CN101090314A - 整合票证授予服务于通话起始协议的鉴别方法及其装置 - Google Patents

整合票证授予服务于通话起始协议的鉴别方法及其装置 Download PDF

Info

Publication number
CN101090314A
CN101090314A CNA2006100925281A CN200610092528A CN101090314A CN 101090314 A CN101090314 A CN 101090314A CN A2006100925281 A CNA2006100925281 A CN A2006100925281A CN 200610092528 A CN200610092528 A CN 200610092528A CN 101090314 A CN101090314 A CN 101090314A
Authority
CN
China
Prior art keywords
ticket
terminal device
message
instructions
subjected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2006100925281A
Other languages
English (en)
Inventor
叶明峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to CNA2006100925281A priority Critical patent/CN101090314A/zh
Priority to PCT/JP2007/062369 priority patent/WO2007145370A2/en
Priority to US12/294,343 priority patent/US20090113063A1/en
Publication of CN101090314A publication Critical patent/CN101090314A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Abstract

一种整合票证授予服务于通话起始协议的鉴别方法,由服务器提供发话终端装置与受话终端装置之间的通话起始协议及票证授予服务。该方法由发话终端装置先从服务器取得第一票证,然后发话终端装置发出附加第一票证的邀请消息给服务器。如果服务器确认第一票证为服务器本身所发给者,则检查受话终端装置在服务器的注册状态,如果受话终端装置的状态不是已注册者则不提供后续的票证授予服务;如果受话终端装置的状态是已注册者,则按照预定的票证鉴别程序进行发话与受话终端装置双方的身分鉴别。如果鉴别成功,受话终端装置方可与发话终端装置建立通话。

Description

整合票证授予服务于通话起始协议的鉴别方法及其装置
技术领域
本发明涉及一种信令(Signaling)传递方法及其装置,特别是指一种在通话起始协议(Session Initiation Protocol,SIP)中整合票证授予服务(Ticket-granting service,TGS)的鉴别(authentication)方法及其装置。
背景技术
所谓的电话交换技术,可以用信令(signaling)交换系统来说明。传统的交换系统是以许多实体的交换机相互连接来完成各话机彼此之间相互联机的目的;相比于透过传统交换系统有线路复杂及通话费昂贵等缺点,近年来由于网络电话技术日趋成熟,使得透过网络以数字语音封包形式发送的网络电话(Voice over Internet Protocol,VoIP)兴起,而目前网络电话常用的信令协议(Signaling protocols)包括有通话起始协议(以下称SIP)等标准。
参阅图1,在SIP标准中,一个通话邀请(Session Invitation)是由发话者81送出一个用以与受话者83建立对话的邀请消息(以下称INVITE消息)给SIP服务器82,SIP服务器82可提供通话邀请之路由(Routing)、身分鉴别及帐务管理等功能,故SIP服务器82会找到受话者83的位置并转发该INVITE消息给受话者83。当该受话者83的话机开始响铃时,受话者83便发送180 Ringing消息通过SIP服务器82通知发话者81;如果受话者83拿起话机时,会通过SIP服务器82传送200 OK消息给发话者81,直到受话者83收到确认(ACK)消息,发话者81与受话者83之间的通话信道即建立完成。
另外,因为网际网络是开放式系统,其安全性远不及封闭式的传统交换系统,加上使用呼叫服务时也需要对使用者身分进行确认以利计费,因此,具有安全性的鉴别(authentication)机制应运而生,例如:美国麻省理工学院(MIT)提出的Kerberos鉴别机制。
参阅图2,Kerberos鉴别机制的鉴别过程是由发话者91借助密钥分配中心(key distribution center,KDC)92提供的鉴别服务与受话者93建立安全的通话信道;其中,密钥分配中心92可提供使用者登录(Login)的鉴别服务(Authentication service,AS)与票证授予服务(Ticket-granting service,TGS)。
票证授予服务的原理在于,其所提供的票证(Tickets)只有使用者(Client)和密钥分配中心92之间可以使用,票证内包括了使用者的ID、IP地址及时间戳(timestamp;目前的时间)等信息,并且此票证只是当使用者和密钥分配中心92连络时递送给密钥分配中心92,故使用票证授予服务可加强数据传输的安全性,避免内含的私人信息被盗取。
Kerberos鉴别机制的方式是,首先由发话者91进行登录程序,发送本身的身分识别码”A”的消息901予密钥分配中心92;接着,由密钥分配中心92的鉴别服务发给发话者91消息902:以发话者金钥KA加密(会期金钥KS,票证KTGS(A,KS))的消息;其中,发话者金钥KA是发话者91本身的通行码,会期金钥KS只有发话者91和密钥分配中心92可以使用,而票证KTGS(A,KS)则是作为发话者91后续要求服务时使用。
当发话者91接收消息902,并解开消息902以取得会期金钥KS及票证KTGS(A,KS)后,即表示登录程序成功,则在此之后的通话服务由于使用会期金钥KS及票证KTGS(A,KS)而可确保不被侵入者窃取通话的资料内容。
当发话者91要求与受话者93的通话服务时,则发送消息903。消息903包含该票证KTGS(A,KS)及票证授予要求KS(t,B),其中,时间戳”t”为发起通话的时间,而票证授予要求KS(t,B)是用以要求密钥分配中心92的票证授予服务提供身分识别码”B”的票证授予服务。该票证授予要求KS(t,B)仅在要求票证授予服务时才产生,并于鉴别后删除。
此时,密钥分配中心92的票证授予服务(TGS)便发给发话者91消息904:以会期金钥KS加密的(识别码”B”与通话金钥”KAB”),及以受话者金钥KB加密的(识别码,,A”与通话金钥”KAB”)的消息,借助发给通话金钥”KAB”让发话者91在后续过程中得以与受话者93彼此安全的通话。
于是,发话者91以金钥KB加密的(识别码”A”与通话金钥”KAB”)和金钥KAB加密时间戳”t”的消息905通知受话者93,受话者93即以本身的金钥KB解开消息905,以及以金钥KAB加密时戳”t+1”予发话者91,让发话者91由此确认所通话的一方的确为受话者93无误而开始进行通话。
目前的SIP标准(RFC 3261-SIP:Session Initiation Protoco1)虽然提供了鉴别机制;然而,该鉴别机制仅提供单向的鉴别方法(one-waychallenge-response authentication),即发话者(Caller)与代理服务器(Proxy)之间的鉴别,并没有提供双向的安全认证服务,即发话者(Caller)与受话者(Callee)之间的鉴别。美国专利公开号US 20030005280提出一种以SIP标准为基础,并整合Kerberos鉴别机制以提供双向的安全认证服务。然而,该案在建立通话的过程(发话者、代理服务器与受话者之间)中必须传递多个消息(messages),如此容易造成整个建立通话过程的延迟(delay)。
发明内容
本发明的目的在于:以票证授予服务(TGS)提供双向的安全认证,并且简化现有技术的流程步骤,避免因为建立通话的过程必须传递多个消息而造成的延迟,且可避免在作了一连串的鉴别过程后,才发现未能与受话者联系而造成系统资源的浪费。
因此,本发明的第一目的是提供一种具有双向的安全认证且可避免系统资源浪费的通话起始协议(SIP)整合票证授予服务(TGS)的鉴别方法。
根据本发明的整合票证授予服务于通话起始协议的方法,通过服务器提供发话终端装置与受话终端装置之间的通话起始协议服务及票证授予服务,该鉴别方法包含下述步骤:
(A)该发话终端装置自该服务器取得第一票证;(B)该发话终端装置发出附加第一票证的邀请消息给该服务器;(C)该服务器如果确认第一票证为该服务器本身所发给的,则检查该受话终端装置在该服务器的注册状态,如果该受话终端装置的状态是已注册者则进行步骤(D),如果该受话终端装置的状态不是已注册者则不提供后续的票证授予服务;及(D)依据预定的票证鉴别程序对该发话终端装置与该受话终端装置双方的身分进行鉴别,如果鉴别成功,该受话终端装置方可与该发话终端装置建立通话。
