CN100479452C - 从ip终端上安全传送卡号信息到软交换的方法 - Google Patents
从ip终端上安全传送卡号信息到软交换的方法 Download PDFInfo
- Publication number
- CN100479452C CN100479452C CNB031272517A CN03127251A CN100479452C CN 100479452 C CN100479452 C CN 100479452C CN B031272517 A CNB031272517 A CN B031272517A CN 03127251 A CN03127251 A CN 03127251A CN 100479452 C CN100479452 C CN 100479452C
- Authority
- CN
- China
- Prior art keywords
- card number
- password
- terminal
- message
- soft switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Telephonic Communication Services (AREA)
Abstract
一种从IP终端上安全传送卡号信息到软交换的方法,对会话初始协议(SIP)或基于分组的多媒体通信系统协议(H.323)进行扩展,在SIP协议的INVITE消息或H.323协议的ARQ消息中增加卡号字段,用来存储卡号信息;或利用INVITE消息或ARQ消息中闲置的标准字段存储卡号信息;在IP终端将卡号密码与某一固定密钥进行异或运算形成一加密串,放到消息的加密串字段中;软交换收到该消息后,将固定密钥与消息中该加密串字段中的值进行异或运算,解析出卡号密码。利用本发明实现了IP终端与软交换的快速安全的通信,并实现Radius服务器对IP终端卡号的鉴权,从而可以组建大规模的IP智能网。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种从IP终端上安全传送卡号信息到软交换设备的方法。
背景技术
NGN(下一代网络)的发展,需要IP终端(基于会话初始协议SIP、基于分组的多媒体通信系统协议H.323等的语音/多媒体通信终端)提供更多的功能,其中之一就是能够使用卡号进行呼叫。在使用卡号呼叫过程中,传统的方法是通过IVR(交互式语音响应)放音系统,在拨通接入码(如17909)后,提示用户输入卡号密码,IP终端先拨接入码,听到提示音后,依次输入卡号、密码,由IP终端采用音频信号将密码送到软交换,软交换是NGN网络的核心设备,实现IP业务的交换控制;再由软交换将密码送到Radius(远程验证用户拨入服务)服务器上进行鉴权,如果通过则允许用户进行呼叫,否则禁止呼叫。这种方法由于需要放音,速度较慢,用户需要每次输入卡号和密码,使用不方便,并且放音占用了放音资源,增加了设备成本。
现有的IP终端一般通过SIP协议或H.323协议与软交换进行通信,SIP协议是在INVITE(邀请用户加入呼叫消息)鉴权消息中,通过CHAP(质询握手身份验证协议)方式传送终端号码(ID)和密码。采用CHAP加密方法,能够避免建立连接时传送用户的真实密码,主要通过下面几步,完成对密码的安全传送:
1)由IP终端发起挑战(challenge)请求;
2)软交换系统给出响应的随机数,发送给IP终端;
3)IP终端和软交换系统使用该随机数作为公共的加密密钥,将需要传送的敏感信息进行加密,从IP终端发送到软交换系统。
H.323协议是在ARQ(接入请求)鉴权消息中使用Option字段,按CHAP方式或共享密钥的方式传送终端ID和密码。共享密钥方式,一般是通过人工配置,将客户端和服务器端设置出相同的公共密钥,用于加密要传送的敏感信息。
现有技术中有的IP终端,将终端的ID和密码配置在有关文件里,呼叫时按照SIP或H.323协议的规定自动传送密码;同样也将卡号和密码配置在文件里,呼叫时按照SIP或H.323协议的规定自动传送密码。这样不需要放音,速度较快,用户不需要每次输入卡号和密码,使用比较方便。
但现有协议和技术只定义了传送终端本身ID和密码的方法,对于卡号呼叫,则没有定义和考虑,这两种协议,都只能加密传送终端自身的ID和密码,不能一次性将终端的密码和卡号的密码加密送到软交换。对于卡号的密码只能采用明文传送,容易被窃取,存在安全隐患。
H.323协议在ARQ消息中,还定义了可以选择的扩展字段(又称非标准数据字段),例如,这些扩展字段可包含Card Number(卡号)、Password(密码)、UserName(设备ID)等。可以利用协议的扩展性,进行两次MD5(信息摘要算法)计算,分别对终端ID和卡号进行加密。但在SIP及H.323协议下采用MD5算法进行加密鉴权,而由于MD5算法的不可逆性,无法在软交换中解析出卡号密码。为了验证密码的正确性,软交换必须知道卡号的密码,用卡号密码作为关键字之一,进行MD5的运算,将运算结果与IP终端送上来的MD5加密串进行比较,如果一致,就说明密码正确,允许用户呼叫。而Radius卡号的密码是在保存在Radius服务器上,Radius协议不支持CHAP方式或共享密钥方式的鉴权,无法直接与IP终端交互,这样卡号不能由Radius协议鉴权,IP终端所使用的卡号只能放在软交换上进行管理,只能限于本地使用,无法支持Radius服务器上的卡号,因而无法实现建设大的IP智能网。
发明内容
本发明所要解决的技术问题是:克服现有的IP终端在使用卡号呼叫过程中需进行放音提示操作所带来的速度慢等缺点,提供一种从IP终端上安全传送终端及卡号信息到软交换设备的方法,从而实现IP终端与软交换的快速安全的通信,并实现Radius服务器对IP终端卡号的鉴权。
本发明为解决上述技术问题所采用的技术方案为:
这种从IP终端上安全传送终端及卡号信息到软交换的方法,包括以下步骤:
对会话初始协议(SIP)或基于分组的多媒体通信系统协议(H.323)进行扩展,在SIP协议的邀请用户加入呼叫消息(INVITE)或H.323协议的接入请求消息(ARQ)中增加卡号字段,用来存储卡号信息;或利用INVITE消息或ARQ消息中闲置的标准字段存储卡号信息;
在IP终端将卡号密码与某一固定密钥进行异或运算形成一加密串,放到消息的加密串字段中,其中,所述固定密钥是由特定的参数按散列加密算法进行加密而得到的值,该特定的参数包括终端号码的密码;
软交换收到该消息后,将上述固定密钥与消息中该加密串字段中的值进行异或运算,解析出卡号密码。
所述特定的参数还包括卡号、终端号码及SIP协议中定义的计算加密串的参数一起按散列加密算法进行加密而得到的值。
所述的散列加密算法采用信息摘要(MD5)加密算法。
计算固定密钥时还将固定内容的字符串或同步随机数串与终端号码、卡号、终端号码的密码及SIP协议中定义的计算加密串的参数一起码、卡号、终端号码的密码及SIP协议中定义的计算加密串的参数(SIPDigest)一起按散列加密算法进行加密。
软交换设备利用远程验证用户拨入服务(Radius)协议将卡号、解析出来的卡号密码送到Radius服务器鉴权,软交换设备汇集终端号码及其密码、卡号及其密码的鉴权结果,允许两套密码都符合的终端接入进行呼叫,否则拒绝其接入。
本发明的有益效果为:本发明为了方便NGN终端的卡号呼叫,设计了这种一次性安全携带两套密码的方法,可简单方便地实现NGN终端的卡号呼叫。用户只需要配置好自己的卡号和密码,终端就可以安全地将用户的卡号密码信息,加密后送到软交换设备。不用像通常的IP电话那样,按照提示音输入卡号密码,并且,在IP网络上,能够安全地将用户终端和卡号的两套密码传送到服务器方。本发明在兼容现有协议的基础上,方便地实现了IP终端的卡号输入问题,方便了用户使用IP终端。
本发明利用MD5和异或算法的组合方式,实现对字符串的加密、解密。通过对response(加密串)字段的MD5计算,得到两个密码的MD5散列加密串,并且能够通过查终端ID的表,得到终端ID的密码,由这个终端ID密码,解析出另一个隐藏在MD5异或字符串中的密码。利用本发明,可实现SIP协议与Radius协议的协同工作,使得SIP终端,通过软交换设备,可以支持Radius服务器上的卡号,从而扩大了IP终端使用卡号呼叫的范围,可以实现建设大的IP智能网。
具体实施方式
下面结合实施例对本发明作进一步详细说明:
本发明对在SIP、H.323协议中使用的CHAP方式,进行改进,利用协议中对INVITE/ARQ消息进行的扩展,实现在一条INVITE/ARQ消息中,安全地传送终端自身密码和卡号密码。
由于终端ID和密码一般由软交换系统控制,而卡号系统在软交换系统之外,一般存在于Radius服务器上,而MD5算法是不可逆的(也就是说,不能从加密后的字符串倒出原来的密码,只能通过用相同的算法计算加密串,比较两次运算的结果一致性,来判断密码的正确性)。这样,为了将位于软交换系统之外的Radius服务器上的卡号密码从用户终端输入的加密串中解析出来,本发明用异或算法与MD5算法相结合,一方面保证IP网上敏感信息的安全传送,另一方面可在软交换中解析出卡号密码。
本发明实现方法如下:
在终端和软交换设备完成Challenge(挑战请求)过程后,在INVITE/ARQ消息中,利用协议对消息的扩展,增加卡号字段,用来存储卡号信息,也可以利用闲置的标准字段(SIP协议中,INVITE消息里面,还没有正式普遍使用的字段,例如,Contact字段、From字段等)存储卡号信息;利用SIP协议定义的Digest(摘要算法),将卡号、终端ID以及各自的密码,按照下面的改进Digest进行运算,得到标准的Response(加密串)字段:
Response=[Md5(终端ID+卡号+终端ID的密码+SIP Digest参数)]XOR卡号密码
其中,XOR表示异或操作,SIP Digest参数为SIP协议定义的计算加密串的参数,包括username/realm/nonce/Digest-uri dresponse/algorithm/cnonce/opaque/message-qop/nonce-count/auth-param等。
当软交换收到这个Response后,通过查终端ID的表,得到终端ID的密码,然后通过对应的算法计算Md5(终端ID+卡号+终端ID的密码+SIP Digest参数)的值,再进行异或操作,由于异或操作的特点是“经过两次异或就恢复原值”,即当一个数A和另一个数B进行异或运算会生成另一个数C,如果再将C和B进行异或运算则C又会还原为A。因此,利用异或操作的这一特点就可以轻松地将卡号的密码解析出来:
卡号密码=Response XOR Md5(终端ID+卡号+终端ID的密码+SIP Digest参数)
这样,解析出来的卡号密码,就可以由Radius客户端通过标准的Radius协议送往Radius服务器了,实现了SIP协议与Radius协议的交互工作;另一方面,通过这一条消息,就将终端ID的密码和卡号的密码,同时安全地(由MD5加密)送到软交换设备,软交换设备可以对这两个密码分别进行验证。
这样,本发明在兼容现有协议基础上,安全地将卡号和密码送到软交换设备,方便地实现了IP终端的卡号输入问题,由于可以在软交换中解析出卡号密码,本发明可实现SIP协议与Radius协议的协同工作,IP终端通过软交换设备可使用Radius卡号服务,从而解决了SIP协议下,卡号不能由Radius协议鉴权的问题。步骤如下:
1、将终端ID、密码、卡号、卡号密码一同送到软交换;
2、软交换根据终端ID、卡号、终端ID的密码等信息,采用上述方法将卡号密码解析出来;
3、采用标准的Radius协议,由软交换设备做Radius客户端,将解析出来的卡号密码送到Radius服务器进行鉴权;
4、软交换设备汇集终端ID/密码、卡号/密码的鉴权结果,只有两套密码都符合才允许接入;
5、软交换设备将最终结果返回给IP终端,同意或拒绝其接入。
在进行加密串(response)的计算时,可以对进行MD5算法的字符串进行扩展,增加一些固定内容的字符串,如像共享密钥一样在客户端和软交换系统之间使用相同的一个字符串,也可以在客户端和服务器端使用同步随机数机制,根据时间不同,使用预订好的参数。
本发明对用户终端一侧,支持标准的SIP协议(要使用其中的扩展字段或无普遍确切含义的字段);对Radius服务器一侧,支持标准的Radius协议(需要将卡号密码解析出来),实现了SIP终端和Radius服务器的协同工作。
Claims (5)
1、一种从IP终端上安全传送卡号信息到软交换的方法,其特征在于,包括以下步骤:
对会话初始协议(SIP)或基于分组的多媒体通信系统协议(H.323)进行扩展,在SIP协议的邀请用户加入呼叫消息(INVITE)或H.323协议的接入请求消息(ARQ)中增加卡号字段,用来存储卡号信息;或利用INVITE消息或ARQ消息中闲置的标准字段存储卡号信息;
在IP终端将卡号密码与某一固定密钥进行异或运算形成一加密串,放到消息的加密串字段中,其中,所述固定密钥是由特定的参数按散列加密算法进行加密而得到的值,该特定的参数包括终端号码的密码;
软交换收到该消息后,将上述固定密钥与消息中该加密串字段中的值进行异或运算,解析出卡号密码。
2、根据权利要求1所述的从IP终端上安全传送卡号信息到软交换的方法,其特征在于:所述特定的参数还包括卡号、终端号码及SIP协议中定义的计算加密串的参数。
3、根据权利要求2所述的从IP终端上安全传送卡号信息到软交换的方法,其特征在于:所述的散列加密算法采用信息摘要(MD5)加密算法。
4、根据权利要求2所述的从IP终端上安全传送卡号信息到软交换的方法,其特征在于:计算固定密钥时还将固定内容的字符串或同步随机数串与终端号码、卡号、终端号码的密码及SIP协议中定义的计算加密串的参数一起按散列加密算法进行加密。
5、根据权利要求1、2、3或4所述的从IP终端上安全传送卡号信息到软交换的方法,其特征在于:软交换设备利用远程验证用户拨入服务(Radius)协议将卡号、解析出来的卡号密码送到Radius服务器鉴权,软交换设备汇集终端号码及其密码、卡号及其密码的鉴权结果,允许两套密码都符合的终端接入进行呼叫,否则拒绝其接入。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031272517A CN100479452C (zh) | 2003-09-30 | 2003-09-30 | 从ip终端上安全传送卡号信息到软交换的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031272517A CN100479452C (zh) | 2003-09-30 | 2003-09-30 | 从ip终端上安全传送卡号信息到软交换的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1604585A CN1604585A (zh) | 2005-04-06 |
| CN100479452C true CN100479452C (zh) | 2009-04-15 |
Family
ID=34658865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031272517A Expired - Fee Related CN100479452C (zh) | 2003-09-30 | 2003-09-30 | 从ip终端上安全传送卡号信息到软交换的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100479452C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052056B (zh) * | 2006-04-07 | 2010-05-12 | 华为技术有限公司 | 软交换系统及呼叫业务的鉴权处理方法 |
| CN1913432B (zh) * | 2006-07-27 | 2010-10-06 | 华为技术有限公司 | 卡号业务使用sip鉴权的方法和系统 |
| CN101132273B (zh) * | 2006-08-24 | 2011-03-30 | 北京大唐高鸿软件技术有限公司 | 一种文本传输协议消息的安全传输方法 |
| US8280027B2 (en) * | 2007-10-29 | 2012-10-02 | Cisco Technology, Inc. | Method to collect and manage smart dialplan for session initiation protocol devices |
| CN103139201B (zh) * | 2013-01-22 | 2015-12-23 | 中兴通讯股份有限公司 | 一种网络策略获取方法及数据中心交换机 |
| CN112099846A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于随机字符异或运算的webshell免杀方法 |
