专利名称:软交换网络中的会话初始化协议用户鉴权方法
技术领域:
本发明涉及固网NGN领域,特别涉及网络智能化背景下NGN 网络中会话初始化协议用户的鉴权方法。
背景技术:
电信网络正在经历着一场变革,乂人传统的TDM ( Time Division Multiplexing,时分复用)的PSTN网络向全IP的NGN (Next Generation Network)网络演变。NGN网络的重要特点就是tR栽 (MAG——Media Access Gateway)与4空制(MGC——Media Gateway Control)相分离,并可以管理宽带SIP用户,实现宽带域的业务。由于网纟各智能4匕的成功改造,PSTN ( Public Switched Telephone Network, 7>共开关电^舌网纟各)、AG ( Access gateway, 4妄入网关)、 SIP (Session Inition protocol,会话初始化协i义)用户教:据集中在 SHLR ( Smart Home Location Register,智能归属位置寄存器)管理。 在NGN网络上,其SIP用户数据存储在SHLR,同时SHLR也保存 SIP用户的鉴权数据。传统的固网SIP用户的鉴权,在软交换SS (注册月l务器、代理 服务器)与终端之间进行,要求注册服务器(软交换设备)具有该 用户的鉴权数据,而固网软交换网络智能化后,用户数据包括鉴权 数据,全部由SHLR集中管理,这样独立的注册服务器将无法完成 SIP用户的鉴斥又。为解决该问题,需要在软交换设备与SHLR设备扩展MAP信 令,使得固网SIP用户通过与SHLR的交互,实现固网SIP用户的 鉴权。发明内容本发明要解决的技术问题是提供一种网络智能化NGN网络中 SIP用户的鉴4又方法。本发明通过SHLR存放固网SIP用户的鉴斥又密钥,由SS产生随 机数,并通过MAP鉴权消息交互获得SHLR计算的鉴权结果并由 SS比较终端与SHLR计算的结果,比较结果一致则终端鉴权成功, 不一致则终端鉴权失败。才艮据本发明,提供了 一种软交换网络中的SIP用户鉴权方法, 包括以下步骤步骤一,SIP用户向其所属域的软交换ri殳备发送第 一注册请求消息;步骤二,在接收到第一注册请求消息后,软交换 设备产生一个随机数,并向SIP用户发送携带有随机数的未鉴权消 息;步骤三,SIP用户根据随机数和其存储的鉴权密钥产生第一鉴 权响应值,并向软交换设备发送第一鉴权响应值以及第二注册请求 消息;步骤四,接收到第二注册请求消息后,專欠交换设备向智能归 属位置寄存器发送鉴权消息;步骤五,智能归属位置寄存器根据鉴 权消息和存储在智能归属位置寄存器中的鉴权密钥,产生第二鉴权 响应值,并将第二鉴权响应值发送至软交换设备;以及步骤六,软 交换设备比较第一鉴权响应值和第二鉴权响应值,并根据比较结果 判断鉴权是否成功。步骤三包括以下步骤在4妻收到未鉴权消息后,SIP用户自动 获耳又或产生统一资源标识、用户名、鉴一又参H并才艮4居统一资源标 识、用户名、鉴权参数,和存储在SIP用户中的鉴权密钥,来按照预定算法产生第一鉴权响应值;以及SIP用户向软交换设备发送第 一鉴权响应值以及第二注册请求消息。鉴权消息中携带有多个参数。步骤五包括以下步骤智能归属位置寄存器根据鉴权消息中的 多个参数以及存储在智能归属位置寄存器中的鉴权密钥,按照预定 算法产生第二鉴权响应值;以及智能归属位置寄存器将第二鉴权响 应值发送至软交换设备。步骤六包括以下步骤软交换设备比较第一鉴权响应值和第二 鉴权响应值;如果第一鉴权响应值与第二鉴权响应值相等,软交换 i殳备向SIP用户发送成功消息,鉴权通过;或如果第一鉴权响应值 与第二鉴权响应值不相等,鉴纟又失败。鉴—又消息中携带的多个参数包括随机数、统一资源标识、用 户名、鉴权参数。预定算法是通过RFC 2617定义的MD5算法。本发明有效的解决了网络智能化NGN网络下,软交换下SIP 用户的注册鉴卄又。在SIP用户为固网SIP用户时,步骤四还包括以下步骤软交 4灸"i殳备对MAP ( Mobile Application Part,移动应用部分)协议进4亍 扩展,以使固网SIP用户通过与智能归属位置寄存器进行交互来实 现对固网SIP用户的鉴—又。本发明的其它特征和优点将在随后的说明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、^又利要求书、以及附 图中所特别指出的结构来实现和获得。
