CN111770048B - 一种防止sip设备被攻击的方法、主叫设备及被叫设备 - Google Patents

一种防止sip设备被攻击的方法、主叫设备及被叫设备 Download PDF

Info

Publication number
CN111770048B
CN111770048B CN202010379911.5A CN202010379911A CN111770048B CN 111770048 B CN111770048 B CN 111770048B CN 202010379911 A CN202010379911 A CN 202010379911A CN 111770048 B CN111770048 B CN 111770048B
Authority
CN
China
Prior art keywords
connection request
verification
called
value
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010379911.5A
Other languages
English (en)
Other versions
CN111770048A (zh
Inventor
龚炜平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Yealink Network Technology Co Ltd
Original Assignee
Xiamen Yealink Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Yealink Network Technology Co Ltd filed Critical Xiamen Yealink Network Technology Co Ltd
Priority to CN202010379911.5A priority Critical patent/CN111770048B/zh
Publication of CN111770048A publication Critical patent/CN111770048A/zh
Priority to EP21169146.4A priority patent/EP3907967A1/en
Priority to US17/307,806 priority patent/US11399092B2/en
Application granted granted Critical
Publication of CN111770048B publication Critical patent/CN111770048B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/38Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections
    • H04M3/382Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections using authorisation codes or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/143Termination or inactivation of sessions, e.g. event-controlled end of session
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2272Subscriber line supervision circuits, e.g. call detection circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42025Calling or Called party identification service
    • H04M3/42034Calling party identification service
    • H04M3/42059Making use of the calling party identifier

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Business, Economics & Management (AREA)
  • Power Engineering (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种防止SIP设备被攻击的方法、主叫设备及被叫设备,属于网络安全领域。针对现有技术中存在的公网端口被扫描情况下的SIP报文恶意攻击的问题,本发明提供了一种防止SIP设备被攻击的方法、主叫设备及被叫设备,该方法包括主叫设备与被叫设备生成相同的公有密码,主叫设备向被叫设备发送连接请求;被叫设备对连接请求进行头域验证,校验连接请求中是否携带规定头域;被叫设备对连接请求进行设备验证,若通过验证,则被叫设备和主叫设备生成规定信息,主叫设备重新向被叫设备发送连接请求;被叫设备对连接请求进行身份验证,若通过验证,则被叫设备与主叫设备建立连接,实现过滤伪装的数据,达到不易被攻击的效果,实现用户的无感知体验。

