我正在通过RFC 4474,并注意到它在处理REGISTER和CANCEL消息中的身份验证时遇到了一些麻烦。 有没有人通过RFC 4474,并注意到为什么REGISTER和CANCEL消息无法通过RFC 4474建议的方法进行身份验证?
RFC 4474说,第16页。
注意,在上表中,这个机制不保护 取消方法。 CANCEL方法无法挑战,因为它是 逐跳,以及CANCEL的认证服务行为 会受到很大限制。还要注意REGISTER方法 以非常不寻常的方式使用Contact头字段使其复杂化 适用于此机制,以及使用带有REGISTER的Identity 因此,它是未来研究的主题,尽管如此 由于前向兼容性原因,此处可选。身份和 身份信息标题不得出现在CANCEL中。
未经身份验证的CANCEL消息只能在发送REGISTER消息之后和ACK到达之前的某个持续时间内成为威胁。所以它可能不是一个威胁。 但REGISTER消息未经验证可能会导致潜在问题,因为RFC声明REGISTER以不寻常的方式使用联系头,据我所知,它只有FROM和TO头相同。但是为什么这会给它实现这个技术带来问题呢?
任何帮助都将不胜感激。
答案 0 :(得分:0)
您没有正确阅读RFC。没有名为REQUEST的消息。我猜你指的是INVITE交易。为了缩短答案,CANCEL或多或少是它取消的INVITE交易的副本。在进行MD5质询/响应身份验证时,我们使用两个不同的事务,因此如果我们验证了CANCEL,它将不再是INVITE的副本,因为您有另一个CSEQ。
我建议您阅读RFC 3261中的基础知识,以了解更多信息。
/ O