CN1474586A - Ip多媒体域用户呼叫的快速摘要认证方法 - Google Patents
Ip多媒体域用户呼叫的快速摘要认证方法 Download PDFInfo
- Publication number
- CN1474586A CN1474586A CNA021259852A CN02125985A CN1474586A CN 1474586 A CN1474586 A CN 1474586A CN A021259852 A CNA021259852 A CN A021259852A CN 02125985 A CN02125985 A CN 02125985A CN 1474586 A CN1474586 A CN 1474586A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- user terminal
- cscf
- currency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种IP多媒体域(IM)用户呼叫的快速摘要认证方法,由用户终端设备(UE)产生Nonce值和Response值的呼叫请求(INVITE)发送给验证方,其中Nonce值的产生由用户按标准的时间方法进行生成;Response值是使用哈希函数(MD5)对IMPU、Nonce值和请求的URI(UniformResource identifier)进行计算得到的值。验证方采用时延的验证方法进行用户的认证。该方法将原来摘要认证方法的三步变成两步,比原摘要认证方法更加简单,加快了认证的速度。
Description
技术领域
本发明涉及保密和安全通信领域技术,具体地说,涉及第三代移动通讯网络(3G)中IP多媒体域(IM)的接入安全机制领域。
背景技术
3G网络中,IM接入安全机制主要包括:用户身份的保密,采用IM公开身份,IM空中保护;注册或重新注册时的用户认证,采用SIP认证与密钥协议(SIP AKA:SIP Authentication and key agreement)机制;会话初始化协议(SIP:Session Initiated Protocol)信令的保护,提供数据机密性和完整性保护,依赖于密码消息语法(CMS:Cryptography Message Syntax)机制和网络区域安全/IP(NDS/IP)机制等。
参见图1所示,图1为3G网络中IP多媒体域接入的安全机制。呼叫状态控制功能(CSCF:Call State Control Function)的功能形式有:代理呼叫状态控制功能(P-CSCF:Proxy CSCF)102、询问呼叫状态控制功能(I-CSCF:Interrogating CSCF)103、服务呼叫状态控制功能(S-CSCF:ServingCSCF)104。
其中,P-CSCF 102是用户终端(UE)101在IM子系统中的第一个接入点,其地址是由UE在上下文激活后获得的,P-CSCF 102的功能如同代理,负责传送UE101至I-CSCF 103的SIP请求,承载资源的授权和QoS的管理,安全问题,拜访网络紧急呼叫的支持以及漫游用户呼叫监视和日志;S-CSCF104完成对端点的会话控制功能,根据业务的需要维持会话的状态;I-CSCF103主要是运营商网内的用户的所有连接的接入点,在一个运营商网络区域中,可以有多个I-CSCF,基本功能有:分配一个S-CSCF给执行注册的用户;将来自另一个网络的SIP请求路由到S-CSCF;从归属位置服务器(HSS)获得S-CSCF的地址;前传SIP请求/响应。
用户终端设备(UE)101和P-CSCF 102之间的保护机制按照3GPP标准规范采用CMS机制,实现IM空中保护;在P-CSCF 102、I-CSCF 103和S-CSCF 104之间采用NDS/IP机制,即IP SEC ESP机制;在UE 101和S-CSCF104之间、IM用户注册或重新注册时的用户认证机制采用SIP AKA机制,提供用户认证和密钥分发功能。
参见图2所示。图2为注册或重新注册的用户认证流程。采用SIP AKA机制,注册或重新注册情形下的用户认证包括用户的认证和P-CSCF使用的密钥的分配。其具体过程如下:
1.拜访网络下的UE向P-CSCF发出注册请求;
2.P-CSCF接续该注册请求,并发送至归属网络下的I-CSCF;
3.I-CSCF向HSS发送密钥询问消息;
4.HSS向I-CSCF返回密钥询问应答消息;
5.I-CSCF向HSS发送密钥选择出栈消息;
6.HSS向I-CSCF返回密钥选择出栈应答消息;
7.I-CSCF分配一个S-CSCF给执行注册的用户后,向S-CSCF发送注册请求;
8.S-CSCF向HSS发送密钥输入消息;
9.HSS向S-CSCF发送密钥输入应答消息;
10.S-CSCF向HSS发送密钥认证数据请求;
11.HSS选择认证向量(AV)后,向S-CSCF返回密钥认证数据应答,该应答带有随机数(RAND:Random challenge)、认证标识(AUTN:Authentication Token)、期望应答(XRES:Expected Response)、完整性密钥(IK:Integrity Key)、密钥(CK:Cipher Key)参数;
12.若认证不成功,S-CSCF向I-CSCF返回401未授权消息,该消息带有RAND、AUTN、IK、CK参数;
13.I-CSCF将上述401未授权消息返回至P-CSCF;
14.P-CSCF向UE返回401未授权消息,该消息带有RAND、AUTN参数;
15.UE向P-CSCF发送重新注册请求,该请求带有应答来源(RES)参数;
16.P-CSCF接续该请求,并将该请求发送给I-CSCF;
17.I-CSCF向HSS发送密钥询问消息;
18.HSS向I-CSCF返回密钥询问应答消息;
19.I-CSCF向S-CSCF发送注册请求,该请求带有RES参数;
20.S-CSCF接收该注册请求进行认证后,向HSS发送密钥出栈消息;
21.HSS向S-CSCF返回密钥出栈应答;
22.S-CSCF向I-CSCF返回授权成功消息;
23.I-CSCF接续该消息,向P-CSCF返回该授权成功消息;
24.P-CSCF接续该消息,向UE返回该授权成功消息。
从该认证过程可看出,采用SIP AKA机制,注册或重新注册的用户认证复杂,从步骤1至步骤14、步骤15至步骤24的过程中,需要往返两次。
参见图3所示,图3为SIP的呼叫流程。在没有有效的用户认证机制下,可采用SIP信令的保护,依赖于CMS机制和NDS/IP机制,以此来实现部分的认证功能。该方法需要对SIP标准进行扩展,并且由于NDS/IP机制是网络层安全机制,而且是逐段实施,例如,有的网段可能并未提供加密机制,或网络建设初期,部分网段不能提供安全保护,安全性并不可能得到可靠的保证。其具体呼叫流程如下:
1.UE向P-CSCF发送邀请(INVITE)请求;
2.P-CSCF向S-CSCF发送该请求;
3.S-CSCF进行业务控制;
4.S-CSCF向其它网络发送INVITE请求;
5.接收该INVITE请求的网络向S-CSCF返回会话描述协议;
6.S-CSCF接续该会话描述协议,并向P-CSCF返回该会话描述协议;
7.P-CSCF授权服务质量(QOS)资源;
8.P-CSCF向UE返回会话描述协议。
SIP协议本身带有一些身份认证功能,包括:基本认证机制、摘要认证机制、PGP(Pretty Good Privacy)认证机制。基本认证机制非常简单,采用用户ID号和口令明文传送的方式,因而安全性很低。摘要认证机制是对基本认证机制的一种改进,即对用户号和口令进行密钥处理即用哈希函数处理,然后才进行传输,因而提高了安全性。PGP方案实现安全性更高,实现较复杂。
在SIP呼叫流程中,步骤1、步骤2包含了摘要认证。参见图4所示,图4为摘要认证机制示意图。该方法需要三步完成对用户的认证,其过程如下:用户首先向验证方发送访问统一资源标识符(URI:Uniform ResourceIdentifier)的请求;验证方产生一个询问,即当前值(Nonce值),并发送给用户;用户反馈一个回答即校验和(CheckSum)给验证方。其中,Nonce是由认证方指定的数据串,每次生成401应答时生成唯一的值,该串是BASE64或16进制数据。Nonce的目的是阻止重放攻击即阻止攻击者重放截获的消息;校验和是使用哈希函数MD5对用户名、口令、给定的Nonce值、超文本传输协议(HTTP:Hyper Text Transfer Protocol)方法和请求的URI进行计算得到的值,MD5为消息摘要(Message Digest5)算法,是对杂凑压缩信息块按512比特进行处理。
从上述摘要认证的步骤可见,由于完成摘要认证需要三步,造成SIP呼叫流程完成认证所花费的时间较长。
发明内容
本发明目的在于提供一种在IP多媒体域(IM)中实现用户呼叫的快速摘要认证的方法,将原来摘要认证方法的三步变成两步,加快认证的速度。
本发明通过以下技术方案实现:
一种IP多媒体域用户呼叫的快速摘要认证方法,其特征在于该方法至少包括以下步骤:
A)用户终端向验证方发送携带有用户终端当前值和用户终端应答值参数的呼叫请求,其中,用户终端当前值和用户终端应答值由该用户终端产生;
B)验证方判断该呼叫请求到达验证方的接收时戳与用户终端发送该呼叫请求的发送时戳之间的时间间隔是否超出预定的时延,若超出预定的时延,则执行步骤D,若未超出预定的时延,则执行步骤C;
C)验证方根据IP多媒体域用户公开身份号查询用户信息,获取多媒体域用户专用身份号后,生成验证方当前值,然后产生验证方应答值,将验证方应答值与接收到的用户终端应答值进行比较,如果相同,呼叫请求的用户身份就通过验证;否则,执行步骤D;
D)验证方抛弃该呼叫请求,并向用户返回未授权消息。
较佳地,所述用户终端当前值为发送时戳与使用哈希函数MD5对发送时戳:多媒体域用户公开身份号:多媒体域用户专用身份号之字符串进行计算所得的值的级联;
所述验证方当前值为接收时戳与使用哈希函数MD5对发送时戳:多媒体域用户公开身份号:多媒体域用户专用身份号之字符串进行计算所得的值的级联。
所述用户终端当前值、验证方当前值是BASE64编码,所述接收时戳、发送时戳取自标准格林威治时间。
较佳地,所述用户终端应答值是使用哈希函数MD5对用户终端当前值:多媒体域用户公开身份号:统一资源标识符之字符串进行计算得到的值;
所述验证方应答值是使用哈希函数MD5对验证方当前值:多媒体域用户公开身份号:统一资源标识符之字符串进行计算得到的值。
所述时延限制在用户与系统同步的时间内。
所述的认证方为服务呼叫状态控制功能实体。
本发明利用UE产生Nonce值、Response值,并将摘要认证方法的Nonce值的产生改由用户按标准的时间方法进行生成,利用时延的验证方法进行用户认证,将原来摘要认证方法的三步变成两步,并无需进行繁琐的校验和计算,克服了采用SIP AKA机制复杂的呼叫过程,简化了IP多媒体用户呼叫的摘要认证方法,加快了认证的速度,适合长时间进行用户呼叫的简单认证。
附图说明
图1为3G IP多媒体(IM)接入安全机制示意图;
图2为注册或重新注册的用户认证流程;
图3为SIP呼叫流程;
图4为现有技术摘要认证方法示意图;
图5为本发明快速摘要认证方法的用户呼叫认证流程。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
本发明提出的在IP多媒体域(IM)中实现用户呼叫的快速摘要认证的方法,实质是一种简化的摘要认证方法。
参见图5所示。图5为本发明快速摘要认证方法的用户呼叫认证流程。认证流程描述如下:
1.UE产生一个呼叫请求(INVITE),并将该请求传递给P-CSCF,该请求所携带的参数中包括UE方的Nonce值、UE方的Response值;其中,参数的计算如下:
①Nonce值的产生:Nonce值为BASE64编码。Nonce=时戳‖MD5(时戳“:”IM用户公开身份号“:”IM用户专用身份号),即,Nonce值为时戳与使用MD5对时戳:IM用户公开身份号:IM用户专用身份号的串进行计算所得的值的级联。其中,时戳必须取自标准的格林威治时间,并为UE发送INVITE请求的发送时戳,由此得到UE方的Nonce值。
②Response值的产生:Response是使用MD5对IM用户公开身份号(IMPU)、Nonce值和请求的URI进行计算得到的值,即Response=MD5(Nonce“:”IMPU“:”URI)。其中,Nonce为UE方的Nonce值,由此得到UE方的Response值。
2.P-CSCF将该INVITE请求前传给S-CSCF,该请求仍带有UE方的Nonce值、UE方的Response值;
3.S-CSCF收到INVITE消息后,进行用户认证:如果认证成功,继续步骤4,否则,转移到步骤10;具体认证过程说明如下:
S-CSCF在收到INVITE请求以后,首先检查该请求的接收时戳与该请求的发送时戳的时间间隔是否超出规定的时延,例如5秒钟。如果超出规定时延,则抛弃该INVITE请求;如果没有超出,S-CSCF则根据UE所传送的IMPU查询用户信息,获取IM用户专用身份号等信息后,按Nonce=时戳‖MD5(时戳“:”IM用户公开身份号“:”IM用户专用身份号)生成验证方Nonce值,其中,时戳为接收时戳,取自标准的格林威治时间,然后根据Response=MD5(Nonce值“:”IMPU“:”URI)产生一个期望的验证方的Response,其中,Nonce值为前述生成的验证方Nonce值,让产生的验证方的Response与接收到的INVITE请求所带的UE方的Response值进行比较。如果相同,INVITE消息的用户身份就通过验证,执行步骤4,否则,INVITE请求就被抛弃,执行步骤10,S-CSCF反馈未授权401消息给P-CSCF,步骤11,P-CSCF将未授权401消息前传给UE,即认证不成功,呼叫失败。
4.S-CSCF进行业务控制;
5.S-CSCF继续将INVITE请求前传给其他网络;
6.其它网络将SDP消息传递给S-CSCF;
7.S-CSCF将SDP消息传递给P-CSCF;
8.P-CSCF授权QoS资源;
9.P-CSCF将SDP消息前传给UE,即成功完成一次带认证的呼叫;
由上述可见,本发明的快速摘要认证方法与现有技术的摘要认证方法的基本不同点在于Nonce由不同实体产生,并利用时延的验证方法进行用户认证,因此必须通过时延的控制来保证安全性。若时延为0,它们的安全性是相同的,时延越大,由于消息重发的可能性越大,因而快速摘要认证方案的安全性就越差于摘要认证方案。因此,必须限制接收时戳与发送时戳时延的大小,并使得IM用户和系统的时间同步或一致。
Claims (6)
1.一种IP多媒体域用户呼叫的快速摘要认证方法,其特征在于该方法至少包括以下步骤:
A)用户终端向验证方发送携带有用户终端当前值和用户终端应答值参数的呼叫请求,其中,用户终端当前值和用户终端应答值由该用户终端产生;
B)验证方判断该呼叫请求到达验证方的接收时戳与用户终端发送该呼叫请求的发送时戳之间的时间间隔是否超出预定的时延,若超出预定的时延,则执行步骤D,若未超出预定的时延,则执行步骤C;
C)验证方根据IP多媒体域用户公开身份号查询用户信息,获取多媒体域用户专用身份号后,生成验证方当前值,然后产生验证方应答值,将验证方应答值与接收到的用户终端应答值进行比较,如果相同,呼叫请求的用户身份就通过验证;否则,执行步骤D;
D)验证方抛弃该呼叫请求,并向用户返回未授权消息。
2.根据权利要求1所述快速摘要认证方法,其特征在于,
所述用户终端当前值为发送时戳与使用哈希函数MD5对发送时戳:多媒体域用户公开身份号:多媒体域用户专用身份号之字符串进行计算所得的值的级联;
所述验证方当前值为接收时戳与使用哈希函数MD5对接收时戳:多媒体域用户公开身份号:多媒体域用户专用身份号之字符串进行计算所得的值的级联。
3.根据权利要求1或2所述快速摘要认证方法,其特征在于,所述用户终端当前值、验证方当前值是BASE64编码,所述接收时戳、发送时戳取自标准格林威治时间。
4.根据权利要求1所述的的快速摘要认证方法,其特征在于,
所述用户终端应答值是使用哈希函数MD5对用户终端当前值:多媒体域用户公开身份号:统一资源标识符之字符串进行计算得到的值;
