跳到主要内容

12. 安全考虑事项 (Security Considerations)

由于多线路外观 (multiple line appearance) 特性使用 SIP [RFC3261], 用于对话状态的 SIP 事件包 [RFC4235], 以及 SIP 事件框架 [RFC6665] 和 [RFC3903] 提供的语义实现, 这些文档中的安全考虑事项同样适用于本文档.

为提供机密性, 提供对话状态信息和对话标识符的 NOTIFY 或 PUBLISH 消息体 MAY 使用 [RFC3261] 中描述的 S/MIME 等标准机制进行端到端加密. 另一种方式是通过 TLS 发送 NOTIFY 和 PUBLISH 请求, 这也能提供机密性, 但其作用范围是逐跳的. UA 与外观代理 (Appearance Agent) 之间的所有 SUBSCRIBE 和 PUBLISH 都 MUST 经过认证. 如果缺少适当的认证和机密性保护, 第三方可能获知与某个 AOR 关联的对话信息, 并可能尝试利用这些信息通过 SIP 呼叫控制原语劫持或操纵这些对话.

此特性依赖 Replaces 和 Join 等标准 SIP 呼叫控制原语. 对这些原语的使用 MUST 实施适当的访问控制, 以确保只有共享外观组的成员能够使用这些机制. 对于带有 Replaces 或 Join 头字段的所有 INVITE, MUST 只在请求替换或加入对话的对端已使用标准 SIP 机制 (例如 Digest 或 S/MIME) 正确认证, 并被授权请求替换时接受. 否则, 第三方可能中断或劫持共享外观组中的现有对话.

对于紧急呼叫, UA 在发送 INVITE 前 MUST NOT 等待外观占用被确认. 等待确认可能无意中延迟或阻塞紧急呼叫, 而紧急呼叫本质上需要尽快发起. 因此, 无论 PUBLISH 事务状态如何, 紧急呼叫都 MUST 继续进行.