WO2009109093A1 - 响应消息认证方法、装置及系统 - Google Patents

响应消息认证方法、装置及系统 Download PDF

Info

Publication number
WO2009109093A1
WO2009109093A1 PCT/CN2008/073702 CN2008073702W WO2009109093A1 WO 2009109093 A1 WO2009109093 A1 WO 2009109093A1 CN 2008073702 W CN2008073702 W CN 2008073702W WO 2009109093 A1 WO2009109093 A1 WO 2009109093A1
Authority
WO
WIPO (PCT)
Prior art keywords
response message
message
response
signature
information
Prior art date
Application number
PCT/CN2008/073702
Other languages
English (en)
French (fr)
Inventor
辛阳
高洪涛
马骥
江为强
钮心忻
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CN2008101014631A priority Critical patent/CN101527632B/zh
Priority to CN200810101463.1 priority
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Publication of WO2009109093A1 publication Critical patent/WO2009109093A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Description

响应消息认证方法、 装置及系统 技术领域
本发明涉及通信技术领域, 尤其涉及一种响应消息认证方法、 装置及系 统。 背景技术
为了保证通信过程中的安全性, 例如, 为了确保消息请求方发送的消息 不被恶意的终端截获, 消息接收方需要对消息请求方的身份进行认证, 同时, 为了确保消息请求方不被恶意的代理服务器指示将呼叫转移到一些非法实体 进而消息请求方与非法实体进行通话, 消息请求方是需要对消息接收方的身 份进行认证的。
目前, 会话初始协议 ( SIP, Session Initiation Protocol )中通信双方进行认 证的方式主要有摘要 (Digest)认证、 传输层安全协议 (TLS, Transport Layer Security) , 安全多用途因特网邮件扩充协议 (S/MIME, Secure Multipurpose Internet Mail Extension)等, 但这些方法都存在一些缺陷: 例如, Digest只能用 于双方有共享密钥的情况下, TLS和 S/MIME都要求用到用户证书, 但实际 情况是艮少终端用户有自己的证书, 所以为了解决 SIP通信双方的认证, 尤 其是通信双方不在同一个域的情况下的认证, 互联网工程任务组 (IETF, The Internet Engineering Task Force) SIP组的鉴权识别管理( rfc4474 )提出了一种 方案: 由请求者归属域的代理服务器(proxy )使用 Digest对其认证, 然后该 proxy使用域的证书对请求消息中的请求者身份及其他相关信息进行签名;然 后接收者或接收者归属域的 proxy验证该签名, 如果验证通过并且信任请求 者 proxy, 贝1 J认证通过。
但是,上述方案解决的是请求消息的认证,其并未解决响应消息的认证, 因为响应消息比请求消息要复杂的多, 响应消息的发送者不一定是响应消息 中的 TO值所表示的实体, 没有一个字段能准确的标识响应消息的发送者, 主 要表现在以下两方面:
1 )有些响应消息是 roxy 所发, 如 lxx 的临时响应, 3xx 的重定向 ( redirection ) 消息;
2 )被重定向 (retarget)的消息其 To值并不会因重定向而改变。 发明内容
本发明实施例提供一种响应消息认证方法、 装置及系统, 以实现消息请 求终端对消息接收终端的响应消息的有效认证。
本发明实施例提供了一种响应消息认证方法, 该方法具体包括: 转发接收到的包含预定标签的请求消息;
接收转发的所述请求消息并发送;
接收返回的响应消息, 并认证响应消息发送终端, 将生成的包含标识发 起所述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发 送;
将所述响应消息中的所述签名和证书信息移除并发送。
本发明实施例还提供了一种响应消息认证方法, 该方法具体包括: 转发接收到的包含预定标签的请求消息;
将生成的包含标识发起响应消息真实实体信息的签名和证书信息插入到 响应消息中并发送;
将所述响应消息中的所述签名和证书信息移除并发送。
本发明实施例提供了一种响应消息认证系统, 该系统具体包括请求方代 理服务器和接收方代理服务器, 其中, 所述请求方代理服务器包括:
请求消息转发单元, 用于转发接收到的包含预定标签的请求消息; 响应消息接收单元, 用于接收带有签名和证书信息的响应消息并转发; 响应认证单元, 用于接收响应消息接收单元转发的带有签名和证书信息 的响应消息, 并验证所述响应消息是否合法, 若合法则将所述签名和证书信 息移除并转发;
所述接收方代理服务器包括:
请求消息转接单元, 用于接收请求消息转发单元转发的请求消息; 请求消息处理单元, 用于根据接收到的请求消息判断是否需要返回重定 向响应消息, 及当不需要返回重定向响应消息时, 对请求消息进行处理并发 送;
重定向单元, 用于当需要返回响应消息时, 发送包含标识发起所述响应 消息真实实体信息的响应消息;
认证单元, 用于接收返回的响应消息, 并认证所述响应消息是否合法, 若合法则发送包含标识发起所述响应消息真实实体信息的响应消息;
签名单元, 用于对标识发起所述响应消息真实实体的信息进行签名, 并 将所述签名和证书信息插入到响应消息中并发送。
本发明实施例提供了一种响应消息认证装置, 该装置具体包括: 转发单元, 用于转发接收到的包含预定标签的请求消息;
接收单元, 用于接收转发的所述请求消息并发送;
成功消息发送单元, 接收返回的响应消息, 并认证响应消息发送终端, 将生成的包含标识发起所述响应消息真实实体的信息的签名及证书信息插入 到该响应消息中并发送;
成功消息转发单元, 将所述响应消息中的所述签名和证书信息移除并发 送。