本发明的第二目的是提供一种执行整合票证授予服务于通话起始协议的方法,提供双向的安全认证且可避免系统资源浪费的服务器。
本发明的服务器用以提供发话终端装置与受话终端装置之间的通话起始协议服务及票证授予服务,该服务器包含伺服数据库、控制模块、票证授予服务模块、通话起始协议单元及通信接口。
该伺服数据库存储有使用者注册者资料及预先发给该发话终端装置的第一票证;该控制模块用以协调各单元的操作,且该控制模块具有查验单元及判断单元,该查验单元用以对所接收的消息作相关的查验工作,该判断单元用以判断该受话终端装置的注册状态。
该票证授予服务模块用以提供票证授予服务并进行相关的票证处理工作;该通话起始协议单元用以提供通话起始协议服务,并配合该票证授予服务模块将数据处理为符合通话起始协议的消息格式;该通信接口作为与其它装置沟通的接口,用以将该通话起始协议单元处理后的消息传送到其它装置及接收外界消息。
这样,当该通信接口接收到外界消息,该控制模块的该查验单元对所接收的消息进行查验,如果该查验单元确认该消息附加有伺服数据库存储的第一票证时,则该判断单元检查该受话终端装置在该伺服数据库的注册状态,如果该受话终端装置的状态是已注册者,则由该票证授予服务模块提供后续的票证授予服务,如果该受话终端装置的状态不是已注册者,则该票证授予服务模块不提供后续的票证授予服务。
本发明的第三目的是提供一种执行整合票证授予服务于通话起始协议的方法,提供双向的安全认证且可避免系统资源浪费的发话终端装置。
本发明的发话终端装置用以接受服务器提供的通话起始协议服务及票证授予服务,该服务器已将第一票证发给该发话终端装置,该发话终端装置包含使用者接口、客户数据库、控制模块、票证授予服务模块、通话起始协议单元及通信接口。
该使用者接口供使用者输入资料;该客户数据库用以存储第一票证及该发话终端装置本身的发话者金钥;该控制模块用以协调各单元的操作;该票证授予服务模块用以提供票证授予服务并进行相关的票证处理工作;该通话起始协议单元用以提供通话起始协议服务,并配合该票证授予服务模块将数据处理为符合通话起始协议的消息格式;该通信接口作为与其它装置沟通的接口,用以将该通话起始协议单元处理后的消息传送到其它装置及接收外界消息。
这样,如果该发话终端装置要与受话终端装置通话,则该使用者接口接收从外部输入的该受话终端装置的信息,并由该票证授予服务模块从该客户数据库取出第一票证,由通话起始协议单元配合该票证授予服务模块将数据处理为附加有第一票证的邀请消息经该通信接口传递给该服务器。
本发明的第四目的是提供一种执行整合票证授予服务于通话起始协议的方法,提供双向的安全认证且可避免系统资源浪费的受话终端装置。
本发明的受话终端装置用以接受服务器提供的通话起始协议服务及票证授予服务以与发话终端装置进行通话,该受话终端装置包含使用者接口、客户数据库、控制模块、票证授予服务模块、通话起始协议单元及通信接口。
该使用者接口供使用者输入信息;该客户数据库用以存储该受话终端装置本身的受话者金钥;该控制模块用以协调各单元的操作;该票证授予服务模块用以提供票证授予服务并进行相关的票证处理工作,且该票证授予服务模块具有识别单元,用以识别收到的票证;该通话起始协议单元用以提供通话起始协议服务,并配合该票证授予服务模块将数据处理为符合通话起始协议的消息格式;该通信接口作为与其它装置沟通的接口,用以该通话起始协议单元处理后的消息传送耳朵其它装置及接收外界消息。
这样,该受话终端装置从该通信接口接收自外部消息时,该控制模块的查验单元负责查验消息中是否含有由该服务器所产生的第二票证及第三票证,如果有前述的消息,则由该票证授予服务模块提供票证授予服务并进行相关的票证处理工作,如果没有,则该票证授予服务模块不提供后续的票证授予服务。
附图说明
图1是说明目前在通话起始协议(SIP)标准中,由发话者送出一个用于与受话者建立对话的邀请消息(INVITE消息)给SIP服务器的消息流程图;
图2是说明目前Kerberos鉴别机制的鉴别过程是由发话者借助密钥分配中心提供的鉴别服务与受话者建立通话信道的消息流程图;
图3是说明本发明整合票证授予服务于通话起始协议的鉴别方法的优选实施例的消息流程图,该优选实施例系应用于信令系统,该信令系统包含发话终端装置、SIP服务器及受话终端装置;
图4是说明该优选实施例的发话/受话终端装置的系统方框图;
图5是说明该优选实施例的SIP服务器的系统方框图;
图6是说明该优选实施例的发话终端装置的操作流程图;
图7是说明该优选实施例的SIP服务器的操作流程图;及
图8是说明该优选实施例的受话终端装置的操作流程图。
具体实施方式
有关本发明的前述及其它技术内容、特点与功效,在以下结合参考附图描述的优选实施例的详细说明中,将可清楚的呈现。必须说明的是,本优选实施例所述票证授予服务是依据Kerberos鉴别机制所产生,然而其它与Kerberos类似的票证鉴别机制同样适用于本发明的范畴。
参阅图3,根据本发明优选实施例,整合票证授予服务于通话起始协议的鉴别方法应用于信令系统(signaling system),该信令系统包含发话终端装置100、SIP服务器200及受话终端装置300。
该优选实施例是通过SIP服务器200提供发话终端装置100与受话终端装置300之间的通话起始协议服务(SIP)及票证授予服务(TGS),该鉴别方法的主要原理包含下述步骤:
发话终端装置100事先自SIP服务器200取得第一票证;接着,发话终端装置100要求与受话终端装置300之间进行通话,其方式是发出含有第一票证的邀请(INVITE)消息501给SIP服务器200。
如果SIP服务器200确认第一票证为SIP服务器200本身所发给者,则检查受话终端装置300在SIP服务器200的注册状态。如果受话终端装置300的状态不是已注册者则不提供后续的票证授予服务;如果受话终端装置300的状态是已注册者则提供后续的票证授予服务:由SIP服务器200产生给发话终端装置100使用的第二票证,以及给受话终端装置300使用的第三票证,并将所述的票证附加于邀请消息502中发送给受话终端装置300。
当受话终端装置300收到邀请消息502时,受话终端装置300先产生“180 Ringing”(消息503)做为响应,并产生受话者鉴别信息(消息504),通过SIP服务器200发送给发话终端装置100。
接着,发话终端装置100对受话者鉴别信息(消息504)加以识别后产生具有发话者鉴别信息的确认(ACK)消息505,并将确认消息505发送给受话终端装置300。最后,受话终端装置300对确认消息505中的发话者鉴别信息加以识别后,与发话终端装置100直接建立通话。
参阅图4,发话终端装置100与受话终端装置300具有类似的组件,均具有使用者接口110、控制模块120、票证授予服务模块(以下称TGS模块)130、通信接口140、客户数据库150及通话起始协议模块(SIP单元)160。
其中,使用者接口110供使用者输入资料;客户数据库150用以存储票证及密钥等相关信息;控制模块120用以协调各单元的操作,且控制模块120具有用于对于外界消息查验是否具有验证信息的查验单元121;TGS模块130用以提供票证授予服务并进行相关的票证处理工作,TGS模块130具有产生单元(generating unit)131及识别单元(Identifying unit)132,产生单元131用以自行产生票证,识别单元132用以识别票证内容(作用将在后面描述);SIP单元160用以提供通话起始协议服务,并配合TGS模块130将数据处理为符合通话起始协议的消息格式;通信接口140作为与其它装置沟通的接口,用以将SIP单元160处理后的消息传送到其它装置及接收外界消息。
参阅图5,SIP服务器200具有控制模块210、TGS模块220、SIP单元230、通信接口240及伺服数据库250。
其中,控制模块210用以协调各单元的操作,且控制模块210具有查验单元211及判断单元212,查验单元211用以对所接收的消息作鉴别的查验工作,判断单元212用以判断受话终端装置300的注册状态;TGS模块220用以对于票证授予服务进行相关的票证处理工作,TGS模块220具有产生单元221,产生单元221用以产生票证;通信接口240用以作为与其它装置共通的沟通接口;伺服数据库250用以存储相关的票证;以及SIP单元230用以处理SIP消息的相关处理工作。
参阅图3,同时配合参阅图4及图5,以下针对本优选实施例在通话起始(initiating a session)阶段所产生的消息501~505的实际内容及产生原理作说明,在此必须说明的是,在发话终端装置100方面,使用者从便用者接口110输入本身的身分识别码”A”及通行码登录,且已取得第一票证KTGS(A,KS)存储于客户数据库150中。
消息501:发话终端装置100要与远程的受话终端装置300建立通话时,输入受话者身分识别码”B”,此输入动作还为通知发话终端装置100的TGS模块130备妥相关信息:自客户数据库150取回预先由SIP服务器120取得的第一票证KTGS(A,KS),及发出票证授予要求KS(t,B),其中的票证授予要求KS(t,B)用以作为要求”票证授予服务”提供与身分识别码”B”的票证授予服务。
当发话终端装置100的TGS模块130取得第一票证KTGS(A,KS)及票证授予要求KS(t,B),TGS模块130即通知SIP单元160根据取得的第一票证KTGS(A,KS)及票证授予要求KS(t,B),建立新增的消息首部(header)于邀请(以下称INVITE)消息501,并经由通信接口140发送该INVITE消息501给SIP服务器200。
消息502:当SIP服务器200通过其通信接口240接收到INVITE消息501时,控制模块210的查验单元211将检验该INVITE消息501中是否含有事先发给的第一票证KTGS(A,KS)及票证授予要求KS(t,B)。接下来,由控制模块210的判断单元212检查受话终端装置300在伺服数据库250的注册状态(registration status)。
如果受话终端装置300不是已注册的使用者,则不提供后续的票证授予及鉴别处理;如果受话终端装置300是已注册的使用者,则由SIP服务器200的TGS模块220的产生单元221依据第一票证KTGS(A,KS)及受话终端装置300的ID识别码”B”产生第二票证KS(B,KAB),以及依据第一票证KTGS(A,KS)及发话终端装置100的ID识别码”A”产生第三票证KB(A,KAB);其中,第二票证KS(B,KAB)用以供应发话终端装置100使用,而第三票证KB(A,KAB)用以供应受话终端装置300使用。
接着,SIP服务器200的SIP单元230在INVITE消息的载荷(payload)中附加第二票证KS(B,KAB)及第三票证KB(A,KAB)制成消息502,并由通信接口240转发给受话终端装置300。
消息503:在受话终端装置300方面,可以通过受话终端装置300的通信接口140从SIP服务器200接收到前述的INVITE消息502,此时控制模块120即通知受话终端装置300的SIP单元160发送“180 Ringing”消息给发话终端装置100。
消息504:在受话终端装置300的SIP单元160发送“180 Ringing”消息同时,还通知了受话终端装置300的查验单元121检验在INVITE消息中是否含有第二票证KS(B,KAB)及第三票证KB(A,KAB)?如果含有这二个票证,则存储第二票证KS(B,KAB)于受话终端装置300的客户数据库150中,并以本身的金钥KB解开第三票证KB(A,KAB),以取得其中的发话终端装置100的发话者身分”A”及只有发话终端装置100及受话终端装置300二者可使用的通话金钥KAB,并由TGS模块130的产生单元131产生受话者鉴别数据(called facility authentication data)KAB(t)。该受话者鉴别资料KAB(t)主要是依据前述的第一时戳”t”,及只有发话终端装置100与受话终端装置300二者可使用的通话金钥KAB所产生的。在产生受话者鉴别资料KAB(t)之后,受话终端装置300的SIP单元160制作含有第二票证KS(B,KAB)及受话者鉴别资料KAB(t)的载荷于“200 OK”消息504,经由通信接口140通过SIP服务器200转发给发话终端装置100。
应该说明的是,该受话者鉴别信息KAB(t)与第二票证KS(B,KAB)也可以附加于前述“180 Ringing”的消息503中。
消息505:当发话终端装置100从其通信接口140接收到“200 OK”消息504后,可通知发话终端装置100的查验单元121检验在“200 OK”消息504中是否含有受话者鉴别信息KAB(t)?在前述信息均具备的情况下,由识别单元132识别是否具有第二票证KS(B,KAB)及第一时戳”t”的存在,藉此确认确实为在发话时间”t”所发送给B的通话要求,以及取出其中只有发话终端装置100与受话终端装置300二者可使用的通话金钥KAB
