CN114050906B - Sip语音业务的鉴权系统、方法、安全管理网元和客户端 - Google Patents
Sip语音业务的鉴权系统、方法、安全管理网元和客户端 Download PDFInfo
- Publication number
- CN114050906B CN114050906B CN202010711972.7A CN202010711972A CN114050906B CN 114050906 B CN114050906 B CN 114050906B CN 202010711972 A CN202010711972 A CN 202010711972A CN 114050906 B CN114050906 B CN 114050906B
- Authority
- CN
- China
- Prior art keywords
- sip
- authentication
- account
- network element
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004891 communication Methods 0.000 claims abstract description 56
- 230000004044 response Effects 0.000 claims abstract description 30
- 230000000977 initiatory effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 238000004590 computer program Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- CNQCVBJFEGMYDW-UHFFFAOYSA-N lawrencium atom Chemical compound [Lr] CNQCVBJFEGMYDW-UHFFFAOYSA-N 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1059—End-user terminal functionalities specially adapted for real-time communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1063—Application servers providing network services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及SIP语音业务的鉴权系统、方法、安全管理网元和客户端。鉴权系统包括:客户端,包括:应用模块,获取注册账号密码,将注册请求信息发送给SIP接入鉴权模块;SIP接入鉴权模块,响应于注册请求信息发送给SIP账号安全管理网元,响应于SIP账户配置信息将其发送给SIP协议通信模块;SIP协议通信模块,响应于接收到SIP注册信发送SIP注册请求;SIP账号安全管理网元,响应于接收到注册请求信息进行鉴权,若鉴权通过则将SIP账户配置信息发送给SIP接入鉴权模块且开始计时,响应于查询请求,判断是否在规定时间内进行了鉴权,在为否时返回失败;在为是时返回成功;IMS系统,包括:应用服务器,响应于SIP注册请求向SIP账号安全管理网元发送查询请求判断是否允许注册。
Description
技术领域
本发明涉及基于IMS的SIP语音账号注册安全技术,特别地涉及SIP语音业务的鉴权系统、方法、安全管理网元和客户端。
背景技术
随着全光互联网网络时代的到来,软交换的退网,运营商的语音业务都通过IMS系统(IP Multimedia Subsystem,IP多媒体子系统)来承载。随着语音识别技术在相关行业的广泛应用,智能语音应用需求广泛,应用集中在车载、家居、可穿戴设备等智能硬件产品,协助相关行业提升工作效率和品牌质量的视频客服、视频协理类应用等。这些语音创新应用大部分需要通过互联网接入IMS系统实现。
发明内容
然而,运营商的语音业务通过互联网接入IMS系统存在的最大问题就是安全问题,包括SIP(Session Initiation Protocol,会话发起协议)账号注册的安全问题、SBC(Session Border Controller,会话边界控制器)接入攻击问题等。各类集成SIP协议应用的软硬终端通过SBC接入IMS时需要SIP账号、密码、SBC的接入IP地址。在日常使用过程中,如果SIP账号和密码被泄露,或者SIP协议注册过程中被抓包截取账号和密码,都会出现对应的SIP语音账号被盗打的问题,导致对应语音号码的话费流失。
除此之外,IMS-SBC的互联网接入IP地址暴露在公网,给某些黑客通过尝试注册获取SIP账号密码提供了机会,同时还存在恶意注册请求或不合规注册请求攻击的可能,从而影响了通过SBC接入的合法语音业务的正常使用。
本发明是鉴于以上的问题而完成的,其目的之一在于提供了一种能够解决SIP语音业务通过互联网接入所带来的语音账号密码泄露或语音账号的密码通过尝试注册方式获取等安全性问题的SIP语音账号注册的双重鉴权流程、用户接入网络的多维度鉴权方式、起呼流程按需授权的技术方案。
在下文中给出了关于本发明的简要概述,以便提供关于本发明的一些方面的基本理解。但是,应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图用来确定本发明的关键性部分或重要部分,也不是意图用来限定本发明的范围。其目的仅仅是以简化的形式给出关于本发明的某些概念,以此作为稍后给出的更详细描述的前序。
根据本发明的一个方面,提供了一种SIP语音业务的鉴权系统,包括:至少一个客户端,包括:至少一个应用模块,获取用户输入的注册账号和密码,并将注册请求信息发送给SIP接入鉴权模块,所述注册请求信息包括接收到的所述注册账号、所述密码以及应用模块的标识信息,所述标识信息用于识别所述应用模块;所述SIP接入鉴权模块,响应于接收到的注册请求信息将所述注册请求信息发送给SIP账号安全管理网元,响应于接收到来自所述SIP账号安全管理网元的SIP账户配置信息将所述SIP账户配置信息发送给SIP协议通信模块;以及所述SIP协议通信模块,响应于接收到来自所述SIP接入鉴权模块的所述SIP账户配置信息,基于所述SIP账户配置信息向IMS系统发送SIP注册请求;所述SIP账号安全管理网元,响应于接收到来自所述SIP接入鉴权模块的所述注册请求信息,根据所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时,响应于来自于应用服务器的查询请求,针对所述SIP账户配置信息判断是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向所述应用服务器返回成功作为查询结果;以及所述IMS系统,包括:所述应用服务器,响应于来自所述SIP协议通信模块的所述SIP注册请求向所述SIP账号安全管理网元发送查询请求,根据来自所述SIP账号安全管理网元的所述查询结果以及所述SIP账户配置信息来判断是否允许注册。
