CN101729871B - 一种sip视频监控系统安全跨域访问方法 - Google Patents
一种sip视频监控系统安全跨域访问方法 Download PDFInfo
- Publication number
- CN101729871B CN101729871B CN2009102600822A CN200910260082A CN101729871B CN 101729871 B CN101729871 B CN 101729871B CN 2009102600822 A CN2009102600822 A CN 2009102600822A CN 200910260082 A CN200910260082 A CN 200910260082A CN 101729871 B CN101729871 B CN 101729871B
- Authority
- CN
- China
- Prior art keywords
- sip server
- authentication
- cross
- sip
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000012544 monitoring process Methods 0.000 title claims abstract description 29
- 230000011664 signaling Effects 0.000 claims abstract description 51
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims description 28
- 238000012795 verification Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 2
- 238000013475 authorization Methods 0.000 description 10
- 230000000977 initiatory effect Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种SIP视频监控系统跨域访问安全方法,该方法通过扩展RFC3261中定义的INVITE方法,完成跨域路由探测、服务器安全能力协商以及服务器之间的双向身份认证,并且安全传递服务器之间的2个共享密钥,路由探测完成后,通过基于对2个共享密钥以及用户身份等信息的摘要运算保障后续跨域信令来源的合法性,从而保障用户跨域访问的安全;本发明很好的解决了跨域访问面临的安全问题,抵抗了仿冒服务器攻击和重放攻击,并且解决了跨域访问用户单点登录的问题,简洁的安全能力协商和基于摘要认证的信令安全,由于摘要运算本身的高效,因而可达到系统的高效性,保障系统的实时性,具有较强的实用价值。
Description
技术领域
本发明涉及一种SIP视频监控系统安全跨域访问方法,属于通讯和视频监控技术领域。
技术背景
目前,SIP(SIP=会话初始化协议(Session Initiation Protocol))视频监控系统跨域访问的结构如图1所示,域1的用户1跨域访问域2的摄像机2,跨域访问所交换的信息包括监控的实时和历史视音频、日志信息、对前端设备的配置、控制操作等信息,其中视音频信息一般都是在SIP信令的控制下,通过建立RTP通道来传输。大的文件信息在SIP信令的控制下,通过FTP等协议传输,其它较短的信息直接由SIP信令的消息体携带。如果攻击者掌握了SIP信令就可以随意的操纵RTP、FTP通道,由此可见SIP信令安全对跨域访问安全的重要性。
SIP协议由于采用文本形式表示消息,易于被攻击者分析、模仿或修改。此外,SIP协议基于IP传输,所有存在于IP协议中的安全风险同样存在于SIP协议中,因此SIP协议的安全风险较高。SIP视频监控系统跨域访问时所面临的安全威胁,大致有下列5种:
1)拒绝服务攻击(Denial of Service;DoS)-拒绝服务攻击对SIP域中的SIP代理服务器或者网关,发动未被授权的数据封包炸弹,以停止SIP服务器的正常运作。使得跨域访问不能进行。
2)网络窃听(Eavesdropping)-未经授权地拦截跨域访问的语音数据封包或是RTP的媒体数据流,而后将所获得的数据进行解码,窃取信息。
3)封包伪装(Packet Spoofing)-攻击者伪装成合法的跨域对象来传送资料。
4)重复传递信息(Replay)-攻击者装作是跨域对象,不断重复传送一个合法的伪造信息给被叫方,致使被叫方的UA重新处理这个伪造信息。
5)破坏信息完整性(Message Integrity)-攻击者在跨域访问的信息数据中插入具有攻击性质的数据,破坏通信双方传送信息的完整性。
SIP协议自身利用消息头和消息体为多媒体会话提供点到点或端到端的安全机制。在图1中路径D需要实现端到端的安全,而在路径A、B和C要实现每一跳点到点的安全。路径A和路径C的安全属于SIP域内安全机制范畴,这里不做研究。路径B的安全由通讯和网络层安全来完成,SIP重用了HTTP和SMTP的安全模型。当然,信息的完全加密将为信令的机密性提供最好的保护,同时还可以保证信息不会被恶意中间媒介修改。路径D的安全可以采用应用层的S/MIME协议来完成。