Description

一种防止SIP设备被攻击的方法、主叫设备及被叫设备
技术领域
本发明涉及网络安全领域,更具体地说,涉及一种防止SIP设备被攻击的方法、主叫设备及被叫设备。
背景技术
SIP(Session Initiation Protocol)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。这些会话可以是Internet多媒体会议、IP电话或多媒体分发。会话的参与者可以通过组播(multicast)、网状单播(unicast)或两者的混合体进行通信。
随着计算机科学技术的进步,基于分组交换技术的IP数据网络以其便捷性和廉价性,取代了基于电路交换的传统电话网在通信领域的核心地位。SIP协议作为应用层信令控制协议,为多种即时通信业务提供完整的会话创建和会话更改服务,由此,SIP协议的安全性对于即时通信的安全起着至关重要的作用。
随着网络的高速发展和黑客技术的逐渐提升,因为SIP的传输是通过文本形式传输,所以越来越多搭建在公网的SIP设备面临着被攻击的风险。黑客们可通过端口扫描工具来确认当前公网设备监听的端口,并且往对应的端口发送截获的伪装数据用以对SIP设备进行攻击。使其瘫痪无法正常使用。
中国专利申请,申请号CN200910260082.2,公开日2010年6月9日,公开了一种SIP视频监控系统跨域访问安全方法,该方法通过扩展RFC3261中定义的INVITE方法,完成跨域路由探测、服务器安全能力协商以及服务器之间的双向身份认证,并且安全传递服务器之间的2个共享密钥,路由探测完成后,通过基于对2个共享密钥以及用户身份等信息的摘要运算保障后续跨域信令来源的合法性,从而保障用户跨域访问的安全。该发明的不足之处在于无法兼容第三方设备的接入,并且在第一次验证请求时就携带了AUTH头域,易被破解。
发明内容
1.要解决的技术问题
针对现有技术中存在的公网端口被扫描情况下的SIP报文恶意攻击的问题,本发明提供了一种防止SIP设备被攻击的方法、主叫设备及被叫设备,它通过增加校验流程且不增加头域,只修改头域值内容,实现过滤伪装的数据,达到不易被攻击的效果。
2.技术方案
本发明的目的通过以下技术方案实现。
一种防止SIP设备被攻击的方法,包括以下步骤:
主叫设备与被叫设备生成相同的公有密码,主叫设备向被叫设备发送连接请求;
被叫设备对连接请求进行头域验证,校验连接请求中是否携带规定头域,若不携带,进行设备验证,否则进行身份验证;
被叫设备对连接请求进行设备验证,若通过验证,则被叫设备和主叫设备生成规定信息,主叫设备重新向被叫设备发送连接请求,否则丢弃连接请求;
被叫设备对连接请求进行身份验证,若通过验证,则被叫设备与主叫设备建立连接,否则丢弃连接请求。
进一步的,被叫设备对连接请求进行设备验证包括以下步骤:
被叫设备对连接请求中头域的Call_id值进行计算;
判断计算得出的结果与连接请求中的节点值是否相同,若相同,则通过验证,否则未通过验证。
更进一步的,被叫设备和主叫设备生成规定信息包括以下步骤:
被叫设备生成随机值与鉴权请求,并将随机值添加到鉴权请求中;
被叫设备向主叫设备发送鉴权请求;
主叫设备对鉴权请求中的随机值与公有密码进行计算,得出头域的加密值;
主叫设备将带有加密值的头域添加到连接请求中。
更进一步的,被叫设备对连接请求进行身份验证包括以下步骤:
判断连接请求中头域的随机值是否正确,若正确,则进行下一步,否则判定未通过验证;
对公有密码和头域的随机值进行计算,判断计算结果与头域中的加密值是否相同,若相同,则通过验证,否则未通过验证。
一种主叫设备,包括:
密码生成单元,用于生成与被叫设备相同的公有密码;
信息生成单元,用于生成规定信息;
发送单元,用于向被叫设备发送连接请求;
通信单元,用于与被叫设备建立连接。
进一步的,主叫设备的信息生成单元还包括:
第一计算模块,用于对鉴权请求的随机值与公有密码进行计算,得出头域的加密值;
