[发明专利]一种SIP终端的防盗打方法及一种SIP服务器

说明书

技术领域

本发明涉及通信领域，尤其涉及的是一种SIP服务器及SIP终端基于注册地址变更确认机制的防盗打方法。

背景技术

现有技术一的方式是利用SIP（Session Initiation Protocol，会话发起协议）鉴权进行防盗打，当UA（UserAgent，用户代理（SIP终端系统），含用户代理客户机UAC(UserAgentClient)和用户代理服务器UAS(UserAgentserver)两部分）在线，在其本地管理域注册时，就可以与它的注册服务器建立TLS（Transport Layer Security，安全传输层协议）连接。注册服务器为UA提供证书，并且，此证书标识的站点必须与UA要进行注册的域相符合；例如，如果UA想要注册的记录地址为aliceatlanta.com，那么站点证书必须标识域中的主机（如sip.atlanta.com）。当它接收到TLS证书消息时，UA就会验证证书，并检查证书标识的站点。如果证书无效、吊销或者不能标识合适的当事人，那么UA就不能发送REGISTER（注册）消息，否则将继续注册。

当注册服务器提供有效证书时，UA知道该注册服务器不是对UA进行重定向、盗窃口令或试图一些类似攻击的攻击者。

随后UA创建一个REGISTER请求，应该说明注册服务器接收的站点证书对应的Request-URI。当UA在已有的TLS连接上发送REGISTER请求时，注册服务器应该挑战请求，返回401(需要代理认证)响应。响应的Proxy-Authenticate头字段的realm参数应该与前面站点证书给出的域一致。当UAC接收到此挑战，它就应该提示用户出示凭证，或者从挑战的realm参数对应的密钥环中取出适当的凭证。证书的用户名应该和REGISTER请求To头字段URI的USERINFO部分一致。一旦摘要凭证插入到合适的Proxy-Authenticate头字段，REGISTER就应该再提交给注册服务器。

由于注册服务器要求用户代理对其进行认证，所以这使攻击者难于伪造用户记录地址的REGISTER请求。要注意的是，由于REGISTER通过机密的TLS连接发送，所以攻击者不能够截获REGISTER，记录凭证用于可能的重放攻击。

下面简单描述了一个SIP鉴权的过程：

（1）用户首次试呼时，终端代理A向代理服务器发送REGISTER注册请求；

（2）代理服务器通过后端认证/计费中心获知用户信息不在数据库中，便向终端代理回送401 Unauthorized质询信息，其中包含安全认证所需的令牌；

（3）终端代理提示用户输入其标识和密码后，根据安全认证令牌将其加密后，再次用REGISTER消息报告给代理服务器；

（4）代理服务器将REGISTER消息中的用户信息解密，通过认证/计费中心验证其合法后，将该用户信息登记到数据库中，并向终端代理A返回成功响应消息200OK。

现有技术二的方式是利用静态IP绑定，在SIP服务器测配置用户模板，对于每一个前来注册的用户，都对照是否存在模板，不存在的不允许注册。

这个方案实现了静态的IP地址绑定功能，保证了只有模板中指定的合法用户才可以注册成功，非法用户无法完成注册，不能盗打电话。

现有技术一的缺点是：在SIP中使用HTTP摘要的主要限制之一就是摘要的完整性机制不能很好地为SIP服务。特别的，它们对Request-URI和消息方法提供保护，但是对UA希望保护的一些头字段却不提供保护。HTTP摘要的另一个限制就是域的范围。SIP鉴权保证了非法用户不能够截获REGISTER，但是如果非法用户通过其他手段获取了用户的帐号信息，SIP鉴权是没有作用的。

现有技术二的缺点是：IP地址绑定都是静态配置的，虽然可以采取批处理文件的方式批量加载，但是事先要收集好相关的IP地址列表等信息。

因此，现有技术还有待于改进和发展。

发明内容

本发明的目的在于提供一种SIP服务器及SIP终端基于注册地址变更确认机制的防盗打方法，旨在解决现有的两种防盗打技术运用是的局限性保护部全面的问题。

本发明的技术方案如下：

一种SIP终端基于注册地址变更确认机制的防盗打方法，其中，包括以下步骤：

步骤S1：SIP终端向服务器注册发送注册请求，并执行S2；

步骤S2：服务器判断SIP终端IP地址是否发生变更，如果IP地址发生变更则执行步骤S3，如果终端IP地址没有发生变化则继续执行S5；