在通讯和网络层安全方面,传输层安全(Transport Layer Security,TLS)提供的是面向连接的传输层安全服务。它工作于TCP层和应用程序之间,通过其提供的TLS套接口可以保证数据在传输过程中的机密性。该协议分为上层的TLS Handshake协议和下层的TLS Record协议。在SIP网络中应用TLS可以为需要保障逐跳之间安全通信的主机提供安全服务,TLS也可为SIP实体提供对邻近的SIP服务器的鉴别服务。
TLS机制最适合没有事先定义信任关系的点到点的结构,例如图1中SIP服务器1与SIP服务器2之间。但对于TLS来说,在SIP服务器1和SIP服务器2之间存在大量的并发,维持很多并发TLS长连接,会带来很大的开销,极大的影响系统的性能。
IPSec是一组网络层的协议工具,为IP层提供安全鉴定和加密服务。在IPSec执行中使用三种协议来完成它的功能,分别是:封装安全有效载荷协议(ESP),它为IPSec提供机密性的服务,包括报文内容的机密性和通信量的机密性;鉴别首部协议(AH),提供鉴别服务;因特网密钥交换协议(IKE),用于建立一个共享密钥策略,为IPSec提供鉴别密钥信息。基于SIP的通信网络如果采用IPSec进行安全保护,能够很好地进行访问控制,进行无连接的完整性检查,拒绝重放的分组数据包攻击,保证通信的机密性。IPSec最适宜部署在那种难于直接在SIP应用层上增加安全性的情况。但是IPSec网络实施复杂,实现代价较高,同时IPSec的使用将会对网络传输的性能产生影响。
S/MIME是扩展的安全邮件协议,采用了非对称密钥和对称密钥相结合的方法,基于X.509数字证书体系,通过非对称数字签名/验签、对称加密/解密以及数字信封技术对SIP消息体进行处理,可以为SIP消息提供端到端的机密性和完整性以及相互鉴别,进而有效抵抗SIP的各种安全攻击。由于S/MIME对消息体甚至是整个消息进行了加密、签名或者是既加密又签名运算,加密结果、签名结果都要作为消息体的一部分进行传输,所以SIP消息就会很长,这样传输层需要使用TCP协议而不是SIP协议推荐的UDP方式来传输,TCP建立的是长连接,对系统性能而言是一个很大的瓶颈。此外,S/MIME是基于证书认证的,每个会话都要重新建立这种信任关系,因而系统的成本开销大,时延也长。不适合对实时性要求很强的系统应用。
发明内容
本发明的目的是为了克服上述已有技术的不足之处,提供一种SIP视频监控系统安全跨域访问方法。
本发明的构思是:由于视频监控系统发挥重要作用的前提是前端监控设备能够保持对特定位置、目标进行实时监视、录像,如果摄像机的预置位或者监控过程中对云台遥控设置的当前监控位置被攻击者更改的话,监控系统得到的将可能是无效数据,甚至是垃圾视频数据。要做到这点,攻击者需要伪装成一个合法的跨域SIP服务器,或者直接充当第三方修改正常通信的SIP信令内容。只要跨域访问时,能够对对方的SIP服务器做身份鉴定,就可以有效的防止SIP服务器仿冒;如果对SIP信令内容做完整性验证就可以知道SIP信令是否被更改过。如果每个安全域对于跨域访问中的前端设备控制信令都做到只响应合法SIP服务器发来的,并且内容没有被修改的信令,那么就可以保证前端设备监控位置的安全。具体到图1中就是要保证域1SIP服务器1和域2的SIP服务器2的真实性,通过基于数字证书的身份认证可以很好的解决SIP服务器身份鉴别问题,保证信令来源安全,从而保障路径B的安全性。通过完整性检测可以知道信令内容是否有被修改过,解决路径D的安全性问题。
另外对于跨域访问而言,访问者的身份鉴别是整个跨域应用安全的前提。跨域时将经过本域认证后的用户身份信息通过有完整性保护的信令传输到外域完成用户单点登录的身份鉴别。
当然采用数据加密可以保证SIP消息的机密性,只有经过授权的接收者才可以解密和浏览数据。但考虑到视频监控系统中多数数据的机密性要求不高以及系统的实时性要求,本发明放弃了保证信令的私密性,只保证信令来源的安全性和信令的完整性,这样可以做到安全高效,进而满足视频监控系统的实时性和安全性。
本发明提供的一种SIP视频监控系统安全跨域访问方法,包括两个相互关联的步骤:
步骤A、跨域路由探测时的双向身份认证;
步骤B、后续跨域访问信令认证;
其中步骤A跨域路由探测时的双向身份认证过程中安全传递了SIP服务器身份标识随机数SEED12和SEED21,随机数SEED12和SEED21作为步骤B后续跨域访问信令认证中的共享密钥来使用。
所述的步骤A跨域路由探测时的双向身份认证,SIP服务器1向SIP服务器2做跨域路由探测时,双向身份认证包括以下几个步骤:
a)SIP服务器1向SIP服务器2发送带有SIP服务器1安全能力信息的INVITE请求消息;
b)SIP服务器2收到该INVITE请求消息,产生一个随机数SEED 21,回送带有SIP服务器1身份鉴权认证信息字符串的401响应消息;
c)SIP服务器1通过对收到的响应消息中的SIP服务器1身份鉴权认证信息字符串进行解析,得到随机数SEED 21,SIP服务器1产生一个随机数SEED 12,发送带有SIP服务器2身份鉴权认证信息字符串的INVITE请求消息到SIP服务器2;
d)SIP服务器2通过对再次收到的INVITE请求消息中的SIP服务器2身份鉴权认证信息字符串进行解析,得到随机数SEED 12,校验SIP服务器1的身份,如果SIP服务器1的身份真实,则回送带有得到的随机数SEED 12认证信息字符串的200响应消息;
e)SIP服务器1收到200响应消息,校验SIP服务器2的身份,如果SIP服务器2的身份真实,则回送ACK响应消息。
所述的步骤a中,SIP服务器1安全能力信息字符串包括所支持的算法及参数,步骤b中,SIP服务器1身份鉴权认证信息字符串指的是用SIP服务器1的公钥对产生的随机数SEED21做加密运算之后得到的字符串。
所述的步骤c中,SIP服务器1对收到的响应消息中的SIP服务器1身份鉴权认证信息字符串进行解析,解析方法为用SIP服务器1的私钥对SIP服务器1身份鉴权认证信息字符串做解密运算,得到随机数SEED 21;SIP服务器2身份鉴权认证信息字符串由两部分字符串组成,第一部分字符串为用SIP服务器2的公钥对产生的随机数SEED 12做加密之后得到的字符串,第二部分字符串为用数字摘要算法对产生的随机数SEED 12和得到的随机数SEED 21做数字摘要运算之后得到的字符串。
所述的步骤的d中,SIP服务器2通过对再次收到的INVITE请求消息中的SIP服务器2身份鉴权认证信息字符串进行解析,解析方法为用SIP服务器2的私钥对SIP服务器2身份鉴权认证信息字符串做解密运算,得到随机数SEED 12;校验SIP服务器1身份的方法为用数字摘要算法对得到的随机数SEED 12和产生的随机数SEED 21一起做数字摘要运算,数字摘要运算的结果与SIP服务器2身份鉴权认证信息字符串中的第二部分字符串作比较,如果相同,证明了SIP服务器1的身份是真实的;带有得到的随机数SEED 12的认证信息字符串指的是用数字摘要算法对得到的随机数SEED 12做数字摘要运算之后的字符串。
所述的步骤e中,校验SIP服务器2身份的方法为用数字摘要算法对产生的随机数SEED12做数字摘要运算,数字摘要运算的结果与收到的带有得到的随机数SEED 12的认证信息字符串作比较,如果相同,证明了SIP服务器2的身份是真实的。
所述的步骤B后续跨域访问信令认证中,跨域路由探测信令完成双向身份认证之后,SIP服务器1和SIP服务器2就完成了共享密钥SEED 12、SEED 21的交换,当域1的用户1跨域访问域2的设备2时,跨域SIP服务器1和SIP服务器2之间的信令交互包括以下步骤:
a’)SIP服务器1向SIP服务器2发送带有SEED 12、SEED 21、用户身份信息、本次消息头域及消息体内容的鉴权信息字符串的SIP请求消息;
b’)SIP服务器2对收到SIP请求消息中的鉴权信息字符串进行解析认证,若认证通过,则认为该请求消息合法,并承认用户1的身份,接受该请求消息并执行;否则,请求消息不合法,丢弃该请求消息。
所述的步骤a’中,带有SEED 12、SEED 21、用户身份信息、本次消息头域及消息体内容的鉴权信息字符串指的是用数字摘要算法对该消息头域中的请求来源地From字段、请求的目的地To字段、头域呼叫标识Call-ID字段、日期和时间Date字段、SEED 12、SEED 21、用户身份信息以及消息体作数字摘要运算之后得到的字符串。
所述的步骤a’中用户身份信息指的是由用户ID、用户URL、用户身份属性信息编码三部分组成的字符串。
所述的步骤b’中,SIP服务器2对收到的SIP请求消息中的鉴权信息字符串进行解析认证,解析认证方法为首先从请求消息头中取出Date字段和自己的时钟比较,如果不在时间窗口内,则丢弃该请求消息;如果在时间窗口内,则用数字摘要算法对请求消息中的From字段、To字段、Call-ID字段、Date字段、SEED 12、SEED 21、用户身份信息以及消息体内容一起做数字摘要运算,数字摘要运算的结果与收到的鉴权信息字符串做比较,如果不相等,则丢弃该请求消息;如果相等,则执行该请求消息。
本发明很好的解决了跨域访问面临的安全问题,可抵抗仿冒SIP服务器攻击和重放攻击,并且解决了跨域访问用户单点登录的问题,简洁的安全能力协商和基于数字摘要认证的信令安全以及数字摘要运算本身的高效保证了系统的高效性和实时性,具有较强的实用价值。
附图说明
图1是SIP视频监控系统跨域访问的结构示意图;
图2是本发明所述一种SIP视频监控系统安全跨域访问方法的基于数字证书的双向身份认证流程示意图;
图3是本发明所述一种SIP视频监控系统安全跨域访问方法的跨域SIP服务器之间的信令交互流程示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细的介绍,本发明提出的一种SIP视频监控系统安全跨域访问方法,包括跨域路由探测时的双向身份认证和后续跨域访问信令认证两个步骤;跨域路由探测时的双向身份认证是通过对RFC3261中定义的INVITE方法进行扩展基于挑战响应机制实现的,在这一过程中域1的SIP服务器1和域2的SIP服务器2进行了安全能力的协商,基于数字证书的身份认证,并且安全交换了SIP服务器1到SIP服务器2的共享密钥SEED 12和SIP服务器2到SIP服务器1的共享密钥SEED 21,SEED 12和SEED21作为后续访问时SIP服务器的身份标识。后续跨域访问信令认证是基于前一过程所得的SEED 12和SEED 21通过数字摘要技术实现的。在这一过程中通过对每一条信令From、To、Call-ID、Date头域字段、SEED 12、SEED 21、消息体以及用户身份信息的数字摘要运算验证了信令来源的合法性和完整性,同时安全的将用户身份信息携带到了外域,实现了跨域用户身份信息的鉴别,完成用户单点登录。
一、跨域路由探测时的双向身份认证:
由于SIP协议中没有关于路由信息探测和同步的信令方法,本发明对RFC3261中定义的INVITE方法进行扩展来完成跨域路由的保活,同时实现跨域访问时SIP服务器之间的双向身份认证,并且安全的交换SIP服务器身份标识SEED 12和SEED 21。
对RFC3261中定义的方法INVITE信令做如下头域扩展:
1)第一个INVITE信令,启用Authorization头域,Authorization的值增加Capability项用来描述SIP服务器1的安全能力。当Authorization取值为Capability时,只携带一个参数algorithm,参数algorithm的值分为两部分,中间以逗号分割。第一部分为非对称算法描述,例如取值为RSA;第二部分为数字摘要算法描述,例如取值为MD5。
2)401应答中的WWW-Authenticate头域的值增加Asymmetric项用来携带验证身份的数据。WWW-Authenticate取值为Asymmetric,携带参数nonce和algorithm。algorithm的值取安全能力中指明的算法。
3)第二个INVITE信令,启用Authorization头域,Authorization的值增加Asymmetric项用来携带验证身份的数据。Authorization取值为Asymmetric,携带response和algorithm两个参数。
4)200ok应答中,启用Authorization头域,Authorization的值增加Asymmetric项用来携带验证身份的数据。Authorization取值为Asymmetric,携带response和algorithm两个参数。
基于数字证书的双向身份认证流程如图2所示。认证过程采用了挑战-响应模式。
1)SIP服务器1向SIP服务器2发起INVITE路由探测呼叫,消息头域Authorization中携带SIP服务器1的安全能力。
2)SIP服务器2收到该INVITE请求消息,产生一个随机数SEED 21,计算nonce值,nonce=E[PUs1,SEED 21](E为加密运算;SIP服务器1为s1,SIP服务器1的公钥为PUs1,私钥为PR s1;SIP服务器2为s2,SIP服务器2的公钥为PU s2,私钥为PR s2),携带nonce参数向SIP服务器1发送401消息。
3)SIP服务器1收到401消息之后,分析nonce,首先计算D[PR s1,nonce](D为解密运算)得到SEED 21。产生一个随机数SEED 12,计算response值,response=A&B,(&为字符串连接分割符),A=E[PU s2,SEED 12],B=H[SEED 12&SEED 21]。携带response参数向SIP服务器2重新发起呼叫。
4)SIP服务器2收到再次呼叫INVITE请求消息,解析response,得到A和B两部分。计算D[PR s2,A],得到SEED 12,计算H[SEED 12&SEED 21]得到的结果与B做比较,如果相同,证明SIP服务器1解出了正确的SEED 21,证明了SIP服务器1的身份。计算response值,response=H[SEED 12]。携带response参数向SIP服务器1发送200ok响应。
5)SIP服务器1收到200ok响应,计算H[SEED 12]与收到的response比较,如果相同证明SIP服务器2解出了正确的SEED 12,证明了SIP服务器2的身份。到此完成了SIP服务器之间基于数字证书的双向身份认证。SIP服务器1向SIP服务器2发ACK响应消息。路由探测呼叫成功。
二、后续跨域访问信令认证:
基于数字证书的路由探测信令完成双向身份认证之后,SIP服务器1和SIP服务器2就完成了共享密钥SEED 12、SEED 21的交换,当SIP服务器1和SIP服务器2之间有信令传送时,通过扩展RFC3261标准信令来完成信令认证和跨域用户的漫游。
对RFC3261中定义的信令做如下头域扩展:
1)增加一个Note头域,Note头域的值为Digest,它有两个参数nonce和algorithm。algorithm表明了nonce所用的数字摘要算法,nonce的值为H[(From+To+Call-ID+Date+SEED 12+SEED 21+用户身份信息+消息体)]。
