SIP鉴权简介

SIP鉴权简介 介绍

SIP提供了一个无状态、基于挑战的鉴权机制，该机制基于HTTP的鉴权。
任何时候一个UA或代理服务器收到一个请求(除CANCEL和ACK)，都可以挑战请求的发起者要求其提供身份的保证。
一旦发起者判定了身份，接受者需要确认这个用户是否授权发起这个请求很。
本章描述的“摘要”鉴权机制提供了消息鉴权和重发保护，没有消息的完整性和保密性校验。

框架

SIP协议中，UAS使用401(Unauthorized)响应来挑战UAC的身份。除此以外登录服务器和重定向服务器也可以利用401响应鉴权。但是代理服务器要用407(Proxy Authentication Required)响应。包含Proxy-Authenticate, Proxy-Authorization, WWW-Authenticate,和Authorization的需求参考RFC 2617。
通常来说，SIP鉴权对特定域(realm)有意义–保护域。因此，对摘要认证，每个保护域有自己的用户名和密码集合。如果服务器对特定请求不需要鉴权，那么可以接受默认用户名(anonymous，没有密码)。
ACK消息没有其他响应消息了，客户端会直接复制INVITE中的鉴权参数，服务器也不能尝试挑战ACK。
CANCEL不能重传，通常，如果CANCEL从发送请求的同一跳（hop）来的服务器不该尝试挑战。

用户到用户鉴权

当UAS从UAC收到注册，UAS可以在处理消息前进行鉴权。如果请求中没有携带凭证(credentials)，UAS可以通过用401响应拒绝请求来挑战发起者。401响应消息中必须包含WWW-Authenticate消息头。

Reference

[1].RFC 3261 SIP: Session Initiation Protocol