加密
文件传输和屏幕捕获的合规性和策略控制
如果您在 Cisco Unified Communications Manager IM and Presence 10.5(2) 或更高版本上使用托管文件传输选项发送文件传输和屏幕捕获,您可以将文件发送到合规性服务器以进行审核和策略实施。
有关合规性的详细信息,请参阅 Cisco Unified Communications Manager 上 IM and Presence Service 的即时消息合规性指南。
有关配置文件传输和屏幕捕获的详细信息,请参阅《Cisco Unified Communications Manager IM and Presence 部署和安装指南》。
即时消息加密
Cisco Jabber 使用传输层安全 (TLS) 在客户端与服务器之间的网络上保护可扩展消息传送和网真协议 (XMPP) 流量。Cisco Jabber 加密点对点即时消息。
内部加密
下表概述了本地部署中即时消息加密的详细信息。
连接 |
协议 |
协商证书 |
预期的加密算法 |
---|---|---|---|
客户端至服务器 |
通过 TLS v1.2 的 XMPP |
X.509 公钥基础架构证书 |
AES 256 位 |
服务器与客户端协商
以下服务器使用 X.509 公钥基础架构 (PKI) 证书和以下项与 Cisco Jabber 协商 TLS 加密:
-
Cisco Unified Communications Manager IM and Presence
-
Cisco Unified Communications Manager
在服务器与客户端协商 TLS 加密之后,客户端和服务器都会生成和交换会话密钥,以加密即时消息流量。
下表列出了 Cisco Unified Communications Manager IM and Presence Service 的 PKI 证书密钥长度。
版本 |
密钥长度 |
---|---|
Cisco Unified Communications Manager IM and Presence Service 版本 9.0.1 和更高版本 |
2048 位 |
XMPP 加密
Cisco Unified Communications Manager IM and Presence Service 使用采用 AES 算法加密的 256 位长度会话密钥,以保护 Cisco Jabber 与在线状态服务器之间的即时消息流量。
如果您需要提高服务器节点之间的流量的安全,可以在 Cisco Unified Communications Manager IM and Presence Service 上配置 XMPP 安全设置。有关安全设置的详细信息,请参阅以下内容:
-
Cisco Unified Communications Manager IM and Presence Service — IM and Presence 的安全配置
即时消息记录
您可以根据监管指引记录即时消息并存档。要记录即时消息,您可以配置外部数据库,或与第三方合规性服务器集成。Cisco Unified Communications Manager IM and Presence Service 不加密您在外部数据库或第三方合规性服务器中记录的即时消息。您必须按需要配置外部数据库或第三方合规性服务器,以保护您记录的即时消息。
有关合规性的详细信息,请参阅以下内容:
-
Cisco Unified Communications Manager IM and Presence Service— IM and Presence Service 的即时消息合规性
有关加密层级和加密算法(包括对称密钥算法,如 AES,或公钥算法,如 RSA)的详细信息,请参阅此链接 https://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html 上的下一代加密 (Next Generation Encryption)。
有关 X.509 公钥基础架构证书的详细信息,请参阅此链接 https://www.ietf.org/rfc/rfc2459.txt 上的《互联网 X.509 公钥基础架构证书和 CRL 配置文件》文档。
基于云加密
下表概述了基于云部署中即时消息加密的详细信息:
连接 |
协议 |
协商证书 |
预期的加密算法 |
---|---|---|---|
客户端至服务器 |
TLS 内的 XMPP |
X.509 公钥基础架构证书 |
AES 128 位 |
客户端对客户端 |
TLS 内的 XMPP |
X.509 公钥基础架构证书 |
AES 256 位 |
服务器与客户端协商
以下服务器通过 Cisco Webex Messenger 服务使用 X.509 公钥基础架构 (PKI) 证书与 Cisco Jabber 协商 TLS 加密。
在服务器与客户端协商 TLS 加密之后,客户端和服务器都会生成和交换会话密钥,以加密即时消息流量。
