SIP提供了一个无状态、基于挑战的鉴权机制,该机制基于HTTP的鉴权。
任何时候一个UA或代理服务器收到一个请求(除CANCEL和ACK),都可以挑战请求的发起者要求其提供身份的保证。
一旦发起者判定了身份,接受者需要确认这个用户是否授权发起这个请求很。
本章描述的“摘要”鉴权机制提供了消息鉴权和重发保护,没有消息的完整性和保密性校验。
SIP协议中,UAS使用401(Unauthorized)响应来挑战UAC的身份。除此以外登录服务器和重定向服务器也可以利用401响应鉴权。但是代理服务器要用407(Proxy Authentication Required)响应。包含Proxy-Authenticate, Proxy-Authorization, WWW-Authenticate,和Authorization的需求参考RFC 2617。
通常来说,SIP鉴权对特定域(realm)有意义–保护域。因此,对摘要认证,每个保护域有自己的用户名和密码集合。如果服务器对特定请求不需要鉴权,那么可以接受默认用户名(anonymous,没有密码)。
ACK消息没有其他响应消息了,客户端会直接复制INVITE中的鉴权参数,服务器也不能尝试挑战ACK。
CANCEL不能重传,通常,如果CANCEL从发送请求的同一跳(hop)来的服务器不该尝试挑战。
当UAS从UAC收到注册,UAS可以在处理消息前进行鉴权。如果请求中没有携带凭证(credentials),UAS可以通过用401响应拒绝请求来挑战发起者。401响应消息中必须包含WWW-Authenticate消息头。
Reference[1].RFC 3261 SIP: Session Initiation Protocol
