21、SIP 身份验证与证书服务详解

原创 于 2025-07-27 09:09:17 发布 · 210 阅读 · 0 GEO检测
标签
#SIP # 身份验证 # 证书服务

SIP 身份验证与证书服务详解

1. SIP 认证身份主体(AIB)

在 SIP 通信中,身份验证至关重要。传统的 S/MIME 方式通过对整个隧道化 SIP 消息(message/sip)计算签名来进行身份断言,但 SIP 消息通常较大,签名中的大多数头部字段与身份无关,并且在请求通过一系列 SIP 代理路由时,部分字段可能会发生变化,这给接收方的用户代理(UA)带来了区分合法头部变化和安全违规的难题。

SIP 认证身份主体(AIB)则通过对与确定发送者身份以及将发送者与请求关联相关的 SIP 消息头部子集计算签名来解决这一问题,这个子集被称为 message/sipfrag。

1.1 message/sipfrag 头部字段选择

选择构成 message/sipfrag 的头部字段子集是为了防止重放和剪贴攻击。例如,至少包含 From、Date、Call - ID 和 Contact 字段可以为防止此类攻击提供合理的保证。为了获得额外的保护,该集合还可以包含 To 和 CSeq 头部字段。
- 如果包含可选的 CSeq 头部字段,由于每个新请求的 CSeq 值都会递增,因此在会话期间发送的每个请求都必须生成并验证新的 AIB。
- 如果不使用 CSeq 值,则 AIB 可以在同一会话中重复使用,但由于 Call - ID 字段的存在,不能跨会话使用。

1.2 AIB 示例

以下是一个包含 AIB 的 INVITE 请求示例: 

INVITE sip:bob@example.net SIP/2.0
Via:
订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
Linux: network: ip分片(fragment), SIP/SDP 总结
mzhan017的博客
06-03 985
UDP报文大小 57089 + checksum 约57K,没有超过UDP 标准的64K; MTU 大小 1488, 去掉 IPv6的头 40; 可装载的数据大小:1488-40=1448; 分片数 57097/1448 =39.4 ~=40 需要40个IP 分片 问题 如果对方处理不了这种巨多分片的报文,也无可厚非。UDP包太大了 例图 ............
SIP 请求方法(7)- REFER
至虛極,守靜篤
01-13 7630
RFC3515中定义了REFER方法,UA使用REFER方法请求另一个UA访问一个URI或URL资源。资源内容由Refer-To头域指定,通常是URI或URL,Refer-To头域对REFER请求来说是必须的。这里的URI或URL可以是任何类型的URI:sip, sips, http, pres等等。URI是sipsips时,REFER可以实现呼叫转移服务。还可以用REFER实现P2P(peer-to-peefr)呼叫控制。 既可以在dialog内,也可以在dialog外...
SIP系列四:SIP扩展消息及rport机制(NAT穿越)
最新发布
不定期更新关于音视频的文章
11-29 1907
SIP消息分核心方法和扩展方法,基本方法包括:INVITE、ACK、BYE、CANCEL、REGISTER、OPTIONS。扩展方法包括:SUBSCRIBE、NOTIFY、PUBLISH、REFER、INFO、UPDATE、PRACK、MESSAGE。MESSAGE在之前的系列已经介绍过了,接下来对几个比较常用的扩展方法进行介绍
SIP 消息体简述
至虛極,守靜篤
03-01 1934
SIP的消息体可以携带多种不同类型的信息。比如说SDP、QOS,甚至是安全信息。 Content-Disposition头域说明消息体的预期用途,它是个可选的报头。如果没有携带这个头域,那么假定消息体是会话相关的,即消息体的用途是描述媒体会话。除了会话描述之外,另一个定义功能是render,它意味着消息体应该呈现给用户,或者以其它方式显示出来。可以通过它传递小的JPEG图片文件或URI。 Content-Type头域指定消息体的格式。如果SIP消息携带消息...
SIP Refer Method
资料库
10-12 1387
转自:http://www.360doc.com/content/11/0105/11/2962447_84113160.shtml 1、流程中的角色分配   Referer:transfer(refer)的发起者—Alice Referee:refer的接收
服务证书 身份认证,将服务器到服务身份验证证书分配给 Skype for Business Server...
weixin_34293588的博客
07-30 783
服务器到服务身份验证证书分配给 Skype for Business Server2021/7/29本文内容摘要: 为 Skype for Business Server 分配服务器到服务身份验证证书。若要确定是否已将服务器到服务身份验证证书分配给 Skype for Business Server,请从 Skype for Business Server 命令行管理程序 运行以下命令:G...
SSL-校验网站证书详解
qq_44240254的博客
05-19 2614
** 一、什么是SSL证书?如何检查网站是否部署了SSL证书? ** 如果你能使用 https:// 来访问某个网站,就表示此网站是部署了 SSL 证书。一般来讲, 如果此网站部署了 SSL 证书,则在需要加密的页面会自动从 http:// 变为 https:// ,如果没 有变,你认为此页面应该加密,你也可以尝试直接手动在浏览器地址栏的 http 后面加上一 个英文字母“ s ”后回车,如果能正...
SIP 消息的传输
至虛極,守靜篤
11-28 3039
在互联网多媒体协议栈中,SIP是一种应用层协议。RFC3261定义了TCP、UDP或TLS传输的用法。有一份扩展文档定义SIP的SCTP的用法。 UDP 传输 使用UDP时,每条SIP请求或应答消息都由一个独立的UDP数据报承载。对于体量特别大的消息体,SIP有一种紧凑的格式,有些头域名可以用单个字符的缩略格式,以此节省空间。 SIP的传输端口...
RFC3261: SIP:26.3.1 SIP实施者要求
aggs1990的专栏
02-16 162
这需要拥有由证书颁发机构颁发的一个或多个根证书(最好是那些为web浏览器颁发根证书的站点证书类似的站点证书的知名分销商)。如果UA持有证书颁发机构的一个或多个根证书以验证TLS或IPSec的证书,则它应该能够根据需要重用这些证书来验证S/MIME证书。代理服务器、重定向服务器和注册器应至少配置一个摘要领域,并且给定服务器支持的至少一个“领域”字符串应服务器的主机名或域名相对应。请注意,随着S/MIME实现的出现和对问题空间的更好理解,预计未来的安全扩展可能会升级S/MIME相关的规范强度。
网络安全之SSL证书加密
dexun123的博客
02-02 2912
SSL证书是一种数字证书,遵守SSL协议,由受信任的数字证书颁发机构(CA)验证服务器身份后颁发。它具有服务身份验证和数据传输加密的功能,能够确保数据在传输过程中的安全性和完整性。具体来说,SSL证书在客户端浏览器和Web服务器之间建立一条SSL安全通道,即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输。这样,可以防止数据信息的泄露,保证了双方传递信息的安全性。用户可以通过服务证书验证其所访问的网站是否是真实可靠。
RFC3261: SIP:23.4.2 隧道完整性和身份验证
aggs1990的专栏
02-14 157
至少,如果用于签署主体的证书对接收者来说是未知的,并且无法验证,则可以使用签名来确定对话中稍后的请求是由发起对话的同一证书持有者发送的。如果签名MIME主体的接收者有更强的动机信任证书(他们能够验证证书,他们从受信任的存储库获得证书,或者他们经常使用证书),那么签名可以被视为对证书主体身份的更强断言。如果发送方希望保护的报头字段被复制到使用CMS分离签名签名的“message/SIP”MIME主体中,则在S/MIME主体内对SIP消息进行隧道传输可以为SIP报头字段提供完整性。
SSL-校验网站证书的问题解决
小羽飞的博客
05-18 3142
一、什么是 SSL 证书?如何检查网站是否部署了 SSL 证书? 如果你能使用 https:// 来访问某个网站,就表示此网站是部署了 SSL 证书。一般来讲,如果此网站部署了 SSL 证书,则在需要加密的页面会自动从 http:// 变https:// ,如果没有变,你认为此页面应该加密,你也可以尝试直接手动在浏览器地址栏的 http 后面加上一个英文字母“ s ”后回车,如果能...
RFC3261: SIP:23.1 S/MIME证书
aggs1990的专栏
02-13 165
用于识别S/MIME目的的最终用户的证书服务端使用的证书在一个重要方面不同——这些证书不是断言持有者的身份对应于特定的主机名,而是断言持有者是由最终用户地址识别的。此地址由SIPSIPS URI的“userinfo”“@”和“domainname”部分的串联组成(换句话说,形式为“bob@biloxi.com”),最常见的对应于用户的记录地址。但是,用户应该从已知的公共证书颁发机构获取证书。正文是用发送者的私钥签名的(发送者可以在适当的情况下将其公钥包含在消息中),但正文是用预期收件人的公钥加密的。
fs常用抓包命令
lucky的专栏
11-27 357
(sip || rtp ) && (ip.addr == 10.130.24.200) (sip ) && (ip.addr == 10.130.24.200) || rtp ip.src == 10.130.24.211 (sipfrag) && (ip.addr == 10.130.24.211)
VoIP之REFER
szkbsgy的专栏
06-19 1769
REFER是SIP的一个扩展请求方法,用于通知接收方(用户代理)访问REFER中提供的URI/URL资源。该方法由RFC3515(The Session Initiation Protocol (SIP) Refer Method)定义。 REFER可以用来实现许多应用功能,比如呼叫转接。例如,A正在和B通话,如果A认为B需要和C通话,那么A可以发送SIP REFER请求给B,并在请求中提供了C的联系地址信息,B收到请求后将尝试呼叫C,C建立通话。在呼叫过程中,B会向A报告呼叫的状态(是否成功等
sip 认证分析
热门推荐
冰的城
09-11 1万+
SIP类似Http协议。其认证模式也一样。Http协议(RFC 2616 )规定可以采用Basic模式和摘要模式(Digest schema)。RFC 2617 专门对两种认证模式做了规定。RFC 1321 是MD5标准。Digest对现代密码破解来说并不强壮,但比基本模式还是好很多。   1、基本认证模式 客户向服务器发送请求,服务器返回401(未授权),要求认证。401消息的头里
最常用的18个SIP呼叫业务流程详解(1~5)
飞鹰技术
07-27 7276
  在大部分的企业客户的电话呼叫业务中,特别是从运营商到企业IPPBX端的呼入业务中,有很多不同的呼叫涉及了多种SIP流程的操作,而且其流程和实际的IPPBX,代理和SIP终端存在着非常密切的关系。排查这些技术问题耗费相当多的时间。另外,因为越来越多的用户开始使用基于开源的软交换平台和媒体服务器(例如,Asterisk或FreeSWITCH,Kamailio等),用户更容易获得技术产品,因此,他们更容易接触到企业通信平台技术,导致其入门门槛也相对比较低,技术人员可能完全不了解系统底层的流程。而且不幸的是,在
【转载】SIP扩展相关RFC介绍
BLOCKGOLD.E的博客
09-01 683
转载自博客:《SIP扩展相关RFC介绍》。本文介绍了除SIP基础RFC3261外的所有扩展RFC都有哪些,以及这些RFC都是干什么的,为什么要定义这些扩展RFC。
additional info: invalid structural object class chain (person/SIPIdentity)
海瑞@mt
03-07 1761
root@ubuntu:/usr/local/openldap/libexec# ldapadd -x -D "cn=root,ou=2222,dc=2,dc=13" -W -f /home/shr/Code/LDAP/sipuser.ldif Enter LDAP Password: adding new entry "cn=Bob,ou=2222,dc=2,dc=13" ldap_add:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值