CN1556606A - 因特网协议语音接入设备的认证方法 - Google Patents

因特网协议语音接入设备的认证方法 Download PDF

Info

Publication number
CN1556606A
CN1556606A CNA2003101160495A CN200310116049A CN1556606A CN 1556606 A CN1556606 A CN 1556606A CN A2003101160495 A CNA2003101160495 A CN A2003101160495A CN 200310116049 A CN200310116049 A CN 200310116049A CN 1556606 A CN1556606 A CN 1556606A
Authority
CN
China
Prior art keywords
mgcp
access device
agent equipment
authentication
random
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2003101160495A
Other languages
English (en)
Other versions
CN1322702C (zh
Inventor
程治永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Harbour Networks Holdings Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbour Networks Holdings Ltd filed Critical Harbour Networks Holdings Ltd
Priority to CNB2003101160495A priority Critical patent/CN1322702C/zh
Publication of CN1556606A publication Critical patent/CN1556606A/zh
Application granted granted Critical
Publication of CN1322702C publication Critical patent/CN1322702C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种因特网协议语音接入设备的认证方法,在媒体网关控制器上接入MGCP代理设备,IP语音接入设备与MGCP代理设备连接;在MGCP代理设备中配置IP语音接入设备的公钥;MGCP代理设备向IP语音接入设备发出认证请求;IP语音接入设备收到MGCP代理设备的认证请求后,向MGCP代理设备回复加入自身IP地址信息的认证应答;MGCP代理设备检测IP语音接入设备的认证应答,并作出授权与否的判断。本发明限制了非法IP语音接入设备对MGC的访问;对IP语音接入设备的认证过程中,对MGC是透明操作,从而进一步保证MGC的安全,也使得MGC不需要作任何更换和升级,这样就保护了用户对MGC的投资。

Description

因特网协议语音接入设备的认证方法
技术领域:
本发明涉及一种设备认证方法,尤其涉及一种因特网协议语音接入设备的认证方法。
背景技术:
MGCP(Media Gateway Control Protocol,媒体网关控制协议)是IETF(internet工程工作组)较早定义的媒体网关控制协议,主要从功能的角度定义媒体网关控制器和媒体网关之间的行为,实现比较简单,事件交互的机制也比较简单。MGCP具有实现简单等特点。随着技术的不断研究和推进,传统电路交换网和互联网正在相互融合起来,这正是下一代网络的实现目标。并且,下一代网络的逐渐成熟,使得电信网的核心部分成为单一的分组网络成为可能。而对下一代网络中的重要部分语音传输的研究正越来越深入,也即分组语音技术VoIP(Voice over Internet Protocol,语音因特网协议)。而下一代网络技术已经日渐成熟,在这样的形式下,MGCP在IP(Internet Protocol,因特网协议)语音领域被广泛应用起来。
但是,目前IP语音接入设备和MGC(Media Gateway Controlor,媒体网关控制器)之间缺乏认证机制,即MGCP没有认证机制,如图1所示,IP语音接入设备直接连接到MGC,而MGC仅负责提供媒体服务,无法识别IP语音接入设备的身份,从而无法完成对非法IP语音接入设备的访问限制。
发明内容:
针对现有媒体网关控制方法中所存在的问题和不足,本发明的目的是提供一种因特网协议语音接入设备的认证方法。
本发明是这样实现的:一种因特网协议语音接入设备的认证方法,包括以下步骤:
在媒体网关控制器上接入MGCP代理设备,所述IP语音接入设备与所述MGCP代理设备连接;
在所述MGCP代理设备中配置所述IP语音接入设备的公钥;
所述MGCP代理设备向所述IP语音接入设备发出认证请求;
所述IP语音接入设备收到所述MGCP代理设备的认证请求后,向所述MGCP代理设备回复加入自身IP地址信息的认证应答;
所述MGCP代理设备检测所述IP语音接入设备的认证应答,并作出授权与否的判断。
进一步地,所述MGCP代理设备发出的认证请求为定长的随机识别码。
进一步地,所述IP语音接入设备回复所述MGCP代理设备认证应答的过程如下:
取出所述MGCP代理设备认证请求中的随机识别码;
将所述随机识别码用自身的私钥进行加密;
向所述MGCP代理设备回复加密后的随机识别码和自身IP信息的认证应答。
进一步地,所述MGCP代理设备对所述IP语音接入设备的认证过程如下:
所述MGCP代理设备用已记录的所述IP语音接入设备的公钥解密该IP语音接入设备的认证应答;
取出所述随机识别码和所述IP语音接入设备的IP;
验证所述随机识别码并用所述认证应答的源IP匹配该认证应答中携带的IP;
若随机识别码正确且所述认证应答的源IP与其携带的IP匹配,则所述IP语音接入设备的身份合法,否则不合法。
进一步地,所述MGCP代理设备发出的定长随机识别码具体为16位的随机识别码。
进一步地,所述MGCP代理设备包括有:
后数据模块,用于记录数据转发的规则和方法及MGC和IP语音接入设备的信息;
MGCP报文收发模块,用于MGCP报文的收发;
MGCP解析模块,用于报文的协议解析;
MGCP业务处理模块,用于IP语音接入设备的认证和授权;
所述MGCP报文收发模块收到IP语音接入设备应答后,由MGCP解析模块解析,MGCP业务处理模块提取MGC和IP语音接入设备的信息,对IP语音接入设备应答解密,并用该记录信息对IP语音接入设备进行认证。
本发明正是通过MGCP代理设备对IP语音接入设备的身份识别,进而限制了非法IP语音接入设备对MGC的访问;并且,本发明通过MGCP代理设备实现,在对IP语音接入设备的认证过程中,对MGC是透明操作,向MGC屏蔽了全部认证过程,从而进一步保证MGC的安全,同时也使得MGC不需要作任何更换和升级,这样就保护了用户对MGC的投资。
附图说明:
下面结合附图,对本发明作出详细描述。
图1为现有IP语音接入设备连接示意图;
图2为本发明的IP语音接入设备连接示意图;
图3为本发明对IP语音接入设备验证流程示意图;
图4为本发明对IP语音接入设备验证另一流程示意图。
具体实施方式:
在说明本发明之前,先介绍一下RSA(美国RSA实验室,以研究加密算法而著名)算法:
RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。基于RSA加密体系的实施方案会产生一个成对公钥和私钥。公钥和私钥间的关系依赖与超大合数的分解,分解合数从数论、概率论和计算学上来讲,是一个不无法在短时间内完成的过程,从而使得从公钥和私钥间的相互推算过程短时间内无法完成,保证了RSA加密体系的强壮性。用公钥加密的数据,能而且只能被公钥解密;用私钥加密的数据,能而且只能被公钥解码;RSA是被研究得最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。目前,RSA加密体系已经广泛的引用于军事和金融等安全性要求很高的领域。可以采用RSA加密体系对本发明进行认证和授权,当然,其他加密体系同样适用于本发明。
如图2所示,本发明通过在IP语音接入设备与媒体网关控制器之间设置一个MGCP代理设备来实现的。MGCP代理设备包括后数据模块、MGCP报文收发模块、MGCP解析模块和MGCP业务处理模块,其中,后数据模块用于记录数据转发的规则和方法及MGC和IP语音接入设备的信息;MGCP报文收发模块用于MGCP报文的收发;MGCP解析模块用于报文的协议解析;MGCP报文收发模块收到IP语音接入设备应答后,由MGCP解析模块解析,MGCP业务处理模块提取MGC和IP语音接入设备的信息,对IP语音接入设备应答解密,并用该记录信息对IP语音接入设备进行认证。MGCP代理设备,是一个通过收发、解析、处理MGCP来协助MGC和IP语音接入设备完成MGCP报文交换的网络设备。本发明可以看作是对MGCP进行的扩展,使其能识别扩展的认证相关参数。
这里,媒体网关控制器可以是软交换设备、呼叫代理、中继控制网关,也可以是其它媒体网关控制器。
本发明可基于RSA算法而实现,通过RSA算法对IP语音接入设备进行验证并对其授权,步骤如下:
在IP语音接入设备接受媒体网关服务以前,公布自身公钥信息;
在MGCP代理设备中记录IP语音接入设备的公钥;
在需要对IP语音接入设备进行身份识别的时候,MGCP代理设备向IP语音接入设备发出16位定长的随机识别码的MGCP认证请求;
IP语音接入设备接收到认证请求以后,取出MGCP认证请求中的随机识别码,加入自身的IP地址信息,用自身的私钥进行加密操作;向MGCP代理发出带有通过自身私钥加密的识别码加IP信息的密文MGCP应答;
MGCP代理设备收到IP语音接入设备的MGCP认证回复后,取出认证应答信息,用本系统中记录的该IP语音接入设备的公钥进行解密。MGCP代理设备将解密后的认证应答分割为IP地址信息和识别码两部分。如果身份识别码匹配且该认证应答的源IP和该认证应答携带的IP地址信息匹配说明身份合法,否则身份不合法。从而完成了对IP语音接入设备的身份识别。本发明通过MGCP代理设备来进行IP语音接入设备的认证,解决了IP语音通信领域接入设备身份识别的难题,同时保护了原有不具备认证功能的MGC设备的投资和安全。
按照RFC(Request For Comments,请求评议)2705所规定的MGCP协议标准,以下两种情况下对IP语音接入设备进行身份认证:
1、MGCP代理设备收到IP语音接入设备的RSIP请求的时;
2、MGCP代理设备向IP语音接入设备转发MGC发出的CRCX命令的时。
就上述两种情况分别说明本发明的认证过程。
如图3所示,本发明MGCP代理设备收到IP语音接入设备的RSIP请求时的认证:当MGCP代理设备收到IP语音接入设备的RSIP请求以后,MGCP代理记录此RSIP消息,并向IP语音接入设备发出一个临时响应,并产生一个十六字节长度的随机字符串作为随机身份识别码;向IP语音接入设备发出携带有认证请求参数即随机身份识别码的RQNT请求;当IP语音接入设备收到RSIP的临时响应后的携带有认证请求参数的RQNT认证请求后,取出认证请求参数中的随机身份识别码,在前面插入自己的4个字节的IP地址信息,用自己的私钥进行加密,将此加密后的密文作为认证应答字符串,向MGCP代理设备发出加入了认证应答参数即认证应答字符串的认证应答,即对RQNT的应答;当MGCP代理设备收到IP语音接入设备的身份识别应答,即对上一步发出的RQNT请求的应答后,取出认证应答参数,即认证应答字符串,用系统中记录的该IP语音接入设备的公钥进行解密。将解密后的密文进行分割,前四个字节是IP地址信息,后面的数据为随机身份识别码。将IP地址信息和IP帧的源IP进行比较,将随机身份识别码和MGCP代理设备产生的原随机身份识别码进行比较,如果身份不合法向IP语音接入设备发出599 need authorization响应错误信息。拒绝向IP语音接入设备提供媒体网关控制服务,如果接入设备身份认证通过,将先前记录的RSIP命令发往MGC,授权IP语音接入设备使用媒体网关控制服务,并向IP语音接入设备发出RSIP的正确响应码200,完成认证和授权。
如图4所示,本发明MGCP代理设备向IP语音接入设备发出CRCX命令时的认证:在MGCP代理设备准备向IP语音接入设备转发MGC发出的CRCX的命令时,产生一个十六字节长度的随机字符串作为随机身份识别码,IP语音接入设备收到CRCX请求后,取出认证请求参数中的随机身份识别码,在前面加入自己4个字节的IP地址信息,用自己的私钥进行加密,将此加密后的密文作为认证应答字符串,并向MGCP代理设备发出加入了认证应答参数即认证应答字符串的认证应答,即对CRCX的应答;当MGCP代理设备收到IP语音接入设备的身份识别(即CRCX应答)应答后,取出认证应答参数(认证应答字符串),用系统中记录的该IP语音接入设备的公钥进行解密。将解密后的密文进行分割,前四个字节是IP地址信息,后面的数据为随机身份识别码。将IP地址信息和IP帧的源IP进行比较,将随机身份识别码和MGCP代理设备产生的原随机身份识别码进行比较,如果均匹配则说明身份合法,授权IP语音接入设备可以建立呼叫。如果身份不合法,拒绝向IP语音接入设备提供服务,并且向接入网关发出DLCX命令。

Claims (6)

1.一种因特网协议语言接入设备的认证方法,其特征在于,该方法包括以下步骤:
在媒体网关控制器上接入MGCP代理设备,所述IP语言接入设备与所述MGCP代理设备连接;
在所述MGCP代理设备中配置所述IP语言接入设备的公钥;
所述MGCP代理设备向所述IP语言接入设备发出认证请求;
所述IP语言接入设备收到所述MGCP代理设备的认证请求后,向所述MGCP代理设备回复加入自身IP信息的认证应答;
所述MGCP代理设备检测所述IP语言接入设备的认证应答,并作出授权与否的判断。
2.如权利要求1所述的因特网协议语言接入设备的认证方法,其特征在于,所述MGCP代理设备发出的认证请求为定长的随机识别码。
3.如权利要求1所述的因特网协议语言接入设备的认证方法,其特征在于,所述IP语言接入设备回复所述MGCP代理设备认证应答的过程如下:
取出所述MGCP代理设备认证请求中的随机识别码;
将所述随机识别码用自身的私钥进行加密;
向所述MGCP代理设备回复加密后的随机识别码和自身IP信息的认证应答。
4.如权利要求1所述的因特网协议语言接入设备的认证方法,其特征在于,所述MGCP代理设备对所述IP语言接入设备的认证过程如下:
所述MGCP代理设备用已记录的所述IP语言接入设备的公钥解密该IP语言接入设备的认证应答;
取出所述随机识别码和所述IP语言接入设备的IP;
验证所述随机识别码并用所述认证应答的源IP匹配该认证应答中携带的IP;
若随机识别码正确且所述认证应答的源IP与其携带的IP匹配,则所述IP语言接入设备的身份合法,否则不合法。
5.如权利要求2所述的IP语言接入设备的认证方法,其特征在于,所述MGCP代理设备发出的定长随机识别码具体为16位的随机识别码。
6.如权利要求1所述的因特网协议语言接入设备的认证方法,其特征在于,所述MGCP代理设备包括有:
后数据模块,用于记录数据转发的规则和方法及MGC和IP语音接入设备的信息;
MGCP报文收发模块,用于MGCP报文的收发;
MGCP解析模块,用于报文的协议解析;
MGCP业务处理模块,用于IP语音接入设备的认证和授权;
所述MGCP报文收发模块收到IP语音接入设备应答后,由MGCP解析模块解析,MGCP业务处理模块提取MGC和IP语音接入设备的信息,对IP语音接入设备应答解密,并用该记录信息对IP语音接入设备进行认证。
CNB2003101160495A 2003-12-30 2003-12-30 因特网协议语音接入设备的认证方法 Expired - Lifetime CN1322702C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2003101160495A CN1322702C (zh) 2003-12-30 2003-12-30 因特网协议语音接入设备的认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2003101160495A CN1322702C (zh) 2003-12-30 2003-12-30 因特网协议语音接入设备的认证方法

Publications (2)

Publication Number Publication Date
CN1556606A true CN1556606A (zh) 2004-12-22
CN1322702C CN1322702C (zh) 2007-06-20

Family

ID=34337501

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2003101160495A Expired - Lifetime CN1322702C (zh) 2003-12-30 2003-12-30 因特网协议语音接入设备的认证方法

Country Status (1)

Country Link
CN (1) CN1322702C (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009074050A1 (fr) * 2007-11-20 2009-06-18 Huawei Technologies Co., Ltd. Procede, systeme et appareil d'authentification de dispositif de point d'acces
CN101222454B (zh) * 2008-01-31 2011-09-21 中兴通讯股份有限公司 一种拒绝非法业务流的方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE512440C2 (sv) * 1998-05-27 2000-03-20 Telia Ab Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät
PL354839A1 (en) * 1999-05-21 2004-02-23 Ibm Method and apparatus for initializing secure communications among, and for exclusively pairing wireless devices
US7099301B1 (en) * 1999-07-13 2006-08-29 Innomedia, Inc. Voice over internet protocol proxy gateway

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009074050A1 (fr) * 2007-11-20 2009-06-18 Huawei Technologies Co., Ltd. Procede, systeme et appareil d'authentification de dispositif de point d'acces
CN101222454B (zh) * 2008-01-31 2011-09-21 中兴通讯股份有限公司 一种拒绝非法业务流的方法

Also Published As

Publication number Publication date
CN1322702C (zh) 2007-06-20

Similar Documents

Publication Publication Date Title
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
US6976177B2 (en) Virtual private networks
RU2378773C2 (ru) Подписание и проверка достоверности заголовков маршрутизации протокола инициирования сеанса
US8024560B1 (en) Systems and methods for securing multimedia transmissions over the internet
US8214482B2 (en) Remote log repository with access policy
US10735206B2 (en) Securing information exchanged between internal and external entities of connected vehicles
US8301753B1 (en) Endpoint activity logging
CN101911645B (zh) 用于验证通信关系的端点之间的密钥信息的方法和端点
CN1592193A (zh) 用于安全远程访问的系统和方法
CN102217270A (zh) 使用认证令牌来授权防火墙打开针孔
CN101330494A (zh) 一种基于可信认证网关实现计算机终端安全准入的方法
US20180115520A1 (en) Dark virtual private networks and secure services
US20220391893A1 (en) Secure electronic messaging guaranteeing integrity and non-repudation
CN109309684A (zh) 一种业务访问方法、装置、终端、服务器及存储介质
CN1197324C (zh) 识别因特网用户的方法
CN115499235A (zh) 一种基于dns的零信任网络授权方法及系统
EP1897325A1 (en) Secure data communications in web services
CN1659558A (zh) 使用分层证书的基于中介器的交互工作
US7480801B2 (en) Method for securing data traffic in a mobile network environment
CN1556606A (zh) 因特网协议语音接入设备的认证方法
CN1314224C (zh) 通过扩展mgcp对ip语音接入设备的认证方法
CN1251093C (zh) 分布式软件系统的通信安全控制方法
CN115987524B (zh) 一种用于堡垒机的多因子认证安全管理方法及装置
US20080172470A1 (en) Method and a system for the secure exchange of an e-mail message
CN117155717B (zh) 基于标识密码的认证方法、跨网跨域数据交换方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: HUAWEI TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: GANGWAN NETWORK CO., LTD.

Effective date: 20060922

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20060922

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Applicant after: HUAWEI TECHNOLOGIES Co.,Ltd.

Address before: 100089, No. 21 West Third Ring Road, Beijing, Haidian District, Long Ling Building, 13 floor

Applicant before: Harbour Networks Holdings Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CX01 Expiry of patent term

Granted publication date: 20070620

CX01 Expiry of patent term