CN114630000A - 一种鉴权信息管理、身份验证方法、设备及存储介质 - Google Patents
一种鉴权信息管理、身份验证方法、设备及存储介质 Download PDFInfo
- Publication number
- CN114630000A CN114630000A CN202011359814.6A CN202011359814A CN114630000A CN 114630000 A CN114630000 A CN 114630000A CN 202011359814 A CN202011359814 A CN 202011359814A CN 114630000 A CN114630000 A CN 114630000A
- Authority
- CN
- China
- Prior art keywords
- kgc
- information block
- user
- algorithm
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种鉴权信息管理、身份验证方法、设备及存储介质,包括:生成KGC信息块,KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,主叫用户是在KGC注册时获得与算法参数和签名验证算法相对应的对SIP邀请消息头进行签名时使用的私钥及签名算法;使用共识机制,将KGC信息块写入联盟链。主叫用户向被叫用户发送SIP邀请消息。被叫用户根据邀请消息中的KGC名称从联盟链获取主叫用户对应的KGC信息块;被叫用户从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证。采用本发明,实现SIP客户端对主叫身份的直接验证,并且克服了传统PKI系统中多CA信任的问题。
Description
技术领域
本发明涉及无线通信技术领域,特别涉及一种鉴权信息管理、身份验证方法、设备及存储介质。
背景技术
PSTN(公用电话交换网,Public Swithed Telephone Network)通常被认为是一个封闭可信网络。电话公司依赖其他运营商遵守规则来确保网络的正常运行。在提供来电者电话号码时,发端交换机在逐个呼叫的基础上可以控制哪个主叫号码(ID)被发送。在PSTN,主叫者自定义呼叫者ID需要获得对SS7 交换机的控制权,因此,PSTN中很少有主叫身份的伪造攻击。
然而,随着最近IP(互连网协议,Internet Protocol)接入PSTN的兴起,价格便宜的基于IP的客户端协议(如SIP(会话启动协议,Session Initiation Protocol))正在取代昂贵的传统电话服务(如ISDN(综合业务数字网,Integrated Service DigitalNetwork))。廉价的IP语音VoIP(基于IP的语音传输,Voice over IP)电话服务现在正成为常态。PSTN的承载也正在朝着基于IP方向发展。目前存在以下可能的电话呼叫形态:VoIP-to-VoIP呼叫,VoIP-PSTN-VoIP呼叫, PSTN-to-VoIP呼叫,VoIP-to-PSTN呼叫,PSTN-VoIP-PSTN呼叫,PSTN-PSTN 呼叫。
VoIP与传统电话网络系统的互通已经减少了主叫号码真实性保证。在上面的电话呼叫形态中除PSTN-PSTN呼叫外,攻击者使用新的和廉价的工具可以伪造任何主叫方号码进行虚假呼叫,如工具Asterisk IP PBX。它可以产生数百万个电话,每个电话可以是单独的,随机的或精心选择的呼叫号码。使用伪造主叫号码,攻击者可以发起以下攻击:
语音垃圾电话:电话推销,调查,收债员等。虽然一些“合法”的电话推销员使用合法号码,但许多号码是伪造的。除非电话推销员希望消费者或受害者能够回叫使用真实的号码,否则几乎总是使用伪造号码。
诈骗:国税局诈骗,技术支持诈骗,其他冒充诈骗。这些电话几乎总是使用欺骗电话号码来冒充合法组织并诱骗受害者。
网络钓鱼:呼叫旨在收集受害者的信息。这包括试图欺骗受害者说“是”或可以记录的事情,以便今后可以使用。
语音邮件攻击:某些语音邮件系统仅使用主叫号码进行验证。如果您使用欺骗电话号码呼叫这些语音邮件系统,您可以立即访问。
TDoS(电话拒绝服务,Telephony Denial of Service):意欲中断运营的大量呼叫,通常是面向公众的联络中心,如10086。通过伪造进行TDoS呼叫的号码,将它们与合法呼叫区分开来要困难得多。也可以是攻击者伪造一个特定被攻击人的主叫号码进行大量呼叫,使被攻击人的主叫号码被录入黑名单,从而被攻击人的呼叫在接收时会被阻击。
针对虚假呼叫,主要有以下两种解决方案:
黑名单:大多数运营商使用黑名单来解决虚假呼叫的问题,即维护黑名单并阻止该列表上的呼叫到达。运营商将基于他们流量监控功能和基于用户评论更新这些列表。黑名单方法面临的最大挑战是它们不适用于不在列表中的新呼叫,也不适用于使用随机欺骗呼叫号码的呼叫。欺骗者知道黑名单,如果他们真的想要拨打电话,他们要么知道黑名单上有哪些号码,要么可以轻松地试出来哪些号码在黑名单上。另外,由于目前还没有有效的方法在VoIP上来确保主叫号码的真实性,上了黑名单的号码也不一定是欺骗号码。
STIR/SHAKEN(使用toKENs安全处理宣称信息/安全电话身份重访问):包括IETF(互联网工程任务组,Internet Engineering Task Force),ATIS(电信行业解决方案联盟,Alliance for the Telecommunications Industry Solutions),SIP 论坛和服务提供商在内的行业正在研究安全电话身份重访问(STIR)IETF标准(RFC)和基于签名的使用toKEN处理判断信息(SHAKEN)。这些努力是给目标用户提供主叫号码验证的尝试。STIR已经有一段时间了,SHAKEN是一个基于STIR在实践中的实施。
STIR的方案中,定义了一种安全机制以识别SIP请求发起者的身份,图1 为STIR架构示意图,如图1所示,它是通过定义一个SIP身份字段(Identity) 用于传送身份的签名和签名者的证书下载地址来实现的。
具体流程主要如下:
SIP客户端A向认证服务器发送SIP邀请消息;
认证服务器对SIP邀请消息头中的DATA(数据)字段,FROM(来源) 字段,TO(目的地)字段进行签名。FROM字段含有邀请者的身份(SIP URI (统一资源标识符,UniformResource Identifiers)或电话号码),TO字段含有被邀请者的身份(SIP URI或电话号码),DATA字段包含发送SIP邀请消息的时间戳。对FROM字段的签名可以保证邀请者的身份真实性,对TO字段的签名可以保证被邀请者的身份没有被篡改,对DATA字段的签名可以防止重放攻击。认证服务器把签名和指示认证服务器证书的地址放入新定义的身份字段里;
认证服务器把带签名的邀请消息发给验证服务器;
验证服务器根据认证服务器证书的地址连接到PKI(公开密钥基础架构, PublicKey Infrastructure)获得认证服务器证书;
验证服务器使用认证服务器证书中的公钥对签名进行验证,验证成功后,验证服务器发送SIP邀请消息给SIP客户端B。
下面对基于标识的密钥系统进行介绍。
传统的基于证书密钥系统是通过在证书中公钥和标识的绑定,并由可信的第三方CA(证书颁发机构,Certificate Authority)签名实现用户标识和公钥的可验证性传播。虽然此系统已得到广泛的应用,但其存在一些缺点:(1)在安全应用中需要交换证书;(2)证书使用时需要验证其有效性;(3)证书的颁发和管理非常复杂
为了解决传统PKI的这些问题,以色列密码学家Shamir于1984年提出基于标识的密码体系,即IBC(Identity-Based Cryptograph)。其最主要观点是不需要使用证书传递公钥,而是使用用户标识如姓名、IP地址、电子邮箱地址、手机号码等代表用户的标识信息作为公钥,私钥则由KGC(密钥中心,Key Generate Center)根据系统主密钥和用户标识计算得出。这类系统就不再依赖证书和证书管理系统,如PKI,从而极大地简化了管理密码系统的复杂性。在提出IBC概念的同时,Shamir提出了一个采用RSA算法的基于标识的签名算法(IBS)。但是基于标识的加密算法(IBE:Identity Based Encryption)长时期未能找到有效解决方法。直到2001年,D.Boneh和M.Franklin提出的基于椭圆曲线上pairing才实现了安全的IBE系统。目前比较高效的基于标识的签名算法是采用椭圆曲线的ECCSI方案。
STIR方案至少存在以下不足之一:
1、单点失败:在一个通信域内,认证服务器一旦宕机,所有域内呼出都不能进行,同理在一个通信域内,验证服务器一旦宕机,所有域内呼入都不能进行。
2、信任问题:SIP客服端必须信任认证服务器和验证服务器,以及PKI。而不能实现SIP客户端间的直接信任。
3、多CA的问题:原理上一个CA可以给全球所有的用户颁发证书。但考虑到证书的管理,不同的安全等级需求,在实践中需要存在多个CA,无论是在国家层面上,行业层面上,或企业层面上。多CA的存在带来CA间互信问题。
基于标识的密钥系统至少存在以下缺点之一:
1、KGC权限过大:由于用户的私钥由KGC产生,KGC可以解密所有用户的加密信息。
2、IBE算法使用范围:只可在信任的范围内使用(如在一个企业的内部系统),因为KGC可以解密所有加密信息。
3、标识管理复杂:用户的标识比较复杂,需要像PKI系统管理证书一样,需要对撤销的标识进行管理。
4、KGC系统参数的跨域传递:KGC系统参数可以安全地传递到其自身管理范围内的用户,但这些参数无法安全地传递到不在其管理范围内的用户。
5、IBS算法使用范围受限:从原理上讲,IBS算法可以使用在所有的用户,因为只是对信息的签名而不是加密。但由于KGC系统参数无法跨域传递,IBS 算法也只能在KGC管理的范围内使用。
发明内容
本发明提供了一种鉴权信息管理、身份验证方法、设备及存储介质,用以至少解决现有STIR方案和IBS系统的缺点之一。
本发明提供以下技术方案:
一种鉴权信息管理方法,包括:
生成KGC信息块,所述KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对 SIP邀请消息头进行签名时使用的私钥及签名算法的;
使用共识机制,将所述KGC信息块写入联盟链。
实施中,KGC信息块进一步包括:包括有效和无效两种状态的KGC信息块的状态;
把KGC信息块写入联盟链时,将KGC信息块标记为有效。
实施中,进一步包括:
对已上链的所述KGC信息块进行更新。
实施中,对已上链的所述KGC信息块进行更新,包括:
生成与已上链的所述KGC信息块内容一样的第一KGC信息块,将第一 KGC信息块标记为无效;
使用共识机制,将第一KGC信息块写入联盟链;
生成内容已更新的第二KGC信息块,将第二KGC信息块标记为有效;
使用共识机制,将第二KGC信息块写入联盟链。
实施中,KGC信息块进一步包括:
KGC信息块标识,用以供被叫用户根据KGC信息块标识在进行VoIP通话中对SIP邀请消息头进行鉴权时对KGC信息块进行查询。
实施中,进一步包括:
生成用户标识废除列表,用以标识用户不是KGC管理的用户。
实施中,KGC信息块进一步包括:
哈希算法名称,用于指示所述用户标识废除列表中用户标识所使用的哈希函数。
实施中,进一步包括:
使用共识机制,将所述用户标识废除列表写入联盟链。
实施中,所述用户标识废除列表是供被叫用户根据SIP邀请消息头中的主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询的。
一种基于鉴权信息管理方法的身份验证方法,包括:
被叫用户接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括 KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
被叫用户根据KGC名称从所述联盟链获取主叫用户对应的KGC信息块;
被叫用户从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证。
实施中,被叫用户是根据用户标识对应的KGC名称从所述联盟链获取主叫用户对应的KGC信息块。
实施中,获取KGC信息块前,进一步包括:
根据用户标识和SIP客户端标识序列号SN的哈希值向所述联盟链查询用户标识废除列表,如果哈希值在用户标识废除列表存在,中断连接。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN;
进一步包括:
从所述联盟链获取的KGC信息块上获取哈希算法名称后,对主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询。
一种基于鉴权信息管理方法的身份验证方法,包括:
主叫用户确定进行VoIP通话的被叫用户;
主叫用户向被叫用户发送SIP邀请消息,所述消息头中的信息包括KGC 名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN。
一种鉴权信息管理系统,包括:
处理器,用于读取存储器中的程序,执行下列过程:
生成KGC信息块,所述KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对 SIP邀请消息头进行签名时使用的私钥及签名算法的;
使用共识机制,将所述KGC信息块写入联盟链;
收发机,用于在处理器的控制下接收和发送数据。
实施中,KGC信息块进一步包括:包括有效和无效两种状态的KGC信息块的状态;
把KGC信息块写入联盟链时,将KGC信息块标记为有效。
实施中,进一步包括:
对已上链的所述KGC信息块进行更新。
实施中,对已上链的所述KGC信息块进行更新,包括:
生成与已上链的所述KGC信息块内容一样的第一KGC信息块,将第一 KGC信息块标记为无效;
使用共识机制,将第一KGC信息块写入联盟链;
生成内容已更新的第二KGC信息块,将第二KGC信息块标记为有效;
使用共识机制,将第二KGC信息块写入联盟链。
实施中,KGC信息块进一步包括:
KGC信息块标识,用以供被叫用户根据KGC信息块标识在进行VoIP通话中对SIP邀请消息头进行鉴权时对KGC信息块进行查询。
实施中,进一步包括:
生成用户标识废除列表,用以标识用户不是KGC管理的用户。
实施中,KGC信息块进一步包括:
哈希算法名称,用于指示所述用户标识废除列表中用户标识所使用的哈希函数。
实施中,进一步包括:
使用共识机制,将所述用户标识废除列表写入联盟链。
实施中,所述用户标识废除列表是供被叫用户根据SIP邀请消息头中的主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询的。
一种鉴权信息管理系统,包括:
生成模块,用于生成KGC信息块,所述KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对SIP邀请消息头进行签名时使用的私钥及签名算法的;
上链模块,用于使用共识机制,将所述KGC信息块写入联盟链。
实施中,KGC信息块进一步包括:包括有效和无效两种状态的KGC信息块的状态;
上链模块进一步用于把KGC信息块写入联盟链时,将KGC信息块标记为有效。
实施中,进一步包括:
更新模块,用于对已上链的所述KGC信息块进行更新。
实施中,更新模块进一步用于在对已上链的所述KGC信息块进行更新时,包括:
生成与已上链的所述KGC信息块内容一样的第一KGC信息块,将第一 KGC信息块标记为无效;
使用共识机制,将第一KGC信息块写入联盟链;
生成内容已更新的第二KGC信息块,将第二KGC信息块标记为有效;
使用共识机制,将第二KGC信息块写入联盟链。
实施中,生成模块进一步用于在KGC信息块生成KGC信息块标识,用以供被叫用户根据KGC信息块标识在进行VoIP通话中对SIP邀请消息头进行鉴权时对KGC信息块进行查询。
实施中,生成模块进一步用于生成用户标识废除列表,用以标识用户不是 KGC管理的用户。
实施中,生成模块进一步用于在KGC信息块生成哈希算法名称,用于指示所述用户标识废除列表中用户标识所使用的哈希函数。
实施中,上链模块进一步用于使用共识机制,将所述用户标识废除列表写入联盟链。
实施中,所述用户标识废除列表是供被叫用户根据SIP邀请消息头中的主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询的。
一种基于鉴权信息管理方法的用户终端,包括:
处理器,用于读取存储器中的程序,执行下列过程:
接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
根据KGC名称从所述联盟链获取主叫用户对应的KGC信息块;
从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证;
收发机,用于在处理器的控制下接收和发送数据。
实施中,根据用户标识对应的KGC名称从所述联盟链获取主叫用户对应的KGC信息块。
实施中,获取KGC信息块前,进一步包括:
根据用户标识和SIP客户端标识序列号SN的哈希值向所述联盟链查询用户标识废除列表,如果哈希值在用户标识废除列表存在,中断连接。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN;
进一步包括:
从所述联盟链获取的KGC信息块上获取哈希算法名称后,对主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询。
一种基于鉴权信息管理方法的用户终端,包括:
被叫接收模块,用于接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
被叫获取模块,用于根据KGC名称从所述联盟链获取主叫用户对应的 KGC信息块;
被叫验证模块,用于从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证。
实施中,被叫获取模块进一步用于根据用户标识对应的KGC名称从所述联盟链获取主叫用户对应的KGC信息块。
实施中,被叫获取模块进一步用于获取KGC信息块前,根据用户标识和 SIP客户端标识序列号SN的哈希值向所述联盟链查询用户标识废除列表,如果哈希值在用户标识废除列表存在,中断连接。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN;
被叫获取模块进一步用于从所述联盟链获取的KGC信息块上获取哈希算法名称后,对主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询。
一种基于鉴权信息管理方法的用户终端,包括:
处理器,用于读取存储器中的程序,执行下列过程:
确定进行VoIP通话的被叫用户;
向被叫用户发送SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
收发机,用于在处理器的控制下接收和发送数据。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN。
一种基于鉴权信息管理方法的用户终端,包括:
主叫确定模块,用于确定进行VoIP通话的被叫用户;
主叫发送模块,用于向被叫用户发送SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN。
一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述鉴权信息管理方法和/或身份验证方法的计算机程序。
本发明有益效果如下:
本发明实施例提供的技术方案中,将鉴权的KGC信息块写入联盟链,并提供给被叫用户用以对主叫用户的签名鉴权,通过使用联盟链,使KGC信息可以跨越传递,从而实现SIP客户端对主叫身份的直接验证,并且克服了传统 PKI系统中多CA信任的问题。
进一步的,使用户标识废除列表也写入联盟链,通过使用联盟链,使用户标识废除列表也能跨域查询。
方案至少解决了现有STIR方案和IBS系统的缺点之一。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为背景技术中STIR架构示意图;
图2为本发明实施例中鉴权信息管理方法实施流程示意图;
图3为本发明实施例中KGC信息块格式示意图;
图4为本发明实施例中被叫用户侧的身份验证方法实施流程示意图;
图5为本发明实施例中主叫用户侧的身份验证方法实施流程示意图;
图6为本发明实施例中基于联盟链和IBS的VOIP主叫身份验证流程示意图;
图7为本发明实施例中鉴权信息管理系统结构示意图;
图8为本发明实施例中用户终端一结构示意图;
图9为本发明实施例中用户终端二结构示意图。
具体实施方式
本发明实施例中提供的技术方案基于联盟链和IBS实现对VOIP的身份进行验证,用以至少解决STIR方案和基于标识的密钥系统出现的问题之一。
本发明实施例中提供的技术方案将会涉及区块链、联盟链、IBS、VoIP、公钥基础设施(PKI)、主叫身份、SIP等,下面先进行简要说明。
联盟链是指由若干个机构共同参与管理的区块链。联盟链内部指定多个预选的节点为记账节点,每个块的生成由所有的预选节点使用共识机制共同决定,其他接入节点可以读取链上信息,但不过问记账过程。联盟链使用分布式账本和分布式共识技术从而构成数据不可篡改的分布式数据库。这样也解决了多方信任问题。
本发明实施例中提供的技术方案的基本思路是将KGC信息块(含算法参数及算法名称)以及用户标识废除列表等通过联盟链的共识机制写入联盟链,这样解决KGC参数跨域传递问题。方案中也将不使用认证服务器和验证服务器实现对主叫VOIP主叫身份验证。
方案中,主叫SIP客户端A对SIP邀请消息头中的DATA字段、FROM字段、TO字段、KGC名称、SIP客户端标识序列号SN,以及用户标识废除列表所用的哈希算法名称,使用IBS算法进行签名。被邀请SIP客户端B收到邀请后,从联盟链中找到给SIP客户端A颁发密钥的KGC信息块以及用户标识废除列表。在比对收到的用户标识是否是在用户标识废除列表后,如果不在,则使用所指示的算法参数和算法对SIP邀请消息头的签名进行验证。
下面结合附图对本发明的具体实施方式进行说明。
图2为鉴权信息管理方法实施流程示意图,如图所示,可以包括:
步骤201、生成KGC信息块,所述KGC信息块中含有供被叫用户在进行 VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对SIP邀请消息头进行签名时使用的私钥及签名算法的;
步骤202、使用共识机制,将所述KGC信息块写入联盟链。
下面将结合实例进行说明,本提案的KGC信息管理的实例将主要以电信运营商为例,其原理和流程可以适配到其它行业的运营和管理部门。
首先以实例对KGC信息块中的内容进行说明。
KGC信息块可以包含所有KGC能公开的参数之一或者其组合,其管理如下。
图3为KGC信息块格式示意图,如图所示,KGC信息块中可以包含算法参数,算法名称,以及信息块的生成时间和状态等,这些消息可以让大家公开得到,但不能被篡改。KGC信息块的格式定义如下:
KGC名称:用于区分不同的KGC。每个运营商可以有不只一个KGC,一般情况下,是每个地级市电信网络都应设置KGC用于本地用户的私钥颁发和管理(如通过存储在用户的SIM(用户识别模块,Subscriber Identity Module) 卡中把用户的私钥颁发给用户)。为了便于查询KGC的信息块,每个运营商的 KGC可以按照地域分级命名,如KGC.TANSHAN.HEBEI.CMCC.CN。
系统的算法参数:用于说明系统所用密钥算法的参数,如使用椭圆曲线密钥算法时所用的椭圆曲线参数。
KGC公钥:KGC系统的公钥,参与对签名进行验证。
签名和验签算法:用于指示签名所用的算法以及验证签名所用的算法。
哈希算法:用于指示用户标识废除列表中用户标识的哈希函数。
生成时间:产生信息块的时间。
KGC信息块的状态:包括有效和无效两种状态。
下面对KGC信息块上链的实施进行说明。
具体实施中,KGC信息块还可以进一步包括:包括有效和无效两种状态的KGC信息块的状态;
把KGC信息块写入联盟链时,将KGC信息块标记为有效。
下面以实例进行说明。
KGC信息块上链的具体可以如下:
运营商管理部门生成KGC信息块,并把其状态标为有效。
运营商在联盟链上的一个或几个记账节点与其它运营商的记账节点一起,使用共识机制,把KGC信息块写入联盟链。
记账节点可以一次性把运营商所有KGC信息块都写入区块链上,也可以按地域,分别多次把所有KGC信息块写入区块链上。
下面对KGC信息块的更新实施进行说明。
实施中,还可以进一步包括:
对已上链的所述KGC信息块进行更新。
具体实施中,对已上链的所述KGC信息块进行更新,包括:
生成与已上链的所述KGC信息块内容一样的第一KGC信息块,将第一 KGC信息块标记为无效;
使用共识机制,将第一KGC信息块写入联盟链;
生成内容已更新的第二KGC信息块,将第二KGC信息块标记为有效;
使用共识机制,将第二KGC信息块写入联盟链。
下面以实例进行说明。
KGC信息块里的信息有可能需要更新,如签名算法和签名验证算法发生了改变。由于链上的消息无法删除,需要生成一个与原来KGC信息块一样的信息块,将其状态标为无效,并把它上链。然后再生成一个信息内容已更新的 KGC信息块,将其状态标为有效并把它上链,从而完成KGC信息块的更新,具体可以如下:
运营商管理部门生成一个与已上链KGC信息块内容一样的信息块(除了状态项和生成时间不同以外其它项都相同),并把其状态标为无效。
运营商在联盟链上的一个或几个记账节点与其它运营商的记账节点一起,使用共识机制,把新生成KGC信息块写入联盟链。
运营商管理部门生成一个信息内容已更新的KGC信息块,并把其状态标为有效。
运营商在联盟链上的一个或几个记账节点与其它运营商的记账节点一起,使用共识机制,把信息内容已更新的KGC信息块写入联盟链。
下面对KGC信息块的查询实施进行说明。
实施中,KGC信息块进一步包括:
KGC信息块标识,用以供被叫用户根据KGC信息块标识在进行VoIP通话中对SIP邀请消息头进行鉴权时对KGC信息块进行查询。
下面以实例进行说明。
被叫要获得管理主叫的KGC信息,首先使用SIP消息中的KGC名称字段向联盟区块链发起查询。
检索从区块链上最新的区块开始,如果要查询的KGC名称在区块链上没有检索到,则终止查询并返回给被叫错误信息(KGC信息块不存在)。如果存在,则对获得的最新KGC信息块进行检查。如果其状态为无效状态,则返回给被叫错误信息(KGC信息块存在但状态失效);如果KGC信息块的状态为有效状态,则返回给被叫想要获取的KGC信息块。
下面对用户的标识管理进行说明。
实施中,还可以进一步包括:
生成用户标识废除列表,用以标识用户不是KGC管理的用户。
也即,列表中的用户不再由KGC管理,不是合法的用户。
具体实施中,KGC信息块进一步包括:
哈希算法名称,用于指示所述用户标识废除列表中用户标识所使用的哈希函数。
具体实施中,进一步包括:
使用共识机制,将所述用户标识废除列表写入联盟链。
实施中,所述用户标识废除列表是供被叫用户根据SIP邀请消息头中的主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询的。
下面以实例进行说明。
