一種接入sip安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法
【專(zhuān)利摘要】本發(fā)明涉及一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法�,包括SIP終端在SIP服務(wù)器處進(jìn)行身份認(rèn)證完成注冊(cè)���;需要進(jìn)行信息交互的SIP終端雙方分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會(huì)話協(xié)商;SIP服務(wù)器分別向需要進(jìn)行信息交互的SIP終端發(fā)送點(diǎn)到點(diǎn)鏈路信息�,并下發(fā)相關(guān)密鑰;兩個(gè)SIP終端間通過(guò)點(diǎn)到點(diǎn)認(rèn)證令牌交換進(jìn)行雙向身份認(rèn)證����;雙向身份認(rèn)證通過(guò)的SIP終端間進(jìn)行信息交互;當(dāng)SIP終端離開(kāi)當(dāng)前網(wǎng)絡(luò)時(shí)�����,需要在SIP服務(wù)器上進(jìn)行注銷(xiāo)認(rèn)證;本發(fā)明可實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)體之間安全高效地多實(shí)體初次認(rèn)證��、SIP終端之間的快速重認(rèn)證���,保證視頻信令流和媒體流雙通道認(rèn)證等�,大大提高了接入安全性�,數(shù)據(jù)傳輸、存儲(chǔ)及訪問(wèn)的安全性��。
【專(zhuān)利說(shuō)明】一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及視頻監(jiān)控聯(lián)網(wǎng)領(lǐng)域����,尤其涉及一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法。
【背景技術(shù)】
[0002]近年來(lái)���,隨著計(jì)算機(jī)�、網(wǎng)絡(luò)以及圖像處理��、傳輸技術(shù)的飛速發(fā)展�,視頻監(jiān)控技術(shù)也有了長(zhǎng)足的發(fā)展。從80年代初的模擬監(jiān)控到90年代的數(shù)字監(jiān)控���,再到近年來(lái)的網(wǎng)絡(luò)視頻監(jiān)控�,從技術(shù)角度來(lái)看,視頻監(jiān)控系統(tǒng)的發(fā)展則經(jīng)歷了第一代以模擬設(shè)備為主的閉路電視監(jiān)控系統(tǒng)����,到第二代基于“PC+多媒體卡”數(shù)字視頻監(jiān)控系統(tǒng),再到第三代完全基于IP網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)��。
[0003]雖然中國(guó)視頻監(jiān)控市場(chǎng)發(fā)生了翻天覆地的發(fā)展����,但是,在當(dāng)前的視頻監(jiān)控市場(chǎng)中�,不同監(jiān)控系統(tǒng)采用的信令控制協(xié)議不統(tǒng)一,因此���,互聯(lián)互通困難�,無(wú)法滿足網(wǎng)絡(luò)化時(shí)代對(duì)大規(guī)模電信級(jí)視頻監(jiān)控����、遠(yuǎn)程訪問(wèn)���、集中管理的需求����。于是設(shè)計(jì)者們將目光投向了通用的SIP協(xié)議與H.323協(xié)議。但是����,H.323由于其協(xié)議族過(guò)于復(fù)雜龐大,不如SIP簡(jiǎn)單靈活���,而且SIP更適合用于分布式控制場(chǎng)景�。將SIP作為未來(lái)市場(chǎng)網(wǎng)絡(luò)視頻監(jiān)控的主流協(xié)議已成為業(yè)界共識(shí)��,基于SIP的安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)可謂是今后視頻監(jiān)控領(lǐng)域發(fā)展的主流趨勢(shì)����。
[0004]但是,在其飛速發(fā)展的背后�,由于IP網(wǎng)絡(luò)固有的開(kāi)放式特點(diǎn)、IP網(wǎng)絡(luò)和SIP協(xié)議本身存在的安全缺陷以及應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全隱患��,使得整個(gè)基于IP的視頻監(jiān)控系統(tǒng)及其設(shè)備都面臨著嚴(yán)峻的信息安全風(fēng)險(xiǎn)��。通過(guò)IP網(wǎng)絡(luò)��,攻擊者可以輕而易舉地侵入監(jiān)控設(shè)備,發(fā)起例如竊取或篡改監(jiān)控畫(huà)面��、對(duì)攝像機(jī)進(jìn)行非法操控等攻擊�,達(dá)到窺探隱私,威脅用戶���、管理部門(mén)�、政府甚至國(guó)家公共安全的目的���。這些安全隱患的根源就在于現(xiàn)有市面上的監(jiān)控產(chǎn)品(包括攝像機(jī)��、網(wǎng)絡(luò)硬盤(pán)錄像機(jī)等)都或多或少的存在著信息安全漏洞�����。
[0005]由上述可見(jiàn)���,監(jiān)控設(shè)備和系統(tǒng)亟需有效的信息安全防護(hù)機(jī)制。雖然目前在視頻監(jiān)控領(lǐng)域最有影響力的兩大組織ONVIF(Open Network Video Interface Forum,開(kāi)放型網(wǎng)絡(luò)視頻接口論壇)和 PSIA (Physical Security Interoperability Alliance,物理安防互操作性聯(lián)盟)都已意識(shí)到這一點(diǎn)�,并都相繼針對(duì)監(jiān)控系統(tǒng)的安全問(wèn)題提出了一些應(yīng)對(duì)方案,但是這兩大組織的主要目的是致力于使基于IP網(wǎng)絡(luò)的不同安防系統(tǒng)具有兼容性和互通性�。由于信息安全問(wèn)題并不是他們的主要任務(wù),所以他們也只是給出了一些安全相關(guān)建議���,因此對(duì)于系統(tǒng)安全��,特別是前端攝像機(jī)的安全并沒(méi)有形成完整的信息安全解決方案���。同時(shí),在目前我國(guó)視頻監(jiān)控系統(tǒng)體系中也缺乏專(zhuān)門(mén)針對(duì)前端攝像機(jī)的信息安全防護(hù)標(biāo)準(zhǔn)�,使得我國(guó)市場(chǎng)上的攝像機(jī)產(chǎn)品普遍缺乏成體系的信息安全防護(hù)機(jī)制,極易造成對(duì)視頻監(jiān)控用戶自身隱私的泄露����,從而成為安全隱患。
[0006]一個(gè)比較完整的信息安全解決方案總的來(lái)說(shuō)應(yīng)該滿足以下兩個(gè)方面:保護(hù)數(shù)據(jù)及整個(gè)系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)��、使用�����、泄露�����、修改和破壞���;為數(shù)據(jù)和系統(tǒng)提供機(jī)密性�����、完整性��、可用性和不可否認(rèn)性��。為了實(shí)現(xiàn)以上安全功能�����,從技術(shù)層面出發(fā)����,則需要考慮以下3個(gè)方面:網(wǎng)絡(luò)接入安全、傳輸安全以及數(shù)據(jù)存儲(chǔ)����、訪問(wèn)安全。其中��,網(wǎng)絡(luò)接入安全是所有安全的前提和基礎(chǔ)���,只有保證了系統(tǒng)中的所有合法設(shè)備都能安全地接入符合安全要求的網(wǎng)絡(luò)��,為系統(tǒng)中設(shè)備之間�����、設(shè)備與用戶之間創(chuàng)建起安全的通道����,才能保證后續(xù)的通信安全��。要實(shí)現(xiàn)網(wǎng)絡(luò)接入安全���,一個(gè)重要的手段就是實(shí)現(xiàn)網(wǎng)絡(luò)(通信實(shí)體之間的)身份認(rèn)證����,目前進(jìn)行網(wǎng)絡(luò)身份認(rèn)證主要涉及到設(shè)備身份認(rèn)證和用戶身份認(rèn)證兩種�。設(shè)備身份認(rèn)證是指在設(shè)備接入網(wǎng)絡(luò)的過(guò)程中,實(shí)現(xiàn)設(shè)備與網(wǎng)絡(luò)之間的雙向身份鑒別���,有效阻止不符合安全要求的監(jiān)控設(shè)備訪問(wèn)網(wǎng)絡(luò)���,并且避免設(shè)備接入不符合安全要求的網(wǎng)絡(luò)。用戶接入網(wǎng)絡(luò)的安全則是指在視頻監(jiān)控用戶(客戶端)在訪問(wèn)�、查看視頻數(shù)據(jù)之前的接入網(wǎng)絡(luò)過(guò)程中,網(wǎng)絡(luò)通過(guò)對(duì)用戶的身份認(rèn)證實(shí)現(xiàn)對(duì)用戶權(quán)限的有效管控����。
[0007]目前��,現(xiàn)有系統(tǒng)或標(biāo)準(zhǔn)中建議使用終端安全接入管理機(jī)制提供多種安全接入認(rèn)證���,例如使用IEEE802.1x端口訪問(wèn)機(jī)制、IEEE802.1li協(xié)議等來(lái)保障網(wǎng)絡(luò)接入安全���。但是以上現(xiàn)有的安全技術(shù)��,都存在著單向認(rèn)證的安全漏洞��,未考慮中間人攻擊��,密鑰管理復(fù)雜�����,系統(tǒng)可擴(kuò)展性和靈活性差等缺陷�。
【發(fā)明內(nèi)容】
[0008]本發(fā)明所要解決的技術(shù)問(wèn)題是針對(duì)現(xiàn)有技術(shù)的不足�����,提供一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法����,解決由于IP網(wǎng)絡(luò)固有的開(kāi)放式特點(diǎn)�����、IP網(wǎng)絡(luò)和SIP協(xié)議本身存在的安全缺陷以及應(yīng)用系統(tǒng)所帶來(lái)的網(wǎng)絡(luò)安全隱患問(wèn)題����。
[0009]本發(fā)明解決上述技術(shù)問(wèn)題的技術(shù)方案如下:一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法���,包括如下步驟:
[0010]步驟1:需入網(wǎng)的SIP終端在SIP服務(wù)器處進(jìn)行三元對(duì)等身份認(rèn)證完成注冊(cè),獲得入網(wǎng)權(quán)限�;
