基于sip的安全认证注册的方法
【技术领域】
[0001] 本发明设及一种认证注册方法,尤其是一种可W应用于语音、视频、数据等多媒体 业务特别是视频监控领域的一种基于SIP的安全认证注册的方法。
【背景技术】
[0002] 目前电信业务发展迅猛,W互联网为代表的新技术革命正在深刻的改变着传统 电信的概念和体系,电信界正面临着一场百年未遇的巨变。融合了数据、视频、音频业务的 多媒体通信业务得到了飞速发展,并将成为下一代网络NGN的主流业务之一。VoIP技术作 为融合中的主要支撑技术,正成为人们研究与应用的热点。1999年由IETF提出的SIP协 议是目前广泛使用的一种VoIP协议,主要用于实现IP网上的信令控制,包括建立、管理 和终止由多方参与的语音会话进程。大多数电信厂商承认目前VoIP仅占国际语音通信流 量的5%,电信运营商宣称IP电话在语音通信时间中所占比例正在快速增长,由其带来的 大量新兴电话服务已经得到运用。而在未来4到5年内则毫无疑问地将占据大约50%的通 信流量。由于VoIP发展迅速,与VoIP相关的协议标准也在不断的发展和完善。
[0003] 信令控制协议是VoIP的核屯、协议,现在比较主流的信令控制协议有SIP(Session InitiationProtocol)协议和比323协议,虽然H. 323推出比较早,发展也比较成熟,但 是它集成度高,协议比较复杂,灵活性不足,带来的开销也大。而SIP是由lETFQnternet 化gineeringTask化rce)制定的主要用于实现多媒体会话控制的应用层控制协议,它是 一种适合于在Internet的网络环境中实现实时通讯应用的信令协议,SIP协议借鉴了其 它因特网的标准和协议的设计思想,设计上充分考虑了对其它协议的扩展适应性,坚持简 练、开放、兼容和可扩展等原则,比较简单,灵活性强,而且现在全国范围内的平安城市项目 建设中被普遍推广应用的国家标准GB/T28181也对采用了SIP协议作为其核屯、信令控制 协议。SIP协议将成为NGN中的核屯、控制协议,对NGN的大规模商用具有十分重要的意义。
[0004] 但是面对复杂、开放的Internet应用环境,SIP协议自身缺少有力的安全机制, 使得其在安全性方面显得较为薄弱,为SIP的大规模应用带来了极大的安全隐患。现在的 SIP没有针对性的安全机制,只是用了HTTP摘要认证机制,对于该种机制只是SIP服务器对 客户端的认证,而没有客户端对SIP服务器的认证,而且摘要认证也很容易受到中间人攻 iif〇
【发明内容】
[0005] 本发明的目的在于克服现有技术中存在的不足,提供一种基于SIP的安全认证注 册的方法,实现SIP客户端和SIP服务器的双向认证。本发明采用的技术方案是:
[0006] 一种基于SIP的安全认证注册的方法,包括下述步骤:
[0007] 步骤S1;SIP客户端向SIP服务器发送注册数据包;
[000引步骤S2;SIP服务器接收到步骤S1中的注册数据包之后启动注册认证模块,发送 未认证数据包,携带认证激活分组数据,认证激活分组数据中包含SIP服务器的公钥证书 和密钥协商参数,并要求SIP客户端提供认证信息;
[0009] 步骤S3;SIP客户端接收到未认证数据包后根据用户信息发送带注册信息的注册 数据包,包含接入认证请求分组数据,接入认证请求分组数据中包括SIP客户端的公钥证 书和SIP客户端的密钥协商参数;
[0010] SIP客户端的密钥协商参数与步骤S2中SIP服务器的密钥协商参数相同;
[0011] 步骤S4;SIP服务器接收到带注册信息的注册数据包之后把SIP服务器和SIP客 户端的公钥证书封装于证书认证请求分组数据包并发给可信认证服务器验证,认证服务器 验证完之后对结果签名发给SIP服务器;
[0012] 步骤5;SIP服务器对结果验证是否合法,如果合法并通过验证,则对SIP客户端进 行位置信息的注册,并生成协商密钥,然后把认证结果通过接入认证响应分组数据发给SIP 客户端;
[0013] 步骤S6;SIP客户端对认证结果进行验证,通过则SIP客户端注册认证成功。
[0014] 进一步地,对于SIP的认证注册是引入了PKI证书体系,所述基于SIP的安全认证 注册的方法中,公私钥体系是由另外一套证书算法利用RSA算法生成,并分别给SIP客户端 预置SIP客户端的公钥证书、私钥证书、认证服务器的公钥证书,给SIP服务器预置SIP服 务器的公钥证书、私钥证书和认证服务器的公钥证书,给认证服务器预置认证服务器的公 钥证书、私钥证书和其它SIP客户端的公钥证书和SIP服务器的公钥证书。
[0015] 进一步地,步骤S2中的密钥协商参数由EO)H曲线算法计算得出,注册交互过程中 SIP客户端和SIP服务器交换ECDH参数和临时公钥信息并根据该些参数共同生成一对相同 的密钥,来保证后续对话密钥的统一性,及保密性。
[0016] 所述SIP客户端可W是需要接入到该网络(如网络电话、视频会议等)的任意形 式的SIP客户端,证书是是用RSA算法并由另外一套证书生成系统生成的,摘要是用的是 sha256算法,密钥协商是使用ECDH密钥交换算法
[0017] 本发明的优点在于;本发明可W应用于语音、视频、数据等多媒体业务特别是大型 视频监控系统,并利用PKI证书体系,给相应的设备预置相应的证书,并通过可信第=方认 证实现SIP客户端和SIP服务器的双向认证。
【附图说明】
[001引图1为本发明的方法步骤流程图。
[0019] 图2为本发明方法交互图。
[0020] 图3为本发明的SIP服务器处理数据流程图。
【具体实施方式】
[0021] 下面结合具体附图和实施例对本发明作进一步说明。
[0022] 本发明提供的基于SIP的安全认证注册的方法,包括下述步骤:
[0023] 步骤S1;SIP客户端向SIP服务器发送注册数据包;如图2所示,SIP客户端向SIP 服务器发送的Register请求消息就是注册数据包,步骤S1中该注册数据包中不携带任何 认证信息,请求消息中包含的Authorization字段中A1gorithm字符用于指明相应的算法, 如Algorithm;"H:MD5"指明认证的摘要算法为MD5算法;
[0024] 步骤S2;SIP服务器接收到Register注册数据包,检查到包中不含认证信息, SIP服务器向SIP客户端通过发送401数据包(即401响应消息)来发未认证数据包, 并在响应的消息头WWW_Authenticate字段中给出适合SIP客户端的认证体制和参数,其 中包括realm和nonce随机数信息,并在MESSAGEBODY字段中填充认证激活分组数据, Content-Type字段为text/code,认证激活分组数据内容主要有自己的分组标识FLAG,认 证标识,SIP服务器随机数,认证激活时间,本地认证服务器的身份,SIP服务器所生成的密 钥协商参数,SIP服务器公钥证书等信息并用SIP服务器私钥签名,认证激活分组数据格式 如下:
[0025]
【主权项】
1. 一种基于SIP的安全认证注册的方法,其特征在于,包括下述步骤: 步骤SI :SIP客户端向SIP服务器发送注册数据包; 步骤S2 :SIP服务器接收到步骤Sl中的注册数据包之后启动注册认证模块,发送未认 证数据包,携带认证激活分组数据,认证激活分组数据中包含SIP服务器的公钥证书和密 钥协商参数,并要求SIP客户端提供认证信息; 步骤S3 :SIP客户端接收到未认证数据包后根据用户信息发送带注册信息的注册数据 包,包含接入认证请求分组数据,接入认证请求分组数据中包括SIP客户端的公钥证书和 SIP客户端的密钥协商参数; SIP客户端的密钥协商参数与步骤S2中SIP服务器的密钥协商参数相同; 步骤S4 :SIP服务器接收到带注册信息的注册数据包之后把SIP服务器和SIP客户端 的公钥证书封装于证书认证请求分组数据包并发给可信认证服务器验证,认证服务器验证 完之后对结果签名发给SIP服务器; 步骤5 :SIP服务器对结果验证是否合法,如果合法并通过验证,则对SIP客户端进行位 置信息的注册,并生成协商密钥,然后把认证结果通过接入认证响应分组数据发给SIP客 户端; 步骤S6 :SIP客户端对认证结果进行验证,通过则SIP客户端注册认证成功。
2.如权利要求1所述的基于SIP的安全认证注册的方法,其特征在于: 所述基于SIP的安全认证注册的方法中,公私钥体系是由另外一套证书算法利用RSA 算法生成,并分别给SIP客户端预置SIP客户端的公钥证书、私钥证书、认证服务器的公钥 证书,给SIP服务器预置SIP服务器的公钥证书、私钥证书和认证服务器的公钥证书,给认 证服务器预置认证服务器的公钥证书、私钥证书和其它SIP客户端的公钥证书和SIP服务 器的公钥证书。
3. 如权利要求1所述的基于SIP的安全认证注册的方法,其特征在于: 步骤S2中的密钥协商参数由ECDH曲线算法计算得出,注册交互过程中SIP客户端和 SIP服务器交换ECDH参数和临时公钥信息并根据这些参数共同生成一对相同的密钥,来保 证后续对话密钥的统一性,及保密性。
【专利摘要】本发明提供一种基于SIP的安全认证注册的方法,包括下述步骤:SIP客户端向SIP服务器发送注册数据包;SIP服务器接收到注册数据包之后启动注册认证模块,发送未认证数据包,携带认证激活分组数据,认证激活分组数据中包含SIP服务器的公钥证书和密钥协商参数,并要求SIP客户端提供认证信息;SIP客户端根据用户信息发送带注册信息的注册数据包,包含接入认证请求分组数据,接入认证请求分组数据中包括SIP客户端的公钥证书和SIP客户端的密钥协商参数;SIP服务器把SIP服务器和SIP客户端的公钥证书封装于证书认证请求分组数据包并发给可信认证服务器验证;SIP服务器对结果验证是否合法;SIP客户端对认证结果进行验证,通过则SIP客户端注册认证成功。
【IPC分类】H04L29-06
【公开号】CN104753937
【申请号】CN201510131761
【发明人】江再伟, 芦翔, 汪明伟, 吕世超, 潘磊, 周新运, 孙利民
【申请人】江苏物联网研究发展中心
【公开日】2015年7月1日
【申请日】2015年3月24日