XMPP 加密
Cisco Webex Messenger 服务使用用 AES 算法加密的 128 位会话密钥,以保护 Cisco Jabber 和 Cisco Webex Messenger 服务之间的即时消息流量安全。
您可以有选择性地启用 256 位客户端对客户端 AES 加密,以保护客户端之间的流量安全。
即时消息记录
Cisco Webex Messenger 服务可以记录即时消息,但它不会以加密格式存档这些即时消息。不过,Cisco Webex Messenger 服务使用严格的数据中心安全性(包括 SAE-16 和 ISO-27001 审核)保护记录的即时消息。
如果您启用 256 位客户端对客户端加密,则 Cisco Webex Messenger 服务无法记录即时消息。
有关加密层级和加密算法(包括对称密钥算法,如 AES,或公钥算法,如 RSA)的详细信息,请参阅此链接 https://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html 上的下一代加密 (Next Generation Encryption)。
有关 X.509 公钥基础架构证书的详细信息,请参阅此链接 https://www.ietf.org/rfc/rfc2459.txt 上的《互联网 X.509 公钥基础架构证书和 CRL 配置文件》文档。
客户端至客户端加密
默认情况下,客户端和 Cisco Webex Messenger 服务之间的即时消息流量是安全的。您可以有选择性地在 Cisco Webex 管理工具中指定策略,以保护客户端之间的即时消息流量安全。
-
支持对 IM 进行 AES 编码— 发送客户端使用 AES 256 位算法对即时消息加密。接收客户端会对即时消息加密。
-
不支持对 IM 进行编码 — 客户端可以在不支持加密的其他客户端之间发送和接收即时消息。
策略组合 |
客户端至客户端加密 |
当远程客户端支持 AES 加密时 |
当远程客户端不支持 AES 加密时 |
---|---|---|---|
支持对 IM 进行 AES 编码 = false 不支持对 IM 进行编码 = true |
否 |
Cisco Jabber 发送未加密的即时消息。 Cisco Jabber 不协商密钥交换。因此,其他客户端不发送 Cisco Jabber 加密的即时消息。 |
Cisco Jabber 发送和接收未加密的即时消息。 |
支持对 IM 进行 AES 编码 = true 不支持对 IM 进行编码 = true |
是 |
Cisco Jabber 发送和接收已加密的即时消息。 Cisco Jabber 显示图标以指示即时消息已加密。 |
Cisco Jabber 发送已加密的即时消息。 Cisco Jabber 接收未加密的即时消息。 |
支持对 IM 进行 AES 编码 = true 不支持对 IM 进行编码 = false |
是 |
Cisco Jabber 发送和接收已加密的即时消息。 Cisco Jabber 显示图标以指示即时消息已加密。 |
Cisco Jabber 不与远程客户端发送或接收即时消息。 当用户尝试向远程客户端发送即时消息时,Cisco Jabber 显示错误消息。 |
注 |
Cisco Jabber 不支持对群聊进行客户端对客户端加密。Cisco Jabber 仅对点对点聊天使用客户端对客户端加密。 |
有关加密和 Cisco Webex 策略的详细信息,请参阅 Cisco Webex 文档中的关于加密层级。
加密图标
查看客户端显示以指示加密级别的图标。
客户端到服务器加密的锁定图标
在本地和基于云的部署中,Cisco Jabber 会显示以下图标以指示客户端到服务器加密:
客户端至客户端加密的锁定图标
在基于云的部署中,Cisco Jabber 会显示以下图标以指示客户端至客户端加密:
本地聊天历史记录
聊天历史在参与者关闭聊天窗口和参与者注销之前得到保留。如果在参与者关闭聊天窗口后不想保留聊天历史,请将 Disable_IM_History 参数设置为 true。此参数可用于所有客户端(仅 IM 用户除外)。
对于 Cisco Jabber Mac 版本的本地部署,如果您在 Cisco Jabber Mac 版本的聊天首选项窗口中选择了将聊天存档保存到:选项,则聊天历史将存储在本地 Mac 文件系统中,可以使用 Spotlight 进行搜索。
本地聊天历史启用后,Cisco Jabber 不会对存档的即时消息进行加密。
对于桌面客户端,可以通过将存档保存到以下目录来限制对聊天历史的访问:
-
Windows:%USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db
-
Mac:~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db。
对于移动客户端,无法访问聊天历史文件。