SIP协议采用无状态、基于挑战的鉴权方式,类似于HTTP鉴权。通过401或407响应进行挑战,确保UAC(用户代理客户端)的身份。摘要鉴权提供了消息鉴权但不涉及完整性和保密性。UAS可以使用401响应对UAC发起的注册请求进行鉴权。鉴权通常针对特定域进行,若无凭证则可能接受匿名身份。ACK和CANCEL消息不支持鉴权挑战。
介绍
SIP提供了一个无状态、基于挑战的鉴权机制,该机制基于HTTP的鉴权。
任何时候一个UA或代理服务器收到一个请求(除CANCEL和ACK),都可以挑战请求的发起者要求其提供身份的保证。
一旦发起者判定了身份,接受者需要确认这个用户是否授权发起这个请求很。
本章描述的“摘要”鉴权机制提供了消息鉴权和重发保护,没有消息的完整性和保密性校验。
框架
SIP协议中,UAS使用401(Unauthorized)响应来挑战UAC的身份。除此以外登录服务器和重定向服务器也可以利用401响应鉴权。但是代理服务器要用407(Proxy Authentication Required)响应。包含Proxy-Authenticate, Proxy-Authorization, WWW-Authenticate,和Authorization的需求参考RFC 2617。
通常来说,SIP鉴权对特定域(realm)有意义–保护域。因此,对摘要认证,每个保护域有自己的用户名和密码集合。如果服务器对特定请求不需要鉴权,那么可以接受默认用户名(anonymous,没有密码)。
ACK消息没有其他响应消息了,客户端会直接复制INVITE中的鉴权参数,服务器也不能尝试挑战ACK。
CANCEL不能重传,通常,如果CANCEL从发送请求的同一跳(hop)来的服务器不该尝试挑战。
用户到用户鉴权
当UAS从UAC收到注册,UAS可以在处理消息前进行鉴权。如果请求中没有携带凭证(credentials),UAS可以通过用401响应拒绝请求来挑战发起者。401响应消息中必须包含WWW-Authenticate消息头。
Reference
[1].RFC 3261 SIP: Session Initiation Protocol
扫一扫
2118
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
