3.4.5 摘要认证Digest Authentication
本节概述了在CPE WAN管理协议中使用摘要认证的要求。这些要求适用于RPC交换和文件传输的连接验证。请注意,对于不同类型的连接,ACS和CPE可以互换地扮演HTTP客户端和服务器的角色。ACS在发出连接请求时扮演HTTP客户端的角色。CPE在启动与ACS的连接时扮演HTTP客户端的角色。
CPE和ACS必须支持包含值“auth”的RFC 2617“qop”选项。根据RFC 2617,这意味着当HTTP服务器向HTTP客户机提供此选项时,它必须使用新的样式摘要机制。
使用摘要身份验证时,对于每个打开的新TCP连接,ACS应使用新的nonce值,CPE应使用新的cnonce值。
注意-如果CPE WAN管理协议会话没有使用TLS,则ACS用于重用nonce值进行HTTP身份验证的策略可能会显著影响会话的安全性。特别的,如果ACS在跨多个TCP连接重新验证时重新使用nonce值,ACS可能容易受到重播攻击。然而,如果会话使用了TLS,那么这种风险将大大降低。
CPE和ACS必须支持MD5摘要算法。CPE还必须支持MD5 sess摘要算法。
3.4.6 HTTP附加需求
规定了以下额外的HTTP相关要求:
每当ACS发送空HTTP响应时,它必须使用“204(无内容No Content)”HTTP状态代码。
CPE不得使用HTTP 1.1[6]中定义的管道
3.4.7 HTTP 压缩
本节概述了依据HTTP协议使用HTTP压缩来转换内容编码的要求,如CPE WAN管理协议RFC 7230[6]第4节“传输编码”中所定义。这些要求适用于RPC交互以及文件传输的压缩。
规定了以下额外的HTTP相关要求:
ACS应支持RFC 7230[6]第4节“传输编码”中定义的内容编码交换。
CPE应支持RFC 7230[6]第4节“传输编码”中定义的内容编码交换。
为了让CPE和ACS高效地交换压缩消息,CPE必须使用ManagementServer.HTTPCompression参数定义的内容编码头发送压缩消息。除非该参数设置为“Disabled”。
如果ACS不支持Content-Encoding头或值,则ACS必须使用“415–Unsupported Media Type”HTTP状态代码进行响应。在收到“415–Unsupported Media Type”HTTP状态代码后,CPE必须删除压缩并根据第3.2.1.1节会话重试策略重建会话。
ACS可以通过设置ManagementServer.HTTPCompression参数来启用HTTP压缩。这个参数值是CPE和ACS都支持的值。ACS可以通过设置ManagementServer.HTTPCompression参数为“Disabled”来关闭HTTP压缩。CPE在ManagementServer.HTTPCompressionSupported中列出了CPE所支持的HTTP压缩机制。