專利名稱:一種通訊終端注冊方法和系統的制作方法
技術領域:
本發明涉及電通信技術,尤其涉及一種通訊終端注冊方法和系統。
背景技術:
在采用國際電信聯盟電信標準化部門(Telecommunication StandardizationSector of ITU)H323協議的多媒體通信系統中,大多采用的是“用戶標識+密碼”的方式實現對通訊終端的認證,例如圖1所示,首先完成網守發現過程,其流程如下1、通訊終端1開機,請求接入網絡,向網守2發送網守請求(GRQGatekeeperRequest)數據包。
2、網守2收到GRQ數據包后,發送網守確認(GCFGatekeeper Conform)消息給終端。
3、通訊終端1收到GCF消息,發現網守成功。
通訊終端1發現網守成功后,如圖2所示,完成如下注冊流程1、通訊終端1將“用戶標識+密碼”通過注冊請求(RRQRegister Request)消息,發送給網守2。
2、網守2收到RRQ消息后,使用用戶標識為索引,找出數據庫中的密碼,將數據庫中的密碼與RRQ消息中的密碼進行比較,進行如下操作2.1如果兩者相同,則發送注冊確認(RCFRegister Conform)消息至通訊終端1,通訊終端1收到RCF消息,則注冊成功。
2.2如果兩者不相同,發送RRJ消息至通訊終端1,通訊終端1收到注冊受拒(RRJRegister Reject)消息,注冊失敗。
以上描述了一般的“用戶標識+密碼”操作方式,現有技術中也有采用“用戶標識+密碼+信息-摘要算法(MD5Message-Digest Algorithm 5)”的方式實現對用戶的認證,與前面所述流程的不同之處僅在于前者的密碼為明文,而在包含“MD5”的方式中密碼為密文。
現有技術具有如下缺點
1、從上面的描述可以看出,這種“用戶標識+密碼”的RRQ消息在IP網絡上一旦被截獲,由于算法是公開的,可以通過程序,遍歷所有密碼的組合,可以在短時間內破譯密碼,他人的惡意使用會給用戶造成損失。
2、IP電話運營商(處于網守2)可以從數據庫中取得用戶的用戶標識和密碼,也會對用戶造成潛在的安全威脅。
3、現有的認證流程中都只有網絡(網守2)對用戶(通訊終端1)認證,卻沒有用戶(通訊終端1)對網絡(網守2)認證,這對于用戶(通訊終端1)的安全性來說,總是處于被動和不利的位置。
總之,現有技術中的通訊終端認證注冊安全性較差。
發明內容
本發明的目的在于提供一種安全性高的通訊終端注冊方法和系統,以解決現有技術中通訊終端認證注冊安全性較差的問題。
本發明所采用的通訊終端注冊方法為對于采用H323協議的通信終端,使用SIM或USIM安全認證機制進行注冊,通過H323協議的網守發現流程和注冊流程承載,網守發現流程中的GCF消息承載用于SIM認證或USIM認證的參數組,注冊流程中的RRQ消息承載用于SIM認證或USIM認證的計算結果。
本發明基于SIM注冊方法包括如下步驟A1、通信終端向網守發送GRQ消息,所述的GRQ消息上承載請求認證的用戶標識;A2、網守收到GRQ消息后,網守向認證鑒權中心發送認證請求;A3、認證鑒權中心生成多個三參數組(RAND,XRES,Kc),并將數據發送給網守;A4、網守收到多個三參數組后,選擇其中一個參數組承載于GCF消息中,發送給通信終端;A5、通信終端收到GCF消息后,根據RAND參數計算出Kc和RES,判斷RES和XRES是否相同,進行如下操作A51、若RES和XRES相同,通信終端向網守發送承載有計算結果RES的RRQ消息,繼續如下步驟A6;A52、否則,結束認證;
A6、網守收到RRQ消息,比較XRES和RES,如果相同,注冊成功,向通信終端發送RCF消息。
所述的步驟A6之后,還包括如下步驟所述的網守通過對保活的RRQ消息的應答,承載RAND,可以再次啟動認證過程。
所述的步驟A6之后,還包括如下步驟通信終端在H225或H245消息采用網守路由模式的情況下,發起呼叫業務時,使用生成的密鑰Kc對H225或H245消息、以及業務數據進行加密。
本發明基于USIM注冊方法包括如下步驟B1、通信終端向網守發送GRQ消息,所述的GRQ消息上承載請求認證的用戶標識;B2、網守收到GRQ消息后,向認證鑒權中心發送認證請求;B3、認證鑒權中心生成多個五參數組(RAND、AUTN、CK、IK、XRES),并將數據發送給網守;B4、網守收到多個五參數組后,選擇其中一個參數組承載于GCF消息中,發送給通信終端;B5、通信終端收到GCF消息后,根據RAND參數計算出X_AUTN和RES,以AUTN和計算出的X_AUTN為依據進行如下操作B51、若AUTN能夠接受X_AUTN,即兩者相同,通信終端向網守發送承載有計算結果RES的RRQ消息,繼續如下步驟B6;B52、否則,結束認證;B6、網守收到RRQ消息后,比較XRES和RES,如果相同,注冊成功,向通信終端發送RCF消息。
所述的步驟B6之后,還包括如下步驟所述的網守通過對保活的RRQ消息的應答,承載RAND和AUTN,可以再次啟動認證過程。
所述的步驟B6之后,還包括如下步驟通信終端在H225或H245消息采用網守路由模式的情況下,發起呼叫業務時,使用加密密鑰CK對H225或H245消息、以及業務數據進行加密。
本發明中的通訊終端注冊系統,包括通信終端和網守,所述的通信終端與網守之間采用H323協議,完成網守發現流程和注冊流程,其特征在于還包括認證鑒權中心,其中,所述的網守根據通信終端的網守請求消息,向認證鑒權中心發送相應的認證請求;所述的認證鑒權中心根據認證請求向網守發送用于SIM認證或USIM認證流程的多個參數組,所述的網守至少將其中的一個參數組傳遞至通信終端,通信終端根據參數進行相關計算,通信終端與網守根據所述參數組和計算結果進行相應的信息交互,完成通信終端的注冊。
本發明的有益效果為在本發明中,對于采用H323協議的通信終端,使用SIM/USIM安全認證機制進行注冊,將安全的SIM/USIM認證(SIMSubscribeIdentity Module,用戶識別模塊;USIMUser Services Identity Module,用戶業務識別模塊)引入到H323多媒體通信中,在網守發現流程中的GCF消息承載用于SIM認證或USIM認證的參數組,注冊流程中的RRQ消息承載用于SIM認證或USIM認證的計算結果,充分利用了SIM/USIM認證的高安全性,在基于SIM/USIM的認證中,網絡發送給用戶的RAND參數是實時更新的,即使數據被截獲,該數據的有效時間比較短,不會給用戶帶來大的損失,有關用于SIM/USIM認證的參數組由相對獨立于通信終端和網守的第三方(認證鑒權中心)取得,使本發明的安全性高,而且,本發明實現了雙向認證(終端對網絡的認證以及網絡隊終端的認證),相對于現有技術,大大增強了通訊終端認證注冊安全性,況且,這種基于SIM/USIM的認證在網絡操作中已得到了廣泛應用,對于本發明來說,充分利用已有的認證方式,不用增設硬件,軟件開發、維護簡便,系統升級總體成本低,可有效地實現對H323 VoIP業務的認證注冊。
圖1為現有技術中網守發現流程示意圖;
圖2為現有技術中注冊流程示意圖;圖3為本發明總體結構示意圖;圖4為本發明基于SIM注冊流程示意圖;圖5為本發明基于USIM注冊流程示意圖。
具體實施例方式
下面根據附圖和實施例對本發明作進一步詳細說明根據圖3,本發明包括通信終端10、網守20和認證鑒權中心30,通信終端10與網守20之間采用H323協議,完成網守發現流程和注冊流程,在本發明中,通信終端10可以為GPRS終端、TD_SCDMA終端、WCDMA終端、802.16終端、VoIP電話終端(包含軟終端)等,網守20根據通信終端10的網守請求GRQ消息,向認證鑒權中心30發送相應的認證請求,認證鑒權中心30根據該認證請求向網守20發送用于SIM認證或USIM認證流程的多個參數組,網守20至少將所收到的多個參數組中的一個參數組傳遞至通信終端10,通信終端10根據參數進行相關計算,通信終端10與網守20根據所述參數組和計算結果進行相應的信息交互,完成通信終端10的注冊,本發明中,SIM認證或USIM認證流程通過H323協議的網守發現流程和注冊流程承載。
根據圖3和圖4,本發明中基于SIM注冊方法采用如下步驟1、通信終端10向網守20發送網守請求(GRQGatekeeper Request)消息,該GRQ消息上承載請求認證的用戶標識。
2、網守20收到GRQ消息后,網守20向認證鑒權中心30發送認證請求。
3、認證鑒權中心30生成多個三參數組(RAND,XRES,Kc),并將數據發送給網守20。
其中,RANDRandom challenge,隨機挑戰。
XRESExpected Response,預期響應。
Kc 密鑰。
4、網守20收到多個三參數組后,選擇其中一個參數組,并將其成員RAND承載到網守確認(GCFGatekeeper Conform)消息的非標準字段上,發送給通信終端10。
5、通信終端10收到GCF消息后,根據RAND參數計算出Kc和RES,判斷RES和XRES是否相同,進行如下操作
5.1若RES和XRES相同,說明該網絡是該用戶(即通訊終端1)簽約的網絡,籍此進行通訊終端10對網絡的認證,然后,通信終端10向網守20發送承載有計算結果RES的注冊請求(RRQRegister Request)消息,繼續如下步驟VI。
5.2、否則,結束認證。
6、網守20收到RRQ消息,比較XRES和RES,進行如下操作6.1、若兩者相同,籍此通過網絡對通訊終端10的認證,注冊成功,網守20向通信終端10發送注冊確認(RCFRegister Conform)消息,繼續如下步驟VII。
6.2、否則,網守20發送注冊受拒(RRJRegister Reject)消息至通訊終端10,通訊終端10收到RRJ消息,注冊失敗。
7、網守20通過對保活的RRQ消息的應答,承載RAND,可以再次啟動認證過程,即,重復上述步驟V至步驟VI,對于可能存在的非法用戶非法接入網守20,通過采用該步驟,網守20周期性地對通信終端10再次認證,可使用戶的損失盡可能地降為最低。
通信終端10在完成了上述步驟I至步驟VI(或步驟VII)的注冊后,通信終端10在H225或H245消息采用網守路由模式的情況下,發起呼叫業務時,可使用生成的密鑰Kc對H225或H245消息,以及對業務數據進行加密,可以防止他人監聽語音、視頻等數據,進一步提高H323多媒體通信的安全性。
根據圖3和圖5,本發明中基于USIM注冊方法采用如下步驟1)通信終端10向網守20發送GRQ消息,該GRQ消息上承載請求認證的用戶標識。
2)網守20收到GRQ消息后,向認證鑒權中心30發送認證請求。
3)認證鑒權中心30生成多個五參數組(RAND、AUTN、CK、IK、XRES),并將數據發送給網守20。
其中,RANDRandom challenge, 隨機挑戰。
AUTNAuthentication Token,認證標識。
CK Cipher Key,加密密鑰。
IK Integrity Key,完整性密鑰。
XRESExpected Response, 預期響應。
4)網守20收到多個五參數組后,選擇其中一個參數組,并將其成員(RAND,AUTN)承載到GCF消息的非標準字段上,發送給通信終端10。
5)通信終端10收到GCF消息后,根據RAND參數計算出X_AUTN和RES,以AUTN和計算出的X_AUTN為依據進行如下操作51)若AUTN能夠接受X_AUTN,即兩者相同,說明該網絡是該用戶(即通訊終端1)簽約的網絡,籍此進行通訊終端10對網絡的認證,然后,通信終端10向網守20發送承載有計算結果RES的RRQ消息,繼續如下步驟6)。
52)否則,結束認證。
6)網守20收到RRQ消息后,比較XRES和RES,進行如下操作61)若兩者相同,籍此通過網絡對通訊終端10的認證,注冊成功,網守20向通信終端10發送RCF消息,繼續如下步驟7)。
62)否則,網守20發送RRJ消息至通訊終端10,注冊失敗。
7)網守20通過對保活的RRQ消息的應答,承載RAND和AUTN,可以再次啟動認證過程,即,重復上述步驟5)至步驟6),對于可能存在的非法用戶非法接入網守20,通過采用該步驟,網守20周期性地對通信終端10再次認證,可使用戶的損失盡可能地降為最低。
通信終端10在完成了上述步驟1)至步驟6)(或步驟7))的注冊后,通信終端10在H225或H245消息采用網守路由模式的情況下,發起呼叫業務時,可使用加密密鑰CK對H225或H245消息,以及對業務數據進行加密,可以防止他人監聽語音、視頻等數據,進一步提高H323多媒體通信的安全性。
綜上所述,本發明對于采用H323協議的通信終端10,使用SIM/USIM安全認證機制進行注冊,在網守發現流程中的GCF消息承載用于SIM認證或USIM認證的參數組,注冊流程中的RRQ消息承載用于SIM認證或USIM認證的計算結果,將安全的SIM/USIM認證引入到H323多媒體通信中,充分利用了SIM/USIM認證的高安全性,增強了通訊終端10認證注冊的安全性,提供了一種安全性高的認證注冊方法。
權利要求
1.一種通訊終端注冊方法,其特征在于對于采用H323協議的通信終端,使用SIM或USIM安全認證機制進行注冊,通過H323協議的網守發現流程和注冊流程承載,網守發現流程中的GCF消息承載用于SIM認證或USIM認證的參數組,注冊流程中的RRQ消息承載用于SIM認證或USIM認證的計算結果。
2.根據權利要求1所述的通訊終端注冊方法,其特征在于所述方法包括如下步驟A1、通信終端向網守發送GRQ消息,所述的GRQ消息上承載請求認證的用戶標識;A2、網守收到GRQ消息后,網守向認證鑒權中心發送認證請求;A3、認證鑒權中心生成多個三參數組RAND、XRES、Kc,并將數據發送給網守;A4、網守收到多個三參數組后,選擇其中一個參數組承載于GCF消息中,發送給通信終端;A5、通信終端收到GCF消息后,根據RAND參數計算出Kc和RES,判斷RES和XRES是否相同,進行如下操作A51、若RES和XRES相同,通信終端向網守發送承載有計算結果RES的RRQ消息,繼續如下步驟A6;A52、否則,結束認證;A6、網守收到RRQ消息,比較XRES和RES,如果相同,注冊成功,向通信終端發送RCF消息。
3.根據權利要求2所述的通訊終端注冊方法,其特征在于所述的步驟A6之后,還包括如下步驟所述的網守通過對保活的RRQ消息的應答,承載RAND,可以再次啟動認證過程。
4.根據權利要求2或3所述的通訊終端注冊方法,其特征在于所述的步驟A6之后,還包括如下步驟通信終端在H225或H245消息采用網守路由模式的情況下,發起呼叫業務時,使用生成的密鑰Kc對H225或H245消息、以及業務數據進行加密。
5.根據權利要求1所述的通訊終端注冊方法,其特征在于B1、通信終端向網守發送GRQ消息,所述的GRQ消息上承載請求認證的用戶標識;B2、網守收到GRQ消息后,向認證鑒權中心發送認證請求;B3、認證鑒權中心生成多個五參數組RAND、AUTN、CK、IK、XRES,并將數據發送給網守;B4、網守收到多個五參數組后,選擇其中一個參數組承載于GCF消息中,發送給通信終端;B5、通信終端收到GCF消息后,根據RAND參數計算出X_AUTN和RES,以AUTN和計算出的X_AUTN為依據進行如下操作B51、若AUTN能夠接受X_AUTN,即兩者相同,通信終端向網守發送承載有計算結果RES的RRQ消息,繼續如下步驟B6;B52、否則,結束認證;B6、網守收到RRQ消息后,比較XRES和RES,如果相同,注冊成功,向通信終端發送RCF消息。
6.根據權利要求5所述的通訊終端注冊方法,其特征在于所述的步驟B6之后,還包括如下步驟所述的網守通過對保活的RRQ消息的應答,承載RAND和AUTN,可以再次啟動認證過程。
7.根據權利要求5或6所述的通訊終端注冊方法,其特征在于所述的步驟B6之后,還包括如下步驟通信終端在H225或H245消息采用網守路由模式的情況下,發起呼叫業務時,使用加密密鑰CK對H225或H245消息、以及業務數據進行加密。
8.一種通訊終端注冊系統,包括通信終端和網守,所述的通信終端與網守之間采用H323協議,完成網守發現流程和注冊流程,其特征在于還包括認證鑒權中心,其中,所述的網守根據通信終端的網守請求消息,向認證鑒權中心發送相應的認證請求;所述的認證鑒權中心根據認證請求向網守發送用于SIM認證或USIM認證流程的多個參數組,所述的網守至少將其中的一個參數組傳遞至通信終端,通信終端根據參數進行相關計算,通信終端與網守根據所述參數組和計算結果進行相應的信息交互,完成通信終端的注冊。
全文摘要
一種涉及電通信技術的通訊終端注冊方法和系統,該方法為對于采用H323協議的通信終端,使用SIM或USIM安全認證機制進行注冊,通過H323協議的網守發現流程和注冊流程承載,在網守發現流程和注冊流程中的消息分別承載用于SIM或USIM認證的參數組和計算結果;該系統包括通信終端和網守,還包括認證鑒權中心,網守根據通信終端的網守請求消息,向認證鑒權中心發送相應的認證請求,認證鑒權中心根據認證請求向網守發送用于SIM認證或USIM認證流程的多個參數組,網守至少將其中的一個參數組傳遞至通信終端,通信終端根據參數進行相關計算,通信終端與網守根據相應的信息交互,完成通信終端的注冊,本發明安全性高。
文檔編號H04L12/66GK101087326SQ200610061120
公開日2007年12月12日 申請日期2006年6月8日 優先權日2006年6月8日
發明者張現周, 石文憑, 胡民安, 蔡文洲, 鄒品陽, 李 杰 申請人:中興通訊股份有限公司