفس salt عند تحديد معلمة cisco-kdf .

  • أطوال المفاتيح إما 16 بايت (إذا قمت بتحديد خوارزمية AES-GCM 128) ، أو 32 بايت (إذا قمت بتحديد خوارزمية AES-GCM 256)

  • الحد الأقصى لغطاء الذاكرة هو 64MB

هذه المجموعة من المعلمات هي التكوين الوحيد ل scrypt المتوافق مع وظيفة اشتقاق المفاتيح على الأجهزة. يُطلق على ملف kdf هذا على الأجهزة اسم "version":"1"، وهو الإصدار الوحيد الذي يتم اتخاذه حاليًا بواسطة معلمة cisco-kdf .

مثال عملي

فيما يلي مثال يمكنك اتباعه للتحقق من أن عملية تشفير JWE تعمل بنفس الطريقة التي أنشأناها على الأجهزة.

السيناريو المثال هو إضافة نقطة PEM إلى الجهاز (يحاكي إضافة شهادة ، مع سلسلة قصيرة جدا بدلا من شهادة + مفتاح كامل). السر الخاص بالعميل في المثال هو ossifrage.

  1. اختر تشفير تشفير. يستخدم هذا المثال A128GCM (AES بمفاتيح 128 بت في وضع عداد Galois). يمكن لأداتك استخدام A256GCM إذا كنت تفضل ذلك.

  2. اختر ملحا (يجب أن يكون تسلسلا عشوائيا لا يقل عن 4 بايت). يستخدم هذا المثال (البايتات السداسية عشرية)E5 E6 53 08 03 F8 33 F6. قم بتشفير التسلسل باستخدام Base64url للحصول على 5eZTCAP4M_Y (قم بإزالة الحشو base64).

  3. فيما يلي نموذج لمكالمة scrypt لإنشاء مفتاح تشفير المحتوى (cek):

    cek=scrypt(كلمة المرور="ossifrage"، salt=تسلسل مكون من 4 بايتات، N=32768، r=8، p=1، طول المفتاح=16)

    يجب أن يكون المفتاح المشتق 16 بايت (سداسي) كما يلي:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac الذي يشفره base64url إلى lZ66bdEiAQV4_mqdInj_rA.

  4. اختر تسلسلا عشوائيا من 12 بايت لاستخدامه كمتجه تهيئة. يستخدم هذا المثال (سداسي عشري) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 والذي يقوم base64url بترميزه إلى NLNd3V9Te68tkpWD.

  5. قم بإنشاء رأس JOSE باستخدام تسلسل مضغوط (اتبع نفس ترتيب المعلمات التي نستخدمها هنا) ثم قم بترميزه base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    عنوان JOSE المشفر بـ base64url هو eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    سيكون هذا هو العنصر الأول في فقاعة JWE.

  6. العنصر الثاني من نقطة JWE فارغ ، لأننا لا نوفر مفتاح تشفير JWE.

  7. العنصر الثالث لكتلة JWE هو متجه التهيئة NLNd3V9Te68tkpWD.

  8. استخدم أداة تشفير JWE لإنتاج حمولة وعلامة مشفرة. بالنسبة لهذا المثال، ستكون الحمولة غير المشفرة عبارة عن كتلة PEM مزيفة هذا ملف PEM

    معلمات التشفير التي يجب عليك استخدامها هي:

    • الحمولة هي هذا ملف PEM

    • تشفير التشفير هو AES 128 GCM

    • رأس JOSE المشفر base64url كبيانات مصادق عليها إضافية (AAD)

    يقوم Base64url بتشفير الحمولة المشفرة، والتي ينبغي أن تؤدي إلى f5lLVuWNfKfmzYCo1YJfODhQ

    هذا هو العنصر الرابع (JWE Ciphertext) في فقاعة JWE.

  9. يقوم Base64url بتشفير العلامة التي أنتجتها في الخطوة 8، والتي ينبغي أن تؤدي إلى PE-wDFWGXFFBeo928cfZ1Q

    هذا هو العنصر الخامس في فقاعة JWE.

  10. تسلسل العناصر الخمسة لنقطة JWE مع النقاط (JOSEheader.. IV.Ciphertext.Tag) للحصول على:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68 tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. إذا قمت باشتقاق نفس القيم المشفرة base64url كما نوضحها هنا ، باستخدام أدواتك الخاصة ، فأنت على استعداد لاستخدامها لتأمين تشفير E2E وهوية أجهزتك التي تم التحقق منها.

  12. لن يعمل هذا المثال فعليا ، ولكن من حيث المبدأ ، ستكون خطوتك التالية هي استخدام نقطة JWE التي أنشأتها أعلاه كإدخال إلى xcommand على الجهاز الذي يضيف الشهادة:

    إضافة شهادات أمان xCommand eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

تتوفر أنواع الجلسات لاجتماعات الثقة الصفرية لجميع مواقع الاجتماعات دون أي تكلفة إضافية. يُطلق على أحد أنواع هذه الجلسات اسم Pro-End to End Encryption_VOIPonly. هذا هو اسم الخدمة العامة، والذي قد نقوم بتغييره في المستقبل. للحصول على الأسماء الحالية لأنواع الجلسات، راجع معرفات أنواع جلسات العمل في القسم مرجع من هذه المقالة.

لا يلزمك القيام بأي شيء للحصول على هذه الإمكانية لموقعك؛ بل تحتاج فقط إلى منح نوع الجلسة الجديد (يُسمى أيضًا امتياز الاجتماع) للمستخدمين. يمكنك القيام بذلك بشكل فردي من خلال صفحة تكوين المستخدم ، أو بشكل مجمع باستخدام تصدير / استيراد CSV.

التحقق من نوع الجلسة الجديدة
1

سجّل الدخول إلى Control Hub، ثم انتقل إلى الخدمات > الاجتماع.

2

انقر على المواقع، واختر موقع Webex الذي تريد تغيير إعداداته، ثم انقر على الإعدادات.

3

ضمن الإعدادات الشائعة، حدد أنواع الجلسات.

4
يجب أن ترى نوعًا واحدًا أو أكثر من جلسات التشفير من البداية إلى النهاية. راجع قائمة معرفات نوع جلسة العمل في قسم المراجع من هذه المقالة. على سبيل المثال، قد تشاهد Pro-End to End Encryption_VOIPonly.

هناك نوع جلسة أقدم يحمل اسما مشابها جدا: التشفير الاحترافي من البداية إلى النهاية. يتضمن نوع جلسة العمل هذا وصول PSTN غير المشفر إلى الاجتماعات. تأكد من حصولك على إصدار _VOIPonly لضمان التشفير من البداية إلى النهاية. يمكنك التحقق من ذلك من خلال التمرير فوق الرابط PRO في عمود رمز الجلسة؛ في هذا المثال، يجب أن يكون هدف الرابط javascript:ShowFeature(652).

قد نقوم بتغيير أسماء الخدمة العامة لهذه الأنواع من الجلسات في المستقبل.

5

إذا لم يكن لديك نوع الجلسة الجديد بعد، فاتصل بممثل Webex الخاص بك.

التصرف التالي

قم بتمكين هذا النوع من الجلسات/امتياز الاجتماع لبعض المستخدمين أو جميعهم.

تمكين اجتماعات E2EE للمستخدمين الفرديين
1

قم بتسجيل الدخول إلى مركز التحكم، وانتقل إلى الإدارة > المستخدمون.

2

حدد حساب المستخدم الذي تريد تحديثه، ثم حدد الاجتماعات.

3

من القائمة المنسدلة تطبق الإعدادات على ، حدد موقع الاجتماع الذي تريد تحديثه.

4

حدد المربع بجوار Pro-End to End Encryption_VOIPonly.

5

أغلق لوحة تكوين المستخدم.

6

كرر ذلك للمستخدمين الآخرين إذا لزم الأمر.

لتعيين هذا إلى العديد من المستخدمين، استخدم الخيار التالي، تمكين اجتماعات E2EE لمستخدمين متعددين.

تمكين اجتماعات E2EE لمستخدمين متعددين
1

سجّل الدخول إلى Control Hub، ثم انتقل إلى الخدمات > الاجتماع.

2

انقر فوق المواقع، واختر موقع Webex الذي تريد تغيير الإعدادات الخاصة به.

3

في قسم التراخيص والمستخدمون ، انقر فوق إدارة مجمعة.

4

انقر فوق إنشاء تقرير وانتظر بينما نقوم بإعداد الملف.

5

عندما يكون الملف جاهزا، انقر فوق تصدير النتائج ثم فوق تنزيل. (يتعين عليك إغلاق النافذة المنبثقة يدويًا بعد النقر فوق تنزيل.)

6

افتح ملف CSV الذي تم تنزيله للتحرير.

يوجد صف لكل مستخدم، ويحتوي العمود MeetingPrivilege على معرفات نوع الجلسة الخاصة بهم كقائمة مفصولة بفاصلة.

7

بالنسبة لكل مستخدم ترغب في منحه نوع الجلسة الجديد، أضف 1561 كقيمة جديدة في القائمة المفصولة بفاصلة في الخلية MeetingPrivilege .

يحتوي مرجع تنسيق ملف Webex CSV على تفاصيل حول غرض ومحتويات ملف CSV.

8

افتح لوحة تكوين موقع الاجتماع في مركز التحكم.

إذا كنت موجودا بالفعل في صفحة قائمة مواقع الاجتماع، فقد تحتاج إلى تحديثها.

9

في قسم التراخيص والمستخدمون ، انقر فوق إدارة مجمعة.

10

انقر على استيراد وحدد ملف CSV الذي تم تحريره، ثم انقر على استيراد . انتظر حتى يتم تحميل الملف.

11

عند الانتهاء من الاستيراد، يمكنك النقر فوق استيراد النتائج لمراجعة ما إذا كانت هناك أية أخطاء.

12

انتقل إلى صفحة المستخدمون وافتح أحد المستخدمين للتحقق من أن لديهم نوع الجلسة الجديد.

إضافة علامة مميزة صوتية لأغراض الأمان

يمكنك إضافة علامة مائية إلى تسجيلات الاجتماعات باستخدام نوع جلسة Webex Meetings Pro-End to End Encryption_VOIPonly ، والذي يسمح لك بتحديد العميل أو الجهاز المصدر للتسجيلات غير المصرح بها للاجتماعات السرية.

عندما يتم تمكين هذه الميزة، يتضمن صوت الاجتماع معرفًا فريدًا لكل عميل أو جهاز مشارك. بإمكانك تحميل التسجيلات الصوتية إلى Control Hub، الذي يقوم بعد ذلك بتحليل التسجيل والبحث عن المعرفات الفريدة. يمكنك إلقاء نظرة على النتائج لمعرفة أي عميل أو جهاز مصدر قام بتسجيل الاجتماع.

  • لكي يتم تحليل التسجيل، يجب أن يكون ملف AAC، MP3، M4A، WAV، MP4، AVI، أو MOV لا يزيد حجمه عن 500 ميجابايت.
  • يجب أن يكون التسجيل أطول من 100 ثانية.
  • يمكنك فقط تحليل التسجيلات الخاصة بالاجتماعات التي يستضيفها الأشخاص في مؤسستك.
  • يتم الاحتفاظ بمعلومات العلامة المائية لنفس مدة معلومات اجتماع المنظمة.

إضافة علامات مائية صوتية إلى اجتماعات E2EE

  1. سجّل الدخول إلى مركز التحكم، ثم ضمن الإدارة، حدد إعدادات المؤسسة.
  2. في قسم علامات الاجتماع المائية ، قم بتشغيل إضافة علامة مائية صوتية.

    بعد مرور بعض الوقت على تشغيل هذا الخيار، يرى المستخدمون الذين يقومون بجدولة الاجتماعات باستخدام نوع جلسة Webex Meetings Pro-End to End Encryption_VOIPonly خيار العلامات المائية الرقمية في قسم الأمان.

تحميل وتحليل اجتماع يحمل علامة مائية

  1. في مركز التحكم، ضمن المراقبة، حدد استكشاف الأخطاء وإصلاحها.
  2. انقر فوق تحليل العلامة المائية.
  3. ابحث عن الاجتماع أو حدده في القائمة، ثم انقر فوق تحليل.
  4. في نافذة تحليل العلامة المائية الصوتية ، أدخل اسمًا لتحليلك.
  5. (اختياري) أدخل ملاحظة لتحليلك.
  6. اسحب وأفلِت ملف الصوت الذي تريد تحليله، أو انقر فوق اختيار ملف للانتقال إلى ملف الصوت.
  7. انقر على إغلاق.

    عند اكتمال التحليل، سيتم عرضه في قائمة النتائج في صفحة تحليل العلامة المائية .

  8. قم بإختيار الإجتماع في القائمة لرؤية نتائج التحليل. انقر زر التنزيل لتنزيل النتائج.

الميزات والقيود

تتضمن العوامل التي تدخل في فك تشفير العلامة المائية المسجلة بنجاح المسافة بين جهاز التسجيل ومكبر الصوت الذي يخرج الصوت، وحجم هذا الصوت، والضوضاء البيئية، وما إلى ذلك. تتمتع تقنية العلامة المائية لدينا بمرونة إضافية في حالة تشفيرها عدة مرات، كما قد يحدث عند مشاركة الوسائط.

تم تصميم هذه الميزة لتمكين فك تشفير معرف العلامة المائية بنجاح في مجموعة واسعة ولكن معقولة من الظروف. هدفنا هو أن يقوم جهاز التسجيل، مثل الهاتف المحمول، الموجود على مكتب بالقرب من نقطة نهاية شخصية أو عميل كمبيوتر محمول، بإنشاء تسجيل يؤدي دائمًا إلى تحليل ناجح. مع إبعاد جهاز التسجيل عن المصدر، أو منعه من سماع الطيف الصوتي الكامل، تنخفض فرص إجراء تحليل ناجح.

لكي يتم تحليل التسجيل بنجاح، هناك حاجة إلى التقاط معقول للصوت الاجتماع. إذا تم تسجيل صوت الاجتماع على نفس الكمبيوتر الذي يستضيف العميل، فلا ينبغي تطبيق أي قيود.

الأجهزة الموجودة على متن الطائرة (CA الداخلية)

إذا كانت أجهزتك مدمجة بالفعل في مؤسسة Control Hub الخاصة بك وتريد استخدام Webex CA لإنشاء شهادات التعريف الخاصة بها تلقائيًا، فلن تحتاج إلى إعادة ضبط الأجهزة إلى إعدادات المصنع.

يحدد هذا الإجراء المجال الذي يستخدمه الجهاز لتعريف نفسه، وهو مطلوب فقط إذا كان لديك نطاقات متعددة في مؤسسة مركز التحكم. إذا كان لديك أكثر من نطاق واحد، نوصيك بإجراء ذلك لجميع أجهزتك التي سيكون لها هوية "تم التحقق منها من Cisco". إذا لم تخبر Webex بالنطاق الذي يحدد الجهاز، فسيتم اختيار نطاق تلقائيًا، وقد يبدو خاطئًا بالنسبة للمشاركين الآخرين في الاجتماع.

قبل البدء

إذا لم يتم دمج أجهزتك بعد، فاتبع الخطوات التالية تسجيل جهاز في Cisco Webex باستخدام واجهة برمجة التطبيقات أو واجهة الويب المحلية أو الدمج السحابي لسلسلة Board وDesk وRoom. يجب عليك أيضًا التحقق من النطاق/النطاقات التي تريد استخدامها لتحديد الأجهزة في إدارة نطاقاتك.

1

قم بتسجيل الدخول إلى مركز التحكم، وتحت الإدارة، حدد الأجهزة.

2

حدد جهازا لفتح لوحة التكوين الخاصة به.

3

حدد النطاق الذي تريد استخدامه لتحديد هذا الجهاز.

4

كرر ذلك للأجهزة الأخرى.

الأجهزة الموجودة على متن الطائرة (CA خارجي)

قبل البدء

  • احصل على شهادة موقعة من CA ومفتاح خاص، بتنسيق .pem ، لكل جهاز.

  • تحت علامة التبويب التحضير ، اقرأ الموضوع فهم عملية الهوية الخارجية للأجهزة،

  • قم بإعداد أداة تشفير JWE فيما يتعلق بالمعلومات الموجودة هناك.

  • تأكد من أن لديك أداة لإنشاء تسلسلات بايت عشوائية بأطوال معينة.

  • تأكد من أن لديك أداة لترميز البايتات أو النصوص بتنسيق base64url.

  • تأكد من أن لديك تنفيذ scrypt .

  • تأكد من أن لديك كلمة أو عبارة سرية لكل جهاز.

1

املأ ClientSecret الخاص بالجهاز بسر نص عادي:

في المرة الأولى التي تقوم فيها بملء السر، فإنك تقوم بتوفيره في نص عادي. ولهذا السبب نوصي بإجراء ذلك في وحدة التحكم بالجهاز المادي.

  1. يقوم Base64url بتشفير العبارة السرية لهذا الجهاز.

  2. افتح TShell على الجهاز.

  3. قم بتشغيل xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    يقوم الأمر المثال أعلاه بملء السر بالعبارة 0123456789abcdef. تحتاج إلى اختيار الخاصة بك.

الجهاز لديه سره الأولي. لا تنس هذا؛ لن تتمكن من استعادته ويجب عليك إعادة ضبط الجهاز إلى إعدادات المصنع للبدء من جديد.
2

تسلسل شهادتك ومفتاحك الخاص:

  1. باستخدام محرر نصوص، افتح ملفات .pem، والصق النقطة الرئيسية نقطة الشهادة، واحفظها كملف .pem جديد.

    هذا هو نص الحمولة الذي ستقوم بتشفيره ووضعه في كائن JWE الخاص بك.

3

قم بإنشاء نقطة JWE لاستخدامها كإدخال لأمر إضافة الشهادة:

  1. إنشاء تسلسل عشوائي لا يقل عن 4 بايت. هذا هو الملح الخاص بك.

  2. اشتق مفتاح تشفير المحتوى باستخدام أداة التشفير.

    لهذا تحتاج إلى السر والملح وطول المفتاح لمطابقة تشفير التشفير الذي اخترته. هناك بعض القيم الثابتة الأخرى للتوريد (N = 32768 ، r = 8 ، p = 1). يستخدم الجهاز نفس العملية والقيم لاشتقاق نفس مفتاح تشفير المحتوى.

  3. إنشاء تسلسل عشوائي من 12 بايت بالضبط. هذا هو متجه التهيئة الخاص بك.

  4. قم بإنشاء رأس JOSE، مع ضبط مفاتيح alg وenc وcisco-kdf كما هو موضح في فهم عملية الهوية الخارجية للأجهزة. قم بتعيين إجراء "إضافة" باستخدام المفتاح: القيمة "cisco-action":"add" في رأس JOSE (لأننا نضيف الشهادة إلى الجهاز).

  5. يقوم Base64url بترميز رأس JOSE.

  6. استخدم أداة تشفير JWE الخاصة بك مع التشفير المختار ورأس JOSE المشفر base64url لتشفير النص من ملف pem المتسلسل.

  7. يقوم Base64url بترميز متجه التهيئة وحمولة PEM المشفرة وعلامة المصادقة.

  8. قم بإنشاء نقطة JWE على النحو التالي (يتم ترميز جميع القيم base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

افتح TShell على الجهاز وقم بتشغيل الأمر إضافة (متعدد الأسطر): 

خدمات شهادات الأمان في xcommand إضافة IsEncrypted: صحيح أن..JWE.str.ing\n .\n
5

تأكد من إضافة الشهادة عن طريق تشغيل xcommand Security Certificates Services Show

انسخ بصمة الشهادة الجديدة.

6

قم بتفعيل الشهادة لغرض WebexIdentity:

  1. اقرأ بصمة الشهادة، إما من الشهادة نفسها أو من مخرجات xcommand Security Certificates Services Show.

  2. قم بإنشاء تسلسل عشوائي لا يقل عن 4 بايت ، ويقوم base64url بترميز هذا التسلسل. هذا هو الملح الخاص بك.

  3. اشتق مفتاح تشفير المحتوى باستخدام أداة التشفير.

    لهذا تحتاج إلى السر والملح وطول المفتاح لمطابقة تشفير التشفير الذي اخترته. هناك بعض القيم الثابتة الأخرى للتوريد (N = 32768 ، r = 8 ، p = 1). يستخدم الجهاز نفس العملية والقيم لاشتقاق نفس مفتاح تشفير المحتوى.

  4. قم بإنشاء تسلسل عشوائي من 12 بايت بالضبط ، ويقوم base64url بترميز هذا التسلسل. هذا هو متجه التهيئة الخاص بك.

  5. قم بإنشاء رأس JOSE، مع ضبط مفاتيح alg وenc وcisco-kdf كما هو موضح في فهم عملية الهوية الخارجية للأجهزة. قم بتعيين إجراء "التنشيط" باستخدام المفتاح: القيمة "cisco-action":"activate" في رأس JOSE (لأننا نقوم بتنشيط الشهادة على الجهاز).

  6. يقوم Base64url بترميز رأس JOSE.

  7. استخدم أداة تشفير JWE الخاصة بك مع التشفير المختار ورأس JOSE المشفر base64url لتشفير بصمة الشهادة.

    يجب أن تخرج الأداة تسلسل 16 أو 32 بايت، اعتمادا على ما إذا كنت قد اخترت AES-GCM 128 أو 256 بت، وعلامة مصادقة.

  8. Base64urlencode بصمة الإصبع المشفرة، وعلامة المصادقة.

  9. قم بإنشاء نقطة JWE على النحو التالي (يتم ترميز جميع القيم base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. افتح TShell على الجهاز وقم بتشغيل أمر التنشيط التالي:

     خدمات شهادات الأمان xcommand تفعيل الغرض: بصمة WebexIdentity: "بصمة إصبعك المشفرة..JWE"

يحتوي الجهاز على شهادة مشفرة ونشطة صادرة عن CA ، جاهزة للاستخدام لتحديد هويتها في اجتماعات Webex المشفرة من طرف إلى طرف.
7

قم بتوصيل الجهاز إلى مؤسسة مركز التحكم.

اختبار التشفير من البداية إلى النهاية باستخدام التحقق من الهوية
1

جدولة اجتماع من النوع الصحيح (Webex Meetings Pro-End to End Encryption_VOIPonly).

راجع جدولة اجتماع Webex باستخدام التشفيرمن طرف إلى طرف.

2

انضم إلى الاجتماع كمضيف، من عميل Webex Meetings.

راجع الانضمام إلى اجتماع Webex باستخدام التشفيرمن طرف إلى طرف.

3

انضم إلى الاجتماع من جهاز تم التحقق من هويته بواسطة المرجع المصدق ل Webex.

4

بصفتك المضيف، تحقق من ظهور هذا الجهاز في ساحة الانتظار باستخدام رمز الهوية الصحيح.

راجع الانضمام إلى اجتماع Webex باستخدام التشفيرمن طرف إلى طرف.

5

انضم إلى الاجتماع من جهاز تم التحقق من هويته بواسطة مرجع مصدق خارجي.

6

بصفتك المضيف، تحقق من ظهور هذا الجهاز في ساحة الانتظار باستخدام رمز الهوية الصحيح. تعرف على المزيد حول أيقونات الهوية.

7

انضم إلى الاجتماع كمشارك في الاجتماعات غير المصادق عليها.

8

بصفتك المضيف، تحقق من ظهور هذا المشارك في ساحة الانتظار باستخدام رمز الهوية الصحيح.

9

كمضيف ، اعترف أو ارفض الأشخاص / الأجهزة.

10

قم بالتحقق من هويات المشاركين/الأجهزة عندما يكون ذلك ممكنًا عن طريق التحقق من الشهادات.

11

تحقق من أن كل شخص في الاجتماع يرى نفس رمز أمان الاجتماع.

12

انضم إلى الاجتماع مع مشارك جديد.

13

تحقق من أن الجميع يرون نفس رمز أمان الاجتماع الجديد.

تحديد النطاق والتوقعات

  • هل ستجعل الاجتماعات المشفرة من طرف إلى طرف خيار الاجتماع الافتراضي ، أو تمكينه فقط لبعض المستخدمين ، أو السماح لجميع المضيفين باتخاذ القرار؟ عندما تقرر كيف ستستخدم هذه الميزة ، قم بإعداد هؤلاء المستخدمين الذين سيستخدمونها ، خاصة فيما يتعلق بالقيود وما يمكن توقعه في الاجتماع.

  • هل تحتاج إلى التأكد من أنه لا يمكن لشركة Cisco أو أي شخص آخر فك تشفير المحتوى الخاص بك أو انتحال شخصية أجهزتك؟ إذا كان الأمر كذلك، فأنت بحاجة إلى شهادات من مرجع مصدق عام.

  • إذا كان لديك مستويات مختلفة من التحقق من الهوية، فقم بتمكين المستخدمين من التحقق من بعضهم البعض باستخدام هوية مدعومة بالشهادة. على الرغم من وجود ظروف يمكن أن يظهر فيها المشاركون على أنهم غير متحققين ، ويجب أن يعرف المشاركون كيفية التحقق ، فقد لا يكون الأشخاص الذين لم يتم التحقق منهم محتالين.

إدارة الهوية

إذا كنت تستخدم مرجعا مصدقا خارجيا لإصدار شهادات جهازك، فإن المسؤولية تقع على عاتقك لمراقبة الشهادات وتحديثها وإعادة تطبيقها.

إذا أنشأت السر الأولي، فافهم أن المستخدمين قد يرغبون في تغيير سر أجهزتهم. قد تحتاج إلى إنشاء واجهة / توزيع أداة لتمكينهم من القيام بذلك.

معرفات نوع الجلسة
الجدول رقم 1. معرفات نوع الجلسة للاجتماعات المشفرة من طرف إلى طرف

معرف نوع الجلسة

اسم الخدمة العامة

638

تشفير E2E + VoIP فقط

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 نهاية حرة إلى نهاية Encryption_VOIPonly

تشفير E2E + الهوية

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

مدرس التعليم E2E Encryption_VOIPonly

676

Broadworks قياسي بالإضافة إلى التشفير من طرف إلى طرف

677

برودووركس بريميوم بالإضافة إلى التشفير من طرف إلى طرف

681

سكولوجي مجاني بالإضافة إلى تشفير من طرف إلى طرف

أوامر xAPI ذات الصلة

تصف هذه الجداول أوامر واجهة برمجة تطبيقات أجهزة Webex التي أضفناها للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها. لمزيد من المعلومات حول كيفية استخدام واجهة برمجة التطبيقات، راجع الوصول إلى واجهة برمجة التطبيقات لغرفة Webex والأجهزة المكتبية ولوحات Webex.

تتوفر أوامر xAPI هذه فقط على الأجهزة التي تكون إما:

  • مسجل في Webex

  • مسجلة محليا ومرتبطة ب Webex مع Webex Edge للأجهزة

الجدول رقم 2. واجهات برمجة التطبيقات على مستوى النظام للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء واجهة برمجة التطبيقات

الوصف

مؤتمر xConfiguration EndToEndEndEncryption الهوية PreferredDomain: "example.com"

يتم إجراء هذا التكوين عندما يقوم المشرف بتعيين النطاق المفضل للجهاز من مركز التحكم. ضروري فقط إذا كان لدى المؤسسة أكثر من مجال واحد.

يستخدم الجهاز هذا المجال عندما يطلب شهادة من المرجع المصدق على Webex. ثم يحدد النطاق الجهاز.

لا ينطبق هذا التكوين عندما يكون لدى الجهاز شهادة نشطة صادرة من الخارج لتحديد هويته.

توفر تشفير EndToEndEnd لمؤتمر xStatus

يشير إلى ما إذا كان بإمكان الجهاز الانضمام إلى اجتماع مشفر من طرف إلى طرف. تستدعي واجهة برمجة التطبيقات السحابية ذلك بحيث يعرف التطبيق المقترن ما إذا كان بإمكانه استخدام الجهاز للانضمام.

xStatus Conference EndToEndEncryption التحقق من الهوية الخارجية

يشير إلى ما إذا كان الجهاز يستخدم التحقق الخارجي (لديه شهادة صادرة خارجيًا).

xStatus مؤتمر EndToEndEncryption ExternalIdentity الهوية

هوية الجهاز كما تقرأ من الاسم الشائع للشهادة الصادرة من الخارج.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

يقرأ معلومات محددة من شهادة صادرة من الخارج.

في الأمر الموضح، استبدل # برقم الشهادة. استبدل specificinfo بأحد ما يلي:

  • بصمة

  • تاريخ انتهاء صلاحية NotAfter

  • تاريخ بدء الصلاحية ليس قبل

  • الاسم الأساسي

  • خوارزمية المفتاح العام

  • رقم سري

  • خوارزمية التوقيع

  • الموضوع # الاسم قائمة بالموضوعات الخاصة بالشهادة (على سبيل المثال عنوان البريد الإلكتروني أو اسم المجال)

  • الصلاحية تحدد حالة صلاحية هذه الشهادة (على سبيل المثال، صالحة أو منتهية الصلاحية)

حالة مؤتمر xStatus EndToEndEncryption ExternalIdentity Status

حالة الهوية الخارجية للجهاز (على سبيل المثال: صالح أو خطأ).

xStatus Conference EndToEndEncryption InternalIdentity Verification

يشير إلى ما إذا كان الجهاز يحتوي على شهادة صالحة صادرة عن Webex CA.

xStatus مؤتمر EndToEndEncryption InternalIdentity الهوية

هوية الجهاز كما هي مقروءة من الاسم الشائع لشهادة Webex.

يحتوي على اسم مجال إذا كان لدى المؤسسة مجال.

يكون فارغا إذا لم يكن لدى المؤسسة مجال.

إذا كان الجهاز موجودًا في مؤسسة بها نطاقات متعددة، فهذه هي القيمة من PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

يقرأ معلومات محددة من الشهادة الصادرة عن Webex.

في الأمر الموضح، استبدل # برقم الشهادة. استبدل specificinfo بأحد ما يلي:

  • بصمة

  • تاريخ انتهاء صلاحية NotAfter

  • تاريخ بدء الصلاحية ليس قبل

  • الاسم الأساسي

  • خوارزمية المفتاح العام

  • رقم سري

  • خوارزمية التوقيع

  • الموضوع # الاسم قائمة بالموضوعات الخاصة بالشهادة (على سبيل المثال عنوان البريد الإلكتروني أو اسم المجال)

  • الصلاحية تحدد حالة صلاحية هذه الشهادة (على سبيل المثال، صالحة أو منتهية الصلاحية)

الجدول رقم 3. في واجهات برمجة تطبيقات المكالمات للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء واجهة برمجة التطبيقات

الوصف

قائمة المشاركين في مؤتمر xEvent تمت إضافة المشارك

قائمة المشاركين في مؤتمر xEvent تم تحديث المشاركين

قائمة المشاركين في مؤتمر xEvent تم حذف المشارك

تتضمن هذه الأحداث الثلاثة الآن EndToEndEncryptionStatus وEndToEndEncryptionIdentity وEndToEndEncryptionCertInfo للمشارك المتأثر.

الجدول رقم 4. واجهات برمجة التطبيقات ذات الصلة ب ClientSecret للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء واجهة برمجة التطبيقات

الوصف

xCommand Security ClientSecret ملء السر: "base64url-encoded"

أو

xCommand Security ClientSecret ملء السر: جيه دبليو إي بلوب

يقبل قيمة نص عادي مشفر base64url لزرع سر العميل على الجهاز لأول مرة.

لتحديث السر بعد تلك المرة الأولى ، يجب عليك توفير نقطة JWE تحتوي على السر الجديد المشفر بواسطة السر القديم.

خدمات شهادات الأمان xCommand إضافة JWEblob

إضافة شهادة (مع مفتاح خاص).

قمنا بتوسيع هذا الأمر لقبول نقطة JWE التي تحتوي على بيانات PEM المشفرة.

خدمات شهادات الأمان xCommand تفعيل الغرض: بصمة هوية Webex: جيه دبليو إي بلوب

تنشيط شهادة معينة ل WebexIdentity. ولتحقيق هذا الغرض، يتطلب الأمر تشفير بصمة التعريف وتسلسلها في كائن JWE.

إلغاء تنشيط خدمات شهادات الأمان الخاصة بـ xCommand الغرض: بصمة هوية Webex: جيه دبليو إي بلوب

إلغاء تنشيط شهادة معينة ل WebexIdentity. ولتحقيق هذا الغرض، يتطلب الأمر تشفير بصمة التعريف وتسلسلها في كائن JWE.