此处所说明的附图用来提供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1示出了根据本发明的软交换网络中的SIP用户鉴权方法的 流程图;图2示出了才艮据本发明实施例的用于软交换网络中的SIP用户 鉴权的系统结构图;以及图3示出了根据本发明实施例的软交换网纟各中的SIP用户鉴斥又 方法的流,呈图。
具体实施方式
下面将结合附图来详细说明本发明的实施例。图1示出了根据本发明的软交换网络中的SIP用户鉴权方法的 流程图。参照图1,冲艮据本发明的软交换网络中的SIP用户鉴权方 法包括以下步骤步骤S102, SIP用户向其所属域的软交换设备发 送第一注册请求消息;步骤S104,在接收到第一注册请求消息后, 软交换i殳备产生一个随扭j数,并向SIP用户发送携带有随机数的未 鉴权消息;步骤S106, SIP用户根据随机数和其存储的鉴权密钥产 生第一鉴权响应值,并向软交换设备发送第一鉴权响应值以及第二 注册请求消息;步骤S108,接收到第二注册请求消息后,软交换设 备向智能归属位置寄存器发送鉴权消息;步骤SllO,智能归属位置寄存器根据鉴权消息和存储在智能归属位置寄存器中的鉴权密钥,产生第二鉴权响应值,并将第二鉴权响应值发送至软交换设备;以 及步骤S112,软交换设备比较第一鉴权响应值和第二鉴权响应值, 并根据比较结果判断鉴权是否成功。步骤S106包括以下步骤在接收到未鉴权消息后,SIP用户自 动获取或产生uri、 Useniame、 realm 、 cnonce、 noncecount参数,并 根据这些参数以及随机数、Qop值、和存储在SIP用户中的鉴权密 钥,4安照预定算法来产生第一鉴—又响应值;以及SIP用户向软交换 设备发送第 一鉴权响应值以及第二注册请求消息。鉴权消息中携带有多个参数。步骤S110包括以下步骤智能归属位置寄存器才艮据鉴纟又消息 中的多个参数以及存储在智能归属位置寄存器中的鉴权密钥,按照 预定算法产生第二鉴权响应值;以及智能归属位置寄存器将第二鉴 权响应值发送至软交换设备。步骤S112包括以下步骤软交换设备比较第一鉴权响应值和 第二鉴权响应值;如果第一鉴权响应值与第二鉴权响应值相等,软 交换设备向SIP用户发送成功消息,鉴4又通过;或如果第一鉴权响 应值与第二鉴权响应值不相等,鉴权失败。鉴权消息中携带的多个参数包括随机数、username、 realm、 uri、 cnonce、 Qop、 method 、 以及noncecount参数。预定算法是通过RFC 2617定义的MD 5算法。在SIP用户为固网SIP用户时,步骤S108还包括以下步骤软 交换设备对MAP信令进行扩展,以使固网SIP用户通过与智能归 属位置寄存器进4亍交互来实现对固网SIP用户的鉴权。图2为NGN网全各环境下,固网SIP用户的系统结构示意图, 如图2所示,本系统包括智能归属位置寄存器(SHLR)、软交换(SS )、 SIP用户。在本系统中,SIP用户与SS之间采用SIP( Session Initiation Protocol,会话初始协议)互通、SHLR与SS间采用MAP信令链路。在本系统中,对SHLR凄t据库进行扩展、MAP (Mobile Application Part,移动应用部分)信令进行扩展,支持将固网SIP 用户的数据存放在SHLR用户数据库中,并通过MAP消息交互实 i见固网SIP用户的鉴斗又。具体的i兑,在SIP用户所有凄t据全部上移到SHLR中管理后, SIP用户到SS (注册服务器)注册过程中的鉴4又操作,需要SS向 SHLR发送鉴权请求操作,SHLR根据数据库中存储的密钥及SS带 来的随机数,将计算的值发送给SS,由SS比專交SIP终端与SHLR 计算的结果,如果一致,鉴—又通过,不一致则鉴权失败。图3是本发明的固网SIP用户注册鉴权步骤,该图描述了 SIP 用户成功鉴权并注册的流程,其包括以下步骤步骤S302, SIP用户向所属域的注册服务器(SS )发起注册请求;步骤S304,软交换作为注册服务器,为SIP用户产生一个鉴权 用的随才几l史nonce;步骤S306, SIP纟冬端4t到401未鉴4又后,自动获耳又或产生uri、 Username、 realm 、 cnonce、 noncecount, 同时才艮才居网纟各<则401消息 中的nonce值、Qop值及终端上存储的用户密码,通过RFC2617定 义的MD5算法计算出一个鉴^又响应response,重新向注册月良务器发 送注册i青求消息;步骤S308,软交换向SHLR发送Send—Auth—Info消息,对MAP 协议进行扩展,消息中携带 usemame 、 realm 、 nonce 、 uri 、 cnonce,Qop,method, noncecount等参数;步骤S310, SHLR根据软交换提供的username、 realm、 nonce、 uri 、 cnonce,Qop,method, noncecount以及SHLR存4诸的用户密石马, 按照RFC2617定义的MD5算法计算后得出Response,将Response 参凄t通过Send_Auth—Info—Ack回送给软交换;以及步骤S312,软交换收到SHLR的SAI—ACK后,比较终端侧及 SHLR侧的Response值,如果相等则是合法消息,软交换向SIP终 端回200 OK,鉴片又成功。举一应用实例3o下Y叚i殳SIP用户A: 801020800001@ 1.1.1.1,注册鉴—又步骤如下(1 ) SIP用户向所属域的注册月l务器发起注册请求;(2)软交换作为注册服务器,为SIP用户产生一个鉴权用的随 机数"ca019edffb7551683c2136eb2ddl0537",用"nonce"(注1) 标识,nonce的生命期在注册服务器上可以配置,2 ~ 60秒。注册服 务器向SIP纟冬端回401响应消息;SIP/2.0 401 UnauthorizedFrom: sip:801020800001 @ 1.1.1 1 ;tag=25486To: sip:謝020謂001@1.1.1.1; tag=254863455Via: SIP/2.0/UDP 1.1.1.100:5060;branch=z9hG4bK 1063644978CSeq: 1 REGISTER
Call-ID: 10000000@1.1.1.100
WWW-Authenticate:Digest realm-" 1.1.1.1",
nonce="caO 19edffb7551683c213 6eb2ddl 0537",stale=FALSE,algo rithm=MD5, QoP=Auth
Content七ength:O
(3 ) SIP纟冬端到401后,自动获取或产生uri = "sip:801020800001@l.l.l.l ,, 、 Username = " 801020800001 ,,、 realm="l.l.l.l"、 c腿ce = "123412341"、 noncecount="000001"(注 1 ),同时根据网络侧401消息中的nonce值、q叩值及终端上存储 的用户密码,通过RFC2617定义的MD5算法计算出一个鉴外又响应 response= "dffb7551683c2136e,,,重#斤向注册月良务器发送注册^青求 消息,如下
REGISTER sip: 1.1.1.1 SIP/2.0.
From: sip:801020800001 @ 1 1.1.1 ;tag=25ER486
To: sip: 801020800001@1.1.1.1
CS叫2 REGISTER
Call-ID: 10000000@1丄1.100
Via: SIP/2.0/UDP 1.1.1.10:5060;branch=z9hG4bK1063644978 Maxforward: 70
Contact: sip: 801020800001@1.1.1.100:5060Expires: 3600
WWW-Authorization:Digest usemame="801020800001 ",realm=" 1.1.1.1",
nonce="ca019edffb7551683c2136eb2ddl0537",uri= "sip:801020800001@l.l.l.l ,, , cnonce=" 12341234 l",qop=" Auth,,,noncecount=,,OOOOOOr,,response= "dffb7551683c2136e,,
Content-Length: 0
(4 )软交换向SHLR发送Send—Auth—Info消息,消息中携带 username、 realm 、 nonce 、 uri、 cnonce,Qop,method, noncecount等
参数;
(5) SHLR才艮才居專欠交4灸才是供的username、 realm 、 nonce 、 uri、 cnonce,Qop,method, noncecount以及SHLR存々者的用户密石马,4安照 RFC2617定义的MD5算法计算后得出Response,将Response参凄t 通过Send—Auth—Info—Ack回送*会软交换;以及
(6 )软交换收到SHLR的SAI—ACK后,比较终端侧及SHLR 侧的Response值,如果相等则是合法消息,软交换向SIP终端回200 OK,鉴片又成功。200 0K消息如下