2)增加一个Identity头域,Identity头域的值为Userinfo,它有一个参数attribute,attribute值为A+B+C。A为用户ID,全网统一20位标识符;B为用户URL;C为用户身份属性信息编码(用户行业属性、用户机构属性、类别属性和职级属性,每种属性对应不同的编码)。
域1用户1跨域访问域2设备2时,跨域SIP服务器之间的信令交互流程如图3所示。包括以下步骤:
1)SIP服务器1计算H[(From+To+Gall-ID+Date+SEED 12+SEED 21+用户身份信息+消息体)]做为Note头域nonce参数的值;将用户1的身份信息作为Identity头域attribute参数的值,然后将消息发送给SIP服务器2。
2)SIP服务器2收到消息后,首先从消息头中取出Date和自己的时钟比较,如果不在时间窗口内,则丢弃该指令;如果在时间窗口内,则用自己保存的对应的SEED 12、SEED 21、消息中的From、To、Call-ID,Date、Identity、消息体一起做数字摘要运算,计算H[(From+To+Call-ID+Date+SEED 12+SEED 21+用户身份信息+消息体)]。数字摘要运算的结果与消息体携带的Note域中的nonce值做比较,若相同,则认为该请求消息合法,并承认用户1的身份,接受该请求消息并执行;否则,请求消息不合法,丢弃该请求消息;因为SEED 12和SEED 21是SIP服务器1和SIP服务器2之间的共享密钥只有它们双方才可以获得该密钥;用户1身份信息是经过SIP服务器1认证通过的,并且没有被修改过,所以承认用户1的身份。
跨域路由探测时的双向身份认证基于数字证书体系在SIP服务器1向SIP服务器2通过INVITE挑战时,SIP服务器2向SIP服务器1回401时,产生一个随机数SEED 21,计算nonce=E[PU s1,SEED 21],这里用SIP服务器1的公钥对SEED 21进行加密运算,只有拥有SIP服务器1私钥才能对nonce进行解密,也就是只有SIP服务器1才能通过解密获得SEED 21,可以抵抗对SIP服务器1的仿冒。接着SIP服务器1向SIP服务器2再次发送INVITE请求消息,SIP服务器1获得SEED 21之后,产生一个随机数SEED 12,计算response值,response=A&B,(&为字符串连接分割符),A=E[PU s2,SEED 12],B=H[SEED 12&SEED 21]。这里A部分用SIP服务器2的公钥对SEED 12进行加密运算,只有拥有SIP服务器2私钥才能对A进行解密,也就是只有SIP服务器2才能通过解密获得SEED 12,可以抵抗对SIP服务器2的仿冒。B部分对SEED 12和SEED 21做数字摘要运算,只有SIP服务器2能获得SEED 12并且知道SEED 21,当SIP服务器2做数字摘要运算结果比对后就知道SIP服务器1已经获得了正确的SEED 21,确认了SIP服务器1的身份。SIP服务器2向SIP服务器1回200ok时,计算response值,response=H[SEED 12],只有SIP服务器1知道SEED 12,通过数字摘要运算结果比对后SIP服务器1就知道SIP服务器2已经获得了正确的SEED 12,确认了SIP服务器2的身份。可见整个跨域路由探测时的双向身份认证过程有效的抵抗了仿冒SIP服务器攻击,解除了路径B的安全威胁,并且安全传送了SIP服务器身份标识SEED 12和SEED21。
跨域路由探测时的双向身份认证过程中还实现了简洁高效的安全能力协商。在SIP服务器1向SIP服务器2通过INVITE挑战时,携带了自己支持的安全算法及模式等安全能力信息,SIP服务器2收到之后向SIP服务器1回401时,直接使用SIP服务器1所支持的安全能力中的算法,并在本次消息中指明每种类型的算法具体值。后续两个SIP服务器之间的密码运算都遵循此规则。所谓安全能力协商就是双方通过协商能够采用对方支持的算法来计算从而达到互通。本发明只给出一方的全部安全能力,供对方采纳,简洁高效的完成了安全能力协商。
后续跨域访问信令认证对每一条信令都做了H[(From+To+Call-ID+Date+SEED 12+SEED 21+用户身份信息+消息体)]的计算,SEED 12和SEED 21作为SIP服务器的身份标识可以验证信令来源的合法性,数字摘要运算本身可以验证信令的完整性,可以抵抗仿冒SIP服务器攻击。而且每条消息都携带有发出消息的时间信息,当消息的发出时间在系统定义的有效时间窗口内时才对信令做数字摘要认证,否则直接丢弃,这样可以有效的防止时间窗口外的重放攻击,并且提高了系统性能。
Claims (9)
1.一种SIP视频监控系统安全跨域访问方法,其特征在于,包括两个相互关联的步骤:
步骤A、跨域路由探测时的双向身份认证;
步骤B、后续跨域访问信令认证;
其中步骤A跨域路由探测时的双向身份认证过程中安全传递了SIP服务器身份标识随机数SEED12和SEED21,随机数SEED12和SEED21作为步骤B后续跨域访问信令认证中的共享密钥来使用,
步骤A跨域路由探测时的双向身份认证,SIP服务器1向SIP服务器2做跨域路由探测时,双向身份认证包括以下几个步骤:
a)SIP服务器1向SIP服务器2发送带有SIP服务器1安全能力信息字符串的INVITE请求消息;
b)SIP服务器2收到该INVITE请求消息,产生一个随机数SEED 21,回送带有SIP服务器1身份鉴权认证信息字符串的401响应消息;
c)SIP服务器1通过对收到的响应消息中的SIP服务器1身份鉴权认证信息字符串进行解析,得到随机数SEED 21,SIP服务器1产生一个随机数SEED 12,发送带有SIP服务器2身份鉴权认证信息字符串的INVITE请求消息到SIP服务器2;
d)SIP服务器2通过对再次收到的INVITE请求消息中的SIP服务器2身份鉴权认证信息字符串进行解析,得到随机数SEED 12,校验SIP服务器1的身份,如果SIP服务器1的身份真实,则回送带有得到的随机数SEED 12认证信息字符串的200响应消息;
e)SIP服务器1收到200响应消息,校验SIP服务器2的身份,如果SIP服务器2的身份真实,则回送ACK响应消息。
2.根据权利要求1所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:所述的步骤B后续跨域访问信令认证中,跨域路由探测信令完成双向身份认证之后,SIP服务器1和SIP服务器2就完成了共享密钥SEED 12、SEED 21的交换,当域1的用户1跨域访问域2的设备2时,跨域SIP服务器1和SIP服务器2之间的信令交互包括以下步骤:
a)SIP服务器1向SIP服务器2发送带有产生的随机数SEED 12、得到的随机数SEED 21、用户身份信息、本次消息头域及消息体内容的鉴权信息字符串的SIP请求消息;
b)SIP服务器2对收到的SIP请求消息中的鉴权信息字符串进行解析认证,若认证通过,则认为该请求消息合法,并承认用户1的身份,接受该请求消息并执行;否则,该请求消息不合法,丢弃该请求消息。
3.根据权利要求1所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:所述 的步骤A的步骤a中,SIP服务器1安全能力信息字符串包括所支持的算法及参数;步骤A的步骤b中,SIP服务器1身份鉴权认证信息字符串是用SIP服务器1的公钥对产生的随机数SEED 21做加密运算之后得到的字符串。
4.根据权利要求1所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:所述的步骤A的步骤c中,SIP服务器1对收到的响应消息中的SIP服务器1身份鉴权认证信息字符串进行解析,解析方法为用SIP服务器1的私钥对SIP服务器1身份鉴权认证信息字符串做解密运算,得到随机数SEED 21;SIP服务器2身份鉴权认证信息字符串由两部分字符串组成,第一部分字符串为用SIP服务器2的公钥对产生的随机数SEED 12做加密运算之后得到的字符串,第二部分字符串为用数字摘要算法对产生的随机数SEED 12和得到的随机数SEED21做数字摘要运算之后得到的字符串。
5.根据权利要求1所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:所述的步骤A的步骤的d中,SIP服务器2通过对再次收到的INVITE请求消息中的SIP服务器2身份鉴权认证信息字符串进行解析,解析方法为用SIP服务器2的私钥对SIP服务器2身份鉴权认证信息字符串的第一部分做解密运算,得到随机数SEED 12;校验SIP服务器1身份的方法为用数字摘要算法对得到的随机数SEED 12和产生的随机数SEED 21一起做数字摘要运算,数字摘要运算的结果与SIP服务器2身份鉴权认证信息字符串的第二部分字符串作比较,如果相同,证明了SIP服务器1的身份是真实的;带有得到的随机数SEED 12的认证信息字符串指的是用数字摘要算法对得到的随机数SEED 12做数字摘要运算之后的字符串。
6.根据权利要求1所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:所述的步骤A的步骤e中,校验SIP服务器2身份的方法为用数字摘要算法对产生的随机数12做数字摘要运算,数字摘要运算的结果与收到的带有得到的随机数SEED 12的认证信息字符串作比较,如果相同,证明了SIP服务器2的身份是真实的。
7.根据权利要求2所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:所述的步骤B的步骤a中,带有SEED 12、SEED 21、用户身份信息、本次消息头域及消息体内容的鉴权信息字符串指的是用数字摘要算法对该消息头域中的请求来源地From字段、请求目的地To字段、呼叫标识Call-ID字段、日期和时间Date字段、SEED 12、SEED 21、用户身份信息以及消息体内容作数字摘要运算之后得到的字符串。
8.根据权利要求2或7所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:用户身份信息指的是由用户ID、用户URL、用户身份属性信息编码三部分组成的字符串。
9.根据权利要求2所述的一种SIP视频监控系统安全跨域访问方法,其特征在于:所述的步骤B的步骤b中,SIP服务器2对收到的鉴权信息字符串进行解析认证,解析认证方法 为首先从请求消息头中取出Date字段和自己的时钟比较,如果不在时间窗口内,则丢弃该请求消息;如果在时间窗口内,则用数字摘要算法对请求消息中请求来源地From字段、请求目的地To字段、呼叫标识Call-ID字段、日期和时间Date字段、SEED 12、SEED 21、用户身份信息以及消息体内容一起做数字摘要运算,数字摘要运算的结果与收到的鉴权信息字符串做比较,如果不相等,则丢弃该请求消息;如果相等,则接受该请求消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102600822A CN101729871B (zh) | 2009-12-24 | 2009-12-24 | 一种sip视频监控系统安全跨域访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102600822A CN101729871B (zh) | 2009-12-24 | 2009-12-24 | 一种sip视频监控系统安全跨域访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101729871A CN101729871A (zh) | 2010-06-09 |
| CN101729871B true CN101729871B (zh) | 2011-10-26 |
Family
ID=42449949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102600822A Active CN101729871B (zh) | 2009-12-24 | 2009-12-24 | 一种sip视频监控系统安全跨域访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101729871B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102316110A (zh) * | 2011-09-14 | 2012-01-11 | 福建三元达软件有限公司 | 一种数据终端接入服务器的鉴权方法 |
| CN102938768B (zh) * | 2012-11-13 | 2016-06-08 | 浙江宇视科技有限公司 | 一种漫游用户跨域登陆、跨域进行监控业务的方法和装置 |
| CN104283917A (zh) * | 2013-07-05 | 2015-01-14 | 中兴通讯股份有限公司 | 客户端单元登录方法及系统 |
| CN105812363A (zh) * | 2016-03-09 | 2016-07-27 | 成都爆米花信息技术有限公司 | 云存储空间的数据安全修改方法 |
| CN108924131A (zh) * | 2018-07-02 | 2018-11-30 | 杭州安恒信息技术股份有限公司 | 一种摄像头物联网拟态防护方法以及装置 |
| CN110300287B (zh) * | 2019-07-26 | 2020-12-22 | 华东师范大学 | 一种公共安全视频监控联网摄像头接入认证方法 |
| CN111491007B (zh) * | 2020-03-04 | 2023-08-18 | 北京中盾安全技术开发公司 | Sip中心信令控制服务负载均衡方法及其负载均衡器 |
| CN111770048B (zh) | 2020-05-08 | 2023-04-07 | 厦门亿联网络技术股份有限公司 | 一种防止sip设备被攻击的方法、主叫设备及被叫设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913533A (zh) * | 2006-09-05 | 2007-02-14 | 北京天地互连信息技术有限公司 | 基于会话初始化协议的远程视频监控系统及其实现方法 |
| CN101114950A (zh) * | 2007-09-11 | 2008-01-30 | 武汉虹旭信息技术有限责任公司 | Ip网络中基于sip协议的音视频流的还原方法 |
| EP1908216A1 (en) * | 2005-07-15 | 2008-04-09 | Tandberg Telecom AS | Method for instant scheduling of conference calls |
| CN101287109A (zh) * | 2008-05-15 | 2008-10-15 | 中国网络通信集团公司 | 多级平台监控系统及监控方法 |
-
2009
- 2009-12-24 CN CN2009102600822A patent/CN101729871B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1908216A1 (en) * | 2005-07-15 | 2008-04-09 | Tandberg Telecom AS | Method for instant scheduling of conference calls |
| CN1913533A (zh) * | 2006-09-05 | 2007-02-14 | 北京天地互连信息技术有限公司 | 基于会话初始化协议的远程视频监控系统及其实现方法 |
| CN101114950A (zh) * | 2007-09-11 | 2008-01-30 | 武汉虹旭信息技术有限责任公司 | Ip网络中基于sip协议的音视频流的还原方法 |
| CN101287109A (zh) * | 2008-05-15 | 2008-10-15 | 中国网络通信集团公司 | 多级平台监控系统及监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101729871A (zh) | 2010-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729871B (zh) | 一种sip视频监控系统安全跨域访问方法 | |
| US7584505B2 (en) | Inspected secure communication protocol | |
| EP3113443B1 (en) | Method, a system and computer program products for securely enabling in-network functionality over encrypted data sessions | |
| EP1861946B1 (en) | Authenticating an endpoint using a stun server | |
| CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
| Gupta et al. | Security analysis of voice-over-IP protocols | |
| CN102164033B (zh) | 防止服务被攻击的方法、设备及系统 | |
| CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
| US20060190723A1 (en) | Payload layer security for file transfer | |
| CN108880995B (zh) | 基于区块链的陌生社交网络用户信息及消息推送加密方法 | |
| US20070101159A1 (en) | Total exchange session security | |
| CN112637136A (zh) | 加密通信方法及系统 | |
| CN113364811B (zh) | 基于ike协议的网络层安全防护系统及方法 | |
| JP4783340B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| KR101089269B1 (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
| WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
| Moravčík et al. | Survey of real-time multimedia security mechanisms | |
| CN116346505B (zh) | 物联网数据安全通信方法、系统及计算机可读存储介质 | |
| Bozkurt et al. | Exploring the Vulnerabilities and Countermeasures of SSL/TLS Protocols in Secure Data Transmission Over Computer Networks | |
| Zheng et al. | An enhanced IPSec security strategy | |
| Nakouri et al. | Biometric-based Per-Packet Authentication Techniques in Communication Networks | |
| Budzko et al. | Analysis of the level of security provided by advanced information and communication technologies | |
| Zheng et al. | An improved authentication and key agreement protocol of 3G |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |