WO2009155765A1

WO2009155765A1 - 基于分叉的认证方法及系统以及分叉认证装置

Info

Publication number: WO2009155765A1
Application number: PCT/CN2008/073532
Authority: WO
Inventors: 韦银星; 滕志猛
Original assignee: ZTE Corp
Current assignee: ZTE Corp
Priority date: 2008-06-23
Filing date: 2008-12-16
Publication date: 2009-12-30
Anticipated expiration: 2010-12-23
Also published as: CN101296085A; EP2337302A4; US20110225639A1; US8914861B2; CN101296085B; EP2337302A1

Description

基于分叉的认证方法及系统

以及分叉认证装置

技术领域本发明涉及通信领域，具体而言，涉及一种基于分叉的认证方法、系统以及分叉认证装置。背景技术在会话初始十办议（Session Initiation Protocol , 简称为 SIP ) 中，一个呼叫可以被发送到多个地点，但是无论接收方在哪里，呼叫者总是能够找到接收方， SIP 的这种能力易于实现电信网络中的多方通话、一号通业务、呼叫前转业务等。 SIP分叉（Forking ) 可以实现无论接收方在哪里，呼叫者总是能够找到接收方的这个功能， SIP分叉是指：代理服务器把 SIP请求发送给多个位置，并响应返回给发送方。一^:地，分叉分为顺序分叉和并行分叉，前者是指代理服务器逐个联系不同的接收方，后者是指代理服务器同时联系不同的接》方，与顺序分叉相比，并行分叉可以减少会话建立的时间。 SIP 支持顺序分叉和并行分叉。下一 4弋网络 ( Next Generation Network, 简称为 NGN ) 基于互联网十办 iSL ( Internet Protocol , 简称为 IP ) 的技术，由于 IP网络的不安全性，与传统的电信网络相比， NGN面临着安全威胁。其中，认证机制用以确认主体的身份，可以防止假冒之类的安全威胁。在某些情况下，消息的接收方可能想知道消息发送方的身份，例如，垃圾信息制造者的身份，这样，消息的接收方就需要对消息的发送方进行认证。但是，在下一代网络中，对于 SIP信令分叉的情况，不能支持电信网络中某些业务（例如，多方通话、一号通、呼叫前转）的认证，也不能识别发送方的身份。目前尚未提出解决上述问题的技术方案。发明内容考虑到接收设备无法对源设备进行分叉认证的问题而提出本发明，为此，本发明的主要目的在于提供一种基于分叉的认证方案，以填补目前技术中的该项空缺。为了实现上述目的，才艮据本发明的一个方面，提供了一种基于分叉的认证方法，该认证方法涉及至少两个接收设备对源设备进行的认证。根据本发明的基于分叉的认证方法包括：在接收设备和源设备上分别设置认证凭证；分叉网元在接收到来自源设备的呼叫请求后，将呼叫请求进行分叉，并把分叉后的呼叫请求发送到对应的接收设备；分叉网元接收来自多个接收设备的挑战值，并将多个挑战值转发到源设备；分叉网元接收来自源设备重新发送的呼叫请求，其中，重新发送的呼叫请求中携带相关认证凭证；分叉网元将重新发送的呼叫请求进行分叉，并将分叉后的呼叫请求发送到对应的接收设备，以使接收设备根据认证凭证对源设备进行认证。优选地，上述认证凭证包括以下至少之一：预共享密钥、数字证书。优选地，上述分叉网元为服务呼叫会话控制功能设备，上述接收设备为在分叉网元之后的下一代网络网元和 /或终端设备。其中，将多个挑战值转发到源设备具体为：分叉网元将多个接收设备发送的多个挑战值聚合在分叉请求响应中，并将分叉请求响应发送到源设备。此外，在上述分叉网元接收来自源设备重新发送的呼叫请求之前，上述方法还包括：源设备对不同的挑战值提供不同的认证凭证；源设备将不同的认证凭证聚合在呼叫请求中，并重新发送呼叫请求。根据本发明的另一方面，提供了一种基于分叉的认证系统，该认证系统包括至少两个接收设备。根据本发明的基于分叉的人证系统包括：设置模块，用于在接收设备和源设备上分别设置认证凭证；分叉网元，用于在接收到来自源设备的呼叫请求后，将呼叫请求进行分叉，发送到对应的接收设备，并将多个接收设备发送的多个挑战值转发到源设备；源设备，用于发送呼叫请求，以及在接收到多个战值后，重新发送呼叫请求，并在重新发送的呼叫请求中携带相关认证凭证；接收设备，用于在接收到重新发送的呼叫请求后，根据认证凭证完成对源设备的认证。此夕卜，上述分叉网元还用于接收来自源设备重新发送的呼叫请求。根据本发明的再一方面，提供了一种分叉认证装置，该分叉认证装置位于源设备。根据本发明的分叉认证装置包括：设置模块，用于设置认证凭证；发送模块，用于发送呼叫请求；接收模块，用于接收来自分叉网元的挑战值；重发模块，用于重发呼叫请求，并在呼叫请求中携带与挑战值对应的认证凭证。根据本发明的再一方面，还提供了一种分叉认证装置，该分叉认证装置位于接收设备。根据本发明实施例的分叉认证装置包括：设置模块，用于设置认证凭证；发送模块，用于在接收到来自源设备的呼叫请求后，通过分叉网元向源设备发送挑战值；认证模块，用于在接收到源设备重新发送的呼叫请求后，根据重新发送的呼叫请求中携带的认证凭证完成对源设备的认证。借助于本发明的技术方案，釆用在接收设备和源设备上分别设置认证凭证的方法，解决了目前接收设备无法对源设备进行分叉认证的问题，能够实现基于 SIP信令分叉的情况下，接收设备对源设备的认证。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制，在附图中：图 1是根据本发明实施例的基于分叉的认证方法的流程图；图 2是才艮据本发明装置实施例一的分叉认证装置的框图；图 3是才艮据本发明装置实施例二的分叉认证装置的框图；图 4是根据本发明实施例的实例 1的详细处理的信令流程图；图 5是根据本发明实施例的实例 2的详细处理的信令流程图；图 6是根据本发明实施例的基于分叉的认证系统的框图；图 7是才艮据本发明实施例的分叉请求的系统示意图；图 8是根据本发明实施例的基于 SIP请求分叉的系统示意图。具体实施方式功能相无述考虑到目前接收设备无法对源设备进行分叉认证的问题，本发明实施例提供了一种基于分叉的认证方案，在该方案中，在接收设备和源设备上分别设置认证凭证，分叉网元将来自源设备的呼叫请求进行分叉，并将分叉后的呼叫请求发送到对应的接收设备，分叉网元接收来自多个接收设备的挑战值，并将多个挑战值转发到源设备，分叉网元接收来自源设备重新发送的呼叫请求，其中，重新发送的呼叫请求中携带有相关认证凭证；分叉网元将重新发送的呼叫请求进行分叉，并将分叉后的呼叫请求发送到对应的接收设备，以使接收设备 #居认证凭证对源设备进行认证。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。在本发明中，如果没有特别说明，则分叉网元可以是服务呼叫会话控制功能设备，接收设备可以是位于分叉网元下游的下一代网络网元和 /或终端设备。方法实施例在本实施例中，提供了一种基于分叉的认证方法，涉及两个接收设备对源设备进行认证。图 1是根据本发明实施例的基于分叉的认证方法的流程图，如图 1所示，包括以下的步骤 S102至步骤 S110: 步骤 S102, 在接收设备和源设备上分别设置认证凭证，本发明实施例中使用的认证凭证包括但不限于预共享密钥、数字证书等；借助于该认证凭证，可以实现后续的认证过程；步骤 S104, 分叉网元在接收到来自源设备的呼叫请求后，将呼叫请求进行分叉，如上所述，这里的分叉可以是顺序分叉，也可以是并行分叉，并将分叉后的呼叫请求发送到对应的接收设备；步骤 S106, 分叉网元接收来自多个接收设备的挑战值，并将多个挑战值转发到源设备，具体地，分叉网元可以将多个接收设备发送的多个挑战值聚合在分叉请求响应中，并将分叉请求响应发送到源设备；在源设备侧，接收到分叉请求响应后，源设备对不同的挑战值提供不同的认证凭证，并将不同的认证凭证聚合在分叉请求中，之后，重新发送聚合操作后的分叉请求；步骤 S108 , 分叉网元接收来自源设备重新发送的呼叫请求，其中，该重新发送的呼叫请求中携带有相关认证凭证；步骤 S110, 分叉网元对重新发送的呼叫请求进行分叉，并将分叉后的呼叫请求发送到对应的接收设备，以使接收设备根据认证凭证对源设备进行认证。例如，接收设备可以使用本地设置的数字证书对接收到的认证凭证进行解密操作，如果解密成功，则认证通过，否则，认证失败。通过该实施例，提供了基于分叉的认证方法，可以实现接收设备对源设备的认证。装置实施例一在本实施例中，提供了一种分叉认证装置，位于源设备。图 2是才艮据本发明装置实施例一的分叉认证装置的框图，如图 2所示，包括：设置模块 20、发送模块 22、接收模块 24、重发模块 26, 下面对上述结构进行描述。设置模块 20, 用于设置认证凭证；发送模块 22, 用于发送呼叫请求；接收模块 24, 用于接收来自分叉网元的挑战值；重发模块 26, 用于重发呼叫请求，并在呼叫请求中携带与挑战值对应的认证凭证。该重发模块可以和设置模块发送模块合一设置来实现首次发送和重传功能。需要说明的是，包括上述分叉认证装置的网元（例如，上述的源设备）同样在本发明的保护范围之内。装置实施例二在本实施例中，提供了一种分叉认证装置，位于接收设备。图 3是才艮据本发明装置实施例二的分叉认证装置的框图，如图 3所示，包括：设置模块 30、发送模块 32、认证模块 34, 下面对上述结构进行描述。设置模块 30, 用于设置认证凭证；发送模块 32, 用于在接收到来自源设备的呼叫请求后，通过分叉网元向源设备发送挑战值；认证模块 34, 用于在接收到源设备重新发送的呼叫请求后，根据重新发送的呼叫请求中携带的认证凭证完成对源设备的认证。需要说明的是，包括上述的分叉认证装置的分叉网元之后的下一代网络网元和 /或终端设备（例如，上述的接收设备）同样在本发明的保护范围之内。系统实施例在本实施例中，提供了一种基于分叉的认证系统，该系统包括至少两个接收设备。图 4是根据本发明实施例的基于分叉的认证系统的框图，如图 4 所示，该系统包括：处理器 2、分叉网元 4、源设备 6、接收设备 8 , 下面对上述结构进行描述。处理器 2, 用于在接收设备和源设备上分别设置认证凭证，该处理器可以独立设置，也可以位于分叉网元侧，还可以位于源设备或接收设备中，即使位于其他合适的设备或网元中，也可以实现本发明。需要说明的是，处理器 2在设置认证凭证过程中，还可以通过存储介质将设置的认证凭证存储，这里的 "存储介质" 可以表示用于存储数据的一种或多种装置，包括只读存储器（ ROM )、随机存取存储器（ RAM )、磁 RAM, 磁心存储器、磁盘存储介质、光存储介质、闪存装置和 /或用于存储信息的其他机器可读介质。术语 "机器可读介质" 包括但不限于便携式或固定存储装置、光存储装置、无线通道或能够存储、容纳、或承载指令和 /或数据的各种其他介质。分叉网元 4, 用于实现分叉功能，实现源设备与接收设备之间的信息或数据的交互。例如，对于源设备到接收设备的方向，分叉网元 4在接收到来自源设备的呼叫请求后，将呼叫请求进行分叉，并将分叉后的呼叫请求发送到对应的接收设备；对于接收设备到源设备的方向，分叉网元 4接收来自多个接收设备多个挑战值，并将该多个挑战值转发到源设备；从而实现源设备与目标设备的交互。源设备 6 , 主要用于发送呼叫请求（发送模块 60 ) , 以及在接收到来自接收设备的挑战值后（接收模块 62 ),重新发送呼叫请求（调用发送模块 60 ), 并在重新发送的呼叫请求中携带相关认证凭证，用于接收设备对源设备进行后续的认证；接收设备 8 , 主要用于接收来自源设备的呼叫请求 (接收模块 80 ), 并基于该呼叫请求发送挑战值（发送模块 82 ), 还可以接收源设备响应于其挑战值而重新发送的呼叫请求（接收模块 80 ), 并根据认证凭证对源设备进行认证 (认证模块 84 )₀ 通过该实施例，提供了基于分叉的认证系统，可以实现接收设备对源设备的认证。实例 1 下面，结合附图，对上述技术的方法实施例和系统实施例进行详细说明。图 5示出了请求分叉的示意图，如图 5所示， TE ( Terminal Equipment, 终端设备 ) A 50是发起请求的源设备， TE B 54和 TE C 56在 NE中登记联系地址，是接收设备， NE 50 ( Network Element, 网元设备 )对来自 TE A 50 的请求进行分叉后，发送到 TE B 54和 TE C 56。并且， NE 30接收的信息可以由终端设备发送，也可以由其他网元设备发送。 TE B 54和 TE C 56接收到请求后，对 TE A 50进行认证。下面，结合上述的基于分叉的认证系统来描述图 6示出的处理流程。如图 6所示，相同用户身份的两个设备 TE B 64和 TE C 66首先在 NE 62中登记联系地址，之后， TEA 60发起呼叫，具体地：步骤 S602 , TE A 60通过 NE 62发起与某个用户通讯的请求；步骤 S604, NE 62根据该用户注册的联系地址，将对请求进行分叉后的一个分支发送到接收设备 TE B 64; 步骤 S606 , NE 62根据用户注册的联系地址，将请求分叉后的另一个分支发送到接收设备 TE C 66; 步骤 S608 , TE B 64向 TE A 60发送包含战值的响应；步骤 S610, TE C 66向 TE A 60发送包含战值的响应；步骤 S612, NE 62将步骤 S608和步骤 S610中的响应组合成一个响应，返回到 TE A 60; 步骤 S614, TE A 60根据收到的响应中的挑战值和支持的安全算法，分别构造响应；步骤 S616, NE 62将响应进行分叉，将一个分支发送到 TE B 64, 在 TE B 64完成对 TE A 60的认证；步骤 S618 , NE 62把响应进行分叉，将另一个分支发送到 TE C 66, 在 TE C 66完成对 TE A 60的认证。优选地，在 TE B 64和 TE C 66认证成功后，向 NE 42返回认证成功与否消息，以使 TE A 60与通过认证的设备 ( TE B 64和 /或 TE C 66 )建立会话。实例 2 图 7示出了 NGN中基于 SIP请求分叉时的示意图。在图 7中，代理呼叫会话控制功能实体（Proxy CSC-FE, 简称为 P-CSC-FE ) 71、 76负责维持安全关联和 SIP 信令的完整性和机密性保护。服务呼叫会话控制功能实体 ( Service CSC-FE, 简称为 S-CSC-FE ) 72、 75负责处理注册过程、进行路由判断、维持会话状态并存储业务配置。当在 S-CSC-FE 75上对某个用户身份注册多个联系地址，例如， TE B 77和 TE C 78注册地址， S-CSC-FE 75对来自 TE A 70的 SIP请求进行分叉。询问呼叫会话控制功能实体 ( Interrogating CSC-FE, 简称为 I-CSC-FE ) 73可以从业务用户描述功能实体 SUP-FE 74中获取下一跳 S-CSC-FE的名称。图 8示出了在 NGN中基于 SIP请求分叉时的注册、会话建立和认证流程，以下结合图 7所示的系统来描述图 8的处理。如图 8所示，用户 1拥有 TE A 80, 用户 2拥有 TE B 87和 TE C 88。步骤 S802, 登记用户 1 的联系地址， TE A 80通过 P-CSC-FE 81 向

S-CSC-FE 82发送注册请求；步骤 S804, S-CSC-FE 82向 TE A 80返回注册成功响应; 步骤 S806-S612, 通过 P-CSC-FE 86, 在 S-CSC-FE 85中同时登记用户 2的两个联系地址 TE-B 87和 TE-C 88；步骤 S814 , 用户 1通过 TE A 80向用户 2发起 INVITE请求，该请求经过 P-CSC-FE 81和 S-CSC-FE 82后到达 I-CSC-FE 83; 步骤 S816, I-CSC-FE 83查询 SUP-FE 84,得到用户 2对应的 S-CSC-FE

82的地址；步骤 S818 , I-CSC-FE 83将 INVITE请求发送到下一跳 S-CSC-FE 86, 并且，用户 2在 S-CSC-FE 85中登记；步骤 S820, 分叉后，将一个分支上的 INVITE请求通过 P-CSC-FE 86 发送到 TE B 87; 步骤 S822, 分叉后，将另一个分支上的 INVITE请求通过 P-CSC-FE 86 发送到 TE B 88；步骤 S824-步骤 S826, TE B 87 和 TE C 88 分别发起未 4曼权 ( 401 UNAUTHORIZED ) 响应对 INVITE的发起端进行认证，响应中包含支持的安全算法和挑战值，响应通过 P-CSC-FE 86发送到 S-CSC-FE 85; 步骤 S828 , S-CSC-FE 85将两个未 4曼权的响应聚合成一个响应后，发送到 I-CSC-FE 83; 步骤 S830, I-CSC-FE 83查询 SUP-FE34,得到用户 1对应的 S-CSC-FE 82的地址；步骤 S832, S-CSC-FE 82将 401 UNAUTHORIZED响应发送到 TE A 80；步骤 S834, TE A 80接》到 401 UNAUTHORIZED响应后，分别才艮据 TE B 87和 TE C 88中提供的安全算法及挑战值，釆用自己的凭证来计算响应值。并重新发起 INVITE请求，该请求中包含 4曼权头信息；步骤 S836-步骤 S838 , 上述 INVITE请求发送到 S-CSC-FE 85后，分别转发到 TE B 87和 TE C 88, 并在终端设备上完成对 TE A 80的认证；至此，完成了 NGN中基于 SIP请求分叉时的认证流程。图 8中示出的步骤 S840-步骤 S856, 与正常的 SIP会话建立过程类似，这里不再重述，其中，步骤 S844 和步骤 S846 中涉及的消息为确认应答 ( ACK ) 消息，步骤 S850和步骤 S854中涉及的消息为结束（ BYE )消息，并且，为了简化目的，省略了注册过程中认证流程以及会话建立过程中的 180 Ringing步骤。通过上述处理过程，实现了基于 SIP请求分叉时，接收设备对上游设备的认证。综上所述，借助于本发明的技术方案，能够实现基于 SIP信令分叉的情况下，接收设备对源设备的认证。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变^^ 凡在本发明的^^申和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种基于分叉的认证方法，涉及至少两个接收设备对源设备进行认证，其特征在于，所述方法包括：在所述接收设备和所述源设备上分别设置认证凭证；分叉网元在接收到来自所述源设备的呼叫请求后，将所述呼叫请求进行分叉，并把分叉后的呼叫请求发送到对应的接收设备；

所述分叉网元接收来自所述接收设备的挑战值，并将所述挑战值转发到所述源设备；

所述分叉网元接收来自所述源设备重新发送的呼叫请求，其中，重新发送的所述呼叫请求中携带有相关认证凭证；

所述分叉网元将所述重新发送的呼叫请求进行分叉，并将分叉后的呼叫请求发送到对应的接收设备，以使所述接收设备根据所述认证凭证对所述源设备进行认证。

2. 根据权利要求 1所述的方法，其特征在于，所述认证凭证包括以下至少之一：预共享密钥、数字证书。

3. 根据权利要求 1所述的方法，其特征在于，所述分叉网元为服务呼叫会话控制功能设备，所述接收设备为在所述分叉网元之后的下一代网络网元和 /或终端设备。

4. 根据权利要求 1所述的方法，其特征在于，所述将挑战值转发到所述源设备具体为：

所述分叉网元将所述接收设备发送的战值聚合在分叉请求响应中，并将所述分叉请求响应发送到所述源设备。

5. 才艮据权利要求 1所述的方法，其特征在于，在所述分叉网元接收来自所述源设备重新发送的呼叫请求之前，所述方法还包括：

所述源设备对不同的挑战值提供不同的认证凭证；

所述源设备将所述不同的认证凭证聚合在呼叫请求中，并重新发送所述呼叫请求。

6. 一种基于分叉的认证系统，包括至少两个接收设备对源设备进行认证，其特征在于，所述系统包括：

设置模块，用于在所述接收设备和所述源设备上分别设置认证凭证；

分叉网元，用于在接收到来自所述源设备的呼叫请求后，将所述呼叫请求进行分叉，发送到对应的接收设备，并将多个所述接收设备发送的多个挑战值转发到所述源设备；

源设备，用于发送呼叫请求，以及在接收到所述多个挑战值后，重新发送呼叫请求，并在重新发送的所述呼叫请求中携带相关认证凭证；接收设备，用于在接收到重新发送的所述呼叫请求后，根据所述认证凭证完成对所述源设备的认证。

7. 根据权利要求 6所述的系统，其特征在于，所述分叉网元还用于接收来自所述源设备重新发送的呼叫请求。

8. 一种分叉认证装置，位于源设备，其特征在于，所述装置包括：

设置模块，用于设置认证凭证；

发送模块，用于发送呼叫请求；

接收模块，用于接收来自分叉网元的挑战值；

重发模块，用于重发所述呼叫请求，并在所述呼叫请求中携带与所述 4 战值对应的认证凭证。

9. 一种分叉认证装置，位于接收设备，其特征在于，所述装置包括：设置模块，用于设置认证凭证；

发送模块，用于在接收到来自源设备的呼叫请求后，通过分叉网元向所述源设备发送挑战值；

认证模块，用于在接收到所述源设备重新发送的呼叫请求后，根据重新发送的所述呼叫请求中携带的认证凭证完成对所述源设备的认证。