CN101227474A - 软交换网络中的会话初始化协议用户鉴权方法 - Google Patents
软交换网络中的会话初始化协议用户鉴权方法 Download PDFInfo
- Publication number
- CN101227474A CN101227474A CNA2008100068437A CN200810006843A CN101227474A CN 101227474 A CN101227474 A CN 101227474A CN A2008100068437 A CNA2008100068437 A CN A2008100068437A CN 200810006843 A CN200810006843 A CN 200810006843A CN 101227474 A CN101227474 A CN 101227474A
- Authority
- CN
- China
- Prior art keywords
- authentication
- response value
- authentication response
- softswitch
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种软交换网络中的SIP用户鉴权方法,包括:SIP用户向其所属域的软交换设备发送第一注册请求消息;接收到第一注册请求消息后,软交换设备产生一个随机数,并向SIP用户发送携带有该随机数的未鉴权消息;SIP用户根据该随机数和鉴权密钥产生第一鉴权响应值,向软交换设备发送第一鉴权响应值和第二注册请求消息;软交换设备向智能归属位置寄存器发送鉴权消息;智能归属位置寄存器根据鉴权消息和存储在智能归属位置寄存器中的鉴权密钥,产生第二鉴权响应值,并将第二鉴权响应值发送至软交换设备;软交换设备比较第一鉴权响应值和第二鉴权响应值,并根据比较结果判断鉴权是否成功。本发明解决了软交换下SIP用户的注册鉴权。
Description
技术领域
本发明涉及固网NGN领域,特别涉及网络智能化背景下NGN网络中会话初始化协议用户的鉴权方法。
背景技术
电信网络正在经历着一场变革,从传统的TDM(Time DivisionMultiplexing,时分复用)的PSTN网络向全IP的NGN(NextGeneration Network)网络演变。NGN网络的重要特点就是承载(MAG-Media Access Gateway)与控制(MGC-Media GatewayControl)相分离,并可以管理宽带SIP用户,实现宽带域的业务。
由于网络智能化的成功改造,PSTN(Public Switched TelephoneNetwork,公共开关电话网络)、AG(Access gateway,接入网关)、SIP(Session Inition protocol,会话初始化协议)用户数据集中在SHLR(Smart Home Location Register,智能归属位置寄存器)管理。在NGN网络上,其SIP用户数据存储在SHLR,同时SHLR也保存SIP用户的鉴权数据。
传统的固网SIP用户的鉴权,在软交换SS(注册服务器、代理服务器)与终端之间进行,要求注册服务器(软交换设备)具有该用户的鉴权数据,而固网软交换网络智能化后,用户数据包括鉴权数据,全部由SHLR集中管理,这样独立的注册服务器将无法完成SIP用户的鉴权。
为解决该问题,需要在软交换设备与SHLR设备扩展MAP信令,使得固网SIP用户通过与SHLR的交互,实现固网SIP用户的鉴权。
发明内容
本发明要解决的技术问题是提供一种网络智能化NGN网络中SIP用户的鉴权方法。
本发明通过SHLR存放固网SIP用户的鉴权密钥,由SS产生随机数,并通过MAP鉴权消息交互获得SHLR计算的鉴权结果并由SS比较终端与SHLR计算的结果,比较结果一致则终端鉴权成功,不一致则终端鉴权失败。
根据本发明,提供了一种软交换网络中的SIP用户鉴权方法,包括以下步骤:步骤一,SIP用户向其所属域的软交换设备发送第一注册请求消息;步骤二,在接收到第一注册请求消息后,软交换设备产生一个随机数,并向SIP用户发送携带有随机数的未鉴权消息;步骤三,SIP用户根据随机数和其存储的鉴权密钥产生第一鉴权响应值,并向软交换设备发送第一鉴权响应值以及第二注册请求消息;步骤四,接收到第二注册请求消息后,软交换设备向智能归属位置寄存器发送鉴权消息;步骤五,智能归属位置寄存器根据鉴权消息和存储在智能归属位置寄存器中的鉴权密钥,产生第二鉴权响应值,并将第二鉴权响应值发送至软交换设备;以及步骤六,软交换设备比较第一鉴权响应值和第二鉴权响应值,并根据比较结果判断鉴权是否成功。
步骤三包括以下步骤:在接收到未鉴权消息后,SIP用户自动获取或产生统一资源标识、用户名、鉴权参数,并根据统一资源标识、用户名、鉴权参数,和存储在SIP用户中的鉴权密钥,来按照预定算法产生第一鉴权响应值;以及SIP用户向软交换设备发送第一鉴权响应值以及第二注册请求消息。
鉴权消息中携带有多个参数。
步骤五包括以下步骤:智能归属位置寄存器根据鉴权消息中的多个参数以及存储在智能归属位置寄存器中的鉴权密钥,按照预定算法产生第二鉴权响应值;以及智能归属位置寄存器将第二鉴权响应值发送至软交换设备。
步骤六包括以下步骤:软交换设备比较第一鉴权响应值和第二鉴权响应值;如果第一鉴权响应值与第二鉴权响应值相等,软交换设备向SIP用户发送成功消息,鉴权通过;或如果第一鉴权响应值与第二鉴权响应值不相等,鉴权失败。
鉴权消息中携带的多个参数包括:随机数、统一资源标识、用户名、鉴权参数。
预定算法是通过RFC 2617定义的MD 5算法。
本发明有效的解决了网络智能化NGN网络下,软交换下SIP用户的注册鉴权。
在SIP用户为固网SIP用户时,步骤四还包括以下步骤:软交换设备对MAP(Mobile Application Part,移动应用部分)协议进行扩展,以使固网SIP用户通过与智能归属位置寄存器进行交互来实现对固网SIP用户的鉴权。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了根据本发明的软交换网络中的SIP用户鉴权方法的流程图;
图2示出了根据本发明实施例的用于软交换网络中的SIP用户鉴权的系统结构图;以及
图3示出了根据本发明实施例的软交换网络中的SIP用户鉴权方法的流程图。
具体实施方式
下面将结合附图来详细说明本发明的实施例。
图1示出了根据本发明的软交换网络中的SIP用户鉴权方法的流程图。参照图1,根据本发明的软交换网络中的SIP用户鉴权方法包括以下步骤:步骤S102,SIP用户向其所属域的软交换设备发送第一注册请求消息;步骤S104,在接收到第一注册请求消息后,软交换设备产生一个随机数,并向SIP用户发送携带有随机数的未鉴权消息;步骤S106,SIP用户根据随机数和其存储的鉴权密钥产生第一鉴权响应值,并向软交换设备发送第一鉴权响应值以及第二注册请求消息;步骤S108,接收到第二注册请求消息后,软交换设备向智能归属位置寄存器发送鉴权消息;步骤S110,智能归属位置寄存器根据鉴权消息和存储在智能归属位置寄存器中的鉴权密钥,产生第二鉴权响应值,并将第二鉴权响应值发送至软交换设备;以及步骤S112,软交换设备比较第一鉴权响应值和第二鉴权响应值,并根据比较结果判断鉴权是否成功。
步骤S106包括以下步骤:在接收到未鉴权消息后,SIP用户自动获取或产生uri、Username、realm、cnonce、noncecount参数,并根据这些参数以及随机数、Qop值、和存储在SIP用户中的鉴权密钥,按照预定算法来产生第一鉴权响应值;以及SIP用户向软交换设备发送第一鉴权响应值以及第二注册请求消息。
鉴权消息中携带有多个参数。
步骤S110包括以下步骤:智能归属位置寄存器根据鉴权消息中的多个参数以及存储在智能归属位置寄存器中的鉴权密钥,按照预定算法产生第二鉴权响应值;以及智能归属位置寄存器将第二鉴权响应值发送至软交换设备。
步骤S112包括以下步骤:软交换设备比较第一鉴权响应值和第二鉴权响应值;如果第一鉴权响应值与第二鉴权响应值相等,软交换设备向SIP用户发送成功消息,鉴权通过;或如果第一鉴权响应值与第二鉴权响应值不相等,鉴权失败。
鉴权消息中携带的多个参数包括:随机数、username、realm、uri、cnonce、Qop、method、以及noncecount参数。
预定算法是通过RFC2617定义的MD5算法。
在SIP用户为固网SIP用户时,步骤S108还包括以下步骤:软交换设备对MAP信令进行扩展,以使固网SIP用户通过与智能归属位置寄存器进行交互来实现对固网SIP用户的鉴权。
图2为NGN网络环境下,固网SIP用户的系统结构示意图,如图2所示,本系统包括智能归属位置寄存器(SHLR)、软交换(SS)、SIP用户。在本系统中,SIP用户与SS之间采用SIP(Session InitiationProtocol,会话初始协议)互通、SHLR与SS间采用MAP信令链路。
在本系统中,对SHLR数据库进行扩展、MAP(MobileApplication Part,移动应用部分)信令进行扩展,支持将固网SIP用户的数据存放在SHLR用户数据库中,并通过MAP消息交互实现固网SIP用户的鉴权。
具体的说,在SIP用户所有数据全部上移到SHLR中管理后,SIP用户到SS(注册服务器)注册过程中的鉴权操作,需要SS向SHLR发送鉴权请求操作,SHLR根据数据库中存储的密钥及SS带来的随机数,将计算的值发送给SS,由SS比较SIP终端与SHLR计算的结果,如果一致,鉴权通过,不一致则鉴权失败。
图3是本发明的固网SIP用户注册鉴权步骤,该图描述了SIP用户成功鉴权并注册的流程,其包括以下步骤:
步骤S302,SIP用户向所属域的注册服务器(SS)发起注册请求;
步骤S304,软交换作为注册服务器,为SIP用户产生一个鉴权用的随机数nonce;
步骤S306,SIP终端收到401未鉴权后,自动获取或产生uri、Username、realm、cnonce、noncecount,同时根据网络侧401消息中的nonce值、Qop值及终端上存储的用户密码,通过RFC2617定义的MD5算法计算出一个鉴权响应response,重新向注册服务器发送注册请求消息;
步骤S308,软交换向SHLR发送Send_Auth_Info消息,对MAP协议进行扩展,消息中携带username、realm、nonce、uri、cnonce,Qop,method,noncecount等参数;
步骤S310,SHLR根据软交换提供的username、realm、nonce、uri、cnonce,Qop,method,noncecount以及SHLR存储的用户密码,按照RFC2617定义的MD5算法计算后得出Response,将Response参数通过Send_Auth_Info_Ack回送给软交换;以及
步骤S312,软交换收到SHLR的SAI_ACK后,比较终端侧及SHLR侧的Response值,如果相等则是合法消息,软交换向SIP终端回200OK,鉴权成功。
举一应用实例如下:
假设SIP用户A:801020800001@1.1.1.1,注册鉴权步骤如下:
(1)SIP用户向所属域的注册服务器发起注册请求;
(2)软交换作为注册服务器,为SIP用户产生一个鉴权用的随机数“ca019edffb7551683c2136eb2dd10537”,用“nonce”(注1)标识,nonce的生命期在注册服务器上可以配置,2~60秒。注册服务器向SIP终端回401响应消息;
SIP/2.0401Unauthorized
From:sip:801020800001@1.1.1.1;tag=25486
To:sip:801020800001@1.1.1.1;tag=254863455
Via:SIP/2.0/UDP 1.1.1.100:5060;branch=z9hG4bK1063644978
CSeq:1REGISTER
Call-ID:10000000@1.1.1.100
WWW-Authenticate:Digest realm=″1.1.1.1″,
nonce=″ca019edffb7551683c2136eb2dd10537″,stale=FALSE,algorithm=MD5,QoP=Auth
Content-Length:0
(3)SIP终端收到401后,自动获取或产生uri=“sip:801020800001@1.1.1.1”、Username=“801020800001”、realm=″1.1.1.1″、cnonce=“123412341”、noncecount=”000001”(注1),同时根据网络侧401消息中的nonce值、qop值及终端上存储的用户密码,通过RFC2617定义的MD5算法计算出一个鉴权响应response=“dffb7551683c2136e”,重新向注册服务器发送注册请求消息,如下:
REGISTER sip:1.1.1.1SIP/2.0.
From:sip:801020800001@1.1.1.1;tag=25ER486
To:sip:801020800001@1.1.1.1
CSeq:2REGISTER
Call-ID:10000000@1.1.1.100
Via:SIP/2.0/UDP 1.1.1.10:5060;branch=z9hG4bK1063644978
Maxforward:70
Contact:sip:801020800001@1.1.1.100:5060
Expires:3600
WWW-Authorization:Digestusername=″801020800001″,realm=″1.1.1.1″,
nonce=″ca019edffb7551683c2136eb2dd10537″,uri=“sip:801020800001@1.1.1.1”,cnonce=”123412341”,qop=”Auth”,noncecount=”0000001”,response=“dffb7551683c2136e”
Content-Length:0
(4)软交换向SHLR发送Send_Auth_Inro消息,消息中携带username、realm、nonce、uri、cnonce,Qop,method,noncecount等参数;
(5)SHLR根据软交换提供的username、realm、nonce、uri、cnonce,Qop,method,noncecount以及SHLR存储的用户密码,按照RFC2617定义的MD5算法计算后得出Response,将Response参数通过Send_Auth_Info_Ack回送给软交换;以及
(6)软交换收到SHLR的SAI_ACK后,比较终端侧及SHLR侧的Response值,如果相等则是合法消息,软交换向SIP终端回200OK,鉴权成功。200OK消息如下:
SIP/2.0200OK
From:sip:801020800001@1.1.1.1;tag=25ER486
To:sip:801020800001@1.1.1.1;tag=2343244332
CSeq:2REGISTER
Call-ID:10000000@1.1.1.10
Via:SIP/2.0/UDP 1.1.1.10:5060;branch=z9hG4bK1063644978
Contact:sip:801020800001@1.1.1.100:5060
Expires:3600
本发明有效的解决了网络智能化NGN网络下,软交换下SIP用户的注册鉴权。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种软交换网络中的会话初始化协议用户鉴权方法,其特征在于,包括以下步骤:
步骤一,所述会话初始化协议用户向其所属域的软交换设备发送第一注册请求消息;
步骤二,在接收到所述第一注册请求消息后,所述软交换设备产生一个随机数,并向所述会话初始化协议用户发送携带有所述随机数的未鉴权消息;
步骤三,所述会话初始化协议用户根据所述随机数和其存储的鉴权密钥产生第一鉴权响应值,并向所述软交换设备发送所述第一鉴权响应值以及第二注册请求消息;
步骤四,接收到所述第二注册请求消息后,所述软交换设备向智能归属位置寄存器发送鉴权消息;
步骤五,所述智能归属位置寄存器根据所述鉴权消息和存储在所述智能归属位置寄存器中的鉴权密钥,产生第二鉴权响应值,并将所述第二鉴权响应值发送至所述软交换设备;以及
步骤六,所述软交换设备比较第一鉴权响应值和所述第二鉴权响应值,并根据比较结果判断鉴权是否成功。
2.根据权利要求1所述的方法,其特征在于,所述步骤三包括以下步骤:
在接收到所述未鉴权消息后,所述会话初始化协议用户自动获取或产生统一资源标识、用户名、鉴权参数,并根据所述统一资源标识、所述用户名、所述鉴权参数以及所述随机数、和存储在所述会话初始化协议用户中的鉴权密钥,来按照预定算法产生第一鉴权响应值;以及
所述会话初始化协议用户向所述软交换设备发送所述第一鉴权响应值以及第二注册请求消息。
3.根据权利要求2所述的方法,其特征在于,所述鉴权消息中携带有多个参数。
4.根据权利要求3所述的方法,其特征在于,所述步骤五包括以下步骤:
所述智能归属位置寄存器根据所述鉴权消息中的所述多个参数以及存储在所述智能归属位置寄存器中的所述鉴权密钥,按照所述预定算法产生第二鉴权响应值;以及
所述智能归属位置寄存器将所述第二鉴权响应值发送至所述软交换设备。
5.根据权利要求4所述的方法,其特征在于,所述步骤六包括以下步骤:
所述软交换设备比较第一鉴权响应值和所述第二鉴权响应值;
如果所述第一鉴权响应值与所述第二鉴权响应值相等,所述软交换设备向所述会话初始化协议用户发送成功消息,鉴权通过,如果所述第一鉴权响应值与所述第二鉴权响应值不相等,鉴权失败。
6.根据权利要求5所述的方法,其特征在于,所述鉴权消息中携带的所述多个参数包括:所述随机数、所述用户名、所述统一资源标识、以及所述鉴权参数。
7.根据权利要求6所述的方法,其特征在于,所述预定算法是通过RFC2617定义的MD5算法。
8.根据权利要求2所述的方法,其特征在于,在所述会话初始化协议用户为固网会话初始化协议用户时,所述步骤四还包括以下步骤:
所述软交换设备对移动应用部分信令进行扩展,以使所述固网会话初始化协议用户通过与所述智能归属位置寄存器进行交互来实现对所述固网会话初始化协议用户的鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100068437A CN101227474A (zh) | 2008-02-01 | 2008-02-01 | 软交换网络中的会话初始化协议用户鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100068437A CN101227474A (zh) | 2008-02-01 | 2008-02-01 | 软交换网络中的会话初始化协议用户鉴权方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101227474A true CN101227474A (zh) | 2008-07-23 |
Family
ID=39859224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100068437A Pending CN101227474A (zh) | 2008-02-01 | 2008-02-01 | 软交换网络中的会话初始化协议用户鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101227474A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521667B (zh) * | 2009-04-15 | 2012-04-04 | 山东渔翁信息技术股份有限公司 | 一种安全的数据通信方法及装置 |
| CN102474509A (zh) * | 2009-07-07 | 2012-05-23 | 阿尔卡特朗讯公司 | 高效密钥管理系统和方法 |
| CN102823222A (zh) * | 2010-02-01 | 2012-12-12 | 法国电信公司 | 用于通过读取器来标识和验证射频标识标签的方法 |
| CN103401869A (zh) * | 2013-07-31 | 2013-11-20 | 常州北大众志网络计算机有限公司 | 一种账户自动登录的方法 |
| WO2014114088A1 (zh) * | 2013-01-25 | 2014-07-31 | 中兴通讯股份有限公司 | 一种ngn下实现宽带业务功能的方法及业务平台 |
| CN101697542B (zh) * | 2009-10-19 | 2015-01-28 | 中兴通讯股份有限公司 | 认证方法、软交换机和终端 |
| CN114143334A (zh) * | 2021-12-03 | 2022-03-04 | 爱信诺征信有限公司 | 一种终端控制方法及装置 |
-
2008
- 2008-02-01 CN CNA2008100068437A patent/CN101227474A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521667B (zh) * | 2009-04-15 | 2012-04-04 | 山东渔翁信息技术股份有限公司 | 一种安全的数据通信方法及装置 |
| CN102474509A (zh) * | 2009-07-07 | 2012-05-23 | 阿尔卡特朗讯公司 | 高效密钥管理系统和方法 |
| CN102474509B (zh) * | 2009-07-07 | 2016-05-11 | 阿尔卡特朗讯公司 | 高效密钥管理系统和方法 |
| CN101697542B (zh) * | 2009-10-19 | 2015-01-28 | 中兴通讯股份有限公司 | 认证方法、软交换机和终端 |
| CN102823222A (zh) * | 2010-02-01 | 2012-12-12 | 法国电信公司 | 用于通过读取器来标识和验证射频标识标签的方法 |
| CN102823222B (zh) * | 2010-02-01 | 2016-08-17 | 法国电信公司 | 用于通过读取器来标识和验证射频标识标签的方法 |
| WO2014114088A1 (zh) * | 2013-01-25 | 2014-07-31 | 中兴通讯股份有限公司 | 一种ngn下实现宽带业务功能的方法及业务平台 |
| CN103973913A (zh) * | 2013-01-25 | 2014-08-06 | 中兴通讯股份有限公司 | 一种ngn下实现宽带业务功能的方法及业务平台 |
| CN103401869A (zh) * | 2013-07-31 | 2013-11-20 | 常州北大众志网络计算机有限公司 | 一种账户自动登录的方法 |
| CN114143334A (zh) * | 2021-12-03 | 2022-03-04 | 爱信诺征信有限公司 | 一种终端控制方法及装置 |
| CN114143334B (zh) * | 2021-12-03 | 2024-04-09 | 爱信诺征信有限公司 | 一种终端控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7574735B2 (en) | Method and network element for providing secure access to a packet data network | |
| JP4567729B2 (ja) | 加入者アイデンティティ | |
| RU2335866C2 (ru) | Способ формирования и распределения криптографических ключей в системе мобильной связи и соответствующая система мобильной связи | |
| US8364121B2 (en) | Method of authentication in IP multimedia subsystem | |
| US8880873B2 (en) | Method, system and device for authenticating cardless terminal using application server | |
| US20100153726A1 (en) | Authentication method, system, and apparatus thereof for inter-domain information communication | |
| US20050155036A1 (en) | Application server addressing | |
| US20080107243A1 (en) | Method And Apparatus For Handling Emergency Calls | |
| KR20070009634A (ko) | 엔티티의 제 1 식별정보 및 제 2 식별정보 검증 방법 | |
| EP1414212A1 (en) | Method and system for authenticating users in a telecommunication system | |
| US20050102501A1 (en) | Shared secret usage for bootstrapping | |
| CN101573934B (zh) | 在通信网络中的鉴别 | |
| US20110173687A1 (en) | Methods and Arrangements for an Internet Multimedia Subsystem (IMS) | |
| CN101227474A (zh) | 软交换网络中的会话初始化协议用户鉴权方法 | |
| KR20150058534A (ko) | 인증 정보 전송 | |
| CN104219705A (zh) | VoLTE终端重注册方法和装置 | |
| CN109962878A (zh) | 一种ims用户的注册方法及装置 | |
| US20070055874A1 (en) | Bundled subscriber authentication in next generation communication networks | |
| CN100395976C (zh) | 一种因特网协议多媒体子系统的鉴权方法 | |
| CN101662475A (zh) | Wapi终端接入ims网络的认证方法、系统和终端 | |
| CN100459804C (zh) | 终端接入第二系统网络时进行鉴权的装置、系统及方法 | |
| CN101854630A (zh) | 一种实现卡鉴权的方法、系统及用户设备 | |
| US8683034B2 (en) | Systems, methods and computer program products for coordinated session termination in an IMS network | |
| CN101198148B (zh) | 一种对移动终端进行信息分发的方法 | |
| CN100372329C (zh) | 一种注册方法、代理装置与注册系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20080723 |