Zero-Trust-kokousten käyttöönotto
Käyttäjät valitsevat kokoustyypin, kun he ajoittavat kokouksen. Isäntä näkee jokaisen osallistujan henkilöllisyyden tarkistustilanteen, kun hän päästää osallistujia sisään aulasta ja kokouksen aikana. Kokouksessa on myös kokouskoodi, joka on yhteinen kaikille kokouksen nykyisille osallistujille ja jonka avulla he voivat varmistaa, ettei heidän kokoustaan ole siepattu ei-toivotun kolmannen osapuolen Meddler In The Middle (MITM) -hyökkäyksen avulla.
Jaa seuraavat tiedot kokouksen isännille:
-
Liity Webex-kokoukseen päästä päähän -salauksella
Tarkista henkilöllisyys
Loppupäästä toiseen tapahtuva salaus, johon liittyy henkilöllisyyden todentaminen, tarjoaa lisäturvaa päästä päähän salattuun kokoukseen.
Kun osallistujat tai laitteet liittyvät jaettuun MLS-ryhmään (Messaging Layer Security), ne esittävät varmenteensa muille ryhmän jäsenille, jotka sitten validoivat varmenteen myöntävän varmentajan varmenteen. Varmentamalla, että varmenteet ovat voimassa, varmentaja varmentaa osallistujien henkilöllisyyden, ja kokous näyttää osallistujat/laitteet varmennettuina.
Webex App -käyttäjät todennetaan Webexin identiteettivarastossa, joka antaa heille tunnisteen, kun todennus onnistuu. Jos he tarvitsevat varmenteen todentaakseen henkilöllisyytensä päästä päähän -salatussa kokouksessa, Webex CA myöntää heille varmenteen, joka perustuu heidän käyttöoikeustunnisteeseensa. Tällä hetkellä emme tarjoa Webex Meetings -käyttäjille mahdollisuutta hankkia kolmannen osapuolen/ulkoisen varmentajan myöntämää varmentetta.
Laitteet voivat todentaa itsensä sisäisen (Webexin) varmentajan myöntämän varmenteen tai ulkoisen varmentajan myöntämän varmenteen avulla:
-
Sisäinen varmentaja-Webex myöntää sisäisen varmenteen laitteen konetilin käyttöoikeuskoodin perusteella. Varmenteen on allekirjoittanut Webex CA. Laitteilla ei ole käyttäjätunnuksia samalla tavalla kuin käyttäjillä, joten Webex käyttää (yhtä) organisaatiosi toimialuetta kirjoittaessaan laitevarmenteen identiteettiä (Common Name (CN)).
-
Ulkoinen varmentaja - Pyydä ja osta laitevarmenteita suoraan valitsemaltasi myöntäjältä. Varmenteet on salattava, ladattava suoraan ja hyväksyttävä vain sinun tiedossasi olevalla salaisuudella.
Cisco ei ole mukana, joten tämä on tapa taata todellinen päästä päähän -salaus ja todennettu henkilöllisyys ja estää se teoreettinen mahdollisuus, että Cisco voisi salakuunnella kokoustasi tai purkaa mediasi.
Laitteen sisäisesti myönnetty varmenne
Webex antaa laitteelle varmenteen, kun se rekisteröidään käynnistyksen jälkeen, ja uusii sen tarvittaessa. Laitteiden osalta varmenne sisältää tilin tunnuksen ja toimialueen.
Jos organisaatiollasi ei ole toimialuetta, Webex CA myöntää varmenteen ilman toimialuetta.
Jos organisaatiossasi on useita toimialueita, voit Control Hubin avulla kertoa Webexille, mitä toimialuetta laite käyttää identiteettinsä määrittämiseen. Voit myös käyttää API:ta xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"
.
Jos sinulla on useita verkkotunnuksia etkä aseta laitteelle ensisijaista verkkotunnusta, Webex valitsee yhden puolestasi.
Ulkoisesti myönnetty laitevarmenne
Järjestelmänvalvoja voi antaa laitteelle oman varmenteen, joka on allekirjoitettu jollakin julkisella varmentajalla.
Varmenteen on perustuttava ECDSA P-256 -avainpariin, mutta se voidaan allekirjoittaa myös RSA-avaimella.
Sertifikaatin arvot ovat organisaation harkinnanvaraisia. Yleisnimi (CN) ja aiheen vaihtoehtoinen nimi (SAN) näytetään Webex-kokouksen käyttöliittymässä, kuten on kuvattu osoitteessa End-to-end-salaus identiteetin todentamisella Webex-kokouksia varten.
Suosittelemme käyttämään erillistä varmentetta kutakin laitetta kohden ja käyttämään yksilöllistä CN-nimeä kutakin laitetta kohden. Esimerkiksi "kokoushuone-1.example.com" organisaatiolle, joka omistaa example.com-verkkotunnuksen.
Jotta ulkoinen varmenne voidaan suojata täysin väärentämiseltä, eri x-komentojen salaamiseen ja allekirjoittamiseen käytetään asiakassalaisuusominaisuutta.
Kun käytetään asiakassalaisuutta, ulkoista Webex-tunnistevarmentetta on mahdollista hallita turvallisesti xAPI:n kautta. Tämä on tällä hetkellä rajoitettu verkkolaitteisiin.
Webex tarjoaa tällä hetkellä API-komentoja tämän hallintaan.
Laitteet
Seuraavat pilvipalveluun rekisteröidyt Webex Room -sarjan ja Webex Desk -sarjan laitteet voivat osallistua E2EE-kokouksiin:
-
Webex Board
-
Webex Desk Pro
-
Webex-pöytä
-
Webex Room Kit
-
Webex Room Kit Mini
Seuraavat laitteet eivät voi osallistua E2EE-kokouksiin:
-
Webex C-sarja
-
Webex DX-sarja
-
Webex EX -sarja
-
Webex MX -sarja
-
Kolmannen osapuolen SIP-laitteet
Ohjelmistoasiakkaat
-
Työpöytä- ja mobiiliasiakkaiden Webex-sovellus voi liittyä E2EE-kokouksiin.
-
Webexin web-asiakasohjelma ei voi liittyä E2EE-kokouksiin.
-
Kolmannen osapuolen SIP-softa-asiakkaat eivät voi liittyä E2EE-kokouksiin.
Identiteetti
-
Suunnitelmamme mukaan emme tarjoa Control Hub -vaihtoehtoja, joilla voit hallita ulkoisesti todennettua laitetunnistetta. Todellista päästä päähän -salausta varten vain sinun pitäisi tietää salaisuudet ja avaimet ja päästä niihin käsiksi. Jos ottaisimme käyttöön pilvipalvelun avainten hallintaa varten, olisi olemassa mahdollisuus, että ne siepattaisiin.
-
Tällä hetkellä tarjoamme "reseptin", jonka avulla voit suunnitella omia työkaluja, jotka perustuvat alan standardoituihin salaustekniikoihin ja jotka auttavat sinua pyytämään tai salaamaan laitetunnisteita ja niiden yksityisiä avaimia. Emme halua, että salaisuutesi tai avaimesi ovat todellisuudessa tai näennäisesti meidän ulottuvillamme.
Kokoukset
-
E2EE-kokouksiin mahtuu tällä hetkellä enintään 1000 osallistujaa.
- Voit jakaa uusia valkotauluja E2EE-kokouksissa. Ne eroavat jonkin verran tavallisten kokousten valkotauluista:
- E2EE-kokouksissa käyttäjät eivät voi käyttää kokouksen ulkopuolella luotuja tauluja, mukaan lukien yksityiset taulut, muiden jakamat taulut ja Webex-tilojen taulut.
- E2EE-kokouksissa luodut taulut ovat käytettävissä vain kokouksen aikana. Niitä ei tallenneta, eikä niihin pääse käsiksi kokouksen päätyttyä.
- Jos joku jakaa sisältöä E2EE-kokouksessa, voit kommentoida sitä. Lisätietoja merkinnöistä on osoitteessa Webex App | Merkitse jaettua sisältöä merkinnöillä.
Hallintaliittymä
Suosittelemme, että käytät Control Hubia Meetings-sivuston hallintaan, sillä Control Hub -organisaatioilla on koko organisaation keskitetty identiteetti.
Liittyvät tiedot
-
Zero-Trust Security for Webex (tietoturvatekninen asiakirja)
-
JSON Web Encryption (JWE) (IETF-standardiluonnos)
-
Webex-kokoukset 41.7.
-
Pilvipalveluun rekisteröidyt Webex Room- ja Webex Desk -sarjan laitteet, joissa on käytössä
10.6.1-RoomOS_August_2021
. -
Hallinnollinen pääsy kokouspaikalle Control Hubissa.
-
Yksi tai useampi todennettu toimialue Control Hub -organisaatiossasi (jos käytät Webex CA:ta laitevarmenteiden myöntämiseen todennettua identiteettiä varten).
-
Yhteistyökokoushuoneet on otettava käyttöön, jotta ihmiset voivat liittyä niihin videojärjestelmästä. Lisätietoja on osoitteessa Salli videojärjestelmien liittyminen Webex-sivuston kokouksiin ja tapahtumiin.
Voit ohittaa tämän vaiheen, jos et tarvitse ulkoisesti todennettuja tunnisteita.
Korkeimman turvallisuustason saavuttamiseksi ja henkilöllisyyden todentamiseksi jokaisella laitteella olisi oltava luotettavan julkisen varmentajan myöntämä yksilöllinen varmenne.
Sinun on oltava vuorovaikutuksessa varmentajan kanssa, jotta voit pyytää, ostaa ja vastaanottaa digitaaliset varmenteet ja luoda niihin liittyvät yksityiset avaimet. Kun pyydät varmenteen, käytä näitä parametreja:
-
Varmenteen on oltava tunnetun julkisen varmentajan myöntämä ja allekirjoittama.
-
Ainutlaatuinen: Suosittelemme, että jokaiselle laitteelle käytetään yksilöllistä sertifikaattia. Jos käytät yhtä varmennetta kaikkiin laitteisiin, vaarannat tietoturvan.
-
Yleisnimi (CN) ja vaihtoehtoinen nimi (SAN/s): Nämä eivät ole tärkeitä Webexin kannalta, mutta niiden pitäisi olla arvoja, jotka ihmiset voivat lukea ja yhdistää laitteeseen. CN näkyy muille kokouksen osallistujille laitteen ensisijaisena todennettuna identiteettinä, ja jos käyttäjät tarkastavat varmenteen kokouksen käyttöliittymän kautta, he näkevät SAN/s:n. Kannattaa käyttää nimiä kuten
name.model@example.com
. -
Tiedostomuoto: Varmenteiden ja avainten on oltava muotoa
.pem
. -
Tarkoitus: Varmenteen käyttötarkoituksen on oltava Webex Identity.
-
Avainten luominen: Varmenteiden on perustuttava ECDSA P-256 -avainpareihin (Elliptical Curve Digital Signature Algorithm using the P-256 curve).
Tämä vaatimus ei koske allekirjoitusavainta. Varmentaja voi käyttää RSA-avainta varmenteen allekirjoittamiseen.
Voit ohittaa tämän vaiheen, jos et halua käyttää ulkoisesti todennettua identiteettiä laitteissasi.
Jos käytät uusia laitteita, älä rekisteröi niitä vielä Webexiin. Varmuuden vuoksi älä liitä niitä verkkoon tässä vaiheessa.
Jos sinulla on olemassa olevia laitteita, jotka haluat päivittää käyttämään ulkoisesti todennettua identiteettiä, sinun on nollattava laitteet tehtaalla.
-
Tallenna nykyinen kokoonpano, jos haluat säilyttää sen.
-
Varaa aika, jolloin laitteita ei käytetä, tai käytä vaiheittaista lähestymistapaa. Ilmoita käyttäjille muutoksista, joita he voivat odottaa.
-
Varmista fyysinen pääsy laitteisiin. Jos sinun on käytettävä laitteita verkon kautta, muista, että salaisuudet kulkevat selkokielisenä tekstinä ja vaarannat tietoturvan.
Kun olet suorittanut nämä vaiheet, sallii videojärjestelmien liittyä kokouksiin ja tapahtumiin Webex-sivustossasi.
Jos haluat varmistaa, että laitteen mediaa ei voi salata kukaan muu kuin laite, sinun on salattava yksityinen avain laitteessa. Suunnittelimme laitteelle sovellusliittymät, joiden avulla salattua avainta ja varmenteita voidaan hallita JSON Web Encryption (JWE) -tekniikalla.
Varmistaaksemme todellisen päästä päähän -salauksen pilvipalvelumme kautta, emme voi osallistua varmenteen ja avaimen salaamiseen ja lataamiseen. Jos tarvitset tämäntasoista turvallisuutta, sinun on:
-
Pyydä todistuksia.
-
Luo varmenteiden avainparit.
-
Luo (ja suojaa) kullekin laitteelle alkuperäinen salaisuus, jolla laitteen salausominaisuudet käynnistetään.
-
Kehitä ja ylläpidä omaa työkalua tiedostojen salaamiseen JWE-standardin avulla.
Prosessi ja tarvitsemasi (ei-salaiset) parametrit selitetään alla, ja lisäksi annetaan resepti, jota voit noudattaa valitsemassasi kehitystyökalussa. Tarjoamme myös joitakin testidatoja ja tuloksena syntyvät JWE-blobit, kuten odotamme niiden olevan, jotta voit tarkistaa prosessisi.
Python3:a ja JWCrypto-kirjastoa käyttävä tukematon viitetoteutus on saatavana Ciscolta pyynnöstä.
-
Yhdistä ja salaa varmenne ja avain käyttämällä työkalua ja laitteen alkuperäistä salaisuutta.
-
Lataa tuloksena syntynyt JWE-blob laitteeseen.
-
Määritä salatun varmenteen käyttötarkoitus Webex-tunnisteen käyttöön ja aktivoi varmenne.
-
(Suositellaan) Tarjoa käyttöliittymä työkalullesi (tai jaa sitä), jotta laitteen käyttäjät voivat vaihtaa alkuperäisen salaisuuden ja suojata mediansa sinulta.
Miten käytämme JWE-muotoa
Tässä jaksossa kuvataan, miten odotamme JWE:n luotavan laitteiden syötteenä, jotta voit rakentaa oman työkalun, jolla luot blobit varmenteista ja avaimista.
Katso JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 ja JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.
Käytämme JSON-dokumentin Compact Serialization -osaa JWE-blobien luomiseen. Parametrit, jotka sinun on sisällytettävä JWE-blobeja luodessasi, ovat:
-
JOSE Header (suojattu). JSON-objektien allekirjoitus ja salaus -otsakkeeseen PITÄÄ sisällyttää seuraavat avain-arvoparit:
-
"alg": "dir"
Suora algoritmi on ainoa tukemamme algoritmi hyötykuorman salaamiseen, ja sinun on käytettävä laitteen alkuperäistä asiakassalaisuutta.
-
"enc": "A128GCM"
tai"enc": "A256GCM"
Tuemme näitä kahta salausalgoritmia.
-
"cisco-action": "add"
tai"cisco-action": "
tai"cisco-action": "
tai"cisco-action": "deactivate"
Tämä on oma avain ja neljä arvoa, jotka se voi ottaa. Otimme tämän avaimen käyttöön, jotta voisimme viestittää kohdelaitteelle salattujen tietojen käyttötarkoituksen. Arvot on nimetty sen laitteen xAPI-komentojen mukaan, jossa käytät salattuja tietoja.
Nimesimme sen osoitteeksi
cisco-action
vähentääkseen mahdollisia ristiriitoja tulevien JWE-laajennusten kanssa. -
"cisco-kdf": { "version": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" } }
Toinen oma avain. Käytämme antamiasi arvoja syöttötietoina laitteen avainten johtamiseen.
version
on oltava1
(avainten johdannaisfunktion versio). Suolanarvon
on oltava vähintään neljän tavun base64-URL-koodattu sekvenssi, joka on valittava satunnaisesti.
-
-
JWE-salattu avain. Tämä kenttä on tyhjä. Laite saa sen alkuperäisestä
ClientSecret
. -
JWE:n alustusvektori. Sinun on annettava base64url-koodattu alustusvektori hyötykuorman purkamista varten. IV:n on oltava satunnainen 12 tavun arvo (käytämme AES-GCM-salausmenetelmää, joka edellyttää, että IV:n pituus on 12 tavua).
-
JWE AAD (lisätodennetut tiedot). Tämä kenttä on jätettävä pois, koska sitä ei tueta kompaktissa sarjallistamisessa.
-
JWE-salausteksti: Tämä on salattu hyötykuorma, jonka haluat pitää salassa.
Hyötykuorma SAA olla tyhjä. Jos haluat esimerkiksi nollata asiakkaan salaisuuden, sinun on korvattava se tyhjällä arvolla.
Hyötykuormia on erityyppisiä riippuen siitä, mitä laitteella yritetään tehdä. Eri xAPI-komennot odottavat erilaisia hyötykuormia, ja sinun on määritettävä hyötykuorman tarkoitus
cisco-action
-avaimella seuraavasti:-
Kun
"cisco-action": "populate"
salateksti on uusiClientSecret
. -
Kun "
"cisco-action": "add"
salateksti on PEM-muotoinen blob, joka sisältää varmenteen ja sen yksityisen avaimen (ketjutettuna). -
With "
"cisco-action": "activate"
salateksti on sen varmenteen sormenjälki (sha-1:n heksadesimaalinen esitys), jonka aktivoimme laitteen tunnistuksen tarkistamista varten. -
With "
"cisco-action": "deactivate"
salateksti on sen varmenteen sormenjälki (sha-1:n heksadesimaalinen esitys), jonka käytöstä laitteen tunnistuksen todentamisessa luovutaan.
-
-
JWE-todennustunniste: Tämä kenttä sisältää todennustunnisteen, jolla varmistetaan koko JWE:n kompaktisti sarjallistetun blobin eheys.
Miten johdamme salausavaimen osoitteesta ClientSecret?
Ensimmäisen salaisuuden populaation jälkeen emme hyväksy tai anna salaisuutta tavallisena tekstinä. Näin estetään mahdolliset sanakirjahyökkäykset, joita joku, joka voisi päästä laitteeseen käsiksi, voisi tehdä.
Laiteohjelmisto käyttää asiakassalaisuutta syöttötietona avainten johdannaisfunktioon (kdf) ja käyttää sitten johdettua avainta sisällön purkamiseen/kryptaamiseen laitteessa.
Tämä tarkoittaa sinulle sitä, että työkalusi, jolla tuotat JWE-blobeja, on noudatettava samaa menettelyä saadakseen saman salaus- ja purkuavaimen asiakassalaisuudesta.
Laitteet käyttävät scrypt -ohjelmaa avainten johtamiseen (ks. https://en.wikipedia.org/wiki/Scrypt) seuraavilla parametreilla:
-
Kustannustekijä (N) on 32768.
-
BlockSizeFactor (r) on 8.
-
ParallelizationFactor (p) on 1.
-
Salt on vähintään neljän tavun satunnainen sarja; sinun on annettava sama
salt
, kun määrität parametrincisco-kdf
. -
Avaimen pituus on joko 16 tavua (jos valitset AES-GCM 128 -algoritmin) tai 32 tavua (jos valitset AES-GCM 256 -algoritmin).
-
Muistin enimmäismäärä on 64 Mt
Tämä parametrijoukko on ainoa scrypt -asetusten konfiguraatio, joka on yhteensopiva laitteiden avainten johdannaistoiminnon kanssa. Tämän kdf:n nimi laitteissa on "version": "1"
, joka on tällä hetkellä ainoa versio, jonka parametri cisco-kdf
ottaa käyttöön.
Toimiva esimerkki
Seuraavassa on esimerkki, jonka avulla voit tarkistaa, että JWE-salausprosessisi toimii samalla tavalla kuin laitteisiin luotu prosessi.
Esimerkkiskenaariossa laitteeseen lisätään PEM-muotoinen blob (jäljittelee varmenteen lisäämistä, mutta koko varmenteen ja avaimen sijasta käytetään hyvin lyhyttä merkkijonoa). Asiakassalaisuus on esimerkissä ossifrage
.
-
Valitse salaussalaus. Tässä esimerkissä käytetään
A128GCM
(AES 128-bittisillä avaimilla Galois-laskurimoodissa). Työkalusi voi halutessasi käyttääA256GCM
. -
Valitse suola (sen on oltava vähintään 4 tavun satunnainen sarja). Tässä esimerkissä käytetään (heksatavuina)
E5 E6 53 08 03 F8 33 F6
. Base64url-koodaa sekvenssi, jotta saat5eZTCAP4M_Y
(poista base64-täytteet). -
Tässä on esimerkki
scrypt
-kutsusta, jolla luodaan sisällön salausavain (cek):cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)
Johdetun avaimen on oltava 16 tavua (heksadesimaalina) seuraavasti:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
joka base64url koodaa muotoonlZ66bdEiAQV4_mqdInj_rA
. -
Valitse satunnainen 12 tavun sekvenssi, jota käytetään alustusvektorina. Tässä esimerkissä käytetään (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
, joka base64url-koodataan muotoonNLNd3V9Te68tkpWD
. -
Luo JOSE-otsikko kompaktilla sarjallistamisella (noudata samaa parametrien järjestystä, jota käytämme tässä) ja koodaa se sitten base64url-koodilla:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}
Base64url-koodattu JOSE-otsake on
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
Tämä on JWE-pisteen ensimmäinen elementti.
-
JWE-blobin toinen elementti on tyhjä, koska emme toimita JWE-salausavainta.
-
JWE-täplän kolmas elementti on alustusvektori
NLNd3V9Te68tkpWD
. - Käytä JWE-salaustyökalua salatun hyötykuorman ja tunnisteen tuottamiseen. Tässä esimerkissä salaamaton hyötykuorma on väärennetty PEM-muotoinen blob
Tämä on PEM-tiedosto.
Käytettävät salausparametrit ovat:
Hyötykuorma on
Tämä on PEM-tiedosto.
Salausmenetelmä on AES 128 GCM.
base64url-koodattu JOSE-otsake AAD-lisätietona (Additional Authenticated Data).
Base64url-koodaa salattu hyötykuorma, jonka tuloksena pitäisi olla
f5lLVuWNfKfmzYCo1YJfODhQ.
Tämä on JWE-blobin neljäs elementti (JWE-salausteksti).
-
Base64url-koodaa vaiheessa 8 tuottamasi tunniste, jonka tuloksena pitäisi olla
PE-wDFWGXFFBeo928cfZ1Q.
Tämä on viides elementti JWE-pilvessä.
-
Yhdistä JWE-blobin viisi elementtiä pisteillä (JOSEheader..IV.Ciphertext.Tag) saadaksesi:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
-
Jos johdatat samoja base64url-koodattuja arvoja, joita näytämme tässä, käyttämällä omia työkalujasi, olet valmis käyttämään niitä E2E-salauksen ja laitteiden todennetun identiteetin suojaamiseen.
-
Tämä esimerkki ei oikeastaan toimi, mutta periaatteessa seuraava askel olisi käyttää edellä luotua JWE-pakettia syötteenä laitteen xcommand-komentoon, joka lisää varmenteen:
xCommand Security Certificates Add
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Nollaluottamusistuntojen istuntotyypit ovat kaikkien kokouspaikkojen käytettävissä ilman lisäkustannuksia. Yksi näistä istuntotyypeistä on nimeltään Pro-End to End Encryption_VOIPonly
. Tämä on Julkisen palvelun nimi, jota voimme muuttaa tulevaisuudessa. Istuntotyyppien nykyiset nimet ovat osoitteessa Istuntotyyppien tunnukset tämän artikkelin osassa Viite .
Sinun ei tarvitse tehdä mitään saadaksesi tämän ominaisuuden sivustollesi, mutta sinun on myönnettävä käyttäjille uusi istuntotyyppi (jota kutsutaan myös nimellä Meeting Privilege). Voit tehdä tämän yksitellen käyttäjän määrityssivun kautta tai massoittain CSV-vienti-/tuontitiedoston avulla.
1 |
Kirjaudu sisään osoitteessa Control Hub ja siirry osoitteeseen . |
2 |
Valitse Sivustot, valitse Webex-sivusto, jonka asetuksia haluat muuttaa, ja valitse sitten Asetukset. |
3 |
Valitse Yleiset asetukset-kohdassa Istuntotyypit. |
4 |
Sinun pitäisi nähdä yksi tai useampi päästä päähän -salauksen istuntotyyppi. Katso luettelo Istuntotyypin tunnuksista tämän artikkelin osassa Viite . Voit esimerkiksi nähdä Pro-End to End Encryption_VOIPonly.
On olemassa vanhempi istuntotyyppi, jolla on hyvin samanlainen nimi: Pro-End-to-End-salaus. Tämä istuntotyyppi sisältää salaamattoman PSTN-yhteyden kokouksiin. Varmista, että käytössäsi on _VOIPonly -versio, jotta varmistat päästä päähän ulottuvan salauksen. Voit tarkistaa sen viemällä hiiren kursorin istuntokoodisarakkeessa olevan PRO -linkin päälle; tässä esimerkissä linkin kohteen pitäisi olla Saatamme tulevaisuudessa muuttaa näiden istuntotyyppien julkisen palvelun nimiä. |
5 |
Jos sinulla ei ole vielä uutta istuntotyyppiä, ota yhteyttä Webex-edustajaan. |
Mitä tehdä seuraavaksi
Ota tämä istuntotyyppi / kokousoikeus käyttöön joillekin tai kaikille käyttäjille.
1 |
Kirjaudu sisään osoitteessa Control Hub ja siirry kohtaan . |
2 |
Valitse päivitettävä käyttäjätili ja valitse sitten Kokoukset. |
3 |
Valitse päivitettävä kokouspaikka avattavasta Settings apply to -valikosta. |
4 |
Merkitse ruutu kohtaan Pro-End to End Encryption_VOIPonly. |
5 |
Sulje käyttäjän määrityspaneeli. |
6 |
Toista tämä tarvittaessa muille käyttäjille. Jos haluat määrittää tämän monelle käyttäjälle, käytä seuraavaa vaihtoehtoa: Enable E2EE meetings for multiple users. |
1 |
Kirjaudu sisään osoitteessa Control Hub ja siirry osoitteeseen . |
2 |
Valitse Sivustot, valitse Webex-sivusto, jonka asetuksia haluat muuttaa. |
3 |
Valitse Lisenssit ja käyttäjät -osiossa Bulk Manage. |
4 |
Napsauta Generate Report ja odota, kun tiedosto on valmis. |
5 |
Kun tiedosto on valmis, napsauta Export Results ja sitten Download. (Sinun on suljettava ponnahdusikkuna manuaalisesti, kun olet klikannut Lataa.) |
6 |
Avaa ladattu CSV-tiedosto muokkausta varten. Jokaiselle käyttäjälle on oma rivinsä, ja |
7 |
Lisää jokaiselle käyttäjälle, jolle haluat myöntää uuden istuntotyypin, Osoitteessa Webex CSV File Format Reference on lisätietoja CSV-tiedoston tarkoituksesta ja sisällöstä. |
8 |
Avaa Control Hubin Kokouspaikan määrityspaneeli. Jos olit jo kokoussivuston luettelosivulla, sinun on ehkä päivitettävä se. |
9 |
Valitse Lisenssit ja käyttäjät -osiossa Bulk Manage. |
10 |
Napsauta Tuo ja valitse muokattu CSV-tiedosto ja napsauta sitten Tuo. Odota, kun tiedosto ladataan. |
11 |
Kun tuonti on valmis, voit tarkistaa, onko virheitä ilmennyt, napsauttamalla Import Results . |
12 |
Siirry sivulle Users ja avaa yksi käyttäjistä tarkistaaksesi, että heillä on uusi istuntotyyppi. |
Voit lisätä kokoustallenteisiin vesileiman Webex Meetings Pro-End to End Encryption_VOIPonly
-istuntotyypillä, jonka avulla voit tunnistaa luottamuksellisten kokousten luvattomien tallenteiden lähdeasiakkaan tai -laitteen.
Kun tämä ominaisuus on käytössä, kokouksen ääni sisältää yksilöllisen tunnisteen jokaiselle osallistuvalle asiakkaalle tai laitteelle. Voit ladata äänitallenteita Control Hubiin, joka analysoi tallenteen ja etsii yksilölliset tunnisteet. Voit tarkastella tuloksia nähdäksesi, mikä lähdeasiakas tai -laite nauhoitti kokouksen.
- Jotta tallenteen voi analysoida, sen on oltava AAC-, MP3-, M4A-, WAV-, MP4-, AVI- tai MOV-tiedosto, jonka koko on enintään 500 Mt.
- Tallenteen on oltava yli 100 sekuntia pitkä.
- Voit analysoida vain organisaatiosi jäsenten isännöimien kokousten tallenteita.
- Vesileiman tiedot säilyvät saman ajan kuin organisaation kokoustiedot.
Lisää äänivesileimoja E2EE-kokouksiin
- Kirjaudu sisään osoitteessa Control Hub, valitse sitten Management, valitse Organization Settings.
- Kohdassa Kokousvesileimat kytke päälle Lisää äänivesileima.
Jonkin aikaa sen jälkeen, kun tämä on kytketty päälle, käyttäjät, jotka suunnittelevat kokouksia
Webex Meetings Pro-End to End Encryption_VOIPonly
-istuntotyypillä, näkevät Digitaalinen vesileima -vaihtoehdon Security-osiossa.
Vesileimattu kokous ladataan ja analysoidaan.
- Valitse Control Hubissa kohdassa Seuranta Vianmääritys.
- Napsauta Vesileima-analyysi.
- Etsi kokous tai valitse se luettelosta ja valitse sitten Analysoi.
- Kirjoita analyysin nimi Analyze audio watermark -ikkunassa.
- (Valinnainen) Kirjoita analyysin huomautus.
- Vedä ja pudota analysoitava äänitiedosto tai valitse Valitse tiedosto selataksesi äänitiedoston.
- Napsauta Sulje.
Kun analyysi on valmis, se näkyy tulosluettelossa sivulla Analyze watermark .
- Valitse kokous luettelosta nähdäksesi analyysin tulokset. Lataa tulokset klikkaamalla .
Ominaisuudet ja rajoitukset
Tallennetun vesileiman purkamisen onnistumiseen vaikuttavat muun muassa tallennuslaitteen ja ääntä lähettävän kaiuttimen välinen etäisyys, äänenvoimakkuus ja ympäristömelu. Vesileimatekniikkamme kestää lisäksi sen, että se koodataan useaan kertaan, kuten voi tapahtua, kun mediaa jaetaan.
Tämä ominaisuus on suunniteltu siten, että vesileiman tunnisteen purkaminen onnistuu laajassa mutta kohtuullisessa joukossa olosuhteita. Tavoitteenamme on, että tallennuslaite, kuten matkapuhelin, joka on pöydällä lähellä henkilökohtaista päätelaitetta tai kannettavaa tietokonetta, luo aina tallenteen, joka johtaa onnistuneeseen analyysiin. Kun tallennuslaitetta siirretään kauemmas lähteestä tai se peittää koko äänispektrin kuulemisen, analyysin onnistumisen mahdollisuudet vähenevät.
Jotta tallenteen analysointi onnistuisi, kokouksen ääni on saatava kohtuullisesti talteen. Jos kokouksen ääni nauhoitetaan samalla tietokoneella, jolla asiakas toimii, rajoituksia ei pitäisi soveltaa.
Jos laitteet on jo liitetty Control Hub -organisaatioon ja haluat käyttää Webex CA:ta niiden tunnistusvarmenteiden automaattiseen luomiseen, sinun ei tarvitse palauttaa laitteita tehdasasetuksia.
Tällä menettelyllä valitaan, mitä toimialuetta laite käyttää itsensä tunnistamiseen, ja sitä tarvitaan vain, jos Control Hub -organisaatiossa on useita toimialueita. Jos sinulla on useampi kuin yksi verkkotunnus, suosittelemme, että teet tämän kaikille laitteillesi, joilla on "Ciscon vahvistama" identiteetti. Jos et kerro Webexille, mikä verkkotunnus tunnistaa laitteen, yksi valitaan automaattisesti, ja se voi näyttää väärältä muiden kokouksen osallistujien silmissä.
Ennen kuin aloitat
Jos laitteita ei ole vielä otettu käyttöön, noudata Register a Device to Cisco Webex Using API or Local Web Interface tai Cloud onboarding for Board, Desk, and Room Series. Sinun on myös tarkistettava toimialueet, joita haluat käyttää laitteiden tunnistamiseen osoitteessa Manage your domains.
1 |
Kirjaudu sisään osoitteessa Control Hub ja valitse Management-kohdassa Devices. |
2 |
Avaa laitteen konfigurointipaneeli valitsemalla laite. |
3 |
Valitse toimialue, jota haluat käyttää tämän laitteen tunnistamiseen. |
4 |
Toista tämä muille laitteille. |
Ennen kuin aloitat
-
Hanki kullekin laitteelle varmentajan allekirjoittama varmenne ja yksityinen avain, jotka ovat muotoa
.pem
. -
Lue Valmistele -välilehdeltä aihe Understanding External Identity Process for Devices,
-
Valmistele JWE-salaustyökalu kyseisiä tietoja varten.
-
Varmista, että sinulla on työkalu, jolla voit luoda tietyn pituisia satunnaisia tavusarjoja.
-
Varmista, että sinulla on työkalu, jolla voit koodata tavuja tai tekstiä base64url-koodilla.
-
Varmista, että sinulla on
scrypt
-toteutus. -
Varmista, että sinulla on salainen sana tai lause jokaista laitetta varten.
1 |
Täytä laitteen Kun täytät ensimmäisen kerran Laitteella on alkuperäinen salaisuus. Älä unohda tätä; et voi palauttaa sitä, ja sinun on nollattava laite tehtaalla aloittaaksesi alusta.
|
2 |
Yhdistä varmenne ja yksityinen avain: |
3 |
Luo JWE-blob, jota käytetään varmenteen lisäämistä koskevan komennon syötteenä: |
4 |
Avaa laitteen TShell ja suorita (monirivinen) komento add: |
5 |
Varmista, että varmenne on lisätty, suorittamalla komento Kopioi uuden varmenteen sormenjälki. |
6 |
Aktivoi varmenne tarkoitusta varten Laitteella on salattu, aktiivinen, varmentajan myöntämä varmenne, jota voidaan käyttää sen tunnistamiseen päästä päähän salatuissa Webex-kokouksissa.
|
7 |
Laite liitetään Control Hub -organisaatioon. |
1 |
Ajoita oikeantyyppinen kokous (Webex Meetings Pro-End to End Encryption_VOIPonly). |
2 |
Liity kokoukseen isäntänä Webex Meetings -asiakasohjelmasta. |
3 |
Liity kokoukseen laitteelta, jonka henkilöllisyyden Webex CA on vahvistanut. |
4 |
Varmista isäntänä, että laite näkyy aulassa oikealla tunnistekuvakkeella. |
5 |
Liity kokoukseen laitteelta, jonka henkilöllisyyden on vahvistanut ulkoinen varmentaja. |
6 |
Varmista isäntänä, että laite näkyy aulassa oikealla tunnistekuvakkeella. Lisätietoja identiteettikuvakkeista. |
7 |
Liity kokoukseen ei-varmennettuna kokousosallistujana. |
8 |
Varmista isäntänä, että tämä osallistuja näkyy aulassa oikealla identiteettikuvakkeella. |
9 |
Isäntänä voit hyväksyä tai hylätä ihmisiä/laitteita. |
10 |
Varmista osallistujien/laitteiden henkilöllisyys mahdollisuuksien mukaan tarkistamalla varmenteet. |
11 |
Tarkista, että kaikilla kokouksessa olevilla on sama kokouksen turvakoodi. |
12 |
Liity kokoukseen uuden osallistujan kanssa. |
13 |
Tarkista, että kaikki näkevät saman, uuden kokouksen turvakoodin. |
-
Aiotko tehdä päästä päähän salatuista kokouksista oletuskokousvaihtoehdon, vai otatko sen käyttöön vain joillekin käyttäjille vai annatko kaikkien isäntien päättää asiasta? Kun olet päättänyt, miten aiot käyttää tätä ominaisuutta, valmistele käyttäjiä, jotka käyttävät sitä, erityisesti sen rajoituksista ja siitä, mitä kokouksessa on odotettavissa.
-
Haluatko varmistaa, ettei Cisco tai kukaan muu voi purkaa sisältösi salausta tai esiintyä laitteidesi henkilöinä? Jos näin on, tarvitset varmenteita julkiselta varmentajalta.
-
Jos henkilöllisyyden todentaminen on eritasoista, anna käyttäjille mahdollisuus todentaa toisensa varmenteen avulla. Vaikka joissakin tilanteissa osallistujat voivat näyttäytyä vahvistamattomina, ja osallistujien tulisi tietää, miten se tarkistetaan, vahvistamattomat henkilöt eivät välttämättä ole huijareita.
Jos käytät ulkoista varmentajaa myöntämään laitevarmenteita, sinun on valvottava, päivitettävä ja haettava varmenteita uudelleen.
Jos olet luonut alkuperäisen salaisuuden, ymmärrä, että käyttäjät saattavat haluta muuttaa laitteen salaisuutta. Sinun on ehkä luotava käyttöliittymä/jakeltava työkalu, jonka avulla he voivat tehdä tämän.
Istunnon tyyppi ID |
Julkisen palvelun nimi |
---|---|
638 |
Vain E2E-salaus+VoIP |
652 |
Pro-End to End Encryption_VOIPonly |
660 |
Pro 3 Vapaa-päästä-päähän Encryption_VOIPonly E2E-salaus + identiteetti |
672 |
Pro 3 Free50-End to End Encryption_VOIPonly |
673 |
ncryption_Koulutuksen ohjaaja E2E EVOIPonly |
676 |
Broadworks Standard plus päästä päähän -salausjärjestelmä |
677 |
Broadworks Premium plus päästä päähän -salauspalvelu |
681 |
Schoology Free plus päästä päähän -salauspalvelu |
Näissä taulukoissa kuvataan Webex-laitteiden API-komentoja, jotka lisäsimme päästä päähän salattuja kokouksia ja todennettua identiteettiä varten. Lisätietoja API:n käytöstä on osoitteessa Access the API for Webex Room and Desk Devices and Webex Boards.
Nämä xAPI-komennot ovat käytettävissä vain laitteissa, jotka ovat joko:
-
Rekisteröitynyt Webexiin
-
Rekisteröity tiloissa ja yhdistetty Webexiin Webex Edge for Devices -palvelun avulla.
API-kutsu |
Kuvaus |
---|---|
|
Tämä määritys tehdään, kun järjestelmänvalvoja määrittää laitteen ensisijaisen toimialueen Control Hubissa. Tarvitaan vain, jos organisaatiolla on useampi kuin yksi toimialue. Laite käyttää tätä toimialuetta, kun se pyytää varmenteen Webex CA:lta. Tämän jälkeen verkkotunnus tunnistaa laitteen. Tätä asetusta ei voi käyttää, jos laitteella on aktiivinen, ulkoisesti myönnetty varmenne, jolla se tunnistaa itsensä. |
|
Ilmaisee, voiko laite liittyä päästä päähän salattuun kokoukseen. Pilvi-API kutsuu sitä, jotta pariliitoksen muodostava sovellus tietää, voiko se käyttää laitetta liittymiseen. |
|
Ilmaisee, käyttääkö laite |
|
Laitteen tunnistetiedot, jotka luetaan ulkoisesti myönnetyn varmenteen Common Name -nimestä. |
|
Lukee tiettyjä tietoja ulkoisesti myönnetystä varmenteesta. Korvaa näytetyssä komennossa
|
|
Laitteen ulkoisen identiteetin tila (esim. |
|
Ilmaisee, onko laitteella voimassa oleva Webex CA:n myöntämä varmenne. |
|
Laitteen tunniste, joka luetaan Webexin myöntämän varmenteen Common Name -nimestä. Sisältää toimialueen nimen, jos organisaatiolla on toimialue. On tyhjä, jos organisaatiolla ei ole toimialuetta. Jos laite kuuluu organisaatioon, jossa on useita toimialueita, tämä on |
|
Lukee tiettyjä tietoja Webexin myöntämästä varmenteesta. Korvaa näytetyssä komennossa
|
API-kutsu |
Kuvaus |
---|---|
| Nämä kolme tapahtumaa sisältävät nyt |
API-kutsu |
Kuvaus |
---|---|
tai
| Hyväksyy base64url-koodatun tavallisen tekstiarvon, jolla asiakassalaisuus kylvetään laitteeseen ensimmäistä kertaa. Jos haluat päivittää salaisuuden tämän ensimmäisen kerran jälkeen, sinun on toimitettava JWE-blob, joka sisältää uuden salaisuuden, joka on salattu vanhalla salaisuudella. |
| Lisää varmenteen (ja yksityisen avaimen). Laajensimme tätä komentoa niin, että se hyväksyy salattuja PEM-tietoja sisältävän JWE-blobin. |
| Aktivoi tietyn varmenteen WebexIdentityä varten. Tätä |
| Poistaa tietyn varmenteen käytöstä WebexIdentityä varten. Tätä |