SIP協(xié)議已經(jīng)使用了幾十年���,安全加密的框架來(lái)自于HTTP。SIP協(xié)議初期的關(guān)于認(rèn)證加密的規(guī)范是RFC-2617, 包括一直更新支持的RFC7235�����,RFC7615��,RFC7616和比較近的RFC7617��。在1991年����,Ronald Rives設(shè)計(jì)了了MD5,基于MD4基礎(chǔ)上改進(jìn)的算法���,基于當(dāng)時(shí)的計(jì)算機(jī)處理器的計(jì)算能力�,MD5算法相對(duì)來(lái)說(shuō)是最安全的�。隨著計(jì)算機(jī)處理能力的不斷加強(qiáng)和各種破解工具的改進(jìn),MD5的安全問(wèn)題越來(lái)越多���,MD5不再是一個(gè)安全的算法���。自從前幾年爆出安全算法漏洞以來(lái)�,人們確實(shí)發(fā)現(xiàn)以前MD5已經(jīng)不再作為一個(gè)非常安全的加密算法��,開(kāi)始發(fā)展使用了比較新的算法SHA-256和SHA-512/256�����,支持了更強(qiáng)大的256-bit證書(shū)簽名��。
RFC7216規(guī)范在2015年發(fā)布以后��,正式支持了以上兩種算法�,并且兼容了MD5算法。這樣的話�����,現(xiàn)在在安全算法加密方面�,事實(shí)上����,SIP技術(shù)架構(gòu)層面需要同時(shí)支持三種算法(MD5/SHA-256和SHA-512/256)�。另外����,最近SIP協(xié)議規(guī)范RFC3261明確規(guī)定需要支持RFC8760。因此�����,在SIP安全加密中涉及了更多需要更新的處理流程�����。這些處理流程影響了SIP 服務(wù)器端��,SIP代理服務(wù)器和SIP終端等關(guān)于認(rèn)證加密的處理�。
在過(guò)去的基于SIP安全架構(gòu)的處理中,比較簡(jiǎn)單的辦法就是WWW-Authenticate header使用MD5來(lái)進(jìn)行加密處理����,SIP客戶端和SIP服務(wù)器端都相互發(fā)送一個(gè)WWW-Authenticate 頭來(lái)進(jìn)行加密處理解析。如果SIP呼叫需要經(jīng)過(guò)SIP代理服務(wù)器的話�,代理服務(wù)器一般僅做簡(jiǎn)單處理或者透?jìng)鳌kS著SIP語(yǔ)音逐漸實(shí)現(xiàn)云部署和跨網(wǎng)絡(luò)部署�����,特別是在SIP運(yùn)營(yíng)環(huán)境中,經(jīng)過(guò)多個(gè)SIP代理做呼叫流程處理是非常普遍的場(chǎng)景���。如果需要支持RFC8760的話�,UAC和UAS的處理就變得相對(duì)比較復(fù)雜��。針對(duì)SIP代理和B2BUA需要做更細(xì)節(jié)更復(fù)雜處理���。但是����,RFC3261實(shí)際上大部分規(guī)范內(nèi)容是針對(duì)SIP proxy來(lái)說(shuō)明的���,B2BUA需要通過(guò)UAC/UAS之間的角色通過(guò)不同代理機(jī)狀態(tài)分別進(jìn)行處理��。因此�����,在呼叫過(guò)程中����,用戶系統(tǒng)對(duì)B2BUA場(chǎng)景需要做更多的兼容性支持�����。
現(xiàn)在�����,筆者接下來(lái)給大家介紹一下關(guān)于RFC8760中一些具體的需要關(guān)注的幾個(gè)問(wèn)題�。在RFC8760(The Session Initiation Protocol (SIP) Digest Access Authentication Scheme)-2對(duì)UAS,UAC和forking呼叫分叉呼叫做了更新說(shuō)明��,大家特別需要關(guān)注的幾點(diǎn)變化:
支持了qop參數(shù)�,對(duì)UAS和UAC表示支持了多個(gè)SIP Authorization,WWW-Authenticate和Proxy- Authenticate 頭支持�����,并且包括了處理順序�。對(duì)端需要按照qop順序處理這些頭。
UAS可以支持對(duì)同一realm實(shí)現(xiàn)多個(gè)WWW-Authenticate頭支持�����。如果發(fā)送多個(gè)頭時(shí)���,每個(gè)頭必須有不同的安全算法(MD5/SHA-256和SHA-512/256其中之一)�����,UAS端所推薦的必須首先發(fā)送���。UAS可以使用多個(gè)realm 響應(yīng)����。這個(gè)規(guī)定有點(diǎn)麻煩�。從技術(shù)角度可以實(shí)現(xiàn),但是在實(shí)際環(huán)境中可能導(dǎo)致包頭數(shù)據(jù)增加的可能性��。在實(shí)際的SIP響應(yīng)回復(fù)中�����,如果一個(gè)UAS支持至少兩個(gè)響應(yīng)的話�,每個(gè)響應(yīng)支持三種算法的話,那么��,UAS至少最低支持6個(gè)WWW-Authenticate頭消息����。頭包的數(shù)據(jù)量會(huì)非常大。
UAC應(yīng)該首先處理一個(gè)realm中的每個(gè)WWW-Authenticate中的第一個(gè)到最后一個(gè)列表數(shù)值。此處理需要通過(guò)一定的數(shù)據(jù)庫(kù)流程支持才能完整處理所有的WWW-Authenticate頭值狀態(tài)���。UAC需要針對(duì)realm的每個(gè)后續(xù)請(qǐng)求發(fā)送一個(gè)認(rèn)證頭�����。
針對(duì)Proxy,請(qǐng)求被分叉處理以后���,代理服務(wù)器需要負(fù)責(zé)聚合分發(fā)各種認(rèn)證方式和加密設(shè)置響應(yīng)處理����。分叉處理代理收到下游代理的多個(gè)WWW-Authenticate和Proxy- Authenticate頭的時(shí)候����,如果這些WWW-Authenticate和 Proxy- Authenticate頭在一個(gè)響應(yīng)中時(shí),分叉處理代理必須維持其原有狀態(tài)���,不能中任何修改�����。SIP代理聚合這些消息需要耗費(fèi)大量的系統(tǒng)資源�����,這是一個(gè)新的影響性能瓶頸�。
以上這些在RFC8760中的更新基本上涵蓋了規(guī)范中對(duì)SIP RFC3261更新的所有核心內(nèi)容。筆者的理解可能有誤�,如果用戶需要關(guān)注很多具體細(xì)節(jié)的話,可以直接參考RFC8760����。
筆者提醒用戶,用戶需要另外注意一些SIP代理的呼叫場(chǎng)景���。在實(shí)際SIP proxy的應(yīng)用場(chǎng)景中��,絕大部分的呼叫是針對(duì)call transaction(事務(wù)狀態(tài))進(jìn)行處理的��。事務(wù)狀態(tài)會(huì)影響很多的其他業(yè)務(wù)處理�����,筆者建議用戶針對(duì)SIP代理服務(wù)器關(guān)于有狀態(tài)呼叫和無(wú)狀態(tài)呼叫���,以及關(guān)于dialog的處理做更多測(cè)試和關(guān)注。
