基于分叉的认证方法、系统以及分叉认证装置转让专利
申请号 : CN200810100484.1
文献号 : CN101296085B
文献日 : 2011-07-13
发明人 : 韦银星 , 滕志猛
申请人 : 中兴通讯股份有限公司
摘要 :
本发明公开了一种基于分叉的认证方法、系统以及分叉认证装置,该方法包括:在接收设备和源设备上分别设置认证凭证;分叉网元在接收到来自源设备的呼叫请求后,将呼叫请求进行分叉,并将分叉后的呼叫请求发送到对应的接收设备;分叉网元接收来自多个接收设备的挑战值,并将多个挑战值转发到源设备;分叉网元接收来自源设备重新发送的呼叫请求,其中,重新发送的呼叫请求中携带相关认证凭证;分叉网元将重新发送的呼叫请求进行分叉,并将分叉后的呼叫请求发送到对应的接收设备,以使接收设备根据认证凭证对源设备进行认证。通过上述技术方案,能够实现基于SIP信令分叉的情况下,接收设备对源设备的认证。
权利要求 :
1. 一种基于分叉的认证方法,涉及至少两个接收设备对源设备进行认证,其特征在于,所述方法包括:在所述接收设备和所述源设备上分别设置认证凭证;
分叉网元在接收到来自所述源设备的呼叫请求后,将所述呼叫请求进行分叉,并把分叉后的呼叫请求发送到对应的接收设备;
所述分叉网元接收来自所述接收设备的挑战值,并将所述挑战值转发到所述源设备;
所述分叉网元接收来自所述源设备重新发送的呼叫请求,其中,重新发送的所述呼叫请求中携带相关认证凭证;
所述分叉网元将所述重新发送的呼叫请求进行分叉,并将分叉后的呼叫请求发送到对应的接收设备,以使所述接收设备根据所述认证凭证对所述源设备进行认证。
2. 根据权利要求1所述的方法,其特征在于,所述认证凭证包括以下至少之一:预共享密钥、数字证书。
3. 根据权利要求1所述的方法,其特征在于,所述分叉网元为服务呼叫会话控制功能设备,所述接收设备为在所述分叉网元之后的下一代网络网元和/或终端设备。
4. 根据权利要求1所述的方法,其特征在于,所述将挑战值转发到所述源设备具体为:所述分叉网元将所述接收设备发送的挑战值聚合在分叉请求响应中,并将所述分叉请求响应发送到所述源设备。
5. 根据权利要求1所述的方法,其特征在于,在所述分叉网元接收来自所述源设备重新发送的呼叫请求之前,所述方法还包括:所述源设备对不同的挑战值提供不同的认证凭证;
所述源设备将所述不同的认证凭证聚合在呼叫请求中,并重新发送所述呼叫请求。
6. 一种基于分叉的认证系统,包括至少两个接收设备对源设备进行认证,其特征在于,所述系统包括:设置模块,用于在所述接收设备和所述源设备上分别设置认证凭证;
分叉网元,用于在接收到来自所述源设备的呼叫请求后,将所述呼叫请求进行分叉,发送到对应的接收设备,并将多个所述接收设备发送的多个挑战值转发到所述源设备;
源设备,用于发送呼叫请求,以及在接收到所述多个挑战值后,重新发送呼叫请求,并在重新发送的所述呼叫请求中携带相关认证凭证;
接收设备,用于在接收到重新发送的所述呼叫请求后,根据所述认证凭证完成对所述源设备的认证。
7. 根据权利要求6所述的系统,其特征在于,所述分叉网元还用于接收来自所述源设备重新发送的呼叫请求。
8. 一种分叉认证装置,位于源设备,其特征在于,所述装置包括:设置模块,用于设置认证凭证;
发送模块,用于发送呼叫请求;
接收模块,用于接收来自分叉网元的挑战值;
重发模块,用于重发所述呼叫请求,并在所述呼叫请求中携带与所述挑战值对应的认证凭证。
9. 一种分叉认证装置,位于接收设备,其特征在于,所述装置包括:设置模块,用于设置认证凭证;
发送模块,用于在接收到来自源设备的呼叫请求后,通过分叉网元向所述源设备发送挑战值;
认证模块,用于在接收到所述源设备重新发送的呼叫请求后,根据重新发送的所述呼叫请求中携带的认证凭证完成对所述源设备的认证。
说明书 :
基于分叉的认证方法、系统以及分叉认证装置
技术领域
[0001] 本发明涉及通信领域,并且特别地,涉及一种基于分叉的认证方法、系统以及分叉认证装置。
背景技术
[0002] 在会话发起协议(Session Initiation Protocol,简称为SIP)中,一个呼叫可以被送到多个地点,无论接收者在哪里,呼叫者始终能够找到接收者,SIP的这种能力易于实现电信网络中的多方通话、一号通业务、呼叫前转业务。SIP分叉(Forking)可以实现这个功能,SIP分叉是指代理服务器把SIP请求发送给多个位置并把响应返回给发送者。一般意义上,分叉分为顺序分叉和并行分叉,前者指代理服务器逐个联系不同的接收者,后者指代理服务器同时联系不同的接收者。SIP支持顺序分叉和并行分叉,相对于顺序分叉,并行分叉可以减少会话建立的时间。
[0003] 下一代网络(Next Generation Network,简称为NGN)是基于互联网协议(Internet Protocol,简称为IP)的技术,由于IP网络的不安全性,与传统的电信网络相比,NGN面临着各种安全威胁。其中,认证机制用以确认主体的身份,可以防止假冒之类的安全威胁。尽管用户信任网络,但是消息的接收者可能想知道消息发送者的身份,例如,垃圾信息制造者的身份,这样,消息的接收者就需要对消息的发送者进行认证。 [0004] 目前,NGN针对代理-用户、用户-用户的认证的情况,提出了基于SIP信令的挑战/应答方式来认证源设备。但是NGN没有涉及SIP信令分叉的情况,因此不能支持电信网络中某些业务(如多方通话、一号通、呼叫前转)的认证。然而,目前尚未提出解决上述问题的技术方案。
发明内容
[0005] 考虑到接收设备无法对源设备进行分叉认证的问题而做出本发明,为此,本发明的主要目的在于提供一种基于分叉的认证方法和系统,以解决相关技术中的上述问题。 [0006] 根据本发明的一个方面,提供了一种基于分叉的认证方法,涉及至少两个接收设备对源设备进行认证。
[0007] 根据本发明实施例的基于分叉的认证方法包括:在接收设备和源设备上分别设置认证凭证;分叉网元在接收到来自源设备的呼叫请求后,将呼叫请求进行分叉,并把分叉后的呼叫请求发送到对应的接收设备;分叉网元接收来自多个接收设备的挑战值,并将多个挑战值转发到源设备;分叉网元接收来自源设备重新发送的呼叫请求,其中,重新发送的呼叫请求中携带相关认证凭证;分叉网元将重新发送的呼叫请求进行分叉,并将分叉后的呼叫请求发送到对应的接收设备,以使接收设备根据认证凭证对源设备进行认证。 [0008] 优选地,上述认证凭证包括以下至少之一:预共享密钥、数字证书。 [0009] 优选地,上述分叉网元为服务呼叫会话控制功能设备,上述接收设备为在分叉网元之后的下一代网络网元和/或终端设备。
[0010] 其中,将多个挑战值转发到源设备具体为:分叉网元将多个接收设备发送的多个挑战值聚合在分叉请求响应中,并将分叉请求响应发送到源设备。
[0011] 此外,在上述分叉网元接收来自源设备重新发送的呼叫请求之前,上述方法还包括:源设备对不同的挑战值提供不同的认证凭证;源设备将不同的认证凭证聚合在呼叫请求中,并重新发送呼叫请求。
[0012] 根据本发明的另一方面,提供了一种基于分叉的认证系统,包括至少两个接收设备对源设备进行认证。
[0013] 根据本发明实施例的基于分叉的人证系统包括:设置模块,用于在接收设备和源设备上分别设置认证凭证;分叉网元,用于在接收到来自源设备的呼叫请求后,将呼叫请求进行分叉,发送到对应的接收设备,并将多个接收设备发送的多个挑战值转发到源设备;源设备,用于发送呼叫请求,以及在接收到多个挑战值后,重新发送呼叫请求,并在重新发送的呼叫请求中携带相关认证凭证;接收设备,用于在接收到重新发送的呼叫请求后,根据认证凭证完成对源设备的认证。
[0014] 此外,上述分叉网元还用于接收来自源设备重新发送的呼叫请求。 [0015] 根据本发明的再一方面,提供了一种分叉认证装置,位于源设备。 [0016] 根据本发明实施例的分叉认证装置包括:设置模块,用于设置认证凭证;发送模块,用于发送呼叫请求;接收模块,用于接收来自分叉网元的挑战值;重发模块,用于重发呼叫请求,并在呼叫请求中携带与挑战值对应的认证凭证。
[0017] 根据本发明的再一方面,还提供了一种分叉认证装置,位于接收设备。 [0018] 根据本发明实施例的分叉认证装置包括:设置模块,用于设置认证凭证;发送模块,用于在接收到来自源设备的呼叫请求后,通过分叉网元向源设备发送挑战值;认证模块,用于在接收到源设备重新发送的呼叫请求后,根据重新发送的呼叫请求中携带的认证凭证完成对源设备的认证。
[0019] 借助于本发明的技术方案,能够实现基于SIP信令分叉的情况下,接收设备对源设备的认证。
[0020] 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
[0021] 附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制,在附图中:
[0022] 图1是根据本发明实施例的基于分叉的认证方法的流程图;
[0023] 图2是根据本发明实施例的实例1的详细处理的信令流程图;
[0024] 图3是根据本发明实施例的实例2的详细处理的信令流程图;
[0025] 图4是根据本发明实施例的基于分叉的认证系统的框图;
[0026] 图5是根据本发明实施例的分叉请求的系统示意图;
[0027] 图6是根据本发明实施例的基于SIP请求分叉的系统示意图;
[0028] 图7是根据本发明装置实施例一的分叉认证装置的框图;
[0029] 图8是根据本发明装置实施例二的分叉认证装置的框图。
[0030] 具体实施方式
[0031] 以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
[0032] 方法实施例
[0033] 在本实施例中,提供了一种基于分叉的认证方法,涉及两个接收设备对源设备进行认证。图1是根据本发明实施例的基于分叉的认证方法的流程图,如图1所示,包括以下步骤:
[0034] 步骤S102,在接收设备和源设备上分别设置认证凭证,其中,认证凭证包括以下至少之一:预共享密钥、数字证书;
[0035] 步骤S104,分叉网元在接收到来自源设备的呼叫请求后,将呼叫请求进行分叉,并把分叉后的呼叫请求发送到对应的接收设备,其中,分叉网元为服务呼叫会话控制功能设备,接收设备为在分叉网元之后的下一代网络网元和/或终端设备;
[0036] 步骤S106,分叉网元接收来自多个接收设备的挑战值,并将多个挑战值转发到源设备;
[0037] 在步骤S106中,将多个挑战值转发到源设备具体为:分叉网元将多个接收设备发送的多个挑战值聚合在分叉请求响应中,并将分叉请求响应发送到源设备。 [0038] 步骤S108,分叉网元接收来自源设备重新发送的呼叫请求,其中,重新发送的呼叫请求中携带相关认证凭证;
[0039] 此外,步骤S108中,在上述分叉网元接收来自源设备重新发送的呼叫请求之前,上述方法还包括:源设备对不同的挑战值提供不同的认证凭证;源设备将不同的认证凭证聚合在分叉请求中,并重新发送分叉请求。
[0040] 骤S110,分叉网元将重新发送的呼叫请求进行分叉,并将分叉后的呼叫请求发送到对应的接收设备,以使接收设备根据认证凭证对源设备进行认证。
[0041] 系统实施例
[0042] 在本实施例中,提供了一种基于分叉的认证系统,包括至少两个接收设备对源设备进行认证。图2是根据本发明实施例的基于分叉的认证系统的框图,如图2所示,包括: [0043] 设置模块20,用于在接收设备和源设备上分别设置认证凭证; [0044] 分叉网元22,用于在接收到来自源设备的呼叫请求后,将呼叫请求进行分叉,发送到对应的接收设备,并将多个接收设备发送的多个挑战值转发到源设备; [0045] 源设备24,用于发送呼叫请求,以及在接收到多个挑战值后,重新发送呼叫请求,并在重新发送的呼叫请求中携带相关认证凭证;
[0046] 接收设备26,用于在接收到重新发送的呼叫请求后,根据认证凭证完成对源设备的认证。
[0047] 实例1
[0048] 下面,结合附图,对上述技术的方法实施例和系统实施例进行详细说明。 [0049] 图3示出了一种请求分叉的示意图,其中终端设备(TerminalEquipment,简称为TE)用TE标识,网元设备(Network Element,简称为NE)用NE表示,TE A 30是发起请求的源设备,TE B 34和TE C 36在NE中登记联系地址,NE 30对来自TE A 30的请求进行分叉后送到TE B 34和TE C 36。并且,NE 30接收的设备可以是终端设备,也可以是其他网元设备。TE B 34和TE C 36收到请求后对TE A 30进行认证。
[0050] 下面,结合上述的系统,对具体流程进行详细说明。如图4所示,对相同用户身份的两个设备TE B 44和TE C 46先在NE 42中登记联系地址,TEA 40发起呼叫,图4中的流程图说明了请求分叉时的认证过程:
[0051] 步骤402,TE A 40通过NE 42发起与某个用户通讯的请求;
[0052] 步骤404,NE 42根据该用户注册的联系地址,将请求分叉后的一个分支发送到接收的设备TE B 44;
[0053] 步骤406,NE 42根据用户注册的联系地址,将请求分叉后的另一个分支发送到接收的设备TE C 46;
[0054] 步骤408,TE B 44向TE A 40发送包含挑战值的响应;
[0055] 步骤410,TE C 46向TE A 40发送包含挑战值的响应;
[0056] 步骤412,NE 42将步骤408和步骤410中的响应组合成一个响应返回到TE A 40; [0057] 步骤414,TE A 40根据收到的响应中的挑战值和支持的安全算法,分别构造响应;
[0058] 步骤416,NE 42将响应进行分叉,将一个分支发送到TE B44,在TE B 44上完成对TE A 40的认证;
[0059] 步骤418,NE 42把响应进行分叉,将另一个分支送往TE C 46,在TE C 46上完成对TE A 40的认证。
[0060] 进一步地,在TE B 44和TE C 46认证成功后,向NE 42返回认证成功与否消息。这时TE A 40可以和通过认证的设备建立会话。
[0061] 实例2
[0062] 图5示出了NGN中基于SIP请求分叉时的示意图。其中,CSC-FE表示呼叫会话控制功能实体,P-CSC-FE 51、56是IMS中用户接触到的第一个实体,负责维持安全关联和SIP信令的完整性和机密性保护。S-CSC-FE 52、55负责处理注册过程、进行路由判断、维持会话状态并存储业务配置。当在S-CSC-FE 55上对某个用户身份注册多个联系地址,例如,TE B57和TE C 58注册地址,S-CSC-FE 55对来自TE A 50的SIP请求支持分叉功能。I-CSC-FE
53可以从业务用户描述功能实体SUP-FE 54中获取下一跳S-CSC-FE的名字。 [0063] 下面,对上述系统的详细处理流程进行详细说明,图6示出了在NGN中基于SIP请求分叉时的注册、会话建立和认证流程。其中,用户1拥有TE A 60,用户2拥有TE B 67和TE C 68。
53可以从业务用户描述功能实体SUP-FE 54中获取下一跳S-CSC-FE的名字。 [0063] 下面,对上述系统的详细处理流程进行详细说明,图6示出了在NGN中基于SIP请求分叉时的注册、会话建立和认证流程。其中,用户1拥有TE A 60,用户2拥有TE B 67和TE C 68。
[0064] 步骤602,登记用户1联系地址,TE A 60通过P-CSC-FE 61向S-CSC-FE 62发送注册请求;
[0065] 步骤604,S-CSC-FE 62向TE A 60返回注册成功响应;
[0066] 步骤606-612,通过P-CSC-FE 66,在S-CSC-FE 65中同时登记用户2的两个联系地址TE-B 67和TE-C 68;
[0067] 步骤614,用户1通过TE A 60向用户2发起INVITE请求,该请求经过P-CSC-FE61和S-CSC-FE 62后到达I-CSC-FE 63;
[0068] 步骤616,I-CSC-FE 63查询SUP-FE 64得到用户2对应的S-CSC-FE 62的地址; [0069] 步骤618,I-CSC-FE 63将INVITE请求发送到下一跳S-CSC-FE66,由于用户2在S-CSC-FE 65中登记;
[0070] 步骤620,分叉后,将一个分支上的INVITE请求通过P-CSC-FE66发送到TE B 67; [0071] 步骤622,分叉后,将另一个分支上的INVITE请求通过P-CSC-FE 66发送到TE B68;
[0072] 步骤624-626,TE B 67和TE C 68分别发起未授权(401UNAUTHORIZED)响应对INVITE的发起端进行认证,响应中包含支持的安全算法和挑战值,响应通过P-CSC-FE 66发送到S-CSC-FE 65;
[0073] 步骤628,S-CSC-FE 65将两个未授权的响应聚合成一个响应后发送到I-CSC-FE63;
[0074] 步骤630,I-CSC-FE 63查询SUP-FE34得到用户1对应的S-CSC-FE 62的地址; [0075] 步骤632,S-CSC-FE 62将401UNAUTHORIZED响应发送到TE A 60; [0076] 步骤634,TE A 60接收到401UNAUTHORIZED响应后,分别根据TE B 67和TE C 68中提供的安全算法及挑战值,采用自己的凭证来计算响应值。并重新发起INVITE请求,该请求中包含授权头信息;
[0077] 步骤636-638,上述INVITE请求发送到S-CSC-FE 65后,分别转发到TE B 67和TE C 68,并在终端设备上完成对TE A 60的认证;
[0078] 至此,完成了NGN中基于SIP请求分叉时的认证流程,如图所示,步骤640-656,与正常的SIP会话建立过程类似,这里不再重述,并且,为了简化目的,省略了注册过程中认证流程以及会话建立过程中的180Ringing步骤。
[0079] 通过上述处理过程,实现了基于SIP请求分叉时,接收设备对上游设备的认证。 [0080] 装置实施例一
[0081] 在本实施例中,提供了一种分叉认证装置,位于源设备。图7是根据本发明装置实施例一的分叉认证装置的框图,如图7所示,包括:
[0082] 设置模块70,用于设置认证凭证;
[0083] 发送模块72,用于发送呼叫请求;
[0084] 接收模块74,用于接收来自分叉网元的挑战值;
[0085] 重发模块76,用于重发呼叫请求,并在呼叫请求中携带与挑战值对应的认证凭证。 [0086] 包括上述分叉认证装置的网元同样在本发明的保护范围之内。 [0087] 装置实施例二
[0088] 在本实施例中,提供了一种分叉认证装置,位于接收设备。图8是根据本发明装置实施例二的分叉认证装置的框图,如图8所示,包括:
[0089] 设置模块80,用于设置认证凭证;
[0090] 发送模块82,用于在接收到来自源设备的呼叫请求后,通过分叉网元向源设备发送挑战值;
[0091] 认证模块84,用于在接收到源设备重新发送的呼叫请求后,根据重新发送的呼叫请求中携带的认证凭证完成对源设备的认证。
[0092] 包括上述的分叉认证装置的分叉网元之后的下一代网络网元和/或终端设备同样在本发明的保护范围之内。
[0093] 综上所述,借助于本发明的技术方案,能够实现基于SIP信令分叉的情况下,接收设备对源设备的认证。
[0094] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。