响应消息认证方法、装置及系统的制作方法

专利名称：响应消息认证方法、装置及系统的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种响应消息认证方法、装置及系统。
背景技术：
为了保证通信过程中的安全性，例如，为了确保消息请求方发送的消息 不被恶意的终端截获，消息接收方需要对消息请求方的身份进行认证，同时， 为了确保消息请求方不被恶意的代理服务器指示将呼叫转移到一些非法实体 进而消息请求方与非法实体进行通话，消息请求方是需要对消息接收方的身 份进行认证的。
目前，会话初始协i义(SIP, Session Initiation Protocol)中通信双方进行i人 证的方式主要有摘要(Digest)认证、传输层安全协议(TLS, Transport Layer Security),安全多用途因特网邮件扩充协议(S/MIME, Secure Multipurpose Internet Mail Extension)等，但这些方法都存在一些缺陷例如，Digest只能用 于双方有共享密钥的情况下，TLS和S/MIME都要求用到用户证书，但实际 情况是很少终端用户有自己的证书，所以为了解决SIP通信双方的认证，尤 其是通信双方不在同一个域的情况下的认证，互联网工程任务组(IETF， The Internet Engineering Task Force) SIP组的鉴权识别管理(rfc4474 )提出了 一种 方案由请求者归属域的代理服务器(proxy)使用Digest对其认证，然后该 proxy使用域的证书对请求消息中的请求者身份及其他相关信息进行签名；然 后接收者或接收者归属域的proxy验证该签名，如果验证通过并且信任请求 者proxy, 则认证通过。
但是，上述方案解决的是请求消息的认证，其并未解决响应消息的认证，因为响应消息比请求消息要复杂的多，响应消息的发送者不一定是响应消息 中的TO值所表示的实体，没有一个字段能准确的标识响应消息的发送者，主
要表现在以下两方面
1)有些响应消息是proxy所发，如lxx的临时响应，3xx的重定向 (redirection)消息；
2 )被重定向(retarget)的消息其To值并不会因重定向而改变。

发明内容
本发明实施例提供一种响应消息认证方法、装置及系统，以实现消息请 求终端对消息接收终端的响应消息的有效认证。
本发明实施例提供了 一种响应消息认证方法，该方法具体包括 转发接收到的包含预定标签的请求消息； 接收转发的所述请求消息并发送；
接收返回的响应消息，并认证响应消息发送终端，将生成的包含标识发 起所述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发 送；
将所述响应消息中的所述签名和证书信息移除并发送。
本发明实施例还提供了 一种响应消息认证方法，该方法具体包括
转发接收到的包含预定标签的请求消息；
将生成的包含标识发起响应消息真实实体信息的签名和证书信息插入到
响应消息中并发送；
将所述响应消息中的所述签名和证书信息移除并发送。
本发明实施例提供了 一种响应消息认证系统，该系统具体包括请求方代
理服务器和接收方代理服务器，其中，所述请求方代理服务器包括 请求消息转发单元，用于转发接收到的包含预定标签的请求消息； 响应消息接收单元，用于接收带有签名和证书信息的响应消息并转发；响应认证单元，用于接收响应消息接收单元转发的带有签名和证书信息 的响应消息，并验证所述响应消息是否合法，若合法则将所述签名和证书信 息移除并转发；
所述接收方代理服务器包括
请求消息转接单元，用于接收请求消息转发单元转发的请求消息； 请求消息处理单元，用于根据接收到的请求消息判断是否需要返回重定
向响应消息，及当不需要返回重定向响应消息时，对请求消息进行处理并发
送；
重定向单元，用于当需要返回响应消息时，发送包含标识发起所述响应 消息真实实体信息的响应消息；
认证单元，用于接收返回的响应消息，并认证所述响应消息是否合法， 若合法则发送包含标识发起所述响应消息真实实体信息的响应消息；
签名单元，用于对标识发起所述响应消息真实实体的信息进行签名，并 将所述签名和证书信息插入到响应消息中并发送。
本发明实施例提供了一种响应消息认证装置，该装置具体包括 转发单元，用于转发接收到的包含预定标签的请求消息； 接收单元，用于接收转发的所述请求消息并发送； 成功消息发送单元，接收返回的响应消息，并认证响应消息发送终端， 将生成的包含标识发起所述响应消息真实实体的信息的签名及证书信息插入 到该响应消息中并发送；
成功消息转发单元，将所述响应消息中的所述签名和证书信息移除并发送。
本发明实施例还提供了 一种响应消息认证装置，该装置具体包括 转发单元，用于转发接收到的包含预定标签的请求消息； 发送单元，用于将生成的包含标识发起响应消息真实实体信息的签名和 证书信息插入到响应消息中并发送；
10成功消息转发单元，用于将所述响应消息中的所述签名和证书信息移除 并发送。
上述响应消息认证方法、装置及系统，通过使用SIP扩展标签
认证，通过在响应消息中设置标识响应消息发起者真实身份的信息，可以让 请求者知道与其通信的实体，通过对真实响应实体信息的签名来让请求者确 定与其通信的实体就是响应消息中所声称的实体，从而可以较好地实现消息
请求终端对消息接收终端的响应消息的有效认证。


