CN108270747A - 一种认证方法及装置 - Google Patents
一种认证方法及装置 Download PDFInfo
- Publication number
- CN108270747A CN108270747A CN201611269910.5A CN201611269910A CN108270747A CN 108270747 A CN108270747 A CN 108270747A CN 201611269910 A CN201611269910 A CN 201611269910A CN 108270747 A CN108270747 A CN 108270747A
- Authority
- CN
- China
- Prior art keywords
- authentication information
- user
- sip
- terminal
- pbx
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/009—Arrangements for interconnection between switching centres in systems involving PBX or KTS networks
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种认证方法及装置。该方法中,终端向服务器发送用户的登录请求消息,以及接收服务器确定用户登录成功后发送的一认证信息;终端向IP‑PBX发送包括第一认证信息的SIP请求消息,以及接收IP‑PBX发送的SIP响应消息;由此可知,用户登录服务器后,由服务器为用户分配第一认证信息,用户在后续的SIP请求消息中携带该第一认证信息,IP‑PBX对第一认证信息进行认证,由于非法用户无法成功登陆服务器获取到第一认证信息,因此,IP‑PBX接收到非法用户发送的SIP请求消息后,会因第一认证信息认证失败而拒绝非法用户的SIP请求,从而能够有效拒绝缓解和规避盗打风险,保护昂贵的长途电信资源。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种认证方法及装置。
背景技术
UC(Unified Communication,统一通信)是在统一的平台上实现各种媒体通信的技术。UC是包括语音在内的多媒体通信的趋势,在UC中,一般均通过安装在PC(personalcomputer,个人计算机)或手机上的UC软客户端实现语音、即时消息、视频、通讯录、在线状态、群组等多媒体通信,其中语音和视频往往采用基于SIP(Session InitiationProtocol,会话发起协议)的VoIP(Voice over IP,IP网络承载的语音以及其他增值业务)技术。
VoIP是在IP网络上进行语音通话的技术,VoIP在终端用户侧,用软电话或IP话机代替了传统的模拟话机,在网络系统侧,用IP-PBX(IP Private Branch eXchange,基于IP网络的语音交换机)代替了传统的PBX。
SIP作为VoIP的一种主流协议,定义了VoIP信令交互机制。在VoIP客户端(如软电话、IP电话)开展VoIP业务前,必须先到IP-PBX上进行SIP注册(Register),注册成功后,方可发起呼叫(Invite)。然而,由于IP网络的开放性和IP网络上终端的智能性,任何IP可达的地方都可向IP-PBX发起注册和呼叫,从而可能出现一些非法用户进行非法注册和非法呼叫(盗打)。
综上,目前亟需一种认证方法,用于有效缓解和规避盗打风险,保护昂贵的长途电信资源。
发明内容
本发明实施例提供一种认证方法及装置,用于有效缓解和规避盗打风险,保护昂贵的长途电信资源。
本发明实施例提供的一种认证方法,所述方法包括:
终端向服务器发送使用所述终端的用户的登录请求消息;
所述终端接收所述服务器确定所述用户登录成功后发送的登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
所述终端向基于IP网络的语音交换机IP-PBX发送会话发起协议SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
所述终端接收所述IP-PBX发送的SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
如此,用户登录服务器后,由服务器为用户分配第一认证信息,用户在后续的SIP请求消息中携带该第一认证信息,IP-PBX对第一认证信息进行认证,由于非法用户无法成功登陆服务器获取到第一认证信息,因此,IP-PBX接收到非法用户发送的SIP请求消息后,会因第一认证信息认证失败而拒绝非法用户的SIP请求,从而能够有效拒绝缓解和规避盗打风险,保护昂贵的长途电信资源;且,由于第一认证信息可以被携带在现有的SIP请求消息中,因此,本发明实施例中的认证方法是对现有SIP标准认证的进一步增强,即IP-PBX除了按SIP标准对用户进行口令认证外,还需对第一认证信息进行认证,从而可在不增加用户使用复杂度和管理员运维复杂度的前提下,极大提高非法用户发起盗打的难度。
可选地,所述终端接收所述服务器确定所述用户登录成功后发送的登录响应消息之后,还包括:
所述终端接收用于更新所述第一认证信息的第二认证信息或第三认证信息;所述终端采用所述第二认证信息或所述第三认证信息替换所述第一认证信息。
可选地,所述终端接收所述第二认证信息,包括:所述终端接收所述IP-PBX发送的所述第二认证信息,所述第二认证信息为所述IP-PBX确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
如此,在第一认证信息的使用时长大于或等于第一时长阈值后,为所述用户新分配第二认证信息,能够进一步提升安全性;新分配的第二认证信息可以通过SIP响应消息发送给终端,从而可以不增加传输负担,节省传输资源,且,由于第二认证信息是由IP-PBX分配并发送给终端的,从而可以无需在IP-PBX和服务器之间进行信息交互。
可选地,所述终端接收所述第三认证信息,包括:所述终端接收所述服务器发送的所述第三认证信息,所述第三认证信息是所述服务器确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
如此,比特序列的长度大于等于256位能够有效保证安全性。
本发明实施例提供一种认证方法,所述方法包括:
服务器接收终端发送的使用所述终端的用户的登录请求消息;
所述服务器确定所述用户登录成功后,向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息。
如此,用户登录服务器后,由服务器为用户分配第一认证信息,用户在后续的SIP请求消息中携带该第一认证信息,由IP-PBX对第一认证信息进行认证,由于非法用户无法成功登陆服务器获取到第一认证信息,因此,IP-PBX接收到非法用户发送的SIP请求消息后,会因第一认证信息认证失败而拒绝非法用户的SIP请求,从而能够有效拒绝缓解和规避盗打风险,保护昂贵的长途电信资源。
可选地,所述方法还包括:
所述服务器向IP-PBX发送同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息。
如此,服务器将为用户分配的第一认证信息发送给IP-PBX,从而便于IP-PBX根据接收到的服务器发送的第一认证信息对SIP请求消息进行认证。
可选地,所述服务器向所述终端发送登录响应消息之后,还包括:
所述服务器确定所述第一认证信息的使用时长大于或等于第一阈值后,为所述用户分配第二认证信息,并将所述第二认证信息发送给所述终端。
如此,服务器为用户新分配第二认证信息,从而能够进一步提升安全性。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例提供一种认证方法,所述方法包括:
IP-PBX接收终端发送的使用所述终端的用户的SIP请求消息,所述SIP请求消息中包括第一认证信息;所述第一认证信息为服务器确定所述用户登录成功后,为所述用户分配的;
所述IP-PBX确定所述第一认证信息认证成功后,向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功之前,还包括:
所述IP-PBX接收所述服务器发送的同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息;
所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功,包括:
所述IP-PBX确定所述SIP请求消息中的第一认证信息与所述同步消息中的第一认证信息相同后,确定对所述SIP请求消息中的第一认证信息认证成功。
可选地,所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功之前,还包括:
所述IP-PBX确定所述第一认证信息的使用时长小于或等于第二时长阈值。
可选地,所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功后,还包括:
所述IP-PBX若确定所述第一认证信息的使用时长大于或等于第一时长阈值,则为所述用户分配新的第二认证信息,并将所述第二认证信息携带在所述SIP响应消息中发送给所述终端,第一时长阈值小于第二时长阈值。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例提供一种终端,包括:
发送模块,用于向服务器发送使用所述终端的用户的登录请求消息;
接收模块,用于接收所述服务器确定所述用户登录成功后发送的登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
所述发送模块还用于,向基于IP网络的语音交换机IP-PBX发送会话发起协议SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
所述接收模块还用于,接收所述IP-PBX发送的SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收模块在接收所述服务器确定所述用户登录成功后发送的登录响应消息之后,还用于:接收用于更新所述第一认证信息的第二认证信息或第三认证信息;
所述终端还包括处理模块,用于采用所述第二认证信息或所述第三认证信息替换所述第一认证信息。
可选地,所述接收模块具体用于:
接收所述IP-PBX发送的所述第二认证信息,所述第二认证信息为所述IP-PBX确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的;或者,接收所述服务器发送的所述第三认证信息,所述第三认证信息是所述服务器确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例提供一种服务器,所述服务器包括:
接收模块,用于接收终端发送的使用所述终端的用户的登录请求消息;
发送模块,用于确定所述用户登录成功后,向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述发送模块还用于,向IP-PBX发送同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述服务器还包括处理模块,用于确定所述第一认证信息的使用时长大于或等于第一阈值后,为所述用户分配第二认证信息;
所述发送模块还用于,将所述第二认证信息发送给所述终端。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例提供一种IP-PBX,其特征在于,所述IP-PBX包括:
接收模块,用于接收终端发送的使用所述终端的用户的SIP请求消息,所述SIP请求消息中包括第一认证信息;所述第一认证信息为服务器确定所述用户登录成功后,为所述用户分配的;
发送模块,用于确定所述第一认证信息认证成功后,向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收模块还用于,接收所述服务器发送的同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息;
所述IP-PBX还包括处理模块,用于确定所述SIP请求消息中的第一认证信息与所述同步消息中的第一认证信息相同后,确定对所述SIP请求消息中的第一认证信息认证成功。
可选地,所述处理模块确定对所述SIP请求消息中的第一认证信息认证成功之前,还用于:
确定所述第一认证信息的使用时长小于或等于第二时长阈值。
可选地,所述处理模块确定对所述SIP请求消息中的第一认证信息认证成功后,还用于:
若确定所述第一认证信息的使用时长大于或等于第一时长阈值,则为所述用户分配新的第二认证信息,并将所述第二认证信息携带在所述SIP响应消息中通过所述发送模块发送给所述终端,第一时长阈值小于第二时长阈值。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例提供一种终端,所述终端包括:发送器、接收器、存储器和处理器;所述存储器用于存储指令,所述处理器用于执行存储器存储的指令,并控制发送器、接收器与处理器之间传输数据;
发送器,用于向服务器发送使用所述终端的用户的登录请求消息;
接收器,用于接收所述服务器确定所述用户登录成功后发送的登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
所述发送器还用于,向基于IP网络的语音交换机IP-PBX发送会话发起协议SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
所述接收器还用于,接收所述IP-PBX发送的SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收器在接收所述服务器确定所述用户登录成功后发送的登录响应消息之后,还用于:
接收用于更新所述第一认证信息的第二认证信息或第三认证信息;
所述处理器还用于,采用所述第二认证信息或所述第三认证信息替换所述第一认证信息。
可选地,所述接收器具体用于:
接收所述IP-PBX发送的所述第二认证信息,所述第二认证信息为所述IP-PBX确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的;或者,接收所述服务器发送的所述第三认证信息,所述第三认证信息是所述服务器确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例提供一种服务器,所述服务器包括:发送器、接收器、存储器和处理器;所述存储器用于存储指令,所述处理器用于执行存储器存储的指令,并控制发送器、接收器与处理器之间传输数据;
接收器,用于接收终端发送的使用所述终端的用户的登录请求消息;
发送器,用于确定所述用户登录成功后,向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述发送模块还用于,向IP-PBX发送同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述处理器,用于确定所述第一认证信息的使用时长大于或等于第一阈值后,为所述用户分配第二认证信息;
所述发送器还用于,将所述第二认证信息发送给所述终端。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例提供一种IP-PBX,所述IP-PBX包括:发送器、接收器、存储器和处理器;所述存储器用于存储指令,所述处理器用于执行存储器存储的指令,并控制发送器、接收器与处理器之间传输数据;
接收器,用于接收终端发送的使用所述终端的用户的SIP请求消息,所述SIP请求消息中包括第一认证信息;所述第一认证信息为服务器确定所述用户登录成功后,为所述用户分配的;
发送器,用于确定所述第一认证信息认证成功后,向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收器还用于,接收所述服务器发送的同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息;
所述处理器,用于确定所述SIP请求消息中的第一认证信息与所述同步消息中的第一认证信息相同后,确定对所述SIP请求消息中的第一认证信息认证成功。
可选地,所述处理器确定对所述SIP请求消息中的第一认证信息认证成功之前,还用于:
确定所述第一认证信息的使用时长小于或等于第二时长阈值。
可选地,所述处理器确定对所述SIP请求消息中的第一认证信息认证成功后,还用于:
若确定所述第一认证信息的使用时长大于或等于第一时长阈值,则为所述用户分配新的第二认证信息,并将所述第二认证信息携带在所述SIP响应消息中通过所述发送器发送给所述终端,第一时长阈值小于第二时长阈值。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
本发明实施例中,终端向服务器发送使用终端的用户的登录请求消息,以及接收服务器确定用户登录成功后发送的一认证信息;终端向IP-PBX发送SIP请求消息,SIP请求消息中包括第一认证信息,以及接收IP-PBX发送的SIP响应消息,SIP响应消息用于通知终端IP-PBX对第一认证信息认证成功;由此可知,用户登录服务器后,由服务器为用户分配第一认证信息,用户在后续的SIP请求消息中携带该第一认证信息,IP-PBX对第一认证信息进行认证,由于非法用户无法成功登陆服务器获取到第一认证信息,因此,IP-PBX接收到非法用户发送的SIP请求消息后,会因第一认证信息认证失败而拒绝非法用户的SIP请求,从而能够有效拒绝缓解和规避盗打风险,保护昂贵的长途电信资源;且,由于第一认证信息可以被携带在现有的SIP请求消息中,因此,本发明实施例中的认证方法是对现有SIP标准认证的进一步增强,即IP-PBX除了按SIP标准对用户进行口令认证外,还需对第一认证信息进行认证,从而可在不增加用户使用复杂度和管理员运维复杂度的前提下,极大提高非法用户发起盗打的难度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例适用的一种系统架构示意图;
图2为现有技术中SIP注册过程示意图;
图3为本发明实施例提供的一种认证方法所对应的流程示意图;
图4为本发明实施例提供的一种终端的结构示意图;
图5为本发明实施例提供的一种服务器的结构示意图;
图6为本发明实施例提供的一种IP-PBX的结构示意图;
图7为本发明实施例提供的另一种终端的结构示意图;
图8为本发明实施例提供的另一种服务器的结构示意图;
图9本发明实施例提供的另一种IP-PBX的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包括。例如包括了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1为本发明实施例适用的一种系统架构示意图,该系统架构中包括服务器101、IP-PBX102以及一个或一个以上的终端,比如图1所示的第一终端1031、第二终端1032、第三终端1033。第一终端1031、第二终端1032以及第三终端1033可以通过IP网络与服务器101、IP-PBX102进行通信。
使用第一终端1031、第二终端1032或第三终端1033的用户可以通过IP网络登录到服务器101,并通过IP网络向IP-PBX102发起注册和呼叫。
现有的SIP协议标准中定义了SIP注册时的认证方式,图2为现有技术中SIP注册过程示意图,如图2所示,终端向IP-PBX发起注册请求消息(SIPRegister),IP-PBX接收到请求后,确定需要对用户进行认证,则会在本地产生本次认证的随机数(NONCE),并通过认证请求头域(Authorization)将所有必要的参数返回给终端,从而发起对用户认证过程。终端接收到认证请求消息后,根据IP-PBX返回的信息和用户配置等信息采用特定的算法(例如MD5)生成加密的响应信息,并通过新的注册请求消息(SIP Register)发送给IP-PBX。IP-PBX接收到新的注册请求消息后,根据NONCE、用户名、密码等信息采用和终端相同的算法生成响应信息,并将其与新的注册请求消息中的响应信息进行比较,若二者相同,则用户认证成功,完成SIP注册,并向用户返回注册响应消息(200OK)。
由上述内容知,在SIP标准定义中,其定义的最强认证方式是SIP Digest机制,通过对挑战响应的随机数NONCE与SIP注册口令做MD5的Hash值,并进行比对,来校验是否为合法用户发起的SIP注册。因非法用户没有SIP注册口令,因此,SIP协议标准定义的SIP注册认证机制可一定程度上防范非法用户发起注册并进行盗打。然而,受传统电话使用习惯的影响,管理员或用户对SIP注册口令保护的意识淡薄,经常不设口令或仅设置了弱口令,从而使得非法用户可利用互联网上的各种SIP破解工具探测、破解SIP注册口令,发起注册和盗打。另外,对SIP Invite信令,在现有技术体系中,一般不会对呼叫信令进行认证,导致非法用户可利用互联网上的各种SIP呼叫工具,直接探测发起呼叫(无须先进行SIP注册),进行盗打。
基于此,本发明实施例提供一种认证方法,用于有效缓解和规避盗打风险,保护昂贵的长途电信资源。
本发明实施例提供的认证方法可以应用于多种场景中,例如,UC系统或呼叫中心系统,具体来说,若应用于UC系统中,则图1中所示出的服务器可以为UC服务器,若应用于呼叫中心系统中,则图1中所示出的服务器可以为CTI(Computer Telephony Integration,计算机电话集成)服务器。
以UC系统为例,发明实施例提供的认证方法中,由UC服务器为使用终端的用户分配第一认证信息,并将第一认证信息发送给终端,后续终端向IP-PBX发起用户的SIP请求消息中携带该第一认证信息,并由IP-PBX对第一认证信息进行认证,为便于IP-PBX对用户的第一认证信息进行认证,本发明实施例提供的一种可能的实现方式为,UC服务器在为用户分配第一认证信息后,还需将第一认证信息发送给IP-PBX,从而IP-PBX可先存储用户的第一认证信息,并在接收到用户的SIP请求消息后,将存储的第一认证信息与SIP请求消息中的第一认证信息进行比较,若二者相同则认证成功,若二者不同则认证失败。
针对于这种可能的实现方式,可在现有的UC服务器上增加IP-PBX接口,以及在IP-PBX上增加UC接口,在用户成功登录UC服务器之后,UC服务器通过IP-PBX接口将生成的第一认证信息发给IP-PBX,IP-PBX通过UC接口接收UC服务器发过来的第一认证信息,从而实现UC服务器和IP-PBX的信息交互。
本发明实施例中的终端可以为向用户提供语音和/或数据连通性的设备(device),包括无线终端。无线终端可以是具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备,经无线接入网与一个或多个核心网进行通信的移动终端。例如,无线终端可以为移动电话、计算机、平板电脑、个人数码助理(personal digitalassistant,缩写:PDA)、移动互联网设备(mobile Internet device,缩写:MID)、可穿戴设备和电子书阅读器(e-book reader)等。又如,无线终端也可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动设备。再如,无线终端可以为用户设(user equipment,简称UE)的一部分。
本发明实施例的一些技术方案可以基于图1举例所示的系统架构或其变形架构来具体实施。
图3为本发明实施例提供的一种认证方法所对应的流程示意图,如图3所示,包括:
步骤301,终端向服务器发送使用所述终端的用户的登录请求消息;
步骤302,服务器接收登录请求消息;
步骤303,服务器确定所述用户登录成功后,向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
步骤304,终端接收登录响应消息;
步骤305,终端向IP-PBX发送SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
步骤306,IP-PBX接收SIP请求消息;
步骤307,IP-PBX确定所述第一认证信息认证成功后,向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功;
步骤308,终端接收SIP响应消息。
由此可知,用户登录服务器后,由服务器为用户分配第一认证信息,用户在后续的SIP请求消息中携带该第一认证信息,IP-PBX对第一认证信息进行认证,由于非法用户无法成功登陆服务器获取到第一认证信息,因此,IP-PBX接收到非法用户发送的SIP请求消息后,会因第一认证信息认证失败而拒绝非法用户的SIP请求,从而能够有效拒绝缓解和规避盗打风险,保护昂贵的长途电信资源;且,由于第一认证信息可以被携带在现有的SIP请求消息中,因此,本发明实施例中的认证方法是对现有SIP标准认证的进一步增强,即IP-PBX除了按SIP标准对用户进行口令认证外,还需对第一认证信息进行认证,从而可在不增加用户使用复杂度和管理员运维复杂度的前提下,极大提高非法用户发起盗打的难度。
下文中主要以UC系统为例进行介绍。
具体来说,步骤301中,终端向UC服务器发送使用所述终端的用户的登录请求消息之前,用户需在UC服务器进行注册,具体注册过程可参照现有技术,此处不再赘述。用户注册成功后,可启动UC客户端,向UC服务器发起登录请求消息,其中,登录请求消息中可包括用户的标识信息,例如UC帐号;步骤302和步骤303中,UC服务器接收到登录请求消息后,对用户进行强认证后,确定用户登录成功,并为用户分配第一认证信息,通过登录响应消息发送给终端,第一认证信息可以与用户的标识信息对应。
需要说明的是,上述登录响应消息可以为用户登录成功后,UC服务器向终端返回的用于通知用户登录成功的信令,并将第一认证信息携带在该信令中发送给终端,从而可以不增加传输负担,节省传输资源;或者,登录响应消息也可以为用户登录成功后,UC服务器新增的用于向终端发送第一认证信息的信令,具体不做限定。
本发明实施例中,第一认证信息可以为多种形式的认证信息,例如,可以为比特序列(即为随机数),为保证安全性,所述比特序列的长度大于等于256位,由于比特序列长度较长,从而使得非法用户难以猜测,安全性较高。
步骤304和步骤305中,终端接收到服务器发送的第一认证信息后,向IP-PBX发送携带有第一认证信息的SIP请求消息。SIP请求消息可以为SIP注册请求消息,或者,也可以为SIP呼叫请求消息。
(1)SIP请求消息为SIP注册请求消息
结合SIP协议标准中定义了SIP注册时的认证方式,终端向IP-PBX发起用户的SIP注册请求消息,SIP注册请求消息中包括第一认证信息,IP-PBX接收到注册请求后,确定需要对用户进行认证,则会在本地产生本次认证的随机数(NONCE),并通过认证请求头域将所有必要的参数返回给终端,从而发起对用户认证过程。终端接收到认证请求消息后,根据IP-PBX返回的信息和用户配置等信息采用特定的算法、生成加密的响应信息,并将加密后的响应信息和第一认证信息通过新的SIP注册请求消息发送给IP-PBX。
举个例子,SIP注册请求消息中携带的随机数的样例如下所示,其中,Ticket=93a1c027ef42dacb8798ad2be860f0c9为本发明实施例扩展的为用户分配的随机数。
REGISTER sip:191.169.150.30SIP/2.0
From:sip:6540012@191.169.150.30;tag=16838c16838
To:sip:6540012@191.169.150.30;tag=946e6f96
Call-Id:1-reg@191.169.150.251
Cseq:2763REGISTER
Contact:sip:6540012@191.169.150.251
Expires:100
Content-Length:0
Accept-Language:en
Supported:sip-cc,sip-cc-01,timer
User-Agent:Pingtel/1.2.7(VxWorks)
Authorization:DIGESTUSERNAME="6540012",EALM="huawei.com",
NONCE="200361722310491179922",RESPONSE=
"b7c848831dc489f8dc663112b21ad3b6",URI="sip:191.169.150.30"
Ticket=93a1c027ef42dacb8798ad2be860f0c9
Via:SIP/2.0/UDP 191.169.150.251
IP-PBX接收到新的SIP注册请求消息后,对响应信息和第一认证信息进行认证,若二者均认证成功,则确定用户认证成功,否则,确定用户认证失败。
其中,IP-PBX对响应信息和第一认证信息进行认证时,可以先对第一认证信息进行认证,后对响应信息进行认证,或者,也可以先对响应信息进行认证,后对第一认证信息进行认证,又或者,也可以二者同时认证,具体不做限定。
本发明实施例中,为节省处理资源,可以先对第一认证信息进行认证,若第一认证信息认证失败,则IP-PBX可不再根据NONCE、用户名、密码等信息采用和终端相同的算法生成响应信息,进行响应信息的认证,从而降低了IP-PBX的处理负担,且提高了认证效率。且,通过在SIP注册请求消息中携带第一认证信息,可以有效避免非法用户进行注册,进而避免非法用户盗打。
上述所描述的认证方式中,终端向IP-PBX发送的两次SIP注册请求消息中均携带有第一认证信息,从而可有效提升安全性,大大降低非法用户注册成功的可能性。需要说明的是,本发明实施例中,也可以选择在两次SIP注册请求消息中的任一SIP注册请求消息携带第一认证信息,而在另一SIP注册请求消息中不再携带第一认证信息,从而可避免IP-PBX对第一认证信息进行多次认证,降低IP-PBX的处理负担。
(2)SIP请求消息为SIP呼叫请求消息
结合SIP协议标准中定义了SIP呼叫过程,终端向IP-PBX发送用户的SIP注册请求消息,并注册成功后,可向IP-PBX发起用户的SIP呼叫请求消息,SIP呼叫请求消息中可包括第一认证信息。
举个例子,SIP呼叫请求消息中携带的随机数的样例如下所示,其中,Ticket=93a1c027ef42dacb8798ad2be860f0c9为本发明实施例扩展的为用户分配的随机数。
INVITE sip:1001@191.169.200.61SIP/2.0
From:sip:1000@191.169.200.61;tag=1c12674
To:sip:1001@191.169.200.61
Call-Id:call-973598097-16@191.169.150.101
Cseq:1INVITE
Contact:sip:1000@191.169.150.101
Content-Type:application/sdp
Content-Length:203
Allow:INVITE,ACK,CANCEL,BYE,REFER,OPTIONS,NOTIFY,REGISTER,SUBSCRIBE
User-Agent:Huawei-Phone/1.2.7(VxWorks)
Ticket=93a1c027ef42dacb8798ad2be860f0c9
Via:SIP/2.0/UDP 191.169.150.101
IP-PBX接收到呼叫请求后,对第一认证信息进行认证,确定认证成功后,处理用户的呼叫请求。且,通过在SIP呼叫请求消息中携带第一认证信息,可以有效避免非法用户不经注册而直接发起呼叫进行盗打的现象,大大提高安全性。
综合上述内容,终端向IP-PBX发起的SIP呼叫请求消息和SIP注册请求消息(包括注册过程中的两次SIP注册请求消息)中可以均包括第一认证信息,由此,通过在现有的SIP协议基础上,引入低成本的随机数机制,从而使得注册环节和呼叫环节均可以对随机数进行验证,来有效识别出非法用户,规避盗打风险,安全性较高。或者,本发明实施例中,也可以仅在SIP呼叫请求消息中携带第一认证信息,而在SIP注册请求消息中不再携带第一认证信息,从而在呼叫环节对非法用户进行识别,即使非法用户不经注册而直接发起呼叫,也可以通过第一认证信息认证失败识别出非法用户。又或者,本发明实施例中,也可以仅在SIP注册请求消息中携带第一认证信息,而在SIP呼叫请求消息中不再携带第一认证信息,从而能够有效避免非法用户进行注册,并在一定程度上避免非法用户盗打。
针对于上述所提及的IP-PBX对第一认证信息进行认证,下面进行详细说明。
具体来说,IP-PBX中可维护一个数据表,数据表中存储有用户的标识信息和认证信息,如表1所示,为用户的标识信息和认证信息部分内容示意。
表1:用户的标识信息和认证信息示例
用户的标识信息 | 对应的认证信息 |
用户a | *******0001 |
用户b | *******0011 |
…… | …… |
IP-PBX接收到用户的SIP请求消息后,可将SIP请求消息中携带的第一认证信息与数据表中的与用户的标识信息对应的认证信息进行比较,若二者相同,则认证成功,若二者不同,则认证失败。
本发明实施例中,IP-PBX的数据表中所存储的内容可以是从UC服务器获取到的,即UC服务器确定用户登录成功,并为用户分配第一认证信息后,将用户的第一认证信息发送给IP-PBX,IP-PBX将接收到用户的第一认证信息存储到数据表中,以便于后续认证。
需要说明的是,UC服务器可以同时发送用户的第一认证信息给终端和IP-PBX,或者,也可以先发送用户的第一认证信息给终端,后发送用户的第一认证信息给IP-PBX,又或者,也可以先发送用户的第一认证信息给IP-PBX,后发送用户的第一认证信息给终端,具体不做限定。
为保证IP-PBX接收到终端发送的用户的SIP请求消息后,能够及时准确地对第一认证信息进行认证,本发明实施例中优选UC服务器同时发送用户的第一认证信息给终端和IP-PBX,或者,先发送用户的第一认证信息给IP-PBX,后发送用户的第一认证信息给终端,以避免IP-PBX接收到终端发送的用户的SIP请求消息而尚未接收到UC服务器发送的用户的第一认证信息而导致认证失败的情形。
根据上述内容可知,UC服务器为用户分配第一认证信息后,第一认证信息仅会存储在终端和IP-PBX中,泄漏风险很低,使得非法用户发起盗打的难度显著提升。
为进一步提升安全性,本发明实施例中可对用户的第一认证信息进行更新。
一种可能的更新方式为,IP-PBX根据终端发送的用户的SIP注册请求消息,确定第一认证信息认证成功后,判断第一认证信息的使用时长是否大于或等于第一时长阈值,若是,则为用户新分配第二认证信息,并将新分配的第二认证信息发送给终端,具体可通过SIP注册响应消息将第二认证信息发送给终端;相应地,终端接收到第二认证信息后,可删除第一认证信息,并在后续发送的SIP请求消息中携带第二认证信息。或者,也可以是IP-PBX根据终端发送的用户的SIP登录请求消息,确定第一认证信息认证成功后,判断第一认证信息的使用时长是否大于或等于第一时长阈值,若是,则为用户新分配第二认证信息,并将新分配的第二认证信息发送给终端,具体可通过SIP呼叫响应消息将第二认证信息发送给终端。
采用上述更新方式,新分配的第二认证信息可以通过SIP响应消息发送给终端,从而可以不增加传输负担,节省传输资源,且,由于第二认证信息是由IP-PBX分配并发送给终端的,从而可以无需在IP-PBX和服务器之间进行信息交互。
举个例子,根据SIP标准协议,SIP响应消息可以为200OK信令。SIP响应消息中携带的随机数的样例如下所示,其中,Ticket=93a1c027ef42dacb8798ad2be860f0c8为本发明实施例扩展的为用户分配的随机数。
INVITE sip:1001@191.169.200.61SIP/2.0
From:sip:1000@191.169.200.61;tag=1c12674
To:sip:1001@191.169.200.61
Call-Id:call-973598097-16@191.169.150.101
Cseq:1INVITE
Contact:sip:1000@191.169.150.101
Content-Type:application/sdp
Content-Length:203
Allow:INVITE,ACK,CANCEL,BYE,REFER,OPTIONS,NOTIFY,
REGISTER,SUBSCRIBE
User-Agent:Huawei-Phone/1.2.7(VxWorks)
Ticket=93a1c027ef42dacb8798ad2be860f0c8
Via:SIP/2.0/UDP 191.169.150.101
需要说明的是,新分配的第二认证信息也可以通过新增的用于向终端发送第二认证信息的信令来发送,具体不做限定。
另一种可能的更新方式为,UC服务器为用户分配第一认证信息后,启动计时器,若确定为用户分配的第一认证信息的使用时长大于或等于第一时长阈值,则为用户新分配第三认证信息,并将新分配的第三认证信息发送给终端和IP-PBX;相应地,终端接收到第三认证信息后,可删除第一认证信息,并在后续发送的SIP请求消息中携带第三认证信息;IP-PBX接收到第三认证信息后,可对数据表中存储的与用户的标识信息对应的认证信息进行更新。
基于对用户的第一认证信息的更新,本发明实施例中还可对用户的第一认证信息设置有效期。IP-PBX接收到用户的SIP请求消息后,若确定第一认证信息的使用时长小于或等于第二时长阈值后,方可将第一认证信息与数据表中的认证信息进行比较,若确定第一认证信息的使用时长大于第二时长阈值,则可直接确定认证失败,而无需再将第一认证信息与数据表中的认证信息进行比较,从而节省处理资源。
其中,第一时长阈值和第二时长阈值均可由本领域技术人员根据经验和实际情况设置。为保证第一认证信息更新的可靠性,本发明实施例中,第一时长阈值小于第二阈值。具体来说,在SIP标准协议中,终端按照设定周期(5分钟)发起用户的SIP注册请求消息,此种情况下,可设置第一时长阈值为1小时,而第二时长阈值为2小时,从而为用户更新第一认证信息留有充分的时间,以便于来不及更新而导致的认证失败。
针对上述方法流程,本发明实施例还提供一种终端、服务器和IP-PBX,该终端、服务器和IP-PBX的具体内容可以参照上述方法实施。
图4为本发明实施例提供的一种终端的结构示意图,如图4所示,所述终端包括:
发送模块401,用于向服务器发送使用所述终端的用户的登录请求消息;
接收模块402,用于接收所述服务器确定所述用户登录成功后发送的登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
所述发送模块401还用于,向基于IP网络的语音交换机IP-PBX发送会话发起协议SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
所述接收模块402还用于,接收所述IP-PBX发送的SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收模块402在接收所述服务器确定所述用户登录成功后发送的登录响应消息之后,还用于:接收用于更新所述第一认证信息的第二认证信息或第三认证信息;
所述终端还包括处理模块403,用于采用所述第二认证信息或所述第三认证信息替换所述第一认证信息。
可选地,所述接收模块402具体用于:
接收所述IP-PBX发送的所述第二认证信息,所述第二认证信息为所述IP-PBX确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的;或者,接收所述服务器发送的所述第三认证信息,所述第三认证信息是所述服务器确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
图5为本发明实施例提供的一种服务器的结构示意图,所述服务器包括:发送模块501,接收模块502;
接收模块502,用于接收终端发送的使用所述终端的用户的登录请求消息;
发送模块501,用于确定所述用户登录成功后,向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述发送模块501还用于,向IP-PBX发送同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述服务器还包括处理模块503,用于确定所述第一认证信息的使用时长大于或等于第一阈值后,为所述用户分配第二认证信息;
所述发送模块501还用于,将所述第二认证信息发送给所述终端。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
图6为本发明实施例提供的一种IP-PBX的结构示意图,所述IP-PBX包括:发送模块601,接收模块602;
接收模块602,用于接收终端发送的使用所述终端的用户的SIP请求消息,所述SIP请求消息中包括第一认证信息;所述第一认证信息为服务器确定所述用户登录成功后,为所述用户分配的;
发送模块601,用于确定所述第一认证信息认证成功后,向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收模块602还用于,接收所述服务器发送的同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息;
所述IP-PBX还包括处理模块603,用于确定所述SIP请求消息中的第一认证信息与所述同步消息中的第一认证信息相同后,确定对所述SIP请求消息中的第一认证信息认证成功。
可选地,所述处理模块603确定对所述SIP请求消息中的第一认证信息认证成功之前,还用于:
确定所述第一认证信息的使用时长小于或等于第二时长阈值。
可选地,所述处理模块603确定对所述SIP请求消息中的第一认证信息认证成功后,还用于:
若确定所述第一认证信息的使用时长大于或等于第一时长阈值,则为所述用户分配新的第二认证信息,并将所述第二认证信息携带在所述SIP响应消息中通过所述发送模块发送给所述终端,第一时长阈值小于第二时长阈值。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
图7为本发明实施例提供的一种终端的结构示意图,该终端用于执行上述方法流程。如图7所示,该终端700包括:发送器701a、接收器701b、处理器702、存储器703和总线系统704;
其中,存储器703,用于存放程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器703可能为随机存取存储器(random access memory,简称RAM),也可能为非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。图中仅示出了一个存储器,当然,存储器也可以根据需要,设置为多个。存储器703也可以是处理器702中的存储器。
存储器703存储了如下的元素,可执行模块或者数据结构,或者它们的子集,或者它们的扩展集:
操作指令:包括各种操作指令,用于实现各种操作。
操作系统:包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器702控制终端700的操作,处理器702还可以称为CPU(Central ProcessingUnit,中央处理单元)。具体的应用中,终端700的各个组件通过总线系统704耦合在一起,其中总线系统704除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统704。为便于表示,图7中仅是示意性画出。
上述本申请实施例揭示的方法可以应用于处理器702中,或者由处理器702实现。处理器702可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器702中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器702可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器703,处理器702读取存储器703中的信息,结合其硬件执行如下方法步骤:
通过发送器701a向服务器发送使用所述终端的用户的登录请求消息;
通过接收器701b接收所述服务器确定所述用户登录成功后发送的登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
所述发送器701a还用于,向基于IP网络的语音交换机IP-PBX发送会话发起协议SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
所述接收器701b还用于,接收所述IP-PBX发送的SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收器701b在接收所述服务器确定所述用户登录成功后发送的登录响应消息之后,还用于:
接收用于更新所述第一认证信息的第二认证信息或第三认证信息;
所述处理器702还用于,采用所述第二认证信息或所述第三认证信息替换所述第一认证信息。
可选地,所述接收器701b具体用于:
接收所述IP-PBX发送的所述第二认证信息,所述第二认证信息为所述IP-PBX确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的;或者,接收所述服务器发送的所述第三认证信息,所述第三认证信息是所述服务器确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
图8为本发明实施例提供的一种服务器的结构示意图,该服务器用于执行上述方法流程。如图8所示,该服务器800包括:发送器801a、接收器801b、处理器802、存储器803和总线系统804;
其中,存储器803,用于存放程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器803可能为随机存取存储器(random access memory,简称RAM),也可能为非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。图中仅示出了一个存储器,当然,存储器也可以根据需要,设置为多个。存储器803也可以是处理器802中的存储器。
存储器803存储了如下的元素,可执行模块或者数据结构,或者它们的子集,或者它们的扩展集:
操作指令:包括各种操作指令,用于实现各种操作。
操作系统:包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器802控制服务器800的操作,处理器802还可以称为CPU(CentralProcessing Unit,中央处理单元)。具体的应用中,服务器800的各个组件通过总线系统804耦合在一起,其中总线系统804除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统804。为便于表示,图8中仅是示意性画出。
上述本申请实施例揭示的方法可以应用于处理器802中,或者由处理器802实现。处理器802可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器802中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器802可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器803,处理器802读取存储器803中的信息,结合其硬件执行如下方法步骤:
通过接收器801b接收终端发送的使用所述终端的用户的登录请求消息;
确定所述用户登录成功后,通过向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述发送器801a还用于,向IP-PBX发送同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息。
可选地,所述服务器还包括处理器802,用于确定所述第一认证信息的使用时长大于或等于第一阈值后,为所述用户分配第二认证信息;
所述发送器还用于,将所述第二认证信息发送给所述终端。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于286位。
图9为本发明实施例提供的一种IP-PBX的结构示意图,该IP-PBX用于执行方法流程。如图9所示,该IP-PBX900包括:发送器901a、接收器901b、处理器902、存储器903和总线系统904;
其中,存储器903,用于存放程序。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器903可能为随机存取存储器(random access memory,简称RAM),也可能为非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。图中仅示出了一个存储器,当然,存储器也可以根据需要,设置为多个。存储器903也可以是处理器902中的存储器。
存储器903存储了如下的元素,可执行模块或者数据结构,或者它们的子集,或者它们的扩展集:
操作指令:包括各种操作指令,用于实现各种操作。
操作系统:包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器902控制IP-PBX900的操作,处理器902还可以称为CPU(CentralProcessing Unit,中央处理单元)。具体的应用中,IP-PBX900的各个组件通过总线系统904耦合在一起,其中总线系统904除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统904。为便于表示,图9中仅是示意性画出。
上述本申请实施例揭示的方法可以应用于处理器902中,或者由处理器902实现。处理器902可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器902中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器902可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器903,处理器902读取存储器903中的信息,结合其硬件执行如下方法步骤:
通过接收器901b接收终端发送的使用所述终端的用户的SIP请求消息,所述SIP请求消息中包括第一认证信息;所述第一认证信息为服务器确定所述用户登录成功后,为所述用户分配的;
确定所述第一认证信息认证成功后,通过发送器901a向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
可选地,所述接收器901b还用于,接收所述服务器发送的同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息;
所述IP-PBX还包括处理器902,用于确定所述SIP请求消息中的第一认证信息与所述同步消息中的第一认证信息相同后,确定对所述SIP请求消息中的第一认证信息认证成功。
可选地,所述处理器902确定对所述SIP请求消息中的第一认证信息认证成功之前,还用于:
确定所述第一认证信息的使用时长小于或等于第二时长阈值。
可选地,所述处理器902确定对所述SIP请求消息中的第一认证信息认证成功后,还用于:
若确定所述第一认证信息的使用时长大于或等于第一时长阈值,则为所述用户分配新的第二认证信息,并将所述第二认证信息携带在所述SIP响应消息中通过所述发送器901a发送给所述终端,第一时长阈值小于第二时长阈值。
可选地,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
可选地,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
从上述内容可以看出:本发明实施例中,终端向服务器发送使用终端的用户的登录请求消息,以及接收服务器确定用户登录成功后发送的一认证信息;终端向IP-PBX发送SIP请求消息,SIP请求消息中包括第一认证信息,以及接收IP-PBX发送的SIP响应消息,SIP响应消息用于通知终端IP-PBX对第一认证信息认证成功;由此可知,用户登录服务器后,由服务器为用户分配第一认证信息,用户在后续的SIP请求消息中携带该第一认证信息,IP-PBX对第一认证信息进行认证,由于非法用户无法成功登陆服务器获取到第一认证信息,因此,IP-PBX接收到非法用户发送的SIP请求消息后,会因第一认证信息认证失败而拒绝非法用户的SIP请求,从而能够有效拒绝缓解和规避盗打风险,保护昂贵的长途电信资源;且,由于第一认证信息可以被携带在现有的SIP请求消息中,因此,本发明实施例中的认证方法是对现有SIP标准认证的进一步增强,即IP-PBX除了按SIP标准对用户进行口令认证外,还需对第一认证信息进行认证,从而可在不增加用户使用复杂度和管理员运维复杂度的前提下,极大提高非法用户发起盗打的难度。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (30)
1.一种认证方法,其特征在于,所述方法包括:
终端向服务器发送使用所述终端的用户的登录请求消息;
所述终端接收所述服务器确定所述用户登录成功后发送的登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
所述终端向基于IP网络的语音交换机IP-PBX发送会话发起协议SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
所述终端接收所述IP-PBX发送的SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
2.根据权利要求1所述的方法,其特征在于,所述终端接收所述服务器确定所述用户登录成功后发送的登录响应消息之后,还包括:
