目前,SIP協(xié)議RFC3261中關(guān)于A(yíng)uthentication一直使用的是RFC2671規范。但是HTTP Digest Access Authentication(RFC7616) 基本上拋棄了舊的RFC2671,增加了新的算法支持,稱(chēng)之為Hash Algorithms for HTTP Digest Authentication。因此,SIP協(xié)議也需要對其新的認證方式進(jìn)行更新來(lái)符合RFC7616規范。
通常情況下,選擇什么樣的算法無(wú)非取決于三個(gè)方面的因素:
- 計算速度:算法的計算速度取決于算法本身的復雜程度。復雜算法當然會(huì )降低計算速度。
- hash值大小:經(jīng)過(guò)計算后生成的hash數值大小。
- 安全性:經(jīng)過(guò)碰撞處理以后,collision的值相對比較高的,安全性則比較好。
根據一些測試的對比數據來(lái)看,SHA256在collision方面具有很大優(yōu)勢,安全性相對比較好:
另外,MD5已經(jīng)使用了將近20年的時(shí)間,因為軟件技術(shù)的發(fā)展,硬件技術(shù)的發(fā)展,加上一定的時(shí)間,模擬出基本上一致的MD5 collision已經(jīng)是完全可能的,所以安全性問(wèn)題更加嚴重。一些技術(shù)專(zhuān)家認為,從理論上和實(shí)際環(huán)境中, MD5已經(jīng)存在問(wèn)題。Aniruddha Shrotri對此問(wèn)題發(fā)表多一篇非常著(zhù)名的文章,此文章討論了MD5從理論上和實(shí)際生產(chǎn)過(guò)程中,如何模擬出一個(gè)假的證書(shū)的處理方式。
MD5 – The hash algorithm is now Broken!!!
https://cryptocrats.com/crypto/md5-the-hash-algorithm-is-now-broken/
前幾年比較轟動(dòng)的安全技術(shù)事件是中國著(zhù)名學(xué)者王小云破解MD5的算法的新聞。這些技術(shù)的突破對MD5本身提出來(lái)非常大的考驗。
MD5碰撞的演化之路
https://www.freebuf.com/articles/93780.html
因此,因為MD5存在的這種問(wèn)題,HTTP也準備使用新的認證算法來(lái)支持新的互聯(lián)網(wǎng)技術(shù)。前面我們已經(jīng)說(shuō)過(guò),因為SIP RFC3261的認證也是借用的HTTP的認證方式,因此,RFC3261也必須需要更新來(lái)支持新的認證方式。在準備更新的RFC3261中,為了在SIP中更新Digest Authentication,RFC7616中增加了對SHA-256 和 SHA-512/256 算法的支持,增加了一個(gè)“qop”參數設置。
在新更新的RFC3261中,增加了對幾個(gè)方面的支持:
關(guān)于使用多個(gè)SIP Authentication時(shí)的UAC和UAS對WWW-Authenticate和Proxy-Authenticate 頭的處理和處理順序邏輯。
提供了對Forking處理的指導。
如果有任何的Update,SIP BNF更新處理。
關(guān)于最新的RFC3261對Digest Authentication Scheme的支持,讀者可以閱讀最新?tīng)顟B(tài)內容:
The Session Initiation Protocol (SIP) Digest Authentication Scheme draft-ietf-sipcore-digest-scheme-08
https://tools.ietf.org/html/draft-ietf-sipcore-digest-scheme-08?fbclid=IwAR3BVafXLXItktdtV0wR3Zy4SHbjZh1EYbkXK4TsVtqXJc0gJ0L-L1qt2t8#section-2
當然,如果RFC3261更新以后,除了MD5支持向后兼容以外,保證了舊產(chǎn)品的認證兼容方式以外,SIP產(chǎn)品廠(chǎng)家和基于SIP的開(kāi)發(fā)需要增加對最新算法的支持。接下來(lái),就是編寫(xiě)相關(guān)的代碼模塊支持最新的Digest Authentication Scheme。
參考資料:
https://tools.ietf.org/html/draft-ietf-sipcore-digest-scheme-08?fbclid=IwAR3BVafXLXItktdtV0wR3Zy4SHbjZh1EYbkXK4TsVtqXJc0gJ0L-L1qt2t8
http://cseweb.ucsd.edu/~mihir/papers/gb.pdf
https://tools.ietf.org/html/rfc2617
https://tools.ietf.org/html/rfc7616
關(guān)注微信公眾號:asterisk-cn,獲得有價(jià)值的Asterisk行業(yè)分享
Asterisk freepbx,FreeSBC技術(shù)文檔: www.freepbx.org.cn
融合通信商業(yè)解決方案,協(xié)同解決方案首選產(chǎn)品:www.hiastar.com
Asterisk/FreePBX中國合作伙伴,官方qq技術(shù)分享群(3000人):589995817
