KR20090067041A - Method and apparatus for sip registering and establishing sip session with enhanced security - Google Patents
Method and apparatus for sip registering and establishing sip session with enhanced security Download PDFInfo
- Publication number
- KR20090067041A KR20090067041A KR1020080123230A KR20080123230A KR20090067041A KR 20090067041 A KR20090067041 A KR 20090067041A KR 1020080123230 A KR1020080123230 A KR 1020080123230A KR 20080123230 A KR20080123230 A KR 20080123230A KR 20090067041 A KR20090067041 A KR 20090067041A
- Authority
- KR
- South Korea
- Prior art keywords
- sip
- terminal
- session
- media key
- request message
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Abstract
Description
본 발명은 SIP 등록 및 SIP 세션 설정 방법 및 장치에 관한 것으로, 보다 상세하게는 보안성이 강화된 SIP 등록 및 SIP 세션 설정 방법 및 장치에 관한 것이다.The present invention relates to a SIP registration and a SIP session establishment method and apparatus, and more particularly, to a security registration enhanced SIP registration and SIP session establishment method and apparatus.
실시간 멀티미디어 통신을 위해서, 통신을 원하는 노드들은 종단 간의 접속점의 정보를 상호 교환해서 미디어 트래픽의 연결점으로 지정하는 작업을 필요로 한다. 이를 위해 많은 시그널링 프로토콜이 개발, 운용 중에 있는데, 현재 VoIP를 비롯한 각종 멀티미디어 세션 제어 프로토콜로 각광받고 있는 것이 SIP(Session Initiaion Protocol)이다.For real-time multimedia communication, nodes wanting to communicate need to designate the connection point of the media traffic by exchanging information of the connection point between the end points. To this end, many signaling protocols are being developed and operated. Currently, SIP (Session Initiaion Protocol) is being spotlighted as various multimedia session control protocols including VoIP.
SIP를 이용하는 단말기들이 서로 데이터를 주고 받기 위해서는 단말기 간의 세션 설정이 필요하다. 그리고 이러한 세션을 설정하기 이전에, 각 단말기들은 SIP 서비스를 이용하기 위하여 SIP 서버에 해당 단말기를 등록하는 등록 과정을 거쳐야 한다. 이러한 등록 과정 및 세션 설정 과정에 있어서 단말기와 단말기 간에, 그리고 단말기와 서버 간에 여러 SIP 메시지들이 오고 가게 된다. 그런데 이러한 SIP 메시지들은 모두 평문 상태로 이루어져 있기 때문에, 악의를 가진 사용자가 SIP 메시지를 탈취하여 위, 변조하는 등의 보안상 취약점이 발생하게 된다.In order for terminals using SIP to exchange data with each other, session establishment between terminals is required. And before establishing such a session, each terminal must go through a registration process of registering the terminal with the SIP server to use the SIP service. In this registration process and session establishment process, various SIP messages come and go between the terminal and the terminal and between the terminal and the server. However, since these SIP messages are all in the plain text state, a security vulnerability such as a malicious user stealing, altering, or tampering with a SIP message occurs.
이러한 SIP의 보안 문제를 해결하기 위하여, 종래 몇 가지 방법들이 제시되어 왔다. 예를 들어, RFC 3261에 의한 SIP 표준에서는 TLS(Transport Layer Security)에 의한 데이터 보호가 명시되어 있다. TLS는 웹에서 서비스되는 것과 유사한 기술로, SIP 노드로부터의 신호를 보호하는 기술이다. 하지만 TLS는 원칙적으로 구간의 정보 보호에 사용되는 것으로, SIP 서비스 구조에서 종단 간의 정보 보호 기능을 제공할 수 없다. 또한 TLS는 TCP(Transmission Control Protocol) 상의 인증서를 기반으로 하기 때문에, SIP를 사용하는 노드 간 인증서 관리에 따른 부하 문제를 야기할 수 있다. 이러한 문제는 특히 부하에 민감한 이동형 노드에게 불리할 수 있다. In order to solve this security problem of SIP, several methods have been proposed. For example, the SIP standard by RFC 3261 specifies data protection by Transport Layer Security (TLS). TLS is a technology similar to that served on the web, which protects signals from SIP nodes. However, TLS is used to protect information in intervals in principle and cannot provide end-to-end information protection function in the SIP service structure. In addition, since TLS is based on a certificate on Transmission Control Protocol (TCP), it can cause a load problem due to certificate management between nodes using SIP. This problem can be particularly disadvantageous for load-sensitive mobile nodes.
따라서 이러한 SIP 보안 문제 해결을 위해 보다 효율적이면서도 간결한 인증 및 보안 체계의 필요성이 제기된다.Therefore, there is a need for a more efficient and concise authentication and security scheme to solve the SIP security problem.
따라서 본 발명은 SIP 메시지 변형으로 인한 세션 탈취(Session Hijacking), 도청, 강제 세션 종료 등의 보안 위협을 해결할 수 있는 SIP 등록 및 SIP 세션 설정을 수행하는 것을 일 목적으로 한다.Accordingly, an object of the present invention is to perform SIP registration and SIP session establishment that can solve security threats such as session hijacking, eavesdropping, and forced session termination due to SIP message modification.
또한 본 발명은 보다 효율적이면서도 간결한 인증 및 보안 방법을 이용함으로써, 효율적인 이동성 지원과 안전한 멀티미디어 세션 설정 기능을 제공하는 것을 다른 목적으로 한다.Another object of the present invention is to provide an efficient mobility support and a secure multimedia session establishment function by using a more efficient and concise authentication and security method.
본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있고, 본 발명의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention, which are not mentioned above, can be understood by the following description, and more clearly by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.
이러한 목적을 달성하기 위한 본 발명은 SIP 서버의 단말기 등록 방법에 있어서, 단말기로부터 암호화 된 필드가 포함된 SIP(Session Initiation Protocol) 등록 요청 메시지를 전송받는 단계, 암호화 된 필드를 복원하는 단계, 복원된 필드를 이용하여 단말기를 등록하는 단계 및 단말기에 SIP 등록 응답 메시지를 전송하는 단계를 포함하는 것을 일 특징으로 한다.In order to achieve the above object, the present invention provides a method for registering a terminal of a SIP server, comprising: receiving a Session Initiation Protocol (SIP) registration request message including an encrypted field from a terminal, restoring an encrypted field, and restoring the restored field And registering a terminal by using the field and transmitting a SIP registration response message to the terminal.
또한 본 발명은 단말기의 SIP 등록 방법에 있어서, 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 생성하는 단계, SIP 등록 요청 메시지를 SIP 서버에 전송하는 단계 및 SIP 서버로부터 SIP 등록 요청 메시지에 대한 응답인 SIP 등록 응답 메시지를 전송받는 단계를 포함하는 것을 다른 특징으로 한다.The present invention also provides a SIP registration method of a terminal, comprising: generating a SIP registration request message including an encrypted field, transmitting a SIP registration request message to a SIP server, and a response to the SIP registration request message from the SIP server; Another step is to include receiving a SIP registration response message.