| CN114726516B (zh) * | 2022-03-28 | 2024-08-30 | 北京汇元网科技股份有限公司 | 一种卡号和密码融合的加密方法、终端设备及存储介质 |
-
2003
- 2003-09-30 CN CNB031272517A patent/CN100479452C/zh not_active Expired - Fee Related
Non-Patent Citations (6)
| Title |
|---|
| H.323多媒体通信系统安全技术. 沈灿等.中兴通讯技术,第6期. 2002 |
| H.323多媒体通信系统安全技术. 沈灿等.中兴通讯技术,第6期. 2002 * |
| SIP Security Issues:THE SIP Authentication Procedure and its Processing Load. Stefano Salsano.IEEE Network. 2002 |
| SIP Security Issues:THE SIP Authentication Procedure and its Processing Load. Stefano Salsano.IEEE Network. 2002 * |
| 远程拨号接入认证中的MD5加密算法应用. 马建仓等.信号与信息处理技术——第一届信号与信息处理联合学术会议论文集. 2002 |
| 远程拨号接入认证中的MD5加密算法应用. 马建仓等.信号与信息处理技术——第一届信号与信息处理联合学术会议论文集. 2002 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1604585A (zh) | 2005-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8793497B2 (en) | Puzzle-based authentication between a token and verifiers | |
| US8385888B2 (en) | Authentication of mobile devices over voice channels | |
| US8571188B2 (en) | Method and device for secure phone banking | |
| WO2017028593A1 (zh) | 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质 | |
| CN100373991C (zh) | 一种分组网络中语音通信的加密协商方法 | |
| CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
| US9503462B2 (en) | Authenticating security parameters | |
| EP2334111B1 (en) | Authentication of mobile devices over voice channels | |
| EP1994715A1 (en) | Sim based authentication | |
| US20110135093A1 (en) | Secure telephone devices, systems and methods | |
| US8693686B2 (en) | Secure telephone devices, systems and methods | |
| US7512967B2 (en) | User authentication in a conversion system | |
| JP2016021765A (ja) | 認証および鍵合意(AKA)機構に基づくKerberos対応アプリケーションへの認証されたユーザアクセスのための方法および装置 | |
| CN109994115A (zh) | 通讯方法及装置、数据处理方法及设备 | |
| CN115022868A (zh) | 卫星终端实体认证方法、系统及存储介质 | |
| CN114125824A (zh) | 语音加密处理方法、服务器、终端以及系统、存储介质 | |
| CN113194476B (zh) | 一种设备激活及鉴权绑定方法 | |
| CN100479452C (zh) | 从ip终端上安全传送卡号信息到软交换的方法 | |
| CN101052056B (zh) | 软交换系统及呼叫业务的鉴权处理方法 | |
| EP1811719A1 (en) | Internetwork key sharing | |
| US7526081B1 (en) | Telephone recording and storing arbitrary keystrokes sequence with replay with a single stoke | |
| CN101621505B (zh) | 接入认证方法及系统、终端 | |
| US6961851B2 (en) | Method and apparatus for providing communications security using a remote server | |
| JPH0759154A (ja) | 網間認証鍵生成方法 | |
| US20100293609A1 (en) | Processing communication events in a communications system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090415 Termination date: 20120930 |