[0011]步驟2:需要進(jìn)行信息交互的SIP終端雙方分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會(huì)話協(xié)商;
[0012]步驟3 =SIP服務(wù)器分別向需要進(jìn)行信息交互的SIP終端發(fā)送點(diǎn)到點(diǎn)鏈路信息�����,并下發(fā)相關(guān)密鑰���;
[0013]步驟4:需要進(jìn)行信息交互的SIP終端間通過(guò)點(diǎn)到點(diǎn)認(rèn)證令牌交換進(jìn)行雙向身份認(rèn)證��,實(shí)現(xiàn)鏈路認(rèn)證���;
[0014]步驟5:雙向身份認(rèn)證通過(guò)的SIP終端間開(kāi)啟會(huì)話�,進(jìn)行信息交互����;
[0015]步驟6:當(dāng)SIP終端要離開(kāi)當(dāng)前網(wǎng)絡(luò)時(shí),需要在其注冊(cè)的SIP服務(wù)器上進(jìn)行注銷(xiāo)認(rèn)證��,認(rèn)證通過(guò)則允許離開(kāi)當(dāng)前網(wǎng)絡(luò)����。
[0016]本發(fā)明的有益效果是:在SIP視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)中,實(shí)現(xiàn)SIP終端�����、SIP服務(wù)器和認(rèn)證服務(wù)器之間安全高效地多實(shí)體初次認(rèn)證����、SIP終端之間的快速重認(rèn)證及保證了視頻信令流和媒體流雙通道認(rèn)證等網(wǎng)絡(luò)接入安全性。
[0017]在上述技術(shù)方案的基礎(chǔ)上�����,本發(fā)明還可以做如下改進(jìn)����。
[0018]進(jìn)一步��,上述技術(shù)方案還包括設(shè)定認(rèn)證有效期�����,當(dāng)有效期屆滿時(shí)�,兩個(gè)SIP終端需要進(jìn)行點(diǎn)對(duì)點(diǎn)重認(rèn)證操作�,具體實(shí)現(xiàn)為兩個(gè)SIP終端之間交換點(diǎn)對(duì)點(diǎn)重認(rèn)證令牌,按照初次認(rèn)證的步驟進(jìn)行重認(rèn)證����;當(dāng)兩個(gè)SIP終端需暫時(shí)關(guān)閉會(huì)話時(shí),兩個(gè)SIP終端需交換點(diǎn)對(duì)點(diǎn)會(huì)話關(guān)閉令牌��,認(rèn)證通過(guò)則關(guān)閉會(huì)話�;當(dāng)兩個(gè)SIP終端要徹底關(guān)閉通信鏈路時(shí)�����,兩個(gè)SIP終端除交換點(diǎn)對(duì)點(diǎn)會(huì)話關(guān)閉令牌之外�����,還需要交換點(diǎn)對(duì)點(diǎn)鏈路關(guān)閉令牌��,認(rèn)證通過(guò)時(shí),徹底關(guān)閉鏈路�。
[0019]采用上述進(jìn)一步方案的有益效果:重認(rèn)證機(jī)制可進(jìn)一步提高設(shè)備認(rèn)證的安全性,有效識(shí)別網(wǎng)絡(luò)內(nèi)部的非法設(shè)備���;點(diǎn)對(duì)點(diǎn)認(rèn)證�、重認(rèn)證�、關(guān)閉會(huì)話和關(guān)閉鏈路認(rèn)證等操作可合理管理SIP終端之間的會(huì)話和鏈路的創(chuàng)建、關(guān)閉等過(guò)程�����。
[0020]進(jìn)一步�����,所述SIP終端和SIP服務(wù)器中分別預(yù)存有認(rèn)證服務(wù)器簽發(fā)的公鑰證書(shū)和相應(yīng)的私鑰��,且均預(yù)存有認(rèn)證服務(wù)器的公鑰證書(shū)��。
[0021]進(jìn)一步���,所述步驟I的具體實(shí)現(xiàn)為:
[0022]步驟1.1:SIP終端向SIP服務(wù)器發(fā)送觸發(fā)注冊(cè)請(qǐng)求消息Ml �;
[0023]步驟1.2 =SIP服務(wù)器在收到SIP終端發(fā)送的觸發(fā)注冊(cè)請(qǐng)求Ml后,向所述SIP終端發(fā)送觸發(fā)注冊(cè)響應(yīng)消息M2;
[0024]步驟1.3:所述SIP終端驗(yàn)證觸發(fā)響應(yīng)消息M2的合法性��,若合法��,向SIP服務(wù)器發(fā)送接入認(rèn)證請(qǐng)求M3 ;否則返回步驟1.1 ����;
[0025]步驟1.4 =SIP服務(wù)器驗(yàn)證所述SIP終端發(fā)送的接入認(rèn)證請(qǐng)求M3的合法性,若合法����,SIP服務(wù)器向認(rèn)證服務(wù)器發(fā)送證書(shū)認(rèn)證請(qǐng)求M4,執(zhí)行步驟1.5 ����;否則向SIP終端發(fā)送注冊(cè)失敗的信息,返回步驟1.1;
[0026]步驟1.5:認(rèn)證服務(wù)器驗(yàn)證所述SIP服務(wù)器發(fā)送的證書(shū)認(rèn)證請(qǐng)求M4的合法性���,若合法,則生成驗(yàn)證結(jié)果并對(duì)驗(yàn)證結(jié)果簽名���,將攜帶已簽名的驗(yàn)證結(jié)果的證書(shū)認(rèn)證響應(yīng)消息M5發(fā)送給SIP服務(wù)器�,執(zhí)行步驟1.6 ;否則向SIP服務(wù)器發(fā)送證書(shū)認(rèn)證失敗的信息���,返回步驟 1.1 ;
[0027]步驟1.6 =SIP服務(wù)器驗(yàn)證證書(shū)認(rèn)證響應(yīng)消息M5的合法性����,若合法,則驗(yàn)證認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果的簽名字段的合法性���,若合法�,則查看證書(shū)驗(yàn)證結(jié)果字段中SIP終端的證書(shū)驗(yàn)證結(jié)果�,根據(jù)此字段來(lái)決定是否允許SIP終端接入,進(jìn)而封裝得到接入認(rèn)證響應(yīng)消息M6并發(fā)送給SIP終端���,執(zhí)行步驟1.7 ;否則向認(rèn)證服務(wù)器發(fā)送認(rèn)證失敗的信息�,返回步驟 1.1 ;
[0028]步驟1.7 =SIP終端驗(yàn)證接入認(rèn)證響應(yīng)消息M6的合法性�,若合法,則驗(yàn)證認(rèn)證服務(wù)器對(duì)則證書(shū)驗(yàn)證結(jié)果的簽名字段的合法性�,若合法,則查看證書(shū)驗(yàn)證結(jié)果字段中SIP服務(wù)器的證書(shū)驗(yàn)證結(jié)果�����,根據(jù)此字段決定是否接入該SIP服務(wù)器����,如決定接入該SIP服務(wù)器�����,則進(jìn)入待會(huì)話狀態(tài)�����;否則向SIP服務(wù)器發(fā)送認(rèn)證失敗的信息���,返回步驟1.1。
[0029]進(jìn)一步,所述觸發(fā)響應(yīng)消息M2攜帶認(rèn)證激活分組nl,注冊(cè)請(qǐng)求M3攜帶接入認(rèn)證請(qǐng)求分組n2,所述證書(shū)認(rèn)證請(qǐng)求M4攜帶證書(shū)認(rèn)證請(qǐng)求分組n3,所述證書(shū)認(rèn)證響應(yīng)消息M5攜帶證書(shū)認(rèn)證響應(yīng)分組n4,所述接入認(rèn)證響應(yīng)消息M6攜帶接入認(rèn)證響應(yīng)分組n5 �����;
[0030]所述認(rèn)證激活分組nl包括標(biāo)識(shí)FLAG�、認(rèn)證標(biāo)識(shí)、SIP服務(wù)器生成的隨機(jī)數(shù)�,認(rèn)證激活時(shí)間、相應(yīng)的認(rèn)證服務(wù)器賬號(hào)����、ECDH曲線相關(guān)參數(shù)、SIP服務(wù)器的公鑰證書(shū)和SIP服務(wù)器簽名�����;
[0031]所述接入認(rèn)證請(qǐng)求分組n2包括標(biāo)識(shí)FLAG����、認(rèn)證標(biāo)識(shí)、SIP終端生成的隨機(jī)數(shù)����、SIP密鑰數(shù)據(jù)、認(rèn)證激活分組nl中的SIP服務(wù)器生成的隨機(jī)數(shù)�����、SIP服務(wù)器賬號(hào)�、ECDH曲線相關(guān)參數(shù)、SIP終端證書(shū)和SIP終端簽名���;
[0032]所述證書(shū)認(rèn)證請(qǐng)求分組n3包括ADDID地址索引�����、n2中SIP終端生成的隨機(jī)數(shù)���、nl中SIP服務(wù)器生成的隨機(jī)數(shù)、SIP終端證書(shū)�����、SIP服務(wù)器證書(shū)和SIP服務(wù)器簽名;
[0033]所述證書(shū)認(rèn)證響應(yīng)分組n4包括ADDID地址索引����、證書(shū)驗(yàn)證結(jié)果、認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果字段的簽名和認(rèn)證服務(wù)器對(duì)本數(shù)據(jù)包的簽名��;
[0034]所述接入認(rèn)證響應(yīng)分組n5包括標(biāo)識(shí)FLAG�、認(rèn)證標(biāo)識(shí)、n2中SIP終端生成的隨機(jī)數(shù)�����、SIP終端密鑰�、nl中SIP服務(wù)器生成的隨機(jī)數(shù)、SIP服務(wù)器密鑰���、接入結(jié)果����、證書(shū)驗(yàn)證結(jié)果��、認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果的簽名和SIP服務(wù)器簽名�。
[0035]進(jìn)一步,所述認(rèn)證激活分組nl�、接入認(rèn)證請(qǐng)求分組n2和接入認(rèn)證響應(yīng)分組n5中的認(rèn)證標(biāo)識(shí)字段計(jì)算方式為:
[0036]aulh —id=S] IA256(/7si? s?.w1.十 Password^, iA 十 Time*)��,
[0037]其中���,nSIP Server為SIP服務(wù)器生成的隨機(jī)數(shù),PassWOrdSIP UA為預(yù)置在SIP終端和SIP服務(wù)器內(nèi)的對(duì)應(yīng)于SIP終端的用戶名密碼�����,Timeactive為認(rèn)證激活時(shí)間���。
[0038]采用上述進(jìn)一步方案的有益效果:可利用SIP終端與SIP服務(wù)器之間的預(yù)置共享信息來(lái)減少攻擊者惡意發(fā)送假冒的認(rèn)證激活分組���;且SIP終端可及時(shí)的發(fā)現(xiàn)假冒的認(rèn)證激活分組,及時(shí)的停止后續(xù)認(rèn)證過(guò)程���,減少不必要的計(jì)算和通信工作���,即可有效防止DOS (拒絕服務(wù)攻擊)攻擊。
[0039]進(jìn)一步�����,所述SIP服務(wù)器簽名為SIP服務(wù)器用私鑰對(duì)相應(yīng)分組所有字段的簽名;SIP終端簽名為SIP終端用私鑰對(duì)相應(yīng)分組所有字段的簽名�����。
[0040]進(jìn)一步���,步驟1.3中SIP終端驗(yàn)證觸發(fā)注冊(cè)響應(yīng)消息M2的合法性的具體實(shí)現(xiàn)為��,SIP終端對(duì)認(rèn)證激活分組nl進(jìn)行驗(yàn)證:
[0041]步驟1.3.1:利用SIP服務(wù)器公鑰證書(shū)中的公鑰驗(yàn)證SIP服務(wù)器簽名����,驗(yàn)證通過(guò)則執(zhí)行步驟1.3.2 ;否則終止本次注冊(cè)操作�����,解除鏈路�;
[0042]步驟1.3.2:將認(rèn)證激活時(shí)間與該SIP終端的系統(tǒng)時(shí)間相比,驗(yàn)證認(rèn)證激活時(shí)間是否在預(yù)定接受范圍內(nèi)�,如果是,執(zhí)行步驟1.3.3 ;否則終止本次注冊(cè)操作����,解除鏈路;
[0043]步驟1.3.3:按照與SIP服務(wù)器約定的方法計(jì)算認(rèn)證標(biāo)識(shí),并與認(rèn)證激活分組nl中相應(yīng)字段進(jìn)行比較���,若一致則生成SIP終端隨機(jī)數(shù)和SIP終端密鑰數(shù)據(jù)�����,并封裝得到接入認(rèn)證請(qǐng)求分組n2 ;否則終止本次注冊(cè)操作,解除鏈路��。
[0044]進(jìn)一步�����,步驟1.4中SIP服務(wù)器驗(yàn)證所述SIP終端發(fā)送的接入認(rèn)證請(qǐng)求M3的合法性的具體實(shí)現(xiàn)為���,SIP服務(wù)器對(duì)接入認(rèn)證請(qǐng)求分組n2進(jìn)行驗(yàn)證:
[0045]步驟1.4.1:利用SIP終端公鑰證書(shū)中的公鑰對(duì)SIP終端簽名進(jìn)行驗(yàn)證�,驗(yàn)證通過(guò)�����,則執(zhí)行步驟1.4.2 ;否則終止本次注冊(cè)操作���,解除鏈路��;
[0046]步驟1.4.2:檢測(cè)SIP服務(wù)器隨機(jī)數(shù)是否與認(rèn)證激活分組nl中的SIP服務(wù)器生成的隨機(jī)數(shù)一致��,如果一致則執(zhí)行步驟1.4.3 ;否則終止本次注冊(cè)操作����,解除鏈路;
[0047]步驟1.4.3:驗(yàn)證SIP服務(wù)器身份賬號(hào)是否與自己本身賬號(hào)一致�,若一致則生成并封裝證書(shū)認(rèn)證請(qǐng)求分組n3 ;否則終止本次注冊(cè)操作,解除鏈路��。
[0048]進(jìn)一步����,步驟1.5中認(rèn)證服務(wù)器驗(yàn)證所述SIP服務(wù)器發(fā)送的證書(shū)認(rèn)證請(qǐng)求M4的合法性的具體實(shí)現(xiàn)為,認(rèn)證服務(wù)器對(duì)證書(shū)認(rèn)證請(qǐng)求分組n3進(jìn)行驗(yàn)證�����;
[0049]步驟1.5.1:利用認(rèn)證服務(wù)器本地保存的SIP服務(wù)器公鑰證書(shū)副本中的公鑰對(duì)SIP服務(wù)器簽名進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò),則執(zhí)行步驟1.5.2 ;否則終止本次認(rèn)證操作��,解除鏈路�;
[0050]步驟1.5.2:分別驗(yàn)證SIP終端證書(shū)和SIP服務(wù)器證書(shū),驗(yàn)證通過(guò),則執(zhí)行步驟1.5.3 ;否則終止本次認(rèn)證操作���,解除鏈路��;
[0051]步驟1.5.3:生成證書(shū)驗(yàn)證結(jié)果���,并利用認(rèn)證服務(wù)器的私鑰對(duì)證書(shū)驗(yàn)證結(jié)果簽名,生成并封裝證書(shū)認(rèn)證響應(yīng)分組n4����。
[0052]進(jìn)一步�����,步驟1.6中SIP服務(wù)器驗(yàn)證證書(shū)認(rèn)證響應(yīng)消息M5的合法性的具體實(shí)現(xiàn)為���,SIP服務(wù)器對(duì)證書(shū)認(rèn)證響應(yīng)分組n4進(jìn)行驗(yàn)證:
[0053]步驟1.6.1:利用認(rèn)證服務(wù)器公鑰證書(shū)副本中的公鑰對(duì)證書(shū)認(rèn)證響應(yīng)分組n4中認(rèn)證服務(wù)器簽名進(jìn)行驗(yàn)證��,驗(yàn)證通過(guò)���,則執(zhí)行步驟1.6.2 ;否則終止本次注冊(cè)的后續(xù)操作,解除鏈路����;
[0054]步驟1.6.2:檢測(cè)SIP終端隨機(jī)數(shù)和SIP服務(wù)器隨機(jī)數(shù)與證書(shū)認(rèn)證請(qǐng)求分組n3中的相應(yīng)字段是否一致�,若一致���,則執(zhí)行步驟1.6.3 ;否則終止本次注冊(cè)的后續(xù)操作���,解除鏈路;
[0055]步驟1.6.3:提取證書(shū)驗(yàn)證結(jié)果字段和認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果字段的簽名兩個(gè)字段���,查看SIP終端的證書(shū)驗(yàn)證結(jié)果來(lái)決定是否允許接入����,如果允許��,執(zhí)行步驟1.6.4 ;否則執(zhí)行步驟1.6.5 ;
[0056]步驟1.6.4:生成密鑰材料和SIP終端的接入成功結(jié)果���,生成并封裝接入認(rèn)證響應(yīng)分組n5�����,且SIP服務(wù)器按照主密鑰導(dǎo)出算法來(lái)計(jì)算得到主密鑰和下一次認(rèn)證標(biāo)識(shí)字段�;
[0057]步驟1.6.5:生成SIP終端的接入失敗結(jié)果,生成并封裝接入認(rèn)證響應(yīng)分組n5�����。
[0058]進(jìn)一步,步驟1.7中SIP終端驗(yàn)證接入認(rèn)證響應(yīng)消息M6的合法性的具體實(shí)現(xiàn)為���,SIP終端對(duì)接入認(rèn)證響應(yīng)分組n5進(jìn)行驗(yàn)證:
[0059]步驟1.7.1:利用SIP服務(wù)器公鑰證書(shū)副本中的公鑰對(duì)SIP服務(wù)器簽名進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)�,則執(zhí)行步驟1.7.2 ;否則終止本次注冊(cè)后續(xù)操作,解除鏈路���;
[0060]步驟1.7.2 =SIP終端隨機(jī)數(shù)和SIP服務(wù)器隨機(jī)數(shù)與證書(shū)認(rèn)證請(qǐng)求分組n3或認(rèn)證激活分組nl中的相應(yīng)字段是否一致����,若一致�����,則執(zhí)行步驟1.7.3 ;否則終止本次注冊(cè)后續(xù)操作����,解除鏈路���;
[0061]步驟1.7.3:取出證書(shū)驗(yàn)證結(jié)果字段以及認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證字段的簽名字段����,利用認(rèn)證服務(wù)器公鑰證書(shū)副本中的的公鑰來(lái)驗(yàn)證上述簽名字段的正確性,驗(yàn)證通過(guò)��,則執(zhí)行步驟1.7.4 ;否則終止本次注冊(cè)后續(xù)操作�����,解除鏈路���;
[0062]步驟1.7.4:查看SIP服務(wù)器證書(shū)驗(yàn)證結(jié)果字段和接入結(jié)果字段�,如果SIP服務(wù)器證書(shū)驗(yàn)證結(jié)果正確并且接入結(jié)果也為允許�����,則SIP終端按照與SIP服務(wù)器相同的主密鑰導(dǎo)出算法來(lái)計(jì)算得到主密鑰和下一次認(rèn)證標(biāo)識(shí)字段�。
[0063]進(jìn)一步,所述步驟2的具體實(shí)現(xiàn)如下:
[0064]步驟2.1 =SIP服務(wù)器向SIP終端發(fā)送單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7 �;
[0065]步驟2.2:SIP終端對(duì)接收到的單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)�,則生成單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息M8,并發(fā)送給SIP服務(wù)器����;
[0066]步驟2.3:SIP服務(wù)器對(duì)接收的單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息M8進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)�,則生成單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息M9,并發(fā)送給SIP終端��;
[0067]步驟2.4:SIP終端對(duì)接收到單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息M9進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò),向SIP服務(wù)器發(fā)送確認(rèn)消息MlO��。
[0068]采用上述進(jìn)一步方案的有益效果:單播密鑰和安全會(huì)話協(xié)商過(guò)程���,設(shè)備之間通過(guò)雙向認(rèn)證協(xié)商建立一個(gè)可信的會(huì)話通道���,為接下來(lái)的安全通信做好準(zhǔn)備���,并且協(xié)商出共享密鑰���,后續(xù)的安全通信依賴(lài)該雙方共享的密鑰來(lái)加密數(shù)據(jù)實(shí)現(xiàn)傳輸安全���,一次認(rèn)證實(shí)現(xiàn)視頻信令流和媒體流雙通道認(rèn)證。
[0069]進(jìn)一步,所述單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7攜帶單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組n6����,所述單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息M8攜帶單播密鑰和安全會(huì)話協(xié)商響應(yīng)分組n7,所述單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息M9攜帶單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組n8 ����;
[0070]所述單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組n6包括MKID、ADDID地址索引��、SIP服務(wù)器生成的隨機(jī)數(shù)和SIP服務(wù)器簽名��;
[0071 ] 所述單播密鑰和安全會(huì)話協(xié)商響應(yīng)分組n7包括標(biāo)識(shí)FLAG��、MKID�����、ADDID地址索引���、SIP終端生成的隨機(jī)數(shù)��、SIP服務(wù)器生成的隨機(jī)數(shù)����、SIP終端的RTP/RTCP信息和單播數(shù)據(jù)消息認(rèn)證碼MIC ;
[0072]所述單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組n8包括標(biāo)識(shí)FLAG�����、MKID����、ADDID地址索引、SIP終端生成的隨機(jī)數(shù)�����、密鑰協(xié)商結(jié)果和單播數(shù)據(jù)消息認(rèn)證碼MIC ����;
[0073]其中,MKID為主密鑰ID��。
[0074]進(jìn)一步�,步驟2.2中SIP終端對(duì)接收到的單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7進(jìn)行驗(yàn)證的具體實(shí)現(xiàn)為,SIP終端對(duì)單播密鑰和安全會(huì)話協(xié)商分組n6進(jìn)行驗(yàn)證:
[0075]步驟2.2.1:利用SIP服務(wù)器證書(shū)的公鑰驗(yàn)證SIP服務(wù)器簽名�,驗(yàn)證通過(guò)��,則執(zhí)行步驟2.2.2 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程;
[0076]步驟2.2.2:按照雙方約定的算法來(lái)計(jì)算MKID����,并驗(yàn)證其是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組n6相應(yīng)字段一致,若一致�����,則執(zhí)行步驟2.2.3 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程�;
[0077]步驟2.2.3:生成新的隨機(jī)數(shù),并按照約定的單播密鑰導(dǎo)出算法來(lái)計(jì)算得到單播密鑰�����,生成并封裝單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組π7����。
[0078]進(jìn)一步,步驟2.3中SIP服務(wù)器對(duì)接收的單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息Μ8進(jìn)行驗(yàn)證的具體實(shí)現(xiàn)為����,SIP服務(wù)器對(duì)單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組η7進(jìn)行驗(yàn)證:
[0079]步驟2.3.1:檢查單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組η7中的MKID是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組π6中的MKID —致,若一致��,則執(zhí)行步驟2.3.2 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程;
[0080]步驟2.3.2:按照雙方約定的單播密鑰導(dǎo)出算法計(jì)算得到單播密鑰����,利用單播密鑰對(duì)單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組η7的數(shù)據(jù)通過(guò)HMAC-SHA256算法生成消息認(rèn)證碼,并驗(yàn)證該消息認(rèn)證碼是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組π6中的消息認(rèn)證碼字段一致�,若一致,則執(zhí)行步驟2.3.3 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程�;
[0081]步驟2.3.3 =SIP服務(wù)器使用單播密鑰來(lái)解密得到SIP終端的RTP/RTCP信息后保存起來(lái),生成并封裝單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組η8���。
[0082]進(jìn)一步���,步驟2.4中SIP終端對(duì)接收到單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息Μ9進(jìn)行驗(yàn)證的具體實(shí)現(xiàn)為,SIP終端對(duì)單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組η8進(jìn)行驗(yàn)證:
[0083]步驟2.4.1:檢查單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組中的MKID是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組π6中的MKID —致�����,若一致�����,則執(zhí)行步驟2.4.2 ;否則終止本次協(xié)商過(guò)程�;
[0084]步驟2.4.2:利用協(xié)商得到的單播密鑰對(duì)單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息M9中的消息認(rèn)證碼進(jìn)行驗(yàn)證,如果正確則實(shí)現(xiàn)驗(yàn)證�,否則驗(yàn)證不通過(guò)��,終止本次協(xié)商過(guò)程�。
[0085]進(jìn)一步�,所述步驟4中需要進(jìn)行信息交互的SIP終端間通過(guò)點(diǎn)到點(diǎn)認(rèn)證令牌交換進(jìn)行雙向身份認(rèn)證�,實(shí)現(xiàn)鏈路認(rèn)證的具體步驟如下:
[0086]步驟4.1:兩個(gè)SIP終端交換點(diǎn)對(duì)點(diǎn)認(rèn)證令牌;
[0087]步驟4.2:兩個(gè)SIP終端分別利用單播數(shù)據(jù)完整性密鑰驗(yàn)證對(duì)方的點(diǎn)對(duì)點(diǎn)認(rèn)證令牌中的單播數(shù)據(jù)消息認(rèn)證碼�����,驗(yàn)證通過(guò)�,則執(zhí)行步驟4.3 ;否則返回步驟4.1,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不通過(guò)的話則終止本次點(diǎn)對(duì)點(diǎn)認(rèn)證過(guò)程��;
[0088]步驟4.3:檢查兩SIP終端之間單播數(shù)據(jù)完整性密鑰索引字段是否與自己當(dāng)前所認(rèn)同的一致���,如果一致�����,則執(zhí)行步驟4.4;否則返回步驟4.1��,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不通過(guò)的話則終止本次點(diǎn)對(duì)點(diǎn)認(rèn)證過(guò)程��;
[0089]步驟4.4:檢查對(duì)方的當(dāng)前系統(tǒng)時(shí)間與自己的系統(tǒng)時(shí)間之差�����,如果在預(yù)定接受的范圍內(nèi)�����,則完成點(diǎn)對(duì)點(diǎn)認(rèn)證令牌驗(yàn)證工作�����,實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)認(rèn)證���;否則返回步驟4.1�����,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不通過(guò)的話則終止本次點(diǎn)對(duì)點(diǎn)認(rèn)證過(guò)程�����。
[0090]采用上述進(jìn)一步方案的有益效果:基于之前的單播密鑰與安全會(huì)話協(xié)商過(guò)程得到的安全會(huì)話信息���,點(diǎn)對(duì)點(diǎn)認(rèn)證令牌交換進(jìn)行雙向身份認(rèn)證過(guò)程,可為接下來(lái)的視頻安全傳輸建立一個(gè)可信會(huì)話通道���,SIP終端之間的直接點(diǎn)對(duì)點(diǎn)認(rèn)證操作�����,與現(xiàn)有基于SIP服務(wù)器的認(rèn)證方式相比�,大大減少了通信過(guò)程中的中間人攻擊威脅。
[0091]進(jìn)一步���,步驟6中所述注銷(xiāo)認(rèn)證的具體過(guò)程如下:
[0092]步驟6.1 =SIP終端向SIP服務(wù)器發(fā)送注銷(xiāo)請(qǐng)求消息Mll ;
[0093]步驟6.2 =SIP服務(wù)器收到注銷(xiāo)請(qǐng)求消息Mll后生成一個(gè)挑戰(zhàn)隨機(jī)數(shù)nonce����,并生成注銷(xiāo)響應(yīng)消息M12發(fā)給SIP終端;
[0094]步驟6.3:SIP終端按照以下方式計(jì)算并重新封裝注銷(xiāo)請(qǐng)求消息M13發(fā)送給SIP服務(wù)器�;
[0095]HAl = SHA256[username realm password]
[0096]HA2 = SHA256[methodI | (to:field)]
[0097]Response = SHA256 [HAl nonce HA2]
[0098]其中,username為SIP終端的用戶名���,realm為SIP終端所屬的SIP監(jiān)控域����;password為SIP終端的秘密口令�;method為消息類(lèi)型,to:field為接收者的賬戶信息����,nonce為SIP服務(wù)器生成的隨機(jī)數(shù)���;
[0099]步驟6.4:SIP服務(wù)器驗(yàn)證挑戰(zhàn)隨機(jī)數(shù)nonce,從數(shù)據(jù)庫(kù)中讀取username所對(duì)應(yīng)的password, SIP服務(wù)器按照與SIP終端相同的方式來(lái)計(jì)算得到Response’,并對(duì)比Response與Response’是否一致,若一致,則注銷(xiāo)認(rèn)證成功��。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0100]圖1為本發(fā)明所述SIP安防視頻監(jiān)控系統(tǒng)結(jié)構(gòu)圖���;
[0101]圖2為本發(fā)明所述狀態(tài)轉(zhuǎn)換圖����;
[0102]圖3為本發(fā)明所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法流程圖����;
[0103]圖4為本發(fā)明所設(shè)備及用戶身份認(rèn)證和單播密鑰與安全會(huì)話協(xié)商流程示意圖;
[0104]圖5為本發(fā)明所述場(chǎng)景I運(yùn)行狀態(tài)轉(zhuǎn)換圖����;
[0105]圖6為本發(fā)明所述場(chǎng)景3運(yùn)行狀態(tài)轉(zhuǎn)換圖。
【具體實(shí)施方式】
[0106]以下結(jié)合附圖對(duì)本發(fā)明的原理和特征進(jìn)行描述��,所舉實(shí)例只用于解釋本發(fā)明��,并非用于限定本發(fā)明的范圍�。
[0107]如圖1所示��,設(shè)定網(wǎng)絡(luò)中三個(gè)網(wǎng)絡(luò)元素(A����、B�����、C元)�����,每一個(gè)元對(duì)應(yīng)網(wǎng)絡(luò)中的一類(lèi)網(wǎng)絡(luò)實(shí)體�,解釋如下:
[0108]A元SIP終端(支持SIP協(xié)議的SIP攝像機(jī)IPC�、SIP網(wǎng)絡(luò)硬盤(pán)錄像機(jī)NVR、SIP用戶客戶端Client)�,即支持SIP信令協(xié)議的攝像機(jī)、網(wǎng)絡(luò)硬盤(pán)錄像機(jī)和用戶客戶端�����,由于SIP終端中都運(yùn)行SIP會(huì)話所需的核心程序即SIP用戶代理(SIP User Agent, SIP UA)程序�����,因此,在本專(zhuān)利中�����,SIP終端等同于SIP UA�,SIP終端和SIP UA都是相對(duì)于SIP服務(wù)器來(lái)說(shuō)的。其中����,
[0109]SIP攝像機(jī),本專(zhuān)利中簡(jiǎn)稱(chēng)為IPC���,一種包括視頻采集模塊�����、視頻處理模塊及信息安全處理模塊���、視頻存儲(chǔ)模塊、通信模塊的網(wǎng)絡(luò)攝像機(jī)��。視頻采集模塊負(fù)責(zé)完成視頻采集相關(guān)工作����。視頻處理模塊負(fù)責(zé)對(duì)攝像機(jī)采集的媒體流數(shù)據(jù)進(jìn)行預(yù)處理����、壓縮編碼等相關(guān)工作����。信息安全處理模塊負(fù)責(zé)攝像機(jī)設(shè)備的身份鑒別,以及對(duì)媒體流數(shù)據(jù)�����、信令流數(shù)據(jù)進(jìn)行加解密和數(shù)據(jù)完整性保護(hù)等安全操作��。視頻存儲(chǔ)模塊負(fù)責(zé)將經(jīng)過(guò)處理后的媒體流數(shù)據(jù)進(jìn)行本地存儲(chǔ)��。通信模塊負(fù)責(zé)將經(jīng)過(guò)處理后的媒體流數(shù)據(jù)��、信令流數(shù)據(jù)等所有數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸�。
[0110]SIP網(wǎng)絡(luò)硬盤(pán)錄像機(jī)���,本專(zhuān)利中簡(jiǎn)稱(chēng)NVR���,提供實(shí)時(shí)媒體流(包括音/視頻流)的轉(zhuǎn)發(fā)服務(wù),提供媒體流的存儲(chǔ)�����、歷史信息的檢索和點(diǎn)播服務(wù)。媒體服務(wù)器接收來(lái)自SIP攝像機(jī)或其他媒體服務(wù)器等設(shè)備的密文媒體數(shù)據(jù)��,并根據(jù)指令����,將這些數(shù)據(jù)轉(zhuǎn)發(fā)到其他單個(gè)或多個(gè)SIP用戶客戶端和SIP網(wǎng)絡(luò)硬盤(pán)錄像機(jī)。
[0111]SIP用戶客戶端,本專(zhuān)利中簡(jiǎn)稱(chēng)Client,具有接收�����、解密和播放碼流等功能的客戶端設(shè)備�����,主要包括用戶界面����、用戶代理(SIP邏輯終端實(shí)體)、信息安全處理模塊(如以USBKey形式存在)����、媒體解碼模塊和媒體通信模塊。
[0112]B元一SIP服務(wù)器(集SIP代理服務(wù)器、SIP重定向服務(wù)器��、SIP位置服務(wù)器�、SIP注冊(cè)服務(wù)器等邏輯功能和實(shí)體為一體的SIP服務(wù)器平臺(tái)),本專(zhuān)利中簡(jiǎn)稱(chēng)SIP Server,主要負(fù)責(zé)創(chuàng)建和維護(hù)SIP會(huì)話�����,并控制SIP終端的網(wǎng)絡(luò)接入����。
[0113]C元---后臺(tái)網(wǎng)絡(luò)的認(rèn)證服務(wù)器Radius Server (也可為Diameter Server),本專(zhuān)利中簡(jiǎn)稱(chēng)認(rèn)證服務(wù)器,負(fù)責(zé)為SIP終端和SIP服務(wù)器等網(wǎng)絡(luò)實(shí)體簽發(fā)公鑰證書(shū)��,并且作為在線可信第三方認(rèn)證服務(wù)器����,為其他網(wǎng)絡(luò)實(shí)體提供實(shí)體身份鑒別服務(wù)。
[0114]在SIP服務(wù)器中運(yùn)行有Radius client (或Diameter Client),負(fù)責(zé)與認(rèn)證服務(wù)器Radius Server (或 Diameter Server)進(jìn)行通信�����。
[0115]如圖2所示���。網(wǎng)絡(luò)中的每一個(gè)設(shè)備為與自己直接通信的設(shè)備之間的通信維護(hù)兩個(gè)狀態(tài)變量:鏈路認(rèn)證狀態(tài)和會(huì)話關(guān)聯(lián)狀態(tài)。這兩個(gè)變量為每個(gè)設(shè)備建立了三種狀態(tài):未鏈路認(rèn)證未會(huì)話關(guān)聯(lián)(初始狀態(tài))、已鏈路認(rèn)證未會(huì)話關(guān)聯(lián)����、已鏈路認(rèn)證已會(huì)話關(guān)聯(lián)。
[0116]如圖3所示�����,一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法����,包括如下步驟:
[0117]步驟1:需入網(wǎng)的SIP終端在SIP服務(wù)器處進(jìn)行三元對(duì)等身份認(rèn)證完成注冊(cè),獲得入網(wǎng)權(quán)限��;
[0118]步驟2:需要進(jìn)行信息交互的SIP終端雙方分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會(huì)話協(xié)商����;
[0119]步驟3 =SIP服務(wù)器分別向需要進(jìn)行信息交互的SIP終端發(fā)送點(diǎn)到點(diǎn)鏈路信息,并下發(fā)相關(guān)密鑰����;
[0120]步驟4:需要進(jìn)行信息交互的SIP終端間通過(guò)點(diǎn)到點(diǎn)認(rèn)證令牌交換進(jìn)行雙向身份認(rèn)證,實(shí)現(xiàn)鏈路認(rèn)證����;
[0121]步驟5:雙向身份認(rèn)證通過(guò)的SIP終端間開(kāi)啟會(huì)話�,進(jìn)行信息交互�����;
[0122]步驟6:當(dāng)SIP終端要離開(kāi)當(dāng)前網(wǎng)絡(luò)時(shí)��,需要在其注冊(cè)的SIP服務(wù)器上進(jìn)行注銷(xiāo)認(rèn)證�����,認(rèn)證通過(guò)則允許離開(kāi)當(dāng)前網(wǎng)絡(luò)��。
[0123]當(dāng)SIP終端(IPC����、NVR、Client)要在SIP Server處注冊(cè)成為一個(gè)合法的設(shè)備時(shí)����,SIP UA提前設(shè)置并經(jīng)安全通道向SIP Server提交用戶名和密碼等信息,這個(gè)安全通道可以是一個(gè)安全的信道也可以是其他的物理手段��,SIPUA的用戶名和密碼是鑒別其身份的一個(gè)輔助手段����,其安全性不在本專(zhuān)利規(guī)定范圍內(nèi)����。建議SIP UA的用戶名和密碼采取預(yù)置手段�,即在SIP UA和SIPServer中都提前預(yù)置����。SIP UA(IPC、NVR���、Client)都離線安裝認(rèn)證服務(wù)器(Radius Server)的公鑰證書(shū)����。
[0124]SIP終端����、SIP服務(wù)器、認(rèn)證服務(wù)器都各自生成自己的公鑰�����、私鑰�;認(rèn)證服務(wù)器為自己簽發(fā)自簽名證書(shū),并經(jīng)安全方式下載到SIP終端和SIP服務(wù)器中�����;SIP終端、SIP服務(wù)器生成證書(shū)簽發(fā)請(qǐng)求(包含自己的公鑰)后發(fā)送給認(rèn)證服務(wù)器���,認(rèn)證服務(wù)器響應(yīng)證書(shū)簽發(fā)請(qǐng)求�,為SIP終端���、SIP服務(wù)器簽發(fā)公鑰證書(shū)��,并分別經(jīng)安全方式將公鑰證書(shū)下發(fā)給相應(yīng)的證書(shū)持有者即SIP終端或SIP服務(wù)器�����。
[0125]下面分別介紹3個(gè)場(chǎng)景來(lái)具體闡述本發(fā)明所述方法的具體實(shí)現(xiàn)過(guò)程�。
[0126]場(chǎng)景1:如圖4��、5所示����,IPC向NVR上傳視頻數(shù)據(jù)的過(guò)程。
[0127]a) SIP UA(此處為NVR)在SIP服務(wù)器處經(jīng)過(guò)三元對(duì)等身份認(rèn)證之后完成注冊(cè)����,【(NVR VS SIP服務(wù)器)狀態(tài)I —狀態(tài)2��,已鏈路認(rèn)證�����、未會(huì)話關(guān)聯(lián)】,該操作具體如下:
[0128]1)M1, SIP UA(此處為NVR)向SIP Server發(fā)送Register注冊(cè)請(qǐng)求消息Ml:消息封裝格式符合RFC3261SIP Register消息格式���。
[0129]2)M2�����,SIP服務(wù)器向SIP UA(此處為NVR)發(fā)送響應(yīng)消息M2:在SIP消息的MessageBody字段中填充三元對(duì)等認(rèn)證過(guò)程中的認(rèn)證激活分組(〈auth active packet〉)�����。
[0130]認(rèn)證激活分組(〈auth active packet?定義如下:
[0131]
【權(quán)利要求】
1.一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法��,其特征在于�����,包括如下步驟: 步驟1:需入網(wǎng)的SIP終端在SIP服務(wù)器處進(jìn)行三元對(duì)等身份認(rèn)證完成注冊(cè)�����,獲得入網(wǎng)權(quán)限����; 步驟2:需要進(jìn)行信息交互的SIP終端雙方分別與SIP服務(wù)器進(jìn)行單播密鑰與安全會(huì)話協(xié)商; 步驟3:SIP服務(wù)器分別向需要進(jìn)行信息交互的SIP終端發(fā)送點(diǎn)到點(diǎn)鏈路信息��,并下發(fā)相關(guān)密鑰����; 步驟4:需要進(jìn)行信息交互的SIP終端間通過(guò)點(diǎn)到點(diǎn)認(rèn)證令牌交換進(jìn)行雙向身份認(rèn)證,實(shí)現(xiàn)鏈路認(rèn)證�; 步驟5:雙向身份認(rèn)證通過(guò)的SIP終端間開(kāi)啟會(huì)話,進(jìn)行信息交互�; 步驟6:當(dāng)SIP終端要離開(kāi)當(dāng)前網(wǎng)絡(luò)時(shí),需要在其注冊(cè)的SIP服務(wù)器上進(jìn)行注銷(xiāo)認(rèn)證����,認(rèn)證通過(guò)則允許離開(kāi)當(dāng)前網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求1所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法�,其特征在于,上述技術(shù)方案還包括設(shè)定認(rèn)證有效期�����,當(dāng)有效期屆滿時(shí),兩個(gè)SIP終端需要進(jìn)行點(diǎn)對(duì)點(diǎn)重認(rèn)證操作���,具體實(shí)現(xiàn)為兩個(gè)SIP終端之間交換點(diǎn)對(duì)點(diǎn)重認(rèn)證令牌����,按照初次認(rèn)證的步驟進(jìn)行重認(rèn)證�;當(dāng)兩個(gè)SIP終端需暫時(shí)關(guān)閉會(huì)話時(shí),兩個(gè)SIP終端需交換點(diǎn)對(duì)點(diǎn)會(huì)話關(guān)閉令牌����,認(rèn)證通過(guò)則關(guān)閉會(huì)話�;當(dāng)兩個(gè)SIP終端要徹底關(guān)閉通信鏈路時(shí),兩個(gè)SIP終端除交換點(diǎn)對(duì)點(diǎn)會(huì)話關(guān)閉令牌之外��,還需要交換點(diǎn)對(duì)點(diǎn)鏈路關(guān)閉令牌���,認(rèn)證通過(guò)時(shí)��,徹底關(guān)閉鏈路�����。
3.根據(jù)權(quán)利要求1所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法���,其特征在于�,所述SIP終端和SIP服務(wù)器中分別預(yù)存有認(rèn)證服務(wù)器簽發(fā)的公鑰證書(shū)和相應(yīng)的私鑰����,且均預(yù)存有認(rèn)證服務(wù)器的公鑰證書(shū)。
4.根據(jù)權(quán)利要求1所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法���,其特征在于���,所述步驟I的具體實(shí)現(xiàn)為: 步驟1.1 =SIP終端向SIP服務(wù)器發(fā)送觸發(fā)注冊(cè)請(qǐng)求消息Ml ; 步驟1.2 =SIP服務(wù)器在收到SIP終端發(fā)送的觸發(fā)注冊(cè)請(qǐng)求Ml后��,向所述SIP終端發(fā)送觸發(fā)注冊(cè)響應(yīng)消息M2; 步驟1.3:所述SIP終端驗(yàn)證觸發(fā)響應(yīng)消息M2的合法性���,若合法����,向SIP服務(wù)器發(fā)送接入認(rèn)證請(qǐng)求M3 ;否則返回步驟1.1 ��; 步驟1.4:SIP服務(wù)器驗(yàn)證所述SIP終端發(fā)送的接入認(rèn)證請(qǐng)求M3的合法性���,若合法����,SIP服務(wù)器向認(rèn)證服務(wù)器發(fā)送證書(shū)認(rèn)證請(qǐng)求M4,執(zhí)行步驟1.5 ;否則��,向SIP終端發(fā)送注冊(cè)失敗的信息���,返回步驟1.1; 步驟1.5:認(rèn)證服務(wù)器驗(yàn)證所述SIP服務(wù)器發(fā)送的證書(shū)認(rèn)證請(qǐng)求M4的合法性����,若合法���,則生成驗(yàn)證結(jié)果并對(duì)驗(yàn)證結(jié)果簽名����,將攜帶已簽名的驗(yàn)證結(jié)果的證書(shū)認(rèn)證響應(yīng)消息M5發(fā)送給SIP服務(wù)器����,執(zhí)行步驟1.6 ;否則����,向SIP服務(wù)器發(fā)送證書(shū)認(rèn)證失敗的信息,返回步驟1.1 ; 步驟1.6:SIP服務(wù)器驗(yàn)證證書(shū)認(rèn)證響應(yīng)消息M5的合法性����,若合法�,則驗(yàn)證認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果的簽名字段的合法性���,若合法���,則查看證書(shū)驗(yàn)證結(jié)果字段中SIP終端的證書(shū)驗(yàn)證結(jié)果,根據(jù)此字段來(lái)決定是否允許SIP終端接入����,進(jìn)而封裝得到接入認(rèn)證響應(yīng)消息M6并發(fā)送給SIP終端,執(zhí)行步驟1.7 ;否則�,向認(rèn)證服務(wù)器發(fā)送認(rèn)證失敗的信息,返回步驟
1.1; 步驟1.7:SIP終端驗(yàn)證接入認(rèn)證響應(yīng)消息M6的合法性���,若合法��,則驗(yàn)證認(rèn)證服務(wù)器對(duì)則證書(shū)驗(yàn)證結(jié)果的簽名字段的合法性���,若合法,則查看證書(shū)驗(yàn)證結(jié)果字段中SIP服務(wù)器的證書(shū)驗(yàn)證結(jié)果��,根據(jù)此字段決定是否接入該SIP服務(wù)器����,如決定接入該SIP服務(wù)器��,則進(jìn)入待會(huì)話狀態(tài)����;否則��,向SIP服務(wù)器發(fā)送認(rèn)證失敗的信息����,返回步驟1.1。
5.根據(jù)權(quán)利要求4所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法��,其特征在于����,所述觸發(fā)響應(yīng)消息M2攜帶認(rèn)證激活分組nl,注冊(cè)請(qǐng)求M3攜帶接入認(rèn)證請(qǐng)求分組n2,所述證書(shū)認(rèn)證請(qǐng)求M4攜帶證書(shū)認(rèn)證請(qǐng)求分組n3,所述證書(shū)認(rèn)證響應(yīng)消息M5攜帶證書(shū)認(rèn)證響應(yīng)分組n4,所述接入認(rèn)證響應(yīng)消息M6攜帶接入認(rèn)證響應(yīng)分組n5 ; 所述認(rèn)證激活分組nl包括標(biāo)識(shí)FLAG�����、認(rèn)證標(biāo)識(shí)�����、SIP服務(wù)器生成的隨機(jī)數(shù)�,認(rèn)證激活時(shí)間、相應(yīng)的認(rèn)證服務(wù)器賬號(hào)�����、E⑶H曲線相關(guān)參數(shù)��、SIP服務(wù)器的公鑰證書(shū)和SIP服務(wù)器簽名�; 所述接入認(rèn)證請(qǐng)求分組n2包括標(biāo)識(shí)FLAG、認(rèn)證標(biāo)識(shí)���、SIP終端生成的隨機(jī)數(shù)�、SIP密鑰數(shù)據(jù)�����、認(rèn)證激活分組nl中的SIP服務(wù)器生成的隨機(jī)數(shù)�、SIP服務(wù)器賬號(hào)、E⑶H曲線相關(guān)參數(shù)����、SIP終端證書(shū)和SIP終端簽名; 所述證書(shū)認(rèn)證請(qǐng)求分組n3包括ADDID地址索引�、n2中SIP終端生成的隨機(jī)數(shù)�、nl中SIP服務(wù)器生成的隨機(jī)數(shù)��、SIP終端證書(shū)�����、SIP服務(wù)器證書(shū)和SIP服務(wù)器簽名�����; 所述證書(shū)認(rèn)證響應(yīng)分組n4包括ADDID地址索引��、證書(shū)驗(yàn)證結(jié)果�、認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果字段的簽名和認(rèn)證服務(wù)器對(duì)本數(shù)據(jù)包的簽名; 所述接入認(rèn)證響應(yīng)分組n5包括標(biāo)識(shí)FLAG��、認(rèn)證標(biāo)識(shí)���、n2中SIP終端生成的隨機(jī)數(shù)���、SIP終端密鑰、nl中SIP服務(wù)器生成的隨機(jī)數(shù)����、SIP服務(wù)器密鑰、接入結(jié)果�����、證書(shū)驗(yàn)證結(jié)果��、認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果的簽名和SIP服務(wù)器簽名��。
6.根據(jù)權(quán)利要求5所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法�,其特征在于,所述認(rèn)證激活分組nl��、接入認(rèn)證請(qǐng)求分組n2和接入認(rèn)證響應(yīng)分組n5中的認(rèn)證標(biāo)識(shí)字段計(jì)算方式為:
auth_id=S\ IA256(/7SIi, So,.ver 十 A/.s'.s'H’ori/SII, 十 77/m:1ve) 其中��,nSIP Server為SIP服務(wù)器生成的隨機(jī)數(shù)�����,Passwordsip UA為預(yù)置在SIP終端和SIP服務(wù)器內(nèi)的對(duì)應(yīng)于SIP終端的用戶名密碼����,Timeactive為認(rèn)證激活時(shí)間。
7.根據(jù)權(quán)利要求5所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法���,其特征在于�,所述SIP服務(wù)器簽名為SIP服務(wù)器用私鑰對(duì)相應(yīng)分組所有字段的簽名;SIP終端簽名為SIP終端用私鑰對(duì)相應(yīng)分組所有字段的簽名���。
8.根據(jù)權(quán)利要求5所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法����,其特征在于���,步驟1.3中SIP終端驗(yàn)證觸發(fā)注冊(cè)響應(yīng)消息M2的合法性的具體實(shí)現(xiàn)為��,SIP終端對(duì)認(rèn)證激活分組η I進(jìn)行驗(yàn)證: 步驟1.3.1:利用SIP服務(wù)器公鑰證書(shū)中的公鑰驗(yàn)證SIP服務(wù)器簽名���,驗(yàn)證通過(guò)則執(zhí)行步驟1.3.2 ;否則終止本次注冊(cè)操作,解除鏈路��; 步驟1.3.2:將認(rèn)證激活時(shí)間與該SIP終端的系統(tǒng)時(shí)間相比�����,驗(yàn)證認(rèn)證激活時(shí)間是否在預(yù)定接受范圍內(nèi)�����,如果是,執(zhí)行步驟1.3.3 ;否則終止本次注冊(cè)操作�,解除鏈路; 步驟1.3.3:按照與SIP服務(wù)器約定的方法計(jì)算認(rèn)證標(biāo)識(shí)���,并與認(rèn)證激活分組nl中相應(yīng)字段進(jìn)行比較,若一致則生成SIP終端隨機(jī)數(shù)和SIP終端密鑰數(shù)據(jù)�����,并封裝得到接入認(rèn)證請(qǐng)求分組n2 ;否則終止本次注冊(cè)操作����,解除鏈路。
9.根據(jù)權(quán)利要求5所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法���,其特征在于����,步驟1.4中SIP服務(wù)器驗(yàn)證所述SIP終端發(fā)送的接入認(rèn)證請(qǐng)求M3的合法性的具體實(shí)現(xiàn)為�,SIP服務(wù)器對(duì)接入認(rèn)證請(qǐng)求分組n2進(jìn)行驗(yàn)證: 步驟1.4.1:利用SIP終端公鑰證書(shū)中的公鑰對(duì)SIP終端簽名進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)����,則執(zhí)行步驟1.4.2 ;否則終止本次注冊(cè)操作,解除鏈路; 步驟1.4.2:檢測(cè)SIP服務(wù)器隨機(jī)數(shù)是否與認(rèn)證激活分組nl中的SIP服務(wù)器生成的隨機(jī)數(shù)一致��,如果一致則執(zhí)行步驟1.4.3 ;否則終止本次注冊(cè)操作���,解除鏈路�; 步驟1.4.3:驗(yàn)證SIP服務(wù)器身份賬號(hào)是否與自己本身賬號(hào)一致���,若一致則生成并封裝證書(shū)認(rèn)證請(qǐng)求分組n3 ;否則終止本次注冊(cè)操作���,解除鏈路。
10.根據(jù)權(quán)利要求5所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法�����,其特征在于��,步驟1.5中認(rèn)證服務(wù)器驗(yàn)證所述SIP服務(wù)器發(fā)送的證書(shū)認(rèn)證請(qǐng)求M4的合法性的具體實(shí)現(xiàn)為�,認(rèn)證服務(wù)器對(duì)證書(shū)認(rèn)證請(qǐng)求分組n3進(jìn)行驗(yàn)證; 步驟1.5.1:利用認(rèn)證服務(wù)器本地保存的SIP服務(wù)器公鑰證書(shū)副本中的公鑰對(duì)SIP服務(wù)器簽名進(jìn)行驗(yàn)證�,驗(yàn)證通過(guò),則執(zhí)行步驟1.5.2 ;否則終止本次認(rèn)證操作�����,解除鏈路; 步驟1.5.2:分別驗(yàn)證SIP終端證書(shū)和SIP服務(wù)器證書(shū)���,驗(yàn)證通過(guò)�����,則執(zhí)行步驟1.5.3 ;否則終止本次認(rèn)證操作,解除鏈路����; 步驟1.5.3:生成證書(shū)驗(yàn)證結(jié)果,并利用認(rèn)證服務(wù)器的私鑰對(duì)證書(shū)驗(yàn)證結(jié)果簽名��,生成并封裝證書(shū)認(rèn)證響應(yīng)分組n4���。
11.根據(jù)權(quán)利要求5所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法�,其特征在于�����,步驟1.6中SIP服務(wù)器驗(yàn)證證書(shū)認(rèn)證響應(yīng)消息M5的合法性的具體實(shí)現(xiàn)為�,SIP服務(wù)器對(duì)證書(shū)認(rèn)證響應(yīng)分組n4進(jìn)行驗(yàn)證: 步驟1.6.1:利用認(rèn)證服務(wù)器公鑰證書(shū)副本中的公鑰對(duì)證書(shū)認(rèn)證響應(yīng)分組n4中認(rèn)證服務(wù)器簽名進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)�����,則執(zhí)行步驟1.6.2 ;否則終止本次注冊(cè)的后續(xù)操作,解除鏈路����; 步驟1.6.2:檢測(cè)SIP終端隨機(jī)數(shù)和SIP服務(wù)器隨機(jī)數(shù)與證書(shū)認(rèn)證請(qǐng)求分組n3中的相應(yīng)字段是否一致,若一致�,則執(zhí)行步驟1.6.3 ;否則終止本次注冊(cè)的后續(xù)操作,解除鏈路�; 步驟1.6.3:提取證書(shū)驗(yàn)證結(jié)果字段和認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證結(jié)果字段的簽名兩個(gè)字段,查看SIP終端的證書(shū)驗(yàn)證結(jié)果來(lái)決定是否允許接入����,如果允許,執(zhí)行步驟1.6.4 ;否則執(zhí)行步驟1.6.5 �; 步驟1.6.4:生成密鑰材料和SIP終端的接入成功結(jié)果,生成并封裝接入認(rèn)證響應(yīng)分組n5��,且SIP服務(wù)器按照主密鑰導(dǎo)出算法來(lái)計(jì)算得到主密鑰和下一次認(rèn)證標(biāo)識(shí)字段���; 步驟1.6.5:生成SIP終端的接入失敗結(jié)果�,生成并封裝接入認(rèn)證響應(yīng)分組n5����。
12.根據(jù)權(quán)利要求5所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法���,其特征在于,步驟1.7中SIP終端驗(yàn)證接入認(rèn)證響應(yīng)消息M6的合法性的具體實(shí)現(xiàn)為�����,SIP終端對(duì)接入認(rèn)證響應(yīng)分組n5進(jìn)行驗(yàn)證: 步驟1.7.1:利用SIP服務(wù)器公鑰證書(shū)副本中的公鑰對(duì)SIP服務(wù)器簽名進(jìn)行驗(yàn)證�,驗(yàn)證通過(guò),則執(zhí)行步驟1.7.2 ;否則終止本次注冊(cè)后續(xù)操作�,解除鏈路; 步驟1.7.2 =SIP終端隨機(jī)數(shù)和SIP服務(wù)器隨機(jī)數(shù)與證書(shū)認(rèn)證請(qǐng)求分組n3或認(rèn)證激活分組nl中的相應(yīng)字段是否一致��,若一致����,則執(zhí)行步驟1.7.3 ;否則終止本次注冊(cè)后續(xù)操作���,解除鏈路�; 步驟1.7.3:取出證書(shū)驗(yàn)證結(jié)果字段以及認(rèn)證服務(wù)器對(duì)證書(shū)驗(yàn)證字段的簽名字段��,利用認(rèn)證服務(wù)器公鑰證書(shū)副本中的的公鑰來(lái)驗(yàn)證上述簽名字段的正確性����,驗(yàn)證通過(guò)���,則執(zhí)行步驟1.7.4 ;否則終止本次注冊(cè)后續(xù)操作,解除鏈路����; 步驟1.7.4:查看SIP服務(wù)器證書(shū)驗(yàn)證結(jié)果字段和接入結(jié)果字段,如果SIP服務(wù)器證書(shū)驗(yàn)證結(jié)果正確并且接入結(jié)果也為允許�����,則SIP終端按照與SIP服務(wù)器相同的主密鑰導(dǎo)出算法來(lái)計(jì)算得到主密鑰和下一次認(rèn)證標(biāo)識(shí)字段����。
13.根據(jù)權(quán)利要求1所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法,其特征在于�����,所述步驟2的具體實(shí)現(xiàn)如下: 步驟2.1 =SIP服務(wù)器向SIP終端發(fā)送單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7 ����; 步驟2.2 =SIP終端對(duì)接收到的單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)�����,則生成單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息M8,并發(fā)送給SIP服務(wù)器�; 步驟2.3:SIP服務(wù)器對(duì)接收的單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息M8進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)��,則生成單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息M9�,并發(fā)送給SIP終端; 步驟2.4 =SIP終端對(duì)接收到單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息M9進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)���,向SIP服務(wù)器發(fā)送確認(rèn)消息M10�����。
14.根據(jù)權(quán)利要求13所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法,其特征在于�,所述單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7攜帶單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組n6,所述單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息M8攜帶單播密鑰和安全會(huì)話協(xié)商響應(yīng)分組n7�,所述單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息M9攜帶單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組n8 ; 所述單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組n6包括MKID���、ADDID地址索引�����、SIP服務(wù)器生成的隨機(jī)數(shù)和SIP服務(wù)器簽名�; 所述單播密鑰和安全會(huì)話協(xié)商響應(yīng)分組n7包括標(biāo)識(shí)FLAG、MKID����、ADDID地址索引、SIP終端生成的隨機(jī)數(shù)���、SIP服務(wù)器生成的隨機(jī)數(shù)�、SIP終端的RTP/RTCP信息和單播數(shù)據(jù)消息認(rèn)證碼MIC ���; 所述單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組n8包括標(biāo)識(shí)FLAG�、MKID�、ADDID地址索引、SIP終端生成的隨機(jī)數(shù)����、密鑰協(xié)商結(jié)果和單播數(shù)據(jù)消息認(rèn)證碼MIC ; 其中�����,MKID為主密鑰ID。
15.根據(jù)權(quán)利要求14所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法����,其特征在于,步驟2.2中SIP終端對(duì)接收到的單播密鑰和安全會(huì)話協(xié)商請(qǐng)求M7進(jìn)行驗(yàn)證的具體實(shí)現(xiàn)為��,SIP終端對(duì)單播密鑰和安全會(huì)話協(xié)商分組n6進(jìn)行驗(yàn)證: 步驟2.2.1:利用SIP服務(wù)器證書(shū)的公鑰驗(yàn)證SIP服務(wù)器簽名�����,驗(yàn)證通過(guò)�����,則執(zhí)行步驟2.2.2 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程����; 步驟2.2.2:按照雙方約定的算法來(lái)計(jì)算MKID,并驗(yàn)證其是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組n6相應(yīng)字段一致���,若一致,則執(zhí)行步驟2.2.3 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程���; 步驟2.2.3:生成新的隨機(jī)數(shù)�����,并按照約定的單播密鑰導(dǎo)出算法來(lái)計(jì)算得到單播密鑰����,生成并封裝單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組π7。
16.根據(jù)權(quán)利要求14所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法�,其特征在于,步驟2.3中SIP服務(wù)器對(duì)接收的單播密鑰和安全會(huì)話協(xié)商響應(yīng)消息Μ8進(jìn)行驗(yàn)證的具體實(shí)現(xiàn)為�,SIP服務(wù)器對(duì)單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組η7進(jìn)行驗(yàn)證: 步驟2.3.1:檢查單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組η7中的MKID是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組π6中的MKID —致,若一致�����,則執(zhí)行步驟2.3.2 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程���; 步驟2.3.2:按照雙方約定的單播密鑰導(dǎo)出算法計(jì)算得到單播密鑰���,利用單播密鑰對(duì)單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組η7的數(shù)據(jù)通過(guò)HMAC-SHA256算法生成消息認(rèn)證碼,并驗(yàn)證該消息認(rèn)證碼是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組π6中的消息認(rèn)證碼字段一致�,若一致,則執(zhí)行步驟2.3.3 ;否則終止本次單播密鑰協(xié)商和安全會(huì)話協(xié)商過(guò)程�; 步驟2.3.3 =SIP服務(wù)器使用單播密鑰來(lái)解密得到SIP終端的RTP/RTCP信息后保存起來(lái),生成并封裝單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組π8。
17.根據(jù)權(quán)利要求14所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法�����,其特征在于����,步驟2.4中SIP終端對(duì)接收到單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息Μ9進(jìn)行驗(yàn)證的具體實(shí)現(xiàn)為,SIP終端對(duì)單播密鑰與安全會(huì)話協(xié)商確認(rèn)分組η8進(jìn)行驗(yàn)證: 步驟2.4.1:檢查單播密鑰與安全會(huì)話協(xié)商響應(yīng)分組中的MKID是否與單播密鑰與安全會(huì)話協(xié)商請(qǐng)求分組η6中的MKID —致�����,若一致�,則執(zhí)行步驟2.4.2 ;否則終止本次協(xié)商過(guò)程; 步驟2.4.2:利用協(xié)商得到的單播密鑰對(duì)單播密鑰與安全會(huì)話協(xié)商確認(rèn)消息Μ9中的消息認(rèn)證碼進(jìn)行驗(yàn)證�����,如果正確則實(shí)現(xiàn)驗(yàn)證�����,否則驗(yàn)證不通過(guò)�����,終止本次協(xié)商過(guò)程�����。
18.根據(jù)權(quán)利要求1所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法��,其特征在于�,所述步驟4中需要進(jìn)行信息交互的SIP終端間通過(guò)點(diǎn)到點(diǎn)認(rèn)證令牌交換進(jìn)行雙向身份認(rèn)證,實(shí)現(xiàn)鏈路認(rèn)證的具體步驟如下: 步驟4.1:兩個(gè)SIP終端交換點(diǎn)對(duì)點(diǎn)認(rèn)證令牌�����; 步驟4.2:兩個(gè)SIP終端分別利用單播數(shù)據(jù)完整性密鑰驗(yàn)證對(duì)方的點(diǎn)對(duì)點(diǎn)認(rèn)證令牌中的單播數(shù)據(jù)消息認(rèn)證碼����,驗(yàn)證通過(guò),則執(zhí)行步驟4.3 ;否則返回步驟4.1����,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不通過(guò)的話則終止本次點(diǎn)對(duì)點(diǎn)認(rèn)證過(guò)程; 步驟4.3:檢查兩SIP終端之間單播數(shù)據(jù)完整性密鑰索引字段是否與自己當(dāng)前所認(rèn)同的一致���,如果一致���,則執(zhí)行步驟4.4 ;否則返回步驟4.1��,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不通過(guò)的話則終止本次點(diǎn)對(duì)點(diǎn)認(rèn)證過(guò)程�; 步驟4.4:檢查對(duì)方的當(dāng)前系統(tǒng)時(shí)間與自己的系統(tǒng)時(shí)間之差�����,如果在預(yù)定接受的范圍內(nèi)�����,則完成點(diǎn)對(duì)點(diǎn)認(rèn)證令牌驗(yàn)證工作�����,實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)認(rèn)證�����;否則返回步驟4.1��,并當(dāng)執(zhí)行預(yù)定次數(shù)后仍驗(yàn)證不通過(guò)的話則終止本次點(diǎn)對(duì)點(diǎn)認(rèn)證過(guò)程�����。
19.根據(jù)權(quán)利要求1所述一種接入SIP安防視頻監(jiān)控系統(tǒng)的身份認(rèn)證方法����,其特征在于����,步驟6中所述注銷(xiāo)認(rèn)證的具體過(guò)程如下: 步驟6.1 =SIP終端向SIP服務(wù)器發(fā)送注銷(xiāo)請(qǐng)求消息Mll �����; 步驟6.2 =SIP服務(wù)器收到注銷(xiāo)請(qǐng)求消息Mll后生成一個(gè)挑戰(zhàn)隨機(jī)數(shù)nonce�����,并生成注銷(xiāo)響應(yīng)消息M12發(fā)給SIP終端�����; 步驟6.3:SIP終端按照以下方式計(jì)算并重新封裝注銷(xiāo)請(qǐng)求消息M13發(fā)送給SIP服務(wù)器�����;
HAl = SHA256[username I |realm| |password]
HA2 = SHA256[method | (to:field)]
Response = SHA256[HAl nonce HA2] 其中�,username為SIP終端的用戶名�����,realm為SIP終端所屬的SIP監(jiān)控域;password為SIP終端的秘密口令���;meth0d為消息類(lèi)型�����,to:field為接收者的賬戶信息�,nonce為SIP服務(wù)器生成的隨機(jī)數(shù)�; 步驟6.4:SIP服務(wù)器驗(yàn)證挑戰(zhàn)隨機(jī)數(shù)nonce,從數(shù)據(jù)庫(kù)中讀取username所對(duì)應(yīng)的password, SIP服務(wù)器按照與SIP終端相同的方式來(lái)計(jì)算得到Response’,并對(duì)比Response與Response’是否一致,若一致,則注銷(xiāo)認(rèn)證成功���。
【文檔編號(hào)】H04L9/32GK104168267SQ201410354390
【公開(kāi)日】2014年11月26日 申請(qǐng)日期:2014年7月23日 優(yōu)先權(quán)日:2014年7月23日
【發(fā)明者】呂世超, 盧翔, 潘磊, 周新運(yùn), 朱紅松, 石志強(qiáng), 江再偉 申請(qǐng)人:中國(guó)科學(xué)院信息工程研究所