SIP/2.0 200 OK
From: sip:801020800001 @1.1丄1 ;tag=25ER486 To: sip: 801020800001 @l.l.l.l;tag=2343244332 CSeq: 2 REGISTER Call-ID: 10000000@1.1.1.10Via: SIP/2.0/UDP 1.1.1.10:5060;branch=z9hG4bK 1063644978 Contact: sip: 801020800001@1丄1.100:5060 Expires: 3600
本发明有效的解决了网络智能化NGN网络下,软交换下SIP 用户的注册鉴斥又。
以上所述〗又为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种软交换网络中的会话初始化协议用户鉴权方法,其特征在于,包括以下步骤步骤一,所述会话初始化协议用户向其所属域的软交换设备发送第一注册请求消息;步骤二,在接收到所述第一注册请求消息后,所述软交换设备产生一个随机数,并向所述会话初始化协议用户发送携带有所述随机数的未鉴权消息;步骤三,所述会话初始化协议用户根据所述随机数和其存储的鉴权密钥产生第一鉴权响应值,并向所述软交换设备发送所述第一鉴权响应值以及第二注册请求消息;步骤四,接收到所述第二注册请求消息后,所述软交换设备向智能归属位置寄存器发送鉴权消息;步骤五,所述智能归属位置寄存器根据所述鉴权消息和存储在所述智能归属位置寄存器中的鉴权密钥,产生第二鉴权响应值,并将所述第二鉴权响应值发送至所述软交换设备;以及步骤六,所述软交换设备比较第一鉴权响应值和所述第二鉴权响应值,并根据比较结果判断鉴权是否成功。
2. 才艮据—又利要求1所述的方法,其特征在于,所述步驶朵三包括以 下步骤在接收到所述未鉴权消息后,所述会话初始化协议用户自 动获耳又或产生统一资源标识、用户名、鉴冲又参数,并根据所述 统一资源标识、所述用户名、所述鉴权参数以及所述随机数、和存储在所述会话初始化协i义用户中的鉴4又密钥,来4安照预定 算法产生第一鉴权响应值;以及所述会话初始化协议用户向所述软交换i殳备发送所述第 一鉴权响应值以及第二注册请求消息。
3. 根据权利要求2所述的方法,其特征在于,所述鉴权消息中携 带有多个参数。
4. 根据权利要求3所述的方法,其特征在于,所述步骤五包括以 下步骤所述智能归属位置寄存器根据所述鉴权消息中的所述多 个参数以及存储在所述智能归属位置寄存器中的所述鉴权密 钥,按照所述预定算法产生第二鉴权响应值;以及所述智能归属位置寄存器将所述第二鉴权响应值发送至 所述软交换设备。
5. 根据权利要求4所述的方法,其特征在于,所述步骤六包括以 下步骤所述软交换设备比较第一鉴权响应〗直和所述第二鉴权响 应值;如果所述第一鉴权响应值与所述第二鉴权响应值相等,所 述软交换设备向所述会话初始化协议用户发送成功消息,鉴权 通过,如果所述第一鉴4又响应值与所述第二鉴权响应值不相 等,鉴权失败。
6. 根据权利要求5所述的方法,其特征在于,所述鉴权消息中携 带的所述多个参凄t包括所述随才几数、所述用户名、所述统一 资源标识、以及所述鉴纟又参凄t。
7. 根据权利要求6所述的方法,其特征在于,所述预定算法是通 过RFC 2617定义的MD 5算法。
8. 才艮据权利要求2所述的方法,其特征在于,在所述会话初始化 协议用户为固网会话初始化协议用户时,所述步骤四还包括以 下步骤所述软交换i殳备对移动应用部分信令进行扩展,以使所述 固网会话初始化协议用户通过与所述智能归属位置寄存器进 4亍交互来实现j对所述固网会i舌初始化十办i义用户的鉴斥又。
全文摘要
本发明公开了一种软交换网络中的SIP用户鉴权方法,包括SIP用户向其所属域的软交换设备发送第一注册请求消息;接收到第一注册请求消息后,软交换设备产生一个随机数,并向SIP用户发送携带有该随机数的未鉴权消息;SIP用户根据该随机数和鉴权密钥产生第一鉴权响应值,向软交换设备发送第一鉴权响应值和第二注册请求消息;软交换设备向智能归属位置寄存器发送鉴权消息;智能归属位置寄存器根据鉴权消息和存储在智能归属位置寄存器中的鉴权密钥,产生第二鉴权响应值,并将第二鉴权响应值发送至软交换设备;软交换设备比较第一鉴权响应值和第二鉴权响应值,并根据比较结果判断鉴权是否成功。本发明解决了软交换下SIP用户的注册鉴权。
文档编号H04L29/06GK101227474SQ20081000684
公开日2008年7月23日 申请日期2008年2月1日 优先权日2008年2月1日
发明者芹 尹, 戴玉宁, 管卫芝 申请人:中兴通讯股份有限公司