[发明专利]一种SIP终端的防盗打方法及一种SIP服务器无效
申请号: | 201310131446.3 | 申请日: | 2013-04-15 |
公开(公告)号: | CN103200200A | 公开(公告)日: | 2013-07-10 |
发明(设计)人: | 颜君志;黄昊;吴晓东;唐小兵 | 申请(专利权)人: | 广东天波信息技术股份有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04M7/00 |
代理公司: | 广州科粤专利商标代理有限公司 44001 | 代理人: | 莫瑶江 |
地址: | 528200 广东省佛山*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 sip 终端 防盗 方法 服务器 | ||
技术领域
本发明涉及通信领域,尤其涉及的是一种SIP服务器及SIP终端基于注册地址变更确认机制的防盗打方法。
背景技术
现有技术一的方式是利用SIP(Session Initiation Protocol,会话发起协议)鉴权进行防盗打,当UA(UserAgent,用户代理(SIP终端系统),含用户代理客户机UAC(UserAgentClient)和用户代理服务器UAS(UserAgentserver)两部分)在线,在其本地管理域注册时,就可以与它的注册服务器建立TLS(Transport Layer Security,安全传输层协议)连接。注册服务器为UA提供证书,并且,此证书标识的站点必须与UA要进行注册的域相符合;例如,如果UA想要注册的记录地址为aliceatlanta.com,那么站点证书必须标识域中的主机(如sip.atlanta.com)。当它接收到TLS证书消息时,UA就会验证证书,并检查证书标识的站点。如果证书无效、吊销或者不能标识合适的当事人,那么UA就不能发送REGISTER(注册)消息,否则将继续注册。
当注册服务器提供有效证书时,UA知道该注册服务器不是对UA进行重定向、盗窃口令或试图一些类似攻击的攻击者。
随后UA创建一个REGISTER请求,应该说明注册服务器接收的站点证书对应的Request-URI。当UA在已有的TLS连接上发送REGISTER请求时,注册服务器应该挑战请求,返回401(需要代理认证)响应。响应的Proxy-Authenticate头字段的realm参数应该与前面站点证书给出的域一致。当UAC接收到此挑战,它就应该提示用户出示凭证,或者从挑战的realm参数对应的密钥环中取出适当的凭证。证书的用户名应该和REGISTER请求To头字段URI的USERINFO部分一致。一旦摘要凭证插入到合适的Proxy-Authenticate头字段,REGISTER就应该再提交给注册服务器。
由于注册服务器要求用户代理对其进行认证,所以这使攻击者难于伪造用户记录地址的REGISTER请求。要注意的是,由于REGISTER通过机密的TLS连接发送,所以攻击者不能够截获REGISTER,记录凭证用于可能的重放攻击。
下面简单描述了一个SIP鉴权的过程:
(1)用户首次试呼时,终端代理A向代理服务器发送REGISTER注册请求;
(2)代理服务器通过后端认证/计费中心获知用户信息不在数据库中,便向终端代理回送401 Unauthorized质询信息,其中包含安全认证所需的令牌;
(3)终端代理提示用户输入其标识和密码后,根据安全认证令牌将其加密后,再次用REGISTER消息报告给代理服务器;
(4)代理服务器将REGISTER消息中的用户信息解密,通过认证/计费中心验证其合法后,将该用户信息登记到数据库中,并向终端代理A返回成功响应消息200OK。
现有技术二的方式是利用静态IP绑定,在SIP服务器测配置用户模板,对于每一个前来注册的用户,都对照是否存在模板,不存在的不允许注册。
这个方案实现了静态的IP地址绑定功能,保证了只有模板中指定的合法用户才可以注册成功,非法用户无法完成注册,不能盗打电话。
现有技术一的缺点是:在SIP中使用HTTP摘要的主要限制之一就是摘要的完整性机制不能很好地为SIP服务。特别的,它们对Request-URI和消息方法提供保护,但是对UA希望保护的一些头字段却不提供保护。HTTP摘要的另一个限制就是域的范围。SIP鉴权保证了非法用户不能够截获REGISTER,但是如果非法用户通过其他手段获取了用户的帐号信息,SIP鉴权是没有作用的。
现有技术二的缺点是:IP地址绑定都是静态配置的,虽然可以采取批处理文件的方式批量加载,但是事先要收集好相关的IP地址列表等信息。
因此,现有技术还有待于改进和发展。
发明内容
本发明的目的在于提供一种SIP服务器及SIP终端基于注册地址变更确认机制的防盗打方法,旨在解决现有的两种防盗打技术运用是的局限性保护部全面的问题。
本发明的技术方案如下:
一种SIP终端基于注册地址变更确认机制的防盗打方法,其中,包括以下步骤:
步骤S1:SIP终端向服务器注册发送注册请求,并执行S2;
步骤S2:服务器判断SIP终端IP地址是否发生变更,如果IP地址发生变更则执行步骤S3,如果终端IP地址没有发生变化则继续执行S5;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广东天波信息技术股份有限公司,未经广东天波信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310131446.3/2.html,转载请声明来源钻瓜专利网。