Žilinská univerzita > Fakulta riadenia a informatiky > Katedra informačných sietí

SIP digest authentication

SIP Digest Autentifikácia
 
SIP poskytuje autentifikačný mechanizmus založený na HTTP autentifikácii. Táto schéma je známa ako Digest autentifikácia z dôvodu použitia hashovacej funkcie MD5 na kombináciu užívateľského mena a hesla.
Pomocou digest autentifikácie, keď sa klient pokúsi nadviazať spojenie s registračným, alebo smerovacím serverom, server pošle 401 Unauthorized odpoveď na overenie identity klienta. Keď klient nadväzuje spojenie s proxy serverom, proxy server odpovie pomocou 407 Proxy Authentication Required na overenie klienta. Jednoduchá schéma takejto autentifikácie založenej na výzve (challenge-based authentification) je zobrazená na nasledujúcom obrázku.
 
Záhlavie packetu digest autentifikácie
 
SIP používa pre autentifikáciu hlavičky packetov. V 401 správe posielanej serverom sa používa WWW-Authenticate záhlavie. Ako odpoveď na 401 výzvu, klient začlení autorizačné záhlavie spolu s dátami o svojej totožnosti do nasledujúcej žiadosti. Podobne je použité Proxy-Authenticate záhlavie v 407 odpovedi poslanej proxy serverom a klient musí rovnako toto záhlavie zahrnúť v nasledujúcej žiadosti.
Príklad WWW-Authenticate záhlavia pre 401 výzvu je uvedený nižšie (407 výzva obsahuje obdobné parametre).
 
Súhrnný popis jednotlivých parametrov je uvedený v nasledujúcej tabuľke. Niektoré z nich sú voliteľné.
 
Po tom ako klient obdrží 401 alebo 407 výzvu od servera, prepošle jej záhlavie naspäť spolu s vlastnými údajmi pre overenie totožnosti.
Príklad autorizačného záhlavia je uvedený nižšie (proxy autorizačné záhlavie na opäť obdobné parametre)
Digest username=\"client_1\",realm=\"officesip.local\",nonce=\"ded6307ccb6443529d2223eba6b7523e\",uri=\"sip:officesip.local\",response=\"910430d9d49edeb62ac6ddb303f9e50a\",cnonce=\"06107355e8a743ffc1cb92941214f87a\",nc=00000001,qop=auth,algorithm=MD5,opaque=\"5d9cda68f0d84c2097066b2bf381915b\"
 
Parametre realm, nonce, qop, algotithm a opaque sú identické s tými, ktoré sú uvedené vo WWW-Authentication záhlavý. Nasledujúca tabuľka obsahuje súhrnný popis ostatných parametrov.
 
Digest kalkulácia
 
Metóda kalkulácie digest žiadosti ako je uvedená ďalej sa používa ak je obsiahnutý qop parameter a použitá východzia hashovacia funkcia MD5.
                request = H(A1):nc:cnonce:qop:H(A2)
                kde A1 = username:realm:password
                      A2 = Mehotd:uri
                      H() – použitá hashovacia funkcia (v tomto prípade MD5)
Groups: