KR20090067041A - Method and apparatus for sip registering and establishing sip session with enhanced security - Google Patents

Method and apparatus for sip registering and establishing sip session with enhanced security Download PDF

Info

Publication number
KR20090067041A
KR20090067041A KR1020080123230A KR20080123230A KR20090067041A KR 20090067041 A KR20090067041 A KR 20090067041A KR 1020080123230 A KR1020080123230 A KR 1020080123230A KR 20080123230 A KR20080123230 A KR 20080123230A KR 20090067041 A KR20090067041 A KR 20090067041A
Authority
KR
South Korea
Prior art keywords
sip
terminal
session
media key
request message
Prior art date
Application number
KR1020080123230A
Other languages
Korean (ko)
Other versions
KR101016277B1 (en
Inventor
김기천
김종완
이상민
최지원
김인수
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Publication of KR20090067041A publication Critical patent/KR20090067041A/en
Application granted granted Critical
Publication of KR101016277B1 publication Critical patent/KR101016277B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation

Abstract

A method and an apparatus for registering an sip and establishing an sip session with enhanced security are provided to effectively support mobility and supply a safe multimedia session setup function by using efficient and simple authentication and security methods. A communication unit(106) receives an SIP registration request message from a terminal(104). The communication unit transmits the SIP registration request message to the terminal. A field restoring unit(108) restores an encoded field of the SIP registration request message. A terminal registering unit(110) registers the terminal by using the restored field. The terminal authentication unit(112) authenticates the terminal.

Description

보안성이 강화된 SⅠP 등록 및 SⅠP 세션 설정 방법 및 장치{METHOD AND APPARATUS FOR SIP REGISTERING AND ESTABLISHING SIP SESSION WITH ENHANCED SECURITY}Method and device for strengthening security registration and setting SSI sessions {METHOD AND APPARATUS FOR SIP REGISTERING AND ESTABLISHING SIP SESSION WITH ENHANCED SECURITY}

본 발명은 SIP 등록 및 SIP 세션 설정 방법 및 장치에 관한 것으로, 보다 상세하게는 보안성이 강화된 SIP 등록 및 SIP 세션 설정 방법 및 장치에 관한 것이다.The present invention relates to a SIP registration and a SIP session establishment method and apparatus, and more particularly, to a security registration enhanced SIP registration and SIP session establishment method and apparatus.

실시간 멀티미디어 통신을 위해서, 통신을 원하는 노드들은 종단 간의 접속점의 정보를 상호 교환해서 미디어 트래픽의 연결점으로 지정하는 작업을 필요로 한다. 이를 위해 많은 시그널링 프로토콜이 개발, 운용 중에 있는데, 현재 VoIP를 비롯한 각종 멀티미디어 세션 제어 프로토콜로 각광받고 있는 것이 SIP(Session Initiaion Protocol)이다.For real-time multimedia communication, nodes wanting to communicate need to designate the connection point of the media traffic by exchanging information of the connection point between the end points. To this end, many signaling protocols are being developed and operated. Currently, SIP (Session Initiaion Protocol) is being spotlighted as various multimedia session control protocols including VoIP.

SIP를 이용하는 단말기들이 서로 데이터를 주고 받기 위해서는 단말기 간의 세션 설정이 필요하다. 그리고 이러한 세션을 설정하기 이전에, 각 단말기들은 SIP 서비스를 이용하기 위하여 SIP 서버에 해당 단말기를 등록하는 등록 과정을 거쳐야 한다. 이러한 등록 과정 및 세션 설정 과정에 있어서 단말기와 단말기 간에, 그리고 단말기와 서버 간에 여러 SIP 메시지들이 오고 가게 된다. 그런데 이러한 SIP 메시지들은 모두 평문 상태로 이루어져 있기 때문에, 악의를 가진 사용자가 SIP 메시지를 탈취하여 위, 변조하는 등의 보안상 취약점이 발생하게 된다.In order for terminals using SIP to exchange data with each other, session establishment between terminals is required. And before establishing such a session, each terminal must go through a registration process of registering the terminal with the SIP server to use the SIP service. In this registration process and session establishment process, various SIP messages come and go between the terminal and the terminal and between the terminal and the server. However, since these SIP messages are all in the plain text state, a security vulnerability such as a malicious user stealing, altering, or tampering with a SIP message occurs.

이러한 SIP의 보안 문제를 해결하기 위하여, 종래 몇 가지 방법들이 제시되어 왔다. 예를 들어, RFC 3261에 의한 SIP 표준에서는 TLS(Transport Layer Security)에 의한 데이터 보호가 명시되어 있다. TLS는 웹에서 서비스되는 것과 유사한 기술로, SIP 노드로부터의 신호를 보호하는 기술이다. 하지만 TLS는 원칙적으로 구간의 정보 보호에 사용되는 것으로, SIP 서비스 구조에서 종단 간의 정보 보호 기능을 제공할 수 없다. 또한 TLS는 TCP(Transmission Control Protocol) 상의 인증서를 기반으로 하기 때문에, SIP를 사용하는 노드 간 인증서 관리에 따른 부하 문제를 야기할 수 있다. 이러한 문제는 특히 부하에 민감한 이동형 노드에게 불리할 수 있다. In order to solve this security problem of SIP, several methods have been proposed. For example, the SIP standard by RFC 3261 specifies data protection by Transport Layer Security (TLS). TLS is a technology similar to that served on the web, which protects signals from SIP nodes. However, TLS is used to protect information in intervals in principle and cannot provide end-to-end information protection function in the SIP service structure. In addition, since TLS is based on a certificate on Transmission Control Protocol (TCP), it can cause a load problem due to certificate management between nodes using SIP. This problem can be particularly disadvantageous for load-sensitive mobile nodes.

따라서 이러한 SIP 보안 문제 해결을 위해 보다 효율적이면서도 간결한 인증 및 보안 체계의 필요성이 제기된다.Therefore, there is a need for a more efficient and concise authentication and security scheme to solve the SIP security problem.

따라서 본 발명은 SIP 메시지 변형으로 인한 세션 탈취(Session Hijacking), 도청, 강제 세션 종료 등의 보안 위협을 해결할 수 있는 SIP 등록 및 SIP 세션 설정을 수행하는 것을 일 목적으로 한다.Accordingly, an object of the present invention is to perform SIP registration and SIP session establishment that can solve security threats such as session hijacking, eavesdropping, and forced session termination due to SIP message modification.

또한 본 발명은 보다 효율적이면서도 간결한 인증 및 보안 방법을 이용함으로써, 효율적인 이동성 지원과 안전한 멀티미디어 세션 설정 기능을 제공하는 것을 다른 목적으로 한다.Another object of the present invention is to provide an efficient mobility support and a secure multimedia session establishment function by using a more efficient and concise authentication and security method.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있고, 본 발명의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention, which are not mentioned above, can be understood by the following description, and more clearly by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

이러한 목적을 달성하기 위한 본 발명은 SIP 서버의 단말기 등록 방법에 있어서, 단말기로부터 암호화 된 필드가 포함된 SIP(Session Initiation Protocol) 등록 요청 메시지를 전송받는 단계, 암호화 된 필드를 복원하는 단계, 복원된 필드를 이용하여 단말기를 등록하는 단계 및 단말기에 SIP 등록 응답 메시지를 전송하는 단계를 포함하는 것을 일 특징으로 한다.In order to achieve the above object, the present invention provides a method for registering a terminal of a SIP server, comprising: receiving a Session Initiation Protocol (SIP) registration request message including an encrypted field from a terminal, restoring an encrypted field, and restoring the restored field And registering a terminal by using the field and transmitting a SIP registration response message to the terminal.

또한 본 발명은 단말기의 SIP 등록 방법에 있어서, 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 생성하는 단계, SIP 등록 요청 메시지를 SIP 서버에 전송하는 단계 및 SIP 서버로부터 SIP 등록 요청 메시지에 대한 응답인 SIP 등록 응답 메시지를 전송받는 단계를 포함하는 것을 다른 특징으로 한다.The present invention also provides a SIP registration method of a terminal, comprising: generating a SIP registration request message including an encrypted field, transmitting a SIP registration request message to a SIP server, and a response to the SIP registration request message from the SIP server; Another step is to include receiving a SIP registration response message.

또한 본 발명은 SIP 서버의 단말기 간 세션 설정 관리 방법에 있어서, 제 1 단말기로부터 SIP 세션 요청 메시지를 수신하여 제 2 단말기에 전송하는 단계, 제 1 및 제 2 단말기 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 제 2 단말기에 전송하는 단계, 제 2 단말기로부터 SIP 세션 요청 메시지에 대한 SIP 세션 응답 메시지를 수신하여 제 1 단말기로 전송하는 단계 및 미디어 키 생성에 이용되는 제 2 미디어 키 생성 정보를 제 1 단말기에 전송하는 단계를 포함하는 것을 또 다른 특징으로 한다.In another aspect, the present invention provides a method for managing session establishment between terminals of a SIP server, the method comprising: receiving a SIP session request message from a first terminal and transmitting the same to a second terminal, for encrypting a session established between the first and second terminals Transmitting the first media key generation information used for generating the media key to the second terminal, receiving a SIP session response message for the SIP session request message from the second terminal, and transmitting the same to the first terminal; Another feature is the step of transmitting the second media key generation information used to the first terminal.

또한 본 발명은 단말기의 SIP 세션 설정 방법에 있어서, 수신 단말기에 대한 SIP 세션 요청 메시지를 생성하는 단계, SIP 세션 요청 메시지를 수신 단말기에 전송하는 단계, SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송받는 단계 및 수신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 단계를 포함하는 것을 또 다른 특징으로 한다.The present invention also provides a method for establishing a SIP session of a terminal, comprising: generating a SIP session request message for a receiving terminal, transmitting a SIP session request message to a receiving terminal, a SIP session response message which is a response to a SIP session request message; And receiving the media key generation information used to generate the media key for encrypting the session set up with the receiving terminal.

또한 본 발명은 단말기의 SIP 세션 설정 방법에 있어서, 발신 단말기로부터의 SIP 세션 요청 메시지를 전송받는 단계, 발신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 단 계 및 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송하는 단계를 포함하는 것을 또 다른 특징으로 한다.In another aspect, the present invention provides a method for establishing a SIP session of a terminal, the method comprising receiving a SIP session request message from an originating terminal, and generating media key generation information used for generating a media key for encrypting a session set up with an originating terminal. In another aspect, the method includes transmitting a SIP session response message, which is a response to the step of receiving and a SIP session request message.

전술한 바와 같은 본 발명에 의하면, SIP 메시지 변형으로 인한 세션 탈취(Session Hijacking), 도청, 강제 세션 종료 등의 보안 위협을 해결할 수 있는 SIP 등록 및 SIP 세션 설정을 수행할 수 있는 장점이 있다.According to the present invention as described above, there is an advantage that can perform SIP registration and SIP session establishment that can solve security threats such as session hijacking, eavesdropping, forced session termination due to SIP message modification.

또한 본 발명은 보다 효율적이면서도 간결한 인증 및 보안 방법을 이용함으로써, 효율적인 이동성 지원과 안전한 멀티미디어 세션 설정 기능을 제공할 수 있는 장점이 있다.In addition, the present invention has the advantage of providing an efficient mobility support and secure multimedia session setup by using a more efficient and concise authentication and security method.

전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다. 도면에서 동일한 참조부호는 동일 또는 유사한 구성요소를 가리키는 것으로 사용된다.The above objects, features, and advantages will be described in detail with reference to the accompanying drawings, whereby those skilled in the art to which the present invention pertains may easily implement the technical idea of the present invention. In describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the drawings, the same reference numerals are used to indicate the same or similar components.

도 1은 본 발명의 일 실시예에 의한 SIP 등록 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도이다.1 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP registration process according to an embodiment of the present invention.

도 1에서, SIP 서버(102)는 통신부(106), 필드 복원부(108), 단말기 등록부(110) 및 단말기 인증부(112)를 포함한다. 먼저 통신부(106)는 단말기(104)와 데이터를 주고받는 역할을 수행하는데, 특히 단말기(104)로부터 SIP 등록 요청 메시지를 전송받고, 단말기(104) 등록이 완료되면 이를 알리는 SIP 등록 응답 메시지를 단말기(104)에 전송하는 역할을 한다. SIP 등록 응답 메시지에는 후술할 단말기 간 SIP 세션 설정 과정에서 보안 세션 설정에 이용되는 세션 키를 생성할 수 있는 난수를 포함할 수 있다. SIP 등록 과정 후에 일어나는 SIP 세션 설정 과정에서, 각 단말기는 이 난수를 이용하여 세션 키를 생성하고, 이 세션 키를 이용하여 설정된 세션의 보안을 유지한다.In FIG. 1, the SIP server 102 includes a communication unit 106, a field recovery unit 108, a terminal registration unit 110, and a terminal authentication unit 112. First, the communication unit 106 plays a role of exchanging data with the terminal 104. In particular, the communication unit 106 receives a SIP registration request message from the terminal 104, and when the terminal 104 registration is completed, the terminal receives a SIP registration response message. It serves to transmit to 104. The SIP registration response message may include a random number for generating a session key used for establishing a secure session in a process of establishing a session between terminals, which will be described later. In the SIP session establishment process that occurs after the SIP registration process, each terminal generates a session key using this random number and secures the session established using this session key.

필드 복원부(108)는 단말기(104)로부터 통신부(106)를 통해 전송받은 SIP 등록 요청 메시지에 포함된 암호화 된 필드를 복원하는 역할을 수행한다. 그리고 단말기 등록부(110)는 필드 복원부(108)에 의해 복원된 필드를 이용하여 단말기를 등록하는 역할을 수행한다. The field recovery unit 108 restores an encrypted field included in the SIP registration request message received from the terminal 104 through the communication unit 106. The terminal registration unit 110 registers the terminal by using the field restored by the field restoration unit 108.

단말기 인증부(112)는 SIP 등록을 요청하는 단말기(104)에 대한 인증을 수행한다. 이러한 인증 과정은 보안이 취약한 기존 SIP 등록 과정을 보완하기 위한 것으로서, SIP 서버(102)는 이 인증 과정을 통해 인증에 성공한 단말기에 대해서만 SIP 등록 과정을 수행한다. 단말기(104)는 인증 과정에 필요한 인증자를 SIP 등록 요청 메시지에 포함시키거나 SIP 등록 요청 메시지와 함께 SIP 서버(102)에 전송할 수 있다.The terminal authenticator 112 performs authentication on the terminal 104 requesting SIP registration. This authentication process is to supplement the existing security weak SIP registration process, the SIP server 102 performs the SIP registration process only for the terminal successful authentication through this authentication process. The terminal 104 may include an authenticator required for the authentication process in the SIP registration request message or transmit it to the SIP server 102 together with the SIP registration request message.

다음으로, 단말기(104)는 통신부(114), 메시지 생성부(116) 및 세션 키 생성부(118)를 포함한다. 먼저 통신부(114)는 SIP 서버(102)와 데이터를 주고받는 역할을 수행하는데, 특히 SIP 등록 요청 메시지를 SIP 서버(102)에 전송하고, SIP 서버(102)로부터 SIP 등록 요청 메시지에 대한 응답인 SIP 등록 응답 메시지를 전송받는다. SIP 등록 요청 메시지에는 앞서 언급한 대로 세션 키를 생성할 수 있는 난수가 포함될 수 있으며, 또한 SIP 서버(102)에 대한 인증을 요청하기 위한 인증자가 포함될 수도 있다.Next, the terminal 104 includes a communication unit 114, a message generator 116 and a session key generator 118. First, the communication unit 114 performs a role of exchanging data with the SIP server 102. In particular, the communication unit 114 transmits a SIP registration request message to the SIP server 102, and responds to the SIP registration request message from the SIP server 102. Receive SIP registration response message. The SIP registration request message may include a random number for generating a session key as mentioned above, and may also include an authenticator for requesting authentication to the SIP server 102.

세션 키 생성부(118)는 SIP 서버(102)로부터 전송되는 SIP 등록 응답 메시지에 포함된 난수를 이용하여 세션 키를 생성하는 역할을 한다. 이 세션 키는 SIP 등록 과정 다음으로 일어나는 SIP 세션 설정 과정에서 세션의 보안을 유지하는 데 사용되며, 자세한 내용은 후술한다.The session key generation unit 118 generates a session key by using a random number included in the SIP registration response message transmitted from the SIP server 102. This session key is used to secure the session in the SIP session establishment process following the SIP registration process, which will be described later.

도 2는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도이다.2 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP session establishment process according to another embodiment of the present invention.

도 2에서, SIP 서버(204)는 발신 단말기(202)와 수신 단말기(206) 사이의 세션 설정을 관리하는 역할을 한다. 발신 단말기(202)와 수신 단말기(206)는 각각 세션 설정을 위해 SIP를 이용하는 단말기이며, 발신 단말기(202)는 수신 단말기(206)에 대하여 UAc(User Agent client), 수신 단말기(206)는 발신 단말기(202)에 대하여 UAs(User Agent server)로 불리기도 한다. UAc 및 UAs는 상대적인 개념으로서, 누가 세션을 요청하는지에 따라 서로 바뀌어 불릴 수도 있다. In FIG. 2, the SIP server 204 manages session establishment between the originating terminal 202 and the receiving terminal 206. The originating terminal 202 and the receiving terminal 206 are each terminals using a SIP for session establishment. The originating terminal 202 is a user agent client (UAc) for the receiving terminal 206, and the receiving terminal 206 is an originating terminal. The terminal 202 may also be referred to as a user agent server (UAs). UAc and UAs are relative concepts and may be interchanged depending on who requests the session.

먼저 발신 단말기(202)는 통신부(208), 메시지 생성부(210), 미디어 키 관리부(212) 및 세션 관리부(214)를 포함한다. 통신부(208)는 SIP 세션 요청 메시지를 수신 단말기(206)에 전송하고, SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송받는 역할을 수행한다. First, the calling terminal 202 includes a communication unit 208, a message generating unit 210, a media key management unit 212 and a session manager 214. The communication unit 208 transmits a SIP session request message to the receiving terminal 206 and receives a SIP session response message, which is a response to the SIP session request message.

메시지 생성부(210)는 수신 단말기(206)에 대한 SIP 세션 요청 메시지를 생성하는 역할을 한다. 미디어 키 관리부(212)는 수신 단말기(206)와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 역할을 한다. 또한 미디어 키 관리부(212)는 전송받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다. The message generator 210 generates a SIP session request message for the receiver terminal 206. The media key management unit 212 receives the media key generation information used to generate the media key for encrypting the session set up with the reception terminal 206. In addition, the media key management unit 212 generates a media key using the received media key generation information.

그리고 세션 관리부(214)는 수신 단말기(206)와의 세션을 설정하고 관리하는 역할을 하는데, 이 세션은 미디어 키 관리부(212)에 의해 생성된 미디어 키를 이용하여 암호화된다. 세션이 설정된 후 단말기 간 데이터 전송이 완료되면, 메시지 생성부(210)는 세션 종료를 위한 세션 종료 메시지를 생성하고 통신부(208)를 통해 세션 종료 메시지를 수신 단말기(206)에 전송할 수 있다. 이 세션 종료 메시지에는 앞서 생성된 미디어 키를 이용하여 생성된 인증자가 포함될 수 있다. 이 인증자에 의한 인증 과정은 악의를 가진 해커 등에 의해 사용자가 원치 않음에도 불구하고 세션이 종료되는 상황을 방지하기 위한 것이다.The session manager 214 sets up and manages a session with the receiving terminal 206, which is encrypted using the media key generated by the media key manager 212. When data transmission between terminals is completed after the session is established, the message generator 210 may generate a session end message for ending the session and transmit a session end message to the receiving terminal 206 through the communication unit 208. The session end message may include an authenticator generated by using the previously generated media key. The authentication process by the authenticator is intended to prevent the session from being terminated even if the user does not want it by a malicious hacker or the like.

SIP 서버(204)는 통신부(216), 미디어 키 생성 정보 관리부(218), 암호화부(220), 인증부(222) 및 세션 관리부(224)를 포함한다. 통신부(216)는 발신 단말 기(202)로부터 SIP 세션 요청 메시지를 수신하여 수신 단말기(206)에 전송하고, 수신 단말기(206)로부터 SIP 세션 요청 메시지에 대한 SIP 세션 응답 메시지를 수신하여 발신 단말기(202)로 전송하는 역할을 한다. The SIP server 204 includes a communication unit 216, a media key generation information management unit 218, an encryption unit 220, an authentication unit 222, and a session management unit 224. The communication unit 216 receives the SIP session request message from the calling terminal 202 and transmits the received SIP session request message to the receiving terminal 206, and receives the SIP session response message for the SIP session request message from the receiving terminal 206. 202).

미디어 키 생성 정보 관리부(218)는 발신 단말기(202) 및 수신 단말기(204) 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 생성하여 수신 단말기(204)에 전송한다. 또한 미디어 키 생성에 이용되는 제 2 미디어 키 생성 정보를 생성하여 발신 단말기(202)에 전송하는 역할도 수행한다. The media key generation information management unit 218 generates first media key generation information used to generate a media key for encrypting a session set up between the calling terminal 202 and the receiving terminal 204 and generates the first key information. send. It also plays a role of generating second media key generation information used for media key generation and transmitting it to the calling terminal 202.

한편, 암호화부(220)는 SIP 세션 요청 메시지, SIP 세션 응답 메시지, 제 1 미디어 키 생성 정보 및 제 2 미디어 키 생성 정보를 암호화하는 역할을 한다. 암호화부(220)의 암호화 과정에는 발신 단말기(202)의 등록과정에서 생성된 제 1 세션키 또는 수신 단말기(206)의 등록과정에서 생성된 제 2 세션키가 이용된다. Meanwhile, the encryption unit 220 encrypts the SIP session request message, the SIP session response message, the first media key generation information, and the second media key generation information. In the encryption process of the encryption unit 220, the first session key generated during the registration process of the calling terminal 202 or the second session key generated during the registration process of the receiving terminal 206 is used.

인증부(222)는 발신 단말기(202)로부터의 SIP 세션 요청 메시지 또는 수신 단말기(206)로부터의 SIP 세션 응답 메시지를 인증하는 역할을 한다. 이 인증 과정을 위하여, SIP 세션 요청 메시지와 SIP 세션 응답 메시지에는 각각 발신 단말기(202)와 수신 단말기(206)의 인증자가 포함될 수 있다. 그리고 SIP 서버(204)의 미디어 키 생성 정보 관리부(218)에 의해 발신 단말기(202)와 수신 단말기(204)에 각각 제 1 미디어 키 생정 정보와 제 2 미디어 키 생성 정보가 전송될 때, 각각의 단말기는 이 미디어 키 생성 정보에 대한 인증 과정을 수행할 수 있다. 따라서 인증부(222)는 이 미디어 키 생성 정보의 인증 과정에 사용되는 서버 인증자를 생성, 관리하는 역할을 할 수 있다.The authenticator 222 authenticates the SIP session request message from the originating terminal 202 or the SIP session response message from the receiving terminal 206. For this authentication process, the authenticator of the originating terminal 202 and the receiving terminal 206 may be included in the SIP session request message and the SIP session response message, respectively. And when the first media key generation information and the second media key generation information are transmitted to the calling terminal 202 and the receiving terminal 204 by the media key generation information management unit 218 of the SIP server 204, respectively. The terminal may perform an authentication process for this media key generation information. Therefore, the authenticator 222 may play a role in generating and managing a server authenticator used in the authentication process of the media key generation information.

세션 관리부(224)는 발신 단말기(202)와 수신 단말기(206) 사이의 세션을 설정하는 역할을 한다. 이 때 이 세션은 제 1 미디어 키 생정 정보 또는 제 2 미디어 키 생성 정보에 의해 생성된 미디어키를 통해 암호화된다. 설정된 세션에 의한 데이터 전송이 완료되면, 세션 관리부(224)는 발신 단말기(202) 또는 수신 단말기(206)의 세션 종료 메시지를 수신 단말기(206) 또는 발신 단말기(202)에 전송한다. 그리고 나서 세션 관리부(224)는 설정되어 있는 세션을 종료하게 된다. 이 때, 세션 종료 메시지에는 보안을 위하여, 미디어키를 이용하여 생성된 인증자가 포함될 수 있다.The session manager 224 establishes a session between the calling terminal 202 and the receiving terminal 206. At this time, the session is encrypted through the media key generated by the first media key generation information or the second media key generation information. When data transmission by the established session is completed, the session manager 224 transmits a session end message of the calling terminal 202 or the receiving terminal 206 to the receiving terminal 206 or the calling terminal 202. The session manager 224 then terminates the established session. At this time, the session end message may include an authenticator generated using the media key for security.

수신 단말기(206)는 통신부(226), 미디어 키 관리부(228) 및 세션 관리부(230)를 포함한다. 통신부(226)는 발신 단말기(202)로부터의 SIP 세션 요청 메시지를 전송받고, 이 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송하는 역할을 한다.The receiving terminal 206 includes a communication unit 226, a media key manager 228, and a session manager 230. The communication unit 226 receives the SIP session request message from the originating terminal 202 and transmits a SIP session response message, which is a response to the SIP session request message.

미디어 키 관리부(228)는 발신 단말기(202)와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 역할을 한다. 또한 미디어 키 관리부(228)는 전송받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다. The media key manager 228 serves to receive media key generation information used to generate a media key for encrypting a session set up with the calling terminal 202. In addition, the media key manager 228 generates a media key using the received media key generation information.

그리고 세션 관리부(230)는 발신 단말기(202)와의 세션을 설정하고 관리하는 역할을 하는데, 이 세션은 미디어 키 관리부(228)에 의해 생성된 미디어 키를 이용하여 암호화된다. 세션이 설정된 후 단말기 간 데이터 전송이 완료되면, 수신 단말 기(206)는 통신부(226)를 통해 세션 종료 메시지를 발신 단말기(202)에 전송할 수 있다. 이 세션 종료 메시지에는 앞서 생성된 미디어 키를 이용하여 생성된 인증자가 포함될 수 있다. 이 인증자에 의한 인증 과정은 앞에서 언급했던 바와 같이 발신자 또는 수신자의 의지에 반하는 세션 종료 상황을 방지하기 위한 것이다.The session manager 230 establishes and manages a session with the calling terminal 202, which is encrypted using the media key generated by the media key manager 228. When the data transmission between the terminals is completed after the session is established, the receiving terminal device 206 may transmit a session end message to the calling terminal 202 through the communication unit 226. The session end message may include an authenticator generated by using the previously generated media key. The authentication process by this authenticator is to prevent the end of the session against the sender's or receiver's will, as mentioned earlier.

도 3은 본 발명의 일 실시예에 의한 SIP 등록 과정을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a SIP registration process according to an embodiment of the present invention.

SIP를 사용하는 단말기 간에 세션을 설정하고 데이터를 주고받기 위해서는 먼저 SIP 등록 과정이 요구된다. 같은 도메인 내의 SIP 등록 서버(SIP Registrar) 및 AAA(Authentication Authorization Accounting) 서버는 같은 도메인 내의 단말기를 인증할 수 있는 정보인 보안 연계 정보(Security Association)을 가지고 있다. 하지만 단말기가 이동 노드로 구현되어 있는 경우, 이 단말기가 방문하는 임의의 SIP 망과 어떠한 보안 연계 정보도 가질 수가 없기 때문에 SIP 등록 과정 상에서의 보안이 문제된다. 따라서 본 발명은 이러한 문제점을 해결하고자 보안성이 강화된 SIP 등록 과정을 제공한다.In order to establish a session and exchange data between SIP terminals, a SIP registration process is required. The SIP Registrar and the Authorization Authorization Accounting (AAA) server in the same domain have a security association, which is information that can authenticate a terminal in the same domain. However, when the terminal is implemented as a mobile node, security in the SIP registration process is problematic because it cannot have any security association information with any SIP network visited by the terminal. Therefore, the present invention provides a security registration process enhanced SIP to solve this problem.

본 발명의 SIP 등록 과정의 개요는 다음과 같다. 단말기(10)는 인증을 위한 인증자가 첨부된 SIP 등록 요청 메시지를 SIP 프록시 서버(20)에 전송한다. 이 때 SIP 등록 요청 메시지의 일부 필드는 암호화 되어 있으므로 SIP 프록시 서버(20)는 단말기(10)의 등록을 더 이상 진행할 수 없다. 따라서 AAA(30)에 SIP 등록 요청 메시지 및 인증자를 전송하고, AAA(30)에서는 인증자를 통한 단말기 인증 및 암호화 된 필드의 복원을 수행한다. AAA(30)는 이후 복원된 필드가 포함된 SIP 등록 요청 메시지를 다시 SIP 프록시 서버(20)에 전송하고, SIP 프록시 서버는 복원된 필드를 이용하여 단말기(10)를 등록시킨다. AAA(30)는 SIP 프록시 서버(20) SIP 세션 설정 과정에서 이용될 세션 키 및 이 세션 키 생성을 위한 난수도 전송하는데, SIP 프록시 서버(20)는 이 중 난수만을 단말기(10)에 전송하고, 단말기(10)는 이 난수를 이용하여 세션 키를 취득한다. An overview of the SIP registration process of the present invention is as follows. The terminal 10 transmits to the SIP proxy server 20 a SIP registration request message to which an authenticator for authentication is attached. At this time, since some fields of the SIP registration request message are encrypted, the SIP proxy server 20 cannot proceed with registration of the terminal 10 any more. Accordingly, the SIP registration request message and the authenticator are transmitted to the AAA 30, and the AAA 30 performs terminal authentication and restoration of the encrypted field through the authenticator. The AAA 30 then sends a SIP registration request message including the restored field back to the SIP proxy server 20, and the SIP proxy server registers the terminal 10 using the restored field. The AAA 30 also transmits a session key to be used in the SIP session establishment process of the SIP proxy server 20 and a random number for generating the session key. The SIP proxy server 20 transmits only the random number to the terminal 10. The terminal 10 obtains the session key using this random number.

이를 좀 더 구체적으로 설명하면 다음과 같다. 도 3에서, 단말기(10)는 먼저 SIP 등록 요청 메시지(SIP Register)를 생성하여 SIP 프록시 서버(20)로 전송함으로써 SIP 등록을 시도한다(302). 이 때, SIP 등록 요청 메시지는 RFC 3261 표준에 정의된 형식을 사용할 수 있으며, 단말기의 인증을 위한 인증자(Authenticator) 필드가 추가될 수 있다. 인증자 필드가 추가된 RFC 3261 표준의 SIP 등록 요청 메시지는 다음과 같다.If this is explained in more detail as follows. In FIG. 3, the terminal 10 first attempts to register a SIP by generating a SIP register request message (SIP Register) and transmitting it to the SIP proxy server 20 (302). In this case, the SIP registration request message may use a format defined in the RFC 3261 standard, and an authenticator field for authentication of the terminal may be added. The SIP registration request message of the RFC 3261 standard with the authenticator field added is as follows.

REGISTER sip: sip proxy SIP/2.0REGISTER sip: sip proxy SIP / 2.0

Via: SIP/2.0/UDP: 5060: branch=Via: SIP / 2.0 / UDP: 5060: branch =

MAX-Forward:MAX-Forward:

To:To:

From:From:

Call-ID:Call-ID:

Cseq: 1 REGISTERCseq: 1 REGISTER

Contact:Contact:

Content-Length:Content-Length:

Authenticator:Authenticator:

보안성이 강화된 SIP 등록 과정을 위하여, 본 발명에서는 이 SIP 등록 요청 메시지 필드 중 특정 필드를 표준과 다르게 지정한다. 이를 위해, 단말기(10)와 AAA 서버(30)간의 공유 비밀키(Shared Secret Key)인 SSKUA-AAA(Shared Secret Key of User Agent-AAA)가 사용된다. 변형되는 필드는 다음과 같다.For the enhanced SIP registration process, certain fields of the SIP registration request message field are designated differently from the standard in the present invention. To this end, a shared secret key (SSKUA-AAA), which is a shared secret key between the terminal 10 and the AAA server 30, is used. The fields to be modified are as follows.

Via: SIP/2.0/UDP E(UA address, SSKUA-AAA):5060Via: SIP / 2.0 / UDP E (UA address, SSKUA-AAA): 5060

To: E(URI, SSKUA-AAA)To: E (URI, SSKUA-AAA)

From: E(URI, SSKUA-AAA)From: E (URI, SSKUA-AAA)

Authenticator: HASH(REGISTER, SSKUA-AAA)Authenticator: HASH (REGISTER, SSKUA-AAA)

이와 같이 일부 중요 필드들을 공유 비밀키를 통해 암호화 함으로써 최초의 등록 메시지를 보호할 수 있게 된다.As such, some sensitive fields can be encrypted using a shared secret key to protect the original registration message.

단말기(10)로부터 SIP 등록 요청 메시지 및 인증자를 전송받은 SIP 프록시 서버(20)는 등록에 필요한 중요 필드들이 위와 같이 암호화되어 있으므로 단말기(10) 등록을 수행하는 것이 불가능하다. 따라서 SIP 프록시 서버(20)는 단말기(10)로부터의 SIP 등록 요청 메시지 및 인증자를 AAA 서버(30)에 전송한다. The SIP proxy server 20 receiving the SIP registration request message and the authenticator from the terminal 10 cannot register the terminal 10 because the important fields necessary for registration are encrypted as described above. Accordingly, the SIP proxy server 20 transmits the SIP registration request message and authenticator from the terminal 10 to the AAA server 30.

AAA 서버(30)는 단말기(10)와의 공유 비밀키를 이용하여 전송받은 SIP 등록 요청 메시지의 인증자를 처리한 후, 인증이 성공되면 암호화된 Via, To, From, Contact 필드의 값을 복원한다. 그리고 나서 복원된 상기 필드 값들이 포함된 SIP 등록 요청 메시지를 세션 키 및 난수와 함께 SIP 프록시 서버(20)로 전송한다(306). 여기서, 세션 키는 본 발명의 SIP 등록 과정 이후 이루어지는 SIP 세션 설정 및 이 세션을 이용한 데이터 전송 과정에서의 보안을 위하여 사용되는 것이다. 그리고 난수는 이 세션 키를 생성하는데 이용된다. 단계 306을 통하여 AAA(30)가 SIP 프록시 서버(20)에 보내는 SIP 등록 요청 메시지는 다음과 같다.The AAA server 30 processes the authenticator of the SIP registration request message received using the shared secret key with the terminal 10, and restores the values of the encrypted Via, To, From, and Contact fields if authentication is successful. Then, the SIP registration request message including the restored field values is transmitted to the SIP proxy server 20 along with the session key and the random number (306). Here, the session key is used for establishing a SIP session after the SIP registration process of the present invention and for security in the data transmission process using the session. The random number is then used to generate this session key. The SIP registration request message that the AAA 30 sends to the SIP proxy server 20 through step 306 is as follows.

REGISTER sip: sip proxy SIP/2.0REGISTER sip: sip proxy SIP / 2.0

Via: SIP/2.0/UDP UA Address:5060: branch=Via: SIP / 2.0 / UDP UA Address: 5060: branch =

MAX-Forward:MAX-Forward:

To: UA URITo: UA URI

From: UA URIFrom: UA URI

Call-ID:Call-ID:

Cseq: 1 REGISTERCseq: 1 REGISTER

Contact:Contact:

Content-Length:Content-Length:

Nonce :Nonce:

Session-Key:Session-Key:

AAA(30)가 SIP 프록시 서버(20)에 전송하는 상기 SIP 등록 요청 메시지를 보면, 암호화 되어있던 Via, To, From, Contact 필드 값이 복원되어 있는 것을 알 수 있다. 또한 Nonce, Session-Key 필드가 추가되어 있는 것도 확인할 수 있다. Nonce 및 Session-Key 필드는 다음과 같이 정의된다.Looking at the SIP registration request message transmitted from the AAA 30 to the SIP proxy server 20, it can be seen that the encrypted Via, To, From, and Contact field values have been restored. You can also see that the Nonce and Session-Key fields are set to ���. The Nonce and Session-Key fields are defined as follows:

Nonce: AAA가 생성한 난수Nonce: AAA-generated random number

Session-Key: HASH(Nonce, SSKUA-AAA)Session-Key: HASH (Nonce, SSKUA-AAA)

AAA(30)로부터 암호화된 필드가 복원된 SIP 등록 요청 메시지를 전송받은 SIP 프록시 서버(20)는 이 SIP 등록 요청 메시지에서 Session-Key 필드를 삭제한다. 그리고 나서, 복원된 필드 값을 이용하여 단말기(10)를 등록한다. 등록이 완료되면 SIP 프록시 서버는 이를 알리는 200 OK 메시지를 단말기(10)에 전송하는데, 이 때 앞서 AAA(30)에 의해 생성된 난수를 함께 전달할 수 있다(308). 여기서, 단말기(10)에 전송되는 난수는 보안을 위해 암호화될 수 있다. 단말기(10)는 암호화된 난수를 추출하고, 이 난수를 이용하여 세션 키를 생성하게 된다. 생성된 세션 키는 후술할 SIP 세션 설정 과정에서 보안에 이용된다.The SIP proxy server 20 receiving the SIP registration request message in which the encrypted field is restored from the AAA 30 deletes the Session-Key field from the SIP registration request message. Then, the terminal 10 is registered using the restored field value. When the registration is completed, the SIP proxy server transmits a 200 OK message indicating this to the terminal 10, where it may forward the random number generated by the AAA 30 together (308). Here, the random number transmitted to the terminal 10 may be encrypted for security. The terminal 10 extracts the encrypted random number and generates a session key using the random number. The generated session key is used for security in the SIP session establishment process to be described later.

도 4는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a SIP session establishment process according to another embodiment of the present invention.

본 발명의 SIP 세션 설정 과정이 수행되기 위하여, 발신 단말기(40)와 수신 단말기(60)는 앞서 설명한 본 발명의 SIP 등록 과정을 마친 상태이어야 한다. 이에 따라 발신 단말기(40)와 수신 단말기(60)는 SIP 서버(50)로부터 각각 난수를 전송받고 이 난수를 이용하여 세션 키를 생성한 상태이다. 참고로 도 4에서, SIP 서버(50)는 도 3의 SIP 프록시 서버(20) 및 AAA(30)를 포함하는 의미의 모듈로서 이해되어야 한다.In order for the SIP session establishment process of the present invention to be performed, the calling terminal 40 and the receiving terminal 60 must have completed the SIP registration process of the present invention described above. Accordingly, the calling terminal 40 and the receiving terminal 60 receive random numbers from the SIP server 50, respectively, and generate a session key using the random numbers. For reference, in FIG. 4, the SIP server 50 should be understood as a module in the sense of including the SIP proxy server 20 and AAA 30 of FIG. 3.

먼저 발신 단말기(40)는 수신 단말기(60)에 대한 SIP 세션 요청 메시지(Invite 메시지)를 생성하고, 이를 SIP 서버(50)를 통해 수신 단말기(60)로 전송한다(402). 이 때, 이 Invite 메시지는 발신 단말기(40)와 SIP 서버(50)간의 세션 키인 SKUAc-Proxy(Secret Key of User Agent client-Proxy)를 이용하여 암호화된다. 또한 Invite 메시지에는 Invite 메시지의 무결성과 발신 단말기(40)에 대한 인증을 위한 인증자가 첨부된다(402). 인증자는 다음의 과정으로 생성된다.First, the originating terminal 40 generates a SIP session request message (Invite message) for the receiving terminal 60 and transmits it to the receiving terminal 60 through the SIP server 50 (402). At this time, the Invite message is encrypted using a Secret Key of User Agent client (SKUAc-Proxy), which is a session key between the calling terminal 40 and the SIP server 50. The Invite message is also attached with an authenticator for authenticating the Invite message and authenticating the originating terminal 40 (402). The authenticator is created by the following process.

Authenticator: HASH(INVITE, SKUAc-Proxy)Authenticator: HASH (INVITE, SKUAc-Proxy)

인증자를 통해 Invite 메시지의 무결성과 발신 단말기(40)를 인증한 SIP 서버(50)는 수신된 Invite 메시지에 미디어 키를 생성하기 위한 제 1 미디어 키 생성 정보(MKmaterialUAc)를 첨부하여 수신 단말기(60)로 전송한다(404). MKmaterialUAc는 다음과 같이 생성된다.The SIP server 50 that authenticates the integrity of the Invite message and the originating terminal 40 through the authenticator attaches the first media key generation information MKmaterialUAc to generate the media key to the received Invite message. 404. MKmaterialUAc is generated as follows.

MKmaterialUAc: HASH(Call-ID, SKUAc-Proxy)MKmaterialUAc: HASH (Call-ID, SKUAc-Proxy)

MKmaterialUAc는 수신 단말기(60)와 SIP 서버(50)간의 세션 키인 SKUAs-Proxy(Secret Key of User Agent server-Proxy)를 이용하여 암호화된다. 그리고 SIP 서버(50)가 수신 단말기(60)로 전송하는 Invite 메시지에는 메시지의 무결성과 송신자의 확인을 위하여 Invite 메시지를 SKUAs-Proxy로 해싱한 인증자가 첨부된다.The MKmaterialUAc is encrypted using SKUAs-Proxy (Secret Key of User Agent server-Proxy), which is a session key between the receiving terminal 60 and the SIP server 50. The Invite message transmitted from the SIP server 50 to the receiving terminal 60 is attached with an authenticator hashing the Invite message with SKUAs-Proxy for the integrity of the message and the sender's confirmation.

수신 단말기(60)는 SIP 서버(50)를 통해 발신 단말기(40)에 180 Ringing 메시지를 전송한다(406, 408).The receiving terminal 60 transmits a 180 ringing message to the calling terminal 40 through the SIP server 50 (406 and 408).

수신 단말기(60)는 SIP 서버(50)로부터 수신한 Invite 메시지에서 제 1 미디어 키 생성 정보, 즉 MKmaterialUAc를 추출하여 다음과 같이 미디어 키를 생성한다.The receiving terminal 60 extracts the first media key generation information, that is, MKmaterialUAc, from the Invite message received from the SIP server 50 and generates a media key as follows.

Media Key: HASH(MKmaterialUAc, HASH(Call-ID, SKUAs-Proxy))Media Key: HASH (MKmaterialUAc, HASH (Call-ID, SKUAs-Proxy))

이 미디어 키 생성 함수에서, HASH(Call-ID, SKUAs-Proxy)는 제 2 미디어 키 생성 정보, 즉 MKmaterialUAs를 의미한다. 즉, 상기 미디어 키는 제 1 미디어 키 생성 정보(MKmaterialUAc)와 제 2 미디어 키 생성 정보(MKmaterialUAs)를 이용하여 생성되는 것이다.In this media key generation function, HASH (Call-ID, SKUAs-Proxy) means second media key generation information, namely MKmaterialUAs. That is, the media key is generated using the first media key generation information MKmaterialUAc and the second media key generation information MKmaterialUAs.

수신 단말기(40)는 SIP 서버(50)를 통해 SIP 세션 응답 메시지인 200 OK 메시지를 전송한다(410). 이 200 OK 메시지는 RTP(Real-time Transport Protocol) 스트림의 연결점을 표시하는 중요한 정보를 포함하기 때문에, SKUAs-Proxy로 암호화 되는 것이 바람직하다. 또한 인증을 위한 인증자를 첨부하여 메시지의 무결성과 수신 단말기(40)에 대한 SIP 서버(50)에서의 인증을 수행할 수 있도록 한다(410). 인증자는 다음과 같이 생성된다.The receiving terminal 40 transmits a 200 OK message which is a SIP session response message through the SIP server 50 (410). Since this 200 OK message contains important information indicating the connection point of a Real-time Transport Protocol (RTP) stream, it is preferably encrypted with SKUAs-Proxy. In addition, by attaching an authenticator for authentication to authenticate the integrity of the message and the SIP server 50 for the receiving terminal 40 (410). The authenticator is created as follows.

Authenticator: HASH(200 OK, SKUAs-Proxy)Authenticator: HASH (200 OK, SKUAs-Proxy)

SIP 서버(50)는 수신된 200 OK 메시지에 미디어 키를 생성하기 위한 제 2 미디어 키 생성 정보(MKmaterialUAs)를 첨부하여 발신 단말기(60)로 전송한다(412). 앞에서 언급한 바와 같이, MKmaterialUAs는 다음과 같이 생성된다.The SIP server 50 attaches the second media key generation information MKmaterialUAs for generating the media key to the received 200 OK message and transmits it to the calling terminal 60 (412). As mentioned earlier, MKmaterialUAs are created as follows.

MKmaterialUAs: HASH(Call-ID, SKUAs-Proxy)MKmaterialUAs: HASH (Call-ID, SKUAs-Proxy)

또한 발신 단말기(40)가 수신하는 200 OK 메시지에는 메시지의 무결성 및 SIP 서버(50)에 대한 인증을 위한 인증자가 포함된다(412). In addition, the 200 OK message received by the calling terminal 40 includes an authenticator for authenticating the message and authenticating the SIP server 50 (412).

발신 단말기(40)는 200 OK 메시지를 받은 후 ACK 메시지를 수신 단말기(60)에 전송한다(414). 그리고 나서, 발신 단말기(40)와 수신 단말기(60) 사이에는 RTP를 이용한 세션이 설정된다. 이 RTP 세션은 발신 단말기(40)와 수신 단말기(60) 양단에서 보유한 미디어 키를 이용하여 암호화된다. 만약 이 세션이 별도의 메커니즘을 사용하여 주기적으로 키 교환을 하도록 설정되어 있다면, 본 발명에 의한 미디어 키를 공유 비밀 키(Shared Secret Key)로 활용할 수도 있다.After receiving the 200 OK message, the calling terminal 40 transmits an ACK message to the receiving terminal 60 (414). Then, a session using RTP is established between the calling terminal 40 and the receiving terminal 60. This RTP session is encrypted using a media key held by both the calling terminal 40 and the receiving terminal 60. If the session is configured to periodically exchange keys using a separate mechanism, the media key according to the present invention may be utilized as a shared secret key.

한편, 설정된 세션을 이용하여 양 단말기 간의 데이터 전송이 완료되면, 세션을 종료해야 한다. 세션을 종료하기 위해서, 발신 단말기(40) 또는 수신 단말기(60)는 각각 상대방 단말기에 세션 종료를 요청하는 BYE 메시지를 전송한다. 그런데 이러한 종래 메시지가 악의를 가진 외부의 제 3자에 의해 전송되고 이 메시지에 의한 종료 요청이 승인된다면, 데이터 완료 전에 강제로 세션이 종료되는 결과를 낳게 된다. Meanwhile, when data transmission between both terminals is completed using the established session, the session must be terminated. In order to terminate the session, the originating terminal 40 or the receiving terminal 60 transmits a BYE message requesting the end of the session to the counterpart terminal, respectively. However, if such a conventional message is transmitted by a malicious external third party and the termination request by this message is approved, the session is forcibly terminated before data is completed.

따라서, BYE 메시지에는 해당 메시지의 송신자를 구별할 수 있는 인증자를 첨부하여 이러한 위험을 막을 수 있다. 이 인증자는 양 단말기가 보유하고 있는 미디어 키를 이용하여 생성된다.Therefore, the BYE message can be prevented by attaching an authenticator to distinguish the sender of the message. This authenticator is created using the media keys held by both terminals.

Authenticator: HASH(BYE, Media Key)Authenticator: HASH (BYE, Media Key)

도 4에서, 수신 단말기(60)는 발신 단말기(40)에 이러한 인증자가 포함된 BYE 메시지를 전송한다(418). 발신 단말기(40)는 이 BYE 메시지를 수신하고, 인증자를 이용하여 BYE 메시지의 송신자가 수신 단말기(60)임을 확인한다. 확인이 완료되면 발신 단말기(40)는 200 OK 메시지를 수신 단말기(60)에 전송한다(420). 이로서 세션이 종료된다. 도 4에는 수신 단말기(60)가 발신 단말기(40)에 세션 종료를 요청하는 과정이 나타나 있으나, 발신 단말기(40)가 세션 종료를 요청하는 경우에도 위와 마찬가지이다.In FIG. 4, the receiving terminal 60 transmits the BYE message including the authenticator to the calling terminal 40 (418). The originating terminal 40 receives the BYE message and confirms that the sender of the BYE message is the receiving terminal 60 by using the authenticator. When the verification is completed, the calling terminal 40 transmits a 200 OK message to the receiving terminal 60 (420). This terminates the session. 4 shows a process in which the receiving terminal 60 requests the end of the session from the calling terminal 40, but the same applies to the case where the calling terminal 40 requests the end of the session.

이러한 본 발명의 SIP 등록 과정 및 SIP 세션 설정 과정을 통하여, SIP 메시 지의 변형으로 인한 세션 하이재킹(Session Hijackning), 도청, 강제 세션 종료, ARP Poisoning(Address Resolution Protocol) 등의 보안 위협을 해결할 수 있다. 또한 URI의 암호화로 인하여, URI 수집에 대한 SPAM 메시지 등의 위협에서도 자유로울 수 있게 된다.Through the SIP registration process and SIP session establishment process of the present invention, it is possible to solve security threats such as session hijacking, eavesdropping, forced session termination, and ARP Poisoning (Address Resolution Protocol) due to the modification of the SIP message. In addition, due to the encryption of the URI, it can be free from threats such as SPAM messages about URI collection.

도 5는 본 발명의 일 실시예에 의한 SIP 서버의 단말기 등록 방법의 흐름을 나타내는 순서도이다.5 is a flowchart illustrating a flow of a terminal registration method of a SIP server according to an embodiment of the present invention.

먼저 단말기로부터 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 전송받는다(502). 이 때 SIP 등록 과정의 보안을 위해, 단말기 인증자를 이용하여 해당 단말기에 대한 인증 과정을 수행할 수 있다(504). First, a SIP registration request message including an encrypted field is transmitted from a terminal (502). In this case, in order to secure the SIP registration process, an authentication process for the corresponding terminal may be performed using the terminal authenticator (504).

SIP 등록 요청 메시지를 전송받은 후, 이 메시지에 포함되어 있는 암호화된 필드를 복원한다(506). 복원이 완료되면, 복원된 필드 값을 이용하여 단말기 등록 과정을 수행한다(508). After receiving the SIP registration request message, the encrypted field included in the message is restored (506). When the restoration is completed, the terminal registration process is performed using the restored field value (508).

단말기 등록이 완료되면, 세션 키 생성을 위한 난수가 포함된 SIP 등록 응답 메시지를 전송한다(510). 단말기는 이 난수를 이용하여 세션 키를 생성할 수 있는데, 이 세션 키는 SIP 등록 후 단말기간의 SIP 세션 설정 과정에서 세션의 보안을 유지하는 데 이용된다.When the terminal registration is completed, the SIP registration response message including the random number for generating the session key is transmitted (510). The terminal can generate a session key using this random number, which is used to secure the session in the process of establishing a SIP session between terminals after SIP registration.

도 6은 본 발명의 일 실시예에 의한 단말기의 SIP 등록 방법의 흐름을 나타내는 순서도이다.6 is a flowchart illustrating a flow of a SIP registration method of a terminal according to an embodiment of the present invention.

먼저 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 생성한다(602). 기존 SIP 메시지의 필드들은 암호화되지 않은 채 그대로 전송되었으므로 보안에 취약한 단점이 있어 본 발명에서는 중요 필드들을 암호화한다. 그리고 SIP 등록 요청 메시지를 SIP 서버에 전송하는데, 이 SIP 등록 요청 메시지에는 단말기의 인증에 이용되는 인증자가 포함되어 있다(604).First, a SIP registration request message including an encrypted field is generated (602). Since the fields of the existing SIP message are transmitted as they are not encrypted, there is a weak point in security. In the present invention, the important fields are encrypted. The SIP registration request message is transmitted to the SIP server. The SIP registration request message includes an authenticator used for authentication of the terminal (604).

SIP 서버에서 단말기 등록이 끝나면, SIP 등록 응답 메시지를 전송받게 되는데, 이 SIP 등록 응답 메시지에는 세션 키 생성을 위한 난수가 포함되어 있다(606). 이제 전송받은 난수를 이용하여 세션 키를 생성한다(608). 난수 및 세션 키에 대한 설명은 앞에서 언급한 바 있으므로 생략한다.When the terminal registration is completed in the SIP server, the SIP registration response message is transmitted. The SIP registration response message includes a random number for generating a session key (606). The session key is generated using the received random number (608). The description of the random number and the session key is omitted because it was mentioned above.

도 7은 본 발명의 다른 실시예에 의한 SIP 서버의 단말기 간 세션 설정 관리 방법의 흐름을 나타내는 순서도이다.7 is a flowchart illustrating a flow of a method for managing session establishment between terminals in a SIP server according to another embodiment of the present invention.

먼저 제 1 단말기로부터 SIP 세션 요청 메시지를 수신하여 제 2 단말기에 전송한다(702). 그리고 나서, 제 1 및 제 2 단말기 사이에서 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 제 2 단말기에 전송한다(704). First, a SIP session request message is received from a first terminal and transmitted to a second terminal (702). Then, the first media key generation information used to generate a media key for encrypting the session set up between the first and second terminals is transmitted to the second terminal (704).

다음으로, 제 2 단말기로부터 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 수신하여 제 1 단말기에 전송한다(706). 그 후 제 2 미디어 키 생성 정보를 제 1 단말기에 전송하는데, 이 제 2 미디어 키 생성정보는 제 1 미디어 키와 함께 미디어 키를 생성하는 데 이용된다(708). Next, a SIP session response message, which is a response to the SIP session request message, is received from the second terminal and transmitted to the first terminal (706). The second media key generation information is then sent to the first terminal, which is used (708) to generate a media key along with the first media key.

도 7에서, SIP 세션 요청 메시지 또는 제 2 미디어 키 생성 정보는 제 1 단말기의 SIP 등록 과정에서 생성된 제 1 세션 키를 이용하여 암호화될 수 있다. 또한 SIP 세션 응답 메시지 또는 제 1 미디어 키 생성 정보는 제 2 단말기의 SIP 등록 과정에서 생성된 제 2 세션 키를 이용하여 암호화될 수 있다.In FIG. 7, the SIP session request message or the second media key generation information may be encrypted using the first session key generated during the SIP registration process of the first terminal. In addition, the SIP session response message or the first media key generation information may be encrypted using the second session key generated during the SIP registration process of the second terminal.

또한 보안을 위해서, SIP 세션 요청 메시지 또는 SIP 세션 응답 메시지에는 제 1 단말기 또는 제 2 단말기의 인증자가 포함될 수 있고, 이에 따른 단말기 인증 과정이 추가로 수행될 수 있다. 마찬가지로 제 1 미디어 키 생성 정보 또는 제 2 미디어 키 생성 정보에도 서버 인증자가 포함될 수 있으며 이에 따른 서버 인증 과정이 추가로 수행될 수 있다. In addition, for security purposes, the SIP session request message or the SIP session response message may include an authenticator of the first terminal or the second terminal, and a terminal authentication process may be additionally performed. Similarly, the server authenticator may be included in the first media key generation information or the second media key generation information, and a server authentication process may be additionally performed.

도 7에는 도시되지 않았으나, 단계 708에 의한 제 2 미디어 키 생성 정보의 전송이 완료된 후, 제 1 단말기 및 제 2 단말기 간의 세션을 설정하는 단계가 더 포함될 수 있다. 이 세션은 제 1 및 제 2 미디어키를 이용하여 생성되는 미디어 키를 통해 암호화된다. 그리고 세션을 종료하기 위해서 제 1 단말기에 대한 제 2 단말기의 세션 종료 메시지 또는 제 2 단말기에 대한 제 1 단말기의 세션 종료 메시지를 전송하고 세션을 종료하는 단계 또한 포함될 수 있다. 이 때 세션 종료 메시지는 미디어 키를 이용하여 생성된 인증자를 포함할 수 있다.Although not shown in FIG. 7, after the transmission of the second media key generation information by step 708 is completed, establishing a session between the first terminal and the second terminal may be further included. This session is encrypted with a media key generated using the first and second media keys. The method may also include transmitting a session end message of the second terminal to the first terminal or a session end message of the first terminal to the second terminal and ending the session to end the session. At this time, the session end message may include an authenticator generated using the media key.

도 8은 본 발명의 다른 실시예에 의한 발신 단말기의 SIP 세션 설정 방법의 흐름을 나타내는 순서도이다.8 is a flowchart illustrating a flow of a method for establishing a SIP session of a calling terminal according to another embodiment of the present invention.

먼저 수신 단말기에 대한 SIP 세션 요청 메시지를 생성한다(802). 그리고 이 세션 요청 메시지를 수신 단말기에 전송한다(804). 그리고 수신 단말기로부터 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지와 함께 미디어 키 생성 정보를 전송받는다(806, 808).First, a SIP session request message for a receiving terminal is generated (802). The session request message is transmitted to the receiving terminal (804). Media key generation information is transmitted from the receiving terminal together with the SIP session response message in response to the SIP session request message (806 and 808).

그리고 나서, 세션의 보안을 위하여 전송 받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다(810). 이 미디어 키는 수신 단말기와의 사이에서 설정되는 세션의 암호화에 이용된다(812). Then, the media key is generated using the received media key generation information for the security of the session (810). This media key is used to encrypt the session established with the receiving terminal (812).

세션 설정 후 데이터 전송이 완료되면, 미디어 키를 이용하여 생성된 인증자를 포함하는 세션 종료 메시지를 전송한다(814). 수신 단말기에서 인증이 성공하고 세션 종료 메시지가 승인되면, 세션을 종료한다(816).When data transmission is completed after the session is established, the session termination message including the authenticator generated using the media key is transmitted (814). If authentication is successful at the receiving terminal and the session end message is approved, the session is terminated (816).

도 9는 본 발명의 다른 실시예에 의한 수신 단말기의 SIP 세션 설정 방법의 흐름을 나타내는 순서도이다.9 is a flowchart illustrating a flow of a method for establishing a SIP session of a receiving terminal according to another embodiment of the present invention.

먼저 발신 단말기로부터 SIP 세션 요청 메시지와 미디어 키 생성 정보를 전송받는다(902, 904). 그리고 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송한다(906).First, a SIP session request message and media key generation information are received from a calling terminal (902, 904). In operation 906, the SIP session response message, which is a response to the SIP session request message, is transmitted.

그리고 나서, 세션의 보안을 위하여 전송 받은 미디어 키 생성 정보를 이용하여 미디어 키를 생성한다(908). 이 미디어 키는 수신 단말기와의 사이에서 설정되는 세션의 암호화에 이용된다(910). Then, the media key is generated using the received media key generation information for the security of the session (908). This media key is used to encrypt the session established with the receiving terminal (910).

세션 설정 후 데이터 전송이 완료되면, 미디어 키를 이용하여 생성된 인증자를 포함하는 세션 종료 메시지를 전송한다(912). 발신 단말기에서 인증이 성공하고 세션 종료 메시지가 승인되면, 세션을 종료한다(914).When data transmission is completed after the session is established, the session termination message including the authenticator generated using the media key is transmitted (912). If authentication is successful at the originating terminal and the session end message is approved, the session is terminated (914).

전술한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by.

도 1은 본 발명의 일 실시예에 의한 SIP 등록 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도.1 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP registration process according to an embodiment of the present invention.

도 2는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 수행하는 SIP 서버 및 단말기의 구성을 나타내는 구성도.2 is a block diagram showing the configuration of a SIP server and a terminal for performing a SIP session establishment process according to another embodiment of the present invention.

도 3은 본 발명의 일 실시예에 의한 SIP 등록 과정을 설명하기 위한 흐름도.3 is a flowchart illustrating a SIP registration process according to an embodiment of the present invention.

도 4는 본 발명의 다른 실시예에 의한 SIP 세션 설정 과정을 설명하기 위한 흐름도.4 is a flowchart illustrating a SIP session establishment process according to another embodiment of the present invention.

도 5는 본 발명의 일 실시예에 의한 SIP 서버의 단말기 등록 방법의 흐름을 나타내는 순서도.5 is a flow chart showing the flow of the terminal registration method of the SIP server according to an embodiment of the present invention.

도 6은 본 발명의 일 실시예에 의한 단말기의 SIP 등록 방법의 흐름을 나타내는 순서도.6 is a flow chart showing the flow of the SIP registration method of the terminal according to an embodiment of the present invention.

도 7은 본 발명의 다른 실시예에 의한 SIP 서버의 단말기 간 세션 설정 관리 방법의 흐름을 나타내는 순서도7 is a flowchart illustrating a flow of a method for managing session establishment between terminals in a SIP server according to another embodiment of the present invention.

도 8은 본 발명의 다른 실시예에 의한 발신 단말기의 SIP 세션 설정 방법의 흐름을 나타내는 순서도.8 is a flowchart illustrating a flow of a method for establishing a SIP session of a calling terminal according to another embodiment of the present invention.

Claims (31)

단말기로부터 암호화 된 필드가 포함된 SIP(Session Initiation Protocol) 등록 요청 메시지를 전송받는 단계;Receiving a Session Initiation Protocol (SIP) registration request message including an encrypted field from a terminal; 상기 암호화 된 필드를 복원하는 단계; Restoring the encrypted field; 상기 복원된 필드를 이용하여 상기 단말기를 등록하는 단계; 및Registering the terminal using the restored field; And 상기 단말기에 SIP 등록 응답 메시지를 전송하는 단계를 Transmitting a SIP registration response message to the terminal; 포함하는 SIP 서버의 단말기 등록 방법.Terminal registration method of a SIP server comprising. 제 1 항에 있어서,The method of claim 1, 상기 단말기를 인증하는 단계를 더 포함하고,Authenticating the terminal; 상기 SIP 등록 요청 메시지는 상기 단말기의 인증자를 포함하는 SIP 서버의 단말기 등록 방법.And the SIP registration request message includes an authenticator of the terminal. 제 1 항에 있어서,The method of claim 1, 상기 SIP 등록 응답 메시지는The SIP registration response message is 보안 세션 설정에 이용되는 세션 키를 생성할 수 있는 난수를 포함하는 SIP 서버의 단말기 등록 방법.A terminal registration method of a SIP server including a random number capable of generating a session key used for establishing a secure session. 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 생성하는 단계;Generating a SIP registration request message including an encrypted field; 상기 SIP 등록 요청 메시지를 SIP 서버에 전송하는 단계; 및Transmitting the SIP registration request message to a SIP server; And 상기 SIP 서버로부터 상기 SIP 등록 요청 메시지에 대한 응답인 SIP 등록 응답 메시지를 전송받는 단계를Receiving a SIP registration response message, which is a response to the SIP registration request message, from the SIP server; 포함하는 단말기의 SIP 등록 방법.SIP registration method of the terminal comprising. 제 4 항에 있어서,The method of claim 4, wherein 상기 SIP 등록 요청 메시지는The SIP registration request message 상기 SIP 서버에서의 상기 단말기 인증에 이용되는 인증자를 포함하는 단말기의 SIP 등록 방법.SIP registration method of a terminal including an authenticator used for authenticating the terminal in the SIP server. 제 4 항에 있어서,The method of claim 4, wherein 상기 SIP 등록 응답 메시지는 보안 세션 설정에 이용되는 세션 키를 생성할 수 있는 난수를 포함하고,The SIP registration response message includes a random number capable of generating a session key used for establishing a secure session. 상기 SIP 등록 방법은 The SIP registration method 상기 난수를 이용하여 상기 세션 키를 생성하는 단계를 더 포함하는 단말기의 SIP 등록 방법.And generating the session key by using the random number. 단말기로부터 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 전송받고, 상기 단말기에 SIP 등록 응답 메시지를 전송하는 통신부;A communication unit for receiving a SIP registration request message including an encrypted field from a terminal and transmitting a SIP registration response message to the terminal; 상기 암호화 된 필드를 복원하는 필드 복원부; 및A field restoration unit for restoring the encrypted field; And 상기 복원된 필드를 이용하여 상기 단말기를 등록하는 단말기 등록부를A terminal registration unit that registers the terminal using the restored field 포함하는 SIP 서버.Including SIP server. 제 7 항에 있어서,The method of claim 7, wherein 상기 단말기를 인증하는 단말기 인증부를 더 포함하고,Further comprising a terminal authentication unit for authenticating the terminal, 상기 SIP 등록 요청 메시지는 상기 단말기의 인증자를 포함하는 SIP 서버.The SIP registration request message includes an authenticator of the terminal. 제 7 항에 있어서,The method of claim 7, wherein 상기 SIP 등록 응답 메시지는The SIP registration response message is 보안 세션 설정에 이용되는 세션 키를 생성할 수 있는 난수를 포함하는 SIP 서버.A SIP server that contains a random number that can generate a session key for use in establishing a secure session. 암호화 된 필드가 포함된 SIP 등록 요청 메시지를 생성하는 메시지 생성부 및A message generator for generating a SIP registration request message including an encrypted field; and 상기 SIP 등록 요청 메시지를 SIP 서버에 전송하고, 상기 SIP 서버로부터 상기 SIP 등록 요청 메시지에 대한 응답인 SIP 등록 응답 메시지를 전송받는 통신부를A communication unit which transmits the SIP registration request message to a SIP server and receives a SIP registration response message which is a response to the SIP registration request message from the SIP server; 포함하는 SIP 단말기.SIP terminal, including. 제 10 항에 있어서,The method of claim 10, 상기 SIP 등록 요청 메시지는The SIP registration request message 상기 SIP 서버에서의 상기 단말기 인증에 이용되는 인증자를 포함하는 SIP 단말기.SIP terminal including an authenticator used to authenticate the terminal in the SIP server. 제 10 항에 있어서,The method of claim 10, 상기 SIP 등록 응답 메시지는 보안 세션 설정에 이용되는 세션 키를 생성할 수 있는 난수를 포함하고,The SIP registration response message includes a random number capable of generating a session key used for establishing a secure session. 상기 SIP 단말기는The SIP terminal is 상기 난수를 이용하여 상기 세션 키를 생성하는 세션 키 생성부를 더 포함하는 SIP 단말기.And a session key generator for generating the session key using the random number. 제 1 단말기로부터 SIP 세션 요청 메시지를 수신하여 제 2 단말기에 전송하는 단계;Receiving a SIP session request message from a first terminal and transmitting it to a second terminal; 상기 제 1 및 제 2 단말기 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 상기 제 2 단말기에 전송하는 단계;Transmitting first media key generation information used to generate a media key for encrypting a session established between the first and second terminals to the second terminal; 상기 제 2 단말기로부터 상기 SIP 세션 요청 메시지에 대한 SIP 세션 응답 메시지를 수신하여 상기 제 1 단말기로 전송하는 단계; 및Receiving a SIP session response message for the SIP session request message from the second terminal and transmitting the received SIP session response message to the first terminal; And 상기 미디어 키 생성에 이용되는 제 2 미디어 키 생성 정보를 상기 제 1 단말기에 전송하는 단계를Transmitting second media key generation information used to generate the media key to the first terminal; 포함하는 SIP 서버의 단말기 간 세션 설정 관리 방법.How to manage session settings between terminals of a SIP server. 제 13 항에 있어서,The method of claim 13, 상기 SIP 세션 요청 메시지 또는 상기 제 2 미디어 키 생성 정보는The SIP session request message or the second media key generation information 상기 제 1 단말기의 SIP 등록 과정에서 생성된 제 1 세션 키를 이용하여 암호화되는 SIP 서버의 단말기 간 세션 설정 관리 방법.Method of managing session establishment between terminals of a SIP server encrypted using a first session key generated during SIP registration of the first terminal. 제 13 항에 있어서,The method of claim 13, 상기 SIP 세션 응답 메시지 또는 상기 제 1 미디어 키 생성 정보는 The SIP session response message or the first media key generation information 상기 제 2 단말기의 SIP 등록 과정에서 생성된 제 2 세션 키를 이용하여 암호화되는 SIP 서버의 단말기 간 세션 설정 관리 방법.Method of managing session establishment between terminals of a SIP server encrypted using a second session key generated during SIP registration of the second terminal. 제 13 항에 있어서,The method of claim 13, 상기 SIP 세션 요청 메시지 또는 상기 SIP 세션 응답 메시지를 인증하는 단계를 더 포함하고,Authenticating the SIP session request message or the SIP session response message; 상기 SIP 세션 요청 메시지 또는 상기 SIP 세션 응답 메시지는 상기 제 1 단말기 또는 상기 제 2 단말기의 인증자를 포함하는 SIP 서버의 단말기 간 세션 설정 관리 방법.And the SIP session request message or the SIP session response message includes an authenticator of the first terminal or the second terminal. 제 13 항에 있어서,The method of claim 13, 상기 제 1 미디어 키 생성 정보 또는 상기 제 2 미디어 키 생성 정보는The first media key generation information or the second media key generation information 상기 제 1 단말기 또는 상기 제 2 단말기에 대한 인증을 위한 서버 인증자를 포함하는 SIP 서버의 단말기 간 세션 설정 관리 방법.And a server authenticator for authenticating the first terminal or the second terminal. 제 13 항에 있어서,The method of claim 13, 상기 제 1 단말기와 상기 제 2 단말기 간의 세션을 설정하는 단계를 더 포함 하고,Establishing a session between the first terminal and the second terminal; 상기 세션은 상기 미디어 키를 이용하여 암호화 되는 SIP 서버의 단말기 간 세션 설정 관리 방법.And said session is encrypted using said media key. 제 18 항에 있어서,The method of claim 18, 상기 제 1 단말기에 대한 상기 제 2 단말기의 세션 종료 메시지 또는 상기 제 2 단말기에 대한 상기 제 1 단말기의 세션 종료 메시지를 전송하는 단계 및Transmitting a session end message of the second terminal to the first terminal or a session end message of the first terminal to the second terminal; and 상기 세션을 종료하는 단계를Terminating the session 더 포함하는 SIP 서버의 단말기 간 세션 설정 관리 방법.How to manage session settings between terminals of the SIP server further comprising. 제 19 항에 있어서,The method of claim 19, 상기 세션 종료 메시지는 상기 미디어 키를 이용하여 생성된 인증자를 포함하는 SIP 서버의 단말기 간 세션 설정 관리 방법.And the session end message comprises an authenticator generated by using the media key. 수신 단말기에 대한 SIP 세션 요청 메시지를 생성하는 단계;Generating a SIP session request message for a receiving terminal; 상기 SIP 세션 요청 메시지를 상기 수신 단말기에 전송하는 단계;Sending the SIP session request message to the receiving terminal; 상기 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송받는 단계; 및Receiving a SIP session response message which is a response to the SIP session request message; And 상기 수신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 단계를Receiving media key generation information used to generate a media key for encrypting a session set up with the receiving terminal; 포함하는 단말기의 SIP 세션 설정 방법.SIP session establishment method of the containing terminal. 제 21 항에 있어서,The method of claim 21, 상기 미디어 키 생성 정보를 이용하여 상기 미디어 키를 생성하는 단계 및Generating the media key using the media key generation information; and 상기 수신 단말기와의 세션을 설정하는 단계를 더 포함하고,Establishing a session with the receiving terminal; 상기 세션은 상기 미디어 키를 이용하여 암호화 되는 단말기의 SIP 세션 설정 방법.SIP session establishment method of the terminal is encrypted using the media key. 제 22 항에 있어서,The method of claim 22, 상기 수신 단말기에 대한 세션 종료 메시지를 전송하는 단계 및Transmitting a session termination message for the receiving terminal; and 상기 세션을 종료하는 단계를Terminating the session 더 포함하는 단말기의 SIP 세션 설정 방법.SIP session establishment method of the terminal further comprising. 제 23 항에 있어서,The method of claim 23, 상기 세션 종료 메시지는 상기 미디어 키를 이용하여 생성된 인증자를 포함하는 단말기의 SIP 세션 설정 방법.The session end message includes a authenticator generated using the media key. 발신 단말기로부터의 SIP 세션 요청 메시지를 전송받는 단계;Receiving a SIP session request message from an originating terminal; 상기 발신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 단계; 및Receiving media key generation information used to generate a media key for encrypting a session set up with the calling terminal; And 상기 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송하는 단계를Transmitting a SIP session response message which is a response to the SIP session request message; 포함하는 단말기의 SIP 세션 설정 방법.SIP session establishment method of the containing terminal. 제 25 항에 있어서,The method of claim 25, 상기 미디어 키 생성 정보를 이용하여 상기 미디어 키를 생성하는 단계 및Generating the media key using the media key generation information; and 상기 발신 단말기와의 세션을 설정하는 단계를 더 포함하고,Establishing a session with the calling terminal; 상기 세션은 상기 미디어 키를 이용하여 암호화 되는 단말기의 SIP 세션 설정 방법.SIP session establishment method of the terminal is encrypted using the media key. 제 26 항에 있어서,The method of claim 26, 상기 발신 단말기에 대한 세션 종료 메시지를 전송하는 단계 및Transmitting a session end message for the calling terminal; and 상기 세션을 종료하는 단계를Terminating the session 더 포함하는 단말기의 SIP 세션 설정 방법.SIP session establishment method of the terminal further comprising. 제 27 항에 있어서,The method of claim 27, 상기 세션 종료 메시지는 상기 미디어 키를 이용하여 생성된 인증자를 포함하는 단말기의 SIP 세션 설정 방법.The session end message includes a authenticator generated using the media key. 제 1 단말기로부터 SIP 세션 요청 메시지를 수신하여 제 2 단말기에 전송하고, 상기 제 2 단말기로부터 상기 SIP 세션 요청 메시지에 대한 SIP 세션 응답 메시지를 수신하여 상기 제 1 단말기로 전송하는 통신부 및A communication unit for receiving a SIP session request message from a first terminal and transmitting the SIP session request message to a second terminal, receiving a SIP session response message for the SIP session request message from the second terminal, and transmitting the received SIP session response message to the first terminal; 상기 제 1 및 제 2 단말기 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 제 1 미디어 키 생성 정보를 생성하여 상기 제 2 단말기에 전송하고, 상기 미디어 키 생성에 이용되는 제 2 미디어 키 생성 정보를 생성하여 상기 제 1 단말기에 전송하는 미디어 키 생성 정보 관리부를The first media key generation information used to generate a media key for encrypting the session set up between the first and second terminals is generated and transmitted to the second terminal, and the second media key used to generate the media key. A media key generation information management unit generating generation information and transmitting the generated information to the first terminal 포함하는 SIP 서버.Including SIP server. 수신 단말기에 대한 SIP 세션 요청 메시지를 생성하는 메시지 생성부;A message generator for generating a SIP session request message for a receiving terminal; 상기 SIP 세션 요청 메시지를 상기 수신 단말기에 전송하고, 상기 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송받는 통신부; 및 A communication unit which transmits the SIP session request message to the receiving terminal and receives a SIP session response message which is a response to the SIP session request message; And 상기 수신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 미디어 키 관리부를A media key management unit receiving media key generation information used to generate a media key for encrypting a session set up with the receiving terminal; 포함하는 단말기.Terminal containing. 발신 단말기로부터의 SIP 세션 요청 메시지를 전송받고, 상기 SIP 세션 요청 메시지에 대한 응답인 SIP 세션 응답 메시지를 전송하는 통신부 및A communication unit for receiving a SIP session request message from an originating terminal and transmitting a SIP session response message which is a response to the SIP session request message; 상기 발신 단말기와의 사이에 설정되는 세션의 암호화를 위한 미디어 키 생성에 이용되는 미디어 키 생성 정보를 전송받는 미디어 키 관리부를A media key manager configured to receive media key generation information used to generate a media key for encrypting a session set up with the calling terminal; 포함하는 단말기.Terminal containing.
KR1020080123230A 2007-12-20 2008-12-05 Method and apparatus for sip registering and establishing sip session with enhanced security KR101016277B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20070134620 2007-12-20
KR1020070134620 2007-12-20

Publications (2)

Publication Number Publication Date
KR20090067041A true KR20090067041A (en) 2009-06-24
KR101016277B1 KR101016277B1 (en) 2011-02-22

Family

ID=40994952

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080123230A KR101016277B1 (en) 2007-12-20 2008-12-05 Method and apparatus for sip registering and establishing sip session with enhanced security

Country Status (1)

Country Link
KR (1) KR101016277B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101028487B1 (en) * 2010-06-30 2011-04-14 주식회사 다이얼커뮤니케이션즈 Method for connecting internet telephone
KR101041386B1 (en) * 2011-03-09 2011-06-20 주식회사 다이얼커뮤니케이션즈 Internet telephone system for connecting to internet phone on the smartphone using push server
KR20170039416A (en) * 2015-10-01 2017-04-11 주식회사 엘지유플러스 Security Incoming and Outgoing Calls Using Voice over LTE Terminal And Control Method Thereof
KR101965307B1 (en) * 2017-10-31 2019-04-03 삼성에스디에스 주식회사 Message processing apparatus
KR101965306B1 (en) * 2017-10-25 2019-04-03 삼성에스디에스 주식회사 Message server and message processing apparatus including the same
KR102507608B1 (en) * 2022-06-29 2023-03-08 이승화 System and Method for Creating session of Multimedia communication using Decentralized Identifier

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7024688B1 (en) * 2000-08-01 2006-04-04 Nokia Corporation Techniques for performing UMTS (universal mobile telecommunications system) authentication using SIP (session initiation protocol) messages
KR20060053003A (en) * 2003-03-14 2006-05-19 톰슨 라이센싱 Wlan session management techniques with secure rekeying and logoff
US7895436B2 (en) * 2003-10-28 2011-02-22 The Foundation For The Promotion Of Industrial Science Authentication system and remotely-distributed storage system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101028487B1 (en) * 2010-06-30 2011-04-14 주식회사 다이얼커뮤니케이션즈 Method for connecting internet telephone
KR101041386B1 (en) * 2011-03-09 2011-06-20 주식회사 다이얼커뮤니케이션즈 Internet telephone system for connecting to internet phone on the smartphone using push server
KR20170039416A (en) * 2015-10-01 2017-04-11 주식회사 엘지유플러스 Security Incoming and Outgoing Calls Using Voice over LTE Terminal And Control Method Thereof
KR101965306B1 (en) * 2017-10-25 2019-04-03 삼성에스디에스 주식회사 Message server and message processing apparatus including the same
KR101965307B1 (en) * 2017-10-31 2019-04-03 삼성에스디에스 주식회사 Message processing apparatus
KR102507608B1 (en) * 2022-06-29 2023-03-08 이승화 System and Method for Creating session of Multimedia communication using Decentralized Identifier

Also Published As

Publication number Publication date
KR101016277B1 (en) 2011-02-22

Similar Documents

Publication Publication Date Title
US9628271B2 (en) Key management for secure communication
JP5106682B2 (en) Method and apparatus for machine-to-machine communication
US7382881B2 (en) Lawful interception of end-to-end encrypted data traffic
KR102068367B1 (en) A computer implemented system and method for lightweight authentication on datagram transport for internet of things
US9749318B2 (en) Key management in a communication network
JP5118048B2 (en) Method and apparatus for establishing a security association
EP1267548B1 (en) Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
EP1717986B1 (en) Key distribution method
CN101420413B (en) Session cipher negotiating method, authentication server and network appliance
WO2015180654A1 (en) Method and apparatus for achieving secret communications
KR101016277B1 (en) Method and apparatus for sip registering and establishing sip session with enhanced security
CN111756726A (en) SIP security authentication method supporting State cipher algorithm
WO2008040213A1 (en) Message encryption and signature method, system and device in communication system
CN114079650A (en) Communication method and device based on IMS data channel
US8705745B2 (en) Method and system for transmitting deferred media information in an IP multimedia subsystem
KR20090067194A (en) Method for providing a symmetric key for protecting a key management protocol
EP2451133B1 (en) Method and system for transmitting delay media information in ip multimedia subsystem
CN102025485B (en) Key negotiation method, key management server and terminal
CN101729535B (en) Implementation method of media on-demand business
Floroiu et al. A comparative analysis of the security aspects of the multimedia key exchange protocols
GB2390270A (en) Escrowing with an authority only part of the information required to reconstruct a decryption key
CN117528194A (en) Video front-end equipment authentication method and system based on SM9 cryptographic algorithm
JP5746774B2 (en) Key management for secure communication
JP4675982B2 (en) Session control server, communication apparatus, communication system, communication method, program thereof, and recording medium
Yoon et al. A Study on the Interworking for SIP-Based Secure VoIP Communication with Security Protocols in the Heterogeneous Network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140407

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150129

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160311

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170210

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180202

Year of fee payment: 8

R401 Registration of restoration
R401 Registration of restoration