또한 본 발명은 SIP 서버의 단말기 간 세션 설정 관리 방법에 있어서, 제 1 단말기로부터 SIP 세션 요청 메시지를 수신하여 제 2 단말기에 전송하는 단계, 제 1 및 제 2 단말기 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 제 2 단말기에 전송하는 단계, 제 2 단말기로부터 SIP 세션 요청 메시지에 대한 SIP 세션 응답 메시지를 수신하여 제 1 단말기로 전송하는 단계 및 미디어 키 생성에 이용되는 제 2 미디어 키 생성 정보를 제 1 단말기에 전송하는 단계를 포함하는 것을 또 다른 특징으로 한다.In another aspect, the present invention provides a method for managing session establishment between terminals of a SIP server, the method comprising: receiving a SIP session request message from a first terminal and transmitting the same to a second terminal, for encrypting a session established between the first and second terminals Transmitting the first media key generation information used for generating the media key to the second terminal, receiving a SIP session response message for the SIP session request message from the second terminal, and transmitting the same to the first terminal; Another feature is the step of transmitting the second media key generation information used to the first terminal.
또한 본 발명은 단말기의 SIP 세션 설정 방법에 있어서, 수신 단말기에 대한 SIP 세션 요청 메시지를 생성하는 단계, SIP 세션 요청 메시지를 수신 단말기에 전송하는 단계, SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송받는 단계 및 수신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 단계를 포함하는 것을 또 다른 특징으로 한다.The present invention also provides a method for establishing a SIP session of a terminal, comprising: generating a SIP session request message for a receiving terminal, transmitting a SIP session request message to a receiving terminal, a SIP session response message which is a response to a SIP session request message; And receiving the media key generation information used to generate the media key for encrypting the session set up with the receiving terminal.
또한 본 발명은 단말기의 SIP 세션 설정 방법에 있어서, 발신 단말기로부터의 SIP 세션 요청 메시지를 전송받는 단계, 발신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 단 계 및 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송하는 단계를 포함하는 것을 또 다른 특징으로 한다.In another aspect, the present invention provides a method for establishing a SIP session of a terminal, the method comprising receiving a SIP session request message from an originating terminal, and generating media key generation information used for generating a media key for encrypting a session set up with an originating terminal. In another aspect, the method includes transmitting a SIP session response message, which is a response to the step of receiving and a SIP session request message.
전술한 바와 같은 본 발명에 의하면, SIP 메시지 변형으로 인한 세션 탈취(Session Hijacking), 도청, 강제 세션 종료 등의 보안 위협을 해결할 수 있는 SIP 등록 및 SIP 세션 설정을 수행할 수 있는 장점이 있다.According to the present invention as described above, there is an advantage that can perform SIP registration and SIP session establishment that can solve security threats such as session hijacking, eavesdropping, forced session termination due to SIP message modification.
또한 본 발명은 보다 효율적이면서도 간결한 인증 및 보안 방법을 이용함으로써, 효율적인 이동성 지원과 안전한 멀티미디어 세션 설정 기능을 제공할 수 있는 장점이 있다.In addition, the present invention has the advantage of providing an efficient mobility support and secure multimedia session setup by using a more efficient and concise authentication and security method.
전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다. 도면에서 동일한 참조부호는 동일 또는 유사한 구성요소를 가리키는 것으로 사용된다.The above objects, features, and advantages will be described in detail with reference to the accompanying drawings, whereby those skilled in the art to which the present invention pertains may easily implement the technical idea of the present invention. In describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the drawings, the same reference numerals are used to indicate the same or similar components.
도 1은 본 발명의 일 실시예에 의한 SIP 등록 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도이다.1 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP registration process according to an embodiment of the present invention.
도 1에서, SIP 서버(102)는 통신부(106), 필드 복원부(108), 단말기 등록부(110) 및 단말기 인증부(112)를 포함한다. 먼저 통신부(106)는 단말기(104)와 데이터를 주고받는 역할을 수행하는데, 특히 단말기(104)로부터 SIP 등록 요청 메시지를 전송받고, 단말기(104) 등록이 완료되면 이를 알리는 SIP 등록 응답 메시지를 단말기(104)에 전송하는 역할을 한다. SIP 등록 응답 메시지에는 후술할 단말기 간 SIP 세션 설정 과정에서 보안 세션 설정에 이용되는 세션 키를 생성할 수 있는 난수를 포함할 수 있다. SIP 등록 과정 후에 일어나는 SIP 세션 설정 과정에서, 각 단말기는 이 난수를 이용하여 세션 키를 생성하고, 이 세션 키를 이용하여 설정된 세션의 보안을 유지한다.In FIG. 1, the
필드 복원부(108)는 단말기(104)로부터 통신부(106)를 통해 전송받은 SIP 등록 요청 메시지에 포함된 암호화 된 필드를 복원하는 역할을 수행한다. 그리고 단말기 등록부(110)는 필드 복원부(108)에 의해 복원된 필드를 이용하여 단말기를 등록하는 역할을 수행한다. The
단말기 인증부(112)는 SIP 등록을 요청하는 단말기(104)에 대한 인증을 수행한다. 이러한 인증 과정은 보안이 취약한 기존 SIP 등록 과정을 보완하기 위한 것으로서, SIP 서버(102)는 이 인증 과정을 통해 인증에 성공한 단말기에 대해서만 SIP 등록 과정을 수행한다. 단말기(104)는 인증 과정에 필요한 인증자를 SIP 등록 요청 메시지에 포함시키거나 SIP 등록 요청 메시지와 함께 SIP 서버(102)에 전송할 수 있다.The
다음으로, 단말기(104)는 통신부(114), 메시지 생성부(116) 및 세션 키 생성부(118)를 포함한다. 먼저 통신부(114)는 SIP 서버(102)와 데이터를 주고받는 역할을 수행하는데, 특히 SIP 등록 요청 메시지를 SIP 서버(102)에 전송하고, SIP 서버(102)로부터 SIP 등록 요청 메시지에 대한 응답인 SIP 등록 응답 메시지를 전송받는다. SIP 등록 요청 메시지에는 앞서 언급한 대로 세션 키를 생성할 수 있는 난수가 포함될 수 있으며, 또한 SIP 서버(102)에 대한 인증을 요청하기 위한 인증자가 포함될 수도 있다.Next, the
세션 키 생성부(118)는 SIP 서버(102)로부터 전송되는 SIP 등록 응답 메시지에 포함된 난수를 이용하여 세션 키를 생성하는 역할을 한다. 이 세션 키는 SIP 등록 과정 다음으로 일어나는 SIP 세션 설정 과정에서 세션의 보안을 유지하는 데 사용되며, 자세한 내용은 후술한다.The session
도 2는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도이다.2 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP session establishment process according to another embodiment of the present invention.
도 2에서, SIP 서버(204)는 발신 단말기(202)와 수신 단말기(206) 사이의 세션 설정을 관리하는 역할을 한다. 발신 단말기(202)와 수신 단말기(206)는 각각 세션 설정을 위해 SIP를 이용하는 단말기이며, 발신 단말기(202)는 수신 단말기(206)에 대하여 UAc(User Agent client), 수신 단말기(206)는 발신 단말기(202)에 대하여 UAs(User Agent server)로 불리기도 한다. UAc 및 UAs는 상대적인 개념으로서, 누가 세션을 요청하는지에 따라 서로 바뀌어 불릴 수도 있다. In FIG. 2, the
먼저 발신 단말기(202)는 통신부(208), 메시지 생성부(210), 미디어 키 관리부(212) 및 세션 관리부(214)를 포함한다. 통신부(208)는 SIP 세션 요청 메시지를 수신 단말기(206)에 전송하고, SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송받는 역할을 수행한다. First, the
메시지 생성부(210)는 수신 단말기(206)에 대한 SIP 세션 요청 메시지를 생성하는 역할을 한다. 미디어 키 관리부(212)는 수신 단말기(206)와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 역할을 한다. 또한 미디어 키 관리부(212)는 전송받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다. The
그리고 세션 관리부(214)는 수신 단말기(206)와의 세션을 설정하고 관리하는 역할을 하는데, 이 세션은 미디어 키 관리부(212)에 의해 생성된 미디어 키를 이용하여 암호화된다. 세션이 설정된 후 단말기 간 데이터 전송이 완료되면, 메시지 생성부(210)는 세션 종료를 위한 세션 종료 메시지를 생성하고 통신부(208)를 통해 세션 종료 메시지를 수신 단말기(206)에 전송할 수 있다. 이 세션 종료 메시지에는 앞서 생성된 미디어 키를 이용하여 생성된 인증자가 포함될 수 있다. 이 인증자에 의한 인증 과정은 악의를 가진 해커 등에 의해 사용자가 원치 않음에도 불구하고 세션이 종료되는 상황을 방지하기 위한 것이다.The
SIP 서버(204)는 통신부(216), 미디어 키 생성 정보 관리부(218), 암호화부(220), 인증부(222) 및 세션 관리부(224)를 포함한다. 통신부(216)는 발신 단말 기(202)로부터 SIP 세션 요청 메시지를 수신하여 수신 단말기(206)에 전송하고, 수신 단말기(206)로부터 SIP 세션 요청 메시지에 대한 SIP 세션 응답 메시지를 수신하여 발신 단말기(202)로 전송하는 역할을 한다. The
미디어 키 생성 정보 관리부(218)는 발신 단말기(202) 및 수신 단말기(204) 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 생성하여 수신 단말기(204)에 전송한다. 또한 미디어 키 생성에 이용되는 제 2 미디어 키 생성 정보를 생성하여 발신 단말기(202)에 전송하는 역할도 수행한다. The media key generation
한편, 암호화부(220)는 SIP 세션 요청 메시지, SIP 세션 응답 메시지, 제 1 미디어 키 생성 정보 및 제 2 미디어 키 생성 정보를 암호화하는 역할을 한다. 암호화부(220)의 암호화 과정에는 발신 단말기(202)의 등록과정에서 생성된 제 1 세션키 또는 수신 단말기(206)의 등록과정에서 생성된 제 2 세션키가 이용된다. Meanwhile, the
인증부(222)는 발신 단말기(202)로부터의 SIP 세션 요청 메시지 또는 수신 단말기(206)로부터의 SIP 세션 응답 메시지를 인증하는 역할을 한다. 이 인증 과정을 위하여, SIP 세션 요청 메시지와 SIP 세션 응답 메시지에는 각각 발신 단말기(202)와 수신 단말기(206)의 인증자가 포함될 수 있다. 그리고 SIP 서버(204)의 미디어 키 생성 정보 관리부(218)에 의해 발신 단말기(202)와 수신 단말기(204)에 각각 제 1 미디어 키 생정 정보와 제 2 미디어 키 생성 정보가 전송될 때, 각각의 단말기는 이 미디어 키 생성 정보에 대한 인증 과정을 수행할 수 있다. 따라서 인증부(222)는 이 미디어 키 생성 정보의 인증 과정에 사용되는 서버 인증자를 생성, 관리하는 역할을 할 수 있다.The
세션 관리부(224)는 발신 단말기(202)와 수신 단말기(206) 사이의 세션을 설정하는 역할을 한다. 이 때 이 세션은 제 1 미디어 키 생정 정보 또는 제 2 미디어 키 생성 정보에 의해 생성된 미디어키를 통해 암호화된다. 설정된 세션에 의한 데이터 전송이 완료되면, 세션 관리부(224)는 발신 단말기(202) 또는 수신 단말기(206)의 세션 종료 메시지를 수신 단말기(206) 또는 발신 단말기(202)에 전송한다. 그리고 나서 세션 관리부(224)는 설정되어 있는 세션을 종료하게 된다. 이 때, 세션 종료 메시지에는 보안을 위하여, 미디어키를 이용하여 생성된 인증자가 포함될 수 있다.The
수신 단말기(206)는 통신부(226), 미디어 키 관리부(228) 및 세션 관리부(230)를 포함한다. 통신부(226)는 발신 단말기(202)로부터의 SIP 세션 요청 메시지를 전송받고, 이 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송하는 역할을 한다.The receiving
미디어 키 관리부(228)는 발신 단말기(202)와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 역할을 한다. 또한 미디어 키 관리부(228)는 전송받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다. The
그리고 세션 관리부(230)는 발신 단말기(202)와의 세션을 설정하고 관리하는 역할을 하는데, 이 세션은 미디어 키 관리부(228)에 의해 생성된 미디어 키를 이용하여 암호화된다. 세션이 설정된 후 단말기 간 데이터 전송이 완료되면, 수신 단말 기(206)는 통신부(226)를 통해 세션 종료 메시지를 발신 단말기(202)에 전송할 수 있다. 이 세션 종료 메시지에는 앞서 생성된 미디어 키를 이용하여 생성된 인증자가 포함될 수 있다. 이 인증자에 의한 인증 과정은 앞에서 언급했던 바와 같이 발신자 또는 수신자의 의지에 반하는 세션 종료 상황을 방지하기 위한 것이다.The
도 3은 본 발명의 일 실시예에 의한 SIP 등록 과정을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a SIP registration process according to an embodiment of the present invention.
