因特网协议语音接入设备的认证方法
技术领域:
本发明涉及一种设备认证方法,尤其涉及一种因特网协议语音接入设备的认证方法。
背景技术:
MGCP(Media Gateway Control Protocol,媒体网关控制协议)是IETF(internet工程工作组)较早定义的媒体网关控制协议,主要从功能的角度定义媒体网关控制器和媒体网关之间的行为,实现比较简单,事件交互的机制也比较简单。MGCP具有实现简单等特点。随着技术的不断研究和推进,传统电路交换网和互联网正在相互融合起来,这正是下一代网络的实现目标。并且,下一代网络的逐渐成熟,使得电信网的核心部分成为单一的分组网络成为可能。而对下一代网络中的重要部分语音传输的研究正越来越深入,也即分组语音技术VoIP(Voice over Internet Protocol,语音因特网协议)。而下一代网络技术已经日渐成熟,在这样的形式下,MGCP在IP(Internet Protocol,因特网协议)语音领域被广泛应用起来。
但是,目前IP语音接入设备和MGC(Media Gateway Controlor,媒体网关控制器)之间缺乏认证机制,即MGCP没有认证机制,如图1所示,IP语音接入设备直接连接到MGC,而MGC仅负责提供媒体服务,无法识别IP语音接入设备的身份,从而无法完成对非法IP语音接入设备的访问限制。
发明内容:
针对现有媒体网关控制方法中所存在的问题和不足,本发明的目的是提供一种因特网协议语音接入设备的认证方法。
本发明是这样实现的:一种因特网协议语音接入设备的认证方法,包括以下步骤:
在媒体网关控制器上接入MGCP代理设备,所述IP语音接入设备与所述MGCP代理设备连接;
在所述MGCP代理设备中配置所述IP语音接入设备的公钥;
所述MGCP代理设备向所述IP语音接入设备发出认证请求;
所述IP语音接入设备收到所述MGCP代理设备的认证请求后,向所述MGCP代理设备回复加入自身IP地址信息的认证应答;
所述MGCP代理设备检测所述IP语音接入设备的认证应答,并作出授权与否的判断。
进一步地,所述MGCP代理设备发出的认证请求为定长的随机识别码。
进一步地,所述IP语音接入设备回复所述MGCP代理设备认证应答的过程如下:
取出所述MGCP代理设备认证请求中的随机识别码;
将所述随机识别码用自身的私钥进行加密;
向所述MGCP代理设备回复加密后的随机识别码和自身IP信息的认证应答。
进一步地,所述MGCP代理设备对所述IP语音接入设备的认证过程如下:
所述MGCP代理设备用已记录的所述IP语音接入设备的公钥解密该IP语音接入设备的认证应答;
取出所述随机识别码和所述IP语音接入设备的IP;
验证所述随机识别码并用所述认证应答的源IP匹配该认证应答中携带的IP;
若随机识别码正确且所述认证应答的源IP与其携带的IP匹配,则所述IP语音接入设备的身份合法,否则不合法。
进一步地,所述MGCP代理设备发出的定长随机识别码具体为16位的随机识别码。
进一步地,所述MGCP代理设备包括有:
后数据模块,用于记录数据转发的规则和方法及MGC和IP语音接入设备的信息;
MGCP报文收发模块,用于MGCP报文的收发;
MGCP解析模块,用于报文的协议解析;
MGCP业务处理模块,用于IP语音接入设备的认证和授权;
所述MGCP报文收发模块收到IP语音接入设备应答后,由MGCP解析模块解析,MGCP业务处理模块提取MGC和IP语音接入设备的信息,对IP语音接入设备应答解密,并用该记录信息对IP语音接入设备进行认证。
本发明正是通过MGCP代理设备对IP语音接入设备的身份识别,进而限制了非法IP语音接入设备对MGC的访问;并且,本发明通过MGCP代理设备实现,在对IP语音接入设备的认证过程中,对MGC是透明操作,向MGC屏蔽了全部认证过程,从而进一步保证MGC的安全,同时也使得MGC不需要作任何更换和升级,这样就保护了用户对MGC的投资。
附图说明:
下面结合附图,对本发明作出详细描述。
图1为现有IP语音接入设备连接示意图;
图2为本发明的IP语音接入设备连接示意图;
图3为本发明对IP语音接入设备验证流程示意图;
图4为本发明对IP语音接入设备验证另一流程示意图。
具体实施方式:
在说明本发明之前,先介绍一下RSA(美国RSA实验室,以研究加密算法而著名)算法:
RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。基于RSA加密体系的实施方案会产生一个成对公钥和私钥。公钥和私钥间的关系依赖与超大合数的分解,分解合数从数论、概率论和计算学上来讲,是一个不无法在短时间内完成的过程,从而使得从公钥和私钥间的相互推算过程短时间内无法完成,保证了RSA加密体系的强壮性。用公钥加密的数据,能而且只能被公钥解密;用私钥加密的数据,能而且只能被公钥解码;RSA是被研究得最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。目前,RSA加密体系已经广泛的引用于军事和金融等安全性要求很高的领域。可以采用RSA加密体系对本发明进行认证和授权,当然,其他加密体系同样适用于本发明。
如图2所示,本发明通过在IP语音接入设备与媒体网关控制器之间设置一个MGCP代理设备来实现的。MGCP代理设备包括后数据模块、MGCP报文收发模块、MGCP解析模块和MGCP业务处理模块,其中,后数据模块用于记录数据转发的规则和方法及MGC和IP语音接入设备的信息;MGCP报文收发模块用于MGCP报文的收发;MGCP解析模块用于报文的协议解析;MGCP报文收发模块收到IP语音接入设备应答后,由MGCP解析模块解析,MGCP业务处理模块提取MGC和IP语音接入设备的信息,对IP语音接入设备应答解密,并用该记录信息对IP语音接入设备进行认证。MGCP代理设备,是一个通过收发、解析、处理MGCP来协助MGC和IP语音接入设备完成MGCP报文交换的网络设备。本发明可以看作是对MGCP进行的扩展,使其能识别扩展的认证相关参数。
这里,媒体网关控制器可以是软交换设备、呼叫代理、中继控制网关,也可以是其它媒体网关控制器。
本发明可基于RSA算法而实现,通过RSA算法对IP语音接入设备进行验证并对其授权,步骤如下:
在IP语音接入设备接受媒体网关服务以前,公布自身公钥信息;
在MGCP代理设备中记录IP语音接入设备的公钥;
在需要对IP语音接入设备进行身份识别的时候,MGCP代理设备向IP语音接入设备发出16位定长的随机识别码的MGCP认证请求;
IP语音接入设备接收到认证请求以后,取出MGCP认证请求中的随机识别码,加入自身的IP地址信息,用自身的私钥进行加密操作;向MGCP代理发出带有通过自身私钥加密的识别码加IP信息的密文MGCP应答;
MGCP代理设备收到IP语音接入设备的MGCP认证回复后,取出认证应答信息,用本系统中记录的该IP语音接入设备的公钥进行解密。MGCP代理设备将解密后的认证应答分割为IP地址信息和识别码两部分。如果身份识别码匹配且该认证应答的源IP和该认证应答携带的IP地址信息匹配说明身份合法,否则身份不合法。从而完成了对IP语音接入设备的身份识别。本发明通过MGCP代理设备来进行IP语音接入设备的认证,解决了IP语音通信领域接入设备身份识别的难题,同时保护了原有不具备认证功能的MGC设备的投资和安全。
按照RFC(Request For Comments,请求评议)2705所规定的MGCP协议标准,以下两种情况下对IP语音接入设备进行身份认证:
1、MGCP代理设备收到IP语音接入设备的RSIP请求的时;
2、MGCP代理设备向IP语音接入设备转发MGC发出的CRCX命令的时。
就上述两种情况分别说明本发明的认证过程。
如图3所示,本发明MGCP代理设备收到IP语音接入设备的RSIP请求时的认证:当MGCP代理设备收到IP语音接入设备的RSIP请求以后,MGCP代理记录此RSIP消息,并向IP语音接入设备发出一个临时响应,并产生一个十六字节长度的随机字符串作为随机身份识别码;向IP语音接入设备发出携带有认证请求参数即随机身份识别码的RQNT请求;当IP语音接入设备收到RSIP的临时响应后的携带有认证请求参数的RQNT认证请求后,取出认证请求参数中的随机身份识别码,在前面插入自己的4个字节的IP地址信息,用自己的私钥进行加密,将此加密后的密文作为认证应答字符串,向MGCP代理设备发出加入了认证应答参数即认证应答字符串的认证应答,即对RQNT的应答;当MGCP代理设备收到IP语音接入设备的身份识别应答,即对上一步发出的RQNT请求的应答后,取出认证应答参数,即认证应答字符串,用系统中记录的该IP语音接入设备的公钥进行解密。将解密后的密文进行分割,前四个字节是IP地址信息,后面的数据为随机身份识别码。将IP地址信息和IP帧的源IP进行比较,将随机身份识别码和MGCP代理设备产生的原随机身份识别码进行比较,如果身份不合法向IP语音接入设备发出599 need authorization响应错误信息。拒绝向IP语音接入设备提供媒体网关控制服务,如果接入设备身份认证通过,将先前记录的RSIP命令发往MGC,授权IP语音接入设备使用媒体网关控制服务,并向IP语音接入设备发出RSIP的正确响应码200,完成认证和授权。
如图4所示,本发明MGCP代理设备向IP语音接入设备发出CRCX命令时的认证:在MGCP代理设备准备向IP语音接入设备转发MGC发出的CRCX的命令时,产生一个十六字节长度的随机字符串作为随机身份识别码,IP语音接入设备收到CRCX请求后,取出认证请求参数中的随机身份识别码,在前面加入自己4个字节的IP地址信息,用自己的私钥进行加密,将此加密后的密文作为认证应答字符串,并向MGCP代理设备发出加入了认证应答参数即认证应答字符串的认证应答,即对CRCX的应答;当MGCP代理设备收到IP语音接入设备的身份识别(即CRCX应答)应答后,取出认证应答参数(认证应答字符串),用系统中记录的该IP语音接入设备的公钥进行解密。将解密后的密文进行分割,前四个字节是IP地址信息,后面的数据为随机身份识别码。将IP地址信息和IP帧的源IP进行比较,将随机身份识别码和MGCP代理设备产生的原随机身份识别码进行比较,如果均匹配则说明身份合法,授权IP语音接入设备可以建立呼叫。如果身份不合法,拒绝向IP语音接入设备提供服务,并且向接入网关发出DLCX命令。