用户标识ID可以由用户名Name和序列号SN(序列号,Sequence Number) 组成,即ID=Name||SN。用户名可以用户的电话号码,或者是SIP URI。SN可以是KGC为用户产生ID时添加的序列,以便于电话号码重新分配和电话号码的废除。如果用户标识ID直接为用户名Name,电话号码一旦废除就无法再分配给其它用户了。
因为电话号码和SIP URI有可能重新分配或者废除,KGC需要定期发布用户标识废除列表来管理用户标识。一个可用的用户标识废除列表的格式可以如下表所示:
KGC名称:用于区分不同的KGC。
哈希算法名称:用户指示用户标识废除列表所用哈希算法
Hash(ID1),Hash(ID2),Hash(ID3),…:是要被废除的ID的哈希值。这里不直接使用用户的ID,是为了保护用户的隐私。
生成时间:是此用户标识废除列表的生成时间。
用户标识废除列表可以与KGC位于相同位置的另外一台服务器上进行管理。相同位置是指管理上的位置,在一个管理区域内会有一个KGC服务器合一个用户标识废除列表服务器,另外一个管理区域的用户一般无法访问另一个区域的服务器。这样的管理方式,不属于此KGC管理的用户不易获取用户标识废除列表。为此,可以把用户标识废除列表颁发在联盟链上,具体可以如下:
1)运营商管理部门的KGC生成用户标识废除列表;
2)运营商在联盟链上的一个或几个记账节点与其它运营商的记账节点一起,使用共识机制,把用户标识废除列表写入联盟链。
被叫查询主叫是否在用户标识废除列表时,使用收到的SIP消息中的主叫用户名和序列号SN进行哈希运算,并使用运算结果向联盟链进行查询。联盟链通过使用哈希运算结果与最新的用户标识废除列表进行比对,如果存在相同值,则此用户标识已废除,并还回给被叫错误消息(此用户标识已被废除);如果没有找到相同值,则此用户标识有效,并还回给被叫正确消息(此用户标识有效)。
下面对基于联盟链和IBS的VoIP主叫身份验证的实施进行说明。
图4为被叫用户侧的身份验证方法实施流程示意图,如图所示,包括:
步骤401、被叫用户接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
步骤402、被叫用户根据KGC名称从所述联盟链获取主叫用户对应的KGC 信息块;
步骤403、被叫用户从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证。
实施中,被叫用户是根据用户标识对应的KGC名称从所述联盟链获取主叫用户对应的KGC信息块。
实施中,获取KGC信息块前,进一步包括:
根据用户标识和SIP客户端标识序列号SN的哈希值向所述联盟链查询用户标识废除列表,如果哈希值在用户标识废除列表存在,中断连接。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN;
进一步包括:
从所述联盟链获取的KGC信息块上获取哈希算法名称后,对主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询。
图5为主叫用户侧的身份验证方法实施流程示意图,如图所示,包括:
步骤501、主叫用户确定进行VoIP通话的被叫用户;
步骤502、主叫用户向被叫用户发送SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN。
下面以实例进行说明。
图6为基于联盟链和IBS的VOIP主叫身份验证流程示意图,如图所示,可以为:
初始条件:
(1)每个用户都在KGC注册,并从KGC获得自己的私钥。
(2)每个管理域的KGC把其KGC信息块和用户标识废除列表写入联盟链。如图假定SIP客户端A和SIP客户端B分别属于KGCA和KGCB。KGCA和KGCB把KGC信息块和用户标识废除列表写入联盟链。
VoIP主叫验证的具体可以如下:
SIP客户端A使用自己的私钥基于IBS算法对SIP邀请消息头中的DATA 字段,FROM字段,TO字段,KGC名称,SIP客户端标识序列号SN,以及用户标识废除列表所用的哈希算法名称进行签名,并把签名结果放入身份字段。
SIP客户端A发送带签名的邀请给SIP客户端B。
收到带签名的邀请后,SIP客户端B使用哈希函数对SIP客户端的IDA (Name||SN)进行运算,即,Hash(IDA)其中Name来自SIP邀请消息头中的FROM字段。
SIP客户端B使用Hash(IDA)和KGC名称向联盟链发起查询。得到SIP 客户端A是否在用户标识废除列表上和KGCA的信息块。如果SIP客户端A 在用户标识废除列表上,则中断连接;如果不是,使用KGCA信息块所指示的算法参数和算法对签名进行验证,验证成功则证明了SIP客户端A身份的真实性。
基于同一发明构思,本发明实施例中还提供了一种鉴权信息管理系统、用户终端、及计算机可读存储介质,由于这些设备解决问题的原理与鉴权信息管理方法、基于鉴权信息管理方法的身份验证方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。
在实施本发明实施例提供的技术方案时,可以按如下方式实施。
图7为鉴权信息管理系统结构示意图,如图所示,系统中包括:
处理器700,用于读取存储器720中的程序,执行下列过程:
生成KGC信息块,所述KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对 SIP邀请消息头进行签名时使用的私钥及签名算法的;
使用共识机制,将所述KGC信息块写入联盟链;
收发机710,用于在处理器700的控制下接收和发送数据。
实施中,KGC信息块进一步包括:包括有效和无效两种状态的KGC信息块的状态;
把KGC信息块写入联盟链时,将KGC信息块标记为有效。
实施中,进一步包括:
对已上链的所述KGC信息块进行更新。
实施中,对已上链的所述KGC信息块进行更新,包括:
生成与已上链的所述KGC信息块内容一样的第一KGC信息块,将第一 KGC信息块标记为无效;
使用共识机制,将第一KGC信息块写入联盟链;
生成内容已更新的第二KGC信息块,将第二KGC信息块标记为有效;
使用共识机制,将第二KGC信息块写入联盟链。
实施中,KGC信息块进一步包括:
KGC信息块标识,用以供被叫用户根据KGC信息块标识在进行VoIP通话中对SIP邀请消息头进行鉴权时对KGC信息块进行查询。
实施中,进一步包括:
生成用户标识废除列表,用以标识用户不是KGC管理的用户。
实施中,KGC信息块进一步包括:
哈希算法名称,用于指示所述用户标识废除列表中用户标识所使用的哈希函数。
实施中,进一步包括:
使用共识机制,将所述用户标识废除列表写入联盟链。
实施中,所述用户标识废除列表是供被叫用户根据SIP邀请消息头中的主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询的。
其中,在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器700代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机710可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器700 负责管理总线架构和通常的处理,存储器720可以存储处理器700在执行操作时所使用的数据。
本发明实施例中还提供了一种鉴权信息管理系统,包括:
生成模块,用于生成KGC信息块,所述KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对SIP邀请消息头进行签名时使用的私钥及签名算法的;
上链模块,用于使用共识机制,将所述KGC信息块写入联盟链。
实施中,KGC信息块进一步包括:包括有效和无效两种状态的KGC信息块的状态;
上链模块进一步用于把KGC信息块写入联盟链时,将KGC信息块标记为有效。
实施中,进一步包括:
更新模块,用于对已上链的所述KGC信息块进行更新。
实施中,更新模块进一步用于在对已上链的所述KGC信息块进行更新时,包括:
生成与已上链的所述KGC信息块内容一样的第一KGC信息块,将第一 KGC信息块标记为无效;
使用共识机制,将第一KGC信息块写入联盟链;
生成内容已更新的第二KGC信息块,将第二KGC信息块标记为有效;
使用共识机制,将第二KGC信息块写入联盟链。
实施中,生成模块进一步用于在KGC信息块生成KGC信息块标识,用以供被叫用户根据KGC信息块标识在进行VoIP通话中对SIP邀请消息头进行鉴权时对KGC信息块进行查询。
实施中,生成模块进一步用于生成用户标识废除列表,用以标识用户不是 KGC管理的用户。
实施中,生成模块进一步用于在KGC信息块生成哈希算法名称,用于指示所述用户标识废除列表中用户标识所使用的哈希函数。
实施中,上链模块进一步用于使用共识机制,将所述用户标识废除列表写入联盟链。
实施中,所述用户标识废除列表是供被叫用户根据SIP邀请消息头中的主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询的。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
图8为用户终端一结构示意图,如图所示,用户终端包括:
处理器800,用于读取存储器820中的程序,执行下列过程:
接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
根据KGC名称从所述联盟链获取主叫用户对应的KGC信息块;
从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证;
收发机810,用于在处理器800的控制下接收和发送数据。
实施中,根据用户标识对应的KGC名称从所述联盟链获取主叫用户对应的KGC信息块。
实施中,获取KGC信息块前,进一步包括:
根据用户标识和SIP客户端标识序列号SN的哈希值向所述联盟链查询用户标识废除列表,如果哈希值在用户标识废除列表存在,中断连接。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN;
进一步包括:
从所述联盟链获取的KGC信息块上获取哈希算法名称后,对主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询。
其中,在图8中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器800代表的一个或多个处理器和存储器820代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机810可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口830还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器800负责管理总线架构和通常的处理,存储器820可以存储处理器 800在执行操作时所使用的数据。
本发明实施例中还提供了一种基于鉴权信息管理方法的用户终端,包括:
被叫接收模块,用于接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
被叫获取模块,用于根据KGC名称从所述联盟链获取主叫用户对应的 KGC信息块;
被叫验证模块,用于从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证。
实施中,被叫获取模块进一步用于根据用户标识对应的KGC名称从所述联盟链获取主叫用户对应的KGC信息块。
实施中,被叫获取模块进一步用于获取KGC信息块前,根据用户标识和 SIP客户端标识序列号SN的哈希值向所述联盟链查询用户标识废除列表,如果哈希值在用户标识废除列表存在,中断连接。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN;
被叫获取模块进一步用于从所述联盟链获取的KGC信息块上获取哈希算法名称后,对主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
图9为用户终端二结构示意图,如图所示,用户终端包括:
处理器900,用于读取存储器920中的程序,执行下列过程:
确定进行VoIP通话的被叫用户;
向被叫用户发送SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
收发机910,用于在处理器900的控制下接收和发送数据。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN。
其中,在图9中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器900代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机910可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口930还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器900负责管理总线架构和通常的处理,存储器920可以存储处理器 900在执行操作时所使用的数据。
本发明实施例中还提供了一种基于鉴权信息管理方法的用户终端,包括:
主叫确定模块,用于确定进行VoIP通话的被叫用户;
主叫发送模块,用于向被叫用户发送SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的。
实施中,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述鉴权信息管理方法和/或身份验证方法的计算机程序。
具体可以参见鉴权信息管理方法和/或身份验证方法的实施。
综上所述,本发明实施例提供的技术方案中,提出了一种基于联盟链和IBS 确保VOIP网络中主叫身份的方案,具体提供了基于联盟链和IBS的VOIP主叫身份验证流程;KGC信息块的管理;以及用户标识废除列表的管理。
方案解决STIR方案和IBS系统的缺点。通过使用联盟链,使KGC信息可以跨越传递,并使用户标识废除列表能跨域查询。从而实现SIP客户端对主叫身份的直接验证,并且克服了传统PKI系统中多CA信任的问题。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/ 或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (22)
1.一种鉴权信息管理方法,其特征在于,包括:
生成密钥中心KGC信息块,所述KGC信息块中含有供被叫用户在进行基于IP的语音传输VoIP通话中对会话启动协议SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对SIP邀请消息头进行签名时使用的私钥及签名算法;
使用共识机制,将所述KGC信息块写入联盟链。
2.如权利要求1所述的方法,其特征在于,KGC信息块进一步包括:包括有效和无效两种状态的KGC信息块的状态;
把KGC信息块写入联盟链时,将KGC信息块标记为有效。
3.如权利要求2所述的方法,其特征在于,进一步包括:
对已上链的所述KGC信息块进行更新。
4.如权利要求3所述的方法,其特征在于,对已上链的所述KGC信息块进行更新,包括:
生成与已上链的所述KGC信息块内容一样的第一KGC信息块,将第一KGC信息块标记为无效;
使用共识机制,将第一KGC信息块写入联盟链;
生成内容已更新的第二KGC信息块,将第二KGC信息块标记为有效;
使用共识机制,将第二KGC信息块写入联盟链。
5.如权利要求1所述的方法,其特征在于,KGC信息块进一步包括:
KGC信息块标识,用以供被叫用户根据KGC信息块标识在进行VoIP通话中对SIP邀请消息头进行鉴权时对KGC信息块进行查询。
6.如权利要求1所述的方法,其特征在于,进一步包括:
生成用户标识废除列表,用以标识用户不是KGC管理的用户。
7.如权利要求6所述的方法,其特征在于,KGC信息块进一步包括:
哈希算法名称,用于指示所述用户标识废除列表中用户标识所使用的哈希函数。
8.如权利要求6所述的方法,其特征在于,进一步包括:
使用共识机制,将所述用户标识废除列表写入联盟链。
9.如权利要求1所述的方法,其特征在于,所述用户标识废除列表是供被叫用户根据SIP邀请消息头中的主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询的。
10.一种基于权利要求1至9任一所述方法的身份验证方法,其特征在于,包括:
被叫用户接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
被叫用户根据KGC名称从所述联盟链获取主叫用户对应的KGC信息块;
被叫用户从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证。
11.如权利要求10所述的方法,其特征在于,被叫用户是根据用户标识对应的KGC名称从所述联盟链获取主叫用户对应的KGC信息块。
12.如权利要求10所述的方法,其特征在于,获取KGC信息块前,进一步包括:
根据用户标识和SIP客户端标识序列号SN的哈希值向所述联盟链查询用户标识废除列表,如果哈希值在用户标识废除列表存在,中断连接。
13.如权利要求12所述的方法,其特征在于,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN;
进一步包括:
从所述联盟链获取的KGC信息块上获取哈希算法名称后,对主叫用户名和序列号SN进行哈希运算后,使用哈希运算结果向联盟链进行查询。
14.一种基于权利要求1至9任一所述方法的身份验证方法,其特征在于,包括:
主叫用户确定进行VoIP通话的被叫用户;
主叫用户向被叫用户发送SIP邀请消息,所述消息头中的信息包括用户标识,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的。
15.如权利要求14所述的方法,其特征在于,所述消息头中的信息进一步包括经过哈希算法处理后的主叫用户名和序列号SN。
16.一种鉴权信息管理系统,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
生成KGC信息块,所述KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对SIP邀请消息头进行签名时使用的私钥及签名算法的;
使用共识机制,将所述KGC信息块写入联盟链;
收发机,用于在处理器的控制下接收和发送数据。
17.一种鉴权信息管理系统,其特征在于,包括:
生成模块,用于生成KGC信息块,所述KGC信息块中含有供被叫用户在进行VoIP通话中对SIP邀请消息头进行鉴权时使用的公钥、算法参数和签名验证算法,所述主叫用户是在KGC注册时获得与所述算法参数和签名验证算法相对应的对SIP邀请消息头进行签名时使用的私钥及签名算法的;
上链模块,用于使用共识机制,将所述KGC信息块写入联盟链。
18.一种基于权利要求1至9任一所述方法的用户终端,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
根据KGC名称从所述联盟链获取主叫用户对应的KGC信息块;
从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证;
收发机,用于在处理器的控制下接收和发送数据。
19.一种基于权利要求1至9任一所述方法的用户终端,其特征在于,包括:
被叫接收模块,用于接收主叫用户的发送的SIP邀请消息,所述消息头中的信息包括KGC名称,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
被叫获取模块,用于根据KGC名称从所述联盟链获取主叫用户对应的KGC信息块;
被叫验证模块,用于从该KGC信息块获取公钥、算法参数和签名验证算法后,对用户签名进行验证。
20.一种基于权利要求1至9任一所述方法的用户终端,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
确定进行VoIP通话的被叫用户;
向被叫用户发送SIP邀请消息,所述消息头中的信息包括用户标识,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的;
收发机,用于在处理器的控制下接收和发送数据。
21.一种基于权利要求1至9任一所述方法的用户终端,其特征在于,包括:
主叫确定模块,用于确定进行VoIP通话的被叫用户;
主叫发送模块,用于向被叫用户发送SIP邀请消息,所述消息头中的信息包括用户标识,所述消息头中的信息是被主叫用户使用私钥通过签名算法进行签名的。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至15任一所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011359814.6A CN114630000A (zh) | 2020-11-27 | 2020-11-27 | 一种鉴权信息管理、身份验证方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011359814.6A CN114630000A (zh) | 2020-11-27 | 2020-11-27 | 一种鉴权信息管理、身份验证方法、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114630000A true CN114630000A (zh) | 2022-06-14 |
Family
ID=81895291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011359814.6A Pending CN114630000A (zh) | 2020-11-27 | 2020-11-27 | 一种鉴权信息管理、身份验证方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114630000A (zh) |
-
2020
- 2020-11-27 CN CN202011359814.6A patent/CN114630000A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112039872B (zh) | 基于区块链的跨域匿名认证方法及系统 | |
| US10447481B2 (en) | Systems and methods for authenticating caller identity and call request header information for outbound telephony communications | |
| EP2449744B1 (en) | Restriction of communication in voip address discovery system | |
| US11050563B2 (en) | Method of exchanging keys by smart contract implemented on a blockchain | |
| US20140351595A1 (en) | Key Management in a Communication Network | |
| US8683194B2 (en) | Method and devices for secure communications in a telecommunications network | |
| US9369459B2 (en) | Method of establishing secure groups of trusted contacts with access rights in a secure communication system | |
| CN101420413A (zh) | 会话密钥协商方法、网络系统、认证服务器及网络设备 | |
| Mustafa et al. | End-to-end detection of caller ID spoofing attacks | |
| US20100306820A1 (en) | Control of message to be transmitted from an emitter domain to a recipient domain | |
| US8923279B2 (en) | Prevention of voice over IP spam | |
| US8085937B1 (en) | System and method for securing calls between endpoints | |
| GB2543072A (en) | Public key infrastructure & method of distribution | |
| Tu et al. | Toward authenticated caller ID transmission: The need for a standardized authentication scheme in Q. 731.3 calling line identification presentation | |
| US10893414B1 (en) | Selective attestation of wireless communications | |
| CN113839905B (zh) | 一种证书写入、证书反馈方法、记账节点及身份认证系统 | |
| Lin et al. | Authentication protocols with nonrepudiation services in personal communication systems | |
| Du et al. | {UCBlocker}: Unwanted call blocking using anonymous authentication | |
| US7480801B2 (en) | Method for securing data traffic in a mobile network environment | |
| CN115883105A (zh) | 认证连接方法、系统、电子设备及计算机存储介质 | |
| CN114630000A (zh) | 一种鉴权信息管理、身份验证方法、设备及存储介质 | |
| CN111163465B (zh) | 连接用户终端与本地终端的方法、装置以及呼叫中心系统 | |
| He et al. | An asymmetric authentication protocol for M-Commerce applications | |
| CN114978741B (zh) | 一种系统间认证方法及系统 | |
| Chiang et al. | An affordable solution for authenticated communications for enterprise and personal use |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |