| 发明名称 | 一种SIP视频监控系统安全跨域访问方法 | ||
| 摘要 | 本发明公开了一种SIP视频监控系统跨域访问安全方法,该方法通过扩展RFC3261中定义的INVITE方法,完成跨域路由探测、服务器安全能力协商以及服务器之间的双向身份认证,并且安全传递服务器之间的2个共享密钥,路由探测完成后,通过基于对2个共享密钥以及用户身份等信息的摘要运算保障后续跨域信令来源的合法性,从而保障用户跨域访问的安全;本发明很好的解决了跨域访问面临的安全问题,抵抗了仿冒服务器攻击和重放攻击,并且解决了跨域访问用户单点登录的问题,简洁的安全能力协商和基于摘要认证的信令安全,由于摘要运算本身的高效,因而可达到系统的高效性,保障系统的实时性,具有较强的实用价值。 | ||
| 申请公布号 | CN101729871A | 申请公布日期 | 2010.06.09 |
| 申请号 | CN200910260082.2 | 申请日期 | 2009.12.24 |
| 申请人 | 公安部第一研究所;北京中盾安全技术开发公司 | 发明人 | 陈朝武;栗红梅;张本锋;崔云红;王建勇;赵惠芳;李硕;刘峰;王学华 |
| 分类号 | H04N7/18(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04N7/18(2006.01)I |
| 代理机构 | 北京中海智圣知识产权代理有限公司 11282 | 代理人 | 齐晓静 |
| 主权项 | 一种SIP视频监控系统安全跨域访问方法,其特征在于,包括跨域路由探测时的双向身份认证和后续跨域访问信令认证两个步骤;(1)、跨域路由探测时的双向身份认证:由于SIP协议中没有关于路由信息探测和同步的信令方法,对RFC3261中定义的INVITE方法进行扩展来完成跨域路由的保活,同时实现跨域访问时SIP服务器之间的双向身份认证,并且安全的交换SIP服务器身份标识SEED 12和SEED 21;对RFC3261中定义的方法INVITE信令做如下头域扩展:a)第一个INVITE信令,启用Authorization头域,Authorization的值增加Capability项用来描述SIP服务器(1)的安全能力,当Authorization取值为Capability时,只携带一个参数algorithm,参数algorithm的值分为两部分,中间以逗号分割,第一部分为非对称算法描述,例如取值为RSA;第二部分为摘要算法描述,例如取值为MD5;b)401应答中的WWW-Authenticate头域的值增加Asymmetric项用来携带验证身份的数据,WWW-Authenticate取值为Asymmetric,携带参数nonce和algorithm,algorithm的值取安全能力中指明的算法;c)第二个INVITE信令,启用Authorization头域,Authorization的值增加Asymmetric项用来携带验证身份的数据,Authorization取值为Asymmetric,携带response和algorithm两个参数;d)2000k应答中,启用Authorization头域,Authorization的值增加Asymmetric项用来携带验证身份的数据,Authorization取值为Asymmetric,携带response和algorithm两个参数;(2)采用了挑战-响应模式的基于数字证书的双向身份认证流程:a)SIP服务器(1)向SIP服务器(2)发起INVITE路由探测呼叫,消息头域Authorization中携带SIP服务器(1)的安全能力;b)SIP服务器(2)收到该INVITE消息,产生一个随机数SEED 21,计算nonce值,nonce=E[PUs1,SEED 21],携带nonce参数向SIP服务器(1)发送401消息;c)SIP服务器(1)收到401消息之后,分析nonce,首先计算D[PR sl,nonce](D为解密运算)得到SEED 21,产生一个随机数SEED 12,计算response值,response=A&B,(&为字符串连接分割符),A=E[PU s2,SEED 12],B=H[SEED 12&SEED 21],携带response参数向SIP服务器(2)重新发起呼叫;d)SIP服务器(2)收到再次呼叫INVITE消息,解析response,得到A和B两部分,计算D[PR s2,A],得到SEED 12,计算H[SEED 12&SEED 21]得到的结果与B做比较,如果相同,证明SIP服务器(1)解出了正确的SEED 21,证明了SIP服务器(1)的身份,计算response值,response=H[SEED 12]。携带response参数向SIP服务器(1)发送200ok响应;e)SIP服务器(1)收到200ok响应,计算H[SEED 12]与收到的response比较,如果相同证明SIP服务器(2)解出了正确的SEED 12,证明了SIP服务器(2)的身份,到此完成了SIP服务器之间基于数字证书的双向身份认证,SIP服务器(1)向SIP服务器(2)发ACK响应,路由探测呼叫成功;(3)后续跨域访问信令认证:基于数字证书的路由探测信令完成双向身份认证之后,SIP服务器(1)和SIP服务器(2)就完成了共享密钥SEED 12、SEED 21的交换,当SIP服务器(1)和SIP服务器(2)之间有信令传送时,通过扩展RFC3261标准信令来完成信令认证和跨域用户的漫游;对RFC3261中定义的信令做如下头域扩展:a)增加一个Note头域,Note头域的值为Digest,它有两个参数nonce和algorithm。algorithm表明了nonce所用的摘要算法,nonce的值为H[(From+To+Call-ID+Date+SEED 12+SEED 21+用户身份信息+消息体)];b)增加一个Identity头域,Identity头域的值为Userinfo,它有一个参数attribute,attribute值为A+B+C,A为用户ID,全网统一20位标示符;B为用户URL;C为用户身份属性信息编码。 | ||
| 地址 | 100048 北京市海淀区首都体育馆南路1号 | ||