所述终端接收用于更新所述第一认证信息的第二认证信息或第三认证信息;
所述终端采用所述第二认证信息或所述第三认证信息替换所述第一认证信息。
3.根据权利要求2所述的方法,其特征在于,所述终端接收所述第二认证信息,包括:
所述终端接收所述IP-PBX发送的所述第二认证信息,所述第二认证信息为所述IP-PBX确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的;
所述终端接收所述第三认证信息,包括:
所述终端接收所述服务器发送的所述第三认证信息,所述第三认证信息是所述服务器确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
6.一种认证方法,其特征在于,所述方法包括:
服务器接收终端发送的使用所述终端的用户的登录请求消息;
所述服务器确定所述用户登录成功后,向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述服务器向IP-PBX发送同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息。
8.根据权利要求6或7所述的方法,其特征在于,所述服务器向所述终端发送登录响应消息之后,还包括:
所述服务器确定所述第一认证信息的使用时长大于或等于第一阈值后,为所述用户分配第二认证信息,并将所述第二认证信息发送给所述终端。
9.根据权利要求6-8任一项所述的方法,其特征在于,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
10.一种认证方法,其特征在于,所述方法包括:
IP-PBX接收终端发送的使用所述终端的用户的SIP请求消息,所述SIP请求消息中包括第一认证信息;所述第一认证信息为服务器确定所述用户登录成功后,为所述用户分配的;
所述IP-PBX确定所述第一认证信息认证成功后,向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
11.根据权利要求10中所述的方法,其特征在于,所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功之前,还包括:
所述IP-PBX接收所述服务器发送的同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息;
所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功,包括:
所述IP-PBX确定所述SIP请求消息中的第一认证信息与所述同步消息中的第一认证信息相同后,确定对所述SIP请求消息中的第一认证信息认证成功。
12.根据权利要求10或11所述的方法,其特征在于,所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功之前,还包括:
所述IP-PBX确定所述第一认证信息的使用时长小于或等于第二时长阈值。
13.根据权利要求10-12任一项所述的方法,其特征在于,所述IP-PBX确定对所述SIP请求消息中的第一认证信息认证成功后,还包括:
所述IP-PBX若确定所述第一认证信息的使用时长大于或等于第一时长阈值,则为所述用户分配新的第二认证信息,并将所述第二认证信息携带在所述SIP响应消息中发送给所述终端,第一时长阈值小于第二时长阈值。
14.根据权利要求10-13任一项所述的方法,其特征在于,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
15.根据权利要求10-14任一项所述的方法,其特征在于,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
16.一种终端,其特征在于,所述终端包括:发送器、接收器、存储器和处理器;所述存储器用于存储指令,所述处理器用于执行存储器存储的指令,并控制发送器、接收器与处理器之间传输数据;
所述发送器,用于向服务器发送使用所述终端的用户的登录请求消息;
所述接收器,用于接收所述服务器确定所述用户登录成功后发送的登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息;
所述发送器还用于,向基于IP网络的语音交换机IP-PBX发送会话发起协议SIP请求消息,所述SIP请求消息中包括所述第一认证信息;
所述接收器还用于,接收所述IP-PBX发送的SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
17.根据权利要求16所述的终端,其特征在于,所述接收器在接收所述服务器确定所述用户登录成功后发送的登录响应消息之后,还用于:
接收用于更新所述第一认证信息的第二认证信息或第三认证信息;
所述处理器还用于,采用所述第二认证信息或所述第三认证信息替换所述第一认证信息。
18.根据权利要求17所述的终端,其特征在于,所述接收器具体用于:
接收所述IP-PBX发送的所述第二认证信息,所述第二认证信息为所述IP-PBX确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的;或者,接收所述服务器发送的所述第三认证信息,所述第三认证信息是所述服务器确定所述第一认证信息的使用时长大于或等于第一时长阈值后为所述用户新分配的。
19.根据权利要求16-18任一项所述的终端,其特征在于,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
20.根据权利要求16-19任一项所述的终端,其特征在于,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
21.一种服务器,其特征在于,所述服务器包括:发送器、接收器、存储器和处理器;所述存储器用于存储指令,所述处理器用于执行存储器存储的指令,并控制发送器、接收器与处理器之间传输数据;
所述接收器,用于接收终端发送的使用所述终端的用户的登录请求消息;
所述发送器,用于确定所述用户登录成功后,向所述终端发送登录响应消息,所述登录响应消息中包括所述服务器为所述用户分配的第一认证信息。
22.根据权利要求21所述的服务器,其特征在于,所述发送模块还用于,向IP-PBX发送同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息。
23.根据权利要求21或22所述的服务器,其特征在于,所述处理器,用于确定所述第一认证信息的使用时长大于或等于第一阈值后,为所述用户分配第二认证信息;
所述发送器还用于,将所述第二认证信息发送给所述终端。
24.根据权利要求21-23任一项所述的服务器,其特征在于,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
25.一种IP-PBX,其特征在于,所述IP-PBX包括:发送器、接收器、存储器和处理器;所述存储器用于存储指令,所述处理器用于执行存储器存储的指令,并控制发送器、接收器与处理器之间传输数据;
所述接收器,用于接收终端发送的使用所述终端的用户的SIP请求消息,所述SIP请求消息中包括第一认证信息;所述第一认证信息为服务器确定所述用户登录成功后,为所述用户分配的;
所述发送器,用于确定所述第一认证信息认证成功后,向所述终端发送SIP响应消息,所述SIP响应消息用于通知所述终端所述IP-PBX对所述第一认证信息认证成功。
26.根据权利要求25中所述的IP-PBX,其特征在于,所述接收器还用于,接收所述服务器发送的同步消息,所述同步消息中包括所述服务器为所述用户分配的第一认证信息;
所述处理器,还用于确定所述SIP请求消息中的第一认证信息与所述同步消息中的第一认证信息相同后,确定对所述SIP请求消息中的第一认证信息认证成功。
27.根据权利要求25或26所述的IP-PBX,其特征在于,所述处理器确定对所述SIP请求消息中的第一认证信息认证成功之前,还用于:
确定所述第一认证信息的使用时长小于或等于第二时长阈值。
28.根据权利要求25-27任一项所述的IP-PBX,其特征在于,所述处理器确定对所述SIP请求消息中的第一认证信息认证成功后,还用于:
若确定所述第一认证信息的使用时长大于或等于第一时长阈值,则为所述用户分配新的第二认证信息,并将所述第二认证信息携带在所述SIP响应消息中通过所述发送器发送给所述终端,第一时长阈值小于第二时长阈值。
29.根据权利要求25-28任一项所述的IP-PBX,其特征在于,所述SIP请求消息为注册请求消息,所述SIP响应消息为注册响应消息;或者,
所述SIP请求消息为呼叫请求消息,所述SIP响应消息为呼叫响应消息。
30.根据权利要求25-29任一项所述的IP-PBX,其特征在于,所述第一认证信息为比特序列,所述比特序列的长度大于等于256位。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611269910.5A CN108270747B (zh) | 2016-12-30 | 2016-12-30 | 一种认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611269910.5A CN108270747B (zh) | 2016-12-30 | 2016-12-30 | 一种认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108270747A true CN108270747A (zh) | 2018-07-10 |
CN108270747B CN108270747B (zh) | 2021-08-13 |
Family
ID=62771224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611269910.5A Active CN108270747B (zh) | 2016-12-30 | 2016-12-30 | 一种认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108270747B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881292A (zh) * | 2018-07-20 | 2018-11-23 | 携程旅游信息技术(上海)有限公司 | VoIP安全防范方法、系统、设备及存储介质 |
CN109089000A (zh) * | 2018-10-24 | 2018-12-25 | 迈普通信技术股份有限公司 | 语音呼叫处理方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030014668A1 (en) * | 2001-07-13 | 2003-01-16 | Nokia Corporation | Mechanism to allow authentication of terminated SIP calls |
CN101521660A (zh) * | 2008-02-27 | 2009-09-02 | 华为技术有限公司 | 会话发起协议注册方法、认证及授权方法、系统及设备 |
CN101595708A (zh) * | 2007-01-30 | 2009-12-02 | 阿尔卡特朗讯公司 | 用于防止主叫方身份欺骗的主叫方名称认证 |
CN101640669A (zh) * | 2008-07-29 | 2010-02-03 | 华为技术有限公司 | 一种sip策略控制认证的方法、系统和设备 |
CN103516704A (zh) * | 2012-06-30 | 2014-01-15 | 北京神州泰岳软件股份有限公司 | 一种ims客户端接入管理方法和系统 |
-
2016
- 2016-12-30 CN CN201611269910.5A patent/CN108270747B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030014668A1 (en) * | 2001-07-13 | 2003-01-16 | Nokia Corporation | Mechanism to allow authentication of terminated SIP calls |
CN101595708A (zh) * | 2007-01-30 | 2009-12-02 | 阿尔卡特朗讯公司 | 用于防止主叫方身份欺骗的主叫方名称认证 |
CN101521660A (zh) * | 2008-02-27 | 2009-09-02 | 华为技术有限公司 | 会话发起协议注册方法、认证及授权方法、系统及设备 |
CN101640669A (zh) * | 2008-07-29 | 2010-02-03 | 华为技术有限公司 | 一种sip策略控制认证的方法、系统和设备 |
CN103516704A (zh) * | 2012-06-30 | 2014-01-15 | 北京神州泰岳软件股份有限公司 | 一种ims客户端接入管理方法和系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881292A (zh) * | 2018-07-20 | 2018-11-23 | 携程旅游信息技术(上海)有限公司 | VoIP安全防范方法、系统、设备及存储介质 |
CN109089000A (zh) * | 2018-10-24 | 2018-12-25 | 迈普通信技术股份有限公司 | 语音呼叫处理方法及装置 |
CN109089000B (zh) * | 2018-10-24 | 2020-10-27 | 迈普通信技术股份有限公司 | 语音呼叫处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108270747B (zh) | 2021-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8327144B2 (en) | Authentication method, system, and apparatus thereof for inter-domain information communication | |
US7610619B2 (en) | Method for registering a communication terminal | |
US20130254531A1 (en) | Ims multimedia communication method and system, terminal and ims core network | |
US20090025075A1 (en) | On-demand authentication of call session party information during a telephone call | |
CN105025475B (zh) | 面向Android系统的移动保密终端实现方法 | |
WO2003079622A1 (en) | Policy control and billing support for call transfer in a session initiation protocol (sip) network | |
JP2004517517A (ja) | テレコミュニケーションネットワークにおける加入者初期登録中の完全性保護 | |
JP2009152812A (ja) | 端末のユーザ識別情報転送による非携帯端末のネットワーク接続方法 | |
CN103391539A (zh) | 互联网协议多媒体子系统ims的开户方法、装置及系统 | |
CA2649402C (en) | Method, devices and computer program product for encoding and decoding media data | |
CN107872588B (zh) | 呼叫处理方法、相关装置及系统 | |
CN106133735B (zh) | 用于访问互联网协议多媒体子系统的安全方法和装置 | |
CN106921951B (zh) | 基于关系号码的号码隐私保护方法和系统以及相关设备 | |
US20240022557A1 (en) | Call authorization and verification via a service provider code | |
CN107493293A (zh) | 一种sip终端接入鉴权的方法 | |
CN109120408A (zh) | 用于认证用户身份的方法、装置和系统 | |
CN101227474A (zh) | 软交换网络中的会话初始化协议用户鉴权方法 | |
US20150350899A1 (en) | AUTHENTICATION METHOD OF VoLTE | |
CN101001143A (zh) | 一种终端设备对系统设备进行认证的方法 | |
CN108270747A (zh) | 一种认证方法及装置 | |
US11290592B2 (en) | Call authorization and verification via a service provider code | |
CN101771684A (zh) | 一种互联网计算机电话认证的方法及其服务系统 | |
CN101001248B (zh) | 在ims网络中处理注册初始过滤规则的方法 | |
US8914861B2 (en) | Authentication method and authentication system based on forking, and forking authentication device | |
CN102055588A (zh) | 呼叫认证的方法和voip系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |