피드백을 보내 주셔서 감사합니다.
제로 트러스트 미팅 배포
피드백이 있습니까?
사용자가 미팅을 예약할 때 미팅 유형을 선택합니다. 로비에서 참가자를 허용할 때 및 미팅 중에 호스트는 각 참가자의 ID 확인 상태를 확인할 수 있습니다. 또한 미팅에 있는 모든 현재 참가자에게 공통적인 미팅 코드도 있습니다. 이를 사용하여 미팅이 원치 않는 타사 MITM(Meddler In The Middle) 공격으로 가로채지 않았는지 확인할 수 있습니다.
미팅 호스트와 다음 정보를 공유하십시오.
-
종단 간 암호화를 사용하여 Webex 미팅 참여하기
ID 확인
ID 확인으로 종단 간 암호화는 종단 간 암호화된 미팅에 추가 보안을 제공합니다.
참가자 또는 장치가 공유 MLS(Messaging Layer Security) 그룹에 참여하면 인증서를 다른 그룹 멤버에게 제시하고, 발행 인증 기관(CA)에 대해 인증서의 유효성을 검증합니다. 인증서가 유효한지 확인하면 CA는 참가자의 ID를 확인하고 미팅은 참가자/장치를 확인된 것으로 표시합니다.
Webex 앱 사용자는 Webex 아이덴티티 스토어에 대해 자신을 인증하며, 인증이 성공하면 액세스 토큰을 발급합니다. 종단 간 암호화된 미팅에서 ID를 확인하기 위해 인증서가 필요한 경우, Webex CA는 액세스 토큰에 기반하여 인증서를 발급합니다. 현재 Webex Meetings 사용자가 타사/외부 CA에서 발급한 인증서를 얻을 수 있는 방법을 제공하지 않습니다.
장치는 내부(Webex) CA에서 발급한 인증서 또는 외부 CA에서 발급한 인증서를 사용하여 자신을 인증할 수 있습니다.
-
내부 CA—Webex는 장치의 머신 계정의 액세스 토큰에 기반하여 내부 인증서를 발행합니다. 인증서는 Webex CA에서 서명합니다. 장치에는 사용자가 사용하는 것과 동일한 방법으로 사용자 ID가 없으므로 Webex는 장치 인증서의 ID(CN))를 작성할 때 조직의 도메인을 사용합니다.
-
외부 CA—선택한 발급자로부터 직접 장치 인증서를 요청하고 구입합니다. 귀하에게만 알려진 비밀을 사용하여 인증서를 암호화하고, 직접 업로드하고, 인증해야 합니다.
Cisco는 관여하지 않으므로 진정한 종단 간 암호화 및 확인된 ID를 보장하고, Cisco가 미팅을 엿보거나 미디어를 해독할 수 있는 이론적인 가능성을 방지합니다.
내부적으로 발급된 장치 인증서
Webex는 시작한 후에 등록할 때 장치에 인증서를 발급하고, 필요할 때 갱신합니다. 장치의 경우 인증서에는 계정 ID와 도메인이 포함됩니다.
조직에 도메인이 없는 경우, Webex CA는 도메인 없이 인증서를 발급합니다.
조직에 여러 도메인이 있는 경우, Control Hub를 사용하여 장치에서 ID에 대해 사용할 도메인을 Webex에 알릴 수 있습니다. API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"를 사용할 수도 있습니다.
여러 도메인이 있으며 장치에 대해 선호하는 도메인을 설정하지 않은 경우, Webex는 귀하를 위해 도메인을 선택합니다.
외부적으로 발급된 장치 인증서
관리자는 공용 CA 중 하나로 서명된 자체 인증서를 사용하여 장치를 프로비저닝할 수 있습니다.
인증서는 RSA 키로 서명할 수 있지만 ECDSA P-256 키 쌍을 기반으로 해야 합니다.
인증서의 값은 조직의 재량에 따라 달라집니다. CN(일반 이름) 및 SAN(주체 대체 이름)은 Webex Meetings에 대해 ID 확인으로 종단 간 암호화에서 설명하는 대로 Webex 미팅 사용자 인터페이스에 표시됩니다.
장치당 별도의 인증서를 사용하고 장치당 고유한 CN을 사용하는 것이 좋습니다. 예를 들어, "example.com" 도메인을 소유하고 있는 조직에 대해 "meeting-room-1.example.com"을 입력합니다.
외부 인증서가 변경되지 않도록 완전히 보호하기 위해 클라이언트 비밀 기능을 사용하여 다양한 xcommands를 암호화하고 서명합니다.
클라이언트 비밀을 사용할 때 xAPI를 통해 외부 Webex 아이덴티티 인증서를 안전하게 관리할 수 있습니다. 이는 현재 온라인 장치로 제한됩니다.
현재 Webex는 이를 관리하기 위한 API 명령어를 제공합니다.
장치
다음 클라우드 등록된 Webex Room 시리즈 및 Webex Desk 시리즈 장치는 E2EE 미팅에 참여할 수 있습니다.
-
Webex Board는
-
Webex 데스크 프로
-
Webex 데스크
-
Webex Room 키트
-
Webex Room Kit 미니
다음 장치는 E2EE 미팅에 참여할 수 없습니다.
-
Webex C 시리즈
-
Webex DX 시리즈
-
Webex EX 시리즈
-
Webex MX 시리즈
-
타사 SIP 장치
소프트웨어 클라이언트
-
데스크탑 및 모바일 클라이언트용 Webex 앱은 E2EE 미팅에 참여할 수 있습니다.
-
Webex 웹 클라이언트는 E2EE 미팅에 참여할 수 없습니다.
-
타사 SIP 소프트 클라이언트는 E2EE 미팅에 참여할 수 없습니다.
신원
-
설계상, 외부에서 확인된 장치 아이덴티티를 관리할 수 있는 Control Hub 옵션을 제공하지 않습니다. 진정한 종단 간 암호화를 위해 귀하만 암호 및 키를 알고/액세스해야 합니다. 해당 키를 관리하기 위해 클라우드 서비스를 도입한 경우, 차단될 가능성이 있습니다.
-
현재 업계 표준 암호화 기술에 기반하여 장치 ID 인증서 및 개인 키를 요청하거나 암호화하는 데 도움이 되는 자체 도구를 설계할 수 있는 '레시피'를 제공합니다. 우리는 귀하의 비밀 또는 키에 대한 실제 또는 인식 액세스를 원하지 않습니다.
미팅
-
E2EE 미팅은 현재 최대 1000명의 참가자를 지원합니다.
- E2EE 미팅에서 새 화이트보드를 공유할 수 있습니다. 일반 미팅에서 화이트보드와 몇 가지 차이점이 있습니다.
- E2EE 미팅에서 사용자는 비공개 화이트보드, 다른 사용자가 공유한 화이트보드 및 Webex 스페이스의 화이트보드를 포함하여 미팅 외부에서 작성된 화이트보드에 액세스할 수 없습니다.
- E2EE 미팅에서 생성된 화이트보드는 미팅 중에만 사용할 수 있습니다. 해당 사용자는 저장되지 않으며, 미팅이 종료된 후에 액세스할 수 없습니다.
- E2EE 미팅에서 누군가 콘텐츠를 공유하는 경우, 주석을 달 수 있습니다. 주석에 대한 자세한 정보는 Webex 앱 | 주석으로 공유된 콘텐츠를 표시를 참조하십시오.
관리 인터페이스
Control Hub 조직은 전체 조직에 대해 중앙화된 ID를 갖고 있기 때문에 Control Hub를 사용하여 미팅 사이트를 관리할 것을 강력히 권장합니다.
관련 정보
-
Webex용 제로 트러스트 보안 (보안 기술 문서)
-
JSON 웹 암호화(JWE) (임시 버전 IETF 표준)
-
Webex Meetings 41.7.
-
10.6.1-RoomOS_August_2021을(를) 실행하는 클라우드 등록된 Webex Room 및 Webex Desk 시리즈 장치. -
Control Hub에서 미팅 사이트에 대한 관리 액세스.
-
Control Hub 조직에서 한 개 이상의 확인된 도메인(Webex CA를 사용하여 확인된 ID에 대한 장치 인증서를 발급하는 경우).
-
사용자가 비디오 시스템에서 참여할 수 있도록 협업 미팅 룸이 켜져 있어야 합니다. 자세한 정보는 Webex 사이트에서 비디오 시스템이 미팅 및 이벤트에 참여할 수 있게 허용을 참조하십시오.
외부에서 확인된 ID가 필요하지 않은 경우엔 이 단계를 건너뛸 수 있습니다.
최고 수준의 보안 및 ID 확인을 위해 각 장치에는 신뢰할 수 있는 공용 CA(인증 기관)에서 발급한 고유한 인증서가 있어야 합니다.
디지털 인증서를 요청, 구입 및 수신하고 연결된 개인 키를 만들려면 CA와 상호 작용해야 합니다. 인증서를 요청할 때 다음 매개 변수를 사용합니다.
-
인증서는 잘 알려진 공용 CA에서 발급하고 서명해야 합니다.
-
고유함: 각 장치에 대해 고유한 인증서를 사용할 것을 강력하게 권장합니다. 모든 장치에 대해 한 개의 인증서를 사용하는 경우 보안을 손상합니다.
-
일반 이름(CN) 및 SAN/s: 이는 Webex에 중요하지 않지만, 사용자가 읽고 장치에 연계할 수 있는 값이어야 합니다. CN은 다른 미팅 참가자에게 장치의 확인된 기본 ID로 표시되며, 사용자가 미팅 UI를 통해 인증서를 검사하는 경우, SAN/s가 나타납니다.
name.model@example.com과 같은 이름을 사용하고 싶을 수도 있습니다. -
파일 형식: 인증서 및 키는
.pem형식이어야 합니다. -
목적: 인증서 목적은 Webex ID이어야 합니다.
-
키 생성 중: 인증서는 ECDSA P-256 키 쌍(P-256 곡선을 사용하는 타원 곡선 디지털 서명 알고리즘)을 기반으로 해야 합니다.
이 요구 사항은 서명 키로 확장되지 않습니다. CA는 RSA 키를 사용하여 인증서에 서명할 수 있습니다.
장치에서 외부에서 확인된 ID를 사용하지 않으려면 이 단계를 건너뛸 수 있습니다.
새로운 장치를 사용하고 있는 경우, 아직 Webex에 등록하지 마십시오. 보안을 위해 현재 네트워크에 연결하지 마십시오.
외부에서 확인된 ID를 사용하기 위해 업그레이드하려는 기존 장치가 있는 경우 장치를 공장 설정 초기화해야 합니다.
-
기존 구성을 유지하려는 경우 저장합니다.
-
장치가 사용되지 않을 때 창을 예약하거나 단계적 접근 방식을 사용합니다. 사용자에게 예상할 수 있는 변경 사항을 알립니다.
-
장치에 대한 물리적 액세스를 보장합니다. 네트워크를 통해 장치에 액세스해야 하는 경우, 비밀은 일반 텍스트로 이동하고 보안을 손상시키고 있음을 숙지하십시오.
해당 단계를 완료하면 Webex 사이트에서 비디오 시스템이 미팅 및 이벤트에 참여할 수 있게 허용합니다.
장치를 제외한 다른 사용자가 장치 미디어를 암호화할 수 없도록 하려면 장치에서 개인 키를 암호화해야 합니다. JWE(JSON 웹 암호화)를 사용하여 암호화된 키 및 인증서를 관리할 수 있도록 장치에 대한 API를 설계했습니다.
클라우드를 통해 진정한 종단 간 암호화를 보장하기 위해 인증서 및 키를 암호화하고 업로드하는 데 관여할 수 없습니다. 이 수준의 보안이 필요한 경우 다음을 수행해야 합니다.
-
인증서를 요청합니다.
-
인증서의 키 쌍을 생성합니다.
-
장치의 암호화 기능을 시동하려면 각 장치에 대한 초기 비밀을 생성(및 보호)합니다.
-
JWE 표준을 사용하여 파일을 암호화하는 자체 도구를 개발하고 유지관리하십시오.
필요한 프로세스 및 (비비밀) 파라미터는 아래에 설명되어 있으며, 선택한 개발 도구에서 따라야 할 레시피를 제공합니다. 또한 프로세스를 확인하는 데 도움이 되는 일부 테스트 데이터와 결과 JWE blob도 제공합니다.
Python3 및 JWCrypto 라이브러리를 사용하는 지원되지 않는 참조 구현은 요청에 따라 Cisco에서 사용할 수 있습니다.
-
도구 및 장치의 초기 암호를 사용하여 인증서 및 키를 연결하고 암호화합니다.
-
결과 JWE blob를 장치에 업로드합니다.
-
Webex 아이덴티티에 대해 암호화된 인증서의 목적을 설정하고 인증서를 활성화합니다.
-
(권장됨) 장치 사용자가 초기 암호를 변경하고 사용자의 미디어를 보호할 수 있도록 도구에 대한 인터페이스를 제공(또는 배포)합니다.
JWE 형식을 사용하는 방법
이 섹션에서는 JWE가 장치에 대한 입력으로 생성될 것으로 예상하는 방법을 설명합니다. 따라서 인증서 및 키에서 blob를 생성하는 자체 도구를 빌드할 수 있습니다.
JWE(JSON 웹 암호화) https://datatracker.ietf.org/doc/html/rfc7516 및 JWS(JSON Web Signature) https://datatracker.ietf.org/doc/html/rfc7515를 참조하십시오.
JSON 문서의 압축 직렬화 를 사용하여 JWE blob를 만듭니다. JWE blob를 만들 때 포함해야 하는 매개 변수는 다음과 같습니다.
-
JOSE 헤더 (보호됨). JSON 개체 서명 및 암호화 헤더에는 다음 키-값 쌍을 포함해야 합니다.
-
"alg":"dir"다이렉트 알고리즘은 페이로드를 암호화하기 위해 지원하는 유일한 알고리즘이며, 장치의 초기 클라이언트 비밀을 사용해야 합니다.
-
"enc":"A128GCM"또는"enc":"A256GCM"이 두 가지 암호화 알고리즘을 지원합니다.
-
"cisco-action": "add"또는"cisco-action": "populate""cisco-action": "activate"또는"cisco-action": "deactivate"이것은 독점 키와 사용할 수 있는 네 가지 값입니다. 암호화된 데이터의 목적을 대상 장치에 신호를 보내기 위해 이 키를 도입했습니다. 값은 암호화된 데이터를 사용하는 장치의 xAPI 명령에 따라 이름이 지정됩니다.
향후 JWE
cisco-action확장의 잠재적인 충돌을 완화하기 위해 명명되었습니다. -
"cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }다른 독점 키. 귀하가 제공하는 값을 장치의 키 파생 입력으로 사용합니다.
version은(는)1(키 파생 함수의 버전)이어야 합니다.salt의 값은 최소한 4바이트의 base64 URL-인코딩된 시퀀스이어야 하며, 이는 임의로 선택해야 합니다.
-
-
JWE 암호화된 키. 이 필드는 비어 있습니다. 장치는 초기
ClientSecret에서 파생됩니다. -
JWE 초기화 벡터. 페이로드를 해독하려면 base64url로 인코딩된 초기화 벡터를 제공해야 합니다. IV는 필수 임의의 12바이트 값입니다(IV가 12바이트여야 하는 AES-GCM 암호 패밀리를 사용하고 있음).
-
JWE AAD (추가 인증된 데이터). 이 필드는 압축 직렬화에서 지원되지 않으므로 생략해야 합니다.
-
JWE 암호 텍스트: 이는 비밀을 유지하려는 암호화된 페이로드입니다.
페이로드가 비어 있을 수 있습니다. 예를 들어, 클라이언트 암호를 재설정하려면 빈 값으로 덮어써야 합니다.
장치에서 수행하려는 작업에 따라 다른 유형의 페이로드가 있습니다. 다른 xAPI 명령어는 다른 페이로드를 예상하며, 다음과 같이
cisco-action키를 사용하여 페이로드의 목적을 지정해야 합니다.-
"cisco-action":"populate"암호문은 새로운ClientSecret입니다. -
"
"cisco-action":"add"암호문은 인증서와 비공개 키(연결된)를 전달하는 PEM blob입니다. -
"
"cisco-action":"activate"암호문은 장치 ID 확인을 위해 활성화하고 있는 인증서의 지문(sha-1의 16진수 표현)입니다. -
"
"cisco-action":"deactivate"암호문은 장치 ID 확인에 사용되지 않도록 비활성화하고 있는 인증서의 지문(sha-1의 16진수 표현)입니다.
-
-
JWE 인증 태그: 이 필드에는 전체 JWE 압축 직렬화된 blob의 무결성을 확인하는 인증 태그가 포함되어 있습니다.
암호화 키를 가져오는 방법 ClientSecret
비밀의 첫 번째 모집단 이후에는 암호를 일반 텍스트로 수락하거나 출력하지 않습니다. 이는 장치에 액세스할 수 있는 사용자의 잠재적인 사전 공격을 방지하기 위한 것입니다.
장치 소프트웨어는 클라이언트 비밀을 키 파생 기능(kdf)에 대한 입력으로 사용한 다음 장치에서 콘텐츠 해독/암호화에 대해 파생된 키를 사용합니다.
이는 JWE blobs를 생성하기 위한 도구가 클라이언트 비밀에서 동일한 암호화/해독 키를 파생하기 위해 동일한 절차를 따라야 한다는 것을 의미합니다.
장치는 다음 파라미터와 함께 키 파생(scrypt 를 사용합니다(https://en.wikipedia.org/wiki/Scrypt 참조).
-
CostFactor(N)는 32768
-
BlockSizeFactor(r)는 8
-
ParallelizationFactor(p)는 1
-
솔트는 최소 4바이트의 무작위 시퀀스입니다. 파라미터를 지정할 때
salt동일한cisco-kdf값을 제공해야 합니다. -
키 길이는 16바이트(AES-GCM 128 알고리즘을 선택하는 경우) 또는 32바이트(AES-GCM 256 알고리즘을 선택하는 경우)입니다.
-
최대 메모리 캡은 64MB입니다.
이 파라미터 집합은 장치에서 키 파생 기능과 호환되는 scrypt 의 유일한 구성입니다. 장치에서 이 kdf는 "version":"1"이라고 하며, 이는 현재 cisco-kdf 파라미터에서 사용하는 유일한 버전입니다.
작동하는 예제
다음은 JWE 암호화 프로세스가 장치에서 생성한 프로세스와 동일하게 작동하는지 확인하기 위해 실행할 수 있는 예제입니다.
예제 시나리오는 PEM blob를 장치에 추가하는 것입니다(전체 인증서 + 키 대신 매우 짧은 문자열로 인증서를 추가하는 모방). 예제에서 클라이언트 비밀은 ossifrage입니다.
-
암호화 암호를 선택합니다. 이 예제에서는
A128GCM(Galois 카운터 모드에서 128비트 키가 포함된 AES)를 사용합니다. 원하는 경우에 도구를 사용할 수A256GCM있습니다. -
소금을 선택합니다(최소 4바이트의 무작위 시퀀스여야 함). 이 예제는 (16진수 바이트)
E5 E6 53 08 03 F8 33 F6를 사용합니다. Base64url은 시퀀스를 인코딩하여5eZTCAP4M_Y(base64 패딩 제거)을 가져옵니다. -
다음은 콘텐츠 암호화 키(
scryptcek)를 만들기 위한 샘플 통화입니다.cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)파생된 키는 다음과 같이 16바이트(16진수)이어야 합니다.
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac- base64url은lZ66bdEiAQV4_mqdInj_rA(으)로 인코딩됩니다. -
초기화 벡터로 사용할 12바이트의 무작위 시퀀스를 선택합니다. 이 예제에서는
34 b3 5d dd 5f 53 7b af 2d 92 95 83base64url이NLNd3V9Te68tkpWD(16진수)로 인코딩됩니다. -
압축 직렬화를 사용하여 JOSE 헤더를 생성한 후(여기에서 사용하는 것과 동일한 매개 변수 순서를 따르십시오) base64url로 인코딩합니다.
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}base64url로 인코딩된 JOSE 헤더는 다음과 같습니다.
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9이는 JWE blob의 첫 번째 요소가 됩니다.
-
JWE 암호화 키를 제공하지 않기 때문에 JWE blob의 두 번째 요소가 비어 있습니다.
-
JWE blob의 세 번째 요소는 초기화 벡터
NLNd3V9Te68tkpWD입니다. - JWE 암호화 도구를 사용하여 암호화된 페이로드 및 태그를 생성합니다. 이 예에서는 암호화되지 않은 페이로드가 가짜 PEM blob가 됩니다.
this is a PEM file사용해야 하는 암호화 매개 변수는 다음과 같습니다.
페이로드:
this is a PEM file암호화 암호는 AES 128 GCM입니다.
AAD(추가 인증 데이터)로 base64url로 인코딩된 JOSE 헤더
Base64url은 암호화된 페이로드를 인코딩하여
f5lLVuWNfKfmzYCo1YJfODhQ이는 JWE BLOB의 네 번째 요소(JWE 암호 텍스트)입니다.
-
Base64url은 8단계에서 생성한 태그를 인코딩합니다.
PE-wDFWGXFFBeo928cfZ1Q이는 JWE blob의 다섯 번째 요소입니다.
-
JWE blob의 5개 요소를 점(JOSEheader..IV.Ciphertext.Tag)과 연결하여 다음을 얻습니다.
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q -
여기에 표시된 것과 동일한 base64url로 인코딩된 값을 가져온 경우, 자신의 도구를 사용하여 E2E 암호화 및 장치의 확인된 ID를 보호할 준비가 됩니다.
-
이 예제는 실제로 작동하지 않지만, 원칙적으로 다음 단계는 위에서 생성한 JWE blob를 인증서를 추가하는 장치에서 xcommand에 대한 입력으로 사용하는 것입니다.
xCommand Security Certificates AddeyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
제로 트러스트 미팅에 대한 세션 유형은 모든 미팅 사이트에서 추가 비용 없이 사용할 수 있습니다. 해당 세션 유형 중 하나를 Pro-End to End Encryption_VOIPonly이라고 합니다. 이는 향후 변경될 수 있는 공용 서비스 이름입니다. 세션 유형의 현재 이름은 이 문서의 참조 섹션에서 세션 유형 ID 를 참조하십시오.
사이트에 대해 이 기능을 사용하기 위해 실행해야 하는 작업은 없습니다. 사용자에게 새로운 세션 유형(미팅 권한이라고도 함)을 부여해야 합니다. 사용자의 구성 페이지를 통해 개별적으로 또는 CSV 내보내기/가져오기를 사용하여 일괄적으로 이 작업을 실행할 수 있습니다.
| 1 | |
| 2 |
사이트를 클릭하고 설정을 변경하고자 하는 Webex 사이트를 선택한 후 설정을 클릭합니다. |
| 3 |
공통 설정 아래에서 세션 유형을 선택합니다. 하나 이상의 종단 간 암호화 세션 유형이 나타납니다. 이 문서의 참조 섹션에서 세션 유형 ID 목록을 참조하십시오. 예를 들어, Pro-End to End Encryption_VOIPonly가 나타날 수 있습니다.
매우 유사한 이름의 이전 세션 유형이 있습니다. Pro-종단 간 암호화. 이 세션 유형에는 미팅에 대한 암호화되지 않은 PSTN 액세스가 포함됩니다. 종단 간 암호화를 보장하려면 _VOIPonly 버전이 있는지 확인하십시오. 세션 코드 열에서 PRO 링크 위에 마우스를 올리고 확인할 수 있습니다. 이 예제에서 링크의 대상은 향후에 해당 세션 유형에 대한 공용 서비스 이름을 변경할 수 있습니다. |
| 4 |
아직 새로운 세션 유형이 없는 경우, Webex 담당자에게 문의하십시오. |
다음 작업
일부 또는 모든 사용자에 대해 이 세션 유형 / 미팅 권한을 활성화하십시오.
| 1 | |
| 2 |
사이트를 클릭하고 설정을 변경할 Webex 사이트를 선택합니다. |
| 3 |
라이센스 및 사용자 섹션에서 일괄 관리를 클릭합니다. |
| 4 |
보고서 생성을 클릭하고 파일을 준비하는 동안 기다립니다. |
| 5 |
파일이 준비되면 결과 내보내기 를 클릭한 후 다운로드를 클릭합니다. (다운로드를 클릭한 후 해당 팝업 창을 수동으로 닫아야 합니다.) |
| 6 |
다운로드된 CSV 파일을 열고 편집하십시오. 각 사용자에 대한 행이 있으며, |
| 7 |
새로운 세션 유형을 부여하고자 하는 각 사용자에 대해 Webex CSV 파일 형식 참조 에는 CSV 파일의 목적 및 내용에 대한 세부 정보가 포함됩니다. |
| 8 |
Control Hub에서 미팅 사이트 구성 목록을 엽니다. 이미 미팅 사이트 목록 페이지에 있는 경우, 새로 고침해야 할 수도 있습니다. |
| 9 |
라이센스 및 사용자 섹션에서 일괄 관리를 클릭합니다. |
| 10 |
가져오기 를 클릭하고 편집된 CSV를 선택한 후 가져오기를 클릭합니다. 파일이 업로드되는 동안 기다리십시오. |
| 11 |
가져오기를 마친 후 가져오기 결과 를 클릭하여 오류가 있는지 확인할 수 있습니다. |
| 12 |
사용자 페이지로 이동하고 사용자 중 한 명을 열어 새로운 세션 유형을 갖고 있는지 확인합니다. |
Webex Meetings Pro-End to End Encryption_VOIPonly 세션 유형을 사용하여 미팅 녹화에 워터마크를 추가할 수 있습니다. 이를 통해 기밀 미팅의 인증되지 않은 녹화의 소스 클라이언트 또는 장치를 식별할 수 있습니다.
이 기능이 활성화되면 미팅 오디오에는 참가하는 각 클라이언트 또는 장치에 대해 고유한 식별자가 포함됩니다. 오디오 녹화를 Control Hub에 업로드하면 녹화를 분석하고 고유한 식별자를 조회할 수 있습니다. 결과를 확인하여 어떤 소스 클라이언트 또는 장치가 미팅을 녹화했는지 확인할 수 있습니다.
- 분석하려면 녹화는 500MB보다 큰 AAC, MP3, M4A, WAV, MP4, AVI 또는 MOV 파일이어야 합니다.
- 녹화는 100초보다 길어야 합니다.
- 조직에 있는 사용자가 호스트하는 미팅에 대한 녹화만 분석할 수 있습니다.
- 워터마크 정보는 조직의 미팅 정보와 동일한 지속 시간 동안 유지됩니다.
E2EE 미팅에 오디오 워터마크 추가
- Control Hub에 로그인한 후 관리 아래에서 조직 설정을 선택합니다.
- 미팅 워터마크 섹션에서 오디오 워터마크 추가를 켭니다.
이 기능이 켜진 후 잠시 후에
Webex Meetings Pro-End to End Encryption_VOIPonly세션 유형으로 미팅을 예약하는 사용자는 보안 섹션에서 디지털 워터마킹 옵션이 나타납니다.
워터마크된 미팅 업로드 및 분석
- Control Hub의 모니터링 아래에서 문제 해결하기를 선택합니다.
- 워터마크 분석을 클릭합니다.
- 목록에서 미팅을 검색하거나 선택한 후 분석을 클릭합니다.
- 오디오 워터마크 분석 창에서 분석에 대한 이름을 입력합니다.
- (선택 사항) 분석에 대한 메모를 입력합니다.
- 분석할 오디오 파일을 드래그하고 드롭하거나, 파일 선택 을 클릭하여 오디오 파일을 찾습니다.
- 닫기를 클릭합니다.
분석이 완료되면 워터마크 분석 페이지의 결과 목록에 나타납니다.
- 목록에서 미팅을 선택하여 분석의 결과를 확인합니다.
을(를) 클릭하여 결과를 다운로드합니다.
기능 및 제한 사항
녹화된 워터마크를 성공적으로 디코딩하는 데 관련된 요소에는 녹화 장치와 오디오를 출력하는 스피커 간의 거리, 해당 오디오의 볼륨, 환경 소음 등이 포함됩니다. Webex 워터마킹 기술은 미디어가 공유될 때 발생할 수 있는 것처럼 여러 번 인코딩할 수 있는 추가 탄력성을 제공합니다.
이 기능은 광범위하지만 합리적인 환경에서 워터마크 식별자를 성공적으로 디코딩할 수 있도록 설계되었습니다. 저희의 목표는 개인 엔드포인트 또는 노트북 클라이언트 근처에 있는 휴대폰과 같은 녹음 장치를 항상 성공적인 분석으로 이어지는 녹화를 만들어야 하는 것입니다. 녹화 장치가 소스에서 제거되거나 전체 오디오 스펙트럼을 듣지 않게 되면 성공적인 분석의 가능성이 줄어듭니다.
녹화를 성공적으로 분석하려면 적합한 미팅 오디오를 캡처해야 합니다. 클라이언트를 호스트하는 동일한 컴퓨터에 미팅의 오디오가 녹화된 경우, 제한 사항이 적용되지 않습니다.
장치가 이미 Control Hub 조직에 등록되어 있으며 Webex CA를 사용하여 식별 인증서를 자동 생성하려는 경우, 장치를 공장 설정 초기화할 필요가 없습니다.
이 절차는 장치가 자신을 식별하기 위해 사용하는 도메인을 선택하며, Control Hub 조직에 여러 도메인이 있는 경우에만 필요합니다. 두 개 이상의 도메인이 있는 경우, "Cisco가 확인한" ID를 사용할 모든 장치에 대해 이 작업을 수행하는 것이 좋습니다. 어떤 도메인이 장치를 식별하는지 Webex에 알리지 않는 경우, 해당 도메인은 자동으로 선택되며, 다른 미팅 참가자에게 잘못 보일 수도 있습니다.
시작하기 전에
장치가 아직 등록되지 않은 경우, API 또는 로컬 웹 인터페이스를 사용하여 Cisco Webex에 장치 등록 또는 Board, Desk 및 Room 시리즈에 대해 클라우드 등록을 따릅니다. 도메인 관리에서 장치를 식별하기 위해 사용할 도메인도 확인해야 합니다.
| 1 |
Control Hub에 로그인하고 관리 아래에서 장치를 선택합니다. |
| 2 |
장치를 선택하여 구성 목록을 엽니다. |
| 3 |
이 장치를 식별하기 위해 사용할 도메인을 선택하십시오. |
| 4 |
다른 장치에 대해 반복합니다. |
시작하기 전에
-
각 장치에 대해 CA 서명 인증서 및 비공개 키를
.pem형식으로 가져옵니다. -
준비 탭 아래에서 장치에 대해 외부 ID 프로세스 이해 주제를 참조하십시오.
-
해당 정보와 관련하여 JWE 암호화 도구를 준비합니다.
-
지정된 길이의 임의의 바이트 시퀀스를 생성하는 도구가 있는지 확인하십시오.
-
바이트 또는 텍스트를 base64url로 인코딩하는 도구가 있는지 확인하십시오.
-
실행을 실행하고 있는지
scrypt확인하십시오. -
각 장치에 비밀 단어 또는 문구가 있는지 확인합니다.
| 1 |
장치의 처음으로 장치에 초기 비밀이 있습니다. 잊지 마십시오. 복구할 수 없으며 다시 시작하려면 장치를 공장 설정 초기화해야 합니다.
|
| 2 |
인증서 및 비공개 키를 연결합니다. |
| 3 |
인증서 추가 명령에 대한 입력으로 사용할 JWE blob를 생성합니다. |
| 4 |
장치에서 TShell을 열고 (다중 회선) 추가 명령을 실행합니다. |
| 5 |
인증서가 추가되었는지 확인 새 인증서의 지문을 복사합니다. |
| 6 |
목적을 위해 인증서를 활성화합니다. 장치에는 종단 간 암호화된 Webex 미팅에서 식별하기 위해 사용할 수 있는 암호화된 활성 CA 발급된 인증서가 있습니다.
|
| 7 |
장치를 Control Hub 조직에 등록합니다. |
| 1 |
올바른 유형의 미팅을 예약합니다(Webex Meetings Pro-End to End Encryption_VOIPonly). 종단 간 암호화를 사용하여 Webex 미팅 예약하기를 참조하십시오. |
| 2 |
Webex Meetings 클라이언트에서 호스트로서 미팅에 참여합니다. 종단 간 암호화를 사용하여 Webex 미팅 참여를 참조하십시오. |
| 3 |
Webex CA에서 확인한 ID가 있는 장치에서 미팅에 참여합니다. |
| 4 |
호스트로서 이 장치가 올바른 ID 아이콘으로 로비에 나타나는지 확인합니다. 종단 간 암호화를 사용하여 Webex 미팅 참여를 참조하십시오. |
| 5 |
외부 CA가 확인한 ID가 있는 장치에서 미팅에 참여합니다. |
| 6 |
호스트로서 이 장치가 올바른 ID 아이콘으로 로비에 나타나는지 확인합니다. 아이덴티티 아이콘에 대한 자세한 내용. |
| 7 |
인증되지 않은 미팅 참가자로 미팅에 참여합니다. |
| 8 |
호스트는 이 참가자가 올바른 아이덴티티 아이콘으로 로비에 나타나는지 확인합니다. |
| 9 |
호스트는 사용자 / 장치를 허용하거나 거절합니다. |
| 10 |
가능한 경우 인증서를 확인하여 참가자/장치 ID의 유효성을 검증합니다. |
| 11 |
미팅에 있는 모든 사람에게 동일한 미팅 보안 코드가 표시되는지 확인합니다. |
| 12 |
새로운 참가자와 미팅에 참여합니다. |
| 13 |
모든 사람에게 동일한 새로운 미팅 보안 코드가 표시되는지 확인합니다. |
-
종단 간 암호화된 미팅을 기본 미팅 옵션으로 지정하거나, 일부 사용자에 대해서만 활성화하거나, 모든 호스트가 결정할 수 있게 허용하시겠습니까? 이 기능을 어떻게 사용할지 결정한 경우, 특히 미팅에서 제한 사항 및 예상되는 기능에 대해 이 기능을 사용할 사용자를 준비합니다.
-
Cisco나 다른 사용자가 콘텐츠를 해독하거나 장치를 가장할 수 없도록 해야 합니까? 그렇다면 공용 CA의 인증서가 필요합니다.
-
다양한 수준의 ID 확인이 있는 경우, 사용자가 인증서 기반 ID로 서로를 확인할 수 있습니다. 참가자가 확인되지 않은 것으로 나타날 수 있으며, 참가자는 확인하는 방법을 알아야 하지만 확인되지 않은 사용자는 사기꾼이 아닐 수도 있습니다.
외부 CA를 사용하여 장치 인증서를 발급하는 경우 인증서를 모니터링, 새로 고침 및 다시 적용해야 합니다.
초기 암호를 만든 경우, 사용자가 장치의 암호를 변경하고자 할 수도 있습니다. 이 작업을 수행할 수 있도록 인터페이스를 만들고/도구를 배포해야 할 수도 있습니다.
|
세션 유형 ID |
공용 서비스 이름 |
|---|---|
|
638 |
E2E 암호화+VoIP만 해당 |
|
652 |
Pro-종단 간 Encryption_VOIPonly |
|
660 |
Pro 3 무료-종단 간 Encryption_VOIPonly E2E 암호화 + ID |
|
672 |
Pro 3 Free50-종단 간 Encryption_VOIPonly |
|
673 |
교육 강사 E2E Encryption_VOIPonly |
|
676 |
Broadworks 표준 플러스 종단 간 암호화 |
|
677 |
Broadworks 프리미엄 플러스 종단 간 암호화 |
|
681 |
Schoology Free 플러스 종단 간 암호화 |
해당 표는 종단 간 암호화된 미팅 및 확인된 ID에 대해 추가한 Webex 장치 API 명령어를 설명합니다. API를 사용하는 방법에 대한 자세한 정보는 Webex 회의실 및 데스크 장치 및 Webex Board에 대해 API 액세스를 참조하십시오.
다음 xAPI 명령어는 다음 중 한 가지 장치에서만 사용할 수 있습니다.
-
Webex에 등록됨
-
온-프레미스에 등록되고 장치용 Webex Edge에 Webex에 링크됨
|
API 통화 |
설명 |
|---|---|
|
|
이 구성은 관리자가 Control Hub에서 장치의 선호하는 도메인을 설정할 때 실행됩니다. 조직에 한 개 이상의 도메인이 있는 경우에만 필요합니다. 장치는 Webex CA에서 인증서를 요청할 때 이 도메인을 사용합니다. 그런 다음 도메인은 장치를 식별합니다. 이 구성은 장치에 외부적으로 발급된 활성 인증서가 있는 경우에 적용할 수 없습니다. |
|
|
장치에서 종단 간 암호화된 미팅에 참여할 수 있는지 여부를 나타냅니다. 페어링된 앱이 장치를 사용하여 참여할 수 있는지 여부를 알 수 있도록 클라우드 API가 전화합니다. |
|
|
장치에서 |
|
|
외부에서 발급된 인증서의 일반 이름에서 읽은 장치의 ID입니다. |
|
|
외부에서 발급된 인증서에서 특정 정보를 읽습니다. 표시된 명령에서
|
|
|
장치의 외부 ID의 상태(예: |
|
|
장치에 Webex CA에서 발급한 유효한 인증서가 있는지 여부를 나타냅니다. |
|
|
Webex에서 발급된 인증서의 일반 이름에서 읽은 장치의 ID입니다. 조직에 도메인이 있는 경우, 도메인 이름을 포함합니다. 조직에 도메인이 없는 경우 비어 있습니다. 장치가 여러 도메인이 있는 조직에 있는 경우, 이는 |
|
|
Webex에서 발급된 인증서에서 특정 정보를 읽습니다. 표시된 명령에서
|
|
API 통화 |
설명 |
|---|---|
| 이제 해당하는 세 개의 이벤트에 |
|
API 통화 |
설명 |
|---|---|
또는
| 장치의 클라이언트 암호를 처음으로 시딩하기 위해 base64url로 인코딩된 일반 텍스트 값을 수락합니다. 암호를 처음 업데이트한 후에 업데이트하려면 이전 암호로 암호화된 새 암호를 포함하는 JWE blob를 제공해야 합니다. |
| 인증서를 추가합니다(비공개 키 포함). 암호화된 PEM 데이터를 포함하는 JWE blob를 수락하도록 이 명령을 확장했습니다. |
| WebexIdentity에 대한 특정 인증서를 활성화합니다. 이 |
| WebexIdentity에 대한 특정 인증서를 비활성화합니다. 이 |