SIP를 사용하는 단말기 간에 세션을 설정하고 데이터를 주고받기 위해서는 먼저 SIP 등록 과정이 요구된다. 같은 도메인 내의 SIP 등록 서버(SIP Registrar) 및 AAA(Authentication Authorization Accounting) 서버는 같은 도메인 내의 단말기를 인증할 수 있는 정보인 보안 연계 정보(Security Association)을 가지고 있다. 하지만 단말기가 이동 노드로 구현되어 있는 경우, 이 단말기가 방문하는 임의의 SIP 망과 어떠한 보안 연계 정보도 가질 수가 없기 때문에 SIP 등록 과정 상에서의 보안이 문제된다. 따라서 본 발명은 이러한 문제점을 해결하고자 보안성이 강화된 SIP 등록 과정을 제공한다.In order to establish a session and exchange data between SIP terminals, a SIP registration process is required. The SIP Registrar and the Authorization Authorization Accounting (AAA) server in the same domain have a security association, which is information that can authenticate a terminal in the same domain. However, when the terminal is implemented as a mobile node, security in the SIP registration process is problematic because it cannot have any security association information with any SIP network visited by the terminal. Therefore, the present invention provides a security registration process enhanced SIP to solve this problem.
본 발명의 SIP 등록 과정의 개요는 다음과 같다. 단말기(10)는 인증을 위한 인증자가 첨부된 SIP 등록 요청 메시지를 SIP 프록시 서버(20)에 전송한다. 이 때 SIP 등록 요청 메시지의 일부 필드는 암호화 되어 있으므로 SIP 프록시 서버(20)는 단말기(10)의 등록을 더 이상 진행할 수 없다. 따라서 AAA(30)에 SIP 등록 요청 메시지 및 인증자를 전송하고, AAA(30)에서는 인증자를 통한 단말기 인증 및 암호화 된 필드의 복원을 수행한다. AAA(30)는 이후 복원된 필드가 포함된 SIP 등록 요청 메시지를 다시 SIP 프록시 서버(20)에 전송하고, SIP 프록시 서버는 복원된 필드를 이용하여 단말기(10)를 등록시킨다. AAA(30)는 SIP 프록시 서버(20) SIP 세션 설정 과정에서 이용될 세션 키 및 이 세션 키 생성을 위한 난수도 전송하는데, SIP 프록시 서버(20)는 이 중 난수만을 단말기(10)에 전송하고, 단말기(10)는 이 난수를 이용하여 세션 키를 취득한다. An overview of the SIP registration process of the present invention is as follows. The terminal 10 transmits to the SIP proxy server 20 a SIP registration request message to which an authenticator for authentication is attached. At this time, since some fields of the SIP registration request message are encrypted, the
이를 좀 더 구체적으로 설명하면 다음과 같다. 도 3에서, 단말기(10)는 먼저 SIP 등록 요청 메시지(SIP Register)를 생성하여 SIP 프록시 서버(20)로 전송함으로써 SIP 등록을 시도한다(302). 이 때, SIP 등록 요청 메시지는 RFC 3261 표준에 정의된 형식을 사용할 수 있으며, 단말기의 인증을 위한 인증자(Authenticator) 필드가 추가될 수 있다. 인증자 필드가 추가된 RFC 3261 표준의 SIP 등록 요청 메시지는 다음과 같다.If this is explained in more detail as follows. In FIG. 3, the terminal 10 first attempts to register a SIP by generating a SIP register request message (SIP Register) and transmitting it to the SIP proxy server 20 (302). In this case, the SIP registration request message may use a format defined in the RFC 3261 standard, and an authenticator field for authentication of the terminal may be added. The SIP registration request message of the RFC 3261 standard with the authenticator field added is as follows.
REGISTER sip: sip proxy SIP/2.0REGISTER sip: sip proxy SIP / 2.0
Via: SIP/2.0/UDP: 5060: branch=Via: SIP / 2.0 / UDP: 5060: branch =
MAX-Forward:MAX-Forward:
To:To:
From:From:
Call-ID:Call-ID:
Cseq: 1 REGISTERCseq: 1 REGISTER
Contact:Contact:
Content-Length:Content-Length:
Authenticator:Authenticator:
보안성이 강화된 SIP 등록 과정을 위하여, 본 발명에서는 이 SIP 등록 요청 메시지 필드 중 특정 필드를 표준과 다르게 지정한다. 이를 위해, 단말기(10)와 AAA 서버(30)간의 공유 비밀키(Shared Secret Key)인 SSKUA-AAA(Shared Secret Key of User Agent-AAA)가 사용된다. 변형되는 필드는 다음과 같다.For the enhanced SIP registration process, certain fields of the SIP registration request message field are designated differently from the standard in the present invention. To this end, a shared secret key (SSKUA-AAA), which is a shared secret key between the terminal 10 and the
Via: SIP/2.0/UDP E(UA address, SSKUA-AAA):5060Via: SIP / 2.0 / UDP E (UA address, SSKUA-AAA): 5060
To: E(URI, SSKUA-AAA)To: E (URI, SSKUA-AAA)
From: E(URI, SSKUA-AAA)From: E (URI, SSKUA-AAA)
Authenticator: HASH(REGISTER, SSKUA-AAA)Authenticator: HASH (REGISTER, SSKUA-AAA)
이와 같이 일부 중요 필드들을 공유 비밀키를 통해 암호화 함으로써 최초의 등록 메시지를 보호할 수 있게 된다.As such, some sensitive fields can be encrypted using a shared secret key to protect the original registration message.
단말기(10)로부터 SIP 등록 요청 메시지 및 인증자를 전송받은 SIP 프록시 서버(20)는 등록에 필요한 중요 필드들이 위와 같이 암호화되어 있으므로 단말기(10) 등록을 수행하는 것이 불가능하다. 따라서 SIP 프록시 서버(20)는 단말기(10)로부터의 SIP 등록 요청 메시지 및 인증자를 AAA 서버(30)에 전송한다. The
AAA 서버(30)는 단말기(10)와의 공유 비밀키를 이용하여 전송받은 SIP 등록 요청 메시지의 인증자를 처리한 후, 인증이 성공되면 암호화된 Via, To, From, Contact 필드의 값을 복원한다. 그리고 나서 복원된 상기 필드 값들이 포함된 SIP 등록 요청 메시지를 세션 키 및 난수와 함께 SIP 프록시 서버(20)로 전송한다(306). 여기서, 세션 키는 본 발명의 SIP 등록 과정 이후 이루어지는 SIP 세션 설정 및 이 세션을 이용한 데이터 전송 과정에서의 보안을 위하여 사용되는 것이다. 그리고 난수는 이 세션 키를 생성하는데 이용된다. 단계 306을 통하여 AAA(30)가 SIP 프록시 서버(20)에 보내는 SIP 등록 요청 메시지는 다음과 같다.The
REGISTER sip: sip proxy SIP/2.0REGISTER sip: sip proxy SIP / 2.0
Via: SIP/2.0/UDP UA Address:5060: branch=Via: SIP / 2.0 / UDP UA Address: 5060: branch =
MAX-Forward:MAX-Forward:
To: UA URITo: UA URI
From: UA URIFrom: UA URI
Call-ID:Call-ID:
Cseq: 1 REGISTERCseq: 1 REGISTER
Contact:Contact:
Content-Length:Content-Length:
Nonce :Nonce:
Session-Key:Session-Key:
AAA(30)가 SIP 프록시 서버(20)에 전송하는 상기 SIP 등록 요청 메시지를 보면, 암호화 되어있던 Via, To, From, Contact 필드 값이 복원되어 있는 것을 알 수 있다. 또한 Nonce, Session-Key 필드가 추가되어 있는 것도 확인할 수 있다. Nonce 및 Session-Key 필드는 다음과 같이 정의된다.Looking at the SIP registration request message transmitted from the
Nonce: AAA가 생성한 난수Nonce: AAA-generated random number
Session-Key: HASH(Nonce, SSKUA-AAA)Session-Key: HASH (Nonce, SSKUA-AAA)
AAA(30)로부터 암호화된 필드가 복원된 SIP 등록 요청 메시지를 전송받은 SIP 프록시 서버(20)는 이 SIP 등록 요청 메시지에서 Session-Key 필드를 삭제한다. 그리고 나서, 복원된 필드 값을 이용하여 단말기(10)를 등록한다. 등록이 완료되면 SIP 프록시 서버는 이를 알리는 200 OK 메시지를 단말기(10)에 전송하는데, 이 때 앞서 AAA(30)에 의해 생성된 난수를 함께 전달할 수 있다(308). 여기서, 단말기(10)에 전송되는 난수는 보안을 위해 암호화될 수 있다. 단말기(10)는 암호화된 난수를 추출하고, 이 난수를 이용하여 세션 키를 생성하게 된다. 생성된 세션 키는 후술할 SIP 세션 설정 과정에서 보안에 이용된다.The
도 4는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a SIP session establishment process according to another embodiment of the present invention.
본 발명의 SIP 세션 설정 과정이 수행되기 위하여, 발신 단말기(40)와 수신 단말기(60)는 앞서 설명한 본 발명의 SIP 등록 과정을 마친 상태이어야 한다. 이에 따라 발신 단말기(40)와 수신 단말기(60)는 SIP 서버(50)로부터 각각 난수를 전송받고 이 난수를 이용하여 세션 키를 생성한 상태이다. 참고로 도 4에서, SIP 서버(50)는 도 3의 SIP 프록시 서버(20) 및 AAA(30)를 포함하는 의미의 모듈로서 이해되어야 한다.In order for the SIP session establishment process of the present invention to be performed, the calling
먼저 발신 단말기(40)는 수신 단말기(60)에 대한 SIP 세션 요청 메시지(Invite 메시지)를 생성하고, 이를 SIP 서버(50)를 통해 수신 단말기(60)로 전송한다(402). 이 때, 이 Invite 메시지는 발신 단말기(40)와 SIP 서버(50)간의 세션 키인 SKUAc-Proxy(Secret Key of User Agent client-Proxy)를 이용하여 암호화된다. 또한 Invite 메시지에는 Invite 메시지의 무결성과 발신 단말기(40)에 대한 인증을 위한 인증자가 첨부된다(402). 인증자는 다음의 과정으로 생성된다.First, the originating
Authenticator: HASH(INVITE, SKUAc-Proxy)Authenticator: HASH (INVITE, SKUAc-Proxy)
인증자를 통해 Invite 메시지의 무결성과 발신 단말기(40)를 인증한 SIP 서버(50)는 수신된 Invite 메시지에 미디어 키를 생성하기 위한 제 1 미디어 키 생성 정보(MKmaterialUAc)를 첨부하여 수신 단말기(60)로 전송한다(404). MKmaterialUAc는 다음과 같이 생성된다.The
MKmaterialUAc: HASH(Call-ID, SKUAc-Proxy)MKmaterialUAc: HASH (Call-ID, SKUAc-Proxy)
MKmaterialUAc는 수신 단말기(60)와 SIP 서버(50)간의 세션 키인 SKUAs-Proxy(Secret Key of User Agent server-Proxy)를 이용하여 암호화된다. 그리고 SIP 서버(50)가 수신 단말기(60)로 전송하는 Invite 메시지에는 메시지의 무결성과 송신자의 확인을 위하여 Invite 메시지를 SKUAs-Proxy로 해싱한 인증자가 첨부된다.The MKmaterialUAc is encrypted using SKUAs-Proxy (Secret Key of User Agent server-Proxy), which is a session key between the receiving
수신 단말기(60)는 SIP 서버(50)를 통해 발신 단말기(40)에 180 Ringing 메시지를 전송한다(406, 408).The receiving
수신 단말기(60)는 SIP 서버(50)로부터 수신한 Invite 메시지에서 제 1 미디어 키 생성 정보, 즉 MKmaterialUAc를 추출하여 다음과 같이 미디어 키를 생성한다.The receiving
Media Key: HASH(MKmaterialUAc, HASH(Call-ID, SKUAs-Proxy))Media Key: HASH (MKmaterialUAc, HASH (Call-ID, SKUAs-Proxy))
이 미디어 키 생성 함수에서, HASH(Call-ID, SKUAs-Proxy)는 제 2 미디어 키 생성 정보, 즉 MKmaterialUAs를 의미한다. 즉, 상기 미디어 키는 제 1 미디어 키 생성 정보(MKmaterialUAc)와 제 2 미디어 키 생성 정보(MKmaterialUAs)를 이용하여 생성되는 것이다.In this media key generation function, HASH (Call-ID, SKUAs-Proxy) means second media key generation information, namely MKmaterialUAs. That is, the media key is generated using the first media key generation information MKmaterialUAc and the second media key generation information MKmaterialUAs.
수신 단말기(40)는 SIP 서버(50)를 통해 SIP 세션 응답 메시지인 200 OK 메시지를 전송한다(410). 이 200 OK 메시지는 RTP(Real-time Transport Protocol) 스트림의 연결점을 표시하는 중요한 정보를 포함하기 때문에, SKUAs-Proxy로 암호화 되는 것이 바람직하다. 또한 인증을 위한 인증자를 첨부하여 메시지의 무결성과 수신 단말기(40)에 대한 SIP 서버(50)에서의 인증을 수행할 수 있도록 한다(410). 인증자는 다음과 같이 생성된다.The receiving
Authenticator: HASH(200 OK, SKUAs-Proxy)Authenticator: HASH (200 OK, SKUAs-Proxy)
SIP 서버(50)는 수신된 200 OK 메시지에 미디어 키를 생성하기 위한 제 2 미디어 키 생성 정보(MKmaterialUAs)를 첨부하여 발신 단말기(60)로 전송한다(412). 앞에서 언급한 바와 같이, MKmaterialUAs는 다음과 같이 생성된다.The
MKmaterialUAs: HASH(Call-ID, SKUAs-Proxy)MKmaterialUAs: HASH (Call-ID, SKUAs-Proxy)
또한 발신 단말기(40)가 수신하는 200 OK 메시지에는 메시지의 무결성 및 SIP 서버(50)에 대한 인증을 위한 인증자가 포함된다(412). In addition, the 200 OK message received by the calling
발신 단말기(40)는 200 OK 메시지를 받은 후 ACK 메시지를 수신 단말기(60)에 전송한다(414). 그리고 나서, 발신 단말기(40)와 수신 단말기(60) 사이에는 RTP를 이용한 세션이 설정된다. 이 RTP 세션은 발신 단말기(40)와 수신 단말기(60) 양단에서 보유한 미디어 키를 이용하여 암호화된다. 만약 이 세션이 별도의 메커니즘을 사용하여 주기적으로 키 교환을 하도록 설정되어 있다면, 본 발명에 의한 미디어 키를 공유 비밀 키(Shared Secret Key)로 활용할 수도 있다.After receiving the 200 OK message, the calling
한편, 설정된 세션을 이용하여 양 단말기 간의 데이터 전송이 완료되면, 세션을 종료해야 한다. 세션을 종료하기 위해서, 발신 단말기(40) 또는 수신 단말기(60)는 각각 상대방 단말기에 세션 종료를 요청하는 BYE 메시지를 전송한다. 그런데 이러한 종래 메시지가 악의를 가진 외부의 제 3자에 의해 전송되고 이 메시지에 의한 종료 요청이 승인된다면, 데이터 완료 전에 강제로 세션이 종료되는 결과를 낳게 된다. Meanwhile, when data transmission between both terminals is completed using the established session, the session must be terminated. In order to terminate the session, the originating
따라서, BYE 메시지에는 해당 메시지의 송신자를 구별할 수 있는 인증자를 첨부하여 이러한 위험을 막을 수 있다. 이 인증자는 양 단말기가 보유하고 있는 미디어 키를 이용하여 생성된다.Therefore, the BYE message can be prevented by attaching an authenticator to distinguish the sender of the message. This authenticator is created using the media keys held by both terminals.
Authenticator: HASH(BYE, Media Key)Authenticator: HASH (BYE, Media Key)
도 4에서, 수신 단말기(60)는 발신 단말기(40)에 이러한 인증자가 포함된 BYE 메시지를 전송한다(418). 발신 단말기(40)는 이 BYE 메시지를 수신하고, 인증자를 이용하여 BYE 메시지의 송신자가 수신 단말기(60)임을 확인한다. 확인이 완료되면 발신 단말기(40)는 200 OK 메시지를 수신 단말기(60)에 전송한다(420). 이로서 세션이 종료된다. 도 4에는 수신 단말기(60)가 발신 단말기(40)에 세션 종료를 요청하는 과정이 나타나 있으나, 발신 단말기(40)가 세션 종료를 요청하는 경우에도 위와 마찬가지이다.In FIG. 4, the receiving
이러한 본 발명의 SIP 등록 과정 및 SIP 세션 설정 과정을 통하여, SIP 메시 지의 변형으로 인한 세션 하이재킹(Session Hijackning), 도청, 강제 세션 종료, ARP Poisoning(Address Resolution Protocol) 등의 보안 위협을 해결할 수 있다. 또한 URI의 암호화로 인하여, URI 수집에 대한 SPAM 메시지 등의 위협에서도 자유로울 수 있게 된다.Through the SIP registration process and SIP session establishment process of the present invention, it is possible to solve security threats such as session hijacking, eavesdropping, forced session termination, and ARP Poisoning (Address Resolution Protocol) due to the modification of the SIP message. In addition, due to the encryption of the URI, it can be free from threats such as SPAM messages about URI collection.
도 5는 본 발명의 일 실시예에 의한 SIP 서버의 단말기 등록 방법의 흐름을 나타내는 순서도이다.5 is a flowchart illustrating a flow of a terminal registration method of a SIP server according to an embodiment of the present invention.
먼저 단말기로부터 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 전송받는다(502). 이 때 SIP 등록 과정의 보안을 위해, 단말기 인증자를 이용하여 해당 단말기에 대한 인증 과정을 수행할 수 있다(504). First, a SIP registration request message including an encrypted field is transmitted from a terminal (502). In this case, in order to secure the SIP registration process, an authentication process for the corresponding terminal may be performed using the terminal authenticator (504).
SIP 등록 요청 메시지를 전송받은 후, 이 메시지에 포함되어 있는 암호화된 필드를 복원한다(506). 복원이 완료되면, 복원된 필드 값을 이용하여 단말기 등록 과정을 수행한다(508). After receiving the SIP registration request message, the encrypted field included in the message is restored (506). When the restoration is completed, the terminal registration process is performed using the restored field value (508).
단말기 등록이 완료되면, 세션 키 생성을 위한 난수가 포함된 SIP 등록 응답 메시지를 전송한다(510). 단말기는 이 난수를 이용하여 세션 키를 생성할 수 있는데, 이 세션 키는 SIP 등록 후 단말기간의 SIP 세션 설정 과정에서 세션의 보안을 유지하는 데 이용된다.When the terminal registration is completed, the SIP registration response message including the random number for generating the session key is transmitted (510). The terminal can generate a session key using this random number, which is used to secure the session in the process of establishing a SIP session between terminals after SIP registration.
도 6은 본 발명의 일 실시예에 의한 단말기의 SIP 등록 방법의 흐름을 나타내는 순서도이다.6 is a flowchart illustrating a flow of a SIP registration method of a terminal according to an embodiment of the present invention.
먼저 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 생성한다(602). 기존 SIP 메시지의 필드들은 암호화되지 않은 채 그대로 전송되었으므로 보안에 취약한 단점이 있어 본 발명에서는 중요 필드들을 암호화한다. 그리고 SIP 등록 요청 메시지를 SIP 서버에 전송하는데, 이 SIP 등록 요청 메시지에는 단말기의 인증에 이용되는 인증자가 포함되어 있다(604).First, a SIP registration request message including an encrypted field is generated (602). Since the fields of the existing SIP message are transmitted as they are not encrypted, there is a weak point in security. In the present invention, the important fields are encrypted. The SIP registration request message is transmitted to the SIP server. The SIP registration request message includes an authenticator used for authentication of the terminal (604).
SIP 서버에서 단말기 등록이 끝나면, SIP 등록 응답 메시지를 전송받게 되는데, 이 SIP 등록 응답 메시지에는 세션 키 생성을 위한 난수가 포함되어 있다(606). 이제 전송받은 난수를 이용하여 세션 키를 생성한다(608). 난수 및 세션 키에 대한 설명은 앞에서 언급한 바 있으므로 생략한다.When the terminal registration is completed in the SIP server, the SIP registration response message is transmitted. The SIP registration response message includes a random number for generating a session key (606). The session key is generated using the received random number (608). The description of the random number and the session key is omitted because it was mentioned above.
도 7은 본 발명의 다른 실시예에 의한 SIP 서버의 단말기 간 세션 설정 관리 방법의 흐름을 나타내는 순서도이다.7 is a flowchart illustrating a flow of a method for managing session establishment between terminals in a SIP server according to another embodiment of the present invention.
먼저 제 1 단말기로부터 SIP 세션 요청 메시지를 수신하여 제 2 단말기에 전송한다(702). 그리고 나서, 제 1 및 제 2 단말기 사이에서 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 제 2 단말기에 전송한다(704). First, a SIP session request message is received from a first terminal and transmitted to a second terminal (702). Then, the first media key generation information used to generate a media key for encrypting the session set up between the first and second terminals is transmitted to the second terminal (704).
다음으로, 제 2 단말기로부터 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 수신하여 제 1 단말기에 전송한다(706). 그 후 제 2 미디어 키 생성 정보를 제 1 단말기에 전송하는데, 이 제 2 미디어 키 생성정보는 제 1 미디어 키와 함께 미디어 키를 생성하는 데 이용된다(708). Next, a SIP session response message, which is a response to the SIP session request message, is received from the second terminal and transmitted to the first terminal (706). The second media key generation information is then sent to the first terminal, which is used (708) to generate a media key along with the first media key.
도 7에서, SIP 세션 요청 메시지 또는 제 2 미디어 키 생성 정보는 제 1 단말기의 SIP 등록 과정에서 생성된 제 1 세션 키를 이용하여 암호화될 수 있다. 또한 SIP 세션 응답 메시지 또는 제 1 미디어 키 생성 정보는 제 2 단말기의 SIP 등록 과정에서 생성된 제 2 세션 키를 이용하여 암호화될 수 있다.In FIG. 7, the SIP session request message or the second media key generation information may be encrypted using the first session key generated during the SIP registration process of the first terminal. In addition, the SIP session response message or the first media key generation information may be encrypted using the second session key generated during the SIP registration process of the second terminal.
또한 보안을 위해서, SIP 세션 요청 메시지 또는 SIP 세션 응답 메시지에는 제 1 단말기 또는 제 2 단말기의 인증자가 포함될 수 있고, 이에 따른 단말기 인증 과정이 추가로 수행될 수 있다. 마찬가지로 제 1 미디어 키 생성 정보 또는 제 2 미디어 키 생성 정보에도 서버 인증자가 포함될 수 있으며 이에 따른 서버 인증 과정이 추가로 수행될 수 있다. In addition, for security purposes, the SIP session request message or the SIP session response message may include an authenticator of the first terminal or the second terminal, and a terminal authentication process may be additionally performed. Similarly, the server authenticator may be included in the first media key generation information or the second media key generation information, and a server authentication process may be additionally performed.
도 7에는 도시되지 않았으나, 단계 708에 의한 제 2 미디어 키 생성 정보의 전송이 완료된 후, 제 1 단말기 및 제 2 단말기 간의 세션을 설정하는 단계가 더 포함될 수 있다. 이 세션은 제 1 및 제 2 미디어키를 이용하여 생성되는 미디어 키를 통해 암호화된다. 그리고 세션을 종료하기 위해서 제 1 단말기에 대한 제 2 단말기의 세션 종료 메시지 또는 제 2 단말기에 대한 제 1 단말기의 세션 종료 메시지를 전송하고 세션을 종료하는 단계 또한 포함될 수 있다. 이 때 세션 종료 메시지는 미디어 키를 이용하여 생성된 인증자를 포함할 수 있다.Although not shown in FIG. 7, after the transmission of the second media key generation information by step 708 is completed, establishing a session between the first terminal and the second terminal may be further included. This session is encrypted with a media key generated using the first and second media keys. The method may also include transmitting a session end message of the second terminal to the first terminal or a session end message of the first terminal to the second terminal and ending the session to end the session. At this time, the session end message may include an authenticator generated using the media key.
도 8은 본 발명의 다른 실시예에 의한 발신 단말기의 SIP 세션 설정 방법의 흐름을 나타내는 순서도이다.8 is a flowchart illustrating a flow of a method for establishing a SIP session of a calling terminal according to another embodiment of the present invention.
먼저 수신 단말기에 대한 SIP 세션 요청 메시지를 생성한다(802). 그리고 이 세션 요청 메시지를 수신 단말기에 전송한다(804). 그리고 수신 단말기로부터 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지와 함께 미디어 키 생성 정보를 전송받는다(806, 808).First, a SIP session request message for a receiving terminal is generated (802). The session request message is transmitted to the receiving terminal (804). Media key generation information is transmitted from the receiving terminal together with the SIP session response message in response to the SIP session request message (806 and 808).
그리고 나서, 세션의 보안을 위하여 전송 받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다(810). 이 미디어 키는 수신 단말기와의 사이에서 설정되는 세션의 암호화에 이용된다(812). Then, the media key is generated using the received media key generation information for the security of the session (810). This media key is used to encrypt the session established with the receiving terminal (812).
세션 설정 후 데이터 전송이 완료되면, 미디어 키를 이용하여 생성된 인증자를 포함하는 세션 종료 메시지를 전송한다(814). 수신 단말기에서 인증이 성공하고 세션 종료 메시지가 승인되면, 세션을 종료한다(816).When data transmission is completed after the session is established, the session termination message including the authenticator generated using the media key is transmitted (814). If authentication is successful at the receiving terminal and the session end message is approved, the session is terminated (816).
도 9는 본 발명의 다른 실시예에 의한 수신 단말기의 SIP 세션 설정 방법의 흐름을 나타내는 순서도이다.9 is a flowchart illustrating a flow of a method for establishing a SIP session of a receiving terminal according to another embodiment of the present invention.
먼저 발신 단말기로부터 SIP 세션 요청 메시지와 미디어 키 생성 정보를 전송받는다(902, 904). 그리고 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송한다(906).First, a SIP session request message and media key generation information are received from a calling terminal (902, 904). In
그리고 나서, 세션의 보안을 위하여 전송 받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다(908). 이 미디어 키는 수신 단말기와의 사이에서 설정되는 세션의 암호화에 이용된다(910). Then, the media key is generated using the received media key generation information for the security of the session (908). This media key is used to encrypt the session established with the receiving terminal (910).
세션 설정 후 데이터 전송이 완료되면, 미디어 키를 이용하여 생성된 인증자를 포함하는 세션 종료 메시지를 전송한다(912). 발신 단말기에서 인증이 성공하고 세션 종료 메시지가 승인되면, 세션을 종료한다(914).When data transmission is completed after the session is established, the session termination message including the authenticator generated using the media key is transmitted (912). If authentication is successful at the originating terminal and the session end message is approved, the session is terminated (914).
전술한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by.
도 1은 본 발명의 일 실시예에 의한 SIP 등록 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도.1 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP registration process according to an embodiment of the present invention.
도 2는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도.2 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP session establishment process according to another embodiment of the present invention.
도 3은 본 발명의 일 실시예에 의한 SIP 등록 과정을 설명하기 위한 흐름도.3 is a flowchart illustrating a SIP registration process according to an embodiment of the present invention.
도 4는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 설명하기 위한 흐름도.4 is a flowchart illustrating a SIP session establishment process according to another embodiment of the present invention.
도 5는 본 발명의 일 실시예에 의한 SIP 서버의 단말기 등록 방법의 흐름을 나타내는 순서도.5 is a flow chart showing the flow of the terminal registration method of the SIP server according to an embodiment of the present invention.
도 6은 본 발명의 일 실시예에 의한 단말기의 SIP 등록 방법의 흐름을 나타내는 순서도.6 is a flow chart showing the flow of the SIP registration method of the terminal according to an embodiment of the present invention.
도 7은 본 발명의 다른 실시예에 의한 SIP 서버의 단말기 간 세션 설정 관리 방법의 흐름을 나타내는 순서도7 is a flowchart illustrating a flow of a method for managing session establishment between terminals in a SIP server according to another embodiment of the present invention.
도 8은 본 발명의 다른 실시예에 의한 발신 단말기의 SIP 세션 설정 방법의 흐름을 나타내는 순서도.8 is a flowchart illustrating a flow of a method for establishing a SIP session of a calling terminal according to another embodiment of the present invention.
Claims (31)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20070134620 | 2007-12-20 | ||
KR1020070134620 | 2007-12-20 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090067041A true KR20090067041A (en) | 2009-06-24 |
KR101016277B1 KR101016277B1 (en) | 2011-02-22 |
Family
ID=40994952
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080123230A KR101016277B1 (en) | 2007-12-20 | 2008-12-05 | Method and apparatus for sip registering and establishing sip session with enhanced security |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101016277B1 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101028487B1 (en) * | 2010-06-30 | 2011-04-14 | 주식회사 다이얼커뮤니케이션즈 | Method for connecting internet telephone |
KR101041386B1 (en) * | 2011-03-09 | 2011-06-20 | 주식회사 다이얼커뮤니케이션즈 | Internet telephone system for connecting to internet phone on the smartphone using push server |
KR20170039416A (en) * | 2015-10-01 | 2017-04-11 | 주식회사 엘지유플러스 | Security Incoming and Outgoing Calls Using Voice over LTE Terminal And Control Method Thereof |
KR101965307B1 (en) * | 2017-10-31 | 2019-04-03 | 삼성에스디에스 주식회사 | Message processing apparatus |
KR101965306B1 (en) * | 2017-10-25 | 2019-04-03 | 삼성에스디에스 주식회사 | Message server and message processing apparatus including the same |
KR102507608B1 (en) * | 2022-06-29 | 2023-03-08 | 이승화 | System and Method for Creating session of Multimedia communication using Decentralized Identifier |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7024688B1 (en) * | 2000-08-01 | 2006-04-04 | Nokia Corporation | Techniques for performing UMTS (universal mobile telecommunications system) authentication using SIP (session initiation protocol) messages |
KR20060053003A (en) * | 2003-03-14 | 2006-05-19 | 톰슨 라이센싱 | Wlan session management techniques with secure rekeying and logoff |
US7895436B2 (en) * | 2003-10-28 | 2011-02-22 | The Foundation For The Promotion Of Industrial Science | Authentication system and remotely-distributed storage system |
-
2008
- 2008-12-05 KR KR1020080123230A patent/KR101016277B1/en active IP Right Grant
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101028487B1 (en) * | 2010-06-30 | 2011-04-14 | 주식회사 다이얼커뮤니케이션즈 | Method for connecting internet telephone |
KR101041386B1 (en) * | 2011-03-09 | 2011-06-20 | 주식회사 다이얼커뮤니케이션즈 | Internet telephone system for connecting to internet phone on the smartphone using push server |
KR20170039416A (en) * | 2015-10-01 | 2017-04-11 | 주식회사 엘지유플러스 | Security Incoming and Outgoing Calls Using Voice over LTE Terminal And Control Method Thereof |
KR101965306B1 (en) * | 2017-10-25 | 2019-04-03 | 삼성에스디에스 주식회사 | Message server and message processing apparatus including the same |
KR101965307B1 (en) * | 2017-10-31 | 2019-04-03 | 삼성에스디에스 주식회사 | Message processing apparatus |
KR102507608B1 (en) * | 2022-06-29 | 2023-03-08 | 이승화 | System and Method for Creating session of Multimedia communication using Decentralized Identifier |
Also Published As
Publication number | Publication date |
---|---|
KR101016277B1 (en) | 2011-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9628271B2 (en) | Key management for secure communication | |
JP5106682B2 (en) | Method and apparatus for machine-to-machine communication | |
US7382881B2 (en) | Lawful interception of end-to-end encrypted data traffic | |
KR102068367B1 (en) | A computer implemented system and method for lightweight authentication on datagram transport for internet of things | |
US9749318B2 (en) | Key management in a communication network | |
JP5118048B2 (en) | Method and apparatus for establishing a security association | |
EP1267548B1 (en) | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication | |
EP1717986B1 (en) | Key distribution method | |
CN101420413B (en) | Session cipher negotiating method, authentication server and network appliance | |
WO2015180654A1 (en) | Method and apparatus for achieving secret communications | |
KR101016277B1 (en) | Method and apparatus for sip registering and establishing sip session with enhanced security | |
CN111756726A (en) | SIP security authentication method supporting State cipher algorithm | |
WO2008040213A1 (en) | Message encryption and signature method, system and device in communication system | |
CN114079650A (en) | Communication method and device based on IMS data channel | |
US8705745B2 (en) | Method and system for transmitting deferred media information in an IP multimedia subsystem | |
KR20090067194A (en) | Method for providing a symmetric key for protecting a key management protocol | |
EP2451133B1 (en) | Method and system for transmitting delay media information in ip multimedia subsystem | |
CN102025485B (en) | Key negotiation method, key management server and terminal | |
CN101729535B (en) | Implementation method of media on-demand business | |
Floroiu et al. | A comparative analysis of the security aspects of the multimedia key exchange protocols | |
GB2390270A (en) | Escrowing with an authority only part of the information required to reconstruct a decryption key | |
CN117528194A (en) | Video front-end equipment authentication method and system based on SM9 cryptographic algorithm | |
JP5746774B2 (en) | Key management for secure communication | |
JP4675982B2 (en) | Session control server, communication apparatus, communication system, communication method, program thereof, and recording medium | |
Yoon et al. | A Study on the Interworking for SIP-Based Secure VoIP Communication with Security Protocols in the Heterogeneous Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140407 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150129 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160311 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170210 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180202 Year of fee payment: 8 |
|
R401 | Registration of restoration | ||
R401 | Registration of restoration |