1、Authentication和authorization是SIP流程中首先進行的一個安全機制，它負責確認身份和擁有的權限。簡單來說，用戶需要首先執(zhí)行身份確認，然后通過Proxy驗證用戶擁有的權限。

　　Authentication是負責確認你是誰；authorization是負責確認你可以干什么，具有什么樣的應用權限。為了讓讀者對認證過程有一個基本的了解，筆者先介紹一下SIP Auth的認證過程。

　　在以上圖例中，整個認證過程經(jīng)過了以下幾個步驟：

　　以上過程中，雙方密碼都沒有公開進行傳輸，SIP安全得到了保證。關于MD5在SIP中的運算，我以前在文章中有所介紹。這里，筆者不做過多解釋。關于nonce的算法參考rfc2617。

　　2、SIP注冊過程中，我們經(jīng)常會看到401和407的消息。用戶應該知道，4XX定義為客戶端錯誤消息。

　　401 Unauthorized  一般是通過注冊服務器進行注冊流程處理。

　　407 Proxy authentication required則一般都是Proxy回復的客戶消息， 它和401非常相似，但是它需要UA首先對Proxy認證。401 頭中包含的是WWW-Authenticate，而407 則包含的proxy_authentication。

　　hash的算法是一個比較復雜的技術范圍，用戶可以參考很多專業(yè)的文檔研究其使用方式。目前，大量的數(shù)據(jù)證明，128 bits的MD5存在很多的缺陷，現(xiàn)在SHA-1相對比較安全，支持了160bits，但是SHA-1 仍然有一些安全問題，所以比較完整的是SHA-2（支持512bits），和最新的SHA-3。

　　3、加密是一個互聯(lián)網(wǎng)非常關注的問題。加密技術本身具有非常寬泛的概念和技術，同時它具有一個實時性的特點，因為互聯(lián)網(wǎng)的安全問題幾乎是時時刻刻在發(fā)生，因此需要大家及時經(jīng)常關注這些問題。

　　在我們的討論內(nèi)容中，我們僅討論一些和SIP關系比較緊密的話題，例如，證書，SIP和RTP，TLS，對SIP中繼的加密等問題。為什么需要加密？  加密的結果主要原因包括以下幾個方面的內(nèi)容：

　　以上這些問題都涉及了如何設置SIP安全策略的問題。所以，為了盡可能減少這些安全問題，只能通過對SIP加密和語音加密來增加通信的安全。

　　為了讓用戶對加密有一個比較全面的了解，首先，我們介紹一下關于證書的基本工作原理。

　　SIP證書原理是基于互聯(lián)網(wǎng)證書原理來實現(xiàn)的。讓我們看看具體的證書實現(xiàn)流程：

　　首先，用戶訪問購物網(wǎng)站，例如通過80端口。

　　網(wǎng)站會切換到HTTPS通過端口443 訪問購物網(wǎng)站。當然，現(xiàn)在很多網(wǎng)站都使用了443 端口，用戶不需要訪問80端口。

　　購物網(wǎng)站發(fā)送一個public key，然后對其生成一個privite保存到服務器端。

　　終端用戶通過瀏覽器和public key自動生成一個新的key消息，然后發(fā)送到服務器端，服務器端通過這個消息，然后結合保存在服務器端的previte key 進行匹配檢查。如果雙方的key匹配，則進行購物付款交易。

　　目前，網(wǎng)絡上有很多網(wǎng)絡安全的公司提供免費的和商業(yè)的安全證書，用戶可以通過購買這些安全證書來部署到自己的網(wǎng)絡環(huán)境中。以下圖例就是一個商業(yè)網(wǎng)站購買證書以后的流程處理：

　　服務器購買了商業(yè)證書以后，如果用戶訪問此服務器，服務器就會發(fā)送一個public key要求進行證書的核實，終端用戶需要訪問第三方的證書發(fā)放機構來驗證是否是有效的證書。如果是否都驗證了證書的有效性，則執(zhí)行下一步的流程。一般，用戶終端會接受一些著名機構發(fā)放的證書，有時會彈出對話框，用戶需要點擊瀏覽器對話框接受此證書。當然，證書包括了證書發(fā)放者名稱，版本，subject，有效期，算法等修改參數(shù)。如果證書失效或者其他參數(shù)不兼容，則需要用戶重新安裝。

　　另外一種發(fā)放證書的模式就是自簽的證書，顧名思義，就是用戶服務器端用戶自己創(chuàng)建的證書。以下圖例說明了如何實現(xiàn)自簽證書的流程。

　　客戶端需要接受服務器端的證書以便保證證書的有效性。這里，筆者要提醒用戶，自簽的證書一般僅使用在測試環(huán)境，它的兼容性不好，同時可能導致其他的安全漏洞。

　　在本章節(jié)的介紹中，我們討論了認證和簽權的流程和各自的不同，401和407消息，最后介紹了SIP網(wǎng)絡安全中的證書的基本原理。在后續(xù)的講座中，我們會繼續(xù)介紹SIP和RTP加密，TLS的其他技術。

　　關注微信號：asterisk-cn 獲得有價值的行業(yè)新聞和技術分享，訪問技術論壇獲得開源融合通信的技術幫助：www.issabel.cn/forum

　　參考鏈接：

　　https://www.ietf.org/rfc/rfc2617.txt