所述验证方应答值是使用哈希函数MD5对验证方当前值:多媒体域用户公开身份号:统一资源标识符之字符串进行计算得到的值。
5.根据权利要求1所述的快速摘要认证方法,其特征在于,所述时延限制在用户与系统同步的时间内。
6.根据权利要求1所述的快速摘要认证方法,其特征在于,所述的认证方为服务呼叫状态控制功能实体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02125985 CN1239009C (zh) | 2002-08-07 | 2002-08-07 | Ip多媒体域用户呼叫的快速摘要认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02125985 CN1239009C (zh) | 2002-08-07 | 2002-08-07 | Ip多媒体域用户呼叫的快速摘要认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1474586A true CN1474586A (zh) | 2004-02-11 |
CN1239009C CN1239009C (zh) | 2006-01-25 |
Family
ID=34143171
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 02125985 Expired - Fee Related CN1239009C (zh) | 2002-08-07 | 2002-08-07 | Ip多媒体域用户呼叫的快速摘要认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1239009C (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007019799A1 (fr) * | 2005-08-16 | 2007-02-22 | Huawei Technologies Co., Ltd. | Procede et systeme d'acces a ims et ims |
WO2007025443A1 (fr) * | 2005-09-01 | 2007-03-08 | Huawei Technologies Co., Ltd. | Systeme de passerelle dans un sous-systeme multimedia ip et methode correspondante |
CN100379198C (zh) * | 2004-07-16 | 2008-04-02 | 雅马哈株式会社 | 内容再现设备、服务器及内容分发系统 |
CN100384120C (zh) * | 2004-09-30 | 2008-04-23 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
WO2012129985A1 (zh) * | 2011-03-29 | 2012-10-04 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
CN102355355B (zh) * | 2003-06-19 | 2014-07-16 | 日本电信电话株式会社 | 会话控制服务器、通信装置、通信系统与通信方法 |
CN102171988B (zh) * | 2008-08-01 | 2015-04-29 | 诺基亚通信公司 | 用于支持传统p-cscf以指示s-cscf跳过认证的方法、设备、系统和计算机程序产品 |
CN111770048A (zh) * | 2020-05-08 | 2020-10-13 | 厦门亿联网络技术股份有限公司 | 一种防止sip设备被攻击的方法、主叫设备及被叫设备 |
-
2002
- 2002-08-07 CN CN 02125985 patent/CN1239009C/zh not_active Expired - Fee Related
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355355B (zh) * | 2003-06-19 | 2014-07-16 | 日本电信电话株式会社 | 会话控制服务器、通信装置、通信系统与通信方法 |
CN100379198C (zh) * | 2004-07-16 | 2008-04-02 | 雅马哈株式会社 | 内容再现设备、服务器及内容分发系统 |
CN100384120C (zh) * | 2004-09-30 | 2008-04-23 | 华为技术有限公司 | Ip多媒体子系统中对终端用户标识模块进行鉴权的方法 |
WO2007019799A1 (fr) * | 2005-08-16 | 2007-02-22 | Huawei Technologies Co., Ltd. | Procede et systeme d'acces a ims et ims |
WO2007025443A1 (fr) * | 2005-09-01 | 2007-03-08 | Huawei Technologies Co., Ltd. | Systeme de passerelle dans un sous-systeme multimedia ip et methode correspondante |
CN100461782C (zh) * | 2005-09-01 | 2009-02-11 | 华为技术有限公司 | 一种ip多媒体子系统中实现桥接的系统和方法 |
CN102171988B (zh) * | 2008-08-01 | 2015-04-29 | 诺基亚通信公司 | 用于支持传统p-cscf以指示s-cscf跳过认证的方法、设备、系统和计算机程序产品 |
US10581822B2 (en) | 2008-08-01 | 2020-03-03 | Nokia Solutions And Networks Oy | Methods, apparatuses, system and computer program product for supporting legacy P-CSCF to indicate the S-CSCF to skip authentication |
WO2012129985A1 (zh) * | 2011-03-29 | 2012-10-04 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
CN111770048A (zh) * | 2020-05-08 | 2020-10-13 | 厦门亿联网络技术股份有限公司 | 一种防止sip设备被攻击的方法、主叫设备及被叫设备 |
CN111770048B (zh) * | 2020-05-08 | 2023-04-07 | 厦门亿联网络技术股份有限公司 | 一种防止sip设备被攻击的方法、主叫设备及被叫设备 |
Also Published As
Publication number | Publication date |
---|---|
CN1239009C (zh) | 2006-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7610619B2 (en) | Method for registering a communication terminal | |
CN1214568C (zh) | 采用会话启动协议消息对服务器验证用户代理的验证方法 | |
US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
CN101064695A (zh) | 一种P2P(Peer to Peer)安全连接的方法 | |
CN101635823B (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
EP1717986B1 (en) | Key distribution method | |
US8713634B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
KR101343039B1 (ko) | 인증 시스템, 방법 및 장치 | |
US20140109213A1 (en) | Method and Apparatus for Data Transmission | |
CN1946022A (zh) | 转接第三方登陆的方法、系统及第三方网站、业务服务器 | |
WO2013012691A1 (en) | Methods of providing an integrated and mutual authentication in a communication network | |
US7940748B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
CN101527632B (zh) | 响应消息认证方法、装置及系统 | |
CN101488945B (zh) | 一种面向会话初始化协议的鉴权方法 | |
CN101030854A (zh) | 多媒体子系统中网络实体的互认证方法及装置 | |
CN111756726A (zh) | 一种支持国密算法的sip安全认证方法 | |
US11652648B2 (en) | Authentication between a telematic control unit and a core server system | |
CN1239009C (zh) | Ip多媒体域用户呼叫的快速摘要认证方法 | |
CN114079650A (zh) | 一种基于ims数据通道的通信方法及设备 | |
CN1889562A (zh) | 对接收初始会话协议请求消息的设备进行认证的方法 | |
CN1633072A (zh) | 一种支持弱口令的双服务器认证方案 | |
US20110153764A1 (en) | Method and system for implementing group message service based on converged service system | |
CN1599314A (zh) | 一种基于s/key系统双向认证的一次性口令验证方法 | |
CN1863194A (zh) | 一种改进的ip多媒体子系统认证和密钥协商的方法 | |
CN109120408A (zh) | 用于认证用户身份的方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060125 Termination date: 20130807 |