[要約] RFC 4474は、SIPにおける認証されたアイデンティティ管理のための改善を提案しています。その目的は、SIPセッションのセキュリティとプライバシーを向上させることです。
Network Working Group J. Peterson Request for Comments: 4474 NeuStar Category: Standards Track C. Jennings Cisco Systems August 2006
Enhancements for Authenticated Identity Management in the Session Initiation Protocol (SIP)
セッション開始プロトコル(SIP)における認証されたアイデンティティ管理の拡張
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
The existing security mechanisms in the Session Initiation Protocol (SIP) are inadequate for cryptographically assuring the identity of the end users that originate SIP requests, especially in an interdomain context. This document defines a mechanism for securely identifying originators of SIP messages. It does so by defining two new SIP header fields, Identity, for conveying a signature used for validating the identity, and Identity-Info, for conveying a reference to the certificate of the signer.
セッション開始プロトコル(SIP)の既存のセキュリティメカニズムは、特にドメイン間コンテキストで、SIP要求を発信するエンドユーザーのIDを暗号化するために不十分です。このドキュメントは、SIPメッセージのオリジネーターを安全に識別するメカニズムを定義します。これは、署名者の証明書への参照を伝えるために、アイデンティティの検証に使用される署名を伝えるために、2つの新しいSIPヘッダーフィールド、ID、IDを定義することによって行われます。
Table of Contents
目次
1. Introduction ....................................................3 2. Terminology .....................................................3 3. Background ......................................................3 4. Overview of Operations ..........................................6 5. Authentication Service Behavior .................................7 5.1. Identity within a Dialog and Retargeting ..................10 6. Verifier Behavior ..............................................11 7. Considerations for User Agent ..................................12 8. Considerations for Proxy Servers ...............................13 9. Header Syntax ..................................................13 10. Compliance Tests and Examples .................................16 10.1. Identity-Info with a Singlepart MIME body ................17 10.2. Identity for a Request with No MIME Body or Contact ......20 11. Identity and the TEL URI Scheme ...............................22 12. Privacy Considerations ........................................23 13. Security Considerations .......................................24 13.1. Handling of digest-string Elements .......................24 13.2. Display-Names and Identity ...............................27 13.3. Securing the Connection to the Authentication Service ....28 13.4. Domain Names and Subordination ...........................29 13.5. Authorization and Transitional Strategies ................30 14. IANA Considerations ...........................................31 14.1. Header Field Names .......................................31 14.2. 428 'Use Identity Header' Response Code ..................32 14.3. 436 'Bad Identity-Info' Response Code ....................32 14.4. 437 'Unsupported Certificate' Response Code ..............32 14.5. 438 'Invalid Identity Header' Response Code ..............33 14.6. Identity-Info Parameters .................................33 14.7. Identity-Info Algorithm Parameter Values .................33 Appendix A. Acknowledgements ......................................34 Appendix B. Bit-Exact Archive of Examples of Messages .............34 B.1. Encoded Reference Files ...................................35 Appendix C. Original Requirements .................................38 References ........................................................39 Normative References ...........................................39 Informative References .........................................39
This document provides enhancements to the existing mechanisms for authenticated identity management in the Session Initiation Protocol (SIP, RFC 3261 [1]). An identity, for the purposes of this document, is defined as a SIP URI, commonly a canonical address-of-record (AoR) employed to reach a user (such as 'sip:alice@atlanta.example.com').
このドキュメントは、セッション開始プロトコル(SIP、RFC 3261 [1])における認証されたアイデンティティ管理のための既存のメカニズムの強化を提供します。このドキュメントの目的のために、アイデンティティは、ユーザーにリーチするために採用されている標準的な住所(AOR)(「sip:alice@atlanta.example.com」など)として、SIP URIとして定義されます。
RFC 3261 stipulates several places within a SIP request where a user can express an identity for themselves, notably the user-populated From header field. However, the recipient of a SIP request has no way to verify that the From header field has been populated appropriately, in the absence of some sort of cryptographic authentication mechanism.
RFC 3261は、SIPリクエスト内のいくつかの場所を規定しています。ユーザーは、特にヘッダーフィールドからユーザーが入力するユーザーが自分でアイデンティティを表現できます。ただし、SIPリクエストの受信者には、何らかの暗号化認証メカニズムがない場合、From Headerフィールドが適切に入力されていることを確認する方法はありません。
RFC 3261 specifies a number of security mechanisms that can be employed by SIP user agents (UAs), including Digest, Transport Layer Security (TLS), and S/MIME (implementations may support other security schemes as well). However, few SIP user agents today support the end-user certificates necessary to authenticate themselves (via S/MIME, for example), and furthermore Digest authentication is limited by the fact that the originator and destination must share a prearranged secret. It is desirable for SIP user agents to be able to send requests to destinations with which they have no previous association -- just as in the telephone network today, one can receive a call from someone with whom one has no previous association, and still have a reasonable assurance that the person's displayed Caller-ID is accurate. A cryptographic approach, like the one described in this document, can probably provide a much stronger and less-spoofable assurance of identity than the telephone network provides today.
RFC 3261 Digest、Transport Layer Security(TLS)、S/MIMEを含むSIPユーザーエージェント(UAS)が採用できる多くのセキュリティメカニズムを指定します(実装も他のセキュリティスキームをサポートする場合があります)。ただし、今日(たとえば、S/MIMEを介して)自分自身を認証するために必要なエンドユーザー証明書をサポートしているSIPユーザーエージェントはほとんどなく、さらに消化認証は、発信者と目的地が事前に配置された秘密を共有しなければならないという事実によって制限されます。SIPユーザーエージェントが以前の関連性のない目的地にリクエストを送信できることが望ましいです。今日の電話ネットワークのように、以前の協会がない人から電話を受けることができます。その人が表示されているCaller-IDが正確であるという合理的な保証。このドキュメントで説明されているように、暗号化アプローチは、おそらく、電話網が今日提供するよりもはるかに強力で低下しないアイデンティティの保証を提供することができます。
In this document, the key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" are to be interpreted as described in RFC 2119 [2] and indicate requirement levels for compliant SIP implementations.
このドキュメントでは、キーワードが「必要はない」、「必須」、「「必要」」、「しなければ」、「そうしない」、「そうはならない」、「そうでない」、「推奨」、「推奨」、「5月」、および「オプション」は、RFC 2119 [2]で説明されているように解釈され、準拠したSIP実装の要件レベルを示します。
The usage of many SIP applications and services is governed by authorization policies. These policies may be automated, or they may be applied manually by humans. An example of the latter would be an Internet telephone application that displays the Caller-ID of a caller, which a human may review before answering a call. An example of the former would be a presence service that compares the identity of potential subscribers to a whitelist before determining whether it should accept or reject the subscription. In both of these cases, attackers might attempt to circumvent these authorization policies through impersonation. Since the primary identifier of the sender of a SIP request, the From header field, can be populated arbitrarily by the controller of a user agent, impersonation is very simple today. The mechanism described in this document aspires to provide a strong identity system for SIP in which authorization policies cannot be circumvented by impersonation.
多くのSIPアプリケーションとサービスの使用は、承認ポリシーに準拠しています。これらのポリシーは自動化されるか、人間によって手動で適用される場合があります。後者の例は、電話に応答する前に人間がレビューする可能性のある発信者の発信者IDを表示するインターネット電話アプリケーションです。前者の例は、サブスクリプションを受け入れるか拒否すべきかを判断する前に、潜在的な加入者の身元をホワイトリストと比較するプレゼンスサービスです。これらの両方のケースでは、攻撃者はなりすましを通じてこれらの認可ポリシーを回避しようとするかもしれません。SIPリクエストの送信者の主要な識別子であるFrom Headerフィールドは、ユーザーエージェントのコントローラーがarbitrarily意的に入力できるため、今日ではなりすましが非常に簡単です。この文書に記載されているメカニズムは、承認ポリシーをなりすましによって回避できないSIPのための強力なアイデンティティシステムを提供することを目指しています。
All RFC 3261-compliant user agents support Digest authentication, which utilizes a shared secret, as a means for authenticating themselves to a SIP registrar. Registration allows a user agent to express that it is an appropriate entity to which requests should be sent for a particular SIP AoR URI (e.g., 'sip:alice@atlanta.example.com').
すべてのRFC 3261に準拠したユーザーエージェントは、SIPレジストラに認証する手段として、共有秘密を利用するダイジェスト認証をサポートしています。登録により、ユーザーエージェントは、特定のSIP AOR URI( 'sip:alice@atlanta.example.com')に対してリクエストを送信する適切なエンティティであることを表明できます。
By the definition of identity used in this document, registration is a proof of the identity of the user to a registrar. However, the credentials with which a user agent proves its identity to a registrar cannot be validated by just any user agent or proxy server -- these credentials are only shared between the user agent and their domain administrator. So this shared secret does not immediately help a user to authenticate to a wide range of recipients. Recipients require a means of determining whether or not the 'return address' identity of a non-REGISTER request (i.e., the From header field value) has legitimately been asserted.
このドキュメントで使用されるIDの定義により、登録はレジストラへのユーザーの身元の証明です。ただし、ユーザーエージェントがレジストラに対するIDを証明する資格情報は、ユーザーエージェントまたはプロキシサーバーだけでは検証できません。これらの資格情報は、ユーザーエージェントとドメイン管理者の間でのみ共有されます。したがって、この共有秘密は、ユーザーが幅広い受信者に認証するのにすぐに役立ちません。受信者は、非登録要求(つまり、ヘッダーフィールド値から)の「返信アドレス」IDが正当に主張されているかどうかを判断する手段を必要とします。
The AoR URI used for registration is also the URI with which a UA commonly populates the From header field of requests in order to provide a 'return address' identity to recipients. From an authorization perspective, if you can prove you are eligible to register in a domain under a particular AoR, you can prove you can legitimately receive requests for that AoR, and accordingly, when you place that AoR in the From header field of a SIP request other than a registration (like an INVITE), you are providing a 'return address' where you can legitimately be reached. In other words, if you are authorized to receive requests for that 'return address', logically, it follows that you are also authorized to assert that 'return address' in your From header field. This is of course only one manner in which a domain might determine how a particular user is authorized to populate the From header field; as an aside, for other sorts of URIs in the From (like anonymous URIs), other authorization policies would apply.
登録に使用されるAOR URIは、URIも、「返品アドレス」IDを受信者に提供するために、UAが一般的にリクエストのヘッダーフィールドに入力することです。承認の観点から、特定のAORの下でドメインに登録する資格があることを証明できる場合、そのAORのリクエストを合法的に受信できることを証明できます。登録(招待状など)以外のリクエストは、合法的に到達できる「返品アドレス」を提供しています。言い換えれば、論理的には、その「返品アドレス」のリクエストを受け取る権限がある場合、ヘッダーフィールドから「返品アドレス」を主張することも許可されています。これはもちろん、ドメインが特定のユーザーがFrom Headerフィールドにどのように承認されるかを決定する1つの方法にすぎません。余談ですが、from(匿名URIのように)の他の種類のurisの場合、他の認可ポリシーが適用されます。
Ideally, then, SIP user agents should have some way of proving to recipients of SIP requests that their local domain has authenticated them and authorized the population of the From header field. This document proposes a mediated authentication architecture for SIP in which requests are sent to a server in the user's local domain, which authenticates such requests (using the same practices by which the domain would authenticate REGISTER requests). Once a message has been authenticated, the local domain then needs some way to communicate to other SIP entities that the sending user has been authenticated and its use of the From header field has been authorized. This document addresses how that imprimatur of authentication can be shared.
理想的には、SIPユーザーエージェントは、ローカルドメインがそれらを認証し、From Headerフィールドの人口を承認したというSIPリクエストの受信者に何らかの方法を証明する必要があります。このドキュメントでは、リクエストがユーザーのローカルドメインのサーバーに送信されるSIPの媒介認証アーキテクチャを提案します。メッセージが認証されると、ローカルドメインは、送信ユーザーが認証され、From Headerフィールドの使用が認証されている他のSIPエンティティと通信するための何らかの方法が必要です。このドキュメントでは、認証のその非難がどのように共有されるかについて説明します。
RFC 3261 already describes an architecture very similar to this in Section 26.3.2.2, in which a user agent authenticates itself to a local proxy server, which in turn authenticates itself to a remote proxy server via mutual TLS, creating a two-link chain of transitive authentication between the originator and the remote domain. While this works well in some architectures, there are a few respects in which this is impractical. For one, transitive trust is inherently weaker than an assertion that can be validated end-to-end. It is possible for SIP requests to cross multiple intermediaries in separate administrative domains, in which case transitive trust becomes even less compelling.
RFC 3261は、セクション26.3.2.2でこれに非常によく似たアーキテクチャを既に説明しています。ユーザーエージェントは、ローカルプロキシサーバーに認証されています。オリジネーターとリモートドメインの間の推移的認証。これはいくつかのアーキテクチャではうまく機能しますが、これが非現実的である尊敬がいくつかあります。1つは、推移的信頼は、エンドツーエンドで検証できるアサーションよりも本質的に弱いことです。SIPリクエストは、別々の管理ドメインで複数の仲介者を越えることが可能です。その場合、推移的信頼はさらに説得力が低くなります。
One solution to this problem is to use 'trusted' SIP intermediaries that assert an identity for users in the form of a privileged SIP header. A mechanism for doing so (with the P-Asserted-Identity header) is given in [12]. However, this solution allows only hop-by-hop trust between intermediaries, not end-to-end cryptographic authentication, and it assumes a managed network of nodes with strict mutual trust relationships, an assumption that is incompatible with widespread Internet deployment.
この問題の解決策の1つは、特権的なSIPヘッダーの形でユーザーにアイデンティティを主張する「信頼できる」SIP仲介者を使用することです。そうするためのメカニズム(P asserted-Identityヘッダーを使用)は[12]に示されています。ただし、このソリューションは、エンドツーエンドの暗号化認証ではなく、仲介者間のホップバイホップの信頼のみを可能にし、厳密な相互信頼関係を持つノードの管理されたネットワークを想定しています。
Accordingly, this document specifies a means of sharing a cryptographic assurance of end-user SIP identity in an interdomain or intradomain context that is based on the concept of an 'authentication service' and a new SIP header, the Identity header. Note that the scope of this document is limited to providing this identity assurance for SIP requests; solving this problem for SIP responses is more complicated and is a subject for future work.
したがって、このドキュメントは、「認証サービス」の概念と新しいSIPヘッダーであるIDヘッダーに基づいたドメイン間またはドメイン内コンテキストで、エンドユーザーSIPアイデンティティの暗号化保証を共有する手段を指定します。このドキュメントの範囲は、SIPリクエストのこのID保証を提供することに限定されていることに注意してください。SIP応答のためにこの問題を解決することはより複雑であり、将来の仕事の主題です。
This specification allows either a user agent or a proxy server to provide identity services and to verify identities. To maximize end-to-end security, it is obviously preferable for end-users to acquire their own certificates and corresponding private keys; if they do, they can act as an authentication service. However, end-user certificates may be neither practical nor affordable, given the difficulties of establishing a Public Key Infrastructure (PKI) that extends to end-users, and moreover, given the potentially large number of SIP user agents (phones, PCs, laptops, PDAs, gaming devices) that may be employed by a single user. In such environments, synchronizing keying material across multiple devices may be very complex and requires quite a good deal of additional endpoint behavior. Managing several certificates for the various devices is also quite problematic and unpopular with users. Accordingly, in the initial use of this mechanism, it is likely that intermediaries will instantiate the authentication service role.
この仕様により、ユーザーエージェントまたはプロキシサーバーのいずれかがIDサービスを提供し、IDを確認できます。エンドツーエンドのセキュリティを最大化するには、エンドユーザーが独自の証明書と対応するプライベートキーを取得することが明らかに望ましいです。もしそうなら、彼らは認証サービスとして行動することができます。ただし、エンドユーザーの証明書は、エンドユーザーに拡張される公開キーインフラストラクチャ(PKI)を確立するのが難しいことを考えると、潜在的に多数のSIPユーザーエージェント(電話、PC、ラップトップ、ラップトップを考慮して、実用的でも手頃な価格でもない場合があります。、PDA、ゲームデバイス)は、単一のユーザーが雇用する場合があります。このような環境では、複数のデバイスにわたってキーリング素材を同期することは非常に複雑であり、さらに多くのエンドポイント動作が必要です。さまざまなデバイスのいくつかの証明書を管理することも、ユーザーにとって非常に問題が多く、人気がありません。したがって、このメカニズムの最初の使用では、仲介者が認証サービスの役割をインスタンス化する可能性があります。
This section provides an informative (non-normative) high-level overview of the mechanisms described in this document.
このセクションでは、このドキュメントに記載されているメカニズムの有益な(非規範的な)高レベルの概要を提供します。
Imagine the case where Alice, who has the home proxy of example.com and the address-of-record sip:alice@example.com, wants to communicate with sip:bob@example.org.
example.comのホームプロキシと記録の住所sip:alice@example.comを持っているアリスが、sip:bob@example.orgと通信したい場合を想像してください。
Alice generates an INVITE and places her identity in the From header field of the request. She then sends an INVITE over TLS to an authentication service proxy for her domain.
アリスは招待状を生成し、リクエストのヘッダーフィールドに彼女の身元を置きます。その後、彼女はTLSを介した招待状を彼女のドメインの認証サービスプロキシに送ります。
The authentication service authenticates Alice (possibly by sending a Digest authentication challenge) and validates that she is authorized to assert the identity that is populated in the From header field. This value may be Alice's AoR, or it may be some other value that the policy of the proxy server permits her to use. It then computes a hash over some particular headers, including the From header field and the bodies in the message. This hash is signed with the certificate for the domain (example.com, in Alice's case) and inserted in a new header field in the SIP message, the 'Identity' header.
認証サービスは、Aliceを認証し(おそらくDigest Authentication Challengeを送信することで)、From Headerフィールドに存在するアイデンティティを主張することが許可されていることを検証します。この値はAliceのAORであるか、プロキシサーバーのポリシーが彼女を使用することを許可する他の値かもしれません。次に、ヘッダーフィールドやメッセージ内のボディを含むいくつかの特定のヘッダーの上にハッシュを計算します。このハッシュは、ドメインの証明書(Example.com、Aliceの場合)で署名され、SIPメッセージの新しいヘッダーフィールド、「ID」ヘッダーに挿入されます。
The proxy, as the holder of the private key of its domain, is asserting that the originator of this request has been authenticated and that she is authorized to claim the identity (the SIP address-of-record) that appears in the From header field. The proxy also inserts a companion header field, Identity-Info, that tells Bob how to acquire its certificate, if he doesn't already have it.
プロキシは、そのドメインの秘密鍵の所有者として、このリクエストの発信者が認証されており、From Headerフィールドに表示されるID(SIPアドレスの録音)を請求する権限を与えられていると主張しています。。プロキシはまた、コンパニオンヘッダーフィールドであるIDINFOを挿入します。これは、ボブがまだ証明書を持っていない場合は、証明書を取得する方法を伝えます。
When Bob's domain receives the request, it verifies the signature provided in the Identity header, and thus can validate that the domain indicated by the host portion of the AoR in the From header field authenticated the user, and permitted the user to assert that From header field value. This same validation operation may be performed by Bob's user agent server (UAS).
Bobのドメインがリクエストを受信すると、IDヘッダーに提供される署名を検証するため、From HeaderフィールドのAORのホスト部分で示されたドメインがユーザーに認証されたことを検証でき、ユーザーがヘッダーからそれを主張することを許可しました。フィールド値。この同じ検証操作は、Bobのユーザーエージェントサーバー(UAS)によって実行される場合があります。
This document defines a new role for SIP entities called an authentication service. The authentication service role can be instantiated by a proxy server or a user agent. Any entity that instantiates the authentication service role MUST possess the private key of a domain certificate. Intermediaries that instantiate this role MUST be capable of authenticating one or more SIP users that can register in that domain. Commonly, this role will be instantiated by a proxy server, since these entities are more likely to have a static hostname, hold a corresponding certificate, and have access to SIP registrar capabilities that allow them to authenticate users in their domain. It is also possible that the authentication service role might be instantiated by an entity that acts as a redirect server, but that is left as a topic for future work.
このドキュメントは、認証サービスと呼ばれるSIPエンティティの新しい役割を定義しています。認証サービスの役割は、プロキシサーバーまたはユーザーエージェントによってインスタンス化できます。認証サービスの役割をインスタンス化するエンティティは、ドメイン証明書の秘密鍵を所有する必要があります。この役割をインスタンス化する仲介者は、そのドメインに登録できる1つ以上のSIPユーザーを認証できる必要があります。一般的に、これらのエンティティは静的ホスト名を持ち、対応する証明書を保持し、ドメイン内のユーザーを認証できるSIPレジストラ機能にアクセスできる可能性が高いため、この役割はプロキシサーバーによってインスタンス化されます。また、認証サービスの役割は、リダイレクトサーバーとして機能するエンティティによってインスタンス化される可能性がありますが、それは将来の作業のトピックとして残されています。
SIP entities that act as an authentication service MUST add a Date header field to SIP requests if one is not already present (see Section 9 for information on how the Date header field assists verifiers). Similarly, authentication services MUST add a Content-Length header field to SIP requests if one is not already present; this can help verifiers to double-check that they are hashing exactly as many bytes of message-body as the authentication service when they verify the message.
認証サービスとして機能するSIPエンティティは、まだ存在していない場合は、SIPリクエストに日付ヘッダーフィールドを追加する必要があります(日付ヘッダーフィールドが検証剤を支援する方法については、セクション9を参照してください)。同様に、認証サービスは、まだ存在していない場合は、コンテンツレングスヘッダーフィールドをSIPリクエストに追加する必要があります。これにより、Verifiersは、メッセージを確認するときに認証サービスと同じくらい多くのメッセージボディのバイトをハッシュしていることを再確認するのに役立ちます。
Entities instantiating the authentication service role perform the following steps, in order, to generate an Identity header for a SIP request:
認証サービスの役割をインスタンス化するエンティティは、SIPリクエストのIDヘッダーを生成するために、次の手順を順番に実行します。
Step 1:
ステップ1:
The authentication service MUST extract the identity of the sender from the request. The authentication service takes this value from the From header field; this AoR will be referred to here as the 'identity field'. If the identity field contains a SIP or SIP Secure (SIPS) URI, the authentication service MUST extract the hostname portion of the identity field and compare it to the domain(s) for which it is responsible (following the procedures in RFC 3261, Section 16.4, used by a proxy server to determine the domain(s) for which it is responsible). If the identity field uses the TEL URI scheme, the policy of the authentication service determines whether or not it is responsible for this identity; see Section 11 for more information. If the authentication service is not responsible for the identity in question, it SHOULD process and forward the request normally, but it MUST NOT add an Identity header; see below for more information on authentication service handling of an existing Identity header.
認証サービスは、リクエストから送信者の身元を抽出する必要があります。認証サービスは、From Headerフィールドからこの値を取得します。このAORは、ここで「アイデンティティフィールド」と呼ばれます。IDフィールドにSIPまたはSIPセキュア(SIP)URIが含まれている場合、認証サービスはIDフィールドのホスト名部分を抽出し、それが責任を負うドメインと比較する必要があります(RFC 3261の手順に従ってください、セクションセクション16.4、プロキシサーバーが使用して、責任を負うドメインを決定します)。IDフィールドがTel URIスキームを使用している場合、認証サービスのポリシーは、このアイデンティティに責任があるかどうかを決定します。詳細については、セクション11を参照してください。認証サービスが問題のIDについて責任を負わない場合、リクエストを正常に処理および転送する必要がありますが、IDヘッダーを追加してはなりません。既存のIDヘッダーの認証サービス処理の詳細については、以下を参照してください。
Step 2:
ステップ2:
The authentication service MUST determine whether or not the sender of the request is authorized to claim the identity given in the identity field. In order to do so, the authentication service MUST authenticate the sender of the message. Some possible ways in which this authentication might be performed include:
認証サービスは、リクエストの送信者がIDフィールドに与えられたIDを請求する権限を与えられているかどうかを判断する必要があります。そのためには、認証サービスはメッセージの送信者を認証する必要があります。この認証が実行される可能性のあるいくつかの可能な方法は次のとおりです。
If the authentication service is instantiated by a SIP intermediary (proxy server), it may challenge the request with a 407 response code using the Digest authentication scheme (or viewing a Proxy-Authentication header sent in the request, which was sent in anticipation of a challenge using cached credentials, as described in RFC 3261, Section 22.3). Note that if that proxy server is maintaining a TLS connection with the client over which the client had previously authenticated itself using Digest authentication, the identity value obtained from that previous authentication step can be reused without an additional Digest challenge.
認証サービスがSIP仲介(プロキシサーバー)によってインスタンス化されている場合、ダイジェスト認証スキームを使用して407応答コードでリクエストに挑戦する場合があります(またはリクエストで送信されたプロキシ-Authenticationヘッダーを表示します。RFC 3261、セクション22.3で説明されているように、キャッシュされた資格情報を使用した課題。そのプロキシサーバーが、クライアントが以前にダイジェスト認証を使用して自らを認証したクライアントとのTLS接続を維持している場合、その前の認証ステップから取得したID値は、追加のダイジェストチャレンジなしで再利用できることに注意してください。
If the authentication service is instantiated by a SIP user agent, a user agent can be said to authenticate its user on the grounds that the user can provision the user agent with the private key of the domain, or preferably by providing a password that unlocks said private key.
認証サービスがSIPユーザーエージェントによってインスタンス化されている場合、ユーザーエージェントはユーザーがユーザーがドメインのプライベートキーを提供できるという理由でユーザーを認証するか、できればロック解除のパスワードを提供して、秘密鍵。
Authorization of the use of a particular username in the From header field is a matter of local policy for the authentication service, one that depends greatly on the manner in which authentication is performed. For example, one policy might be as follows: the username given in the 'username' parameter of the Proxy-Authorization header MUST correspond exactly to the username in the From header field of the SIP message. However, there are many cases in which this is too limiting or inappropriate; a realm might use 'username' parameters in Proxy-Authorization that do not correspond to the user-portion of SIP From headers, or a user might manage multiple accounts in the same administrative domain. In this latter case, a domain might maintain a mapping between the values in the 'username' parameter of Proxy-Authorization and a set of one or more SIP URIs that might legitimately be asserted for that 'username'. For example, the username can correspond to the 'private identity' as defined in Third Generation Partnership Project (3GPP), in which case the From header field can contain any one of the public identities associated with this private identity. In this instance, another policy might be as follows: the URI in the From header field MUST correspond exactly to one of the mapped URIs associated with the 'username' given in the Proxy-Authorization header. Various exceptions to such policies might arise for cases like anonymity; if the AoR asserted in the From header field uses a form like 'sip:anonymous@example.com', then the 'example.com' proxy should authenticate that the user is a valid user in the domain and insert the signature over the From header field as usual.
From Headerフィールドでの特定のユーザー名の使用の承認は、認証サービスのローカルポリシーの問題であり、認証の実行方法に大きく依存します。たとえば、1つのポリシーは次のとおりです。プロキシおよび承認ヘッダーの「ユーザー名」パラメーターで指定されたユーザー名は、SIPメッセージのHeaderフィールドのユーザー名に正確に対応する必要があります。ただし、これが制限されている、または不適切である多くの場合があります。領域は、ヘッダーからのSIPのユーザーパーティションに対応しないプロキシ承認で「ユーザー名」パラメーターを使用するか、ユーザーが同じ管理ドメインで複数のアカウントを管理する場合があります。この後者の場合、ドメインは、プロキシ - 承認の「ユーザー名」パラメーターの値と、その「ユーザー名」について合法的に主張される可能性のある1つ以上のSIP URIのセット間のマッピングを維持する場合があります。たとえば、ユーザー名は、第三世代のパートナーシッププロジェクト(3GPP)で定義されている「プライベートアイデンティティ」に対応できます。この場合、ヘッダーフィールドには、このプライベートアイデンティティに関連する公的アイデンティティのいずれかを含めることができます。この例では、別のポリシーが次のとおりかもしれません:From HeaderフィールドのURIは、プロキシ承認ヘッダーに与えられた「ユーザー名」に関連付けられたマッピングされたURIの1つに正確に対応する必要があります。そのようなポリシーのさまざまな例外は、匿名性のようなケースに対して発生する可能性があります。From Headerフィールドで主張されたAORが「sip:anonymous@example.com」のようなフォームを使用している場合、「Example.com」プロキシは、ユーザーがドメイン内の有効なユーザーであることを認証し、いつものようにヘッダーフィールド。
Note that this check is performed on the addr-spec in the From header field (e.g., the URI of the sender, like 'sip:alice@atlanta.example.com'); it does not convert the display-name portion of the From header field (e.g., 'Alice Atlanta'). Authentication services MAY check and validate the display-name as well, and compare it to a list of acceptable display-names that may be used by the sender; if the display-name does not meet policy constraints, the authentication service MUST return a 403 response code. The reason phrase should indicate the nature of the problem; for example, "Inappropriate Display Name". However, the display-name is not always present, and in many environments the requisite operational procedures for display-name validation may not exist. For more information, see Section 13.2.
このチェックは、From HeaderフィールドのADDR-SPECで実行されることに注意してください(たとえば、送信者のURI、「sip:alice@atlanta.example.com」など);From Headerフィールドのディスプレイ名部分(たとえば、「Alice Atlanta」)を変換しません。認証サービスは、ディスプレイ名も確認および検証し、送信者が使用できる許容可能なディスプレイ名のリストと比較することができます。表示名がポリシーの制約を満たしていない場合、認証サービスは403応答コードを返す必要があります。理由のフレーズは、問題の性質を示す必要があります。たとえば、「不適切なディスプレイ名」。ただし、ディスプレイ名が常に存在するとは限らず、多くの環境では、ディスプレイ名検証に必要な運用手順が存在しない場合があります。詳細については、セクション13.2を参照してください。
Step 3:
ステップ3:
The authentication service SHOULD ensure that any preexisting Date header in the request is accurate. Local policy can dictate precisely how accurate the Date must be; a RECOMMENDED maximum discrepancy of ten minutes will ensure that the request is unlikely to upset any verifiers. If the Date header contains a time different by more than ten minutes from the current time noted by the authentication service, the authentication service SHOULD reject the request. This behavior is not mandatory because a user agent client (UAC) could only exploit the Date header in order to cause a request to fail verification; the Identity header is not intended to provide a source of non-repudiation or a perfect record of when messages are processed. Finally, the authentication service MUST verify that the Date header falls within the validity period of its certificate. For more information on the security properties associated with the Date header field value, see Section 9.
認証サービスは、リクエスト内の既存の日付ヘッダーが正確であることを確認する必要があります。現地のポリシーは、日付がどれほど正確であるかを正確に決定できます。推奨される10分の最大矛盾により、リクエストが検証剤を混乱させる可能性が低くなることが保証されます。日付ヘッダーに、認証サービスが記載されている現在の時間から10分以上異なる時間が含まれている場合、認証サービスはリクエストを拒否する必要があります。ユーザーエージェントクライアント(UAC)は、リクエストを失敗させるために日付ヘッダーのみを悪用できるため、この動作は必須ではありません。アイデンティティヘッダーは、メッセージが処理されたときの非repudiationのソースや完全な記録を提供することを意図したものではありません。最後に、認証サービスは、日付ヘッダーが証明書の有効期間内にあることを確認する必要があります。日付ヘッダーフィールド値に関連付けられたセキュリティプロパティの詳細については、セクション9を参照してください。
Step 4:
ステップ4:
The authentication service MUST form the identity signature and add an Identity header to the request containing this signature. After the Identity header has been added to the request, the authentication service MUST also add an Identity-Info header. The Identity-Info header contains a URI from which its certificate can be acquired. Details on the generation of both of these headers are provided in Section 9.
認証サービスは、ID署名を形成し、この署名を含むリクエストにIDヘッダーを追加する必要があります。IDヘッダーがリクエストに追加された後、認証サービスはID-INFOヘッダーも追加する必要があります。ID-INFOヘッダーには、その証明書を取得できるURIが含まれています。これらの両方のヘッダーの生成に関する詳細は、セクション9に記載されています。
Finally, the authentication service MUST forward the message normally.
最後に、認証サービスはメッセージを正常に転送する必要があります。
Retargeting is broadly defined as the alteration of the Request-URI by intermediaries. More specifically, retargeting supplants the original target URI with one that corresponds to a different user, a user that is not authorized to register under the original target URI. By this definition, retargeting does not include translation of the Request-URI to a contact address of an endpoint that has registered under the original target URI, for example.
リターゲティングは、仲介者によるリクエスト-URIの変更として広く定義されています。より具体的には、リターゲットは、元のターゲットURIに対応するユーザー、元のターゲットURIの下で登録する権限がないユーザーに対応する元のターゲットURIに取って代わります。この定義により、リターゲティングには、たとえば、元のターゲットURIに登録されているエンドポイントの連絡先アドレスへのリクエスト-URIの翻訳は含まれていません。
When a dialog-forming request is retargeted, this can cause a few wrinkles for the Identity mechanism when it is applied to requests sent in the backwards direction within a dialog. This section provides some non-normative considerations related to this case.
ダイアログ形成リクエストがリターゲティングされている場合、ダイアログ内の後方方向に送信されたリクエストに適用されると、IDメカニズムにいくつかのしわを引き起こす可能性があります。このセクションでは、このケースに関連するいくつかの非規範的な考慮事項を提供します。
When a request is retargeted, it may reach a SIP endpoint whose user is not identified by the URI designated in the To header field value. The value in the To header field of a dialog-forming request is used as the From header field of requests sent in the backwards direction during the dialog, and is accordingly the header that would be signed by an authentication service for requests sent in the backwards direction. In retargeting cases, if the URI in the From header does not identify the sender of the request in the backwards direction, then clearly it would be inappropriate to provide an Identity signature over that From header. As specified above, if the authentication service is not responsible for the domain in the From header field of the request, it MUST NOT add an Identity header to the request, and it should process/forward the request normally.
リクエストがリターゲティングされると、ヘッダーフィールド値に指定されたURIによってユーザーが識別されないSIPエンドポイントに到達する場合があります。ダイアログ形成リクエストのヘッダーからヘッダーへの値は、ダイアログ中に後方方向に送信されたリクエストのヘッダーフィールドとして使用され、それに応じて、後方に送信されたリクエストの認証サービスによって署名されるヘッダーです。方向。リターゲティングの場合、From HeaderのURIがリクエストの送信者を後方方向に識別しない場合、ヘッダーからのアイデンティティの署名を提供することは明らかに不適切です。上記で指定したように、認証サービスがリクエストのヘッダーフィールドのドメインに対して責任を負わない場合、リクエストにIDヘッダーを追加してはなりません。また、要求を通常処理/転送する必要があります。
Any means of anticipating retargeting, and so on, is outside the scope of this document, and likely to have equal applicability to response identity as it does to requests in the backwards direction within a dialog. Consequently, no special guidance is given for implementers here regarding the 'connected party' problem; authentication service behavior is unchanged if retargeting has occurred for a dialog-forming request. Ultimately, the authentication service provides an Identity header for requests in the backwards dialog when the user is authorized to assert the identity given in the From header field, and if they are not, an Identity header is not provided.
リターゲティングなどを予測する手段は、このドキュメントの範囲外であり、ダイアログ内の後方方向にリクエストするように、同一性に同等の適用可能性を持つ可能性があります。その結果、「接続されたパーティー」の問題に関して、ここで実装者に特別なガイダンスは与えられません。ダイアログ形成リクエストのためにリターゲティングが発生した場合、認証サービスの動作は変更されません。最終的に、認証サービスは、ユーザーがHeaderフィールドで与えられたIDを主張することを許可された場合、逆方向のダイアログでリクエストのIDヘッダーを提供します。
For further information on the problems of response identity and the potential solution spaces, see [15].
応答のアイデンティティの問題と潜在的なソリューションスペースの詳細については、[15]を参照してください。
This document introduces a new logical role for SIP entities called a server. When a verifier receives a SIP message containing an Identity header, it may inspect the signature to verify the identity of the sender of the message. Typically, the results of a verification are provided as input to an authorization process that is outside the scope of this document. If an Identity header is not present in a request, and one is required by local policy (for example, based on a per-sending-domain policy, or a per-sending-user policy), then a 428 'Use Identity Header' response MUST be sent.
このドキュメントでは、サーバーと呼ばれるSIPエンティティの新しい論理的役割を紹介します。VerifierがIDヘッダーを含むSIPメッセージを受信すると、メッセージの送信者のIDを確認するために署名を検査する場合があります。通常、検証の結果は、このドキュメントの範囲外の承認プロセスへの入力として提供されます。アイデンティティヘッダーがリクエストに存在しない場合、およびローカルポリシー(たとえば、所有ごとのドメインポリシー、または1人あたりのユーザーポリシーに基づいて)に必要な場合は、428 '「アイデンティティヘッダーを使用してください」応答を送信する必要があります。
In order to verify the identity of the sender of a message, an entity acting as a verifier MUST perform the following steps, in the order here specified.
メッセージの送信者の身元を確認するために、検証者として機能するエンティティは、ここで指定された順序で次の手順を実行する必要があります。
Step 1:
ステップ1:
The verifier MUST acquire the certificate for the signing domain. Implementations supporting this specification SHOULD have some means of retaining domain certificates (in accordance with normal practices for certificate lifetimes and revocation) in order to prevent themselves from needlessly downloading the same certificate every time a request from the same domain is received. Certificates cached in this manner should be indexed by the URI given in the Identity-Info header field value.
検証者は、署名ドメインの証明書を取得する必要があります。この仕様をサポートする実装には、同じドメインからのリクエストが受信されるたびに同じ証明書を不必要にダウンロードすることを防ぐために、ドメイン証明書を保持する手段(証明書の寿命と取り消しの通常のプラクティスに従って)が必要です。この方法でキャッシュされた証明書は、ID-INFOヘッダーフィールド値に与えられたURIによってインデックス付けされる必要があります。
Provided that the domain certificate used to sign this message is not previously known to the verifier, SIP entities SHOULD discover this certificate by dereferencing the Identity-Info header, unless they have some more efficient implementation-specific way of acquiring certificates for that domain. If the URI scheme in the Identity-Info header cannot be dereferenced, then a 436 'Bad Identity-Info' response MUST be returned. The verifier processes this certificate in the usual ways, including checking that it has not expired, that the chain is valid back to a trusted certification authority (CA), and that it does not appear on revocation lists. Once the certificate is acquired, it MUST be validated following the procedures in RFC 3280 [9]. If the certificate cannot be validated (it is self-signed and untrusted, or signed by an untrusted or unknown certificate authority, expired, or revoked), the verifier MUST send a 437 'Unsupported Certificate' response.
このメッセージに署名するために使用されるドメイン証明書が検証者に以前に知られていなかった場合、SIPエンティティは、そのドメインの証明書をより効率的に実装固有の方法を持たない限り、ID-INFOヘッダーを控除することによりこの証明書を発見する必要があります。ID-INFOヘッダーのURIスキームを参照することができない場合、436の「悪いID-INFO」応答を返す必要があります。Verifierは、この証明書を通常の方法で処理します。これには、有効期限が切れていないこと、チェーンが信頼できる認証機関(CA)に戻ること、および取消リストに表示されないことを確認します。証明書が取得されたら、RFC 3280 [9]の手順に従って検証する必要があります。証明書を検証できない場合(自己署名と信頼されていない、または信頼されていないまたは未知の証明書当局によって署名され、期限切れ、または取り消された場合、検証者は437の「サポートされていない証明書」回答を送信する必要があります。
Step 2:
ステップ2:
The verifier MUST follow the process described in Section 13.4 to determine if the signer is authoritative for the URI in the From header field.
検証者は、セクション13.4で説明されているプロセスに従って、署名者がFrom HeaderフィールドのURIに対して権威あるかどうかを判断する必要があります。
Step 3:
ステップ3:
The verifier MUST verify the signature in the Identity header field, following the procedures for generating the hashed digest-string described in Section 9. If a verifier determines that the signature on the message does not correspond to the reconstructed digest-string, then a 438 'Invalid Identity Header' response MUST be returned.
検証者は、セクション9で説明されているハッシュドイジェストストリングを生成する手順に従って、IDヘッダーフィールドの署名を検証する必要があります。検証者がメッセージの署名が再構築されたダイジェストストリングに対応していないと判断した場合、438「無効なアイデンティティヘッダー」応答を返す必要があります。
Step 4:
ステップ4:
The verifier MUST validate the Date, Contact, and Call-ID headers in the manner described in Section 13.1; recipients that wish to verify Identity signatures MUST support all of the operations described there. It must furthermore ensure that the value of the Date header falls within the validity period of the certificate whose corresponding private key was used to sign the Identity header.
検証者は、セクション13.1で説明されている方法で日付、連絡先、およびコールアイドヘッダーを検証する必要があります。IDの署名を確認したい受信者は、そこに記載されているすべての操作をサポートする必要があります。さらに、日付ヘッダーの値が、IDヘッダーに署名するために対応する秘密鍵を使用した証明書の有効期間内に収まるようにする必要があります。
This mechanism can be applied opportunistically to existing SIP deployments; accordingly, it requires no change to SIP user agent behavior in order for it to be effective. However, because this mechanism does not provide integrity protection between the UAC and the authentication service, a UAC SHOULD implement some means of providing this integrity. TLS would be one such mechanism, which is attractive because it MUST be supported by SIP proxy servers, but is potentially problematic because it is a hop-by-hop mechanism. See Section 13.3 for more information about securing the channel between the UAC and the authentication service.
このメカニズムは、既存のSIP展開に日和見的に適用できます。したがって、ユーザーエージェントの動作を効果的にするために、SIPユーザーエージェントの動作に変更を必要としません。ただし、このメカニズムはUACと認証サービスの間の完全性保護を提供しないため、UACはこの完全性を提供する何らかの手段を実装する必要があります。TLSはそのようなメカニズムの1つです。これは、SIPプロキシサーバーでサポートする必要があるため魅力的ですが、ホップバイホップメカニズムであるため、潜在的に問題があります。UACと認証サービスの間のチャネルの保護の詳細については、セクション13.3を参照してください。
When a UAC sends a request, it MUST accurately populate the From header field with a value corresponding to an identity that it believes it is authorized to claim. In a request, it MUST set the URI portion of its From header to match a SIP, SIPS, or TEL URI AoR that it is authorized to use in the domain (including anonymous URIs, as described in RFC 3323 [3]). In general, UACs SHOULD NOT use the TEL URI form in the From header field (see Section 11).
UACがリクエストを送信する場合、請求が許可されていると考えられるアイデンティティに対応する値で、From Headerフィールドに正確に入力する必要があります。リクエストでは、ドメインで使用することが許可されているSIP、SIP、またはTEL URI AOR(RFC 3323 [3]に記載されているように)に一致するように、ヘッダーのURI部分をヘッダーから設定する必要があります。一般に、UACはFrom HeaderフィールドでTel URIフォームを使用しないでください(セクション11を参照)。
Note that this document defines a number of new 4xx response codes. If user agents support these response codes, they will be able to respond intelligently to Identity-based error conditions.
このドキュメントは、多くの新しい4xx応答コードを定義していることに注意してください。ユーザーエージェントがこれらの応答コードをサポートする場合、アイデンティティベースのエラー条件にインテリジェントに応答することができます。
The UAC MUST also be capable of sending requests, including mid-call requests, through an 'outbound' proxy (the authentication service). The best way to accomplish this is using pre-loaded Route headers and loose routing. For a given domain, if an entity that can instantiate the authentication service role is not in the path of dialog-forming requests, identity for mid-dialog requests in the backwards direction cannot be provided.
また、UACは、「アウトバウンド」プロキシ(認証サービス)を介して、ミッドコールリクエストを含むリクエストを送信できる必要があります。これを達成する最良の方法は、事前にロードされたルートヘッダーとルーズルーティングを使用することです。特定のドメインの場合、認証サービスの役割をインスタンス化できるエンティティがダイアログ形成リクエストのパスにない場合、後方方向のミッドダイアログ要求のIDは提供できません。
As a recipient of a request, a user agent that can verify signed identities should also support an appropriate user interface to render the validity of identity to a user. User agent implementations SHOULD differentiate signed From header field values from unsigned From header field values when rendering to an end-user the identity of the sender of a request.
リクエストの受信者として、署名されたアイデンティティを確認できるユーザーエージェントは、適切なユーザーインターフェイスをサポートして、アイデンティティの有効性をユーザーにレンダリングする必要があります。ユーザーエージェントの実装では、エンドユーザーにリクエストの送信者のIDをレンダリングする際に、ヘッダーフィールド値から署名されていないヘッダーフィールド値から署名された署名を区別する必要があります。
Domain policy may require proxy servers to inspect and verify the identity provided in SIP requests. A proxy server may wish to ascertain the identity of the sender of the message to provide spam prevention or call control services. Even if a proxy server does not act as an authentication service, it MAY validate the Identity header before it makes a forwarding decision for a request. Proxy servers MUST NOT remove or modify an existing Identity or Identity-Info header in a request.
ドメインポリシーでは、SIPリクエストで提供されたIDを検査および検証するためにプロキシサーバーが必要になる場合があります。プロキシサーバーは、スパム予防またはコールコントロールサービスを提供するために、メッセージの送信者の身元を確認したい場合があります。プロキシサーバーが認証サービスとして機能しなくても、リクエストの転送決定を下す前にIDヘッダーを検証する場合があります。プロキシサーバーは、リクエストで既存のIDまたはID-INFOヘッダーを削除または変更してはなりません。
This document specifies two new SIP headers: Identity and Identity-Info. Each of these headers can appear only once in a SIP message. The grammar for these two headers is (following the ABNF [6] in RFC 3261 [1]):
このドキュメントは、2つの新しいSIPヘッダーを指定します:IDとIDINFO。これらのヘッダーはそれぞれ、SIPメッセージに1回だけ表示できます。これら2つのヘッダーの文法は(RFC 3261 [1]のABNF [6]に続いて)です。
Identity = "Identity" HCOLON signed-identity-digest signed-identity-digest = LDQUOT 32LHEX RDQUOT
ID = "IDINTION" hcolon signed-Identity-digest signed-identity-digest = ldquot 32lhex rdquot
Identity-Info = "Identity-Info" HCOLON ident-info *( SEMI ident-info-params ) ident-info = LAQUOT absoluteURI RAQUOT ident-info-params = ident-info-alg / ident-info-extension ident-info-alg = "alg" EQUAL token ident-info-extension = generic-param
Identity-info = "Identity-info" hcolon Ident-info *(semi Ident-info-params)識別= laquot absoluteuri raquot識別型識別型nfo-alg /識別info-ention識別info-alg = "alg"等しいトークン識別info-extension = generic-param
The signed-identity-digest is a signed hash of a canonical string generated from certain components of a SIP request. To create the contents of the signed-identity-digest, the following elements of a SIP message MUST be placed in a bit-exact string in the order specified here, separated by a vertical line, "|" or %x7C, character:
署名された同一性のディゲストは、SIP要求の特定のコンポーネントから生成された標準文字列の署名付きハッシュです。署名されたアイデンティティダイジェストの内容を作成するには、SIPメッセージの次の要素を、ここで指定された順序で少し標準文字列に配置する必要があり、垂直線「|」または%x7c、文字:
o The AoR of the UA sending the message, or addr-spec of the From header field (referred to occasionally here as the 'identity field').
o メッセージを送信するUAのAOR、またはFrom HeaderフィールドのAddr-Spec(ここでは「アイデンティティフィールド」と呼ばれることがあります)。
o The addr-spec component of the To header field, which is the AoR to which the request is being sent. o The callid from Call-Id header field. o The digit (1*DIGIT) and method (method) portions from CSeq header field, separated by a single space (ABNF SP, or %x20). Note that the CSeq header field allows linear whitespace (LWS) rather than SP to separate the digit and method portions, and thus the CSeq header field may need to be transformed in order to be canonicalized. The authentication service MUST strip leading zeros from the 'digit' portion of the Cseq before generating the digest-string. o The Date header field, with exactly one space each for each SP and the weekday and month items case set as shown in BNF in RFC 3261. RFC 3261 specifies that the BNF for weekday and month is a choice amongst a set of tokens. The RFC 2234 rules for the BNF specify that tokens are case sensitive. However, when used to construct the canonical string defined here, the first letter of each week and month MUST be capitalized, and the remaining two letters must be lowercase. This matches the capitalization provided in the definition of each token. All requests that use the Identity mechanism MUST contain a Date header. o The addr-spec component of the Contact header field value. If the request does not contain a Contact header, this field MUST be empty (i.e., there will be no whitespace between the fourth and fifth "|" characters in the canonical string). o The body content of the message with the bits exactly as they are in the Message (in the ABNF for SIP, the message-body). This includes all components of multipart message bodies. Note that the message-body does NOT include the CRLF separating the SIP headers from the message-body, but does include everything that follows that CRLF. If the message has no body, then message-body will be empty, and the final "|" will not be followed by any additional characters.
o リクエストが送信されているAORであるTo HeaderフィールドのADDR-SPECコンポーネント。o call-idヘッダーフィールドからのcallid。o単一のスペース(ABNF SP、または%x20)で区切られたCSEQヘッダーフィールドからの数字(1*桁)およびメソッド(メソッド)部分。CSEQヘッダーフィールドは、spではなく線形の白面(LWS)を可能にすることができるため、CSEQヘッダーフィールドを正体化するには変換する必要がある場合があることに注意してください。認証サービスは、ダイジェストストリングを生成する前に、CSEQの「数字」部分から先頭のゼロを剥がす必要があります。o日付ヘッダーフィールド、各SPに1つのスペースと、RFC 3261のBNFに示されている平日および月のアイテムケースが設定されています。RFC3261は、平日と月のBNFがトークンのセットの中で選択されることを指定します。BNFのRFC 2234ルールは、トークンがケースに敏感であることを指定しています。ただし、ここで定義されている標準文字列を構築するために使用する場合、毎週と月の最初の文字を大文字にする必要があり、残りの2文字は小文字でなければなりません。これは、各トークンの定義で提供される大文字と一致します。IDメカニズムを使用するすべての要求には、日付ヘッダーが含まれている必要があります。oコンタクトヘッダーフィールド値のADDR-SPECコンポーネント。リクエストにコンタクトヘッダーが含まれていない場合、このフィールドは空でなければなりません(つまり、標準文字列の4番目と5番目の "|"文字の間に白文学はありません)。oメッセージのボディコンテンツは、メッセージの中にあるものとまったく同じです(SIPのABNF、メッセージボディ)。これには、マルチパートメッセージ本文のすべてのコンポーネントが含まれます。メッセージボディには、SIPヘッダーをメッセージボディから分離するCRLFが含まれていないが、そのCRLFに続くすべてのものが含まれていることに注意してください。メッセージに本文がない場合、メッセージボディは空になり、最後の「|」が空になります。追加の文字が続きません。
For more information on the security properties of these headers, and why their inclusion mitigates replay attacks, see Section 13 and [5]. The precise formulation of this digest-string is, therefore (following the ABNF [6] in RFC 3261 [1]):
これらのヘッダーのセキュリティプロパティの詳細、およびそれらがリプレイ攻撃を緩和する理由については、セクション13および[5]を参照してください。したがって、このダイジェストストリングの正確な定式化は、したがって(RFC 3261 [1]のABNF [6]に従っています):
digest-string = addr-spec "|" addr-spec "|" callid "|" 1*DIGIT SP Method "|" SIP-date "|" [ addr-spec ] "|" message-body
digest-string = addr-spec "|"addr-spec "|"callid "|"1*桁SPメソッド "|"sip-date "|"[addr-spec] "|"メッセージ本文
Note again that the first addr-spec MUST be taken from the From header field value, the second addr-spec MUST be taken from the To header field value, and the third addr-spec MUST be taken from the Contact header field value, provided the Contact header is present in the request.
もう一度、最初のADDR-SPECはFrom Headerフィールド値から取得する必要があり、2番目のADDR-SPECはHeaderフィールド値から取得する必要があり、3番目のADDR-SPECは、提供されたコンタクトヘッダーフィールド値から取得する必要があります。連絡先ヘッダーはリクエストに存在します。
After the digest-string is formed, it MUST be hashed and signed with the certificate for the domain. The hashing and signing algorithm is specified by the 'alg' parameter of the Identity-Info header (see below for more information on Identity-Info header parameters). This document defines only one value for the 'alg' parameter: 'rsa-sha1'; further values MUST be defined in a Standards Track RFC, see Section 14.7 for more information. All implementations of this specification MUST support 'rsa-sha1'. When the 'rsa-sha1' algorithm is specified in the 'alg' parameter of Identity-Info, the hash and signature MUST be generated as follows: compute the results of signing this string with sha1WithRSAEncryption as described in RFC 3370 [7] and base64 encode the results as specified in RFC 3548 [8]. A 1024-bit or longer RSA key MUST be used. The result is placed in the Identity header field. For detailed examples of the usage of this algorithm, see Section 10.
ダイジェストストリングが形成された後、ドメインの証明書とともにハッシュして署名する必要があります。ハッシュおよび署名アルゴリズムは、ID-INFOヘッダーの「アルグ」パラメーターで指定されています(ID-INFOヘッダーパラメーターの詳細については、以下を参照してください)。このドキュメントは、「alg」パラメーターの1つの値のみを定義します。「rsa-sha1」。詳細については、さらに値を標準トラックRFCで定義する必要があります。詳細については、セクション14.7を参照してください。この仕様のすべての実装は、「RSA-Sha1」をサポートする必要があります。「RSA-Sha1」アルゴリズムがID-INFOの「アルグ」パラメーターで指定されている場合、ハッシュと署名を次のように生成する必要があります。RFC3370[7]およびbase64で説明されているように、この文字列に署名した結果をsha1withrsaencryptingで計算する必要があります。RFC 3548で指定されている結果をエンコードします[8]。1024ビット以下のRSAキーを使用する必要があります。結果は、アイデンティティヘッダーフィールドに配置されます。このアルゴリズムの使用法の詳細な例については、セクション10を参照してください。
The 'absoluteURI' portion of the Identity-Info header MUST contain a URI which dereferences to a resource containing the certificate of the authentication service. All implementations of this specification MUST support the use of HTTP and HTTPS URIs in the Identity-Info header. Such HTTP and HTTPS URIs MUST follow the conventions of RFC 2585 [10], and for those URIs the indicated resource MUST be of the form 'application/pkix-cert' described in that specification. Note that this introduces key lifecycle management concerns; were a domain to change the key available at the Identity-Info URI before a verifier evaluates a request signed by an authentication service, this would cause obvious verifier failures. When a rollover occurs, authentication services SHOULD thus provide new Identity-Info URIs for each new certificate, and SHOULD continue to make older key acquisition URIs available for a duration longer than the plausible lifetime of a SIP message (an hour would most likely suffice).
アイデンティティINFOヘッダーの「絶対」部分には、認証サービスの証明書を含むリソースへの命の宣告URIを含める必要があります。この仕様のすべての実装は、ID-INFOヘッダーでのHTTPおよびHTTPS URIの使用をサポートする必要があります。このようなHTTPおよびHTTPS URIは、RFC 2585 [10]の規則に従う必要があり、それらのURIの場合、示されたリソースはその仕様で説明されている「アプリケーション/PKIX-CERT」の形式でなければなりません。これが主要なライフサイクル管理の懸念をもたらすことに注意してください。認証サービスによって署名されたリクエストを検証者が評価する前に、ID-INFO URIで利用可能なキーを変更するドメインであれば、これは明らかな検証装置の障害を引き起こします。したがって、ロールオーバーが発生した場合、認証サービスは新しい証明書ごとに新しいINFO URIを提供する必要があり、SIPメッセージのもっともらしい寿命よりも長い間、古いキー取得URIを利用可能にし続ける必要があります(1時間で十分です)。
The Identity-Info header field MUST contain an 'alg' parameter. No other parameters are defined for the Identity-Info header in this document. Future Standards Track RFCs may define additional Identity-Info header parameters.
ID-INFOヘッダーフィールドには、「アルグ」パラメーターを含める必要があります。このドキュメントのID-INFOヘッダーに対して、他のパラメーターは定義されていません。将来の標準トラックRFCは、追加のINFO-INFOヘッダーパラメーターを定義する場合があります。
This document adds the following entries to Table 2 of RFC 3261 [1]:
このドキュメントでは、次のエントリをRFC 3261 [1]の表2に追加します。
Header field where proxy ACK BYE CAN INV OPT REG ------------ ----- ----- --- --- --- --- --- --- Identity R a o o - o o o
SUB NOT REF INF UPD PRA --- --- --- --- --- --- o o o o o o
Header field where proxy ACK BYE CAN INV OPT REG ------------ ----- ----- --- --- --- --- --- --- Identity-Info R a o o - o o o
SUB NOT REF INF UPD PRA --- --- --- --- --- --- o o o o o o
Note, in the table above, that this mechanism does not protect the CANCEL method. The CANCEL method cannot be challenged, because it is hop-by-hop, and accordingly authentication service behavior for CANCEL would be significantly limited. Note as well that the REGISTER method uses Contact header fields in very unusual ways that complicate its applicability to this mechanism, and the use of Identity with REGISTER is consequently a subject for future study, although it is left as optional here for forward-compatibility reasons. The Identity and Identity-Info header MUST NOT appear in CANCEL.
上の表では、このメカニズムはキャンセル方法を保護しないことに注意してください。キャンセルメソッドは挑戦することはできません。なぜなら、それはホップバイホップであるため、キャンセルの認証サービス動作は大幅に制限されるためです。レジスタメソッドは、このメカニズムへの適用性を複雑にする非常に珍しい方法でコンタクトヘッダーフィールドを使用し、レジスタでのアイデンティティの使用は将来の研究の対象となることに注意してください。。アイデンティティとアイデンティティINFOヘッダーは、キャンセルに表示されてはなりません。
The examples in this section illustrate the use of the Identity header in the context of a SIP transaction. Implementers are advised to verify their compliance with the specification against the following criteria:
このセクションの例は、SIPトランザクションのコンテキストでのIDヘッダーの使用を示しています。実装者は、次の基準に対する仕様へのコンプライアンスを確認することをお勧めします。
o Implementations of the authentication service role MUST generate identical base64 identity strings to the ones shown in the Identity headers in these examples when presented with the source message and utilizing the appropriate supplied private key for the domain in question. o Implementations of the verifier role MUST correctly validate the given messages containing the Identity header when utilizing the supplied certificates (with the caveat about self-signed certificates below).
o 認証サービスの役割の実装は、ソースメッセージに提示され、問題のドメインに適切な供給された秘密キーを利用した場合、これらの例のアイデンティティヘッダーに示されているものと同一のBase64 ID文字列を生成する必要があります。o Verifierロールの実装は、付属の証明書を使用するときにIDヘッダーを含む指定されたメッセージを正しく検証する必要があります(以下の自己署名証明書に関する注意事項があります)。
Note that the following examples use self-signed certificates, rather than certificates issued by a recognized certificate authority. The use of self-signed certificates for this mechanism is NOT RECOMMENDED, and it appears here only for illustrative purposes. Therefore, in compliance testing, implementations of verifiers SHOULD generate appropriate warnings about the use of self-signed certificates. Also, the example certificates in this section have placed their domain name subject in the subjectAltName field; in practice, certificate authorities may place domain names in other locations in the certificate (see Section 13.4 for more information).
次の例は、認定された証明書当局によって発行された証明書ではなく、自己署名証明書を使用していることに注意してください。このメカニズムのために自己署名証明書を使用することは推奨されず、説明のためにのみここに表示されます。したがって、コンプライアンステストでは、検証器の実装は、自己署名証明書の使用に関する適切な警告を生成する必要があります。また、このセクションの証明書の例は、件名フィールドにドメイン名の件名を配置しました。実際には、証明書当局は、証明書の他の場所にドメイン名を配置することができます(詳細については、セクション13.4を参照)。
Note that all examples in this section use the 'rsa-sha1' algorithm.
このセクションのすべての例は、「RSA-Sha1」アルゴリズムを使用していることに注意してください。
Bit-exact reference files for these messages and their various transformations are supplied in Appendix B.
これらのメッセージとそれらのさまざまな変換のためのBit-Exact参照ファイルは、付録Bに提供されています
Consider the following private key and certificate pair assigned to 'atlanta.example.com' (rendered in OpenSSL format).
「atlanta.example.com」に割り当てられた次の秘密鍵と証明書のペア(OpenSSL形式でレンダリング)を考えてください。
-----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDPPMBtHVoPkXV+Z6jq1LsgfTELVWpy2BVUffJMPH06LL0cJSQO aIeVzIojzWtpauB7IylZKlAjB5f429tRuoUiedCwMLKblWAqZt6eHWpCNZJ7lONc IEwnmh2nAccKk83Lp/VH3tgAS/43DQoX2sndnYh+g8522Pzwg7EGWspzzwIDAQAB AoGBAK0W3tnEFD7AjVQAnJNXDtx59Aa1Vu2JEXe6oi+OrkFysJjbZJwsLmKtrgtt PXOU8t2mZpi0wK4hX4tZhntiwGKkUPC3h9Bjp+GerifP341RMyMO+6fPgjqOzUDw +rPjjMpwD7AkcEcqDgbTrZnWv/QnCSaaF3xkUGfFkLx5OKcRAkEA7UxnsE8XaT30 tP/UUc51gNk2KGKgxQQTHopBcew9yfeCRFhvdL7jpaGatEi5iZwGGQQDVOVHUN1H 0YLpHQjRowJBAN+R2bvA/Nimq464ZgnelEDPqaEAZWaD3kOfhS9+vL7oqES+u5E0 J7kXb7ZkiSVUg9XU/8PxMKx/DAz0dUmOL+UCQH8C9ETUMI2uEbqHbBdVUGNk364C DFcndSxVh+34KqJdjiYSx6VPPv26X9m7S0OydTkSgs3/4ooPxo8HaMqXm80CQB+r xbB3UlpOohcBwFK9mTrlMB6Cs9ql66KgwnlL9ukEhHHYozGatdXeoBCyhUsogdSU 6/aSAFcvWEGtj7/vyJECQQCCS1lKgEXoNQPqONalvYhyyMZRXFLdD4gbwRPK1uXK Ypk3CkfFzOyfjeLcGPxXzq2qzuHzGTDxZ9PAepwX4RSk -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIC3TCCAkagAwIBAgIBADANBgkqhkiG9w0BAQUFADBZMQswCQYDVQQGEwJVUzEL MAkGA1UECAwCR0ExEDAOBgNVBAcMB0F0bGFudGExDTALBgNVBAoMBElFVEYxHDAa BgNVBAMME2F0bGFudGEuZXhhbXBsZS5jb20wHhcNMDUxMDI0MDYzNjA2WhcNMDYx MDI0MDYzNjA2WjBZMQswCQYDVQQGEwJVUzELMAkGA1UECAwCR0ExEDAOBgNVBAcM B0F0bGFudGExDTALBgNVBAoMBElFVEYxHDAaBgNVBAMME2F0bGFudGEuZXhhbXBs ZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAM88wG0dWg+RdX5nqOrU uyB9MQtVanLYFVR98kw8fTosvRwlJA5oh5XMiiPNa2lq4HsjKVkqUCMHl/jb21G6 hSJ50LAwspuVYCpm3p4dakI1knuU41wgTCeaHacBxwqTzcun9Ufe2ABL/jcNChfa yd2diH6DznbY/PCDsQZaynPPAgMBAAGjgbQwgbEwHQYDVR0OBBYEFNmU/MrbVYcE KDr/20WISrG1j1rNMIGBBgNVHSMEejB4gBTZlPzK21WHBCg6/9tFiEqxtY9azaFd pFswWTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkdBMRAwDgYDVQQHDAdBdGxhbnRh MQ0wCwYDVQQKDARJRVRGMRwwGgYDVQQDDBNhdGxhbnRhLmV4YW1wbGUuY29tggEA MAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQADgYEADdQYtswBDmTSTq0mt211 7alm/XGFrb2zdbU0vorxRdOZ04qMyrIpXG1LEmnEOgcocyrXRBvq5p6WbZAcEQk0 DsE3Ve0Nc8x9nmvljW7GsMGFCnCuo4ODTf/1lGdVr9DeCzcj10YUQ3MRemDMXhY2 CtDisLWl7SXOORcZAi1oU9w= -----END CERTIFICATE-----
A user of atlanta.example.com, Alice, wants to send an INVITE to bob@biloxi.example.org. She therefore creates the following INVITE request, which she forwards to the atlanta.example.org proxy server that instantiates the authentication service role:
Atlanta.example.comのユーザー、Aliceは、bob@biloxi.example.orgに招待を送りたいと考えています。したがって、彼女は次の招待リクエストを作成します。これは、認証サービスの役割をインスタンス化するAtlanta.example.orgプロキシサーバーに転送します。
INVITE sip:bob@biloxi.example.org SIP/2.0 Via: SIP/2.0/TLS pc33.atlanta.example.com;branch=z9hG4bKnashds8 To: Bob <sip:bob@biloxi.example.org> From: Alice <sip:alice@atlanta.example.com>;tag=1928301774 Call-ID: a84b4c76e66710 CSeq: 314159 INVITE Max-Forwards: 70 Date: Thu, 21 Feb 2002 13:02:03 GMT Contact: <sip:alice@pc33.atlanta.example.com> Content-Type: application/sdp Content-Length: 147
v=0 o=UserA 2890844526 2890844526 IN IP4 pc33.atlanta.example.com s=Session SDP c=IN IP4 pc33.atlanta.example.com t=0 0 m=audio 49172 RTP/AVP 0 a=rtpmap:0 PCMU/8000
V = 0 O = USERA 2890844526 2890844526 IN IP4 PC33.ATLANTA.example.com S =セッションSDP C = IN IP4 PC33.ATLANTA.EXAMPLE.COM T = 0 0 M = Audio 49172 RTP/AVP 0 A = RTPMAP:0 PCMUU/8000
When the authentication service receives the INVITE, it authenticates Alice by sending a 407 response. As a result, Alice adds an Authorization header to her request, and resends to the atlanta.example.com authentication service. Now that the service is sure of Alice's identity, it calculates an Identity header for the request. The canonical string over which the identity signature will be generated is the following (note that the first line wraps because of RFC editorial conventions):
認証サービスが招待状を受信すると、407の応答を送信することでアリスを認証します。その結果、アリスは承認ヘッダーを彼女の要求に追加し、atlanta.example.com認証サービスに再送信します。サービスがアリスの身元を確信しているので、リクエストのアイデンティティヘッダーを計算します。ID署名が生成される標準文字列は、次のものです(RFC編集規則のために最初の行がラップされることに注意してください):
sip:alice@atlanta.example.com|sip:bob@biloxi.example.org| a84b4c76e66710|314159 INVITE|Thu, 21 Feb 2002 13:02:03 GMT| sip:alice@pc33.atlanta.example.com|v=0 o=UserA 2890844526 2890844526 IN IP4 pc33.atlanta.example.com s=Session SDP c=IN IP4 pc33.atlanta.example.com t=0 0 m=audio 49172 RTP/AVP 0 a=rtpmap:0 PCMU/8000
The resulting signature (sha1WithRsaEncryption) using the private RSA key given above, with base64 encoding, is the following:
上記のプライベートRSAキーを使用して、ベース64エンコードを使用して、結果の署名(sha1withrsaencryption)は次のとおりです。
ZYNBbHC00VMZr2kZt6VmCvPonWJMGvQTBDqghoWeLxJfzB2a1pxAr3VgrB0SsSAa ifsRdiOPoQZYOy2wrVghuhcsMbHWUSFxI6p6q5TOQXHMmz6uEo3svJsSH49thyGn FVcnyaZ++yRlBYYQTLqWzJ+KVhPKbfU/pryhVn9Yc6U=
Zynbbhc00vmzr2kzt6vmcvponwjmgvqtbdqghowelxjfzb2a1pxar3vgrb0ssaa ifsrdiopoqzyoy2wrvghuhcsmbhwusfxi6p6q5to j kvhpkbfu/pryhvn9yc6u =
Accordingly, the atlanta.example.com authentication service will create an Identity header containing that base64 signature string (175 bytes). It will also add an HTTPS URL where its certificate is made available. With those two headers added, the message looks like the following:
したがって、atlanta.example.com認証サービスは、そのbase64署名文字列(175バイト)を含むIDヘッダーを作成します。また、証明書が利用可能になるHTTPS URLも追加します。これらの2つのヘッダーが追加された状態で、メッセージは次のようになります。
INVITE sip:bob@biloxi.example.org SIP/2.0 Via: SIP/2.0/TLS pc33.atlanta.example.com;branch=z9hG4bKnashds8 To: Bob <sip:bob@biloxi.example.org> From: Alice <sip:alice@atlanta.example.com>;tag=1928301774 Call-ID: a84b4c76e66710 CSeq: 314159 INVITE Max-Forwards: 70 Date: Thu, 21 Feb 2002 13:02:03 GMT Contact: <sip:alice@pc33.atlanta.example.com> Identity: "ZYNBbHC00VMZr2kZt6VmCvPonWJMGvQTBDqghoWeLxJfzB2a1pxAr3VgrB0SsSAa ifsRdiOPoQZYOy2wrVghuhcsMbHWUSFxI6p6q5TOQXHMmz6uEo3svJsSH49thyGn FVcnyaZ++yRlBYYQTLqWzJ+KVhPKbfU/pryhVn9Yc6U=" Identity-Info: <https://atlanta.example.com/atlanta.cer>;alg=rsa-sha1 Content-Type: application/sdp Content-Length: 147
v=0 o=UserA 2890844526 2890844526 IN IP4 pc33.atlanta.example.com s=Session SDP c=IN IP4 pc33.atlanta.example.com t=0 0 m=audio 49172 RTP/AVP 0 a=rtpmap:0 PCMU/8000
V = 0 O = USERA 2890844526 2890844526 IN IP4 PC33.ATLANTA.example.com S =セッションSDP C = IN IP4 PC33.ATLANTA.EXAMPLE.COM T = 0 0 M = Audio 49172 RTP/AVP 0 A = RTPMAP:0 PCMUU/8000
atlanta.example.com then forwards the request normally. When Bob receives the request, if he does not already know the certificate of atlanta.example.com, he dereferences the URL in the Identity-Info header to acquire the certificate. Bob then generates the same canonical string given above, from the same headers of the SIP request. Using this canonical string, the signed digest in the Identity header, and the certificate discovered by dereferencing the Identity-Info header, Bob can verify that the given set of headers and the message body have not been modified.
Atlanta.example.comは、リクエストを正常に転送します。ボブがリクエストを受け取ったとき、彼がAtlanta.example.comの証明書をまだ知らない場合、彼は証明書を取得するためにID-INFOヘッダーのURLを避難させます。ボブは、SIPリクエストの同じヘッダーから上記の同じ標準文字列を生成します。この標準文字列を使用して、IDヘッダーに署名されたダイジェスト、およびID-INFOヘッダーの控除によって発見された証明書を使用して、ボブは、特定のヘッダーとメッセージ本文が変更されていないことを確認できます。
Consider the following private key and certificate pair assigned to "biloxi.example.org".
「biloxi.example.org」に割り当てられた次の秘密鍵と証明書のペアを考えてください。
-----BEGIN RSA PRIVATE KEY----- MIICXgIBAAKBgQC/obBYLRMPjskrAqWOiGPAUxI3/m2ti7ix4caqCTAuFX5cLegQ 7nmquLOHfIhxVIqT2f06UA0lOo2NVofK9G7MTkVbVNiyAlLYUDEj7XWLDICf3ZHL 6Fr/+CF7wrQ9r4kv7XiJKxodVCCd/DhCT9Gp+VDoe8HymqOW/KsneriyIwIDAQAB AoGBAJ7fsFIKXKkjWgj8ksGOthS3Sn19xPSCyEdBxfEm2Pj7/Nzzeli/PcOaic0k JALBcnqN2fHEeIGK/9xUBxTufgQYVJqvyHERs6rXX/iT4Ynm9t1905EiQ9ZpHsrI /AMMUYA1QrGgAIHvZLVLzq+9KLDEZ+HQbuCLJXF+6bl0Eb5BAkEA636oMANp0Qa3 mYWEQ2utmGsYxkXSfyBb18TCOwCty0ndBR24zyOJF2NbZS98Lz+Ga25hfIGw/JHK nD9bOE88UwJBANBRSpd4bmS+m48R/13tRESAtHqydNinX0kS/RhwHr7mkHTU3k/M FxQtx34I3GKzaZxMn0A66KS9v/SHdnF+ePECQQCGe7QshyZ8uitLPtZDclCWhEKH qAQHmUEZvUF2VHLrbukLLOgHUrHNa24cILv4d3yaCVUetymNcuyTwhKj24wFAkAO z/jx1EplN3hwL+NsllZoWI58uvu7/Aq2c3czqaVGBbb317sHCYgKk0bAG3kwO3mi 93/LXWT1cdiYVpmBcHDBAkEAmpgkFj+xZu5gWASY5ujv+FCMP0WwaH5hTnXu+tKe PJ3d2IJZKxGnl6itKRN7GeRh9PSK0kZSqGFeVrvsJ4Nopg== -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIIC1jCCAj+gAwIBAgIBADANBgkqhkiG9w0BAQUFADBXMQswCQYDVQQGEwJVUzEL MAkGA1UECAwCTVMxDzANBgNVBAcMBkJpbG94aTENMAsGA1UECgwESUVURjEbMBkG A1UEAwwSYmlsb3hpLmV4YW1wbGUuY29tMB4XDTA1MTAyNDA2NDAyNloXDTA2MTAy NDA2NDAyNlowVzELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1TMQ8wDQYDVQQHDAZC aWxveGkxDTALBgNVBAoMBElFVEYxGzAZBgNVBAMMEmJpbG94aS5leGFtcGxlLmNv bTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAv6GwWC0TD47JKwKljohjwFMS N/5trYu4seHGqgkwLhV+XC3oEO55qrizh3yIcVSKk9n9OlANJTqNjVaHyvRuzE5F W1TYsgJS2FAxI+11iwyAn92Ry+ha//ghe8K0Pa+JL+14iSsaHVQgnfw4Qk/RqflQ 6HvB8pqjlvyrJ3q4siMCAwEAAaOBsTCBrjAdBgNVHQ4EFgQU0Z+RL47W/APDtc5B fSoQXuEFE/wwfwYDVR0jBHgwdoAU0Z+RL47W/APDtc5BfSoQXuEFE/yhW6RZMFcx CzAJBgNVBAYTAlVTMQswCQYDVQQIDAJNUzEPMA0GA1UEBwwGQmlsb3hpMQ0wCwYD VQQKDARJRVRGMRswGQYDVQQDDBJiaWxveGkuZXhhbXBsZS5jb22CAQAwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQUFAAOBgQBiyKHIt8TXfGNfpnJXi5jCizOxmY8Y gln8tyPFaeyq95TGcvTCWzdoBLVpBD+fpRWrX/II5sE6VHbbAPjjVmKbZwzQAtpp P2Fauj28t94ZeDHN2vqzjfnHjCO24kG3Juf2T80ilp9YHcDwxjUFrt86UnlC+yid yaTeusW5Gu7v1g== -----END CERTIFICATE-----
Bob (bob@biloxi.example.org) now wants to send a BYE request to Alice at the end of the dialog initiated in the previous example. He therefore creates the following BYE request, which he forwards to the 'biloxi.example.org' proxy server that instantiates the authentication service role: BYE sip:alice@pc33.atlanta.example.com SIP/2.0 Via: SIP/2.0/TLS 192.0.2.4;branch=z9hG4bKnashds10 Max-Forwards: 70 From: Bob <sip:bob@biloxi.example.org>;tag=a6c85cf To: Alice <sip:alice@atlanta.example.com>;tag=1928301774 Call-ID: a84b4c76e66710 CSeq: 231 BYE Content-Length: 0
When the authentication service receives the BYE, it authenticates Bob by sending a 407 response. As a result, Bob adds an Authorization header to his request, and resends to the biloxi.example.org authentication service. Now that the service is sure of Bob's identity, it prepares to calculate an Identity header for the request. Note that this request does not have a Date header field. Accordingly, the biloxi.example.org will add a Date header to the request before calculating the identity signature. If the Content-Length header were not present, the authentication service would add it as well. The baseline message is thus:
認証サービスがByeを受信すると、407の応答を送信することでBobを認証します。その結果、ボブは彼の要求に承認ヘッダーを追加し、biloxi.example.org認証サービスに再送信します。サービスがボブのアイデンティティを確信しているので、リクエストのアイデンティティヘッダーを計算する準備をします。このリクエストには日付ヘッダーフィールドがないことに注意してください。したがって、biloxi.example.orgは、ID署名を計算する前に、リクエストに日付ヘッダーを追加します。コンテンツレングスヘッダーが存在しない場合、認証サービスも追加されます。したがって、ベースラインメッセージは次のとおりです。
BYE sip:alice@pc33.atlanta.example.com SIP/2.0 Via: SIP/2.0/TLS 192.0.2.4;branch=z9hG4bKnashds10 Max-Forwards: 70 From: Bob <sip:bob@biloxi.example.org>;tag=a6c85cf To: Alice <sip:alice@atlanta.example.com>;tag=1928301774 Date: Thu, 21 Feb 2002 14:19:51 GMT Call-ID: a84b4c76e66710 CSeq: 231 BYE Content-Length: 0
Also note that this request contains no Contact header field. Accordingly, biloxi.example.org will place no value in the canonical string for the addr-spec of the Contact address. Also note that there is no message body, and accordingly, the signature string will terminate, in this case, with two vertical bars. The canonical string over which the identity signature will be generated is the following (note that the first line wraps because of RFC editorial conventions):
また、このリクエストにはコンタクトヘッダーフィールドが含まれていないことに注意してください。したがって、Biloxi.example.orgは、連絡先アドレスのADDRスペックに対して標準文字列に値を配置しません。また、メッセージ本文がないことに注意してください。したがって、この場合、2つの垂直バーで署名文字列が終了することに注意してください。ID署名が生成される標準文字列は、次のものです(RFC編集規則のために最初の行がラップされることに注意してください):
sip:bob@biloxi.example.org|sip:alice@atlanta.example.com| a84b4c76e66710|231 BYE|Thu, 21 Feb 2002 14:19:51 GMT||
The resulting signature (sha1WithRsaEncryption) using the private RSA key given above for biloxi.example.org, with base64 encoding, is the following: sv5CTo05KqpSmtHt3dcEiO/1CWTSZtnG3iV+1nmurLXV/HmtyNS7Ltrg9dlxkWzo eU7d7OV8HweTTDobV3itTmgPwCFjaEmMyEI3d7SyN21yNDo2ER/Ovgtw0Lu5csIp pPqOg1uXndzHbG7mR6Rl9BnUhHufVRbp51Mn3w0gfUs=
Base64エンコードを使用して、上記のbiloxi.example.orgに上記のプライベートRSAキーを使用した結果の署名(sha1withrsaencryption)は次のとおりです。 wcfjaemmyei3d7syn21yndo2er/ovgtw0lu5csip ppqog1uxndzhbg7mr6rll9bnuhhufvrbp51mn3w0gfus =
Accordingly, the biloxi.example.org authentication service will create an Identity header containing that base64 signature string. It will also add an HTTPS URL where its certificate is made available. With those two headers added, the message looks like the following:
したがって、biloxi.example.org認証サービスは、そのbase64署名文字列を含むアイデンティティヘッダーを作成します。また、証明書が利用可能になるHTTPS URLも追加します。これらの2つのヘッダーが追加された状態で、メッセージは次のようになります。
BYE sip:alice@pc33.atlanta.example.com SIP/2.0 Via: SIP/2.0/TLS 192.0.2.4;branch=z9hG4bKnashds10 Max-Forwards: 70 From: Bob <sip:bob@biloxi.example.org>;tag=a6c85cf To: Alice <sip:alice@atlanta.example.com>;tag=1928301774 Date: Thu, 21 Feb 2002 14:19:51 GMT Call-ID: a84b4c76e66710 CSeq: 231 BYE Identity: "sv5CTo05KqpSmtHt3dcEiO/1CWTSZtnG3iV+1nmurLXV/HmtyNS7Ltrg9dlxkWzo eU7d7OV8HweTTDobV3itTmgPwCFjaEmMyEI3d7SyN21yNDo2ER/Ovgtw0Lu5csIp pPqOg1uXndzHbG7mR6Rl9BnUhHufVRbp51Mn3w0gfUs=" Identity-Info: <https://biloxi.example.org/biloxi.cer>;alg=rsa-sha1 Content-Length: 0
biloxi.example.org then forwards the request normally.
Biloxi.example.orgは、リクエストを正常に転送します。
Since many SIP applications provide a Voice over IP (VoIP) service, telephone numbers are commonly used as identities in SIP deployments. In the majority of cases, this is not problematic for the identity mechanism described in this document. Telephone numbers commonly appear in the username portion of a SIP URI (e.g., 'sip:+17005551008@chicago.example.com;user=phone'). That username conforms to the syntax of the TEL URI scheme (RFC 3966 [13]). For this sort of SIP address-of-record, chicago.example.com is the appropriate signatory.
多くのSIPアプリケーションはVoice Over IP(VoIP)サービスを提供するため、電話番号は一般にSIP展開のIDとして使用されます。ほとんどの場合、これはこのドキュメントで説明されているIDメカニズムにとって問題ではありません。電話番号は通常、SIP URIのユーザー名部分に表示されます(例: 'SIP:17005551008@chicago.example.com; user =電話')。そのユーザー名は、Tel URIスキームの構文に適合します(RFC 3966 [13])。この種のSIPアドレスオブレコードの場合、Chicago.example.comは適切な署名者です。
It is also possible for a TEL URI to appear in the SIP To or From header field outside the context of a SIP or SIPS URI (e.g., 'tel:+17005551008'). In this case, it is much less clear which signatory is appropriate for the identity. Fortunately for the identity mechanism, this form of the TEL URI is more common for the To header field and Request-URI in SIP than in the From header field, since the UAC has no option but to provide a TEL URI alone when the remote domain to which a request is sent is unknown. The local domain, however, is usually known by the UAC, and accordingly it can form a proper From header field containing a SIP URI with a username in TEL URI form. Implementations that intend to send their requests through an authentication service SHOULD put telephone numbers in the From header field into SIP or SIPS URIs whenever possible.
また、SIPまたはSIPS URIのコンテキストの外側のヘッダーフィールドとの間のSIP(たとえば、「Tel:17005551008」)の外側のヘッダーフィールドにSIPに表示される可能性があります。この場合、どの署名者がアイデンティティに適しているかはあまり明確ではありません。アイデンティティメカニズムにとって幸いなことに、この形式のテルウリは、ヘッダーフィールドよりもSIPのヘッダーフィールドとリクエスト-URIの方が一般的です。これは、UACにはリモートドメインだけがテルURIを提供する以外にオプションがないため、リクエストが送信されることは不明です。ただし、ローカルドメインは通常UACで知られているため、テルURI形式のユーザー名を持つSIP URIを含むヘッダーフィールドから適切な形成を形成できます。認証サービスを通じてリクエストを送信する予定の実装では、可能な限りヘッダーフィールドに電話番号をSIPまたはSIP URIに入れる必要があります。
If the local domain is unknown to a UAC formulating a request, it most likely will not be able to locate an authentication service for its request, and therefore the question of providing identity in these cases is somewhat moot. However, an authentication service MAY sign a request containing a TEL URI in the From header field. This is permitted in this specification strictly for forward compatibility purposes. In the longer-term, it is possible that ENUM [14] may provide a way to determine which administrative domain is responsible for a telephone number, and this may aid in the signing and verification of SIP identities that contain telephone numbers. This is a subject for future work.
ローカルドメインがリクエストを策定するUACに不明な場合、そのリクエストのために認証サービスを見つけることができない可能性が高いため、これらの場合にIDを提供するという問題はやや重要です。ただし、認証サービスは、From HeaderフィールドにTel URIを含むリクエストに署名する場合があります。これは、この仕様では、順方向の互換性の目的で厳密に許可されています。長期的には、Enum [14]は、どの管理ドメインが電話番号に責任があるかを決定する方法を提供する可能性があり、これは電話番号を含むSIP IDの署名と検証に役立つ可能性があります。これは将来の仕事の主題です。
The identity mechanism presented in this document is compatible with the standard SIP practices for privacy described in RFC 3323 [3]. A SIP proxy server can act both as a privacy service and as an authentication service. Since a user agent can provide any From header field value that the authentication service is willing to authorize, there is no reason why private SIP URIs that contain legitimate domains (e.g., sip:anonymous@example.com) cannot be signed by an authentication service. The construction of the Identity header is the same for private URIs as it is for any other sort of URIs.
このドキュメントに示されているアイデンティティメカニズムは、RFC 3323 [3]で説明されているプライバシーに関する標準的なSIPプラクティスと互換性があります。SIPプロキシサーバーは、プライバシーサービスとしても認証サービスとしても機能します。ユーザーエージェントは、認証サービスが承認する意思があるヘッダーフィールド値から提供できるため、正当なドメインを含むプライベートSIP URI(例:sip:anonymous@example.com)に認証サービスで署名できない理由はありません。。アイデンティティヘッダーの構築は、他の種類のURIと同じように、プライベートURIで同じです。
Note, however, that an authentication service must possess a certificate corresponding to the host portion of the addr-spec of the From header field of any request that it signs; accordingly, using domains like 'anonymous.invalid' will not be possible for privacy services that also act as authentication services. The assurance offered by the usage of anonymous URIs with a valid domain portion is "this is a known user in my domain that I have authenticated, but I am keeping its identity private". The use of the domain 'anonymous.invalid' entails that no corresponding authority for the domain can exist, and as a consequence, authentication service functions are meaningless.
ただし、認証サービスは、署名するリクエストのヘッダーフィールドのADDRスペックのホスト部分に対応する証明書を所有している必要があることに注意してください。したがって、認証サービスとしても機能するプライバシーサービスには、「anonymous.invalid」などのドメインを使用することはできません。有効なドメイン部分を持つ匿名のURIの使用によって提供される保証は、「これは私が認証した私のドメインで既知のユーザーですが、私はそのアイデンティティを非公開にしています」です。ドメインの「anonymous.invalid」の使用には、ドメインに対応する権限が存在できないことを伴い、その結果、認証サービス機能は無意味です。
The "header" level of privacy described in RFC 3323 requests that a privacy service alter the Contact header field value of a SIP message. Since the Contact header field is protected by the signature in an Identity header, privacy services cannot be applied after authentication services without a resulting integrity violation.
RFC 3323で説明されている「ヘッダー」レベルのプライバシーは、プライバシーサービスがSIPメッセージのコンタクトヘッダーフィールド値を変更することを要求します。コンタクトヘッダーフィールドはIDヘッダーの署名によって保護されているため、結果として得られる整合性違反なしに、認証サービスの後にプライバシーサービスを適用することはできません。
RFC 3325 [12] defines the "id" priv-value token, which is specific to the P-Asserted-Identity header. The sort of assertion provided by the P-Asserted-Identity header is very different from the Identity header presented in this document. It contains additional information about the sender of a message that may go beyond what appears in the From header field; P-Asserted-Identity holds a definitive identity for the sender that is somehow known to a closed network of intermediaries that presumably the network will use this identity for billing or security purposes. The danger of this network-specific information leaking outside of the closed network motivated the "id" priv-value token. The "id" priv-value token has no implications for the Identity header, and privacy services MUST NOT remove the Identity header when a priv-value of "id" appears in a Privacy header.
RFC 3325 [12]は、P asserted-Identityヘッダーに固有の「id」priv-valueトークンを定義します。P-Asserted-Identityヘッダーによって提供されるようなアサーションは、このドキュメントに示されているIDヘッダーとは大きく異なります。From Headerフィールドに表示されるものを超える可能性のあるメッセージの送信者に関する追加情報が含まれています。P-Asserted-Identityは、おそらくネットワークが請求またはセキュリティの目的でこのIDを使用すると思われる仲介者の閉鎖ネットワークに何らかの形で知られている送信者の決定的なアイデンティティを保持します。閉じたネットワークの外で漏れているこのネットワーク固有の情報の危険性は、「ID」Priv-Valueトークンを動機付けました。「ID」PRIV-Value TokenはIDヘッダーに影響を与えず、プライバシーサービスがプライバシーヘッダーに「ID」のPRIV値が表示された場合、プライバシーサービスを削除してはなりません。
Finally, note that unlike RFC 3325, the mechanism described in this specification adds no information to SIP requests that has privacy implications.
最後に、RFC 3325とは異なり、この仕様で説明されているメカニズムは、プライバシーの影響を持つSIP要求に情報を追加しないことに注意してください。
This document describes a mechanism that provides a signature over the Contact, Date, Call-ID, CSeq, To, and From header fields of SIP requests. While a signature over the From header field would be sufficient to secure a URI alone, the additional headers provide replay protection and reference integrity necessary to make sure that the Identity header will not be used in cut-and-paste attacks. In general, the considerations related to the security of these headers are the same as those given in RFC 3261 for including headers in tunneled 'message/sip' MIME bodies (see Section 23 in particular). The following section details the individual security properties obtained by including each of these header fields within the signature; collectively, this set of header fields provides the necessary properties to prevent impersonation.
このドキュメントは、SIPリクエストのヘッダーフィールドから、連絡先、日付、コールアイド、CSEQ、およびヘッダーフィールドから署名を提供するメカニズムについて説明します。From Headerフィールドの署名はURIのみを確保するのに十分ですが、追加のヘッダーは、アイデンティティヘッダーがカットアンドパスティ攻撃で使用されないことを確認するために必要なリプレイ保護と参照の完全性を提供します。一般に、これらのヘッダーのセキュリティに関連する考慮事項は、Tunneled 'message/sip' mime体にヘッダーを含めるためにRFC 3261で与えられたものと同じです(特にセクション23を参照)。次のセクションでは、これらのヘッダーフィールドのそれぞれを署名内に含めることにより、取得した個々のセキュリティプロパティを詳しく説明します。まとめて、このヘッダーフィールドのセットは、なりすましを防ぐために必要な特性を提供します。
The From header field indicates the identity of the sender of the message, and the SIP address-of-record URI in the From header field is the identity of a SIP user, for the purposes of this document. The To header field provides the identity of the SIP user that this request targets. Providing the To header field in the Identity signature serves two purposes: first, it prevents cut-and-paste attacks in which an Identity header from legitimate request for one user is cut-and-pasted into a request for a different user; second, it preserves the starting URI scheme of the request, which helps prevent downgrade attacks against the use of SIPS.
From Headerフィールドは、メッセージの送信者の身元を示し、HeaderフィールドのSIPアドレスURIは、このドキュメントの目的のためにSIPユーザーのIDです。To Headerフィールドは、このリクエストがターゲットとするSIPユーザーのIDを提供します。IDの署名でヘッダーへのフィールドを提供することは、2つの目的を果たします。1つ目は、1人のユーザーの正当な要求からのIDヘッダーが別のユーザーのリクエストにカットアンドペストされるカットアンドペースト攻撃を防ぎます。第二に、リクエストの開始URIスキームを保持します。これにより、SIPの使用に対する攻撃のダウングレードを防ぐのに役立ちます。
The Date and Contact headers provide reference integrity and replay protection, as described in RFC 3261, Section 23.4.2. Implementations of this specification MUST NOT deem valid a request with an outdated Date header field (the RECOMMENDED interval is that the Date header must indicate a time within 3600 seconds of the receipt of a message). Implementations MUST also record Call-IDs received in valid requests containing an Identity header, and MUST remember those Call-IDs for at least the duration of a single Date interval (i.e., commonly 3600 seconds). Because a SIP-compliant UA never generates the same Call-ID twice, verifiers can use the Call-ID to recognize cut-and-paste attacks; the Call-ID serves as a nonce. The result of this is that if an Identity header is replayed within the Date interval, verifiers will recognize that it is invalid because of a Call-ID duplication; if an Identity header is replayed after the Date interval, verifiers will recognize that it is invalid because the Date is stale. The CSeq header field contains a numbered identifier for the transaction, and the name of the method of the request; without this information, an INVITE request could be cut-and-pasted by an attacker and transformed into a BYE request without changing any fields covered by the Identity header, and moreover requests within a certain transaction could be replayed in potentially confusing or malicious ways.
RFC 3261、セクション23.4.2に記載されているように、日付と連絡先ヘッダーは参照の完全性とリプレイ保護を提供します。この仕様の実装は、時代遅れの日付ヘッダーフィールドで有効なリクエストと見なされてはなりません(推奨されるインターバルは、日付ヘッダーがメッセージの受信から3600秒以内に時間を示す必要があることです)。また、実装は、IDヘッダーを含む有効なリクエストで受信したCall-IDを記録する必要があり、少なくとも単一の日付間隔(つまり、一般的に3600秒)の期間中、それらのCall-IDを覚えておく必要があります。SIPに準拠したUAが同じCall-IDを2回生成することはないため、検証者はCall-IDを使用してカットアンドパスティ攻撃を認識できます。Call-IDはNONCEとして機能します。この結果、日付間隔内でアイデンティティヘッダーが再生された場合、検証剤は、コールIDの複製のために無効であることを認識します。日付間隔の後にアイデンティティヘッダーが再生される場合、Verifiersは、日付が古くなっているために無効であることを認識します。CSEQヘッダーフィールドには、トランザクションの番号付き識別子と、リクエストの方法の名前が含まれています。この情報がなければ、招待者は攻撃者によってカットアンドペストされ、アイデンティティヘッダーでカバーされているフィールドを変更せずにByeリクエストに変換することができます。さらに、特定のトランザクション内のリクエストは、潜在的に混乱または悪意のある方法で再生できます。
The Contact header field is included to tie the Identity header to a particular user agent instance that generated the request. Were an active attacker to intercept a request containing an Identity header, and cut-and-paste the Identity header field into its own request (reusing the From, To, Contact, Date, and Call-ID fields that appear in the original message), the attacker would not be eligible to receive SIP requests from the called user agent, since those requests are routed to the URI identified in the Contact header field. However, the Contact header is only included in dialog-forming requests, so it does not provide this protection in all cases.
連絡先ヘッダーフィールドが含まれており、アイデンティティヘッダーをリクエストを生成した特定のユーザーエージェントインスタンスに結び付けます。アイデンティティヘッダーを含むリクエストを傍受し、アイデンティティヘッダーフィールドを独自の要求にカットアンドペーストするアクティブな攻撃者でした(元のメッセージに表示されるfrom、contact、date、and call-idフィールドを再利用する)、攻撃者は、これらのリクエストがコンタクトヘッダーフィールドで識別されたURIにルーティングされるため、呼び出したユーザーエージェントからSIPリクエストを受信する資格がありません。ただし、コンタクトヘッダーはダイアログ形成リクエストにのみ含まれているため、すべての場合にこの保護を提供しません。
It might seem attractive to provide a signature over some of the information present in the Via header field value(s). For example, without a signature over the sent-by field of the topmost Via header, an attacker could remove that Via header and insert its own in a cut-and-paste attack, which would cause all responses to the request to be routed to a host of the attacker's choosing. However, a signature over the topmost Via header does not prevent attacks of this nature, since the attacker could leave the topmost Via intact and merely insert a new Via header field directly after it, which would cause responses to be routed to the attacker's host "on their way" to the valid host, which has exactly the same end result. Although it is possible that an intermediary-based authentication service could guarantee that no Via hops are inserted between the sending user agent and the authentication service, it could not prevent an attacker from adding a Via hop after the authentication service, and thereby preempting responses. It is necessary for the proper operation of SIP for subsequent intermediaries to be capable of inserting such Via header fields, and thus it cannot be prevented. As such, though it is desirable, securing Via is not possible through the sort of identity mechanism described in this document; the best known practice for securing Via is the use of SIPS.
Via Headerフィールド値に存在する情報の一部に対して署名を提供することは魅力的に見えるかもしれません。たとえば、ヘッダーを介して最上部のセントバイフィールドに署名がなければ、攻撃者はヘッダー経由でそれを削除し、カットアンドペースト攻撃に独自の挿入を行うことができます。攻撃者の選択のホスト。ただし、攻撃者はその自然の攻撃を防ぐことはできません。攻撃者は無傷で最上部を離れ、その直後に新しいバイアーヘッダーフィールドを挿入するだけで、攻撃者のホストに応答を挿入するだけではありません。「途中で」「有効なホストへ」中間ベースの認証サービスは、送信ユーザーエージェントと認証サービスの間にホップ経由のNOが挿入されていることを保証できる可能性がありますが、攻撃者が認証サービスの後にVIAホップを追加し、それにより応答を先取りすることを妨げることができませんでした。後続の仲介者がヘッダーフィールドを介してそのような挿入を可能にするためにSIPを適切に操作する必要があるため、防止できません。そのため、それは望ましいものですが、このドキュメントに記載されている種類のアイデンティティメカニズムを介して保護することは不可能です。経由で確保するための最もよく知られている慣行は、SIPの使用です。
This mechanism also provides a signature over the bodies of SIP requests. The most important reason for doing so is to protect Session Description Protocol (SDP) bodies carried in SIP requests. There is little purpose in establishing the identity of the user that originated a SIP request if this assurance is not coupled with a comparable assurance over the media descriptors. Note, however, that this is not perfect end-to-end security. The authentication service itself, when instantiated at a intermediary, could conceivably change the SDP (and SIP headers, for that matter) before providing a signature. Thus, while this mechanism reduces the chance that a replayer or man-in-the-middle will modify SDP, it does not eliminate it entirely. Since it is a foundational assumption of this mechanism that the users trust their local domain to vouch for their security, they must also trust the service not to violate the integrity of their message without good reason. Note that RFC 3261, Section 16.6, states that SIP proxy servers "MUST NOT add to, modify, or remove the message body."
このメカニズムは、SIPリクエストの本文に対する署名も提供します。そうする最も重要な理由は、SIPリクエストで運ばれるセッション説明プロトコル(SDP)ボディを保護することです。この保証がメディア記述子に匹敵する保証と結合されていない場合、SIPリクエストを発信したユーザーのIDを確立する目的はほとんどありません。ただし、これは完璧なエンドツーエンドセキュリティではないことに注意してください。認証サービス自体は、仲介者にインスタンス化された場合、署名を提供する前に、SDP(およびSIPヘッダー)を変更する可能性があります。したがって、このメカニズムは、リプレイヤーまたは中間のマンがSDPを変更する可能性を減らしますが、完全に排除することはありません。ユーザーが自分のセキュリティを保証するためにローカルドメインを信頼するというこのメカニズムの基本的な仮定であるため、正当な理由なくメッセージの完全性に違反しないようにサービスを信頼しなければなりません。RFC 3261、セクション16.6は、SIPプロキシサーバーが「メッセージ本文を追加、変更、または削除してはならない」と述べていることに注意してください。
In the end analysis, the Identity and Identity-Info headers cannot protect themselves. Any attacker could remove these headers from a SIP request, and modify the request arbitrarily afterwards. However, this mechanism is not intended to protect requests from men-in-the-middle who interfere with SIP messages; it is intended only to provide a way that SIP users can prove definitively that they are who they claim to be. At best, by stripping identity information from a request, a man-in-the-middle could make it impossible to distinguish any illegitimate messages he would like to send from those messages sent by an authorized user. However, it requires a considerably greater amount of energy to mount such an attack than it does to mount trivial impersonations by just copying someone else's From header field. This mechanism provides a way that an authorized user can provide a definitive assurance of his identity that an unauthorized user, an impersonator, cannot.
最終分析では、アイデンティティとアイデンティティINFOヘッダーは自分自身を保護することはできません。攻撃者は、これらのヘッダーをSIPリクエストから削除し、その後リクエストを任意に変更できます。ただし、このメカニズムは、SIPメッセージに干渉する中間の男性からのリクエストを保護することを意図したものではありません。SIPユーザーが自分が主張する人であることを明確に証明できる方法を提供することのみを目的としています。せいぜい、リクエストから身元情報を削除することにより、中間の男は、認定されたユーザーから送信されたメッセージから送信したい違法なメッセージを区別することを不可能にする可能性があります。ただし、ヘッダーフィールドから他の人をコピーするだけで、些細ななりすましをマウントするよりも、このような攻撃を実施するためにかなり多くのエネルギーが必要です。このメカニズムは、認定されたユーザーが、不正なユーザーである偽装者ができないという自分のアイデンティティの決定的な保証を提供できる方法を提供します。
One additional respect in which the Identity-Info header cannot protect itself is the 'alg' parameter. The 'alg' parameter is not included in the digest-string, and accordingly, a man-in-the-middle might attempt to modify the 'alg' parameter. However, it is important to note that preventing men-in-the-middle is not the primary impetus for this mechanism. Moreover, changing the 'alg' would at worst result in some sort of bid-down attack, and at best cause a failure in the verifier. Note that only one valid 'alg' parameter is defined in this document and that thus there is currently no weaker algorithm to which the mechanism can be bid down. 'alg' has been incorporated into this mechanism for forward-compatibility reasons in case the current algorithm exhibits weaknesses, and requires swift replacement, in the future.
ID-INFOヘッダーがそれ自体を保護できない追加の尊敬の1つは、「アルグ」パラメーターです。「アルグ」パラメーターはダイジェストストリングには含まれていません。したがって、中間者は「アルグ」パラメーターの変更を試みる場合があります。ただし、中間の男性を防ぐことは、このメカニズムの主要な推進力ではないことに注意することが重要です。さらに、「アルグ」を変更すると、最悪の場合、何らかの入札攻撃が発生し、せいぜい検証者に障害が発生します。このドキュメントでは、1つの有効な「アルグ」パラメーターのみが定義されているため、現在、メカニズムを入札できる弱いアルゴリズムはないことに注意してください。「アルグ」は、現在のアルゴリズムが弱点を示し、将来的に迅速な交換を必要とする場合に、順方向の理由でこのメカニズムに組み込まれています。
As a matter of interface design, SIP user agents might render the display-name portion of the From header field of a caller as the identity of the caller; there is a significant precedent in email user interfaces for this practice. As such, it might seem that the lack of a signature over the display-name is a significant omission.
インターフェイス設計の問題として、SIPユーザーエージェントは、発信者のヘッダーフィールドのディスプレイ名部分を発信者の身元としてレンダリングする可能性があります。このプラクティスの電子メールユーザーインターフェイスには重要な先例があります。そのため、ディスプレイ名に署名がないことは大きな省略であるように思われるかもしれません。
However, there are several important senses in which a signature over the display-name does not prevent impersonation. In the first place, a particular display-name, like "Jon Peterson", is not unique in the world; many users in different administrative domains might legitimately claim that name. Furthermore, enrollment practices for SIP-based services might have a difficult time discerning the legitimate display-name for a user; it is safe to assume that impersonators will be capable of creating SIP accounts with arbitrary display-names. The same situation prevails in email today. Note that an impersonator who attempted to replay a message with an Identity header, changing only the display-name in the From header field, would be detected by the other replay protection mechanisms described in Section 13.1.
ただし、ディスプレイ名の署名がなりすましを妨げないいくつかの重要な感覚があります。そもそも、「ジョン・ピーターソン」のような特定のディスプレイ名は、世界でユニークではありません。異なる管理ドメインの多くのユーザーは、その名前を合法的に主張するかもしれません。さらに、SIPベースのサービスの登録慣行は、ユーザーの正当なディスプレイ名を識別するのが困難な時間である可能性があります。任意のディスプレイ名でSIPアカウントを作成できると想定するのは安全です。同じ状況が今日の電子メールで普及しています。Headerフィールドのディスプレイ名のみを変更し、セクション13.1で説明されている他のリプレイ保護メカニズムによって検出されたアイデンティティヘッダーでメッセージをリプレイしようとした偽装者が検出されることに注意してください。
Of course, an authentication service can enforce policies about the display-name even if the display-name is not signed. The exact mechanics for creating and operationalizing such policies is outside the scope of this document. The effect of this policy would not be to prevent impersonation of a particular unique identifier like a SIP URI (since display-names are not unique identifiers), but to allow a domain to manage the claims made by its users. If such policies are enforced, users would not be free to claim any display-name of their choosing. In the absence of a signature, man-in-the-middle attackers could conceivably alter the display-names in a request with impunity. Note that the scope of this specification is impersonation attacks, however, and that a man-in-the-middle might also strip the Identity and Identity-Info headers from a message.
もちろん、認証サービスは、ディスプレイ名が署名されていない場合でも、ディスプレイ名に関するポリシーを実施できます。このようなポリシーを作成および運用するための正確なメカニズムは、このドキュメントの範囲外です。このポリシーの効果は、SIP URIのような特定の一意の識別子(ディスプレイ名は一意の識別子ではないため)のような特定の一意の識別子のなりすましを防ぐことではなく、ドメインがユーザーが作成したクレームを管理できるようにすることです。そのようなポリシーが施行されている場合、ユーザーは選択したディスプレイ名を自由に請求することはできません。署名がない場合、中間の攻撃者は、免責をもってリクエストでディスプレイ名を変更する可能性があります。ただし、この仕様の範囲はなりすまし攻撃であり、中間者がメッセージからアイデンティティとアイデンティティINFOヘッダーを剥奪する可能性があることに注意してください。
There are many environments in which policies regarding the display-name aren't feasible. Distributing bit-exact and internationalizable display-names to end-users as part of the enrollment or registration process would require mechanisms that are not explored in this document. In the absence of policy enforcement regarding domain names, there are conceivably attacks that an adversary could mount against SIP systems that rely too heavily on the display-name in their user interface, but this argues for intelligent interface design, not changes to the mechanisms. Relying on a non-unique identifier for identity would ultimately result in a weak mechanism.
ディスプレイ名に関するポリシーが実行不可能な環境はたくさんあります。登録または登録プロセスの一部として、エンドユーザーにビットXactと国際化可能なディスプレイ名を配布するには、このドキュメントで調査されていないメカニズムが必要です。ドメイン名に関するポリシー執行がない場合、ユーザーインターフェイスのディスプレイ名に大きく依存しているSIPシステムに敵対者がマウントできるという攻撃がありますが、これはメカニズムの変更ではなく、インテリジェントなインターフェイス設計を主張しています。アイデンティティの非ユニーク識別子に依存すると、最終的には弱いメカニズムが生じます。
The assurance provided by this mechanism is strongest when a user agent forms a direct connection, preferably one secured by TLS, to an intermediary-based authentication service. The reasons for this are twofold:
このメカニズムによって提供される保証は、ユーザーエージェントが直接接続を形成する場合に最も強く、できればTLSによって保護されている場合、仲介ベースの認証サービスに固定されています。これの理由は2つあります:
If a user does not receive a certificate from the authentication service over this TLS connection that corresponds to the expected domain (especially when the user receives a challenge via a mechanism such as Digest), then it is possible that a rogue server is attempting to pose as an authentication service for a domain that it does not control, possibly in an attempt to collect shared secrets for that domain.
ユーザーが、予想されるドメインに対応するこのTLS接続を介して認証サービスから証明書を受け取らない場合(特にユーザーがダイジェストなどのメカニズムを介してチャレンジを受信した場合)、Rogueサーバーがポーズをとろうとしている可能性がありますおそらくそのドメインの共有秘密を収集しようとするために、それが制御しないドメインの認証サービスとして。
Without TLS, the various header field values and the body of the request will not have integrity protection when the request arrives at an authentication service. Accordingly, a prior legitimate or illegitimate intermediary could modify the message arbitrarily.
TLSがなければ、リクエストが認証サービスに到着すると、さまざまなヘッダーフィールド値とリクエストの本文に整合性保護がありません。したがって、以前の正当なまたは違法な仲介者は、メッセージを任意に変更できます。
Of these two concerns, the first is most material to the intended scope of this mechanism. This mechanism is intended to prevent impersonation attacks, not man-in-the-middle attacks; integrity over the header and bodies is provided by this mechanism only to prevent replay attacks. However, it is possible that applications relying on the presence of the Identity header could leverage this integrity protection, especially body integrity, for services other than replay protection.
これらの2つの懸念のうち、1つ目は、このメカニズムの意図された範囲にとって最も重要です。このメカニズムは、中間の攻撃ではなく、なりすまし攻撃を防ぐことを目的としています。ヘッダーとボディに対する完全性は、再生攻撃を防ぐためにのみこのメカニズムによって提供されます。ただし、アイデンティティヘッダーの存在に依存するアプリケーションは、リプレイ保護以外のサービスに対して、この完全性保護、特に身体の完全性を活用できる可能性があります。
Accordingly, direct TLS connections SHOULD be used between the UAC and the authentication service whenever possible. The opportunistic nature of this mechanism, however, makes it very difficult to constrain UAC behavior, and moreover there will be some deployment architectures where a direct connection is simply infeasible and the UAC cannot act as an authentication service itself. Accordingly, when a direct connection and TLS are not possible, a UAC should use the SIPS mechanism, Digest 'auth-int' for body integrity, or both when it can. The ultimate decision to add an Identity header to a request lies with the authentication service, of course; domain policy must identify those cases where the UAC's security association with the authentication service is too weak.
したがって、可能な限り、UACと認証サービスの間で直接TLS接続を使用する必要があります。ただし、このメカニズムの日和見性は、UACの動作を制約することを非常に困難にし、さらに、直接接続が単純に実行不可能で、UACが認証サービス自体として機能することができない展開アーキテクチャがあります。したがって、直接接続とTLSが不可能な場合、UACはSIPSメカニズムを使用し、身体の完全性のために「Auth-Int」、またはできる場合はその両方を使用する必要があります。もちろん、アイデンティティヘッダーをリクエストに追加するという究極の決定は、認証サービスにあります。ドメインポリシーは、認証サービスとUACのセキュリティ協会が弱すぎる場合を特定する必要があります。
When a verifier processes a request containing an Identity-Info header, it must compare the domain portion of the URI in the From header field of the request with the domain name that is the subject of the certificate acquired from the Identity-Info header. While it might seem that this should be a straightforward process, it is complicated by two deployment realities. In the first place, certificates have varying ways of describing their subjects, and may indeed have multiple subjects, especially in 'virtual hosting' cases where multiple domains are managed by a single application. Secondly, some SIP services may delegate SIP functions to a subordinate domain and utilize the procedures in RFC 3263 [4] that allow requests for, say, 'example.com' to be routed to 'sip.example.com'. As a result, a user with the AoR 'sip:jon@example.com' may process its requests through a host like 'sip.example.com', and it may be that latter host that acts as an authentication service.
VerifierがID-INFOヘッダーを含むリクエストを処理する場合、リクエストのヘッダーフィールドのURIのドメイン部分を、ID-INFOヘッダーから取得した証明書の主題であるドメイン名と比較する必要があります。これは簡単なプロセスであるはずのように思えるかもしれませんが、2つの展開の現実によって複雑になります。そもそも、証明書には被験者を説明するさまざまな方法があり、実際には、特に単一のアプリケーションによって複数のドメインが管理される「仮想ホスティング」の場合に複数の主題がある場合があります。第二に、一部のSIPサービスは、SIP機能を下位ドメインに委任し、RFC 3263 [4]の手順を使用して、「sip.example.com」にルーティングされることを要求できるようにする場合があります。その結果、AORのsip:jon@example.comを搭載したユーザーは、「sip.example.com」などのホストを介してリクエストを処理する場合があります。
To meet the second of these problems, a domain that deploys an authentication service on a subordinate host MUST be willing to supply that host with the private keying material associated with a certificate whose subject is a domain name that corresponds to the domain portion of the AoRs that the domain distributes to users. Note that this corresponds to the comparable case of routing inbound SIP requests to a domain. When the NAPTR and SRV procedures of RFC 3263 are used to direct requests to a domain name other than the domain in the original Request-URI (e.g., for 'sip:jon@example.com', the corresponding SRV records point to the service 'sip1.example.org'), the client expects that the certificate passed back in any TLS exchange with that host will correspond exactly with the domain of the original Request-URI, not the domain name of the host. Consequently, in order to make inbound routing to such SIP services work, a domain administrator must similarly be willing to share the domain's private key with the service. This design decision was made to compensate for the insecurity of the DNS, and it makes certain potential approaches to DNS-based 'virtual hosting' unsecurable for SIP in environments where domain administrators are unwilling to share keys with hosting services.
これらの問題の2番目を満たすために、下位ホストに認証サービスを展開するドメインは、被写体がAORのドメイン部分に対応するドメイン名である証明書に関連付けられたプライベートキーイング資料をそのホストに喜んで提供する必要がありますドメインがユーザーに分配すること。これは、ドメインへのインバウンドSIPリクエストをルーティングする同等のケースに対応することに注意してください。RFC 3263のNAPTRおよびSRV手順を使用して、元のリクエスト-URIのドメイン以外のドメイン名にリクエストを向ける場合(たとえば、「sip:jon@example.com」の場合、対応するSRVレコードはサービスを指します'sip1.example.org')、クライアントは、ホストのドメイン名ではなく、そのホストとのTLS交換で証明書が渡されることを期待しています。したがって、このようなSIPサービス作業へのインバウンドルーティングを行うには、ドメイン管理者も同様に、ドメインの秘密鍵をサービスと共有することをいとわない必要があります。この設計上の決定は、DNSの不安を補うためになされ、DNSベースの「仮想ホスティング」に対する特定の潜在的なアプローチを、ドメイン管理者がホスティングサービスとキーを共有したくない環境ではSIPに対して使用できません。
A verifier MUST evaluate the correspondence between the user's identity and the signing certificate by following the procedures defined in RFC 2818 [11], Section 3.1. While RFC 2818 deals with the use of HTTP in TLS, the procedures described are applicable to verifying identity if one substitutes the "hostname of the server" in HTTP for the domain portion of the user's identity in the From header field of a SIP request with an Identity header.
検証者は、RFC 2818 [11]、セクション3.1で定義されている手順に従って、ユーザーの身元と署名証明書の対応を評価する必要があります。RFC 2818はTLSでのHTTPの使用を扱っていますが、説明されている手順は、SIPリクエストのヘッダーフィールドでユーザーのアイデンティティのドメイン部分をHTTPの「サーバーのホスト名」をSIPリクエストのヘッダーフィールドに置き換える場合、IDの検証に適用できます。アイデンティティヘッダー。
Because the domain certificates that can be used by authentication services need to assert only the hostname of the authentication service, existing certificate authorities can provide adequate certificates for this mechanism. However, not all proxy servers and user agents will be able to support the root certificates of all certificate authorities, and moreover there are some significant differences in the policies by which certificate authorities issue their certificates. This document makes no recommendations for the usage of particular certificate authorities, nor does it describe any particular policies that certificate authorities should follow, but it is anticipated that operational experience will create de facto standards for authentication services. Some federations of service providers, for example, might only trust certificates that have been provided by a certificate authority operated by the federation. It is strongly RECOMMENDED that self-signed domain certificates should not be trusted by verifiers, unless some previous key exchange has justified such trust.
認証サービスで使用できるドメイン証明書は、認証サービスのホスト名のみを主張する必要があるため、既存の証明書当局はこのメカニズムに適切な証明書を提供できます。ただし、すべてのプロキシサーバーとユーザーエージェントがすべての証明書当局のルート証明書をサポートできるわけではなく、さらに、証明書当局が証明書を発行するポリシーにいくつかの大きな違いがあります。このドキュメントは、特定の証明書当局の使用に関する推奨事項を作成しておらず、証明書当局が従うべき特定のポリシーについても説明していませんが、運用経験が認証サービスの事実上の標準を作成することが予想されます。たとえば、サービスプロバイダーの一部の連合は、連邦が運営する証明書当局によって提供された証明書のみを信頼する場合があります。以前の主要な交換がそのような信頼を正当化しない限り、自己署名ドメイン証明書を検証者によって信頼するべきではないことを強くお勧めします。
For further information on certificate security and practices, see RFC 3280 [9]. The Security Considerations of RFC 3280 are applicable to this document.
証明書のセキュリティと慣行の詳細については、RFC 3280 [9]を参照してください。RFC 3280のセキュリティ上の考慮事項は、このドキュメントに適用されます。
Ultimately, the worth of an assurance provided by an Identity header is limited by the security practices of the domain that issues the assurance. Relying on an Identity header generated by a remote administrative domain assumes that the issuing domain used its administrative practices to authenticate its users. However, it is possible that some domains will implement policies that effectively make users unaccountable (e.g., ones that accept unauthenticated registrations from arbitrary users). The value of an Identity header from such domains is questionable. While there is no magic way for a verifier to distinguish "good" from "bad" domains by inspecting a SIP request, it is expected that further work in authorization practices could be built on top of this identity solution; without such an identity solution, many promising approaches to authorization policy are impossible. That much said, it is RECOMMENDED that authentication services based on proxy servers employ strong authentication practices such as token-based identifiers.
最終的に、IDヘッダーによって提供される保証の価値は、保証を発行するドメインのセキュリティ慣行によって制限されます。リモート管理ドメインによって生成されたIDヘッダーに依存すると、発行ドメインが管理慣行を使用してユーザーを認証することを前提としています。ただし、一部のドメインでは、ユーザーを効果的に説明できないポリシー(たとえば、任意のユーザーからの認定されていない登録を受け入れる)を実装する可能性があります。そのようなドメインからのアイデンティティヘッダーの値は疑わしい。SIPリクエストを検査することにより、検証者が「良い」ドメインと「良い」ドメインを区別する魔法の方法はありませんが、このアイデンティティソリューションの上に認可慣行のさらなる作業が構築できると予想されます。このようなアイデンティティの解決策がなければ、承認ポリシーに対する多くの有望なアプローチは不可能です。それは、プロキシサーバーに基づく認証サービスが、トークンベースの識別子などの強力な認証プラクティスを採用することをお勧めします。
One cannot expect the Identity and Identity-Info headers to be supported by every SIP entity overnight. This leaves the verifier in a compromising position; when it receives a request from a given SIP user, how can it know whether or not the sender's domain supports Identity? In the absence of ubiquitous support for identity, some transitional strategies are necessary.
すべてのSIPエンティティによって一晩、アイデンティティとアイデンティティINFOヘッダーがサポートされることを期待することはできません。これにより、検証者は妥協的な位置になります。特定のSIPユーザーからリクエストを受信したとき、送信者のドメインがIDをサポートするかどうかはどうすればわかりますか?アイデンティティに対するユビキタスなサポートがない場合、いくつかの移行戦略が必要です。
A verifier could remember when it receives a request from a domain that uses Identity, and in the future, view messages received from that domain without Identity headers with skepticism.
検証者は、アイデンティティを使用するドメインからリクエストを受信したことを思い出すことができます。将来、懐疑的なアイデンティティヘッダーなしでそのドメインから受信したメッセージを表示します。
A verifier could query the domain through some sort of callback system to determine whether or not it is running an authentication service. There are a number of potential ways in which this could be implemented; use of the SIP OPTIONS method is one possibility. This is left as a subject for future work.
検証者は、何らかのコールバックシステムを介してドメインを照会して、認証サービスを実行しているかどうかを判断できます。これを実装できる潜在的な方法がいくつかあります。SIPオプション方法の使用は1つの可能性です。これは、将来の仕事の主題として残されています。
In the long term, some sort of identity mechanism, either the one documented in this specification or a successor, must become mandatory-to-use for the SIP protocol; that is the only way to guarantee that this protection can always be expected by verifiers.
長期的には、この仕様または後継者で文書化されたもののいずれかのある種のアイデンティティメカニズムが、SIPプロトコルの義務的な使用になる必要があります。これが、この保護が検証剤によって常に予想されることを保証する唯一の方法です。
Finally, it is worth noting that the presence or absence of the Identity headers cannot be the sole factor in making an authorization decision. Permissions might be granted to a message on the basis of the specific verified Identity or really on any other aspect of a SIP request. Authorization policies are outside the scope of this specification, but this specification advises any future authorization work not to assume that messages with valid Identity headers are always good.
最後に、アイデンティティヘッダーの有無は、承認決定を下す唯一の要因にならないことは注目に値します。特定の検証済みのアイデンティティに基づいて、またはSIPリクエストの他の側面に基づいてメッセージに許可が付与される場合があります。承認ポリシーはこの仕様の範囲外ですが、この仕様は、有効なアイデンティティヘッダーを持つメッセージが常に良いと想定しないように将来の認可作業をアドバイスします。
This document requests changes to the header and response-code sub-registries of the SIP parameters IANA registry, and requests the creation of two new registries for parameters for the Identity-Info header.
このドキュメントは、SIPパラメーターIANAレジストリのヘッダーおよび応答コードサブリージストリへの変更を要求し、ID-INFOヘッダーのパラメーターの2つの新しいレジストリの作成を要求します。
This document specifies two new SIP headers: Identity and Identity-Info. Their syntax is given in Section 9. These headers are defined by the following information, which has been added to the header sub-registry under http://www.iana.org/assignments/sip-parameters.
このドキュメントは、2つの新しいSIPヘッダーを指定します:IDとIDINFO。それらの構文はセクション9に記載されています。これらのヘッダーは、http://www.iana.org/assignments/sip-parametersに基づいてヘッダーサブレジストリに追加された次の情報で定義されています。
Header Name: Identity Compact Form: y Header Name: Identity-Info Compact Form: n
ヘッダー名:IDコンパクトフォーム:Yヘッダー名:IDINTINFOコンパクトフォーム:n
This document registers a new SIP response code, which is described in Section 6. It is sent when a verifier receives a SIP request that lacks an Identity header in order to indicate that the request should be re-sent with an Identity header. This response code is defined by the following information, which has been added to the method and response-code sub-registry under http://www.iana.org/assignments/sip-parameters.
このドキュメントは、セクション6で説明されている新しいSIP応答コードを登録します。検証者が、アイデンティティヘッダーとともに再配置する必要があることを示すために、VerifierがIDヘッダーを欠くSIP要求を受信したときに送信されます。この応答コードは、http://www.iana.org/assignments/sip-parametersに基づいてメソッドおよび応答コードサブレジストリに追加された次の情報によって定義されます。
Response Code Number: 428 Default Reason Phrase: Use Identity Header
応答コード番号:428デフォルトの理由フレーズ:アイデンティティヘッダーを使用する
This document registers a new SIP response code, which is described in Section 6. It is used when the Identity-Info header contains a URI that cannot be dereferenced by the verifier (either the URI scheme is unsupported by the verifier, or the resource designated by the URI is otherwise unavailable). This response code is defined by the following information, which has been added to the method and response-code sub-registry under http://www.iana.org/assignments/sip-parameters.
このドキュメントは、セクション6で説明されている新しいSIP応答コードを登録します。これは、ID-INFOヘッダーに検証者が参照できないURIが含まれている場合に使用されます(URIスキームは、検証剤によってサポートされていないか、指定されたリソースによってサポートされていません。それ以外の場合はURIによって利用できません)。この応答コードは、http://www.iana.org/assignments/sip-parametersに基づいてメソッドおよび応答コードサブレジストリに追加された次の情報によって定義されます。
Response Code Number: 436 Default Reason Phrase: Bad Identity-Info
応答コード番号:436デフォルトの理由フレーズ:悪いIDINFO
This document registers a new SIP response code, which is described in Section 6. It is used when the verifier cannot validate the certificate referenced by the URI of the Identity-Info header, because, for example, the certificate is self-signed, or signed by a root certificate authority for whom the verifier does not possess a root certificate. This response code is defined by the following information, which has been added to the method and response-code sub-registry under http://www.iana.org/assignments/sip-parameters.
このドキュメントは、セクション6で説明されている新しいSIP応答コードを登録します。これは、VerifierがID-INFOヘッダーのURIが参照する証明書を検証できない場合に使用されます。検証者がルート証明書を所有していないルート証明書権限によって署名されます。この応答コードは、http://www.iana.org/assignments/sip-parametersに基づいてメソッドおよび応答コードサブレジストリに追加された次の情報によって定義されます。
Response Code Number: 437 Default Reason Phrase: Unsupported Certificate
応答コード番号:437デフォルトの理由フレーズ:サポートされていない証明書
This document registers a new SIP response code, which is described in Section 6. It is used when the verifier receives a message with an Identity signature that does not correspond to the digest-string calculated by the verifier. This response code is defined by the following information, which has been added to the method and response-code sub-registry under http://www.iana.org/assignments/sip-parameters.
このドキュメントは、セクション6で説明されている新しいSIP応答コードを登録します。検証者が検証者によって計算されたダイジェストストリングに対応しないID署名を使用してメッセージを受信したときに使用されます。この応答コードは、http://www.iana.org/assignments/sip-parametersに基づいてメソッドおよび応答コードサブレジストリに追加された次の情報によって定義されます。
Response Code Number: 438 Default Reason Phrase: Invalid Identity Header
応答コード番号:438デフォルトの理由フレーズ:無効なアイデンティティヘッダー
The IANA has created a new registry for Identity-Info headers. This registry is to be prepopulated with a single entry for a parameter called 'alg', which describes the algorithm used to create the signature that appears in the Identity header. Registry entries must contain the name of the parameter and the specification in which the parameter is defined. New parameters for the Identity-Info header may be defined only in Standards Track RFCs.
IANAは、ID-INFOヘッダーの新しいレジストリを作成しました。このレジストリは、「アルグ」と呼ばれるパラメーターの単一のエントリで事前に設定されます。これは、アイデンティティヘッダーに表示される署名を作成するために使用されるアルゴリズムを説明します。レジストリエントリには、パラメーターの名前とパラメーターが定義されている仕様が含まれている必要があります。ID-INFOヘッダーの新しいパラメーターは、RFCSを追跡する標準でのみ定義できます。
The IANA has created a new registry for Identity-Info 'alg' parameter values. This registry is to be prepopulated with a single entry for a value called 'rsa-sha1', which describes the algorithm used to create the signature that appears in the Identity header. Registry entries must contain the name of the 'alg' parameter value and the specification in which the value is described. New values for the 'alg' parameter may be defined only in Standards Track RFCs.
IANAは、INDINFO「アルグ」パラメーター値の新しいレジストリを作成しました。このレジストリは、「RSA-Sha1」と呼ばれる値の単一のエントリで事前に設定されます。これは、アイデンティティヘッダーに表示される署名を作成するために使用されるアルゴリズムを説明します。レジストリエントリには、「alg」パラメーター値の名前と、値が記載されている仕様が含まれている必要があります。「アルグ」パラメーターの新しい値は、RFCSを追跡する標準でのみ定義できます。
The authors would like to thank Eric Rescorla, Rohan Mahy, Robert Sparks, Jonathan Rosenberg, Mark Watson, Henry Sinnreich, Alan Johnston, Patrik Faltstrom, Paul Kyzviat, Adam Roach, John Elwell, Aki Niemi, and Jim Schaad for their comments. Jonathan Rosenberg provided detailed fixes to innumerable sections of the document. The bit-archive presented in Appendix B follows the pioneering example of RFC 4475 [16]. Thanks to Hans Persson and Tao Wan for thorough nit reviews.
著者は、エリック・レスコルラ、ロハン・マヒー、ロバート・スパークス、ジョナサン・ローゼンバーグ、マーク・ワトソン、ヘンリー・シン・ライヒ、アラン・ジョンストン、パトリック・ファルトストローム、ポール・キズビアット、アダム・ローチ、ジョン・エルウェル、アキ・ニーミ、ジム・シャードに感謝します。Jonathan Rosenbergは、文書の無数のセクションに詳細な修正を提供しました。付録Bに示されているビットアーキブは、RFC 4475の先駆的な例に従います[16]。徹底的なNITレビューをしてくれたHans PerssonとTao Wanに感謝します。
The following text block is an encoded, gzip-compressed TAR archive of files that represent the transformations performed on the examples of messages discussed in Section 10. It includes for each example:
次のテキストブロックは、セクション10で説明されているメッセージの例で実行された変換を表すファイルのエンコードされたGZIP圧縮タールアーカイブです。各例に含まれます。
o (foo).message: the original message o (foo).canonical: the canonical string constructed from that message o (foo).sha1: the SHA1 hash of the canonical string (hexadecimal) o (foo).signed: the RSA-signed SHA1 hash of the canonical string (binary) o (foo).signed.enc: the base64 encoding of the RSA-signed SHA1 hash of the canonical string as it would appear in the request o (foo).identity: the original message with the Identity and Identity-Info headers added
Also included in the archive are two public key/certificate pairs, for atlanta.example.com and biloxi.example.org, respectively, including:
また、アーカイブには、それぞれ次を含むAtlanta.example.comとbiloxi.example.orgの2つの公開キー/証明書ペアも含まれています。
o (foo).cer: the certificate of the domain o (foo).privkey: the private key of the domain o (foo).pubkey: the public key of the domain, extracted from the cert file for convenience
o (foo).cer:ドメインo(foo)の証明書.privkey:ドメインo(foo)の秘密鍵。
To recover the compressed archive file intact, the text of this document may be passed as input to the following Perl script (the output should be redirected to a file or piped to "tar -xzvf -").
圧縮されたアーカイブファイルを無傷の回復するには、このドキュメントのテキストを次のPerlスクリプトに入力すると渡される場合があります(出力はファイルにリダイレクトするか、「tar -xzvf」に配管する必要があります)。
#!/usr/bin/perl use strict; my $bdata = ""; use MIME::Base64; while(<>) { if (/-- BEGIN MESSAGE ARCHIVE --/ .. /-- END MESSAGE ARCHIVE --/) { if ( m/^\s*[^\s]+\s*$/) { $bdata = $bdata . $_; } } } print decode_base64($bdata);
Alternatively, the base-64 encoded block can be edited by hand to remove document structure lines and fed as input to any base-64 decoding utility.
あるいは、ベース64エンコードブロックを手で編集してドキュメント構造ラインを削除し、ベース64デコードユーティリティへの入力として供給することができます。
-- BEGIN MESSAGE ARCHIVE -- H4sICFfaz0QCA25ld2lkZW50LnRhcgDsW0us5NhZ7gUSwqiF2CAhFikiIQhFt992 +U46it+u8qPK5Uc9WPlVfj/KdpXtomEDCxaAhFggISE2WSHCIoIFioQQC8gqAhRA QQTY8JJAbMgGIYTv7b7T09PT0xNl+mqS3F8qVd3jY/uc85//+87/nXOLoIv9oGjB B2/PIAiDSBwfv1GERInxG8EwAh6/37UHMIQRKIljCI4+gGCUGKtP8Ad3YKemderJ 5EFSBW1QN2Xxmnp5GtblqXqUPfIffBdZcet/p82conUee0H9sfsfhiACw17nfwQa y+Dra+MkQGFkrI+TOPJgAt37/63bo2tjeHGuTVh+bc6FOUub/E0poM7nLGqyLJ06 Id3NGTocPxytMWF6jNJYpDqIoXVLoDlmr+pNx+o7ztZ1ke8WtnXhFUClU5GGLZ6l O3YN8T3P0Usm1GyG9lQGEiBXFE6+yPecSSvPykuV4TPB5ne9xNEO8KxQVXnk3cqn /TaK3C3T7A08cRGokyJPUzmrV7k5pHK7i5bQyOambNcDLxUmH9zMD2sl8FGa+WGt BG6bGe5nHafvFnK5n0dnT6N1nmF0mgt3EK3OxQVdiuMzZrNOhPxNOF37W7w4LmsL OA0Mpeqt7RTKTrDX1CztZgezbM7rLlvQeBnhWzWOV5qDZEdMahLZTo8Wq0oZOL4X FgkgMhY4pNBdU53sHVvlaIX5TjqH0+JkYXAXmmzgSI7H9N3RvHingrIOAUIzCph4 GhsdHGDwET+WCO5SuDtwxXKNvneGYrWiQ5WhaTEJXb0LXb6Trgd2DS0ZZscLWm6B au3aO48HZK4GEWgzN2oRTuBaG/vLXA+aZKh8kDBYyJj7bHWREXgjMWxIgFQrxPyx b3eUc3EEH6iEptuYL1zFRCpr22rPXujFs9EPx0s+o67pbhzRa/eOjvEZX+wjt1hH gKpDHdvdXJA5er1Y22tRXXed+KwyxzFadFtZyW1st4E7V7ROO4Rqw5Cnx6ncXb/Z 5ztdUOmx34dX3Ck8cydPc76+a5uO4XLTMI9Q3iIwDJBOloNbUahd5OK7FnQu637t L/cQdlSHel5tRVjh84Jfhl7pDfV2zZyPeEVs3D3t8XoKAVzDo3YAad6sp4r8nCUb UmxUUWAL9lRiS848gHAm+nZNcQF78RIY2lk6qq6DnFO30Q4B2JaLG2WTkcZ2uVx7 ezqGS4vqngA30c5r3KsI8ODevsvtFf6v6vicBsMd8j+ME+Qt/0PjAnCsT5AQes// d8z/a4OerNZze4z+iczvXqwBtvrI+7TMhDq3WqlMK9nlKt3a0z2RHGGlCQ8jMtub akAY2zocFupKgghFgbyFoS8BZx7Yl3mZXDZt5ZwYcj5kezmjEwY/YCO4rk+lFQc+ 26mK7GYb+rhviUDaVKy2X5DZUvOAOd8VeYQUtOfJ6QxVKtCW0DakDRBDOb3cIk3h F7toGs5wBFldupDkxU1TXS7dnKN1mgFumFWGNmhb8AJH0omt08VC23Jtj1O0A9sn ZMFvA6KMp8s6FYZmkbj7RdcoudzWYdsCq+3SmrVIvq9iqJOxaIu1+6ho406UU2vF ohHFJNVUDOr4sEIxeK0O6nJKHFZhclxeLK4DpvUqSdSqG1+eerx35ELXrPfF5gzq BWs4joD2qSUehFTp8aXsremUp0mrLxp+tnVMFALaFWhZHg6HWorIohz2um5KZcV4 QUcNh4BdC9HZV8ikckSn5WM83neiONKavbQlS4MlANoplaQn67JbMLQ2XSPumQa1 OD9iBLYPiyDjudXR4en9xuHQdHmIDGp6VsjyyBvTE85DwIJMty65T2PDtkJqa4Gz Va/KPcjRF8i38qUytVhdmrEUb1rqHDnx7lFyGd+2RC1FCYwFOMErfKO3oymKyceF n8Q7oyfs1eqMEFsqJw1oOfhmaoQNCmJluerLmeSox20+g1idmdZA7zKolVXLMvKY TpCp3KwzlSHYhjpmBCGHXZEp1CnlI0nalZdxHPxtUDLsEFlNGfqGBRCgY9CCd97w YpuQ4HlY8Kyus6wBZ3LIb0tNXx2XmpOdd9EwqPv1VlB8Dgvdbr2S4dNWBnZVirLp Qbgsh0MSKJ646reXI3K8nKSLaHL9nlrRQdVtsbWRviDVDwyrTzD+n9yPGf7fhP8j 5kO3+I/AN/k/gZHYPf7fMf6vLEaZs++FfvGg0pDIGkfRmLsj2PLX6R5NY6JGcywT 6x9OCcDrOOGjUgLwOk74qJQAvJYT3o3O93f6e3b958ZZ2cdvQ/55s/6DvEf/QbBr /YeAifv4/yToP3DCsnQyfZP+s32j/mOO6Tp3ub75uf6TLipXpDDH5DWVbp7VCzve sGxrnfDuWEEErgvprjN2eda4aFS9PzVXGWzLmTSsmvSgcTQyfgYtK6/LkOsy4D2F nX15k4AAm6p+k9Y/FxD2LOBs+nMgph+o/YgXev+u9pM/746BZ4EotJ7YZ0qunQHX ZJni8v5B4wWaXjKJTnfhLmWvRYMzIXYbFjI5jFzInZwlZZR0gmoAGoi39e6ENYEk HsO0UyJ7umXRkl/i+LGOLxE6zD3bkFOqoJYZrS3Mo5bYjjSc16cLjwvABjZ3Tbgw EIHu51MYjruBLihkPUwjBwTDKJjJ0MqZLpQpjMVG40i2HhaHDtNTcH08ZDpASGdm Vh2T7DzUC/SINbE6epSnaWfJNGP36oT2b+QcHeOFULeg/XStYOQGpFdc6+EMcDBK fXviBR7sukN3IxIljBR2fkm/UvlF3SHaEOu9Kng98MJNO5PObPM9s20E9IU2zrbV NVXduLbrRP35fLmVfYCXdZ9mrHGr+yzi5y5+n7CIsCNRdBx901oTYGirG/vMgJcP mP/XeqHOxIMszduZuT2I2qEqFtsYT9j4suzz3WwHhFkxa4eV4ATDkcJN0Tub7Obi l4xiVww3PVTrTb0F53O84Qlbcl16TBnsXHb33UWn26oCVojgnBJk1lLYPuAkDTkf L8mhkBJ2iWCpiC5OB8ScQXFWUTvJ47o+sYS6nRFWkbHTIfaBwTGDU7PBxRN5hsMn 97rPvb3K/29B/nmz/kOit/wPI+NaYFz/49j9/s8nR/8Jb/UfFixdZqes1VXSpDV9 3CxjcUVb/RwFc6SNybjHPOfImvRJ2OKeEoQ6QBb58aQspcM86u350UQOEGHRULYs Ec0uDzIlkqqZ2q6txQOdKTuL4xNyu1G4OXtA95ICEEINTlmB7GqdqrH0TG7jhdyX vs2yPshFrEmJ1dTmymAmDflxuQHlpgjqeJi/pP8syEMjzOWtnCabMJmljbhsIwM1 CpjqVwY78D7TH/gcWSUkqF0uQRaDK2/pxB6UAouR+r3iqCEHiQ/mogxSvcX05ukQ 6jt7cTwPEr9uiHq7BWMT2xU51cIUhPOxTu0rqannADguEKwdDeu1GNJz6bxXbOVy nFKywvH7qaS7J1ZZbIUp4WYQ7+LMtf5DoESp0loF6Q4K5LsNryOnNhebXZ9ujcPA uPDMZJcd2w5Q4TNrBLsMy4WAaO7eoGbKZSo6CB4d5mIHLiQZKDjKXfKzmXWj/zBr o/IxNzemOTZbgzDarnmDbqXj4GtxsYVSA1xHnVSTeSqZFpqCKiD0etuj2BwV5Yuz 79UCoglCNqgzaEh+IUyD1Y2YIgak3kTDfnaKW2XV7jkvYzcRL0vAkdal3OL3Z0tA bEmp3VOqKMtQsmpJcxDMmytnzEcHh7WtoB1yzTsNZhfJCYJ1Ap3SS+ACJj3MV5mG Rp0y1Zos25ebOT47nU8kSB8RD/UuR8cWGddFYbKR2F0op5BLi2jaLdE8BigUVLYb E/b8eGdXOeNJ3M1I51WYCsm035/wcEMbO/yUnKcCq66gTedIeGQW29O0lQNgtUB9 ZL7Yy71YZETcymuNFIN1RK0MGUr3Y5osBHZ9bhaYVlYvEewnVwN6Bf8/fvnnW9N/ yBv9B8Wge/z/jtB/Xk8JwOs44aNSAvA6TviolAC8lhPu9Z9X4n8IHntOURax52R3 G//jAvD5+S8MxbGb9R8K38f/nVgTV1du6X7+OfwHvZNXWfC4rMOn15ecLPaCz9/u Ddxe9cr8qTPDXMwjiYAgRtx+iqDwhNnxT83o9DMTBJ4IgTtBRkdPYOwKpq5weCKq 5tOn9wnXJzn+b37F7cdM/2/M/2AUe3H+E7vZ/0eg+/2fO7ExZicvAr3yUPTxB0T7 xJivQOQx9BCwY+fq9i/QVIwJTI2/HiOPsXfc2im86MmFikTMlQunifwGHm9Rnf6R UNadU/vN1YQcS4S6zK8mTOlOPvt6/PncO60TPnEIb4Z7h4eAWV5N6OtGPrvntcD0 7LaxVTMUgkkSewhwThtcTT4UmB4CrJNlj+bc1eRlXBsvGMHxavIc3h4C8+chcjX5 dHPGWbOEcPlYGXkrtajv8fEShNmNaezbQkRjewoX+alWtjYo5e2gGaTS1iHlZ326 uZQPgckLCyzSJ5f2TOoC0+RK10bj1szDVccKicPn6sDPUZ80Bg2BB40rEX4NLs9h 20HKCfeaefXSw6rVcRnCp23hXyRXJPM1sc4oprAi6XSw126Fw2qBdlB4sJonn37R p0fz4jCO8mejtq2aKxB81Sfv2SX63DtOFj6pG+dREznwOE5l0Y6PeaQERdhGV5Nx 6O7R9TsM//OgaZwwuOP9Pwh7cf57hH7i5vw3gd/j/z3+fyz4/1Gh/XsSwV6K/2sk fwvveFP8QyRxm/9hY43r+Efg+/Ofd2KGRMM/9VLu/5knkwM5IyjUP6A4jPuI5wfU GEw4jsEocX2ghnQdGMbgA3bP8N9l8R+HReDfefwj7/7/H0ZCOPHs/A95H/93YV/6 P0b7Veqnf3f9W3/5n9/42+/75f/65g/4f3X4+p/9w0/8wt8Mv/97f/jX/zt88Stf +/Ljv/unb379+OvZvw3aN/7jn59+6vt/Q7n6sU3/RS36oT/5cS+a/8pXGLL7gy+R eY1dET/8qa/+8Q9Wf/HlP6r/9DNf+J9f+8Wf/c3f/vs/z4p/Eb8Q/PePfu2Xfu53 rB/59381fvIfH05+Xr6PwE9c/D8OCu9u4/+F/nt9BOBG/yXuz//djf77bYoYwLcr XADfilhxv+B4a/EfF+e4fTtbQG+Kfxy6Pv+D4SiMosTN+V9yzAnu4/9O4v9DN3k+ ZHfoffs/6JgQ4NRkrtlz84N2gdArCLmC0JtdoDfrDU/PT8bsu3xiNUFN/3875/Pa NBiH8Yt6CBS0Q2SDYcYEkSl9k75Nmkmn7ebWde2WLm3646Jp2q7FtU2btq496EGc KMgu4sH5a4dN8NccCMLYP6AMwcv+Bg/e1NMuZimTdlvXyWxx4/s5pQ0N5SXPk/d9 nrclaSuHrBhbaKb6cHiUHOYxWe8SBkK1CTFVTWbSpDDAGwjZ1vATeRvaWPWnbFIh msyQmKNYmhz38Sa7yG+ckGy5vJKSlF5E8v0ev8mq3bwHPCTYqv9mVEAN9//p+Z+m f9qCMMvqv/+k4fnfEiqCJbcJfVPnuyR/9XS0YxBorSR4jTK/zWywKUlfjUftlEvW a4qqzKsSE0pyvrf629Ubir6awigcGnVEnP0IiZ5wjr4ezjNiqr/IZ9IBl2eo6PU5 BrITiUwg5p5yxcsOWqKUKXvOLE7kHEhQBbtU0/Ek4+p4NDnGZ7zh0FiJvpETJxKF hKx6Is6AXxicGmYUJmvxjXmDTk+qzBSuZMxq0aUKTszlE6WhdM3FBkU5XZLCPT2l 8UlHKOT1ubOBsqtnREzwI5G436TkSgkxzYVkxr9bYbTDCFT/r0y9yshXUrRhlxRF G0sprxm2SY0q2/NYCrMGwkDAo6GZ/t+MCqhh/4/MVf2Pvv7DDMz/wP8Pg/+DyQEH yP+bUQE23P+JqD/zfxpZ9P5fewv8vwXo/d/W7OecjaRZhGWaZq04LtGUjCPIwkUQ krUXmI1xEstIUQmbOVD/IdN/EyrAPfZ/Ff2z+v5P7RD03wpit+2TyoevQvtisv3j fJz48e1pxN3xs+1I74vpO89MxqurnY/XnlxeLFx702lcIjvurZ8ods/MHQtevPD+ bbBr+dR5amnN25XtflV+/fCLPbs62/fO+OD7yqzx9EzqbtfLk4GznxZurp+JHZ0+ 7l5+tPr8vtj2OfXr0sLKnHgrqM6DAv9H/f/bCnCP/Z+ufzOm9PyfhfVfS9hvJkXs N4ci/iZ7gtkGAAAAAAAAAAAAAAAAAAAAAAAAAABAPX4DY+BfEQB4AAA= -- END MESSAGE ARCHIVE --
The following requirements were crafted throughout the development of the mechanism described in this document. They are preserved here for historical reasons.
次の要件は、このドキュメントで説明されているメカニズムの開発を通じて作成されました。それらはここで歴史的な理由で保存されています。
o The mechanism must allow a UAC or a proxy server to provide a strong cryptographic identity assurance in a request that can be verified by a proxy server or UAS. o User agents that receive identity assurances must be able to validate these assurances without performing any network lookup. o User agents that hold certificates on behalf of their user must be capable of adding this identity assurance to requests. o Proxy servers that hold certificates on behalf of their domain must be capable of adding this identity assurance to requests; a UAC is not required to support this mechanism in order for an identity assurance to be added to a request in this fashion. o The mechanism must prevent replay of the identity assurance by an attacker. o In order to provide full replay protection, the mechanism must be capable of protecting the integrity of SIP message bodies (to ensure that media offers and answers are linked to the signaling identity). o It must be possible for a user to have multiple AoRs (i.e., accounts or aliases) that it is authorized to use within a domain, and for the UAC to assert one identity while authenticating itself as another, related, identity, as permitted by the local policy of the domain.
o このメカニズムは、UACまたはプロキシサーバーが、プロキシサーバーまたはUASによって検証できる要求で強力な暗号化のID保証を提供できるようにする必要があります。oアイデンティティ保証を受けるユーザーエージェントは、ネットワーク検索を実行せずにこれらの保証を検証できる必要があります。oユーザーに代わって証明書を保持しているユーザーエージェントは、この識別保証をリクエストに追加できる必要があります。oドメインに代わって証明書を保持するプロキシサーバーは、この識別保証をリクエストに追加できる必要があります。このメカニズムをこの方法でリクエストに追加するために、このメカニズムをサポートする必要はありません。oメカニズムは、攻撃者によるアイデンティティ保証の再生を防ぐ必要があります。o完全なリプレイ保護を提供するために、メカニズムはSIPメッセージ本体の完全性を保護できる必要があります(メディアの提供と回答がシグナリングアイデンティティにリンクされるように)。oユーザーは、ドメイン内で使用することが許可されている複数のAOR(すなわち、アカウントまたはエイリアス)を持つことができる必要があります。ドメインのローカルポリシー。
References
参考文献
Normative References
引用文献
[1] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, June 2002.
[1] Rosenberg、J.、Schulzrinne、H.、Camarillo、G.、Johnston、A.、Peterson、J.、Sparks、R.、Handley、M。、およびE. Schooler、 "SIP:SESSION INTIATION Protocol"、RFC 3261、2002年6月。
[2] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[2] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[3] Peterson, J., "A Privacy Mechanism for the Session Initiation Protocol (SIP)", RFC 3323, November 2002.
[3] ピーターソン、J。、「セッション開始プロトコル(SIP)のプライバシーメカニズム」、RFC 3323、2002年11月。
[4] Rosenberg, J. and H. Schulzrinne, "Session Initiation Protocol (SIP): Locating SIP Servers", RFC 3263, June 2002.
[4] Rosenberg、J。およびH. Schulzrinne、「セッション開始プロトコル(SIP):SIPサーバーの位置」、RFC 3263、2002年6月。
[5] Peterson, J., "Session Initiation Protocol (SIP) Authenticated Identity Body (AIB) Format", RFC 3893, September 2004.
[5] Peterson、J。、「セッション開始プロトコル(SIP)認証IDボディ(AIB)形式」、RFC 3893、2004年9月。
[6] Crocker, D. and P. Overell, "Augmented BNF for Syntax Specifications: ABNF", RFC 4234, October 2005.
[6] Crocker、D。およびP. Overell、「構文仕様のためのBNFの増強:ABNF」、RFC 4234、2005年10月。
[7] Housley, R., "Cryptographic Message Syntax (CMS) Algorithms", RFC 3370, August 2002.
[7] Housley、R。、「暗号化メッセージ構文(CMS)アルゴリズム」、RFC 3370、2002年8月。
[8] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 3548, July 2003.
[8] Josefsson、S。、「Base16、Base32、およびBase64データエンコーディング」、RFC 3548、2003年7月。
[9] Housley, R., Polk, W., Ford, W., and D. Solo, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 3280, April 2002.
[9] Housley、R.、Polk、W.、Ford、W。、およびD. Solo、「インターネットX.509公開キーインフラストラクチャ証明書および証明書取消リスト(CRL)プロファイル」、RFC 3280、2002年4月。
[10] Housley, R. and P. Hoffman, "Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP", RFC 2585, May 1999.
[10] Housley、R。and P. Hoffman、「インターネットX.509公開キーインフラストラクチャ運用プロトコル:FTPおよびHTTP」、RFC 2585、1999年5月。
[11] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000.
[11] Rescorla、E。、「TLS上のHTTP」、RFC 2818、2000年5月。
Informative References
参考引用
[12] Jennings, C., Peterson, J., and M. Watson, "Private Extensions to the Session Initiation Protocol (SIP) for Asserted Identity within Trusted Networks", RFC 3325, November 2002.
[12] Jennings、C.、Peterson、J。、およびM. Watson、「信頼できるネットワーク内の主張されたアイデンティティのセッション開始プロトコル(SIP)へのプライベートエクステンション」、RFC 3325、2002年11月。
[13] Schulzrinne, H., "The tel URI for Telephone Numbers", RFC 3966, December 2004.
[13] Schulzrinne、H。、「電話番号のためのTel URI」、RFC 3966、2004年12月。
[14] Faltstrom, P. and M. Mealling, "The E.164 to Uniform Resource Identifiers (URI) Dynamic Delegation Discovery System (DDDS) Application (ENUM)", RFC 3761, April 2004.
[14] Faltstrom、P。and M. Mealling、「E.164へのユニフォームリソース識別子(URI)動的委任ディスカバリーシステム(DDDS)アプリケーション(ENUM)」、RFC 3761、2004年4月。
[15] Peterson, J., "Retargeting and Security in SIP: A Framework and Requirements", Work in Progress, February 2005.
[15] ピーターソン、J。、「SIPのリターゲティングとセキュリティ:フレームワークと要件」、2005年2月、進行中の作業。
[16] Sparks, R., Ed., Hawrylyshen, A., Johnston, A., Rosenberg, J., and H. Schulzrinne, "Session Initiation Protocol (SIP) Torture Test Messages, RFC 4475, May 2006.
[16] Sparks、R.、ed。、Hawrylyshen、A.、Johnston、A.、Rosenberg、J。、およびH. Schulzrinne、「セッション開始プロトコル(SIP)拷問テストメッセージ、RFC 4475、2006年5月。
Authors' Addresses
著者のアドレス
Jon Peterson NeuStar, Inc. 1800 Sutter St Suite 570 Concord, CA 94520 US
Jon Peterson Neustar、Inc。1800 Sutter St Suite 570 Concord、CA 94520 US
Phone: +1 925/363-8720 EMail: jon.peterson@neustar.biz URI: http://www.neustar.biz/
Cullen Jennings Cisco Systems 170 West Tasman Drive MS: SJC-21/2 San Jose, CA 95134 USA
Cullen Jennings Cisco Systems 170 West Tasman Drive MS:SJC-21/2 San Jose、CA 95134 USA
Phone: +1 408 902-3341 EMail: fluffy@cisco.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。