本发明实施例还提供了一种响应消息认证装置, 该装置具体包括: 转发单元, 用于转发接收到的包含预定标签的请求消息;
发送单元, 用于将生成的包含标识发起响应消息真实实体信息的签名和 证书信息插入到响应消息中并发送; 成功消息转发单元, 用于将所述响应消息中的所述签名和证书信息移除 并发送。
上述响应消息认证方法、 装置及系统, 通过使用 SIP 扩展标签 response-p-auth使得请求终端可以要求接收终端代理服务器对接收终端进行 认证, 通过在响应消息中设置标识响应消息发起者真实身份的信息, 可以让 请求者知道与其通信的实体, 通过对真实响应实体信息的签名来让请求者确 定与其通信的实体就是响应消息中所声称的实体, 从而可以较好地实现消息 请求终端对消息接收终端的响应消息的有效认证。 附图说明
图 1为本发明响应消息认证方法实施例一的信令流程图;
图 2为本发明响应消息认证方法实施例二的信令流程图;
图 3为本发明响应消息认证方法实施例三的信令流程图;
图 4为本发明响应消息认证方法实施例四的信令流程图;
图 5为本发明响应消息认证方法实施例一的流程图;
图 6为本发明响应消息认证方法实施例二的流程图;
图 Ί为本发明响应消息认证系统实施例的结构示意图;
图 8为本发明响应消息认证装置实施例一的结构示意图;
图 9为本发明响应消息认证装置实施例二的结构示意图。 具体实施方式
如图 1所示, 为本发明响应消息认证方法实施例一的信令流程图, 该方 法具体包括:
步骤 101、请求终端向请求方代理服务器发送包含预定标签的请求消息; 请求消息中包含头域 Require: respond-p-auth , 4叚设上述请求终端为
Alice, 请求方代理服务器为 Proxy A,接收终端为 Bob,接收方代理服务器为 Proxy B , 该请求消息具体为:
INVITE sip: bob@biloxi.example.com SIP/2.0
Via: SIP/2.0/TCP client.atlanta.example.com: 5060; branch:
z9hG4bK74bf
Require: response-p-auth
From: Alice <sip: alice@atlanta. example. com>; tag=9fxced76sl
To: Bob <sip: bob@biloxi.example.com>
Call-ID: 3848276298220188511 @atlanta. example, com
CSeq: 1 INVITE
Contact: <sip: alice@client.atlanta.example.com; transport=tcp> 该请求消息表示请求方(由 From 字段表示, 即 Alice <sip: alice@atlanta.example.com>)向接^:方 (由 To 字段表示, 即 Bob <sip: bob@biloxi.example.com>)发送一个邀请请求 Invite; 其中, 该请求消息中, 通 过预定标签 Require: response-p-auth表示请求方要求接收方代理服务器对其 域内接收方的响应消息进行认证;
步骤 102、 请求方代理服务器将包含预定标签的请求消息转发至接收方 代理服务器;
步骤 103、 接收方代理服务器向转发的请求消息中插入挑战信息, 并将 含有挑战信息的请求消息发送至接收终端;
上述含有挑战信息的请求消息具体为:
INVITE sip: bob@client.biloxi.example.com SIP/2.0
Require: response-p-auth Proxy- Authenticate: Digest realm="biloxi. example. com" , qop="auth", nonce="wf84fl ceczx41 ae6cbe5aea9c8e88d359", opaque="", stale=FALSE, algorithm=MD5
Proxy-Authenticate字段表示挑战信息, 所述挑战信息包含的信息与现有 的 SIP中的摘要认证规定一致, 其中 nonce为接收方代理服务器生成的随机 数, realm为接收方代理服务器的域名;
步骤 104、 接收终端返回带有挑战响应信息的响应消息;
接收终端收到含有挑战信息的请求消息后, 对请求消息处理完成后, 在 响应消息中加入根据挑战信息生成的挑战响应信息 Proxy-Authorization;挑战 响应信息中包含有接收终端用户名 username、 接收终端密码和所述挑战信息 中的 nonce值生成的摘要值, 该摘要值放在 response属性中。 其中用户名 usemame必须是接收终端自己的真实 ID; 而不是步骤 103中所述的接收方服 务器转发给接收终端的请求消息中的 To字段包含的 ID;
上述返回的带有挑战响应信息的响应消息具体为:
Proxy- Authorization: Digest username="bob",realm="biloxi.example.com", nonce="wf84f 1 ceczx41 ae6cbe5aea9c8e88d359", opaque:"", uri="sip:
bob@biloxi.example.com",
response="42ce3cef44b22f50c6a6071bc8"
上述消息中, uri属性表示接收终端的 SIP URI, 由用户名加上用户所属 域的代理服务器域名组成。
步骤 105、 接收方代理服务器检查挑战响应消息, 若检查通过则在响应 消息中插入自己的签名和证书信息;
接收方代理服务器首先检查挑战响应消息中的接收终端 ID是否属于本域 用户, 即 uri中的域名部分是否与本代理服务器域名一致; 如果一致, 则用现 有 SIP协议中挑战响应的验证方法对 response中的摘要值进行验证。
如果验证通过,则将 uri中表示的 SIP URI作为真实的响应消息发送方设 置为 RespID的值, 然后生成对该值的签名, 将签名值放入 Identity字段, 将 RespID、 证书存放位置和签名算法放入 Identity-info字段中;
上述在响应消息中插入自己的签名后的消息具体为:
Identity:
"ZYNBbHC00VMZr2kZt6VmCvPonWJMGvQTBDqghoWeLxJfzB2alpxA r3VgrB0SsSAaifsRdiOPoQZYOy2wrVghuhcsMbHWUSFxI6p6q5TOQXHMmz6 uEo3svJsSH49thyGnFVcnyaZ++yRlBYYQTLqWzJ+KVhPKbfU/pryhVn9Yc6U
Identity-Info: <https: //biloxi. example . com/biloxi. cer>; alg=rsa-shal; RespID=bob@biloxi.example.com
步骤 106、请求方代理服务器验证证书和签名, 若通过则移除 Identity和 Identity-Info , 然后将响应消息发送至请求终端。
上述响应消息认证方法, 通过使用 SIP扩展标签 response-p-auth使得请 求终端可以要求接收方的代理服务器对接收终端进行认证, 通过在接收方的 响应消息中设置标识响应消息发起者真实身份的信息, 可以让请求者知道与 其通信的实体, 通过接收方代理服务器对真实响应实体信息的签名可以使得 请求者确定与其通信的实体就是在响应消息中所声称的响应实体, 从而可以 较好地实现消息请求终端对消息接收终端响应消息的有效认证。
如图 2所示, 为本发明响应消息认证方法实施例二的信令流程图, 该信 令流程图与本发明响应消息认证方法实施例一的信令流程图不同的是步骤 205-206, 步骤 205为接收方代理服务器检查挑战响应消息失败后, 先给接收 终端发送 BYE消息; 步骤 206接收方代理服务器给请求方代理服务器发送 440 Response Authentication Failed信息; 步骤 207请求方代理服务器给请求 终端发送 440 Response Authentication Failed信息。
上述响应消息认证方法, 较好地描述了在接收方代理服务器验证挑战信 息失败的情况下请求终端、 请求方代理服务器、 接收方代理服务器和接收终 端之间的交互 υ程, 通过增力口一个新的响应码 440 Response Authentication Failed使得接收方代理服务器验证接收方身份错误时返回响应给请求方, 从 而避免了非法终端冒充响应终端返回响应消息。
如图 3所示, 为本发明响应消息认证方法实施例三的信令流程图, 该信 令流程图与本发明响应消息认证方法实施例一的信令流程图不同的是步骤 306; 步骤 306为请求方代理服务器发现证书和签名不正确时, 给接收方代理 息。
由于该 BYE消息是服务器发往域内的, 因此该 440消息不包含 Identity 和 Identity-Info , 请求终端与请求方代理服务器之间的通信安全由其它方式来 保证, 如 TLS。 上述 440响应消息具体为:
SIP/2.0 440 Response Authentication Failed 上述响应消息认证方法, 较好地描述了在请求方代理服务器验证签名失 败的情况下请求终端、 请求方代理服务器、 接收方代理服务器和接收终端之 间的交互流程, 同时通过在响应消息中设置标识响应消息发起者真实身份的 信息, 可以让请求者知道与其通信的实体, 通过对真实响应实体信息的签名 来让请求者确定与其通信的实体就是其所声称的实体, 从而可以较好地实现 消息请求终端对信息接收终端响应消息的有效认证。
如图 4所示, 为本发明响应消息认证方法实施例四的信令流程图, 该信 令流程图与本发明响应消息认证方法实施例一的信令流程图不同的是接收方 代理服务器收到请求方代理服务器转发的请求消息后, 返回 3xx响应消息, 而不再向下转发给接收者; 该响应消息具体为:
Identity-Info: <https: //biloxi. example . com/biloxi. cer>; alg=rsa-shal; RespID=biloxi. example, com 从响应消息认证方法实施例一和实施例四的响应消息中可以看到,
RespID的值不同, 实施例一中的 RespID=bob@biloxi.example.com, 实施例四 中的 RespID=biloxi.example.com, 即实施例一中发送响应消息的真实实体是 接收终端 Bob, 而实施例四中发送响应消息的真实实体是接收方代理服务器 Proxy B。
另外, 当请求方代理服务器发现证书和签名不正确时, 其信令流程图如 本发明响应消息认证方法实施例三的信令流程图。
上述响应消息认证方法, 通过在响应消息中设置标识响应消息发起者真 实身份的信息从而使得请求者确定与其通信的实体就是响应消息中所声称的 实体, 从而可以较好地实现消息请求终端对消息接收终端响应消息的有效认 证。
本发明实施例一响应消息认证方法具体包括:
转发接收到的包含预定标签的请求消息;
接收转发的所述请求消息并发送;
接收返回的响应消息, 并认证响应消息发送终端, 将生成的包含标识发 起所述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发 送;
将所述响应消息中的所述签名和证书信息移除并发送。
如图 5所示, 为本发明响应消息认证方法实施例一的流程图, 该方法具 体包括:
步骤 501、 转发接收到的包含预定标签的请求消息;
请求方代理服务器接收到请求终端发送的包含预定标签的请求消息后转 发给接收方代理服务器, 上述预定标签为请求终端要求对响应消息发送者做 认证的要求信息, 可以用 response-p-auth表示, 子贞定标签 response-p-auth的 使用格式为 Require: response-p-auth, 表示请求终端要求接收方代理服务器 对其域内接收终端的响应消息进行认证;
步骤 502、 在接收到的转发的所述请求消息中加入挑战信息并发送; 接收方代理服务器接收请求方代理服务器转发的请求消息后, 在上述请 求消息中加入挑战信息 Proxy- Authenticate后发送给接收终端;
步骤 503、 检查接收的带有挑战响应信息的响应消息是否合法, 若合法, 则执行步骤 504, 否则执行步骤 505;
该步骤是可选步骤, 接收终端根据接收的带有挑战信息的请求消息生成 并返回带有挑战响应信息的响应消息, 接收方代理服务器检查接收的挑战响 应信息是否合法;
上述步骤 502和 503为接收方代理服务器对接收终端的认证, 并且使用 的是基于 Digest 的挑战 /响应认证方式; 但是实现该认证的方法不限于挑战 / 响应方式, 还可以包括 TLS、 3GPP GBA方式等;
步骤 504、 将生成的包含标识发起上述响应消息真实实体信息的签名和 证书信息插入到响应消息中并发送, 转向步骤 506;
上述包含标识发起上述响应消息真实实体信息的签名包括 "RespID=" 字段及发起响应消息的真实实体的 ID; 当接收的包含挑战信息的响应消息合 法时, 将 RespID的值设为接收终端的 ID, 接收方代理服务器对包含 RespID 的 SIP头字段签名, 将签名值放入 Identity字段, 将 RespID和证书存放地址 放入 Identity-info字段, 并将 Identity和 Identity-Info字段放入响应消息并发 送; Identity-info 包含的字段有标识发起该响应消息的真实实体的 ID ( RespID ) 、 签名方法(Sign method )和接收方代理服务器域证书存放的统 一资源定位符 (URL); RespID为 Proxy- Authorization中的用户名 ( username ) 所对应的 SIP URI, 该值并不总等于请求消息中接收终端 (To ) 的值, 即当 请求终端发出来的请求消息没有被重定向时, 实际接收者就是请求消息中的 To所指示的实体, 因此 RespID值等于 To里面的值, 但当请求消息是被重定 向 (retarget)到实际接收终端时, RespID的值不等于请求消息中中的 To的值, 而是实际接收终端的 ID; 接收方代理服务器除了对 RespID进行签名外, 还 可以对如下字段进行签名: 请求终端 (From ) 、 接收终端 (To ) 、 会话标识 ( Call-ID ) 、 日期(Date ) 、 Identity-info其他参数、 响应码和描述等; 上述 签名方法 ( Sign method ) 可以是消息摘要算法版本 5RSA 签名算法 ( MD5RSA ) , 即首先用消息摘要算法版本 5 ( message-digest algorithm v5, md5 )对响应 ID和其他相关字段进行哈希, 再由接收方代理服务器用域证书 对应的私钥对其加密;
步骤 505、 先发送失败消息, 后发送响应失败消息, 转向步骤 509;
该步骤只有在接收方代理服务器对接收终端认证失败时发生。 如果釆用 挑战 /响应认证方法, 在接收方代理服务器接收的挑战响应消息不合法时发 生,此时接收方代理服务器先给接收终端发送 BYE消息以结束与接收终端的 会话, 然后发送 440 Response Authentication Failed响应给请求方代理服务器 以通知请求终端响应认证失败;
步骤 506、 验证包含上述签名和证书信息的响应消息是否合法, 若合法 则执行步骤 507, 否则执行步骤 508;
上述步骤 506也是可选步骤, 请求方代理服务器接收包含上述签名和证 书信息的响应消息后, 对其进行验证, 如果验证成功, 则基于请求方代理服 务器对接收方代理服务器的信任, 请求方代理服务器认为响应消息发起方即 接收终端已经被成功认证。
该验证过程具体包括:
请求方代理服务器根据响应消息中的证书信息, 获取接收方代理服务器 的证书;比较 RespID中的响应实体标识的域名部分是否与所述证书中的证书 所有者同属一个域; 如果不是, 则验证失败, 因为一个代理服务器只能管理 本域内的用户; 如果是, 按照步骤 504所釆用的签名算法, 例如 MD5RSA, 对所述签名进行验证, 该验证过程具体为:
使用所述消息摘要算法计算被签名的字段的摘要值, 其中必然包含 RespID; 再用所述证书所包含的公钥解密响应消息中的签名值; 最后用解密 后的数据与所述摘要值对比。 如果相等, 则表示验证成功; 如果不等, 则验 证失败;
步骤 507、 将上述响应消息中的上述签名和证书信息移除并发送, 转向 步骤 509;
若通过验证, 请求方代理服务器则移除上述签名和证书信息并转发移除 了上述签名和证书信息的响应消息给请求终端;
步骤 508、 先发送失败消息, 后发送响应失败消息;
该步骤发生在响应消息未通过请求方代理服务器的验证时, 此时先向接 收方代理服务器发送 BYE 消息, 再向请求终端发送 440 Response Authentication Failed响应以通 口请求终端响应认证失败;
步骤 509、 结束。
上述响应消息认证方法是在网络侧完成的, 接收终端通过在响应消息中 设置标识响应消息发起者真实身份的信息, 可以让请求终端知道与其通信的 实体, 通过接收方代理服务器对真实响应实体信息的签名从而使得请求者确 定与其通信的实体就是响应消息中所声称的实体, 从而可以较好地实现消息 请求终端对消息接收终端的响应消息的有效认证。
如图 6所示, 为本发明响应消息认证方法实施例二的流程图, 该方法具 体包括:
步骤 601、 转发接收到的包含预定标签的请求消息;
同本发明响应消息认证方法实施例一中步骤 101的操作步骤一样, 且预 定标签也相同, 均为 response-p-auth, 使用格式也相同;
步骤 602、 将生成的包含标识发起响应消息真实实体信息的签名和证书 信息插入到响应消息中并发送;
接收方代理服务器根据对 SIP请求消息的处理, 需要返回响应消息给请 求方, 而不再转发给接收终端时, 则执行此步骤。 接收方代理服务器将带有 签名和证书信息的响应消息发送给请求方代理服务器, 上述签名和证书信息 中标识发起上述响应消息真实实体的 RespID设置为接收方代理服务器的标 识;
步骤 603、 验证包含上述签名和证书信息的响应消息是否合法, 若合法 则执行步骤 604 , 否则执行步骤 605; 该步骤是可选步骤, 请求方代理服务器接收包含上述签名和证书信息的 响应消息后, 对其进行验证, 该验证过程包括:
获取请求方代理服务器证书,并比较证书中的所有者标识与 RespID是否 相同; 如果不相同, 则认证失败; 如果相同, 则验证所述签名值。 验证方法 与实施例一相同;
步骤 604、 将上述响应消息中的签名和证书信息移除并发送, 转向步骤
606;
若通过验证, 则请求方代理服务器移除上述签名和证书信息并转发移除 上述签名和证书信息的响应消息给发起所述请求消息的请求终端;
步骤 605、 先发送失败消息, 后发送响应失败消息;
该步骤只有在响应消息若未通过验证时才发生, 此时先向接收方代理服 务器发送 BYE消息,再向请求终端发送 440 Response Authentication Failed响 应以通知请求终端响应认证失败;
步骤 606、 结束。
上述响应消息认证方法是在网络侧完成的, 通过在响应消息中设置标识 响应消息发起者真实身份的信息, 可以让请求者知道与其通信的实体, 接收 方代理服务器通过对真实响应实体信息的签名从而使得请求者确定与其通信 的实体就是响应消息中所声称的实体, 从而可以较好地实现消息请求终端对 消息接收终端的响应消息的有效认证。
如图 7所示, 为本发明响应消息认证系统实施例的结构示意图, 该系统 具体包括请求方代理服务器 12和接收方代理服务器 13。
其中, 请求方代理服务器 12包括: 请求消息转发单元 121 , 用于转发接 收到的包含预定标签的请求消息; 响应消息接收单元 122, 用于接收带有签 名和证书信息的响应消息并转发; 响应认证单元 123 , 用于接收响应消息接 收单元转发的带有签名和证书信息的响应消息, 并验证所述响应消息是否合 法, 若合法则将所述签名和证书信息移除并转发;
另外, 上述请求方代理服务器还可以包括: 认证失败单元, 用于当响应 消息不合法时, 先发送失败消息, 后发送响应失败消息。
上述接收方代理服务器 13包括: 请求消息转接单元 131 , 用于接收请求 消息转发单元转发的请求消息; 请求消息处理单元 132, 用于根据接收到的 请求消息判断是否需要返回重定向响应消息, 及当不需要返回重定向响应消 息时, 对请求消息进行处理并发送; 重定向单元 133 , 用于当需要返回响应 消息时, 发送包含标识发起所述响应消息真实实体信息的响应消息; 认证单 元 134, 用于接收返回的响应消息, 并认证所述响应消息是否合法, 若合法 则发送包含标识发起所述响应消息真实实体信息的响应消息; 签名单元 135 , 用于对标识发起所述响应消息真实实体的信息进行签名, 并将所述签名和证 书信息插入到响应消息中并发送。
其中, 上述请求消息处理单元具体为挑战请求消息处理单元, 用于根据 接收到的请求消息判断是否需要返回重定向响应消息, 及当不需要返回重定 向响应消息时, 在请求消息中插入挑战信息并发送; 上述响应认证单元具体 包括: 证书获取单元, 用于接收响应消息接收单元转发的带有签名和证书信 息的响应消息, 并根据证书信息中的地址获取证书; 证书认证单元, 用于根 据获取的证书验证所述响应消息是否合法, 若合法则移除所述签名和证书信 息, 并转发移除所述签名和证书信息的响应消息。
另外, 上述系统还可以进一步包括请求终端 11和接收终端 14。 上述请 求终端 11包括: 请求消息生成单元 111 , 用于生成包含预定标签的请求消息 并发送; 响应消息接收单元 112, 用于接收转发的移除签名和证书信息的响 应消息。 上述接收终端 14包括: 请求消息接收单元 141 , 用于接收请求消息 处理单元转发的请求消息; 处理单元 142, 用于根据请求消息接收单元接收 的请求消息生成响应消息; 响应消息发送单元 143 , 用于发送生成的响应消 息。
其中, 上述请求消息接收单元具体为挑战请求消息接收单元, 用于接收 请求消息处理单元转发的带有挑战信息的请求消息; 上述处理单元具体为挑 战信息处理单元, 用于根据请求消息接收单元接收的带有挑战信息的请求消 息生成带有挑战响应信息的响应消息; 上述响应消息发送单元具体为挑战响 应消息发送单元, 用于发送带有挑战响应信息的响应消息。
进一步地, 上述接收方代理服务器上的认证单元和签名单元共同构成了 一个逻辑实体认证子装置(authenticator ) , 它可以实现在单独的服务器上与 代理服务器进行交互, 也可以作为代理服务器上的一个逻辑实体, 其作用是 对本域内的接收终端返回的响应进行认证, 当收到携带挑战信 , ¾的 ( Proxy- Authorization ) 的响应时, authenticator验证其是否是合法用户, 如 果验证通过, 且请求终端不在本域内, authenticator用自己的私钥对该消息签 名, 签名值放入签名 (Identity ) 头域中, 同时在消息中插入证书信息 ( Identity-Info ) ; 如果请求终端在本域内, 即请求终端和接收终端在同一个 域, 则不需要插入签名直接发送即可。
如果域内用户验证不通过, 可以有多种方式进行处理, 如返回 ACK后 直接发送 BYE结束会话, 同时向请求终端返回 440 Response Authentication Failed 响应; 或者重新发送该请求, 直到连续失败一定次数以后结束通话, 由于这涉及到本地安全策略的制定, 可以根据具体情况以灵活的方式实现。
进一步地, 上述请求方代理服务器上的响应认证单元也可以作为一个逻 辑实体验证子装置 (verifier ) , 它既可以实现在单独的服务器上与代理服务 器进行交互, 又可以作为代理服务器上的一个逻辑实体, 其作用是通过证书 获取单元根据响应消息 identity-info头域中的统一资源定位符 (URL)来获取接 收方代理服务器的证书, 然后通过认证单元验证接收终端的响应消息是否经 过接收终端服务器认证,即用证书验证 Identity头域里的签名值是否为接收终 端服务器所生成的签名值。
上述响应消息认证系统, 当请求终端发送请求时, 如果需要对响应消息 进行认证, 由请求消息生成单元在 SIP 请求消息中插入 Require: response-p-auth,如果中间服务器或者接收终端客户端不支持 response-p-auth, 则请求终端将收到 420 Bad Extension响应; 请求终端将请求消息发送至接收 方代理服务器的请求消息处理单元后, 接收方代理服务器根据是否需要返回 重定向响应消息来判断该请求消息是应该发送给接收终端还是应该发送给请 求方代理服务器, 并由此设置不同的响应实体标识 RespID, 当需要返回重定 向响应消息时, 将 RespID设置为接收方代理服务器的 ID, 否则将 RespID设 置为接收终端的 ID, 上述签名单元会根据不同的 RespID进行签名, 从而供 请求方终端或请求方代理服务器进行有效的响应消息认证。
如图 8所示, 为本发明响应消息认证装置实施例一的结构示意图, 该装 置具体包括: 转发单元 21 , 用于转发接收到的包含预定标签的请求消息; 接 收单元 22, 用于接收转发的所述请求消息并发送; 成功消息发送单元 24, 接 收返回的响应消息, 并认证响应消息发送终端, 将生成的包含标识发起所述 响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发送; 成 功消息转发单元 26, 将所述响应消息中的所述签名和证书信息移除并发送。
其中, 上述接收单元具体为挑战消息收发单元, 用于在接收到的转发的 所述请求消息中加入挑战信息并发送; 上述成功消息发送单元具体为成功挑 战消息发送单元, 用于根据返回的带有挑战响应信息的响应消息, 将生成的 包含标识发起所述响应消息真实实体的信息的签名及证书信息插入到该响应 消息中并发送。
另外, 上述响应消息认证装置还包括: 检查单元 23 , 用于检查接收的挑 战响应消息是否合法, 若合法, 则根据返回的带有挑战响应信息的响应消息, 将生成的包含标识发起上述响应消息真实实体的信息的签名及证书信息插入 到该响应消息中并发送, 否则, 先发送失败消息, 后发送响应失败消息; 结 束; 验证单元 25, 用于验证包含上述签名和证书信息的响应消息是否合法, 若合法则将上述响应消息中的上述签名和证书信息移除并发送, 否则, 先发 送失败消息, 后发送响应失败消息。
其中, 上述验证单元具体可以包括: 获取模块 251 , 用于获取响应消息 中的证书信息; 判断模块 252, 用于比较签名中标识发起所述响应消息真实 实体信息的域名部分是否与所述证书中的证书所有者同属一个域, 若不同属 一个域, 则验证失败, 先发送失败消息, 后发送响应失败消息, 若同属一个 域, 则按照生成签名时所釆用的签名算法, 对所述签名进行验证, 若验证通 过, 则将所述响应消息中的所述签名和证书信息移除并发送, 否则, 先发送 失败消息, 后发送响应失败消息。
另外, 上述装置还可以包括: 失败消息发送单元, 用于当接收的挑战响 应消息不合法时, 先发送失败消息, 后发送响应失败消息, 结束; 上述装置 也可以包括: 失败消息转发单元, 用于当接收的包含上述签名和证书信息的 响应消息不合法时, 先发送失败消息, 后发送响应失败消息。
上述响应消息认证装置设置在网络侧, 利用转发单元转发接收的请求终 端发送的请求消息, 利用发送单元将接收的挑战请求消息发送给接收终端, 然后利用检查单元检查接收的挑战响应消息是否合法, 并通过成功消息发送 单元将合法的挑战响应消息发送给接收方代理服务器, 然后利用验证单元验 证响应消息中包含的签名和证书信息是否合法, 若合法通过成功消息转发单 元将响应消息发送给请求终端, 从而完成请求终端与接收终端的正常会话; 同时, 也可以利用失败消息发送单元将失败的挑战响应信息发送给接收方代 理服务器, 进而发送给请求终端以结束会话; 也可以利用失败消息转发单元 将失败的响应消息发送给请求终端以结束会话; 从而可以较好地实现消息请 求终端对信息接收终端响应消息的有效认证。
如图 9所示, 为本发明响应消息认证装置实施例二的结构示意图, 该装 置具体包括: 转发单元 21 , 用于转发接收到的包含预定标签的请求消息; 发 送单元 31 , 用于将生成的包含标识发起响应消息真实实体信息的签名和证书 信息插入到响应消息中并发送; 成功消息转发单元 26, 用于将上述响应消息 中的上述签名和证书信息移除并发送。
上述装置设置在网络侧, 另外, 上述装置还可以包括: 验证单元 25 , 用 于验证包含上述签名和证书信息的响应消息是否合法, 若合法则将上述响应 消息中的上述签名和证书信息移除并发送, 否则, 先发送失败消息, 后发送 响应失败消息。
其中, 上述验证单元具体可以包括: 获取模块 251 , 用于获取响应消息 中的证书信息; 判断模块 252, 用于比较签名中标识发起所述响应消息真实 实体信息的域名部分是否与所述证书中的证书所有者同属一个域, 若不同属 一个域, 则验证失败, 先发送失败消息, 后发送响应失败消息, 若同属一个 域, 则按照生成签名时所釆用的签名算法, 对所述签名进行验证, 若验证通 过, 则将所述响应消息中的所述签名和证书信息移除并发送, 否则, 先发送 失败消息, 后发送响应失败消息。
上述响应消息认证装置, 利用转发单元转发接收的请求消息, 利用发送 单元将生成的签名和证书信息插入到响应消息中并发送给接收方代理服务 器, 然后利用验证单元验证响应消息中包含的签名和证书信息是否合法, 若 合法通过成功消息转发单元将响应消息发送给请求终端, 从而完成请求终端 与接收终端的正常会话; 同时, 也可以利用失败消息发送单元将失败的挑战 响应信息发送给接收方代理服务器, 进而发送给请求终端以结束会话; 也可 以利用失败消息转发单元将失败的响应消息发送给请求终端以结束会话; 从 而较好地实现了消息请求终端对信息接收终端响应消息的有效认证。
通过以上的实施方式的描述, 本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现, 也可以可借助软件加必要的通用硬件平台的方式来实 现基于这样的理解, 本发明的技术方案可以以软件产品的形式体现出来, 该 软件产品可以存储在一个非易失性存储介质 (可以是 CD-ROM, U盘, 移动 硬盘等) 中, 包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器, 或者网络设备等)执行本发明各个实施例所述的方法。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对其 限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领域的普通技术 人员应当理解: 其依然可以对前述各实施例所记载的技术方案进行修改, 或 者对其中部分技术特征进行等同替换; 而这些修改或者替换, 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求
1、 一种响应消息认证方法, 其特征在于包括:
转发接收到的包含预定标签的请求消息;
接收转发的所述请求消息并发送;
接收返回的响应消息, 并认证响应消息发送终端, 将生成的包含标识发 起所述响应消息真实实体的信息的签名及证书信息插入到该响应消息中并发 送;
将所述响应消息中的所述签名和证书信息移除并发送。
2、 根据权利要求 1 所述的响应消息认证方法, 其特征在于所述接收转 发的所述请求消息并发送具体为: 在接收到的转发的所述请求消息中加入挑 战信息并发送。
3、 根据权利要求 2所述的响应消息认证方法, 其特征在于所述接收返 回的响应消息, 并认证响应消息发送终端, 将生成的包含标识发起所述响应 消息真实实体的信息的签名及证书信息插入到该响应消息中并发送具体包 括:
检查接收的带有挑战响应信息的响应消息是否合法, 若合法, 则根据返 回的带有挑战响应信息的响应消息, 将生成的包含标识发起所述响应信息真 实实体的信息的签名及证书信息插入到该响应消息中并发送。
4、 根据权利要求 3所述的响应消息认证方法, 其特征在于所述将所述 响应消息中的所述签名和证书信息移除并发送之前还包括:
验证包含所述签名和证书信息的响应消息是否合法, 若合法则将所述响 应消息中的所述签名和证书信息移除并发送。
5、 根据权利要求 4所述的响应消息认证方法, 其特征在于所述验证包 含所述签名和证书信息的响应消息是否合法, 若合法则将所述响应消息中的 所述签名和证书信息移除并发送具体包括:
获取响应消息中的证书信息, 比较签名中标识发起所述响应信息真实实 体信息的域名部分是否与所述证书中的证书所有者同属一个域, 如果同属一 个域, 则按照生成签名时所釆用的签名算法, 对所述签名进行验证, 若验证 通过, 则将所述响应消息中的所述签名和证书信息移除并发送。
6、 一种响应消息认证方法, 其特征在于包括:
转发接收的包含预定标签的请求消息;
将生成的包含标识发起响应信息真实实体信息的签名和证书信息插入到 响应消息中并发送;
将所述响应消息中的所述签名和证书信息移除并发送。
7、 根据权利要求 6所述的响应消息认证方法, 其特征在于所述将所述 响应消息中的所述签名和证书信息移除并发送之前还包括:
验证包含所述签名和证书信息的响应消息是否合法, 若合法则将所述响 应消息中的所述签名和证书信息移除并发送。
8、 根据权利要求 7所述的响应消息认证方法, 其特征在于所述验证包 含所述签名和证书信息的响应消息是否合法, 若合法则将所述响应消息中的 所述签名和证书信息移除并发送具体包括:
获取响应消息中的证书信息, 比较签名中标识发起所述响应消息真实实 体信息的域名部分是否与所述证书中的证书所有者同属一个域, 如果同属一 个域, 则按照生成签名时所釆用的签名算法, 对所述签名进行验证, 若验证 通过, 则将所述响应消息中的所述签名和证书信息移除并发送。
9、 一种响应消息认证系统, 包括请求方代理服务器和接收方代理服务 器, 其特征在于所述请求方代理服务器包括:
请求消息转发单元, 用于转发接收到的包含预定标签的请求消息; 响应消息接收单元, 用于接收带有签名和证书信息的响应消息并转发; 响应认证单元, 用于接收响应消息接收单元转发的带有签名和证书信息 的响应消息, 并验证所述响应消息是否合法, 若合法则将所述签名和证书信 息移除并转发; 所述接收方代理服务器包括:
请求消息转接单元, 用于接收请求消息转发单元转发的请求消息; 请求消息处理单元, 用于根据接收到的请求消息判断是否需要返回重定 向响应信息, 及当不需要返回重定向响应信息时, 对请求消息进行处理并发 送;
重定向单元, 用于当需要返回响应信息时, 发送包含标识发起所述响应 消息真实实体信息的响应信息;
认证单元, 用于接收返回的响应消息, 并认证所述响应消息是否合法, 若合法则发送包含标识发起所述响应消息真实实体信息的响应消息;
签名单元, 用于对标识发起所述响应消息真实实体的信息进行签名, 并 将所述签名和证书信息插入到响应消息中并发送。
10、 根据权利要求 9所述的响应消息认证系统,其特征在于还包括请 求终端, 所述请求终端包括:
请求消息生成单元, 用于生成包含预定标签的请求消息并发送; 响应消息接收单元, 用于接收转发的移除签名和证书信息的响应消息。
11、 根据权利要求 10所述的响应消息认证系统, 其特征在于还包括 接收终端, 所述接收终端包括:
请求消息接收单元, 用于接收请求消息处理单元转发的请求消息; 处理单元, 用于根据请求消息接收单元接收的请求消息生成响应消息; 响应消息发送单元, 用于发送生成的响应消息。
12、 根据权利要求 11所述的响应消息认证系统, 其特征在于所述请 求消息处理单元具体为挑战请求消息处理单元, 用于根据接收到的请求消息 判断是否需要返回重定向响应信息, 及当不需要返回重定向响应信息时, 在 请求消息中插入挑战信息并发送。
13、 根据权利要求 12所述的响应消息认证系统, 其特征在于所述响 应认证单元具体包括: 证书获取单元, 用于接收响应消息接收单元转发的带有签名和证书信息 的响应消息, 并根据证书信息中的地址获取证书;
证书认证单元, 用于根据获取的证书并验证所述响应信息是否合法, 若 合法则移除所述签名和证书信息, 并转发移除所述签名和证书信息的响应消 息。
14、 根据权利要求 13所述的响应消息认证系统, 其特征在于: 所述请求消息接收单元具体为挑战请求消息接收单元, 用于接收请求消 息处理单元转发的带有挑战信息的请求消息;
所述处理单元具体为挑战信息处理单元, 用于根据请求消息接收单元接 收的带有挑战信息的请求消息生成带有挑战响应信息的响应消息;
所述响应消息发送单元具体为挑战响应消息发送单元, 用于发送带有挑 战响应信息的响应消息。
15、 一种响应消息认证装置, 其特征在于包括:
转发单元, 用于转发接收到的包含预定标签的请求消息;
接收单元, 用于接收转发的所述请求消息并发送;
成功消息发送单元, 接收返回的响应消息, 并认证响应消息发送终端, 将生成的包含标识发起所述响应消息真实实体的信息的签名及证书信息插入 到该响应消息中并发送;
成功消息转发单元, 将所述响应消息中的所述签名和证书信息移除并发 送。
16、 根据权利要求 15所述的响应消息认证装置, 其特征在于所述接 收单元具体为挑战消息收发单元, 用于在接收到的转发的所述请求消息中加 入挑战信息并发送。
17、 根据权利要求 16所述的响应消息认证装置, 其特征在于所述成 功消息发送单元具体为成功挑战消息发送单元, 用于根据返回的带有挑战响 应信息的响应信息, 将生成的包含标识发起所述响应信息真实实体的信息的 签名及证书信息插入到该响应消息中并发送。
18、 根据权利要求 17所述的响应消息认证装置,其特征在于还包括: 检查单元, 用于检查接收的挑战响应消息是否合法, 若合法, 则将响应 消息发送给成功挑战消息发送单元, 否则, 先发送失败消息, 后发送响应失 败消息; 结束。
19、 根据权利要求 18所述的响应消息认证装置,其特征在于还包括: 验证单元, 用于验证包含所述签名和证书信息的响应消息是否合法, 若 合法则将所述响应消息发送至成功消息转发单元, 否则, 先发送失败消息, 后发送响应失败消息。
20、 根据权利要求 19所述的响应消息认证装置, 其特征在于所述验 证单元具体包括:
获取模块, 用于获取响应消息中的证书信息;
判断模块, 用于比较签名中标识发起所述响应信息真实实体信息的域名 部分是否与所述证书中的证书所有者同属一个域, 若不同属一个域, 则验证 失败, 先发送失败消息, 后发送响应失败消息, 若同属一个域, 则按照生成 签名时所釆用的签名算法, 对所述签名进行验证, 若验证通过, 则将所述响 应消息中的所述签名和证书信息移除并发送, 否则, 先发送失败消息, 后发 送响应失败消息。
21、 一种响应消息认证装置, 其特征在于包括:
转发单元, 用于转发接收到的包含预定标签的请求消息;
发送单元, 用于将生成的包含标识发起响应消息真实实体信息的签名和 证书信息插入到响应消息中并发送;
成功消息转发单元, 用于将所述响应消息中的所述签名和证书信息移除 并发送。
22、 根据权利要求 21所述的响应消息认证装置,其特征在于还包括: 验证单元, 用于验证包含所述签名和证书信息的响应消息是否合法, 若 合法则将所述响应消息发送至成功消息转发单元, 否则, 先发送失败消息, 后发送响应失败消息。
23、 根据权利要求 22所述的响应消息认证装置, 其特征在于所述验 证单元具体包括:
获取模块, 用于获取响应消息中的证书信息;
判断模块, 用于比较签名中标识发起所述响应消息真实实体信息的域名 部分是否与所述证书中的证书所有者同属一个域, 若不同属一个域, 则验证 失败, 先发送失败消息, 后发送响应失败消息, 若同属一个域, 则按照生成 签名时所釆用的签名算法, 对所述签名进行验证, 若验证通过, 则将所述响 应消息中的所述签名和证书信息移除并发送, 否则, 先发送失败消息, 后发 送响应失败消息。
PCT/CN2008/073702 2008-03-06 2008-12-24 响应消息认证方法、装置及系统 WO2009109093A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2008101014631A CN101527632B (zh) 2008-03-06 2008-03-06 响应消息认证方法、装置及系统
CN200810101463.1 2008-03-06

Publications (1)

Publication Number Publication Date
WO2009109093A1 true WO2009109093A1 (zh) 2009-09-11

Family

ID=41055535

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2008/073702 WO2009109093A1 (zh) 2008-03-06 2008-12-24 响应消息认证方法、装置及系统

Country Status (2)

Country Link
CN (1) CN101527632B (zh)
WO (1) WO2009109093A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227519B (zh) * 2014-06-04 2019-11-26 广州市动景计算机科技有限公司 一种安全访问网页的方法、客户端和服务器
US11070506B2 (en) * 2018-01-10 2021-07-20 Vmware, Inc. Email notification system
CN110035037B (zh) * 2018-01-11 2021-09-17 华为技术有限公司 安全认证方法、相关设备及系统
CN109088855A (zh) * 2018-07-12 2018-12-25 新华三信息安全技术有限公司 一种身份认证的方法及设备
CN110267219B (zh) * 2019-07-02 2021-10-01 中国联合网络通信集团有限公司 呼叫转移上报方法、寄存器、用户终端和区块链网络
CN111031074B (zh) * 2020-01-09 2022-03-01 中国信息通信研究院 一种认证方法、服务器和客户端

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005024567A2 (en) * 2003-08-18 2005-03-17 Spearman Anthony C Network communication security system, monitoring system and methods
CN1841998A (zh) * 2005-03-30 2006-10-04 中兴通讯股份有限公司 一种终端用户安全接入软交换网络的方法
CN1863194A (zh) * 2005-05-13 2006-11-15 中兴通讯股份有限公司 一种改进的ip多媒体子系统认证和密钥协商的方法
CN101030854A (zh) * 2006-03-02 2007-09-05 华为技术有限公司 多媒体子系统中网络实体的互认证方法及装置
CN101094064A (zh) * 2006-07-25 2007-12-26 中兴通讯股份有限公司 一种ip终端安全接入网络的方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040009815A1 (en) * 2002-06-26 2004-01-15 Zotto Banjamin O. Managing access to content
CN101123504A (zh) * 2007-09-04 2008-02-13 华为技术有限公司 一种通信终端及响应源的鉴定方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005024567A2 (en) * 2003-08-18 2005-03-17 Spearman Anthony C Network communication security system, monitoring system and methods
CN1841998A (zh) * 2005-03-30 2006-10-04 中兴通讯股份有限公司 一种终端用户安全接入软交换网络的方法
CN1863194A (zh) * 2005-05-13 2006-11-15 中兴通讯股份有限公司 一种改进的ip多媒体子系统认证和密钥协商的方法
CN101030854A (zh) * 2006-03-02 2007-09-05 华为技术有限公司 多媒体子系统中网络实体的互认证方法及装置
CN101094064A (zh) * 2006-07-25 2007-12-26 中兴通讯股份有限公司 一种ip终端安全接入网络的方法

Also Published As

Publication number Publication date
CN101527632A (zh) 2009-09-09
CN101527632B (zh) 2011-12-28

Similar Documents

Publication Publication Date Title
KR100932834B1 (ko) Sip 메시지 프로세싱 방법
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
KR101237632B1 (ko) 토큰과 검증자 사이의 인증을 위한 네크워크 헬퍼
EP1267548A2 (en) Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
US20060005033A1 (en) System and method for secure communications between at least one user device and a network entity
WO2013004112A1 (zh) 数据传输的方法及装置
TW200810465A (en) Mutual authentication between two parties using two consecutive one-time passwords
TW200818838A (en) Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords
WO2009109093A1 (zh) 响应消息认证方法、装置及系统
CN109302412B (zh) 基于CPK的VoIP通信处理方法、终端、服务器及存储介质
WO2011088658A1 (zh) 对dns报文中的身份信息进行认证的方法、服务器和系统
WO2009089764A1 (fr) Système et procédé d&#39;authentification de réseau sécurisé
WO2010124482A1 (zh) Ip多媒体子系统中实现安全分叉呼叫会话的方法及系统
WO2011063744A1 (zh) 一种eap认证中的标识认证方法、系统和设备
WO2009105988A1 (zh) 会话发起协议注册方法、认证及授权方法、系统及设备
WO2022021992A1 (zh) 一种基于NB-IoT通信的数据传输方法、系统及介质
WO2011009268A1 (zh) 一种基于wapi的认证系统及方法
WO2010088812A1 (zh) 即时消息的传送方法、系统及wapi终端
WO2007000115A1 (fr) Procede d&#39;authentification de dispositif recevant un message de demande sip
TWI711293B (zh) 驗證網路通話身份的方法及相關裝置
CN107517194B (zh) 一种内容分发网络的回源认证方法和装置
CN110808829A (zh) 一种基于密钥分配中心的ssh认证方法
CN111835675A (zh) 验证网络通话身份的方法及相关装置
Hutzelman et al. Generic Security Service Application Program Interface (GSS-API) Authentication and Key Exchange for the Secure Shell (SSH) Protocol
WO2010124549A1 (zh) 获取公钥的方法、装置和系统

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08873116

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase in:

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 08873116

Country of ref document: EP

Kind code of ref document: A1