rtsp摘要认证协议(Response计算方法)

From： http://m.blog.csdn.net/blog/WTBEE/9001859

1. rtsp摘要认证协议流程

RTSP协议，全称Real Time Streaming Protocol，是应用层的协议，它主要实现的功能是传输并控制具有实时特性的媒体流，如音频（Audio）和视频（Video）。Rtsp认证主要分为两种：基本认证（basic authentication）和摘要认证（ digest authentication　）。基本认证是http 1.0提出的认证方案，其消息传输不经过加密转换因此存在严重的安全隐患。摘要认证是http 1.1提出的基本认证的替代方案，其消息经过MD5哈希转换因此具有更高的安全性。下面将以一次与网络摄像机握手的全过程来详细介绍RTSP摘要认证的应用：

摘要认证 Digest authentication

   

 客户端第一次发起连接请求：OPTIONS rtsp://192.168.123.158:554/11 RTSP/1.0CSeq: 1User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)

服务器端返回服务端信息及public方法：RTSP/1.0 200 OKServer: HiIpcam/V100R003 VodServer/1.0.0Cseq: 1Public: OPTIONS, DESCRIBE, SETUP, TEARDOWN, PLAY,GET_PARAMETER

客户端再次发起连接：DESCRIBE rtsp://192.168.123.158:554/11 RTSP/1.0CSeq: 2User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)Accept: application/sdp

服务器端返回401错误，提示未认证并以nonce质询：RTSP/1.0 401 UnauthorizedServer: HiIpcam/V100R003 VodServer/1.0.0Cseq: 2WWW-Authenticate:Digest realm="HipcamRealServer",nonce="3b27a446bfa49b0c48c3edb83139543d"

客户端以用户名，密码，nonce，HTTP方法，请求的URI等信息为基础产生response信息进行反馈（计算方法参考说明）：DESCRIBErtsp://192.168.123.158:554/11 RTSP/1.0CSeq: 3Authorization: Digest username="admin",realm="Hipcam RealServer", nonce="3b27a446bfa49b0c48c3edb83139543d",uri="rtsp://192.168.123.158:554/11", response="258af9d739589e615f711838a0ff8c58"User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)Accept: application/sdp

服务器对客户端反馈的response进行校验，通过则返回如下字段：RTSP/1.0 200 OKServer: HiIpcam/V100R003 VodServer/1.0.0Cseq: 3Content-Type: application/sdpCache-Control: must-revalidateContent-length: 306Content-Base: rtsp://192.168.123.158:554/11/ v=0o=StreamingServer 3331435948 1116907222000 IN IP4192.168.123.158s=\11c=IN IP4 0.0.0.0b=AS:1032t=0 0a=control:*m=video 0 RTP/AVP 96b=AS:1024a=control:trackID=0a=rtpmap:96 H264/90000a=fmtp:96 packetization-mode=1;sprop-parameter-sets=Z0LgHtoCgPRA,aM4wpIA=a=framesize:96 640-480

然后，客户端发起建立连接请求（用同样的方法计算response）：SETUP rtsp://192.168.123.158:554/11/trackID=0 RTSP/1.0CSeq: 4Authorization: Digest username="admin", realm="HipcamRealServer", nonce="3b27a446bfa49b0c48c3edb83139543d",uri="rtsp://192.168.123.158:554/11/",response="7251f3cd9dec6d89fc948e4c50e0b1cf"User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)Transport:RTP/AVP;unicast;client_port=4074-4075

服务器端验证客户端返回的response字段，通过则返回通信参数：RTSP/1.0 200 OKServer: HiIpcam/V100R003 VodServer/1.0.0Cseq: 4Session: 430786884314920Cache-Control: must-revalidateTransport: RTP/AVP;unicast;mode=play;source=192.168.123.158;client_port=4074-4075;server_port=5000-5001;ssrc=542289ec

最后，客户端发起播放请求(同样需计算response字段)：PLAY rtsp://192.168.123.158:554/11/ RTSP/1.0CSeq: 5Authorization: Digest username="admin", realm="HipcamRealServer", nonce="3b27a446bfa49b0c48c3edb83139543d",uri="rtsp://192.168.123.158:554/11/",response="9bfb25badcf52e6826cae5688e26cf6d"User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)Session: 430786884314920Range: npt=0.000-服务器端校验response字段，通过则返回视频数据。

说明：

1. 请求头字段说明

例如：OPTIONS rtsp://192.168.123.158:554/11RTSP/1.0

字段依次包含：public_method,uri地址，协议版本

 

2. response字段的计算

RTSP客户端应该使用username + password并计算response如下:

(1)当password为MD5编码,则

   response = md5(password:nonce:md5(public_method:url));

(2)当password为ANSI字符串,则

    response= md5(md5(username:realm:password):nonce:md5(public_method:url));

客户端在每次发起不同的请求方法时都需要计算response字段，同样在服务器端校验时也默认采取同样的计算方法。

3. http状态码及含义

状态代码状态信息含义100  Continue初始的请求已经接受，客户应当继续发送请求的其余部分。（HTTP 1.1新）101   Switching Protocols服务器将遵从客户的请求转换到另外一种协议（HTTP 1.1新）200   OK一切正常，对GET和POST请求的应答文档跟在后面。201   Created服务器已经创建了文档，Location头给出了它的URL。202   Accepted已经接受请求，但处理尚未完成。203   Non-Authoritative Information文档已经正常地返回，但一些应答头可能不正确，因为使用的是文档的拷贝（HTTP 1.1新）。204   No Content没有新文档，浏览器应该继续显示原来的文档。如果用户定期地刷新页面，而Servlet可以确定用户文档足够新，这个状态代码是很有用的。205Reset Content没有新的内容，但浏览器应该重置它所显示的内容。用来强制浏览器清除表单输入内容（HTTP 1.1新）。206Partial Content客户发送了一个带有Range头的GET请求，服务器完成了它（HTTP 1.1新）。300Multiple Choices客户请求的文档可以在多个位置找到，这些位置已经在返回的文档内列出。如果服务器要提出优先选择，则应该在Location应答头指明。301Moved Permanently客户请求的文档在其他地方，新的URL在Location头中给出，浏览器应该自动地访问新的URL。

303See Other类似于301/302，不同之处在于，如果原来的请求是POST，Location头指定的重定向目标文档应该通过GET提取（HTTP 1.1新）。304Not Modified客户端有缓冲的文档并发出了一个条件性的请求（一般是提供If-Modified-Since头表示客户只想比指定日期更新的文档）。服务器告诉客户，原来缓冲的文档还可以继续使用。305Use Proxy客户请求的文档应该通过Location头所指明的代理服务器提取（HTTP 1.1新）。307Temporary Redirect和302（Found）相同。许多浏览器会错误地响应302应答进行重定向，即使原来的请求是POST，即使它实际上只能在POST请求的应答是303时才能重定向。由于这个原因，HTTP 1.1新增了307，以便更加清除地区分几个状态代码：当出现303应答时，浏览器可以跟随重定向的GET和POST请求；如果是307应答，则浏览器只能跟随对GET请求的重定向。（HTTP 1.1新）          400Bad Request请求出现语法错误。401Unauthorized客户试图未经授权访问受密码保护的页面。应答中会包含一个WWW-Authenticate头，浏览器据此显示用户名字/密码对话框，然后在填写合适的Authorization头后再次发出请求。403Forbidden资源不可用。服务器理解客户的请求，但拒绝处理它。通常由于服务器上文件或目录的权限设置导致。404Not Found无法找到指定位置的资源。这也是一个常用的应答。405Method Not Allowed请求方法（GET、POST、HEAD、DELETE、PUT、TRACE等）对指定的资源不适用。（HTTP 1.1新）406Not Acceptable指定的资源已经找到，但它的MIME类型和客户在Accpet头中所指定的不兼容（HTTP 1.1新）。407Proxy Authentication Required类似于401，表示客户必须先经过代理服务器的授权。（HTTP 1.1新）408Request Timeout在服务器许可的等待时间内，客户一直没有发出任何请求。客户可以在以后重复同一请求。（HTTP 1.1新）409Conflict通常和PUT请求有关。由于请求和资源的当前状态相冲突，因此请求不能成功。（HTTP 1.1新）410Gone所请求的文档已经不再可用，而且服务器不知道应该重定向到哪一个地址。它和404的不同在于，返回407表示文档永久地离开了指定的位置，而404表示由于未知的原因文档不可用。（HTTP 1.1新）411Length Required服务器不能处理请求，除非客户发送一个Content-Length头。（HTTP 1.1新）412Precondition Failed请求头中指定的一些前提条件失败（HTTP 1.1新）。413Request Entity Too Large目标文档的大小超过服务器当前愿意处理的大小。如果服务器认为自己能够稍后再处理该请求，则应该提供一个Retry-After头（HTTP 1.1新）。414Request URI Too LongURI太长（HTTP 1.1新）。416   Requested Range Not Satisfiable服务器不能满足客户在请求中指定的Range头。（HTTP 1.1新）500   Internal Server Error服务器遇到了意料不到的情况，不能完成客户的请求。501   Not Implemented服务器不支持实现请求所需要的功能。例如，客户发出了一个服务器不支持的PUT请求。502   Bad Gateway服务器作为网关或者代理时，为了完成请求访问下一个服务器，但该服务器返回了非法的应答。503   Service Unavailable服务器由于维护或者负载过重未能应答。例如，Servlet可能在数据库连接池已满的情况下返回503。服务器返回503时可以提供一个Retry-After头。504   Gateway Timeout由作为代理或网关的服务器使用，表示不能及时地从远程服务器获得应答。（HTTP 1.1新）505   HTTP Version Not Supported服务器不支持请求中所指明的HTTP版本。（HTTP 1.1新）