CN107493293A - 一种sip终端接入鉴权的方法 - Google Patents
一种sip终端接入鉴权的方法 Download PDFInfo
- Publication number
- CN107493293A CN107493293A CN201710784203.8A CN201710784203A CN107493293A CN 107493293 A CN107493293 A CN 107493293A CN 201710784203 A CN201710784203 A CN 201710784203A CN 107493293 A CN107493293 A CN 107493293A
- Authority
- CN
- China
- Prior art keywords
- sip
- terminal
- sip terminal
- accounts
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种SIP终端接入鉴权的方法,涉及通信技术领域。SIP终端接入鉴权的方法中,在SIP终端向SIP服务器发出注册请求的过程中,SIP服务器会请求对SIP终端鉴权,SIP终端将SIP终端的MAC地址作为输入参数之一,按照SIP服务器指示的摘要认证算法计算出摘要认证响应、并发送给SIP服务器。SIP服务器在收到摘要认证响应时,同样将SIP服务器内保存的SIP终端的MAC地址作为输入参数之一,计算出摘要认证响应。如果SIP服务器计算出的摘要认证响应与SIP终端发送的摘要认证响应匹配,则允许SIP终端的注册请求,反之,则拒绝。利用上述方法,即使SIP账号、密码泄露了,如果不是通过预先绑定的SIP终端注册,SIP账号也无法登录使用,有效防止SIP账号被盗用的风险。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种SIP终端接入鉴权的方法。
背景技术
目前,随着VoIP(Voice over Internet Protocol,中文名:网络电话)业务的兴起,采用SIP(Session Initiation Protocol,中文名:会话发起协议)终端接入SIP服务器实现语音、视频呼叫的业务越来越多。
相比于传统的模拟电话,SIP终端接入通信网络的过程不受物理线路的限制,只要有网络,就可以使用***预先分配的SIP账号和密码注册到SIP服务器上,并发起呼叫。
在SIP协议里规定的对SIP终端的鉴权方式是:当SIP服务器在收到对SIP终端发来的未经认证的访问请求时,会响应一个401Unauthorized(401未经授权)应答给SIP终端,其中包含realm、动态nonce、opaque、Algorithm、Qop等参数;SIP终端在重试发送注册请求时,也产生一个动态的cnonce值,并采用如下算法来计算摘要认证响应:
HA1 = md5("username:realm:password");
HA2 = md5("method:uri")
response = md5("HA1:nouce:nc:cnonce:qop:HA2");
SIP服务器收到SIP终端重发的注册请求后,要对用户名、口令进行合法性检查。SIP服务器使用已经保存在服务端的用户名和密码,并结合消息头域中的其他参数。采用和SIP终端相同的摘要认证算法(如MD5)计算摘要认证响应,并将计算结果与请求-摘要中的response值相比较。此鉴权过程的关键点在于:由于response的值与用户名、密码、nonce、cnonce、algorithm(约定的算法)等参数有关,因此如果结果一致,SIP服务器和SIP客户端双方都可以认为对方不是伪造的。
这样也就存在一个很大的风险,如果SIP账号和密码泄露,SIP账号和密码就有可能被盗用,并且SIP服务器也无法有效甄别哪个SIP终端是非法接入,SIP账号和密码就有可能被不法分子盗用。
因此,改进SIP终端接入SIP服务器的鉴权方法,使SIP服务器能够自动有效甄别出非法接入的SIP终端、并拒绝该SIP终端的注册请求,这是,目前亟待解决的技术问题。
发明内容
本发明的目的在于提供一种SIP终端接入鉴权的方法,其旨在解决SIP服务器也无法有效甄别SIP账号和密码是否被盗用、且无法有效拒绝被盗用的SIP账号的注册请求的技术问题。
本发明提供的技术方案:
一种SIP终端接入鉴权的方法包括以下步骤:
SIP终端向SIP服务器发送注册请求;
SIP服务器收到注册请求后,发送401Unauthorized消息给SIP终端,请求对SIP终端认证;
SIP终端收到401Unauthorized消息后,根据SIP服务器指示的摘要认证算法,将SIP终端的MAC地址作为输入参数之一,计算摘要认证响应,并计算出的摘要认证响应发送给SIP服务器;
SIP服务器收到SIP终端发来的摘要认证响应后,同样将SIP终端的MAC地址作为输入参数之一,采用和SIP终端相同的摘要认证算法,计算出摘要认证响应;
SIP服务器将计算出的摘要认证响应和接收到的报文中的摘要认证响应进行匹配,如果匹配一致,则允许SIP终端的注册请求,如果匹配不一致,则拒绝SIP终端的注册请求。
进一步地,SIP终端向SIP服务器发送注册请求之前,还包括步骤:
在SIP服务器中添加SIP账号,同时将SIP账号与使用该SIP账号的SIP终端的MAC地址绑定,并在SIP服务器中保存SIP账号、密码和SIP终端的MAC地址的对应关系。
进一步地,SIP终端向SIP服务器发送注册请求之前,还包括步骤:
在SIP服务器中添加SIP账号,同时将SIP账号与可以使用该SIP账号的多个SIP终端的MAC地址绑定,并在SIP服务器中保存SIP账号、密码和SIP终端的MAC地址的对应关系。
本发明提供的SIP终端接入鉴权的方法的有益效果是:
现有技术中,只要SIP账号泄露,就有被盗用的风险,并且很难判断哪个注册请求是非法接入的。利用本发明提供的SIP终端接入鉴权的方法,即使SIP账号、密码泄露了,如果不是通过预先绑定的SIP终端登录,SIP账号、密码也无法登录使用,这样,可以有效防止SIP账号被盗用的风险。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的SIP终端接入鉴权的方法的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了规避SIP账号被盗用的风险,本实施例提出将SIP账号和SIP终端进行绑定,SIP终端向SIP服务器发出注册请求时,只有SIP账号与SIP终端是匹配的,SIP服务器才会接受此注册请求。
判断SIP账号与SIP终端是否匹配的方法如下:
每台SIP终端都有全球唯一的MAC地址,SIP服务器在分配SIP账号时,将SIP账号和SIP终端的MAC地址绑定到一起。这样,在SIP终端向SIP服务器发出注册请求的过程中,SIP服务器会要求对SIP终端鉴权,SIP终端在计算摘要认证响应(Digest AuthenticationResponse)的过程中,需要同时将SIP账号、密码和SIP终端的MAC地址作为输入参数。SIP终端将根据SIP账号、密码和SIP终端的MAC地址计算出的摘要认证响应发送给SIP服务器。
SIP服务器在收到SIP终端发来的摘要认证响应时,会根据SIP服务器内保存的SIP账号、密码和SIP终端的MAC地址,计算出摘要认证响应。
如果SIP服务器计算出的摘要认证响应与SIP终端发送的摘要认证响应匹配,则SIP服务器判断SIP账号与SIP终端匹配,允许SIP终端的注册请求。如果SIP服务器计算出的摘要认证响应与SIP终端发送的摘要认证响应不匹配,则SIP服务器判断SIP账号与SIP终端不匹配,此次注册请求存在SIP账号被盗用的风险,拒绝SIP终端的注册请求。
用户利用SIP终端在SIP服务器中注册SIP账号,同时绑定该SIP账号所对应的SIP终端的MAC地址。优选地,同一个SIP账号绑定可以使用该SIP账号的多个SIP终端的MAC地址,以便于一个SIP账号可以在多个SIP终端上登录使用。
具体的,请参阅图1,SIP终端接入鉴权的方法包括以下步骤:
S1:SIP终端向SIP服务器发送注册请求。
S2:SIP服务器收到此注册请求后,发送401Unauthorized消息给SIP终端,请求对SIP终端认证。
S3:SIP终端收到401Unauthorized消息后,根据SIP服务器指示的摘要认证算法,将SIP终端的MAC地址作为输入参数之一,计算摘要认证响应,并计算出的摘要认证响应发送给SIP服务器。
具体的,摘要认证算法为:
HA1 = md5("username:realm:password:MAC");
HA2 = md5("method:uri")
response = md5("HA1:nouce:nc:cnonce:qop:HA2");
其中,response信息里包含了SIP账号、密码和SIP终端的MAC地址。
S4:SIP服务器收到SIP终端发来的摘要认证响应后,同样将SIP终端的MAC地址作为输入参数之一,采用和SIP终端相同的摘要认证算法,计算出摘要认证响应(md5)。
S5:SIP服务器将计算出的摘要认证响应和接收到的报文中的摘要认证响应进行匹配。
如果SIP服务器计算出的摘要认证响应与SIP终端发送的摘要认证响应匹配一致,则SIP服务器判断SIP账号与SIP终端匹配一致,允许SIP终端的注册请求。
如果SIP服务器计算出的摘要认证响应与SIP终端发送的摘要认证响应匹配不一致,则SIP服务器判断SIP账号与SIP终端匹配不一致,此次注册请求存在SIP账号被盗用的风险,拒绝SIP终端的注册请求。
容易理解的是,SIP终端向SIP服务器发送注册请求之前,需要在SIP服务器中添加SIP账号,同时将SIP账号与使用该SIP账号的SIP终端的MAC地址绑定,并在SIP服务器中保存SIP账号、密码和SIP终端的MAC地址的对应关系。
此外,对于SIP终端向SIP服务器初次发送注册请求的情况,只需要将注册的SIP账号、密码和SIP终端的MAC地址保存至SIP服务器中,SIP服务器不会发送401Unauthorized消息给SIP终端、请求对SIP终端认证。
从第二次SIP终端向SIP服务器发送注册请求开始,SIP终端与SIP服务器之间才实施本实施例提供的SIP终端接入鉴权的方法。
现有技术中,只要SIP账号泄露,就有被盗用的风险,并且很难判断哪个注册请求是非法接入的。
利用本发明提供的SIP终端接入鉴权的方法,即使SIP账号、密码泄露了,如果不是通过预先绑定的SIP终端登录,SIP账号、密码也无法登录使用,这样,可以有效防止SIP账号被盗用的风险。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种SIP终端接入鉴权的方法,其特征在于:所述SIP终端接入鉴权的方法包括以下步骤:
SIP终端向SIP服务器发送注册请求;
SIP服务器收到注册请求后,发送401Unauthorized消息给SIP终端,请求对SIP终端认证;
SIP终端收到401Unauthorized消息后,根据SIP服务器指示的摘要认证算法,将SIP终端的MAC地址作为输入参数之一,计算摘要认证响应,并计算出的摘要认证响应发送给SIP服务器;
SIP服务器收到SIP终端发来的摘要认证响应后,同样将SIP终端的MAC地址作为输入参数之一,采用和SIP终端相同的摘要认证算法,计算出摘要认证响应;
SIP服务器将计算出的摘要认证响应和接收到的报文中的摘要认证响应进行匹配,如果匹配一致,则允许SIP终端的注册请求,如果匹配不一致,则拒绝SIP终端的注册请求。
2.根据权利要求1所述的一种SIP终端接入鉴权的方法,其特征在于:SIP终端向SIP服务器发送注册请求之前,还包括步骤:
在SIP服务器中添加SIP账号,同时将SIP账号与使用该SIP账号的SIP终端的MAC地址绑定,并在SIP服务器中保存SIP账号、密码和SIP终端的MAC地址的对应关系。
3.根据权利要求1所述的一种SIP终端接入鉴权的方法,其特征在于:SIP终端向SIP服务器发送注册请求之前,还包括步骤:
在SIP服务器中添加SIP账号,同时将SIP账号与可以使用该SIP账号的多个SIP终端的MAC地址绑定,并在SIP服务器中保存SIP账号、密码和SIP终端的MAC地址的对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710784203.8A CN107493293A (zh) | 2017-09-04 | 2017-09-04 | 一种sip终端接入鉴权的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710784203.8A CN107493293A (zh) | 2017-09-04 | 2017-09-04 | 一种sip终端接入鉴权的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107493293A true CN107493293A (zh) | 2017-12-19 |
Family
ID=60651396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710784203.8A Pending CN107493293A (zh) | 2017-09-04 | 2017-09-04 | 一种sip终端接入鉴权的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107493293A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107995229A (zh) * | 2018-01-31 | 2018-05-04 | 苏州锦佰安信息技术有限公司 | 一种身份验证方法和装置 |
| CN108306883A (zh) * | 2018-01-31 | 2018-07-20 | 苏州锦佰安信息技术有限公司 | 一种身份验证方法和装置 |
| CN108924142A (zh) * | 2018-07-13 | 2018-11-30 | 江苏中利电子信息科技有限公司 | 一种基于sip协议的安全语音对讲通讯方法 |
| CN111355734A (zh) * | 2020-03-02 | 2020-06-30 | 安康鸿天科技股份有限公司 | 接入ims***的认证方法、装置、电子设备和存储介质 |
| CN112039878A (zh) * | 2020-08-28 | 2020-12-04 | 北京飞讯数码科技有限公司 | 一种设备注册方法、装置、计算机设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913437A (zh) * | 2006-08-25 | 2007-02-14 | 华为技术有限公司 | 初始会话协议应用网络及建立安全通道的装置和方法 |
| CN101488945A (zh) * | 2008-01-14 | 2009-07-22 | 北京大唐高鸿数据网络技术有限公司 | 一种面向会话初始化协议的鉴权方法 |
| US20100319059A1 (en) * | 2009-06-10 | 2010-12-16 | Avaya Inc. | Sip digest authentication handle credential management |
| CN102469102A (zh) * | 2010-11-04 | 2012-05-23 | 中兴通讯股份有限公司 | 单点登录方法及*** |
| US20150113275A1 (en) * | 2013-10-18 | 2015-04-23 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
-
2017
- 2017-09-04 CN CN201710784203.8A patent/CN107493293A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913437A (zh) * | 2006-08-25 | 2007-02-14 | 华为技术有限公司 | 初始会话协议应用网络及建立安全通道的装置和方法 |
| CN101488945A (zh) * | 2008-01-14 | 2009-07-22 | 北京大唐高鸿数据网络技术有限公司 | 一种面向会话初始化协议的鉴权方法 |
| US20100319059A1 (en) * | 2009-06-10 | 2010-12-16 | Avaya Inc. | Sip digest authentication handle credential management |
| CN102469102A (zh) * | 2010-11-04 | 2012-05-23 | 中兴通讯股份有限公司 | 单点登录方法及*** |
| US20150113275A1 (en) * | 2013-10-18 | 2015-04-23 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
Non-Patent Citations (2)
| Title |
|---|
| DONG HYEON LEE: ""The Fast SIP Registration method Using MAC Address in VoIP system"", 《IEEE》 * |
| J. FRANKS: ""HTTP Authentication: Basic and Digest Access Authentication"", 《IETF》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107995229A (zh) * | 2018-01-31 | 2018-05-04 | 苏州锦佰安信息技术有限公司 | 一种身份验证方法和装置 |
| CN108306883A (zh) * | 2018-01-31 | 2018-07-20 | 苏州锦佰安信息技术有限公司 | 一种身份验证方法和装置 |
| CN108924142A (zh) * | 2018-07-13 | 2018-11-30 | 江苏中利电子信息科技有限公司 | 一种基于sip协议的安全语音对讲通讯方法 |
| CN108924142B (zh) * | 2018-07-13 | 2021-01-19 | 江苏中利电子信息科技有限公司 | 一种基于sip协议的安全语音对讲通讯方法 |
| CN111355734A (zh) * | 2020-03-02 | 2020-06-30 | 安康鸿天科技股份有限公司 | 接入ims***的认证方法、装置、电子设备和存储介质 |
| CN112039878A (zh) * | 2020-08-28 | 2020-12-04 | 北京飞讯数码科技有限公司 | 一种设备注册方法、装置、计算机设备及存储介质 |
| CN112039878B (zh) * | 2020-08-28 | 2024-02-09 | 北京飞讯数码科技有限公司 | 一种设备注册方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107493293A (zh) | 一种sip终端接入鉴权的方法 | |
| US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
| CN104917727B (zh) | 一种帐户鉴权的方法、***及装置 | |
| US20160380999A1 (en) | User Identifier Based Device, Identity and Activity Management System | |
| CN104426656B (zh) | 数据收发方法及***、消息的处理方法及装置 | |
| WO2016078419A1 (zh) | 一种开放授权方法、装置及开放平台 | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证***及方法 | |
| WO2019114320A1 (zh) | 一种ims用户的注册方法及装置 | |
| US9571480B1 (en) | Authentication methods and apparatus | |
| US20150065089A1 (en) | Network application function authorisation in a generic bootstrapping architecture | |
| US20120102319A1 (en) | System and Method for Reliably Authenticating an Appliance | |
| CN109769003A (zh) | 防止手机号码泄露的手机注册方法、***及服务器 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| US20160255191A1 (en) | Conference Access Method and Apparatus | |
| US11575667B1 (en) | System and method for secure communications | |
| US20170223067A1 (en) | Communications methods, apparatus and systems for correlating registrations, service requests and calls | |
| CN103546286A (zh) | 认证处理方法及装置 | |
| CN112929388A (zh) | 网络身份跨设备应用快速认证方法和***、用户代理设备 | |
| CN108270747B (zh) | 一种认证方法及装置 | |
| CN103905405A (zh) | 一种ims的用户注册方法、装置及相关设备 | |
| CN115767538A (zh) | 一种信息验证方法、信息处理方法、装置及设备 | |
| US10447688B1 (en) | System for secure communications | |
| CN111355734A (zh) | 接入ims***的认证方法、装置、电子设备和存储介质 | |
| CN107995587B (zh) | 认证方法、认证平台以及认证***和服务商平台 | |
| CN107770772B (zh) | 一种通过app实现无感知认证上网的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171219 |
|
| RJ01 | Rejection of invention patent application after publication |