图1为本发明响应消息认证方法实施例一的信令流程图； 图2为本发明响应消息认证方法实施例二的信令流程图； 图3为本发明响应消息认证方法实施例三的信令流程图； 图4为本发明响应消息认证方法实施例四的信令流程图； 图5为本发明响应消息认证方法实施例一的流程图； 图6为本发明响应消息认证方法实施例二的流程图； 图7为本发明响应消息认证系统实施例的结构示意图； 图8为本发明响应消息i人^t装置实施例一的结构示意图； 图9为本发明响应消息认证装置实施例二的结构示意图。
具体实施例方式
如图1所示，为本发明响应消息认证方法实施例一的信令流程图，该方 法具体包括
步骤101、请求终端向请求方代理服务器发送包含预定标签的请求消息； 请求消息中包含头域Require: respond-p-auth ，假设上述请求终端为 Alice,请求方代理服务器为Proxy A，接收终端为Bob,接收方代理服务器为Proxy B,该请求消息具体为
rNVITE sip: bob@biloxi.example.com SIP/2.0
Via:SIP/2.0/TCP client.atlanta.example.com: 5060; branch=
z9hG4bK7德
Require: response-p-auth
From: Alice <sip: alice@atlanta.example.com>; tag=9fxced76sl
To: Bob <sip: bob@biloxi.example.com〉
Call -ID: 384827629822018851 l@atlanta.example.com
CSeq:1 INVITE
Contact: <sip: alice@client.atlanta.example.com; transport=tcp〉 该请求消息表示请求方(由From字段表示，即 Alice <sip : alice@atlanta.example.com〉)向才妄收方(由 To字l殳表示，即 Bob <sip : bob⑥biloxi.example.com〉)发送一个邀请请求Invite;其中，该请求消息中，通 过预定标签Require: response-p-auth表示请求方要求接收方代理服务器对其 域内接收方的响应消息进^f亍认证；
步骤102、请求方代理服务器将包含预定标签的请求消息转发至接收方 代理服务器；
步骤103、接收方代理服务器向转发的请求消息中插入挑战信息，并将 含有挑战信息的请求消息发送至接收终端； 上述含有挑战信息的请求消息具体为 INVITE sip: bob@client.biloxi.example.com SIP/2.0
Require: response-p-auth
Proxy-Authenticate: Digest realm="biloxi.example.com", qop="auth' nonce=" wfB4fl ceczx41 ae6cbe5aea9c8e88d3 59",opaque=""， stale=FALSE, algorithm=MD5
Proxy-Authenticate字段表示挑战信息，所述挑战信息包含的信息与现有 的SIP中的摘要认证规定一致，其中nonce为接收方代理服务器生成的随机 数，realm为接收方代理服务器的域名；
步骤104、接收终端返回带有挑战响应信息的响应消息；
接收终端收到含有挑战信息的请求消息后，对请求消息处理完成后，在 响应消息中加入根据挑战信息生成的挑战响应信息Proxy-Authorization;挑战 响应信息中包含有接收终端用户名username、接收终端密码和所述挑战信息 中的nonce值生成的摘要值，该摘要值放在response属性中。其中用户名 usemame必须是接收终端自己的真实ID;而不是步骤103中所述的接收方服 务器转发给接受终端的请求消息中的To字段包含的ID;
上述返回的带有挑战响应信息的响应消息具体为
Proxy-Authorization: Digest username="bob"，realm="biloxi.example.com", nonce="wf84f 1 ceczx41 ae6cbe5aea9c8e88d359", opaque="", uri="sip: bob@biloxi.example.com"，
response="42ce3cef44b22f50c6a6071bc8"
上述消息中，uri属性表示接收终端的SIPURI,由用户名加上用户所属 域的代理服务器域名组成。
步骤105、接收方代理服务器检查挑战响应消息，若检查通过则在响应 消息中插入自己的签名和证书信息；
接收方代理服务器首先检查挑战响应消息中的接收终端ID是否属于本域 用户，即uri中的域名部分是否与本代理服务器域名一致；如果一致，则用现 有SIP协议中挑战响应的验证方法对response中的摘要值进行验证。
如果验证通过，则将uri中表示的SIPURI作为真实的响应消息发送方设 置为RespID的值，然后生成对该值的签名，将签名值放入Identity字段，将RespID、证书存放位置和签名算法放入Identity-info字段中； 上述在响应消息中插入自己的签名后的消息具体为
Identity:
"ZYNBbHC00VMZr2kZt6VmCvPonWJMGvQTBDqghoWeLxJfzB2alpxA r3VgrB0SsSAaifsRdiOPoQZYOy2wrVghuhcsMbHWUSFxI6p6q5TOQXHMmz6 uEo3svJsSH4她yGnFVcnyaZ十+yRlBYYQTLqWzJ+KVhPKbfU/pryhVn9Yc6U
