sip 鉴权是基于摘要签名认证的,具体来说:
每一个用户都有一个用户名和密码,用户名和密码在客户端和SIP 服务器的数据库中都有保存。
在认证的过程中, 客户端将自己的信息(用户名 密码 url 等信息) 做一些复杂的MD5 或者SHA256/SHA512 签名,这个签名给SIP server, SIP server 也会用相同的信息计算签名, 结果一样就认为发送消息的用户是真正合法的用户。
但是为了增加破解的复杂性,引入了 nonce cnonce nc 等salt 参数。因为如果不引入,每次做MD5计算的值是固定的话,就降低了破解的难度了。
server 为了验证用户是真实的用户,server就会生成一个随机数,叫做nonce,并对这个nonce 赋有效期和使用次数上限,通过nc来标示,那么 在401 里面 server 会将这两个参数给client, client在计算MD5的时候就会多了两个参数(nonce 和 nc), 并且nc是递增的,这样client 每次计算的MD5 签名都是不一样的,server 用同样的参数计算签名值,比较就可以知道用户是不是真实的用户。一个伪用户既不能直接使用签名(因为nc递增,每次签名都不一样),也不容易破解(多了nonce 和 nc参数)。
client也要验证server是真实的server,如果中间人冒充server,他自己生成特殊的nonce值给client,client用这些参数计算签名给中间人, 那么这个过程重复多次,中间人就可以推算出密码(这个过程中nonce值可以是特殊的,而且可以不变的ÿ
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
