Asterisk项目中mediasec安全头在INVITE请求中的缺失问题分析

在Asterisk开源通信平台中，存在一个关于mediasec安全机制的重要实现缺陷。该问题涉及SIP协议中Security-Verify及相关Requires/Proxy-Requires头在INVITE请求中的缺失，而相同机制在REGISTER请求中却能正常工作。

问题背景

mediasec是SIP协议中基于RFC 3329的安全机制实现，主要用于提供端到端的安全验证。在Asterisk的实现中，这个功能主要由res_pjsip_rfc3329模块负责处理。

问题现象

开发人员发现，当Asterisk作为客户端发起呼叫时：

1. 在REGISTER请求中能正确包含Security-Verify、Requires和Proxy-Requires头
2. 但在INVITE请求中却缺失了这些安全头

根本原因分析

经过深入排查，发现问题源于两个关键因素：

1. 触发条件限制：当前实现要求必须先在REGISTER请求的200 OK响应中收到Security-Server头，才会在后续INVITE中包含Security-Verify头。这种设计导致在测试环境中难以复现。

2. 头字段不完整：即使在满足条件的情况下，虽然添加了Security-Verify头，但遗漏了配套的"Require: mediasec"和"Proxy-Require: mediasec"头字段，这与REGISTER请求的处理逻辑不一致。

技术细节

在Asterisk的代码实现中：

• res_pjsip_rfc3329模块负责处理mediasec相关逻辑
• 问题源于历史提交cacd98bb29ae8ca17的修改，该修改将安全头的发送条件限制为仅当收到带有Security-Server头的401响应时
• 但401响应在Asterisk中被早期自动处理，不会传递到会话处理器

解决方案

该问题已在最新版本中修复，主要改进包括：

1. 完善了INVITE请求中安全头的添加逻辑
2. 确保Require和Proxy-Require头与Security-Verify头同步添加
3. 优化了触发条件判断机制

实际应用意义

这一修复对于需要与特定运营商网络(如DTAG的CompanyFlex中继)对接的场景尤为重要。这些网络仍然要求使用mediasec安全机制来建立可信的通信连接。

开发者建议

对于需要测试mediasec功能的开发者：

1. 需要模拟完整的Security-Server头响应
2. 建议在res-pjsip_outbound_registration模块中mock相关响应
3. 注意检查所有必需的安全头是否完整

此问题的修复确保了Asterisk在安全通信方面的完整性和一致性，为需要高安全级别SIP通信的企业用户提供了可靠保障。