根据本发明的另一方面,提供了一种SIP语音业务的鉴权系统的鉴权方法,所述鉴权系统包括至少一个客户端、SIP账号安全管理网元以及IMS系统,所述客户端包括至少一个应用模块、SIP接入鉴权模块以及SIP协议通信模块,所述IMS系统包括应用服务器,所述鉴权方法包括以下步骤:所述至少一个应用模块获取用户输入的注册账号和密码,并将注册请求信息发送给所述SIP接入鉴权模块,所述注册请求信息包括接收到的所述注册账号、所述密码以及应用模块的标识信息,所述标识信息用于识别所述应用模块;所述SIP接入鉴权模块响应于接收到的注册请求信息将所述注册请求信息发送给所述SIP账号安全管理网元;所述SIP账号安全管理网元响应于接收到来自所述SIP接入鉴权模块的所述注册请求信息,根据所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将所述注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时;所述SIP接入鉴权模块响应于接收到来自SIP账号安全管理网元的SIP账户配置信息将所述SIP账户配置信息发送给所述SIP协议通信模块;所述SIP协议通信模块响应于接收到来自所述SIP接入鉴权模块的所述SIP账户配置信息,基于所述SIP账户配置信息向IMS系统发送SIP注册请求;所述IMS系统的应用服务器响应于来自所述SIP协议通信模块的SIP注册请求向所述SIP账号安全管理网元发送查询请求;所述SIP账号安全管理网元响应于来自于应用服务器的查询请求,针对所述SIP账户配置信息判定是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向应用服务器返成功作为查询结果;以及所述IMS系统的所述应用服务器根据来自所述SIP账号安全管理网元的查询结果以及所述SIP账户配置信息来判断是否允许注册。
根据本发明的一个方面,提供了一种SIP账号安全管理网元,包括于SIP语音业务的鉴权系统,所述鉴权系统还包括至少一个客户端以及IMS系统,所述客户端包括至少一个应用模块、SIP接入鉴权模块以及SIP协议通信模块,所述IMS系统包括应用服务器,所述SIP账号安全管理网元被配置成:响应于接收到来自所述SIP接入鉴权模块的所述注册请求信息,对所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将所述注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时;以及响应于来自于所述应用服务器的查询请求,针对所述SIP账户配置信息判定是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向所述应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向所述应用服务器返成功作为查询结果。
根据本发明的一个方面,提供了一种SIP账号安全管理网元的鉴权方法,该SIP账号安全管理网元包括于SIP语音业务的鉴权系统,所述鉴权系统还包括至少一个客户端以及IP多媒体子系统即IMS系统,所述客户端包括至少一个应用模块、SIP接入鉴权模块以及SIP协议通信模块,所述IMS系统包括应用服务器,所述SIP账号安全管理网元的鉴权方法包括:响应于接收到来自所述SIP接入鉴权模块的注册请求信息,对所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将所述注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时;以及响应于来自于所述应用服务器的查询请求,针对所述SIP账户配置信息判定是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向所述应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向所述应用服务器返成功作为查询结果。
根据本发明的一个方面,提供了一种SIP账号安全管理网元,包括:一个或多个处理器;以及存储器,其上存储有计算机可执行指令,所述计算机可执行指令在由所述一个或多个处理器执行时使得所述一个或多个处理器执行SIP账号安全管理网元的鉴权方法。
根据本发明的一个方面,提供了一种客户端,包括于SIP语音业务的鉴权系统,所述鉴权系统还包括SIP账号安全管理网元以及IMS系统,所述IMS系统包括应用服务器,所述客户端包括:至少一个应用模块,获取用户输入的注册账号和密码,并将注册请求信息发送给SIP接入鉴权模块,所述注册请求信息包括接收到的所述注册账号、所述密码以及应用模块的标识信息,所述标识信息用于识别所述应用模块;所述SIP接入鉴权模块,响应于接收到的注册请求信息将所述注册请求信息发送给所述SIP账号安全管理网元,响应于接收到来自所述SIP账号安全管理网元的SIP账户配置信息将所述SIP账户配置信息发送给SIP协议通信模块;以及所述SIP协议通信模块,响应于接收到来自所述SIP接入鉴权模块的所述SIP账户配置信息,基于所述SIP账户配置信息向所述IMS系统的所述应用服务器发送SIP注册请求。
根据本发明的一个或多个实施例,通过设计IMS体系外的SIP注册二次鉴权流程、多维度鉴权方式、呼叫请求授权的方法和流程,能够有效解决通过互联网环境接入时因SIP账号、密码泄露或恶意SIP尝试注册或非正常行为呼叫而引发的系列安全性问题。此外,本发明除了能够实现基于账号的接入鉴权外,还可结合客户端ID、MAC、接入IP地址等特征参数实现多维度的融合鉴权,大大提升SIP账号通过互联网环境接入IMS使用的安全性,由此能够拓展更多的通过互联网接入的IMS SIP智能语音创新应用。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。参照附图,根据下面的详细描述,可以更清楚地理解本发明,其中:
图1是示出了根据本发明一个实施例的SIP语音业务的鉴权系统的框图。
图2是示出了根据本发明一个实施例的SIP语音业务的鉴权系统的鉴权方法的流程图。
图3是示出了根据本发明一个实施例的SIP语音业务的鉴权系统的鉴权方法的流程图。
图4是示出了根据本发明一个实施例的SIP语音业务的鉴权系统的框图
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1是示出了根据本发明一个实施例的SIP语音业务的鉴权系统1的框图。
如图1所示,SIP语音业务的鉴权系统1包括IMS系统100、SIP账号安全管理网元200以及至少一个客户端300。
作为SIP协议应用终端的客户端300包括应用模块301、SIP接入鉴权模块302以及SIP协议通信模块303。
应用模块301可以包括多个应用模块301-1、301-2、…301-N,其中N是自然数。以下,关于多个应用模块301-1、301-2、…301-N的每一个的动作,以应用模块301-1为例进行说明。
在用户准备开始使用语音业务并通过界面输入用户的注册账号和密码时,应用模块301-1获得用户输入的注册账号和密码,并将注册请求信息发送给SIP接入鉴权模块302,注册请求信息包括接收到的注册账号、密码以及应用模块301-1的标识信息,该标识信息用于识别应用模块301-1以区分不同的应用模块301-1、301-2、…301-N。此处的用户的注册账号和密码是针对某个应用模块的应用层上的账号和密码。
SIP接入鉴权模块302响应于接收到的来自应用模块301-1的注册请求信息将注册请求信息发送给SIP账号安全管理网元200。此外,SIP接入鉴权模块302还响应于接收到来自SIP账号安全管理网元200的SIP账户配置信息将SIP账户配置信息发送给SIP协议通信模块303。在一个实施例中,SIP接入鉴权模块302优选通过插件的方式实现。
SIP协议通信模块303响应于接收到来自SIP接入鉴权模块302的SIP账户配置信息,基于该SIP账户配置信息向IMS系统100发送SIP注册请求。
SIP账号安全管理网元200响应于接收到来自SIP接入鉴权模块302的注册请求信息,根据该注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则SIP账号安全管理网元200将注册账号所对应的SIP账户配置信息发送给SIP接入鉴权模块302且针对该SIP账户配置信息开始计时。在一个实施例中该计时在经过了规定时间后复位。此外,SIP账号安全管理网元200还响应于来自于应用服务器101的查询请求,针对SIP账户配置信息判定是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向应用服务器101返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向应用服务器101返成功作为查询结果。在一个实施例中,规定的时间例如可以是2至5秒中的任意时间,规定的时间可以根据需要适当地设定。在一个实施例中,SIP账号安全管理网元200可以被配置成包括一个或多个处理器以及存储器,在存储器上存储有计算机可执行指令。
IMS系统100包括应用服务器101。服务器101响应于来自SIP协议通信模块SIP 303的注册请求向SIP账号安全管理网元200发送查询请求。此外,服务器101根据来自SIP账号安全管理网元200的查询结果以及SIP账户配置信息来判断是否允许注册。例如,在一个实施例中,在来自SIP账号安全管理网元200的查询结果为成功且SIP账户配置信息所包含的SIP账号和SIP密码匹配的情况下,允许客户端300注册,否则拒绝客户端300的注册。
此外,在图1中还示出了IMS系统100中的其它网元,例如MMTEL服务器102、HSS网元103以及I/S/C-CSCF网元等。这些模块是IMS框架下的标准网元,在此对其功能以及控制不再赘述。
根据本发明的实施例,通过提供SIP接入鉴权模块302以与应用模块301进行交互,能够实现应用模块特征参数与对应的IMS系统SIP账号、密码和SBC网元接入IP地址参数的分离,无需向第三方提供SIP账号和密码以及SBC的接入IP地址等关键信息,从而保障了系统的安全性和可靠性。
在一个实施例中,SIP账户配置信息仅包括SIP账号和SIP密码,SIP账号安全管理网元200存储有表单,该表单记录了各SIP账号密码以及对应的SBC的接入IP地址,客户端300的SIP协议通信模块303将SIP账户配置信息发送给SIP账号安全管理网元200,SIP账号安全管理网元200根据SIP账户配置信息查找对应的SBC的接入IP地址并将SIP注册请求经由该IP地址的SBC 105发送到应用服务器101。在该实施例中,通过SIP账号安全管理网元实现SIP账号接入IMS系统的SIP信令层代理,SBC 105的IP地址并不会被客户端300知晓,结合注册/呼叫频次、接入IP地址、接入鉴权行为等情况综合逻辑判断,对一些SIP账号注册、呼叫的异常行为进行拦截管控,避免了SBC的接入IP地址暴露在公网而导致带来的黑客通过尝试注册获取SIP账号、密码的风险,同时还避免了恶意注册请求或不合规注册请求攻击的可能,从而提高了SBC接入合法语音业务的可靠性和安全性。
在另一个实施例中,SIP账户配置信息包括SIP账号、SIP密码以及SBC的接入IP地址,客户端300的SIP协议通信模块303将SIP账户配置信息发送给SIP账号安全管理网元200,SIP账号安全管理网元200经由与SIP账户配置信息所包含的SBC 105的IP地址对应的SBC 105将SIP注册请求发送到应用服务器101。
在一个实施例中,SIP账号安全管理网元200通过从预先存储的许可表单中查找是否存在与注册请求信息所包含的注册账号、密码以及标识信息一致的组合来进行鉴权。在一个实施例中注册请求信息还包括客户端300的客户端ID、MAC地址、IP地址中的至少一个,此时许可表单也包括预先设置的对应的项目(即客户端ID、MAC地址、IP地址中的至少一个),在从许可表单中查找到与注册请求信息中包括的各项目一致的组合的情况下判定为鉴权成功,在不存在的情况下,判断为鉴权失败。在一个实施例中,还可以结合上报的客户端ID或MAC地址,实现客户端300与SIP账号捆绑应用的鉴权,将指定的SIP账号限定在某个客户端上使用,实现客户端与SIP账号的一一绑定。在另一个实施例中,还可依据客户端300的IP接入地址,依据实际的业务应用场景,对指定用户注册账号授权使用的区域进行管控、鉴权,或者依据客户的不同物理位置分配对应区域的SIP账号。根据本实施例,由于在注册请求信息中包括了客户端ID、MAC地址和/或IP地址等信息,所以能够更加灵活地结合应用需求,对客户端ID、客户端接入物理位置(接入IP地址)结合用户注册账号联合进行鉴权,实现客户端与SIP账号的捆绑使用,或授权区域使用。
在一个实施例中,客户端300在完成注册之后发起语音呼叫请求时,SIP协议通信模块303将SIP呼叫请求发送给应用服务器101,应用服务器101响应于来自SIP协议通信模块303的SIP呼叫请求向SIP账号安全管理网元200发送查询请求,而后,应用服务器101根据来自SIP账号安全管理网元200的查询结果以及SIP呼叫请求来判断是否允许呼叫。在一个实施例中,当自SIP账号安全管理网元200的查询结果表明在规定的时间内(例如2至5秒等任意合适的时间)进行了鉴权且SIP账号及密码正确的情况下,应用服务器101判断为允许客户端301-1呼叫,并由IMS系统的其他网元(例如HSS网元103、I/S/C-CSCF网元104等)协同完成客户端301-1的呼叫处理。
在一个实施例中,SIP账号安全管理网元200包括一个或多个处理器以及存储器,在存储器上存储有计算机可执行指令,该计算机可执行指令在由一个或多个处理器执行时使得一个或多个处理器实现以上所述SIP账号安全管理网元200执行的功能。
图2是示出了根据本发明一个实施例的SIP语音业务的鉴权系统1的鉴权方法的流程图。
在步骤S201中至少一个应用模块、例如应用模块301-1获取用户输入的注册账号和密码,并将注册请求信息发送给SIP接入鉴权模块302,注册请求信息包括应用模块301-1接收到的注册账号、密码以及应用模块301-1的标识信息,该标识信息用于识别该应用模块以区别于其他应用模块301-2、……301-N。
接着,在步骤S202中SIP接入鉴权模块302响应于接收到的注册请求信息将注册请求信息发送给SIP账号安全管理网元200。
接着,在步骤S203中,SIP账号安全管理网元200响应于接收到来自SIP接入鉴权模块302的注册请求信息,根据注册请求信息所包含的注册账号、密码以及标识信息进行鉴权判断鉴权是否通过(该鉴权过程在以下称为注册鉴权或者一次鉴权)。如果鉴权失败(步骤S203中的“不通过”)则在步骤S211中拒绝接入;如果鉴权通过(步骤S203中的“通过”)则SIP账号安全管理网元200将注册账号所对应的SIP账户配置信息发送给SIP接入鉴权模块302且针对该SIP账户配置信息开始计时。
接着在步骤S204中SIP接入鉴权模块302响应于接收到来自SIP账号安全管理网元200的SIP账户配置信息将SIP账户配置信息发送给SIP协议通信模块303。
接着,在步骤S205中,SIP协议通信模块303响应于接收到来自SIP接入鉴权模块302的SIP账户配置信息,基于SIP账户配置信息向IMS系统100发送SIP注册请求。
接着,在步骤S206中,IMS系统100的应用服务器101响应于来自SIP协议通信模块303的SIP注册请求向SIP账号安全管理网元200发送查询请求。
在步骤S207中,SIP账号安全管理网元200响应于来自于应用服务器101的查询请求,针对SIP账户配置信息判定是否在规定的时间内进行了鉴权。在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下(即步骤S207中的“否”),向应用服务器101返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下(即步骤S207中“是”),向应用服务器101返成功作为查询结果。此处,规定的时间可以根据系统需要以及安全等级来设置,例如可以为2秒、3秒、5秒等时间。
IMS系统100的应用服务器101根据来自SIP账号安全管理网元200的查询结果以及SIP账户配置信息来判断是否允许注册(该鉴权过程在以下有时称为反向鉴权或二次鉴权)。在步骤S207中返回失败的情况下,应用服务器101拒绝客户端301-1的注册请求(步骤S209);在步骤S207中返回成功的情况下,应用服务器101允许客户端301-1注册,并完成后续注册处理(步骤S208)。接下来,客户端301-1完成SIP账号注册(步骤S210)。
在一个实施例中,SIP账户配置信息仅包括SIP账号和SIP密码,SIP账号安全管理网元200存储有记录了各SIP账号密码以及对应的SBC的接入IP地址的表单,步骤S205还包括如下步骤:客户端301-1的SIP协议通信模块303将SIP账户配置信息发送给SIP账号安全管理网元200,SIP账号安全管理网元200根据SIP账户配置信息查找对应的SBC的接入IP地址并将SIP注册请求经由该IP地址的SBC发送到应用服务器101。在该实施例中,通过SIP账号安全管理网元实现SIP账号接入IMS系统的SIP信令层代理,SBC 105的IP地址并不会被客户端知晓,结合注册/呼叫频次、接入IP地址、接入鉴权行为等情况综合逻辑判断,对一些SIP账号注册、呼叫的异常行为进行拦截管控,避免了SBC的接入IP地址暴露在公网而导致带来的黑客通过尝试注册获取SIP账号、密码的风险,同时还避免了恶意注册请求或不合规注册请求攻击的可能,从而提高了SBC接入合法语音业务的可靠性和安全性。
在另一个实施例中,SIP账户配置信息包括SIP账号、SIP密码以及SBC的接入IP地址,步骤S205还包括如下步骤:客户端300的SIP协议通信模块303将SIP账户配置信息发送给SIP账号安全管理网元200,SIP账号安全管理网元200经由与SIP账户配置信息所包含的SBC 105的IP地址对应的SBC 105将SIP注册请求发送到应用服务器101。
图3示出了根据本发明一个实施例的SIP语音业务的鉴权系统1的鉴权方法的流程图。在图3中示出了在客户端完成SIP账号注册后进行语音呼叫的流程图。对于与图2中的步骤S201至S210相同的部分,省略其说明。
在该实施例中,客户端300在完成注册(即步骤S210)之后由应用模块301-1发起语音呼叫请求时,SIP协议通信模块303将SIP呼叫请求发送给应用服务器101(步骤S212)。接着,应用服务器101响应于来自SIP协议通信模块303的SIP呼叫请求向SIP账号安全管理网元200发送查询请求(步骤S213)。而后,应用服务器101根据来自SIP账号安全管理网元200的查询结果以及SIP呼叫请求来判断是否允许呼叫(步骤S214)。在一个实施例中,当自SIP账号安全管理网元200的查询结果表明在规定的时间内进行了鉴权且SIP账号及密码正确(步骤S214中的“是”)的情况下,应用服务器101判断为允许客户端301-1呼叫,并由IMS系统的其他网元(例如HSS网元103、I/S/C-CSCF网元104等)协同完成客户端301-1的呼叫处理(步骤S215)。在步骤S214中判断为“否”的情况下,拒接客户端301-1的呼叫请求(步骤S211)。此处,规定的时间可以根据系统需要和安全等级等因素来适当地选择,例如可以为2秒、3秒、5秒等时间。
根据本发明的实施例的系统和/或方法,通过提供SIP接入鉴权模块302以与应用模块301进行交互,能够实现应用模块特征参数与对应的IMS系统SIP账号、密码和SBC网元接入IP地址参数的分离,无需向第三方提供SIP账号、密码和SBC的接入IP地址等关键信息,从而保障了系统的安全性和可靠性。
此外,通过引入SIP账号安全管理网元,实现IMS的SBC网元与客户端互通的信令隔离,管控、授权应用模块的接入和呼叫行为,SIP账号安全管理网元当SIP账号注册鉴权时与应用服务器101在体系外交互,能够有效阻止SIP账号被盗用后常规注册。
此外,本发明的注册流程拓展性强,提供了多维度的鉴权方式,除了账号鉴权外,还可提供客户段ID、MAC地址和/或接入IP地址等方面的多维度的鉴权,适用于通过互联网接入的各类SIP软终端或硬终端,能够有助于开发更多、更丰富的基于SIP呼叫应用。
<应用例>
图4是示出了根据本发明一个实施例的SIP语音业务的鉴权系统2的框图。下面结合图4来更详细地描述鉴权系统2的工作过程,其中,对于与图1的图中相同或者相应的模块或者结构,附加了相同的附图标记,省略了重复的说明。
如图4所示,SIP语音业务的鉴权系统2包括IMS系统100、SIP账号安全管理网元200以及多个客户端300。图4中示出了至少两个客户端300和300’,客户端的数量可以根据网络和用户的需要适当地选择。
(1)客户端
客户端300包括应用模块301、SIP接入鉴权插件模块302以及SIP协议通信模块303。客户端300’包括应用模块301’、SIP接入鉴权插件模块302以及SIP协议通信模块303。
应用模块301可以包括多个应用模块301-1、301-2、……301-N,应用模块301’可以包括多个应用模块301-1’、301-2’、……301-M’,其中M、N是自然数。以下,关于多个应用模块301-1、301-2、……301-N的每一个的动作,以应用模块301-1为例进行说明。
SIP账号接入鉴权插件模块302实现与作为SIP协议应用终端的客户端300中的应用模块301交互,获取应用层输出的用户注册账号和密码。同时SIP账号接入鉴权插件模块302还可实现用户拨号号码规则的规整。此外,SIP账号接入鉴权插件模块302实现与SIP账号安全管理网元200的交互以完成用户注册账号的鉴权,从SIP账号安全管理网元200获取关联的SIP账号、密码、SBC的接入IP地址。此外,SIP账号接入鉴权插件模块302实现与客户端300中的SIP协议通信模块303的交互,将该客户端授权使用的SIP账号和密码发送给SIP协议通信模块303。在一个实施例中,还将该客户端授权使用SBC的接入IP地址发送给SIP协议通信模块303。此外,SIP账号接入鉴权插件模块302还获取客户端的MAC地址、IP地址等信息,并与SIP账号安全管理网元交互200,按需要实现客户端和账号捆绑使用。
(2)SIP账号安全管理网元
SIP账号安全管理网元200可以采用但不限于常规的HTTP协议与客户端300的SIP账号接入鉴权插件模块302进行交互,完成用户注册账号或客户端300的一次鉴权,向客户端300的SIP账号接入鉴权插件模块302下发由IMS系统授权使用的SIP账号、密码,在一个实施例中还向SIP账号接入鉴权插件模块302下发SBC的接入IP地址。
SIP账号安全管理网元200采用标准的SIP协议与IMS应用服务器101的交互,从而由实现客户端300的SIP协议通信模块303采用标准SIP协议经由SIP账号安全管理网元200向IMS系统101发起注册请求。
此外,SIP账号安全管理网元200采用标准的SIP协议与SBC(会话边界控制器)交互,从而作为客户端300接入IMS网络的SIP信令层访问的代理而发挥功能。由此能够预防SBC 105遭受异常情况的攻击,对SIP账号的尝试注册行为进行有效管控,对用户呼叫行为进行授权、主被叫号码进行规整等。
此外,IMS系统100的应用服务器101与SIP账号安全管理网元200之间设置有接口,在一个实施例中为标准HTTP接口或标准SIP协议接口,以实现以下功能:
A.功能1:SIP账号的注册鉴权过程与应用层的反向鉴权。
B.功能2:客户端发起呼叫流程的主被叫号码变换等功能。
(3)SIP账号接入鉴权插件模块的接口设计
客户集成基于SIP的语音通信应用时,需在客户端侧(软终端APP或硬终端)集成本发明所提供的SIP账号接入鉴权插件模块。
1)该插件模块面向客户端提供三类标准化的HTTP接口,分别是①接收客户端应用层输入的针对某应用模块的用户的注册账号及密码、MAC地址、客户端IP地址的接口;此外该插件模块也可以通过协议层解析获取客户端MAC地址及IP地址);②接收用户注册账号在IMS系统上对应的SIP账号和SIP密码、接入IP地址的接口;③实现用户拨号规则规整的接口。
2)该插件模块与SIP账号安全管理网元200交互的接口包括用户注册账号认证接口及响应接口,响应接口包括接收注册请求授权结果、SIP账号、密码等信息的接口。
(4)SIP账号安全管理网元的接口设计
1)SIP账号安全管理网元200向集成在作为SIP终端的客户端300中的SIP账号接入鉴权插件模块302提供了用户注册账号鉴权用的接口,其用于授权使用的SIP账号信息、SBC的接入IP地址等信息的下发。除了可以对应用层上的用户注册账号进行鉴权外,还可以结合客户端上报的MAC地址或设备ID对客户端与SIP账号的捆绑关系进行鉴权,此外还可以结合客户端300接入的IP地址对客户端授权访问的区域进行授权。
2)SIP账号安全管理网元200向客户端300中的SIP协议通信模块303提供标准的SIP协议接口,实现SIP协议通信模块303接入IMS系统的SBC的信令代理访问,预防IMS-SBC遭受不必要的攻击。
3)SIP账号安全管理网元200向SIP协议类的应用所对应的IMS系统的应用服务器网元提供标准SIP协议接口或HTTP接口以进行交互,由此实现SIP用户注册流程中IMS系统的应用服务器网元反向与该SIP账号安全管理网元200交互进行二次鉴权,确认是否继续该次SIP账号注册的后续鉴权流程。
4)在客户端300发起呼叫请求时,SIP账号安全管理网元200向SIP协议类应用所对应的IMS系统中的服务器网元可提供标准SIP协议接口或HTTP接口交互,实现指定SIP账号的号码变换等功能。
此外,在图4中还示出了IMS系统100中的其它网元,例如MMTEL服务器102、HSS网元103、I/S/C-CSCF网元104、非IMS用户401、MGCF网元402等。这些模块是IMS框架下的标准网元,在此对其功能以及控制不再详细赘述。
根据本发明的实施例,在保持传统IMS系统SIP用户注册的常规鉴权流程的基础上,设计了IMS体系外的SIP注册二次鉴权流程、多维度鉴权方式、呼叫请求授权的方法和流程,可有效解决通过互联网环境接入时因SIP账号、密码泄露或恶意SIP尝试注册或非正常行为呼叫而引发的系列安全性问题。
此外,本发明的实施例除了可以实现基于账号的接入鉴权外,还可结合终端ID、MAC、接入IP地址等特征参数实现多维度的融合鉴权,大大提升SIP账号通过互联网环境接入IMS使用的安全性,由此能够拓展更多的通过互联网接入的IMS SIP智能语音创新应用。
应当理解,本说明书中“实施例”或类似表达方式的引用是指结合该实施例所述的特定特征、结构、或特性系包括在本发明的至少一具体实施例中。因此,在本说明书中,“在本发明的实施例中”及类似表达方式的用语的出现未必指相同的实施例。
本领域技术人员应当知道,本发明被实施为一系统、装置、方法或作为计算机程序产品的计算机可读媒体(例如非瞬态存储介质)。因此,本发明可以实施为各种形式,例如完全的硬件实施例、完全的软件实施例(包括固件、常驻软件、微程序代码等),或者也可实施为软件与硬件的实施形式,在以下会被称为“电路”、“模块”或“系统”。此外,本发明也可以任何有形的媒体形式实施为计算机程序产品,其具有计算机可使用程序代码存储于其上。
本发明的相关叙述参照根据本发明具体实施例的系统、装置、方法及计算机程序产品的流程图和/或框图来进行说明。可以理解每一个流程图和/或框图中的每一个块,以及流程图和/或框图中的块的任何组合,可以使用计算机程序指令来实施。这些计算机程序指令可供通用型计算机或特殊计算机的处理器或其它可编程数据处理装置所组成的机器来执行,而指令经由计算机或其它可编程数据处理装置处理以便实施流程图和/或框图中所说明的功能或操作。
在附图中显示根据本发明各种实施例的系统、装置、方法及计算机程序产品可实施的架构、功能及操作的流程图及框图。因此,流程图或框图中的每个块可表示一模块、区段、或部分的程序代码,其包括一个或多个可执行指令,以实施指定的逻辑功能。另外应当注意,在某些其它的实施例中,块所述的功能可以不按图中所示的顺序进行。举例来说,两个图示相连接的块事实上也可以同时执行,或根据所涉及的功能在某些情况下也可以按图标相反的顺序执行。此外还需注意,每个框图和/或流程图的块,以及框图和/或流程图中块的组合,可藉由基于专用硬件的系统来实施,或者藉由专用硬件与计算机指令的组合,来执行特定的功能或操作。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (18)
1.一种SIP语音业务的鉴权系统,包括:
至少一个客户端,包括:
至少一个应用模块,获取用户输入的注册账号和密码,并将注册请求信息发送给SIP接入鉴权模块,所述注册请求信息包括接收到的所述注册账号、所述密码以及应用模块的标识信息,所述标识信息用于识别所述应用模块;
所述SIP接入鉴权模块,响应于接收到的注册请求信息将所述注册请求信息发送给SIP账号安全管理网元,响应于接收到来自所述SIP账号安全管理网元的SIP账户配置信息将所述SIP账户配置信息发送给SIP协议通信模块;以及
所述SIP协议通信模块,响应于接收到来自所述SIP接入鉴权模块的所述SIP账户配置信息,基于所述SIP账户配置信息向IP多媒体子系统即IMS系统发送SIP注册请求;
所述SIP账号安全管理网元,响应于接收到来自所述SIP接入鉴权模块的所述注册请求信息,根据所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时,响应于来自于应用服务器的查询请求,针对所述SIP账户配置信息判断是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向所述应用服务器返回成功作为查询结果;以及
所述IMS系统,包括:
所述应用服务器,响应于来自所述SIP协议通信模块的所述SIP注册请求向所述SIP账号安全管理网元发送查询请求,根据来自所述SIP账号安全管理网元的所述查询结果以及所述SIP账户配置信息来判断是否允许注册。
2.如权利要求1所述的SIP语音业务的鉴权系统,其中,
所述IMS系统还包括至少一个会话边界控制器即SBC,
所述SIP账户配置信息仅包括SIP账号和SIP密码,
所述SIP账号安全管理网元存储有记录了各SIP账号密码以及对应的SBC的接入IP地址的表单,
所述客户端的SIP协议通信模块将所述SIP账户配置信息发送给所述SIP账号安全管理网元,所述SIP账号安全管理网元根据所述SIP账户配置信息查找对应的SBC的接入IP地址并将所述SIP注册请求经由该接入IP地址的SBC发送到所述应用服务器。
3.如权利要求1所述的SIP语音业务的鉴权系统,其中,
所述IMS系统还包括至少一个会话边界控制器即SBC,
所述SIP账户配置信息包括SIP账号、SIP密码以及SBC的接入IP地址,
所述客户端的所述SIP协议通信模块将所述SIP账户配置信息发送给所述SIP账号安全管理网元,所述SIP账号安全管理网元经由与所述SIP账户配置信息所包含的SBC的接入IP地址对应的SBC将所述SIP注册请求发送到所述应用服务器。
4.如权利要求1所述的SIP语音业务的鉴权系统,其中,
所述SIP账号安全管理网元通过从预先存储的许可表单中查找是否存在与所述注册请求信息所包含的注册账号、密码以及标识信息一致的组合来进行鉴权。
5.如权利要求1所述的SIP语音业务的鉴权系统,其中,
所述客户端在完成注册之后发起语音呼叫请求时,所述SIP协议通信模块将SIP呼叫请求发送给所述应用服务器,所述应用服务器响应于来自所述SIP协议通信模块的所述SIP呼叫请求向所述SIP账号安全管理网元发送查询请求,所述应用服务器根据来自所述SIP账号安全管理网元的查询结果以及所述SIP呼叫请求来判断是否允许呼叫。
6.如权利要求1所述的SIP语音业务的鉴权系统,其中,
所述SIP接入鉴权模块是插件模块。
7.如权利要求1所述的SIP语音业务的鉴权系统,其中,
所述注册请求信息还包括所述客户端的客户端ID、MAC地址、IP地址中的至少一个。
8.一种SIP语音业务的鉴权系统的鉴权方法,所述鉴权系统包括至少一个客户端、SIP账号安全管理网元以及IP多媒体子系统即IMS系统,所述客户端包括至少一个应用模块、SIP接入鉴权模块以及SIP协议通信模块,所述IMS系统包括应用服务器,所述鉴权方法包括以下步骤:
所述至少一个应用模块获取用户输入的注册账号和密码,并将注册请求信息发送给所述SIP接入鉴权模块,所述注册请求信息包括接收到的所述注册账号、所述密码以及应用模块的标识信息,所述标识信息用于识别所述应用模块;
所述SIP接入鉴权模块响应于接收到的注册请求信息将所述注册请求信息发送给所述SIP账号安全管理网元;
所述SIP账号安全管理网元响应于接收到来自所述SIP接入鉴权模块的所述注册请求信息,根据所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将所述注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时;
所述SIP接入鉴权模块响应于接收到来自SIP账号安全管理网元的SIP账户配置信息将所述SIP账户配置信息发送给所述SIP协议通信模块;
所述SIP协议通信模块响应于接收到来自所述SIP接入鉴权模块的所述SIP账户配置信息,基于所述SIP账户配置信息向所述IMS系统发送SIP注册请求;
所述IMS系统的应用服务器响应于来自所述SIP协议通信模块的SIP注册请求向所述SIP账号安全管理网元发送查询请求;
所述SIP账号安全管理网元响应于来自于应用服务器的查询请求,针对所述SIP账户配置信息判定是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向应用服务器返成功作为查询结果;以及
所述IMS系统的所述应用服务器根据来自所述SIP账号安全管理网元的查询结果以及所述SIP账户配置信息来判断是否允许注册。
9.如权利要求8所述的SIP语音业务的鉴权系统的鉴权方法,其中,
所述IMS系统还包括至少一个会话边界控制器即SBC,
所述SIP账户配置信息仅包括SIP账号和SIP密码,
所述SIP账号安全管理网元存储有记录了各SIP账号密码以及对应的SBC的接入IP地址的表单,
所述客户端的SIP协议通信模块将所述SIP账户配置信息发送给所述SIP账号安全管理网元,所述SIP账号安全管理网元根据所述SIP账户配置信息查找对应的SBC的接入IP地址并将所述SIP注册请求经由该接入IP地址的SBC发送到所述应用服务器。
10.如权利要求8所述的SIP语音业务的鉴权系统的鉴权方法,其中,
所述IMS系统还包括至少一个会话边界控制器即SBC,
所述SIP账户配置信息包括SIP账号、SIP密码以及SBC的接入IP地址,
所述客户端的所述SIP协议通信模块将所述SIP账户配置信息发送给所述SIP账号安全管理网元,所述SIP账号安全管理网元经由与所述SIP账户配置信息所包含的SBC的接入IP地址对应的SBC将所述SIP注册请求发送到所述应用服务器。
11.如权利要求8所述的SIP语音业务的鉴权系统的鉴权方法,其中,
所述SIP账号安全管理网元通过从预先存储的许可表单中查找是否存在与所述注册请求信息所包含的注册账号、密码以及标识信息一致的组合来进行鉴权。
12.如权利要求8所述的SIP语音业务的鉴权系统的鉴权方法,其中,
所述客户端在完成注册之后发起语音呼叫请求时,所述SIP协议通信模块将SIP呼叫请求发送给所述应用服务器,所述应用服务器响应于来自所述SIP协议通信模块的所述SIP呼叫请求向所述SIP账号安全管理网元发送查询请求,所述应用服务器根据来自所述SIP账号安全管理网元的查询结果以及所述SIP呼叫请求来判断是否允许呼叫。
13.如权利要求8所述的SIP语音业务的鉴权系统的鉴权方法,其中,
所述SIP接入鉴权模块是插件模块。
14.如权利要求8所述的SIP语音业务的鉴权系统的鉴权方法,其中,
所述注册请求信息还包括所述客户端的客户端ID、MAC地址、IP地址中的至少一个。
15.一种SIP账号安全管理网元,包括于SIP语音业务的鉴权系统,所述鉴权系统还包括至少一个客户端以及IP多媒体子系统即IMS系统,所述客户端包括至少一个应用模块、SIP接入鉴权模块以及SIP协议通信模块,所述IMS系统包括应用服务器,所述SIP账号安全管理网元被配置成:
响应于接收到来自所述SIP接入鉴权模块的注册请求信息,对所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将所述注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时;以及
响应于来自于所述应用服务器的查询请求,针对所述SIP账户配置信息判定是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向所述应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向所述应用服务器返成功作为查询结果。
16.一种SIP账号安全管理网元的鉴权方法,该SIP账号安全管理网元包括于SIP语音业务的鉴权系统,所述鉴权系统还包括至少一个客户端以及IP多媒体子系统即IMS系统,所述客户端包括至少一个应用模块、SIP接入鉴权模块以及SIP协议通信模块,所述IMS系统包括应用服务器,所述SIP账号安全管理网元的鉴权方法包括如下步骤:
响应于接收到来自所述SIP接入鉴权模块的注册请求信息,对所述注册请求信息所包含的注册账号、密码以及标识信息进行鉴权,如果鉴权失败则拒绝接入,如果鉴权通过则所述SIP账号安全管理网元将所述注册账号所对应的SIP账户配置信息发送给所述SIP接入鉴权模块且针对所述SIP账户配置信息开始计时;以及
响应于来自于所述应用服务器的查询请求,针对所述SIP账户配置信息判定是否在规定的时间内进行了鉴权,在判断为未进行过鉴权、或者虽进行了鉴权但比对失败、或者虽然进行了鉴权但已经超过了规定的时间的情况下,向所述应用服务器返回失败作为查询结果;在判断为在规定的时间内进行了鉴权的情况下,向所述应用服务器返成功作为查询结果。
17.一种SIP账号安全管理网元,包括:
一个或多个处理器;以及
存储器,其上存储有计算机可执行指令,所述计算机可执行指令在由所述一个或多个处理器执行时使得所述一个或多个处理器执行根据权利要求16所述的方法。
18.一种客户端,包括于SIP语音业务的鉴权系统,所述鉴权系统还包括SIP账号安全管理网元以及IP多媒体子系统即IMS系统,所述IMS系统包括应用服务器,所述客户端包括:
至少一个应用模块,获取用户输入的注册账号和密码,并将注册请求信息发送给SIP接入鉴权模块,所述注册请求信息包括接收到的所述注册账号、所述密码以及应用模块的标识信息,所述标识信息用于识别所述应用模块;
所述SIP接入鉴权模块,响应于接收到的注册请求信息将所述注册请求信息发送给所述SIP账号安全管理网元,响应于接收到来自所述SIP账号安全管理网元的SIP账户配置信息将所述SIP账户配置信息发送给SIP协议通信模块;以及
所述SIP协议通信模块,响应于接收到来自所述SIP接入鉴权模块的所述SIP账户配置信息,基于所述SIP账户配置信息向所述IMS系统的所述应用服务器发送SIP注册请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010711972.7A CN114050906B (zh) | 2020-07-22 | 2020-07-22 | Sip语音业务的鉴权系统、方法、安全管理网元和客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010711972.7A CN114050906B (zh) | 2020-07-22 | 2020-07-22 | Sip语音业务的鉴权系统、方法、安全管理网元和客户端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114050906A CN114050906A (zh) | 2022-02-15 |
| CN114050906B true CN114050906B (zh) | 2024-03-01 |
Family
ID=80204280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010711972.7A Active CN114050906B (zh) | 2020-07-22 | 2020-07-22 | Sip语音业务的鉴权系统、方法、安全管理网元和客户端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114050906B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243422A (zh) * | 2013-06-19 | 2014-12-24 | 中兴通讯股份有限公司 | 用户终端接入ims网络的注册实现方法及ims |
| CN106790055A (zh) * | 2016-12-20 | 2017-05-31 | 国网天津市电力公司 | 一种ims系统的注册方法与装置 |
| WO2018040650A1 (zh) * | 2016-08-30 | 2018-03-08 | 中兴通讯股份有限公司 | 一种语音业务注册方法及装置、移动终端 |
| CN109962878A (zh) * | 2017-12-14 | 2019-07-02 | 大唐移动通信设备有限公司 | 一种ims用户的注册方法及装置 |
-
2020
- 2020-07-22 CN CN202010711972.7A patent/CN114050906B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104243422A (zh) * | 2013-06-19 | 2014-12-24 | 中兴通讯股份有限公司 | 用户终端接入ims网络的注册实现方法及ims |
| WO2018040650A1 (zh) * | 2016-08-30 | 2018-03-08 | 中兴通讯股份有限公司 | 一种语音业务注册方法及装置、移动终端 |
| CN106790055A (zh) * | 2016-12-20 | 2017-05-31 | 国网天津市电力公司 | 一种ims系统的注册方法与装置 |
| CN109962878A (zh) * | 2017-12-14 | 2019-07-02 | 大唐移动通信设备有限公司 | 一种ims用户的注册方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 李宜佳 等.IMS客户端认证过程研究.电子测试.2009,(第07期),第37-40页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114050906A (zh) | 2022-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112039909B (zh) | 基于统一网关的认证鉴权方法、装置、设备及存储介质 | |
| RU2286018C2 (ru) | Способ и система повторной аутентификации в системе базовой сети ip-мультимедиа | |
| US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
| US20160337351A1 (en) | Authentication system | |
| US10148636B2 (en) | Authentication methods and apparatus | |
| US6892308B1 (en) | Internet protocol telephony security architecture | |
| EP3609152A1 (en) | Internet-of-things authentication system and internet-of-things authentication method | |
| WO2016078419A1 (zh) | 一种开放授权方法、装置及开放平台 | |
| EP3095060B1 (en) | Security for access to the ip multimedia subsystem (ims) with web real time communication (webrtc) | |
| CN107493293A (zh) | 一种sip终端接入鉴权的方法 | |
| WO2013023566A1 (zh) | 一种mtc服务器权限验证控制方法、系统及装置 | |
| CN103166962A (zh) | 基于绑定号码鉴权机制实现sip终端安全拨打的方法 | |
| US20110022841A1 (en) | Authentication systems and methods using a packet telephony device | |
| US9681295B2 (en) | Verification and checking methods for use in a multimedia IP core network, and servers | |
| JP2014523018A (ja) | OpenIDを電気通信ネットワークに統合するシステムおよび方法 | |
| CN114050906B (zh) | Sip语音业务的鉴权系统、方法、安全管理网元和客户端 | |
| US20110022844A1 (en) | Authentication systems and methods using a packet telephony device | |
| CN102624724B (zh) | 安全网关及利用网关安全登录服务器的方法 | |
| EP1320975B1 (en) | Internet protocol telephony security architecture | |
| CN108270747B (zh) | 一种认证方法及装置 | |
| JP4965499B2 (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
| US9641517B1 (en) | System and method for secure communications | |
| US10447688B1 (en) | System for secure communications | |
| CN107995587B (zh) | 认证方法、认证平台以及认证系统和服务商平台 | |
| CN102055744A (zh) | 一种ip多媒体子系统紧急呼叫业务的实现系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |