GB28181系列五：HTTP(SIP)鉴权

我的音视频/流媒体开源项目(github)

GB28181系列目录

目录

一、基本认证(basic)

二、摘要认证(digest)

[1、摘要认证(digest) RFC 2069​](#1、摘要认证(digest) RFC 2069)

[2、摘要认证(digest) RFC 2617​](#2、摘要认证(digest) RFC 2617)

2.1、未定义qop字段或值为"'(空)

2.2、qop值为"auth"

2.3、qop值为"auth-int"

[2.4、RFC 2617​认证示例](#2.4、RFC 2617认证示例)

---

在《GB28181系列三：SIP消息格式》中的注册示例里面包含了鉴权，本篇文章将详细介绍一下SIP的鉴权机制。

SIP鉴权使用的就是HTTP的鉴权方式，很多类HTTP协议使用的都是HTTP的鉴权方式，例如RTSP。

HTTP协议包括两种鉴权方式：基本认证(basic)和摘要认证(digest)。

一、基本认证(basic)

对用户名和密码以<username:password>格式进行base64编码，添加Authorization字段发起请求：

示例：

DESCRIBE rtsp://10.175.30.35 RTSP/1.0
CSeq: 7
Authorization: Basic YWRtaW46YWJjZDEyMzQ=
Accept: application/sdp

"YWRtaW46YWJjZDEyMzQ=" 就是username:password 的base64值。服务端对其解码得到用户名和密码进行鉴权。这种认证方式缺乏安全性，现在已经不用了。

二、摘要认证(digest)

摘要有过两个版本分别来自RFC 2069​和RFC 2617​。RFC 2617兼容RFC 2069版本。

摘要认证使用MD5算法计算由用户名、密码和随机数等组成的哈希值，通过该哈希值进行身份验证。

摘要认证公式为：

A1 = ?
A2 = ?
D = ?
HA1 = MD5(A1)
HA2 = MD5(A2)
response = MD5(HA1:D:HA2)

RFC 2069​和RFC 2617都是使用上面的公式，但对于A1、A2、D的定义RFC 2069​和RFC 2617就有所不同了。

1、摘要认证(digest) RFC 2069​

RFC 2069​中关于A1、A2、D的定义如下：

A1 = username:realm:password
A2 = method:uri # 请求报文中的method和url
D = nonce
response = MD5(MD5(A1):D:MD5(A2))

下面是一个使用RFC 2069鉴权的示例(RTSP)：

---------------C->S--------------
DESCRIBE rtsp://192.168.10.18:8554/live RTSP/1.0
CSeq: 3
User-Agent: LibVLC/3.0.21 (LIVE555 Streaming Media v2016.11.28)
Accept: application/sdp
 
---------------S->C--------------
RTSP/1.0 401 Unauthorized
CSeq: 3
WWW-Authenticate: Digest realm="simple-rtsp-server", nonce="fea261aa3d9310f32b2a9d8e1454fa3c"
 
---------------C->S--------------
DESCRIBE rtsp://192.168.10.18:8554/live RTSP/1.0
CSeq: 4
Authorization: Digest username="admin", realm="simple-rtsp-server", nonce="fea261aa3d9310f32b2a9d8e1454fa3c", uri="rtsp://192.168.10.18:8554/live", response="6b6f6d63581262aa05ee4ddada5c3f6b"
User-Agent: LibVLC/3.0.21 (LIVE555 Streaming Media v2016.11.28)
Accept: application/sdp
 
---------------S->C--------------
RTSP/1.0 200 OK
CSeq: 4
Content-Base: rtsp://192.168.10.18:8554/live
Content-type: application/sdp
Content-length: 375
 
v=0
o=- 91722585321 1 IN IP4 192.168.10.18
c=IN IP4 192.168.10.18
t=0 0
a=control:*
m=video 0 RTP/AVP 96
a=rtpmap:96 H264/90000
a=fmtp:96 packetization-mode=1
a=control:track0
m=audio 0 RTP/AVP 97
a=rtpmap:97 MPEG4-GENERIC/44100/2
a=fmtp:97 streamtype=5;profile-level-id=1;mode=AAC-hbr;config=1390;sizelength=13;indexlength=3;indexdeltalength=3
a=control:track1

2、摘要认证(digest) RFC 2617​

RFC 2617​比RFC 2069​增加了​​qop​、cnonce​​、nonce-count(nc)​​字段。

​​qop​​ 保护质量（quality of protection），是一个可选值，由服务器提供，用来兼容RFC 2069，​​qop​​字段分几种情况：未定义qop字段或值为"'(空)、"auth"、"auth-int"。

cnonce​​ 客户端提供的字符串，用以双向认证；当有 ​​qop​​ 时必须携带，否则必须不带。

nonce-count​​ 客户端提供的访问请求数量（包括此次请求），采用16进制表示，用以校验请求是否重复；当有 ​​qop​​ 时必须携带，否则必须不携带。

2.1、未定义qop字段或值为"'(空)

兼容RFC 2069，定义和RFC 2069完全一样：

A1 = username:realm:password
A2 = method:uri
D = nonce
response = MD5(MD5(A1):D:MD5(A2))