Identity-Info: <https: //biloxi.example.com/biloxi.cer〉； alg=rsa-shal; RespID=bob@bil oxi. example com
步骤106、请求方代理服务器验证证书和签名，若通过则移除Identity和 Identity-Info,然后将响应消息发送至请求终端。
上述响应消息认证方法，通过使用SIP扩展标签response-p-auth使得请 求终端可以要求接收方的代理服务器对接收终端进行认证，通过在接收方的 响应消息中设置标识响应消息发起者真实身份的信息，可以让请求者知道与 其通信的实体，通过接收方代理服务器对真实响应实体信息的签名可以使得 请求者确定与其通信的实体就是在响应消息中所声称的响应实体，从而可以 较好地实现消息请求终端对消息接收终端响应消息的有效认证。
如图2所示，为本发明响应消息认证方法实施例二的信令流程图，该信 令流程图与本发明响应消息认证方法实施例一的信令流程图不同的是步骤 205-206，步骤205为接收方代理服务器检查挑战响应消息失败后，先给接收 终端发送BYE消息；步骤206接收方代理服务器给请求方代理服务器发送 "0 Response Authentication Failed信息；步骤2O7请求方代理服务器给请求 纟冬端发送440 Response Authentication Failed "(言息'。
上述响应消息认证方法，较好地描述了在接收方代理服务器验证挑战信 息失败的情况下请求终端、请求方代理服务器、接收方代理服务器和接收终
14端之间的交互流禾呈，通过增力。一个新的响应石马440 Response Authentication Failed使得接收方代理服务器验证接收方身份错误时返回响应给请求方，从 而避免了非法终端冒充响应终端返回响应消息。
如图3所示，为本发明响应消息认证方法实施例三的信令流程图，该信 令流程图与本发明响应消息认证方法实施例 一 的信令流程图不同的是步骤 306;步骤306为请求方代理服务器发现证书和签名不正确时，给接收方代理 服务器发送BYE消息，给请求终端发送440 Response Authentication Failed信 自、
由于该BYE消息是服务器发往域内的，因此该440消息不包含Identity 和Identity-Info,请求终端与请求方代理服务器之间的通信安全由其它方式来 保证，如TLS。上述440响应消息具体为
SIP/2,0 440 Response Authentication Failed
上述响应消息认证方法，较好地描述了在请求方代理服务器验证签名失 败的情况下请求终端、请求方代理服务器、接收方代理服务器和接收终端之 间的交互流程，同时通过在响应消息中设置标识响应消息发起者真实身份的 信息，可以让请求者知道与其通信的实体，通过对真实响应实体信息的签名 来让请求者确定与其通信的实体就是其所声称的实体，从而可以较好地实现 消息请求终端对信息接收终端响应消息的有效认证。
如图4所示，为本发明响应消息认证方法实施例四的信令流程图，该信 令流程图与本发明响应消息认证方法实施例一的信令流程图不同的是接收方 代理服务器收到请求方代理服务器转发的请求消息后，返回3xx响应消息， 而不再向下转发给接收者；该响应消息具体为
Identity-Info: <https: //biloxi.example.com/biloxi.cer〉； alg=rsa-shal; RespID=biloxi. example. com从响应消息认证方法实施例一和实施例四的响应消息中可以看到，
RespID的值不同，实施例一中的RespIDH3ob(gbiloxi.example.com,实施例四 中的RespID=biloxi.example.com,即实施例一中发送响应消息的真实实体是 接收终端Bob,而实施例四中发送响应消息的真实实体是接收方代理服务器 Proxy B。
另外，当请求方代理服务器发现证书和签名不正确时，其信令流程图如 本发明响应消息认证方法实施例三的信令流程图。
上述响应消息认证方法，通过在响应消息中设置标识响应消息发起者真 实身份的信息从而使得请求者确定与其通信的实体就是响应消息中所声称的 实体，从而可以较好地实现消息请求终端对消息接收终端响应消息的有效认 证。
本发明实施例一响应消息i人证方法具体包括 转发接收到的包含预定标签的请求消息； 接收转发的所述请求消息并发送；
接收返回的响应消息，并认证响应消息发送终端，将生成的包含标识发 起所述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发 送；
将所述响应消息中的所述签名和证书信息移除并发送。 如图5所示，为本发明响应消息认证方法实施例一的流程图，该方法具 体包括
步骤501 、转发接收到的包含预定标签的请求消息；
请求方代理服务器接收到请求终端发送的包含预定标签的请求消息后转 发给接收方代理服务器，上述预定标签为请求终端要求对响应消息发送者做 认ii的要求^f言息，可以用response-p-auth表示，子贞定才示签response-p-auth的 使用格式为Require: response-p-auth,表示请求终端要求接收方代理服务器 对其域内接收终端的响应消息进行i人证；步骤502、在接收到的转发的所述请求消息中加入挑战信息并发送；
接收方代理服务器接收请求方代理服务器转发的请求消息后，在上述请 求消息中加入4兆战信息Proxy-Authenticate后发送给接收终端；
步骤503、检查接收的带有挑战响应信息的响应消息是否合法，若合法， 则执行步骤504，否则执行步骤505;
该步骤是可选步骤，接收终端根据接收的带有挑战信息的请求消息生成 并返回带有挑战响应信息的响应消息，接收方代理服务器检查接收的挑战响 应信息是否合法；
上述步骤502和503为接收方代理服务器对接收终端的认证，并且使用 的是基于Digest的挑战/响应认证方式；但是实现该认证的方法不限于挑战/ 响应方式，还可以包括TLS、 3GPPGBA方式等；
步骤504、将生成的包含标识发起上述响应消息真实实体信息的签名和 证书信息插入到响应消息中并发送，转向步骤506;
上述包含标识发起上述响应消息真实实体信息的签名包括"RespID二" 字段及发起响应消息的真实实体的ID;当接收的包含挑战信息的响应消息合 法时，将RespID的值设为接收终端的ID,接收方代理服务器对包含RespID 的SIP头字段签名，将签名值放入Identity字段，将RespID和证书存放地址 i文入Identity-info字,殳，并将Identity和Identity-Info字段力文入响应消息并发 送；Identity-info包含的字段有标识发起该响应消息的真实实体的ID (RespID)、签名方法(Sign method)和接收方代理〗良务器域-i正书存^:的统 一资源定位符(URL); RespID为Proxy-Authorization中的用户名(username ) 所对应的SIP URL该值并不总等于请求消息中接收终端(To)的值，即当 请求终端发出来的请求消息没有被重定向时，实际接收者就是请求消息中的 To所指示的实体，因此RespID值等于To里面的值，但当请求消息是被重定 向(retarget)到实际接收终端时，RespID的值不等于请求消息中中的To的值， 而是实际接收终端的ID;接收方代理服务器除了对RespID进行签名外，还可以对如下字段进行签名请求终端(From)、接收终端(To)、会话标识 (Call-ID)、日期(Date) 、 Identity-info其他参数、响应码和描述等；上述 签名方法(Sign method)可以是消息摘要算法版本5RSA签名算法 (MD5RSA),即首先用消息摘要算法版本5 (message-digest algorithm v5, md5)对响应ID和其他相关字段进行哈希，再由接收方代理服务器用域证书 对应的私钥对其加密；
步骤505、先发送失败消息，后发送响应失败消息，转向步骤509;
该步骤只有在接收方代理服务器对接收终端认证失败时发生。如果采用 挑战/响应认证方法，在接收方代理服务器接收的挑战响应消息不合法时发 生，此时接收方代理服务器先给接收终端发送BYE消息以结束与接收终端的 会话，然后发送440 Response Authentication Failed响应给请求方代理服务器 以通知请求终端响应认证失败；
步骤506、验证包含上述签名和证书信息的响应消息是否合法，若合法 则执行步骤507，否则执行步骤508;
上述步骤506也是可选步骤，请求方代理服务器接收包含上述签名和证 书信息的响应消息后，对其进行验证，如果验证成功，则基于请求方代理服 务器对接收方代理服务器的信任，请求方代理服务器认为响应消息发起方即 接收终端已经;波成功认证。
该验证过程具体包括
请求方代理服务器根据响应消息中的证书信息，获取接收方代理服务器 的证书；比较RespID中的响应实体标识的域名部分是否与所述证书中的证书 所有者同属一个域；如果不是，则验证失败，因为一个代理服务器只能管理 本域内的用户；如杲是，按照步骤504所采用的签名算法，例如MD5RSA， 对所述签名进行验证，该验证过程具体为
使用所述消息摘要算法计算被签名的字段的摘要值，其中必然包含 RespID;再用所述证书所包含的公钥解密响应消息中的签名值；最后用解密后的数据与所述摘要值对比。如果相等，则表示验证成功；如果不等，则验
证失败；
步骤507、将上述响应消息中的上述签名和证书信息移除并发送，转向 步骤509;
若通过验证，请求方代理服务器则移除上述签名和证书信息并转发移除 了上述签名和证书信息的响应消息给请求终端；
步骤508、先发送失败消息，后发送响应失败消息；
该步骤发生在响应消息未通过请求方代理服务器的验证时，此时先向接 收方代理服务器发送BYE消息，再向请求终端发送440 Response Authentication Failed响应以通知请求终端响应认证失败；
步骤509、结束。
上述响应消息认证方法是在网络侧完成的，接收终端通过在响应消息中 设置标识响应消息发起者真实身份的信息，可以让请求终端知道与其通信的 实体，通过接收方代理服务器对真实响应实体信息的签名从而使得请求者确 定与其通信的实体就是响应消息中所声称的实体，从而可以较好地实现消息 请求终端对消息接收终端的响应消息的有效认证。
如图6所示，为本发明响应消息认证方法实施例二的流程图，该方法具 体包括
步骤601 、转发接收到的包含预定标签的请求消息；
同本发明响应消息认证方法实施例一中步骤101的操作步骤一样，且预 定标签也相同，均为response-p-auth,使用才各式也相同；
步骤602、将生成的包含标识发起响应消息真实实体信息的签名和证书 信息插入到响应消息中并发送；
接收方代理服务器根据对SIP请求消息的处理，需要返回响应消息给请 求方，而不再转发给接收终端时，则执行此步骤。接收方代理服务器将带有 签名和证书信息的响应消息发送给请求方代理服务器，上述签名和证书信息中标识发起上述响应消息真实实体的RespID设置为接收方代理服务器的标
识；
步骤603、验证包含上述签名和证书信息的响应消息是否合法，若合法 则执行步骤604，否则执行步骤605;
该步骤是可选步骤，请求方代理服务器接收包含上述签名和证书信息的 响应消息后，对其进行验证，该验证过程包括
获取请求方代理服务器证书，并比较证书中的所有者标识与RespID是否 相同；如果不相同，则认证失败；如果相同，则验证所述签名值。验证方法 与实施例一相同；
步骤604、将上述响应消息中的签名和证书信息移除并发送，转向步骤
606;
若通过验证，则请求方代理服务器移除上述签名和证书信息并转发移除 上述签名和证书信息的响应消息给发起所述请求消息的请求终端；
步骤605、先发送失败消息，后发送响应失败消息；
该步骤只有在响应消息若未通过验证时才发生，此时先向接收方代理服 务器发送BYE消息，再向请求终端发送440 Response Authentication Failed响 应以通知i貪求纟冬端响应i人i正失败；
步骤606、结束。
上述响应消息认证方法是在网络侧完成的，通过在响应消息中设置标识 响应消息发起者真实身份的信息，可以让请求者知道与其通信的实体，接收 方代理服务器通过对真实响应实体信息的签名从而使得请求者确定与其通信 的实体就是响应消息中所声称的实体，从而可以较好地实现消息请求终端对 消息接收终端的响应消息的有效认证。
如图7所示，为本发明响应消息"^人证系统实施例的结构示意图，该系统 具体包括请求方代理服务器12和接收方代理服务器13。
其中，请求方代理服务器12包括请求消息转发单元121,用于转发接
20收到的包含预定标签的请求消息；响应消息接收单元122，用于接收带有签 名和证书信息的响应消息并转发；响应认证单元123,用于接收响应消息接 收单元转发的带有签名和证书信息的响应消息，并验证所述响应消息是否合 法，若合法则将所述签名和证书信息移除并转发；
另外，上述请求方代理服务器还可以包括认证失败单元，用于当响应 消息不合法时，先发送失败消息，后发送响应失败消息。
上述接收方代理服务器13包括请求消息转接单元131，用于接收请求 消息转发单元转发的请求消息；请求消息处理单元132，用于根据接收到的 请求消息判断是否需要返回重定向响应消息，及当不需要返回重定向响应消 息时，对请求消息进行处理并发送；重定向单元133，用于当需要返回响应 消息时，发送包含标识发起所述响应消息真实实体信息的响应消息；认证单 元134，用于接收返回的响应消息，并认证所述响应消息是否合法，若合法 则发送包含标识发起所述响应消息真实实体信息的响应消息；签名单元135, 用于对标识发起所述响应消息真实实体的信息进行签名，并将所述签名和证 书信息插入到响应消息中并发送。
其中，上述请求消息处理单元具体为挑战请求消息处理单元，用于根据 接收到的请求消息判断是否需要返回重定向响应消息，及当不需要返回重定 向响应消息时，在请求消息中插入挑战信息并发送；上述响应认证单元具体 包括证书获取单元，用于接收响应消息接收单元转发的带有签名和证书信 息的响应消息，并根据证书信息中的地址获取证书；证书认证单元，用于根 据获取的证书验证所述响应消息是否合法，若合法则移除所述签名和证书信 息，并转发移除所述签名和证书信息的响应消息。
另外，上述系统还可以进一步包括请求终端11和接收终端14。上述请 求终端ll包括请求消息生成单元lll,用于生成包含预定标签的请求消息 并发送；响应消息接收单元112，用于接收转发的移除签名和证书信息的响 应消息。上述接收终端14包括请求消息接收单元141，用于接收请求消息处理单元转发的请求消息；处理单元142，用于根据请求消息接收单元接收
的请求消息生成响应消息；响应消息发送单元143,用于发送生成的响应消 台
其中，上述请求消息接收单元具体为挑战请求消息接收单元，用于接收
请求消息处理单元转发的带有挑战信息的请求消息；上述处理单元具体为挑 战信息处理单元，用于根据请求消息接收单元接收的带有挑战信息的请求消 息生成带有挑战响应信息的响应消息；上述响应消息发送单元具体为挑战响 应消息发送单元，用于发送带有挑战响应信息的响应消息。
进一步地，上述接收方代理服务器上的认证单元和签名单元共同构成了 一个逻辑实体认证子装置(authenticator),它可以实现在单独的服务器上与 代理服务器进行交互，也可以作为代理服务器上的一个逻辑实体，其作用是 对本域内的接收终端返回的响应进行认证，当收到携带挑战信息的
(Proxy-Authorization )的响应时，authenticator -验i正其是否是合法用户，如 果验证通过，且请求终端不在本域内，authenticator用自己的私钥对该消息签 名，签名值放入签名(Identity)头域中，同时在消息中插入证书信息
(Identity-Info);如果请求终端在本域内，即请求终端和接收终端在同一个 域，则不需要插入签名直接发送即可。
如果域内用户验证不通过，可以有多种方式进行处理，如返回ACK后 直接发送BYE结束会话，同时向请求终端返回440 Response Authentication Failed响应；或者重新发送该请求，直到连续失败一定次数以后结束通话， 由于这涉及到本地安全策略的制定，可以根据具体情况以灵活的方式实现。
进一步地，上述请求方代理服务器上的响应认证单元也可以作为一个逻 辑实体验证子装置(verifier)，它既可以实现在单独的服务器上与代理服务 器进行交互，又可以作为代理服务器上的一个逻辑实体，其作用是通过证书 获取单元根据响应消息identity-info头域中的统一资源定位符(URL)来获取接 收方代理服务器的证书，然后通过认证单元验证接收终端的响应消息是否经过接收终端服务器认证，即用证书验证Identity头域里的签名值是否为接收终 端服务器所生成的签名值。
上述响应消息认证系统，当请求终端发送请求时，如果需要对响应消息 进行认证，由请求消息生成单元在SIP请求消息中插入Require : response-p-auth,如果中间服务器或者接收终端客户端不支持response-p-auth, 则请求终端将收到420 Bad Extension响应；请求终端将请求消息发送至接收 方代理服务器的请求消息处理单元后，接收方代理服务器根据是否需要返回 重定向响应消息来判断该请求消息是应该发送给接收终端还是应该发送给请 求方代理服务器，并由此设置不同的响应实体标识RespID,当需要返回重定 向响应消息时，将RespID设置为接收方代理服务器的ID，否则将RespID设 置为接收终端的ID，上述签名单元会根据不同的RespID进行签名，从而供 请求方终端或请求方代理服务器进行有效的响应消息认证。
如图8所示，为本发明响应消息认证装置实施例一的结构示意图，该装 置具体包括转发单元21，用于转发接收到的包含预定标签的请求消息；接 收单元22,用于接收转发的所述请求消息并发送；成功消息发送单元24,接 收返回的响应消息，并认证响应消息发送终端，将生成的包含标识发起所述 响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发送；成 功消息转发单元26，将所述响应消息中的所述签名和证书信息移除并发送。
其中，上述接收单元具体为挑战消息收发单元，用于在接收到的转发的 所述请求消息中加入挑战信息并发送；上述成功消息发送单元具体为成功挑 战消息发送单元，用于根据返回的带有挑战响应信息的响应消息，将生成的 包含标识发起所述响应消息真实实体的信息的签名及证书信息插入到该响应 消息中并发送。
另外，上述响应消息认证装置还包括检查单元23,用于检查接收的挑 战响应消息是否合法，若合法，则根据返回的带有挑战响应信息的响应消息， 将生成的包含标识发起上述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发送，否则，先发送失败消息，后发送响应失败消息；结
束；验证单元25,用于验证包含上述签名和证书信息的响应消息是否合法， 若合法则将上述响应消息中的上述签名和证书信息移除并发送，否则，先发 送失败消息，后发送响应失败消息。
其中，上述验证单元具体可以包括获取模块251,用于获取响应消息 中的证书信息；判断模块252，用于比较签名中标识发起所述响应消息真实 实体信息的域名部分是否与所述证书中的证书所有者同属一个域，若不同属 一个域，则验证失败，先发送失败消息，后发送响应失败消息，若同属一个 域，则按照生成签名时所采用的签名算法，对所述签名进行验证，若验证通 过，则将所述响应消息中的所述签名和证书信息移除并发送，否则，先发送 失败消息，后发送响应失败消息。
另外，上述装置还可以包括失败消息发送单元，用于当接收的挑战响 应消息不合法时，先发送失败消息，后发送响应失败消息，结束；上述装置 也可以包括失败消息转发单元，用于当接收的包含上述签名和证书信息的 响应消息不合法时，先发送失败消息，后发送响应失败消息。
上述响应消息认证装置设置在网络侧，利用转发单元转发接收的请求终 端发送的请求消息，利用发送单元将接收的挑战请求消息发送给接收终端， 然后利用检查单元检查接收的挑战响应消息是否合法，并通过成功消息发送 单元将合法的挑战响应消息发送给接收方代理服务器，然后利用验证单元验 证响应消息中包含的签名和证书信息是否合法，若合法通过成功消息转发单 元将响应消息发送给请求终端，/人而完成请求终端与接收终端的正常会话； 同时，也可以利用失败消息发送单元将失败的挑战响应信息发送给接收方代 理服务器，进而发送给请求终端以结束会话；也可以利用失败消息转发单元 将失败的响应消息发送给请求终端以结束会话；从而可以较好地实现消息请 求终端对信息接收终端响应消息的有效认证。
如图9所示，为本发明响应消息认证装置实施例二的结构示意图，该装 置具体包括转发单元21,用于转发接收到的包含预定标签的请求消息；发
24送单元31，用于将生成的包含标识发起响应消息真实实体信息的签名和证书
信息插入到响应消息中并发送；成功消息转发单元26,用于将上述响应消息
中的上述签名和证书信息移除并发送。
上述装置设置在网络侧，另外，上述装置还可以包括验证单元25，用 于验证包含上述签名和证书信息的响应消息是否合法，若合法则将上述响应 消息中的上述签名和证书信息移除并发送，否则，先发送失败消息，后发送 响应失败消 息o
其中，上述验证单元具体可以包括获取模块251，用于获取响应消息 中的证书信息；判断模块252,用于比较签名中标识发起所述响应消息真实 实体信息的域名部分是否与所述证书中的证书所有者同属一个域，若不同属 一个域，则验证失败，先发送失败消息，后发送响应失败消息，若同属一个 域，则按照生成签名时所采用的签名算法，对所述签名进行验证，若验证通 过，则将所述响应消息中的所述签名和证书信息移除并发送，否则，先发送 失败消息，后发送响应失败消息。
上述响应消息认证装置，利用转发单元转发接收的请求消息，利用发送 单元将生成的签名和证书信息插入到响应消息中并发送给接收方代理服务 器，然后利用验证单元验证响应消息中包含的签名和证书信息是否合法，若 合法通过成功消息转发单元将响应消息发送给请求终端，从而完成请求终端 与接收终端的正常会话；同时，也可以利用失败消息发送单元将失败的挑战 响应信息发送给接收方代理服务器，进而发送给请求终端以结束会话；也可 以利用失败消息转发单元将失败的响应消息发送给请求终端以结束会话；从 而较好地实现了消息请求终端对信息接收终端响应消息的有效认证。
最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其 限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或 者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种响应消息认证方法，其特征在于包括转发接收到的包含预定标签的请求消息；接收转发的所述请求消息并发送；接收返回的响应消息，并认证响应消息发送终端，将生成的包含标识发起所述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发送；将所述响应消息中的所述签名和证书信息移除并发送。
2、 根据权利要求1所述的响应消息认证方法，其特征在于所述接收转 发的所述请求消息并发送具体为在接收到的转发的所述请求消息中加入挑 战信息并发送。
3、 根据权利要求2所述的响应消息认证方法，其特征在于所述接收返 回的响应消息，并认证响应消息发送终端，将生成的包含标识发起所述响应 消息真实实体的信息的签名及证书信息插入到该响应消息中并发送具体包 括检查接收的带有挑战响应信息的响应消息是否合法，若合法，则根据返回的带有挑战响应信息的响应消息，将生成的包含标识发起所述响应信息真 实实体的信息的签名及证书信息插入到该响应消息中并发送。
4、 才艮据权利要求3所述的响应消息认证方法，其特征在于所述将所述 响应消息中的所述签名和证书信息移除并发送之前还包括验证包含所述签名和证书信息的响应消息是否合法，若合法则将所述响 应消息中的所述签名和证书信息移除并发送。
5、 根据权利要求4所述的响应消息认证方法，其特征在于所述验证包 含所述签名和证书信息的响应消息是否合法，若合法则将所述响应消息中的 所述签名和证书信息移除并发送具体包括获取响应消息中的证书信息，比较签名中标识发起所述响应信息真实实个域，则按照生成签名时所采用的签名算法，对所述签名进行验证，若验证 通过，则将所述响应消息中的所述签名和证书信息移除并发送。
6、 一种响应消息认证方法，其特征在于包括 转发接收的包含预定标签的请求消息；将生成的包含标识发起响应信息真实实体信息的签名和证书信息插入到 响应消息中并发送；将所述响应消息中的所述签名和证书信息移除并发送。
7、 根据权利要求6所述的响应消息认证方法，其特征在于所述将所述 响应消息中的所述签名和证书信息移除并发送之前还包括验证包含所述签名和证书信息的响应消息是否合法，若合法则将所述响 应消息中的所述签名和证书信息移除并发送。
8、 根据权利要求7所述的响应消息认证方法，其特征在于所述验证包 含所述签名和证书信息的响应消息是否合法，若合法则将所述响应消息中的 所述签名和证书信息移除并发送具体包括获取响应消息中的证书信息，比较签名中标识发起所述响应消息真实实 体信息的域名部分是否与所述证书中的证书所有者同属一个域，如果同属一 个域，则按照生成签名时所采用的签名算法，对所述签名进行验证，若验证 通过，则将所述响应消息中的所述签名和证书信息移除并发送。
9、 一种响应消息认证系统，包括请求方代理服务器和接收方代理服务 器，其特征在于所述请求方代理服务器包括请求消息转发单元，用于转发接收到的包含预定标签的请求消息； 响应消息接收单元，用于接收带有签名和证书信息的响应消息并转发； 响应认证单元，用于接收响应消息接收单元转发的带有签名和证书信息的响应消息，并验证所述响应消息是否合法，若合法则将所述签名和证书信息移除并转发；所述接收方代理服务器包括请求消息转接单元，用于接收请求消息转发单元转发的请求消息；请求消息处理单元，用于根据接收到的请求消息判断是否需要返回重定 向响应信息，及当不需要返回重定向响应信息时，对请求消息进行处理并发送；重定向单元，用于当需要返回响应信息时，发送包含标识发起所述响应 消息真实实体信息的响应信息；认证单元，用于接收返回的响应消息，并认证所述响应消息是否合法， 若合法则发送包含标识发起所述响应消息真实实体信息的响应消息；签名单元，用于对标识发起所述响应消息真实实体的信息进行签名，并 将所述签名和证书信息插入到响应消息中并发送。
10、 根据权利要求9所述的响应消息认证系统，其特征在于还包括请 求终端，所述请求终端包括请求消息生成单元，用于生成包含预定标签的请求消息并发送； 响应消息接收单元，用于接收转发的移除签名和证书信息的响应消息。
