TR069-HttpDigest流程.docVIP

TR069 Http Digest 验证流程 流程及流程图 盒端主动发起Http Digest认证流程 机顶盒(CPE)通过HTTP Digest Authentication发起与终端管理系统(ACS)的认证连接，连接方式遵循RFC 2617的规定。 机顶盒连接终端管理系统的地址由Device.ManagementServer.URL参数提供。 机顶盒主动想终端管理系统发起一个HTTP 连接请求，终端管理系统会要求进行HTTP Digest Authentication认证。并按照RFC2671规范，盒端和盒端管理系统在之后的请求和应答时信息均带有认证头信息。 认证中的用户名、密码为Device.ManagementServer.Username 及Device.ManagementServer.Password ?终端管理系统地址（ACS地址）在出厂时和快速放装时进行统一配置。、 详细交互流程： 盒端（CPE）首先发起不带Digest 验证头的sendInform请求报文，内容如下： POST /ACS HTTP/1.1 Host: 76:7547 User-Agent: gSOAP/2.7 Content-Type: text/xml; charset=utf-8; action= Content-Length: 3130 Connection: keep-alive SOAPAction: ?xml version=1.0 encoding=UTF-8? SOAP-ENV:Envelope xmlns:SOAP-ENV=/soap/envelope/ xmlns:SOAP-ENC=/soap/encoding/ xmlns:xsi=/2001/XMLSchema-instance xmlns:xsd=/2001/XMLSchema xmlns:stb=/stb.xsd xmlns:cwmp=urn:dslforum-org:cwmp-1-0SOAP-ENV:Headercwmp:ID SOAP-ENV:mustUnderstand=11/cwmp:ID/SOAP-ENV:HeaderSOAP-ENV:Body SOAP-ENV:encodingStyle=/soap/encoding/cwmp:InformDeviceId xsi:type=cwmp:DeviceIdStructManufacturer xsi:type=xsd:stringTDeviceInfo/ManufacturerOUI ………. ……. 盒端管理系统（ACS）收到上述报文后，发现没有认证消息（带有Authorization:标识的报文），然后发送401错误报文： HTTP/1.1 401 Unauthorized Date: Thu, 20-Jan-11 17:28:48 GMT Server: NCSA/1.3 MIME-version: 1.0 Content-type: text/html WWW-Authenticate: Digest realm= Motorola CWMP ,nonce=VHVlIE5vdiAyOCAxNDo0Nzo1MCAyMDA2MS4xLjEuMTI1,opaque=5ccc069c403ebaf9f0171e9517f40e41,qop=auth 盒端（cpe）收到报文后，经过分析得到报文错误为401，代码中通过分析报文中是否有WWW-Authenticate: Digest 字段，如果具有那么将其中的realm，nonce，opaque，qop的值存储下来，并将程序中的Http Digest认证参数：DaEnabled置为true，使发送下一个回复报文之前初始化Http Digest认证插件。通过函数：http_da_post_header，(本地配置的realm必须与收到的realm一致否则验证不能通过)将本地文件配置的realm和从盒端管理系统（ACS）收到的nonce，opaque，qop等值通过函数http_da_calc_HA1，生成一个唯一的字符串并存入response字段，并将这些信息组合到报文的头部，最后发送给ACS的报文为： POST /ACS HTTP/1.1 Host: 76:7547 User-Agent: gSOAP/2.7 Content-Type: text/xml; charset=utf-8; action= Content-Length: 1153 Connection: keep-alive Authorization: Digest realm=Motorola CWMP, username=1234, nonce=VHVlIE