2.2、qop值为"auth"

algorithm的值是MD5:
    A1 = username:realm:password
algorithm的值是MD5-sess:
    A1 = MD5(username:realm:password):nonce:cnonce
A2 = method:uri
D = nonce:nc:cnonce:qop
response = MD5(MD5(A1):D:MD5(A2))

2.3、qop值为"auth-int"

algorithm的值是MD5:
    A1 = username:realm:password
algorithm的值是MD5-sess:
    A1 = MD5(username:realm:password):nonce:cnonce
A2 = method:uri:MD5(entityBody) # entityBody请求的整个消息体
D = nonce:nc:cnonce:qop
response = MD5(MD5(A1):D:MD5(A2))

当qop有值，但是cnonce​​、nonce-count​​没有定义的时候(即服务端首次返回Unauthorized的时候有qop，无cnonce​​、nonce-count(nc)​​，因为cnonce​​、nonce-count(nc)​​是客户端提供的)，则公式中的"D = nonce:nc:cnonce:qop"用"D = nonce:::qop"代替。

2.4、RFC 2617​认证示例

下面是SIP用户代理向服务器注册的鉴权示例：

// 第一次请求
REGISTER sip:192.168.2.89 SIP/2.0
 
Via: SIP/2.0/UDP 192.168.2.161:8021
Max-Forwards: 70
From: <sip:01062237493@192.168.2.89>;tag=efca469543ce4788a6a6a2c7b66cd01f;epid=de4504430d
To: <sip:01062237493@192.168.2.89>
Call-ID: c88a247a74b54a8c9e676bdde3bba6c9@192.168.2.161
CSeq: 1 REGISTER
Contact: <sip:192.168.2.161:8021>;methods="INVITE, MESSAGE, INFO, SUBSCRIBE, OPTIONS, BYE, CANCEL, NOTIFY, ACK, REFER"
User-Agent: RTC/1.2.4949 (BOL SIP Phone 1005)
Event: registration
Allow-Events: presence
Content-Length: 0


// 服务器授权不通过
SIP/2.0 401 Unauthorized
 
Via: SIP/2.0/UDP 192.168.2.161:8021
From: <sip:01062237493@192.168.2.89>;tag=efca469543ce4788a6a6a2c7b66cd01f;epid=de4504430d
To: <sip:01062237493@192.168.2.89>;tag=-001893-38ba013ba3dde36e
Call-ID: c88a247a74b54a8c9e676bdde3bba6c9@192.168.2.161
CSeq: 1 REGISTER
Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,REGISTER,INFO,UPDATE,PRACK,REFER,SUBSCRIBE,NOTIFY,MESSAGE
Contact: <sip:192.168.2.89:14010>
Content-Length: 0
WWW-Authenticate: Digest realm="192.168.2.89", qop="auth", nonce="e17d377c3d2d9c343e26576a7fd04738481dfc10", opaque="", stale=FALSE, algorithm=MD5


// 客户端第二次发起请求
REGISTER sip:192.168.2.89 SIP/2.0
 
Via: SIP/2.0/UDP 192.168.2.161:8021
Max-Forwards: 70
From: <sip:01062237493@192.168.2.89>;tag=efca469543ce4788a6a6a2c7b66cd01f;epid=de4504430d
To: <sip:01062237493@192.168.2.89>
Call-ID: c88a247a74b54a8c9e676bdde3bba6c9@192.168.2.161
CSeq: 2 REGISTER
Contact: <sip:192.168.2.161:8021>;methods="INVITE, MESSAGE, INFO, SUBSCRIBE, OPTIONS, BYE, CANCEL, NOTIFY, ACK, REFER"
User-Agent: RTC/1.2.4949 (BOL SIP Phone 1005)
Authorization: Digest username="01062237493", realm="192.168.2.89", qop=auth, algorithm=MD5, uri="sip:192.168.2.89", nonce="e17d377c3d2d9c343e26576a7fd04738481dfc10", nc=00000001, cnonce="12660455546344082314666316435946", response="f57e47ce03162293b9ced07362ce2b79"
Event: registration
Allow-Events: presence
Content-Length: 0


// 服务器鉴权通过，返回200 OK
SIP/2.0 200 OK
 
Via: SIP/2.0/UDP 192.168.2.161:8021
From: <sip:01062237493@192.168.2.89>;tag=efca469543ce4788a6a6a2c7b66cd01f;epid=de4504430d
To: <sip:01062237493@192.168.2.89>;tag=-001894-a5eb977c8969aa51
Call-ID: c88a247a74b54a8c9e676bdde3bba6c9@192.168.2.161
CSeq: 2 REGISTER
Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,REGISTER,INFO,UPDATE,PRACK,REFER,SUBSCRIBE,NOTIFY,MESSAGE
Contact: sip:192.168.2.161:8021
Content-Length: 0
Expires: 3600

上述例子中opaque 是一个防止重放攻击的机制，是服务器在401 Unauthorized响应中生成，客户端在后续请求中带上这个字段即可。客户端不理睬这个字段也可以，但是有些服务器可能会认证失败。