11、 根据权利要求10所述的响应消息认证系统，其特征在于还包括 ^接收终端，所述接收终端包括请求消息接收单元，用于接收请求消息处理单元转发的请求消息； 处理单元，用于根据请求消息接收单元接收的请求消息生成响应消息； 响应消息发送单元，用于发送生成的响应消息。
12、 根据权利要求11所述的响应消息认证系统，其特征在于所述请 求消息处理单元具体为挑战请求消息处理单元，用于根据接收到的请求消息 判断是否需要返回重定向响应信息，及当不需要返回重定向响应信息时，在 请求消息中插入挑战信息并发送。
13、 根据权利要求12所述的响应消息认证系统，其特征在于所述响 应认证单元具体包括证书获取单元，用于接收响应消息接收单元转发的带有签名和证书信息的响应消息，并根据证书信息中的地址获取证书；证书认证单元，用于根据获取的证书并验证所述响应信息是否合法，若合法则移除所述签名和证书信息，并转发移除所述签名和证书信息的响应消 自、
14、 根据权利要求13所述的响应消息认证系统，其特征在于 所述请求消息接收单元具体为挑战请求消息接收单元，用于接收请求消息处理单元转发的带有挑战信息的请求消息；所述处理单元具体为挑战信息处理单元，用于根据请求消息接收单元接收的带有挑战信息的请求消息生成带有挑战响应信息的响应消息；所述响应消息发送单元具体为挑战响应消息发送单元，用于发送带有挑 战响应信息的响应消息。
15、 一种响应消息认证装置，其特征在于包括 转发单元，用于转发接收到的包含预定标签的请求消息； 接收单元，用于接收转发的所述请求消息并发送； 成功消息发送单元，接收返回的响应消息，并认证响应消息发送终端，将生成的包含标识发起所述响应消息真实实体的信息的签名及证书信息插入 到该响应消息中并发送；成功消息转发单元，将所述响应消息中的所述签名和证书信息移除并发送。
16、 根据权利要求15所述的响应消息认证装置，其特征在于所述接 收单元具体为挑战消息收发单元，用于在接收到的转发的所述请求消息中加入挑战信息并发送。
17、 根据权利要求16所述的响应消息认证装置，其特征在于所述成 功消息发送单元具体为成功挑战消息发送单元，用于根据返回的带有挑战响 应信息的响应信息，将生成的包含标识发起所述响应信息真实实体的信息的签名及^E书信息插入到该响应消息中并发送。
18、 根据权利要求17所述的响应消息认证装置，其特征在于还包括 检查单元，用于检查接收的挑战响应消息是否合法，若合法，则将响应消息发送给成功挑战消息发送单元，否则，先发送失败消息，后发送响应失 败消息；结束。
19、 根据权利要求18所述的响应消息认证装置，其特征在于还包括 验证单元，用于验证包含所述签名和证书信息的响应消息是否合法，若合法则将所述响应消息发送至成功消息转发单元，否则，先发送失败消息， 后发送响应失败消息。
20、 根据权利要求19所述的响应消息认证装置，其特征在于所述验 证单元具体包括获取模块，用于获取响应消息中的证书信息；判断模块，用于比较签名中标识发起所述响应信息真实实体信息的域名 部分是否与所述证书中的证书所有者同属一个域，若不同属一个域，则验证 失败，先发送失败消息，后发送响应失败消息，若同属一个域，则按照生成 签名时所采用的签名算法，对所述签名进行验证，若验证通过，则将所迷响 应消息中的所述签名和证书信息移除并发送，否则，先发送失败消息，后发 送响应失败消息。
21、 一种响应消息认证装置，其特征在于包括 转发单元，用于转发接收到的包含预定标签的请求消息；发送单元，用于将生成的包含标识发起响应消息真实实体信息的签名和 证书信息插入到响应消息中并发送；成功消息转发单元，用于将所述响应消息中的所述签名和证书信息移除 并发送。
22、 根据权利要求21所述的响应消息认证装置，其特征在于还包括 验证单元，用于验证包含所述签名和证书信息的响应消息是否合法，若合法则将所述响应消息发送至成功消息转发单元，否则，先发送失败消息， 后发送响应失败消息。
23、 根据权利要求22所述的响应消息认证装置，其特征在于所述验 证单元具体包括获取模块，用于获取响应消息中的证书信息；判断模块，用于比较签名中标识发起所述响应消息真实实体信息的域名 部分是否与所述证书中的证书所有者同属一个域，若不同属一个域，则验证 失败，先发送失败消息，后发送响应失败消息，若同属一个域，则按照生成 签名时所采用的签名算法，对所述签名进行验证，若验证通过，则将所述响 应消息中的所述签名和证书信息移除并发送，否则，先发送失败消息，后发 送响应失败消息。
全文摘要
本发明涉及一种响应消息认证方法、装置及系统，该响应消息认证方法包括转发接收到的包含预定标签的请求消息；接收转发的所述请求消息并发送；接收返回的响应消息，并认证响应消息发送终端，将生成的包含标识发起所述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发送；将所述响应消息中的所述签名和证书信息移除并发送；上述响应消息认证方法、装置及系统，可以较好地实现消息请求终端对消息接收终端响应消息的有效认证。
文档编号H04L1/16GK101527632SQ20081010146
公开日2009年9月9日 申请日期2008年3月6日 优先权日2008年3月6日
发明者江为强, 阳 辛, 钮心忻, 骥 马, 高洪涛 申请人:华为技术有限公司;北京邮电大学