專利名稱:可修改鑒權(quán)密碼的sip安全認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通訊技術(shù)領(lǐng)域,具體涉及一種可修改鑒權(quán)密碼的SIP安全認(rèn)證方法��。
背景技術(shù):
SIP是一個C/S協(xié)議�����,SIP呼叫建立功能依靠各類實體完成�����。請求由SIP發(fā)送實體�����,即 UAC(User Agent Client�����,用戶代理客戶端)完成�,應(yīng)答由 UAS(User Agent Server, 用戶代理服務(wù)器端)完成。傳統(tǒng)的SIP安全認(rèn)證流程如圖1所示�����,主要分為以下幾個步驟(I)UAC 發(fā)送 REGISTER #1 (注冊)消息�����。(2)UAS 發(fā)送 401 Unauthorized(未鑒權(quán))消息UAS向UAC返回一個包含了 nonce和realm參數(shù)的401 Unauthorized消息��,作為 UAS向UAC發(fā)起的挑戰(zhàn)�。其中nonce是服務(wù)器產(chǎn)生的一個隨機(jī)數(shù),realm通常指服務(wù)器所管轄的域的域名���。(3) UAC 發(fā)送 REGISTER #2 (注冊)消息收到消息后�,UAC根據(jù)自己的用戶名(username)����、密碼(password)、UAS的 URI (Uniform Resource Identif ier�����,統(tǒng)一資源標(biāo)志符)以及收到的nonce和realm參數(shù)通過MD5 (Message Digest Algorithm��,消息摘要算法)散列化��,生成一個response值包含在 REGISTER #2 中發(fā)送給 UAS����。(4) UAS 發(fā)送 2OO OK 消息UAS根據(jù)UAC的用戶名在數(shù)據(jù)庫中提取對應(yīng)的用戶密碼��,檢驗nonce值正確之后����,同樣通過MD5算法對username�,password, URI, nonce, realm散列化得至Ij一個值,與 REGISTER #2中的response值進(jìn)行比較��,若相等��,則UAC注冊成功��。傳統(tǒng)認(rèn)證流程中存在兩個主要問題一是鑒權(quán)密碼無法修改��,二是認(rèn)證僅限于 UAS對UAC的身份認(rèn)證�,沒有UAC對UAS的身份認(rèn)證,由此帶來了可交互性差���、認(rèn)證易遭攻擊的缺陷���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種可修改鑒權(quán)密碼的SIP安全認(rèn)證方法,確定了 UAC對 UAS的身份認(rèn)證�,同時可選擇對UAC的鑒權(quán)密碼進(jìn)行修改�,完善了 SIP的安全認(rèn)證流程�����。本發(fā)明的主體思路是UAC向UAS發(fā)出挑戰(zhàn)信息�,UAS應(yīng)答并向UAC發(fā)出挑戰(zhàn)信息�����, UAC對UAS進(jìn)行身份認(rèn)證并對UAS的挑戰(zhàn)信息作出應(yīng)答��,UAS對UAC進(jìn)行身份認(rèn)證��;同時UAS 在驗證UAC舊鑒權(quán)密碼合法的前提下可根據(jù)UAC發(fā)出的鑒權(quán)密碼修改信息修改UAC的鑒權(quán)密碼��。本發(fā)明采取的具體技術(shù)方案如下所述挑戰(zhàn)信息包括UAC認(rèn)證參數(shù)���、UAS應(yīng)答參數(shù)���、UAS認(rèn)證參數(shù)、UAC應(yīng)答參數(shù)���。
所述鑒權(quán)密碼修改信息包括密碼修改狀態(tài)��、密碼修改序列號�����、舊鑒權(quán)密碼�、新鑒權(quán)密碼。UAC向UAS發(fā)送攜帶有UAC認(rèn)證參數(shù)的消息��,以及設(shè)定的密碼修改狀態(tài)��;UAS收到消息后對UAC認(rèn)證參數(shù)及UAS認(rèn)證參數(shù)按一定方式進(jìn)行處理�����,并將處理后的值作為應(yīng)答消息的一部分返回給UAC,同時UAS根據(jù)密碼修改狀態(tài)生成密碼修改序列號作為應(yīng)答消息的一部分返回給UAC ���;UAC將上述處理后的值進(jìn)行分析�����,比較相應(yīng)參數(shù)�,以實現(xiàn)對UAS身份的認(rèn)證�����,并且對UAS的認(rèn)證參數(shù)結(jié)合舊鑒權(quán)密碼生成UAC應(yīng)答參數(shù),同時將新鑒權(quán)密碼傳輸給 UAS �����;UAS根據(jù)UAC的回應(yīng)驗證UAC身份后�����,修改舊鑒權(quán)密碼為新鑒權(quán)密碼���。所述按一定方式處理,指的是UAS根據(jù)UAC認(rèn)證參數(shù)����、用戶名、UAS的URL (地址)���、 舊鑒權(quán)密碼用MD5算法序列化得到一個值�,并將該值作為密鑰采用1 位AES算法加密UAS 認(rèn)證參數(shù)和UAS所管轄域的域名���。所述將處理后的值進(jìn)行分析�,指的是UAC根據(jù)UAC認(rèn)證參數(shù)���、用戶名�、UAS的URL、 舊鑒權(quán)密碼用MD5算法序列化得到一個值���,并將該值作為密鑰采用1 位AES算法解密得到UAS認(rèn)證參數(shù)和UAS所管轄域的域名�����。所述比較相應(yīng)參數(shù)���,以實現(xiàn)對UAS身份的認(rèn)證,指的是比較分析所得UAS所管轄域的域名與SIP消息中的UAS所管轄域的域名�,若相同,則認(rèn)證通過��,否則�,認(rèn)證失敗。所述對UAS的認(rèn)證參數(shù)結(jié)合舊鑒權(quán)密碼生成UAC應(yīng)答參數(shù)�����,指的是UAC根據(jù)UAS 認(rèn)證參數(shù)���、用戶名���、UAS的URL�、舊鑒權(quán)密碼用MD5算法序列化得到一個值���,此值即為UAC應(yīng)
答參數(shù)��。所述新鑒權(quán)密碼��,指的是UAC根據(jù)UAS認(rèn)證參數(shù)���、密碼修改序列號����、用戶名、UAS的 URL����、舊鑒權(quán)密碼用MD5算法序列化得到一個值,并將該值作為密鑰采用1 位AES算法加密新鑒權(quán)密碼后生成的值�。所述UAS根據(jù)UAC的回應(yīng)驗證UAC身份,指的是UAS根據(jù)UAS認(rèn)證參數(shù)����、用戶名�、 UAS的URL��、舊鑒權(quán)密碼用MD5算法序列化得到一個值��,并將此值與UAC應(yīng)答參數(shù)進(jìn)行比較����, 若相同,則認(rèn)證通過�����,否則��,認(rèn)證失敗�����。所述修改舊鑒權(quán)密碼為新鑒權(quán)密碼�����,指的是UAS根據(jù)UAS認(rèn)證參數(shù)����、密碼修改序列號����、用戶名�、UAS的URL、舊鑒權(quán)密碼用MD5算法序列化得到一個值��,并將該值作為密鑰采用 128位AES算法解密UAC傳輸過來的新鑒權(quán)密碼����,得到的值即為新鑒權(quán)密碼。用戶代理客戶端UAC向用戶代理服務(wù)器端UAS進(jìn)行身份認(rèn)證失敗時����,向用戶代理服務(wù)器端UAS發(fā)送認(rèn)證失敗消息;用戶代理服務(wù)器端UAS向用戶代理客戶端UAC進(jìn)行身份認(rèn)證失敗時��,向用戶代理客戶端UAC發(fā)送認(rèn)證失敗消息�����。所述方法還包括用戶代理服務(wù)器端UAS修改鑒權(quán)密碼失敗時�����,應(yīng)向用戶代理客戶端UAC返回鑒權(quán)密碼修改失敗消息����;在鑒權(quán)密碼修改失敗后,用戶代理客戶端UAC需要進(jìn)行鑒權(quán)處理時����,用戶代理服務(wù)器端UAS按照舊鑒權(quán)密碼進(jìn)行鑒權(quán)。用戶代理客戶端(UAC)不需要進(jìn)行鑒權(quán)密碼修改時��,設(shè)定密碼修改狀態(tài)為不修改����,用戶代理服務(wù)器端(UAQ不進(jìn)行鑒權(quán)密碼修改。
本發(fā)明實現(xiàn)了 UAC與UAS身份的雙向認(rèn)證����,一定程度上彌補了認(rèn)證流程中易遭受攻擊的缺陷,同時可以設(shè)定參數(shù)的值決定是否修改鑒權(quán)密碼�,提高了認(rèn)證流程的可交互性。
圖1傳統(tǒng)認(rèn)證流程2可修改鑒權(quán)密碼的SIP安全認(rèn)證流程圖
具體實施例方式下面結(jié)合附圖對本發(fā)明作進(jìn)一步說明首先����,為了完成對服務(wù)器的身份認(rèn)證以及鑒權(quán)密碼的修改的要求,需要對部分SIP 消息的格式進(jìn)行增添1)對REGISTER #1消息添加新的頭字段〃 Authenticate-Pwreset〃�,報文格式為Authenticate-Pwreset :nonce =〃 nonce1“,passwordstate = “ passwordstate“其中monce為包含時間戳信息的隨機(jī)數(shù)串,即UAC認(rèn)證參數(shù),passwordstate為密
碼修改狀態(tài)����。若申請修改密碼,passwordstate值為reset ����;若不做修改,此值為maintain���。2)對 401 Unauthorized 消息頭字段為〃 Wffff-Authenticate"的報文�,修改為Wffff-Authenticate :realm = “ realm" , nonce = “ nonce1",encryptresponse = “ encryptresponse“,changenumberial = “ numberial“�,Digest algorithm = MD5其中:encryptresponse 為力口密后的(nonce2+realm)值,nonce2 艮口 UAS 應(yīng)答參數(shù)��。 changenumberial為服務(wù)器應(yīng)答修改密碼請求而產(chǎn)生的序列號�����,即密碼修改序列號����。3)對REGISTER #2消息頭字段為Authorization的報文�����,修改為Authorization :Digest username = “ username“,realm = " realm",nonce = “ nonce 1〃 ,response =" response“,passwordnew = " passwordnew“其中 response 為 UAC 應(yīng)答參數(shù);passwordnew 值為力口密后的(passwordnew +numberial)�,即新鑒權(quán)密碼。然后是整個流程的詳細(xì)實現(xiàn)過程�,如圖2所示1)UAC 發(fā)送 REGISTER #1 消息UAC 生成 noncel,并且令 passwordstate = reset?�;梅?wù)器端發(fā)送401 Unauthorized消息①服務(wù)器端收到REGISTER #1消息后生成n0nCe2值��,根據(jù)用戶名查找對應(yīng)的 password,用 MD5 算法計算出 Key = F[password, (noncel, username, uri)]②用 Key 作為密朗����,力口密(nonce2+realm)作為 encryptresponse 值,艮口 encryptresponse = Ekey (nonce2+realm)0
③檢測passwordstate值��,若為"reset����,,���,則生成一個隨機(jī)序列值numberial���,���, ^ changenumberial = numberial ;"maintain", JjllJ changenumberial = 0o nonce = noncel���。3)客戶端發(fā)送REGISTER #2消息①計算 Key����,= F[password, (nonce 1, username, uri)]②根據(jù)頭字段‘‘Wffff-Authenticate”中的encryptresponse值以及Key����,,解密得到 (nonce2+realm) = Dkey' (encryptresponse),由于realm對客戶端是可知的,可以通過比較realm值對服務(wù)器進(jìn)行身份認(rèn)證����,同時也得到了 nonCe2值。③計算 response = F[password, (nonce2, username, uri)]��。④計算 Keyl = F{nonce2���,[numberial, (password, username, uri)]}��,用 Keyl 作為密朗力口密新密碼與收至Ij的序列值��,passwordNew = Ekeyl (numberial+passwordNew)����。若不需要修改密碼��,貝丨J passwordNew = null�。nonce = nonce 1。4)服務(wù)器發(fā)送2000K消息①計算 response��,= F[password, (nonce2, username, uri)]���。與消息中的 response值比較����,對客戶端身份進(jìn)行認(rèn)證����。②計算 Keyl,= F{nonce2�,[numberial, (password,username,uri) ]},用 Keyl����,角軍密 passwordNew,得至Ij (numberial+passwordNew) = Dkeyl ’ (passwordNew),比較numberial 值,若相等���,則修改鑒權(quán)密碼為passwordNew���。③若passwordNew = null���,不進(jìn)行密碼修改。補充說明a��、消息發(fā)送過程中�����,nonce賦值始終為noncel值����。b、(nonce2+realm)及(numberial+passwordNew 中的�����,+���,是指前后兩個值以一定的規(guī)則相聯(lián)系而成為一個新的值���,這個規(guī)則由客戶端和服務(wù)器端事先約好��,可以是異或�,也可以是單純的連接�,等等����。c、F 用MD5算法進(jìn)行散列化的函數(shù)����。d、Ekey 用密鑰key進(jìn)行AES加密的函數(shù)����;Dkey 用密鑰key進(jìn)行AES解密的函數(shù)。e����、MD5散列化后數(shù)據(jù)長度為1 位,故采用的是128位AES算法�。
權(quán)利要求
1.一種可修改鑒權(quán)密碼的SIP安全認(rèn)證方法,其特征在于該方法包括以下步驟以下挑戰(zhàn)信息包括UAC認(rèn)證參數(shù)�����、UAS應(yīng)答參數(shù)、UAS認(rèn)證參數(shù)����、UAC應(yīng)答參數(shù);以下鑒權(quán)密碼修改信息包括密碼修改狀態(tài)�、密碼修改序列號、舊鑒權(quán)密碼�����、新鑒權(quán)密碼����;1)用戶代理客戶端UAC向用戶代理服務(wù)器端UAS發(fā)送攜帶有UAC認(rèn)證參數(shù)的消息以及設(shè)定的密碼修改狀態(tài);2)用戶代理服務(wù)器端UAS根據(jù)用戶代理客戶端UAC認(rèn)證參數(shù)��、用戶名���、UAS的URL地址�、舊鑒權(quán)密碼用MD5算法序列化得到一個值�����,并將該值作為密鑰采用1 位AES算法加密 UAS認(rèn)證參數(shù)和UAS所管轄域的域名,得到的值作為應(yīng)答消息的一部分傳輸給用戶代理客戶端UAC,同時用戶代理服務(wù)器端UAS根據(jù)密碼修改狀態(tài)生成密碼修改序列號作為應(yīng)答消息的一部分傳輸給用戶代理客戶端UAC ����;3)用戶代理客戶端UAC根據(jù)UAC認(rèn)證參數(shù)、用戶名����、UAS的URL地址、舊鑒權(quán)密碼用MD5 算法序列化得到一個值���,并將該值作為密鑰采用1 位AES算法解密得到UAS認(rèn)證參數(shù)和 UAS所管轄域的域名,若解密得到的UAS所管轄域的域名與應(yīng)答消息中UAS所管轄域的域名相同����,則用戶代理客戶端UAC對用戶代理服務(wù)器端UAS的身份認(rèn)證通過,否則�,認(rèn)證失敗����;4)用戶代理客戶端UAC根據(jù)步驟3)中得到的UAS認(rèn)證參數(shù)、用戶名�����、UAS的URL����、舊鑒權(quán)密碼用MD5算法序列化得到UAC應(yīng)答參數(shù)�����,作為請求消息的一部分傳輸給用戶代理服務(wù)器端UAS ��;5)用戶代理客戶端UAC根據(jù)步驟3)中得到的UAS認(rèn)證參數(shù)����、密碼修改序列號��、用戶名�����、 UAS的URL��、舊鑒權(quán)密碼用MD5算法序列化得到一個值����,并將該值作為密鑰采用1 位AES 算法加密新鑒權(quán)密碼和密碼修改序列號,作為請求消息的一部分傳輸給用戶代理服務(wù)器端 UAS ���;6)用戶代理服務(wù)器端UAS根據(jù)UAS認(rèn)證參數(shù)���、用戶名�����、UAS的URL���、舊鑒權(quán)密碼用MD5 算法序列化得到一個值,并將此值與UAC應(yīng)答參數(shù)進(jìn)行比較�����,若相同�,則用戶代理服務(wù)器端 UAS對用戶代理客戶端UAC的身份認(rèn)證通過���,否則��,認(rèn)證失?����?;7)用戶代理服務(wù)器端UAS根據(jù)UAS認(rèn)證參數(shù)、密碼修改序列號�、用戶名、UAS的URL�、舊鑒權(quán)密碼用MD5算法序列化得到一個值,并將該值作為密鑰采用1 位AES算法解密用戶代理客戶端UAC傳輸過來的新鑒權(quán)密碼����,得到的值為新鑒權(quán)密碼和密碼修改序列號,比較密碼修改序列號的值���,若相同���,則將鑒權(quán)密碼修改為新鑒權(quán)密碼,否則���,鑒權(quán)密碼仍為舊鑒權(quán)密碼���。
2.如權(quán)利要求1所述的方法,其特征在于���,所述方法還包括用戶代理客戶端UAC向用戶代理服務(wù)器端UAS進(jìn)行身份認(rèn)證失敗時���,向用戶代理服務(wù)器端UAS發(fā)送認(rèn)證失敗消息��;用戶代理服務(wù)器端UAS向用戶代理客戶端UAC進(jìn)行身份認(rèn)證失敗時���,向用戶代理客戶端UAC發(fā)送認(rèn)證失敗消息。
3.如權(quán)利要求1所述的方法�,其特征在于,所述方法還包括用戶代理服務(wù)器端UAS修改鑒權(quán)密碼失敗時����,應(yīng)向用戶代理客戶端UAC返回鑒權(quán)密碼修改失敗消息;在鑒權(quán)密碼修改失敗后����,用戶代理客戶端UAC需要進(jìn)行鑒權(quán)處理時,用戶代理服務(wù)器端UAS按照舊鑒權(quán)密碼進(jìn)行鑒權(quán)�。
全文摘要
本發(fā)明是一種可修改鑒權(quán)密碼SIP安全認(rèn)證方法。本發(fā)明通過注冊消息傳輸鑒權(quán)密碼修改信息�,并且增加了用戶代理客戶端對用戶代理服務(wù)器端的身份認(rèn)證。在整個認(rèn)證流程中�����,主要的參數(shù)均通過128位AES加密算法進(jìn)行了加密�,保證了系統(tǒng)的安全性�����。經(jīng)過修改后的SIP安全認(rèn)證流程,體現(xiàn)了可交互性并提高了整體的安全性����。
文檔編號H04L29/06GK102215235SQ20111015578
公開日2011年10月12日 申請日期2011年6月10日 優(yōu)先權(quán)日2011年6月10日
發(fā)明者于涌川, 余春暄, 綦慧, 謝賽賽 申請人:北京工業(yè)大學(xué)