rtsp摘要认证协议(Response计算方法)

From： http://m.blog.csdn.net/blog/WTBEE/9001859

1. rtsp摘要认证协议流程

RTSP协议，全称Real Time Streaming Protocol，是应用层的协议，它主要实现的功能是传输并控制具有实时特性的媒体流，如音频（Audio）和视频（Video）。Rtsp认证主要分为两种：基本认证（basic authentication）和摘要认证（ digest authentication　）。基本认证是http 1.0提出的认证方案，其消息传输不经过加密转换因此存在严重的安全隐患。摘要认证是http 1.1提出的基本认证的替代方案，其消息经过MD5哈希转换因此具有更高的安全性。下面将以一次与网络摄像机握手的全过程来详细介绍RTSP摘要认证的应用：

摘要认证 Digest authentication

 客户端第一次发起连接请求：
OPTIONS rtsp://192.168.123.158:554/11 RTSP/1.0
CSeq: 1
User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)


服务器端返回服务端信息及public方法：
RTSP/1.0 200 OK
Server: HiIpcam/V100R003 VodServer/1.0.0
Cseq: 1
Public: OPTIONS, DESCRIBE, SETUP, TEARDOWN, PLAY,GET_PARAMETER


客户端再次发起连接：
DESCRIBE rtsp://192.168.123.158:554/11 RTSP/1.0
CSeq: 2
User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)
Accept: application/sdp


服务器端返回401错误，提示未认证并以nonce质询：
RTSP/1.0 401 Unauthorized
Server: HiIpcam/V100R003 VodServer/1.0.0
Cseq: 2
WWW-Authenticate:Digest realm="HipcamRealServer",
nonce="3b27a446bfa49b0c48c3edb83139543d"


客户端以用户名，密码，nonce，HTTP方法，请求的URI等信息为基础产生response信息进行反馈（计算方法参考说明）：
DESCRIBErtsp://192.168.123.158:554/11 RTSP/1.0
CSeq: 3
Authorization: Digest username="admin",realm="Hipcam RealServer", nonce="3b27a446bfa49b0c48c3edb83139543d",uri="rtsp://192.168.123.158:554/11", response="258af9d739589e615f711838a0ff8c58"
User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)
Accept: application/sdp


服务器对客户端反馈的response进行校验，通过则返回如下字段：
RTSP/1.0 200 OK
Server: HiIpcam/V100R003 VodServer/1.0.0
Cseq: 3
Content-Type: application/sdp
Cache-Control: must-revalidate
Content-length: 306
Content-Base: rtsp://192.168.123.158:554/11/v=0
o=StreamingServer 3331435948 1116907222000 IN IP4192.168.123.158
s=\11
c=IN IP4 0.0.0.0
b=AS:1032
t=0 0
a=control:*
m=video 0 RTP/AVP 96
b=AS:1024
a=control:trackID=0
a=rtpmap:96 H264/90000
a=fmtp:96 packetization-mode=1;sprop-parameter-sets=Z0LgHtoCgPRA,aM4wpIA=
a=framesize:96 640-480


然后，客户端发起建立连接请求（用同样的方法计算response）：
SETUP rtsp://192.168.123.158:554/11/trackID=0 RTSP/1.0
CSeq: 4
Authorization: Digest username="admin", realm="HipcamRealServer", nonce="3b27a446bfa49b0c48c3edb83139543d",uri="rtsp://192.168.123.158:554/11/",response="7251f3cd9dec6d89fc948e4c50e0b1cf"
User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)
Transport:RTP/AVP;unicast;client_port=4074-4075


服务器端验证客户端返回的response字段，通过则返回通信参数：
RTSP/1.0 200 OK
Server: HiIpcam/V100R003 VodServer/1.0.0
Cseq: 4
Session: 430786884314920
Cache-Control: must-revalidate
Transport: RTP/AVP;unicast;mode=play;source=192.168.123.158;client_port=4074-4075;server_port=5000-5001;ssrc=542289ec


最后，客户端发起播放请求(同样需计算response字段)：
PLAY rtsp://192.168.123.158:554/11/ RTSP/1.0
CSeq: 5
Authorization: Digest username="admin", realm="HipcamRealServer", nonce="3b27a446bfa49b0c48c3edb83139543d",uri="rtsp://192.168.123.158:554/11/",response="9bfb25badcf52e6826cae5688e26cf6d"
User-Agent: LibVLC/2.0.5(LIVE555 Streaming Media v2012.09.13)
Session: 430786884314920
Range: npt=0.000-
服务器端校验response字段，通过则返回视频数据。

说明：

1. 请求头字段说明

例如：OPTIONS rtsp://192.168.123.158:554/11RTSP/1.0

字段依次包含：public_method,uri地址，协议版本

2. response字段的计算

RTSP客户端应该使用username + password并计算response如下:

(1)当password为MD5编码,则

response = md5(password:nonce:md5(public_method:url));

(2)当password为ANSI字符串,则

response= md5(md5(username:realm:password):nonce:md5(public_method:url));

客户端在每次发起不同的请求方法时都需要计算response字段，同样在服务器端校验时也默认采取同样的计算方法。

3. http状态码及含义

状态代码	状态信息	含义
100	Continue	初始的请求已经接受，客户应当继续发送请求的其余部分。（HTTP 1.1新）
101	Switching Protocols	服务器将遵从客户的请求转换到另外一种协议（HTTP 1.1新）
200	OK	一切正常，对GET和POST请求的应答文档跟在后面。
201	Created	服务器已经创建了文档，Location头给出了它的URL。
202	Accepted	已经接受请求，但处理尚未完成。
203	Non-Authoritative Information	文档已经正常地返回，但一些应答头可能不正确，因为使用的是文档的拷贝（HTTP 1.1新）。
204	No Content	没有新文档，浏览器应该继续显示原来的文档。如果用户定期地刷新页面，而Servlet可以确定用户文档足够新，这个状态代码是很有用的。
205	Reset Content	没有新的内容，但浏览器应该重置它所显示的内容。用来强制浏览器清除表单输入内容（HTTP 1.1新）。
206	Partial Content	客户发送了一个带有Range头的GET请求，服务器完成了它（HTTP 1.1新）。
300	Multiple Choices	客户请求的文档可以在多个位置找到，这些位置已经在返回的文档内列出。如果服务器要提出优先选择，则应该在Location应答头指明。
301	Moved Permanently	客户请求的文档在其他地方，新的URL在Location头中给出，浏览器应该自动地访问新的URL。

303	See Other	类似于301/302，不同之处在于，如果原来的请求是POST，Location头指定的重定向目标文档应该通过GET提取（HTTP 1.1新）。
304	Not Modified	客户端有缓冲的文档并发出了一个条件性的请求（一般是提供If-Modified-Since头表示客户只想比指定日期更新的文档）。服务器告诉客户，原来缓冲的文档还可以继续使用。
305	Use Proxy	客户请求的文档应该通过Location头所指明的代理服务器提取（HTTP 1.1新）。
307	Temporary Redirect	和302（Found）相同。许多浏览器会错误地响应302应答进行重定向，即使原来的请求是POST，即使它实际上只能在POST请求的应答是303时才能重定向。由于这个原因，HTTP 1.1新增了307，以便更加清除地区分几个状态代码：当出现303应答时，浏览器可以跟随重定向的GET和POST请求；如果是307应答，则浏览器只能跟随对GET请求的重定向。（HTTP 1.1新）
400	Bad Request	请求出现语法错误。
401	Unauthorized	客户试图未经授权访问受密码保护的页面。应答中会包含一个WWW-Authenticate头，浏览器据此显示用户名字/密码对话框，然后在填写合适的Authorization头后再次发出请求。
403	Forbidden	资源不可用。服务器理解客户的请求，但拒绝处理它。通常由于服务器上文件或目录的权限设置导致。
404	Not Found	无法找到指定位置的资源。这也是一个常用的应答。
405	Method Not Allowed	请求方法（GET、POST、HEAD、DELETE、PUT、TRACE等）对指定的资源不适用。（HTTP 1.1新）
406	Not Acceptable	指定的资源已经找到，但它的MIME类型和客户在Accpet头中所指定的不兼容（HTTP 1.1新）。
407	Proxy Authentication Required	类似于401，表示客户必须先经过代理服务器的授权。（HTTP 1.1新）
408	Request Timeout	在服务器许可的等待时间内，客户一直没有发出任何请求。客户可以在以后重复同一请求。（HTTP 1.1新）
409	Conflict	通常和PUT请求有关。由于请求和资源的当前状态相冲突，因此请求不能成功。（HTTP 1.1新）
410	Gone	所请求的文档已经不再可用，而且服务器不知道应该重定向到哪一个地址。它和404的不同在于，返回407表示文档永久地离开了指定的位置，而404表示由于未知的原因文档不可用。（HTTP 1.1新）
411	Length Required	服务器不能处理请求，除非客户发送一个Content-Length头。（HTTP 1.1新）
412	Precondition Failed	请求头中指定的一些前提条件失败（HTTP 1.1新）。
413	Request Entity Too Large	目标文档的大小超过服务器当前愿意处理的大小。如果服务器认为自己能够稍后再处理该请求，则应该提供一个Retry-After头（HTTP 1.1新）。
414	Request URI Too Long	URI太长（HTTP 1.1新）。
416	Requested Range Not Satisfiable	服务器不能满足客户在请求中指定的Range头。（HTTP 1.1新）
500	Internal Server Error	服务器遇到了意料不到的情况，不能完成客户的请求。
501	Not Implemented	服务器不支持实现请求所需要的功能。例如，客户发出了一个服务器不支持的PUT请求。
502	Bad Gateway	服务器作为网关或者代理时，为了完成请求访问下一个服务器，但该服务器返回了非法的应答。
503	Service Unavailable	服务器由于维护或者负载过重未能应答。例如，Servlet可能在数据库连接池已满的情况下返回503。服务器返回503时可以提供一个Retry-After头。
504	Gateway Timeout	由作为代理或网关的服务器使用，表示不能及时地从远程服务器获得应答。（HTTP 1.1新）
505	HTTP Version Not Supported	服务器不支持请求中所指明的HTTP版本。（HTTP 1.1新）