接下来,产生单元131根据接收到的可通话的时间产生第二时戳”t+1”,并根据通话金钥KAB产生发话者鉴别数据(calling facilityauthentication data)KAB(t+1),然后通知SIP单元160制成含有发话者鉴别数据,KAB(t+1),的载荷于确认(以下称ACK)消息505,并通过通信接口140发送给受话终端装置300。
建立通话:在受话终端装置300接收到”ACK”消息505后,即通知受话终端装置300的查验单元121检验”ACK”消息505是否含有发话者鉴别数据KAB(t+1)?在具有发话者鉴别数据KAB(t+1)的情况下通知识别单元132,识别单元132即可使用KAB(t)以及存储于客户数据库150中的第二票证KS(B,KAB)识别自发话者鉴别数据中的第二时戳”t+1”,于是发话终端装置100与受话终端装置300之间可以开始建立通话。
参阅图3及图6,本发明发话终端装置100的优选实施例的操作流程说明如下所述:
首先,在发话终端装置100输入受话者身分识别码”B”,藉此取得预先存储的受话终端装置的SIP地址(步骤601),并取得预先自SIP服务器200发给的第一票证KTGS(A,KS),并根据第一票证KTGS(A,KS)建立INVITE消息(步骤602);接着,发出建立的INVITE消息予SIP服务器200(步骤603)后,判断是否收到消息(步骤604)?接收到消息后,判断是否为“180Ringing”消息(步骤605)?如果是“180 Ringing”消息,则接收“180 Ringing”消息(步骤606)。
接着,判断是否有“200 OK消息”(步骤607)?如果有“200 OK”消息,则检验第二票证KS(B,KAB),及受话者鉴别资料KAB(t)是否存在于“200OK”消息中(步骤608)?如果存在,以会期金钥KS验证第二票证KS(B,KAB),并从解密后的第二票证KS(B,KAB)取出通话金钥KAB,根据取出的通话金钥KAB确认受话者鉴别数据KAB(t)(步骤609);再判断鉴别数据是否失败(步骤610)?如果否,根据通话金钥KAB及所接收的受话者鉴别资料KAB(t)建立发话者鉴别数据KAB(t+1)(步骤611);根据发话者鉴别数据KAB(t+1)建立ACK消息(步骤612);最后发送“ACK”消息给受话终端装置300(步骤613)。
应该说明的是,在各步骤过程中遇有错误发生时,例如:未收到消息(步骤604、605、607、608)或鉴别失败(步骤610),则建立错误消息输出(步骤614)。
参阅图3及图7,本发明SIP服务器200的优选实施例的操作流程说明如下:
首先,接收来自发话终端装置100的SIP请求(步骤701),并判断SIP请求是否为“INVITE”消息(步骤702)?如果是“INVITE”消息,则判断“INVITE”消息中是否存在第一票证(步骤703)?如果存在,则以受话终端装置300的SIP地址查询其状态(步骤704),判断受话终端装置300是否已注册(步骤705)?如果已注册者,则根据第一票证产生发话终端装置100与受话终端装置300的票证(第二、第三票证)(步骤706);并转送具有第二、第三票证的“INVITE”消息给受话终端装置300(步骤708)。
假设在步骤702判断SIP请求不是“INVITE”消息,或在步骤703判断“INVITE”消息中不存在第一票证,则根据该SIP请求的SIP文件头信息转送其SIP请求(步骤707);以及在步骤705如果判断受话终端装置300是未注册者,则建立错误消息输出(步骤709)。
参阅图3及图8,本发明的受话终端装置300的优选实施例的操作流程说明如下:
首先,接收“INVITE”消息(步骤801);建立响铃应答(180 Ringing)(步骤802);发送响铃应答(步骤803);检验第二、第三票证是否存在(步骤804)?如果不存在,则判断是否须鉴别发话者(步骤812)?如果否,则以传统方式处理:建立“200 OK”消息(步骤813),并发送“200 OK”消息(步骤814),接着再接收“ACK”消息(步骤815)以建立通话(步骤816)。
如果在步骤804判断消息中存在有第二、第三票证,则依据受话终端装置300的密钥KB及会期金钥KS确认(步骤805);以第二票证及受话者鉴别数据建立“200 OK”消息(步骤806),并发送具有第二票证及受话者鉴别数据的“200 OK”消息(步骤807)。
接下来,接收“ACK”消息(步骤808),判断发话者鉴别数据是否存在于“ACK”消息中(步骤809)?如果有,根据通话金钥KAB确认发话者鉴别数据(步骤810)。接着,判断发话者鉴别数据的结果是否为失败(步骤811)?假设在步骤811鉴别数据失败,则建立错误消息输出(步骤817),假设在步骤811鉴别数据成功,则建立通话(步骤816)。
综上所述,本发明整合票证授予服务于通话起始协议的鉴别方法与现有SIP标准技术的主要差异说明如下:
1.本发明的SIP服务器200可同时提供通话起始协议(SIP)及票证授予服务(TGS)的机能,让使用者不必向不同的服务器分别提出通话起始协议及票证授予服务的要求。
2.SIP服务器200在收到发话终端装置100发出的通话邀请(即INVITE消息)后,SIP服务器200会先判断受话终端装置300的注册状态。假设受话终端装置300没有在SIP服务器200注册,则SIP服务器200直接回复错误消息给发话终端装置100,无须进行后续消息503~506的鉴别操作,因此可避免造成相关系统的资源浪费。
发话终端装置100可以在发出一个通话邀请(即INVITE消息501)时,同时提出第一票证KTGS(A,KS)及票证授予要求KS(t,B)给SIP服务器200作验证,而第一票证KTGS(A,KS)及票证授予要求KS(t,B)授予后的后续消息传达,并非像以往的做法是回复给当初的发话终端装置100(如图2的消息904的方向),而是直接传给受话终端装置300,并由受话终端装置300作后续的鉴别操作。如此,可简化相关的流程步骤从而达到省时及提升工作效率的功效。
至此已经结合优选实施例对本发明进行了描述。本领域技术人员应该理解,在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不应该被理解为被局限于上述特定实施例,而应由所附权利要求所限定。

Claims (38)

1.一种整合票证授予服务于通话起始协议的鉴别方法,通过服务器提供发话终端装置与受话终端装置间的通话起始协议及票证授予服务,所述鉴别方法包含下述步骤:
(A)所述发话终端装置从所述服务器取得第一票证;
(B)所述发话终端装置发出附加第一票证的邀请消息给所述服务器;
(C)所述服务器如果确认第一票证为所述服务器本身所发给者,则检查所述受话终端装置在该服务器的注册状态,如果所述受话终端装置的状态是已注册者,则进行步骤(D),如果所述受话终端装置的状态不是已注册者,则不提供后续的票证授予服务;及
(D)按照预定的票证鉴别程序进行所述发话终端装置与所述受话终端装置双方的身分鉴别,如果鉴别成功,所述受话终端装置能够与所述发话终端装置建立通话。
2.根据权利要求1所述的整合票证授予服务于通话起始协议的鉴别方法,其中,所述票证授予服务已经先期记录有所述发话终端装置的发话者金钥(KA)以及所述受话终端装置的受话者金钥(KB),且使其分别记录于对应的终端装置中。
3.根据权利要求1所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(A)中,所述第一票证包含所述通话终端装置的识别码及会期金钥(KS)。
4.根据权利要求3所述的整合票证授予服务于通话起始协议的鉴别方法,其中,所述第一票证及所述会期金钥(KS)以所述发话者金钥(KA)加密,以供所述发话终端装置使用。
5.根据权利要求1所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(B)中,所述发话终端装置将第一票证以建立新增的消息首部的方式附加于所述邀请消息中。
6.根据权利要求1所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(B)中,所述发话终端装置产生的所述邀请消息具有标示发话时间的第一时戳。
7.根据权利要求1所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(D)中,该预定的票证鉴别程序进一步包含下述步骤:
(E)所述服务器对应所述发话终端装置产生第二票证,以及对应所述受话终端装置产生第三票证,并将所述两个票证附加于所述邀请消息中发送给所述受话终端装置;
(F)所述受话终端装置以受话者金钥解开第三票证后产生受话者鉴别数据,并将具有所述受话者鉴别数据及第二票证的消息通过所述服务器发送给所述发话终端装置;
(G)所述发话终端装置以发话者金钥解开第二票证后产生具有发话者鉴别数据的确认消息,并将该确认消息发送给所述受话终端装置;及
(H)所述受话终端装置对所述确认消息中的发话者鉴别数据加以识别后,与所述发话终端装置建立通话。
8.根据权利要求7所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(E)中,所述服务器还产生通话金钥(KAB)附加于第二票证及第三票证,用以供所述发话终端装置及所述受话终端装置在通话时使用。
9.根据权利要求8所述的整合票证授予服务于通话起始协议的鉴别方法,其中,所述服务器产生的第二票证是将所述受话终端装置的识别码及所述通话金钥(KAB)以所述会期金钥(KS)加密以供所述发话终端装置使用。
10.根据权利要求8所述的整合票证授予服务于通话起始协议的鉴别方法,其中,所述服务器产生的第三票证是将所述发话终端装置的识别码及所述通话金钥(KAB)以所述受话金钥(KB)加密以供所述受话终端装置使用。
11.根据权利要求7所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(F)中,所述受话者鉴别数据是以所述通话金钥(KAB)加密第一时戳。
12.根据权利要求7所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(F)中,具有所述受话者鉴别数据及第二票证的消息为“180 Ringing”或“200 OK”消息。
13.根据权利要求7所述的整合票证授予服务于通话起始协议的鉴别方法,其中,在步骤(G)中,所述发话终端装置还产生标示对方能够接受通话的时间的第二时戳。
14.根据权利要求13所述的整合票证授予服务于通话起始协议的鉴别方法,其中,所述发话者鉴别数据以所述通话金钥(KAB)加密所述第二时戳。
15.一种服务器,用于提供发话终端装置与受话终端装置之间的通话起始协议及票证授予服务,所述服务器包括:
伺服数据库,存储有使用者注册者数据及预先发给所述发话终端装置的第一票证;
控制模块,用于协调各单元的操作,且具有查验单元用于对所接收的消息作相关的查验工作,及判断单元用于判断所述受话终端装置的注册状态;
票证授予服务模块,用于提供票证授予服务并进行相关的票证处理工作;
通话起始协议单元,用于提供通话起始协议服务,并配合所述票证授予服务模块将数据处理为符合通话起始协议的消息格式;及
通信接口,作为与其它装置沟通的接口,用于将所述通话起始协议单元处理后的消息传送到其它装置及接收外界消息。
16.根据权利要求15所述的服务器,其中,所述伺服数据库同时预先存储所述发话终端装置的发话者金钥(KA)以及所述受话终端装置的受话者金钥(KB),且使其分别记录于对应的终端装置中。
17.根据权利要求15所述的服务器,其中,所述伺服数据库存储且预先发给所述发话终端装置的第一票证包含所述通话终端装置的识别码及会期金钥(KS)。
18.根据权利要求15所述的服务器,其中,当所述通信接口接收到外界消息,所述控制模块的所述查验单元对所接收的消息进行查验,如果所述查验单元确认所述消息附加有伺服数据库存储的第一票证时,则所述判断单元检查所述受话终端装置在所述伺服数据库的注册状态,如果所述受话终端装置的状态是已注册者,则由所述票证授予服务模块提供后续的票证授予服务,如果所述受话终端装置的状态不是已注册者,则所述票证授予服务模块不提供后续的票证授予服务。
19.根据权利要求15所述的服务器,其中,所述票证授予服务模块还具有用以产生票证的产生单元,所述产生单元当所述判断单元检查所述受话终端装置在所述伺服数据库的注册状态是已注册者,则对应所述发话终端装置产生第二票证,以及对应所述受话终端装置产生第三票证,且由所述通话起始协议单元配合所述票证授予服务模块将数据处理为符合通话起始协议的消息格式,将两个票证附加于所述邀请消息中经由所述通信接口发送给所述受话终端装置。
20.根据权利要求19所述的服务器,其中,所述产生单元还产生通话金钥(KAB)附加于第二票证及第三票证,用以供所述发话终端装置及所述受话终端装置在通话时使用。
21.根据权利要求20所述的服务器,其中,所述第二票证将所述受话终端装置的识别码及所述通话金钥(KAB)以所述会期金钥(KS)加密,以供所述发话终端装置使用。
22.根据权利要求20所述的服务器,其中,所述第三票证将所述发话终端装置的识别码及所述通话金钥(KAB)以所述受话金钥(KB)加密,以供所述受话终端装置使用。
23.一种发话终端装置,用以接受服务器提供的通话起始协议及票证授予服务以与受话终端装置进行通话,所述服务器能够发给所述发话终端装置第一票证,所述发话终端装置包括:
使用者接口,供使用者输入数据;
客户数据库,用以存储所述第一票证及发话者金钥;
控制模块,用以协调各单元的操作;
票证授予服务模块,用以提供票证授予服务并进行相关的票证处理工作;
通话起始协议单元,用以提供通话起始协议服务,并配合所述票证授予服务模块将数据处理为符合通话起始协议的消息格式;及
通信接口,作为与其它装置通信的接口,用以将所述通话起始协议单元处理后的消息传送到其它装置及接收外界消息。
24.根据权利要求23所述的发话终端装置,其中,所述客户数据库所存储的来自所述服务器的第一票证包含所述通话终端装置的识别码及会期金钥(KS)。
25.根据权利要求23所述的发话终端装置,其中,所述客户数据库所存储的发话者金钥(KA)也被记录在所述服务器中,用于对包含来自所述服务器的第一票证的加密消息进行解密。
26.根据权利要求23所述的发话终端装置,其中,当要与所述受话终端装置通话时,所述票证授予服务模块从所述客户数据库取出所述第一票证,由通话起始协议单元配合所述票证授予服务模块将数据处理为附加有第一票证的邀请消息经所述通信接口传递给所述服务器,供所述服务器据以产生通话金钥(KAB)附加于第二票证及第三票证后传给所述受话终端装置,并接收由所述受话终端装置回传的鉴别消息,以根据所述鉴别消息与所述受话终端装置建立通话。
27.根据权利要求23所述的发话终端装置,其中,所述控制模块具有查验单元,所述查验单元用以对于从所述通信接口接收到的外界消息作相关的查验工作,并查验消息中是否含有由所述受话终端装置所产生的受话者鉴别数据及第二票证。
28.根据权利要求27所述的发话终端装置,其中,所述票证授予服务模块具有用以产生票证的产生单元,所述产生单元是当所述查验单元查验到消息中含有由所述受话终端装置所产生的所述受话者鉴别数据及第二票证时,则由票证授予服务模块以所述会期金钥(KS)解开第二票证以取得通话金钥(KAB),并由所述产生单元产生发话者鉴别数据,由所述通话起始协议单元将所述发话者鉴别数据处理为符合通话起始协议的消息格式的确认消息,并通过所述通信接口将所述确认消息发送给所述受话终端装置。
29.根据权利要求28所述的发话终端装置,其中,所述产生单元以所述通话金钥(KAB)加密第二时戳产生所述发话者鉴别数据。
30.根据权利要求23所述的发话终端装置,其中,所述通话起始协议单元将第一票证以建立新增的消息首部的方式附加于所述邀请消息中。
31.根据权利要求23所述的发话终端装置,其中,所述通话起始协议单元在所述邀请消息内标示有一个具有发话时间的第一时戳。
32.根据权利要求31所述的发话终端装置,其中,所述通话起始协议单元还在所述邀请消息内标示对方能够接受通话的时间的第二时戳。
33.一种受话终端装置,用以接受服务器提供的通话起始协议及票证授予服务以与发话终端装置进行通话,所述受话终端装置包含:
使用者接口,供使用者输入数据;
客户数据库,用以存储所述受话终端装置本身的受话者金钥;
控制模块,用以协调各单元的操作;
票证授予服务模块,用以提供票证授予服务并进行相关的票证处理工作,且所述票证授予服务模块具有识别单元,用以识别收到的票证;
通话起始协议单元,用以提供通话起始协议服务,并配合所述票证授予服务模块将数据处理为符合通话起始协议的消息格式;及
通信接口,作为与其它装置通信的接口,用以将所述通话起始协议单元处理后的消息传送到其它装置及接收外界消息。
34.根据权利要求33所述的受话终端装置,其中,所述客户数据库所存储的受话金钥(KB)也被记录在所述服务器中,用以对包含来自所述服务器的第三票证的加密消息进行解密。
35.根据权利要求33所述的受话终端装置,其中,当所述通信接口接收来自外部的消息时,所述控制模块的查验单元负责查验消息中是否含有由所述服务器所产生的第二票证及第三票证,如果有前述的消息,则由所述票证授予服务模块发送具有所述第二票证的回复消息给所述发话终端装置,以接收并根据来自所述发话终端装置的确认消息而与所述发话终端装置建立通话。
36.根据权利要求33所述的受话终端装置,其中,所述票证授予服务模块具有用以产生票证的产生单元,所述产生单元在所述查验单元查验消息中含有由第二票证及第三票证时,所述票证授予服务模块的识别单元以从所述客户资库取得的所述受话者金钥(KB)解开所述消息中的第三票证以取得通话金钥(KAB)后,交由所述产生单元产生受话者鉴别数据,并由所述通话起始协议单元将具有所述受话者鉴别数据及第二票证的数据处理为符合通话起始协议的消息格式,通过所述通信接口发送给所述服务器。
37.根据权利要求36所述的受话终端装置,其中,所述产生单元以所述通话金钥(KAB)加密第一时戳产生所述受话者鉴别数据。
38.根据权利要求36所述的受话终端装置,其中,所述通话起始协议单元将具有所述受话者鉴别数据及第二票证的数据处理为“180 Ringing”或“200 OK”消息。
CNA2006100925281A 2006-06-15 2006-06-15 整合票证授予服务于通话起始协议的鉴别方法及其装置 Pending CN101090314A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CNA2006100925281A CN101090314A (zh) 2006-06-15 2006-06-15 整合票证授予服务于通话起始协议的鉴别方法及其装置
PCT/JP2007/062369 WO2007145370A2 (en) 2006-06-15 2007-06-13 Authentication method and apparatus for integrating ticket-granting service into session initiation protocol
US12/294,343 US20090113063A1 (en) 2006-06-15 2007-06-13 Authentication method and apparatus for integrating ticket-granting service into session initiation protocol

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2006100925281A CN101090314A (zh) 2006-06-15 2006-06-15 整合票证授予服务于通话起始协议的鉴别方法及其装置

Publications (1)

Publication Number Publication Date
CN101090314A true CN101090314A (zh) 2007-12-19

Family

ID=38657794

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2006100925281A Pending CN101090314A (zh) 2006-06-15 2006-06-15 整合票证授予服务于通话起始协议的鉴别方法及其装置

Country Status (3)

Country Link
US (1) US20090113063A1 (zh)
CN (1) CN101090314A (zh)
WO (1) WO2007145370A2 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102868665A (zh) * 2011-07-05 2013-01-09 华为软件技术有限公司 数据传输的方法及装置
CN107925567A (zh) * 2015-07-31 2018-04-17 英特尔公司 用于使用由证书状态检查服务提供商发布的票证来优化对称密钥高速缓存的系统、装置和方法
CN114095276A (zh) * 2022-01-18 2022-02-25 杭州雅观科技有限公司 一种基于物联网的智能家居安全认证方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6248422B2 (ja) * 2013-06-05 2017-12-20 富士通株式会社 情報開示システム、情報開示プログラム及び情報開示方法
US10063699B1 (en) * 2017-04-18 2018-08-28 EMC IP Holding Company LLC Method, apparatus and computer program product for verifying caller identification in voice communications
FR3076148B1 (fr) * 2017-12-27 2019-11-15 Atos Integration Procede de securisation de bout en bout d'une communication interceptable

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7243370B2 (en) * 2001-06-14 2007-07-10 Microsoft Corporation Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
JP2005141313A (ja) * 2003-11-04 2005-06-02 Matsushita Electric Ind Co Ltd 複合機及びユーザ認証方法
US7634801B2 (en) * 2004-01-09 2009-12-15 Panasonic Corporation Multifunction machine and personal authentication method of multifunction machine
JPWO2005117336A1 (ja) * 2004-05-28 2008-04-03 松下電器産業株式会社 親子カード認証システム
JP2007233960A (ja) * 2006-03-03 2007-09-13 Matsushita Electric Ind Co Ltd 認証処理装置および認証処理方法
JP2008131557A (ja) * 2006-11-24 2008-06-05 Matsushita Electric Ind Co Ltd 映像音声出力機器、認証処理方法及び映像音声処理システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102868665A (zh) * 2011-07-05 2013-01-09 华为软件技术有限公司 数据传输的方法及装置
CN102868665B (zh) * 2011-07-05 2016-07-27 华为软件技术有限公司 数据传输的方法及装置
CN107925567A (zh) * 2015-07-31 2018-04-17 英特尔公司 用于使用由证书状态检查服务提供商发布的票证来优化对称密钥高速缓存的系统、装置和方法
CN114095276A (zh) * 2022-01-18 2022-02-25 杭州雅观科技有限公司 一种基于物联网的智能家居安全认证方法

Also Published As

Publication number Publication date
WO2007145370A3 (en) 2008-03-20
WO2007145370A2 (en) 2007-12-21
US20090113063A1 (en) 2009-04-30

Similar Documents

Publication Publication Date Title
US7466825B2 (en) Systems and methods for added authentication in distributed network delivered half-duplex communications
US9882723B2 (en) Method and system for authentication
CN1799217B (zh) 授权用户加入会议的系统和方法
JP6014297B2 (ja) 異なる端末のアプリケーション間の通信
US7092385B2 (en) Policy control and billing support for call transfer in a session initiation protocol (SIP) network
CN102047708B (zh) 用于提供并管理数字电话以便向网络认证的技术
TWI419543B (zh) 啟動一會議呼叫之系統及方法
CN1937624A (zh) 验证会话启动协议信号传送的加密的方法和设备
CN105025475B (zh) 面向Android系统的移动保密终端实现方法
CN102893572A (zh) 为在线通信会话注册客户计算设备
JP2006295673A (ja) 通話システム、代理ダイヤルサーバ装置及びそれらに用いる代理ダイヤル方法並びにそのプログラム
US7986773B2 (en) Interactive voice response system security
CN101090314A (zh) 整合票证授予服务于通话起始协议的鉴别方法及其装置
US20090305669A1 (en) Transaction method between two servers including a prior validating step using two mobile telephones
KR100475539B1 (ko) 무선 인스턴트 메신저를 이용한 실시간 음성정보 전송 방법 및 이를 구현한 프로그램이 저장된 기록매체
CN1913432B (zh) 卡号业务使用sip鉴权的方法和系统
KR20050043597A (ko) 인터넷을 이용한 홈 방문자 확인 서비스 방법
CN102783083A (zh) 自动化会话许可
WO1999062222A2 (en) Method for safe telephony with mobility in a tele and data communications system which includes an ip-network
WO2016043108A1 (ja) 接続システム及び接続方法
US8996619B1 (en) Apparatus, method, and computer program for controlling a target device using instant messages
KR20090115365A (ko) 이동통신망에서의 그룹 콜 통화 제공장치 및 그 방법
CN101252572B (zh) 按照推送消息服务来传送推送消息的设备和相关方法
CN103338192A (zh) 呼叫邀请
Sterman Real-time billing in sip

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication