【51CTO獨家特稿】微軟發布的OCS（ Office Communications Server）是集即時消息、多媒體會議、VoIP等于一體的通信軟件，目前已在各企業進行廣泛應用，本文將就其安全機制進行相關探析。

1、身份驗證服務

身份驗證是向可信服務器提供用戶憑據的過程。Office Communications Server 2007 R2 使用以下三種身份驗證協議，具體取決于用戶的狀態和位置。

1. MIT Kerberos 版本 5 安全協議 - 用于具有 Active Directory 憑據的內部用戶。Kerberos 要求客戶端與 Active Directory 域服務器建立連接，這就是此協議不能用于對企業防火墻外部的客戶端進行身份驗證的原因。

2. NTLM 協議 - 用于具有 Active Directory 憑據且從企業防火墻外部的終結點進行連接的用戶。訪問邊緣服務將登錄請求傳遞給 Director（如果存在）或前端服務器以進行身份驗證。而訪問邊緣服務本身不執行任何身份驗證。

3. 摘要式協議 - 用于所謂的匿名用戶。匿名用戶是指滿足以下條件的外部用戶：這些用戶雖然不具備認可的 Active Directory 憑據，但已被邀請參與內部會議并且擁有有效的會議密鑰。摘要式身份驗證不能用于其他客戶端交互活動。

Office Communications Server 2007 R2 身份驗證包括以下兩個階段：

1. 在客戶端和服務器之間建立安全關聯。

2. 客戶端和服務器使用現有的安全關聯簽署它們發送的消息并驗證接收到的消息。如果在服務器上啟用了身份驗證，則不會接受來自客戶端的未經身份驗證的消息。

2、網絡加密

為保護在網絡中不斷流通的數據的安全，OCS 2007默認狀態下對通訊過程進行了加密。通過使用傳輸層安全協議(TLS，Transport Layer Security )和相互傳輸層安全協議(MTLS，Mutual Transport Layer Security )，來實現端點認證以及端點加密。服務器到服務器的SIP通訊使用的是MTLS，而客戶端服務器使用的是TLS。這些協議能夠使通訊數據免受中間人攻擊和竊聽的威脅。

TLS和MTLS同時還被用來加密即時通訊信息。對于客戶端到客戶端的即時通訊，TLS加密是作為可選項來供企業選擇的。而OCS通訊與公共即時通訊服務器之間的通訊則是被自動加密的，另外，是否對公共即時通訊服務器與外部客戶端間的通訊，則取決于公共即時通訊供應商。

安全實時傳輸協議(SRTP)是用來對流媒體進行加密的。SRTP能夠通過添加身份驗證、保密性和重放保護來保障RTP數據的安全。

3、 公鑰基礎設施

OCS 2007的服務器驗證服務是通過使用由公司內部的CA證書服務器簽發的數字證書來實現的。 OCS是默認設計為與Windows 公鑰基礎設施(PKI)一起來實現服務器驗證。

對于OCS，所有的服務器證書都必須能夠支持增強型密鑰用法(EKU)以便對服務器進行驗證。MTLS采用的也是這種方式。服務器證書還必須包括至少一個證書撤消列表(CRL)分發點。

【51CTO獨家特稿，合作站點轉載請注明原文譯者和出處。】

【編輯推薦】

1. 相互融合 當Windows Phone遭遇Office Mobile 2010
2. 微軟Office 2010今年6月上市 預熱活動上線
3. 云應用之戰：谷歌Apps vs.微軟Office