信息填充模块,用于将带有加密值的头域添加到连接请求中。
一种被叫设备,包括:
密码生成单元,用于生成与主叫设备相同的公有密码;
接收单元,用于接收主叫设备发送的连接请求;
头域验证单元,用于对连接请求进行头域验证,校验连接请求中是否携带规定头域,若不携带,进入设备验证单元,否则进入身份验证单元;
设备验证单元,用于对连接请求进行设备验证,若通过验证,添加规定信息至连接请求中,进入通信单元,否则丢弃连接请求;
信息生成单元,用于生成规定信息;
身份验证单元,用于被叫设备对连接请求进行身份验证,若通过验证,被叫设备与主叫设备建立连接,否则丢弃连接请求;
通信单元,用于与主叫设备建立连接。
进一步的,被叫设备的设备验证单元包括:
第二计算模块,用于对连接请求中的Call_id值进行计算;
第一判断模块,用于判断计算得出的结果与连接请求中的节点值是否相同,若相同,则通过验证,否则未通过验证。
更进一步的,被叫设备的信息生成单元包括:
鉴权请求生成模块,用于生成随机值与鉴权请求,将随机值添加到鉴权请求中;
鉴权请求发送模块,用于向主叫设备发送鉴权请求。
更进一步的,被叫设备的身份验证单元包括:
第二判断模块,用于判断连接请求中头域的随机值是否正确,若正确,则进入第三判断模块,否则未通过验证;
第三判断模块,用于对公有密码和头域的随机值进行计算,判断计算结果与头域中的加密值是否相同,若相同,则通过验证,否则未通过验证。
3.有益效果
相比于现有技术,本发明的优点在于:
目前的第三方设备包伪装攻击都无法做到无感知截获,用户会收到攻击者的来电,而本发明通过对连接请求的多次验证,对未携带正确密码的第三方设备和黑客的攻击包进行过滤并丢弃,实现用户的无感知体验;本发明的设备验证通过设置TAG节点值,来验证发起连接的设备是否属于第三方设备,通常情况下只允许规定设备进行连接,第三方设备在不知道密码的情况下拒绝接入,现有的技术通常使用user-agent头域来判断设备是否合规,但是由于user-agent头域是不变的,因此黑客可以根据抓包内容模拟获取,对获取值进行修改后发起攻击,而TAG节点值是变化的,不易被破解;本发明的主叫设备在第一次向主叫设备发起连接请求时,连接请求中不携带用于验证的头域,只有检测到对应的设备符合规定以后才生成并携带用于验证的头域,解决了包容易被破解的问题;使用公有密码进行加密鉴权验证,并且定时删除连接请求中的随机值Nonce数据,降低了数据被截取攻击的可能。
附图说明
图1为本发明实施例示出的防止SIP设备被攻击的方法流程示意图;
图2为本发明实施例示出的头域验证流程示意图;
图3为本发明实施例示出的设备验证流程示意图;
图4为本发明实施例示出的身份验证流程示意图;
图5为本发明实施例示出的主叫设备结构框图;
图6为本发明实施例示出的主叫设备的信息生成单元结构框图;
图7为本发明实施例示出的被叫设备结构框图;
图8为本发明实施例示出的被叫设备的设备验证单元结构框图;
图9为本发明实施例示出的被叫设备的信息生成单元结构框图;
图10为本发明实施例示出的被叫设备的身份验证单元结构框图.
具体实施方式
下面结合说明书附图和具体的实施例,对本发明作详细描述。
如图1所示,本实施例提供了一种防止SIP设备被攻击的方法,应用于一种主叫设备和一种被叫设备,具体包括以下步骤:
在主叫设备向被叫设备发送连接请求即INVITE信令之前,主叫设备与被叫设备生成相同的公有密码,公有密码用于主叫设备与被叫设备建立连接过程中的校验判断。
步骤S100、主叫设备向被叫设备发送连接请求。
具体的,本实施例中所述的连接请求为SIP协议中的INVITE信令,INVITE信令包括AUTH头域、TAG节点值、Call_id值和CSEQ值等,Call_ID是通话时每个设备随机生成的ID,TAG节点值由Call_id值计算得出,AUTH头域是按照SIP协议规范生成的头域,包括用户名Username、域值Realm、随机数Nonce、连接地址Uri和加密值Response等参数,Realm是密钥加密时的关键参数,表示当前密钥属于哪个域,Uri为链接地址,作用与Realm类似,Response为AUTH头域的一个参数值,是由公有密码与Nonce通过SHA加密运算生成的一串字符串,SHA为哈希128算法,CSEQ值用于区分一个INVITE信令是新的请求还是老请求的重新上传。
步骤S200、被叫设备对连接请求进行头域验证,校验连接请求中是否携带规定头域,若不携带,进行设备验证,否则进行身份验证。
具体的,本实施例中,所述规定头域为AUTH头域,若连接请求中不携带,进行步骤S300的设备验证,否则进行步骤S400身份验证。头域验证用于验证连接请求中是否存在AUTH头域,如果存在,说明该信令为规定设备通过设备验证流程生成并发送的连接请求,或者是被黑客截获的规定设备发送的连接请求,无需进行设备验证,只需进行身份验证,所述规定设备为出厂即预设有公有密码或后续获得公有密码的设备;如果不存在AUTH头域,则说明可能是规定设备发送的第一次连接请求或者是其他设备,需要进行设备验证。本方法对连接请求进行三次验证,头域验证属于第一次验证,而按照本方法的规定,符合规定的主叫设备第一次发送的连接请求均不携带用于验证的头域,只有检测到对应的设备符合规定以后才生成并携带用于验证的头域,解决了包容易被破解的问题。
步骤S300、被叫设备对连接请求进行设备验证,若通过验证,则被叫设备和主叫设备生成规定信息,主叫设备重新向被叫设备发送连接请求,否则丢弃连接请求。
具体的,设备验证用于验证设备是否属于规定设备,如果通过,说明是规定设备,如果未通过,则说明不是规定设备,本实施例中所述规定信息为随机值Nonce与鉴权请求,所述主叫设备重新向被叫设备发送连接请求后,被叫设备接收连接请求并重新进行头域验证。如图2所示,所述设备验证具体包括以下步骤:
步骤S301、被叫设备对连接请求中头域的Call_id值进行计算。本实施例中所述的被叫设备对连接请求中头域的Call_id值进行的计算为SHA加密运算。
步骤S302、判断计算得出的结果与连接请求中的节点值是否相同若相同,判定连接请求通过验证,否则判定连接请求未通过验证。通过设置对节点值来验证发起连接请求的设备是否属于规定的设备,如果属于则允许进行连接并生成头域,本实施例中的节点值为SIP协议中的TAG节点,现有的技术通常使用user-agent头域来判断设备是否合规,但是由于user-agent头域是不变的,因此黑客可以根据抓包内容模拟获取,对获取值进行修改后发起攻击,而TAG节点为随机数,不断变化,因此不易被破解,提高了连接的安全性。
如图3所示,所述通过设备验证后,被叫设备和主叫设备生成规定信息包括以下步骤:
步骤S311、被叫设备生成随机值与鉴权请求,并将随机值添加到鉴权请求中。
具体的,本实施例中所述鉴权请求为SIP协议中常使用的401鉴权请求,所述随机值为Nonce,被叫设备在生成随机值后将其存储在被叫设备中,被叫设备在经过若干秒后删除自身记录的随机值,本实施例优选设定为5秒,由于信令为明文传输,因此短时间内删除随机值可以避免黑客截取信令进行模拟发送。
步骤S312、被叫设备向主叫设备发送鉴权请求。
步骤S313、主叫设备收到鉴权请求后,对鉴权请求中的随机值Nonce与公有密码进行SHA运算,得出头域的加密值。本实施例中所述公有密码为主叫设备本地存储的公有密码,所述头域为AUTH头域,所述加密值为Response。对公有密码与随机值Nonce进行SHA运算得出加密值Response,由于公有密码仅仅主叫设备和被叫设备拥有,因此加密值Response仅主叫设备和被叫设备可以生成和识别,而随机值Nonce随机生成,即使黑客能够截获加密值Response,但每次连接的Response都不同,因此非正常生成的连接请求中的Response无法建立连接。
步骤S314、主叫设备将头域添加到连接请求中,其中连接请求中头域的Call_id值保持不变,TAG节点值随机生成,并将CSEQ的数值加1,将连接请求发送给被叫设备。
步骤S400、被叫设备对连接请求进行身份验证,若通过验证,则被叫设备与主叫设备建立连接,否则丢弃连接请求,如果丢弃连接请求不进行处理,主叫设备需要经过超时时间才能检测到未建立连接,可以避免主叫设备的频繁呼叫攻击。身份验证用于验证连接请求的真实性,判断连接请求是否是主叫设备发出的信令,还是被非法获取而重新发送的伪信令。
如图4所示,被叫设备对连接请求的身份验证包括以下步骤:
步骤S401、判断连接请求中头域的随机值是否正确,即判断随机值Nonce与之前被叫设备本地记录的值是否相同,若相同,则进入下一步,否则判定验证未通过。
具体的,通过验证随机值Nonce与本地记录的值是否相同,判断连接请求中的随机值Nonce是否是设备验证通过后被叫设备生成的随机值,并且由于随机值在短时间内删除,即使黑客有破解随机值的手段,随机值也很难在短时间内被破解出来,当随机值被破解出之后添加到连接请求中,被叫设备中存储的随机值已被删除,两者无法匹配,降低了数据被截取攻击的风险。
步骤S402、被叫设备将头域中的随机值与存储的公有密码进行SHA运算,判断计算得出的结果与头域中的加密值Response是否相同,若相同,则判定通过验证,否则判定验证未通过。
具体的,通过验证连接请求中头域的加密值Response随机值是否正确,判断该连接请求是否是经过上述设备验证和头域验证流程生成的连接请求,作为本方法的最后的一次验证流程,与前两次流程相结合,如果连接请求未经过设备验证或头域验证中任意一项验证流程,那么连接请求无法通过本次身份验证,提高了本发明的安全性。
如图5所示,一种主叫设备5,包括:密码生成单元51,用于生成与被叫设备相同的公有密码;信息生成单元52,用于生成规定信息;发送单元53,用于向被叫设备发送连接请求;通信单元54,用于与被叫设备建立连接。
如图6所示,主叫设备5的信息生成单元52还包括:第一计算模块521,用于对鉴权请求的随机值与公有密码进行计算,得出头域的加密值;信息填充模块522,用于将带有加密值的头域添加到连接请求中。
如图7所示,一种被叫设备6,包括:密码生成单元61,用于生成与主叫设备相同的公有密码;接收单元62,用于接收主叫设备发送的连接请求;头域验证单元63,用于对连接请求进行头域验证,校验连接请求中是否携带规定头域,若不携带,进入设备验证单元64,否则进入身份验证单元65;设备验证单元64,用于对连接请求进行设备验证,若通过验证,添加规定信息至连接请求中,进入通信单元67,否则丢弃连接请求;信息生成单元65,用于生成被叫设备的规定信息;身份验证单元66,用于被叫设备对连接请求进行身份验证,若通过验证,被叫设备与主叫设备建立连接,否则丢弃连接请求;通信单元67,用于与主叫设备建立连接。
如图8所示,被叫设备的设备验证单元64包括:第二计算模块641,用于对连接请求中的Call_id值进行计算;第一判断模块642,用于判断计算得出的结果与连接请求中的节点值是否相同,若相同,则通过验证,否则未通过验证。
如图9所示,被叫设备的信息生成单元65包括:鉴权请求生成模块651,用于生成随机值与鉴权请求,将随机值添加到鉴权请求中;鉴权请求发送模块652,用于向主叫设备发送鉴权请求。
如图10所示,被叫设备的身份验证单元66包括:第二判断模块661,用于判断连接请求中头域的随机值是否正确,若正确,则进入第三判断模块662,否则未通过验证;第三判断模块662,用于对公有密码和头域的随机值进行计算,判断计算结果与头域中的加密值是否相同,若相同,则通过验证,否则未通过验证。
本发明实施例中所述模块,可以通过通用集成电路,例如CPU(CentralProcessingUnit,中央处理器),或通过ASIC(ApplicationSpecificIntegratedCircuit,专用集成电路)来实现。
下面的实施例为主叫设备与被叫设备正常建立连接的流程:
系统中的主叫设备首先向被叫设备发送INVITE信令,主叫设备第一次发出INVITE信令时,信令中有TAG节点值,但未携带AUTH头域。其中TAG节点值由主叫设备的Call_id头域值经过SHA算法得出,SHA为哈希128算法,被叫设备收到INVITE信令后,验证INVITE信令是否携带了AUTH头域。被叫设备检验到INVITE信令未携带AUTH头域后,验证信令中的TAG节点和Call_id头域值是否符合SHA关系,TAG作为第一道过滤,用于判断设备是否属于规定的设备,在通过第一道过滤后还需要进行头域验证,因此未携带AUTH但TAG节点满足SHA关系的INVITE信令为规定设备发出的信令,此时为第一次验证。
主叫设备的INVITE信令通过了第一次验证,被叫设备向主叫设备回复401鉴权要求,并且随机生成一个Nonce值,本地记录其Nonce值,记录的值会在5S内被删除,被叫设备将携带Nonce值的鉴权要求返回主叫设备。
主叫设备收到被叫设备的401鉴权要求后,将公有密码同401鉴权要求中的Nonce进行SHA计算,得出AUTH头域作为鉴权值,AUTH头域包括用户名Username、Realm、随机数Nonce、Uri和Response,Response是公有密码与Nonce通过SHA运算生成的一串字符串。主叫设备将计算好的AUTH头域添加到INVTIE信令中,Call_id头域保持不变,TAG节点生成随机值,并且将CSEQ设置为当前值加1,重新向被叫设备发送INVITE信令。
被叫设备收到主叫设备的INVITE信令,验证出INVITE信令携带AUTH头域,之后进行SHA校验运算,被叫设备先判断主叫设备的INVITE信令中的AUTH头域中的Nonce是否为记录的值,并且对公有密码和Nonce进行SHA运算,将运算结果和AUTH头域中的Response值进行比较,此时Response与运算结果相同,通过验证,被叫设备与主叫设备建立连接。
下面的实施例为第三方主叫设备与系统被叫设备建立连接的流程:
第三方主叫设备首先向被叫设备发送INVITE信令,主叫设备第一次发出INVITE信令时未携带AUTH头域,被叫设备收到INVITE信令后,验证INVITE信令是否携带了AUTH头域。
被叫设备检验到INVITE信令未携带AUTH头域后,验证信令是否TAG节点和Call_id头域值是否符合SHA关系,在通过第一道过滤后还需要进行401头域验证,因此未携带AUTH且TAG节点不满足SHA关系的INVITE信令为第三方设备发出的信令,被叫设备将信令丢弃不进行处理。
下面的实施例为黑客截获INVITE信令后与被叫设备建立连接的流程:
黑客截取到上一次通话正常的INVITE信令后,作为主叫设备将截取到的INVITE信令发起给被叫设备,被叫设备收到INVITE信令后,验证信令是否携带AUTH头域。
被叫设备检验到信令判断携带AUTH头域,则被叫设备对信令进行身份验证,将头域中的随机值与存储的公有密码进行SHA运算,因为每次通话的Nonce值都不同,并且被叫设备Nonce在短时间或通话结束后丢弃,因此得出的SHA运算结果与头域中的加密值Response不同,判定未通过身份验证,被叫设备将信令丢弃不进行处理,通话未正常建立,用户感知不到黑客的攻击。
以上示意性地对本发明创造及其实施方式进行了描述,该描述没有限制性,在不背离本发明的精神或者基本特征的情况下,能够以其他的具体形式实现本发明。附图中所示的也只是本发明创造的实施方式之一,实际的结构并不局限于此,权利要求中的任何附图标记不应限制所涉及的权利要求。所以,如果本领域的普通技术人员受其启示,在不脱离本创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本专利的保护范围。此外,“包括”一词不排除其他元件或步骤,在元件前的“一个”一词不排除包括“多个”该元件。产品权利要求中陈述的多个元件也可以由一个元件通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。

Claims (9)

1.一种防止SIP设备被攻击的方法,其特征在于,包括以下步骤:
主叫设备与被叫设备生成相同的公有密码,主叫设备向被叫设备发送连接请求;连接请求为SIP协议中的INVITE信令,INVITE信令包括AUTH头域、TAG节点值、Call_id值和CSEQ值;
被叫设备对连接请求进行头域验证,校验连接请求中是否携带规定头域,若不携带,进行设备验证,否则进行身份验证;
被叫设备对连接请求进行设备验证,若通过验证,则被叫设备和主叫设备生成规定信息,主叫设备重新向被叫设备发送连接请求,否则丢弃连接请求;被叫设备对连接请求进行设备验证包括以下步骤:
被叫设备对连接请求中的Call_id值进行计算;
判断计算得出的结果与连接请求中的节点值是否相同,若相同,则通过验证,否则未通过验证;
被叫设备对连接请求进行身份验证,若通过验证,则被叫设备与主叫设备建立连接,否则丢弃连接请求。
2.根据权利要求1所述的一种防止SIP设备被攻击的方法,其特征在于,被叫设备和主叫设备生成规定信息包括以下步骤:
被叫设备生成随机值与鉴权请求,并将随机值添加到鉴权请求中;
被叫设备向主叫设备发送鉴权请求;
主叫设备对鉴权请求中的随机值与公有密码进行计算,得出头域的加密值;
主叫设备将带有加密值的头域添加到连接请求中。
3.根据权利要求1或2所述的一种防止SIP设备被攻击的方法,其特征在于,被叫设备对连接请求进行身份验证包括以下步骤:
判断连接请求中头域的随机值是否正确,若正确,则进行下一步,否则判定未通过验证;
对公有密码和头域的随机值进行计算,判断计算结果与头域中的加密值是否相同,若相同,则通过验证,否则未通过验证。
4.一种采用权利要求1-3任一所述的防止SIP设备被攻击的方法的主叫设备,其特征在于,包括:
密码生成单元,用于生成与被叫设备相同的公有密码;
信息生成单元,用于生成规定信息;
发送单元,用于向被叫设备发送连接请求;连接请求为SIP协议中的INVITE信令,INVITE信令包括AUTH头域、TAG节点值、Call_id值和CSEQ值;
通信单元,用于与被叫设备建立连接。
5.根据权利要求4所述的一种主叫设备,其特征在于,所述信息生成单元包括:
第一计算模块,用于对鉴权请求的随机值与公有密码进行计算,得出头域的加密值;
信息填充模块,用于将带有加密值的头域添加到连接请求中。
6.一种被叫设备,其特征在于,包括:
密码生成单元,用于生成与主叫设备相同的公有密码;
接收单元,用于接收主叫设备发送的连接请求;
头域验证单元,用于对连接请求进行头域验证,校验连接请求中是否携带规定头域,若不携带,进入设备验证单元,否则进入身份验证单元;
设备验证单元,用于对连接请求进行设备验证,被叫设备对连接请求中的Call_id值进行计算;判断计算得出的结果与连接请求中的节点值是否相同,若相同,则通过验证,否则未通过验证;若通过验证,添加规定信息至连接请求中,进入通信单元,否则丢弃连接请求;
信息生成单元,用于生成规定信息;
身份验证单元,用于被叫设备对连接请求进行身份验证,若通过验证,被叫设备与主叫设备建立连接,否则丢弃连接请求;
通信单元,用于与主叫设备建立连接。
7.根据权利要求6所述的一种被叫设备,其特征在于,所述设备验证单元包括:
第二计算模块,用于对连接请求中的Call_id值进行计算;
第一判断模块,用于判断计算得出的结果与连接请求中的节点值是否相同,若相同,则通过验证,否则未通过验证。
8.根据权利要求6所述的一种被叫设备,其特征在于,所述信息生成单元包括:
鉴权请求生成模块,用于生成随机值与鉴权请求,将随机值添加到鉴权请求中;
鉴权请求发送模块,用于向主叫设备发送鉴权请求。
9.根据权利要求6所述的一种被叫设备,其特征在于,所述身份验证单元包括:
第二判断模块,用于判断连接请求中头域的随机值是否正确,若正确,则进入第三判断模块,否则未通过验证;
第三判断模块,用于对公有密码和头域的随机值进行计算,判断计算结果与头域中的加密值是否相同,若相同,则通过验证,否则未通过验证。
CN202010379911.5A 2020-05-08 2020-05-08 一种防止sip设备被攻击的方法、主叫设备及被叫设备 Active CN111770048B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202010379911.5A CN111770048B (zh) 2020-05-08 2020-05-08 一种防止sip设备被攻击的方法、主叫设备及被叫设备
EP21169146.4A EP3907967A1 (en) 2020-05-08 2021-04-19 Method for preventing sip device from being attacked, calling device, and called device
US17/307,806 US11399092B2 (en) 2020-05-08 2021-05-04 Method for preventing sip device from being attacked, calling device, and called device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010379911.5A CN111770048B (zh) 2020-05-08 2020-05-08 一种防止sip设备被攻击的方法、主叫设备及被叫设备

Publications (2)

Publication Number Publication Date
CN111770048A CN111770048A (zh) 2020-10-13
CN111770048B true CN111770048B (zh) 2023-04-07

Family

ID=72719265

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010379911.5A Active CN111770048B (zh) 2020-05-08 2020-05-08 一种防止sip设备被攻击的方法、主叫设备及被叫设备

Country Status (3)

Country Link
US (1) US11399092B2 (zh)
EP (1) EP3907967A1 (zh)
CN (1) CN111770048B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1474586A (zh) * 2002-08-07 2004-02-11 华为技术有限公司 Ip多媒体域用户呼叫的快速摘要认证方法
CN1881870A (zh) * 2005-11-18 2006-12-20 华为技术有限公司 一种设备间安全通信的方法
CN101997676A (zh) * 2009-08-28 2011-03-30 中国移动通信集团公司 VoIP语音加密保护方法、节点及系统

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6105133A (en) * 1997-03-10 2000-08-15 The Pacid Group Bilateral authentication and encryption system
US7240366B2 (en) * 2002-05-17 2007-07-03 Microsoft Corporation End-to-end authentication of session initiation protocol messages using certificates
US9473529B2 (en) * 2006-11-08 2016-10-18 Verizon Patent And Licensing Inc. Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering
KR20100011182A (ko) * 2008-07-24 2010-02-03 한양대학교 산학협력단 세션 개시 프로토콜의 사용자 인증 기법에서 암호 추측공격 방지를 위한 인증 방법
US8601146B2 (en) * 2009-10-21 2013-12-03 Tekelec, Inc. Methods, systems, and computer readable media for session initiation protocol (SIP) identity verification
CN101729871B (zh) 2009-12-24 2011-10-26 公安部第一研究所 一种sip视频监控系统安全跨域访问方法
US8363572B2 (en) * 2010-04-19 2013-01-29 Ipc Systems, Inc. Session initiation protocol extensions for call control and resource status monitoring in turrets and turret switching systems
US8364828B2 (en) * 2010-07-16 2013-01-29 Telefonaktiebolaget Lm Ericsson (Publ) SIP-based call session server and message-routing method
US8984627B2 (en) * 2010-12-30 2015-03-17 Verizon Patent And Licensing Inc. Network security management
CN103166931A (zh) * 2011-12-15 2013-06-19 华为技术有限公司 一种安全传输数据方法,装置和系统
FR3081655A1 (fr) * 2018-06-13 2019-11-29 Orange Procede de traitement de messages par un dispositif d'un reseau de voix sur ip
US11063990B2 (en) * 2018-08-13 2021-07-13 T-Mobile Usa, Inc. Originating caller verification via insertion of an attestation parameter
US11133938B2 (en) * 2019-04-17 2021-09-28 Verizon Patent And Licensing Inc. Validating and securing caller identification to prevent identity spoofing
US11496307B2 (en) * 2020-09-21 2022-11-08 Ribbon Communications Operating Company, Inc. Methods and apparatus for adding and/or providing stir/shaken diversion information

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1474586A (zh) * 2002-08-07 2004-02-11 华为技术有限公司 Ip多媒体域用户呼叫的快速摘要认证方法
CN1881870A (zh) * 2005-11-18 2006-12-20 华为技术有限公司 一种设备间安全通信的方法
CN101997676A (zh) * 2009-08-28 2011-03-30 中国移动通信集团公司 VoIP语音加密保护方法、节点及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《一种基于SIP下VoIP身份认证技术的解决方案》;万勇兵;《江西师范大学学报》;20080430;全文 *

Also Published As

Publication number Publication date
EP3907967A1 (en) 2021-11-10
US20210352174A1 (en) 2021-11-11
CN111770048A (zh) 2020-10-13
US11399092B2 (en) 2022-07-26

Similar Documents

Publication Publication Date Title
US8214649B2 (en) System and method for secure communications between at least one user device and a network entity
TWI468002B (zh) 認證之方法及系統
US7908480B2 (en) Authenticating an endpoint using a STUN server
US8108677B2 (en) Method and apparatus for authentication of session packets for resource and admission control functions (RACF)
US6892308B1 (en) Internet protocol telephony security architecture
CN111371797B (zh) 一种通信会话中可信身份认证方法及系统
CN110933078B (zh) 一种h5未登录用户会话跟踪方法
US10148636B2 (en) Authentication methods and apparatus
US9300681B2 (en) Method for prefix reachability in a communication system
WO2007098660A1 (fr) Procédé et système d'authentification d'entités de réseau dans un sous-système multimédia
WO2011041962A1 (zh) 一种支持合法监听的端到端会话密钥协商方法和系统
US8406223B2 (en) Mechanism for protecting H.323 networks for call set-up functions
CN1633072A (zh) 一种支持弱口令的双服务器认证方案
CN115955320B (zh) 一种视频会议身份认证方法
CN111770048B (zh) 一种防止sip设备被攻击的方法、主叫设备及被叫设备
CN1881870A (zh) 一种设备间安全通信的方法
JP4065850B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
CN108270747B (zh) 一种认证方法及装置
CN115277089A (zh) 一种引入otp动态选择端口的单包授权方法及系统
CN111970270B (zh) 基于环上带误差学习问题的sip安全认证方法及系统
CN111163465B (zh) 连接用户终端与本地终端的方法、装置以及呼叫中心系统
Vrakas et al. Evaluating the security and privacy protection level of IP multimedia subsystem environments
CN110740129A (zh) 一种基于端到端认证的电话网通信防护方法
CN114050906B (zh) Sip语音业务的鉴权系统、方法、安全管理网元和客户端
CN111641508A (zh) 一种基于开放网络安全通信的身份认证系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant