本发明专利技术提供一种基于国密的SIP安全认证的方法,包括下述步骤:SIP客户端向SIP服务器发送带国密算法信息的注册数据包;SIP服务器回应一个401未认证数据包,并带有自己的国密SM2公钥证书;SIP客户端收到401未认证数据包,对用户密码相关字段使用SM3算法进行哈希,并对数据进行SM2签名;将签名后数据发给SIP服务器,内含有SIP客户端SM2公钥证书;SIP服务器使用对方SIP客户端的SM2公钥进行解密,并验证,验证完成之后携带自己和对方SIP客户端的国密SM2公钥证书发给认证服务器;认证服务器对SIP客户端的SM2公钥证书和SIP服务器的SM2公钥证书进行验证,并利用认证服务器SM2私钥证书中的SM2私钥对验证结果进行签名并将签名后数据发回给SIP服务器等。
【技术实现步骤摘要】
本专利技术涉及一种安全认证方法,尤其是一种基于国密的SIP安全认证的方法,可 以使用在各种SIP系统应用的多媒体业务中如视频监控、视频会议、语音通话等。
技术介绍
随着信息技术的发展,人们对于各种系统的需求不断地扩大,各种系统也是不断 地在各个领域铺张开来,尤其是多媒体领域,但是随着系统的复杂化和多样化,安全的弊端 越来越凸显,当今社会信息安全问题层出不穷,美国的"棱镜门"事件让政府、企业和个人对 于安全越来越重视。 在当今的信息环境下,由于考虑到信息安全对国家安全起到相当重要的影响,国 家专门出台了《商用密码管理条例》,规定国内系统中专门使用的几种密码算法一一称为国 密算法,国密资质认证不向外企开放,从而让国外芯片公司遭遇政策壁皇。此外,即使在使 用相同算法的情况下,国家信息产业管理部门对民族信息安全产业提出了在关键领域优先 使用国产算法的要求。中国从"十五"期间开始,把自主研发信息安全领域的核心芯片作为 超大规模集成电路重大专项的重要内容之一。由此可见,具有国产算法的安全芯片,在国内 有很大优势。
技术实现思路
本专利技术的目的在于提供一种基于国密的SIP安全认证的方法,可以在各种SIP系 统应用的业务中设置相应的国密证书,为SIP系统提高安全性能,增加安全加密套件,实现 SIP系统对国密的支持。本专利技术采用的技术方案是: -种基于国密的SIP安全认证的方法,包括下述步骤: 步骤1:SIP客户端向SIP服务器发送带国密算法信息的注册数据包; 步骤2:SIP服务器检测到没有带有用户信息,回应一个401未认证数据包,并带有 自己的国密SM2公钥证书; 步骤3:SIP客户端收到401未认证数据包,对用户密码相关字段使用SM3算法进 行哈希,并对数据进行SM2签名;将签名后数据发给SIP服务器,内含有SIP客户端SM2公 钥证书; 步骤4,SIP服务器收到SIP客户端发来的数据后,使用对方SIP客户端的SM2公 钥进行解密,并验证,验证完成之后携带自己和对方SIP客户端的国密SM2公钥证书发给认 证服务器; 步骤5 :认证服务器对SIP客户端的SM2公钥证书和SIP服务器的SM2公钥证书 进行验证,并利用认证服务器SM2私钥证书中的SM2私钥对验证结果进行签名并将签名后 数据发回给SIP服务器; 步骤6:SIP服务器对验证结果用认证服务器的SM2公钥进行验证,验证完成之后 利用自己的SM2私钥进行签名并返回给SIP客户端; 步骤7 :SIP客户端对SIP服务器返回的信息利用SIP服务器的SM2公钥进行验证, 验证正确,再利用认证服务器的SM2公钥进行其中认证结果的验签,正确之后完成SIP客户 端和SIP服务器的双向认证。 进一步地,所述基于国密的SIP安全认证的方法中,采用的国密算法包括SM2公私 钥算法,SM3摘要算法,SM4对称加密算法,SIP客户端、SIP服务器和认证服务器都配有相 应的SM2证书公私钥。 进一步地,步骤1中,SIP客户端向SIP服务器发送注册请求时需要提供国密算法 的相应信息,以便SIP服务器去匹配相应的能力加解密算法。 进一步地,步骤2中,SIP服务器回应401未认证数据包时会匹配对应SIP客户端 国密算法的能力,进行相应的操作,并会附带自己的国密SM2公钥证书,以便SIP客户端对 SIP服务器身份的确认。 进一步地,步骤5中,认证服务器接收到SIP客户端的SM2公钥证书和SIP服务器 的SM2公钥证书之后相对其信息利用SIP服务器的SM2公钥进行验签,验签正确之后对该 两个SM2公钥证书进行验证,验证之后对其结果进行签名并发回给SIP服务器。 本专利技术的优点在于:本专利技术可以使用在各种SIP系统应用的多媒体业务中如视频 监控、视频会议、语音通话等,设备预置相应的国密证书,中间摘要加密使用相应的国密算 法,为SIP系统提高安全性能,增加安全加密套件,实现SIP系统对国密的支持。【附图说明】 图1为本专利技术方法步骤流程图。 图2为本专利技术算法图。【具体实施方式】 下面结合具体附图和实施例对本专利技术作进一步说明。 如图1所示,为本专利技术方法步骤流程图;图2为本专利技术方法的算法图。 中国的国密算法包括SM1算法、SM2算法、SM3算法、SM4算法。SIP为Session InitiationProtocol(会话初始协议)。 本专利技术提出的基于国密的SIP安全认证的方法,包括如下步骤: 步骤1 :SIP客户端发起注册请求,发送Register数据包,其中该Register数据包 中不携带用户信息,Register数据包中携带国密算法信息;Register数据包的algorithm域中修改调整algorithm= "A:RSA/ECB/ PKCS1,RSA/CBC/PKCS1 ;H:SHA1,MD5,SHA256 ;S:DES/ECB/PKCS5,DES/CBC/PKCS5, 3DES/ ECB/PKCS5, 3DES/CBC/PKCS5,SCB2〃 字段改为国密算法标识:algorithm= "A:SM2/ECB/PKCS1,SM2/CBC/PKCS1 ;H:SM3 ;S:DES/ECB/PKCS5,DES/ CBC/PKCS5, 3DES/ECB/PKCS5, 3DES/CBC/PKCS5,SCB2"A:指明非对称算法可以为国密SM2算法,H:指明摘要算法可以为国密SM3算法。 步骤2 :SIP服务器收到客户端的注册请求,产生随机数nSIPS_jP激活时 间Timeaetive,并对该随机数nSIPSOTVOT、用户密码PasswordSIPUA (用户密码是SIP客户端 预留在SIP服务器上的)和激活时间Timeac;tive;进行SM3摘要哈希过程生成auth_id, _W=SM3(Hsn>Se而十Pfl^wordsn)UA十77weaetiYe ),并利用SM2算法生成密钥交换参数 EO)H_para,并把 8111:11_1(1、11511^1^、1';16£1。咖,认证服务器标识43_1(1、£0)1^3四、和31?服 务器SM2 公钥证书CertSIPServer 进行结合成消息VLVfauthjdl|nSIPServer| |Timeaetive| |AS_ id| |ECDH_para| |CertSIPSOTVOT,并使用SIP服务器SM2私钥证书中提取的SM2私钥进行签名 生成V2,V2=Sign(VJ,并附到该消息VI后面生成消息M2,M2={V丨| |VJ,并把该消息M2 发给SIP客户端。 步骤3 :SIP客户端收到SIP服务器消息M2之后使用SIP服务器的SM2公钥利用 V2对VI进行验签,验证Timeac;tiTC是否在阈值时间内,如果不在阈值内,就判断可能是被重 放攻击从而抛弃该消息M2,并利用预置的用户信息(用户名和用户密码)j#nSIPS_"、用户 密码和Timeac;tive进行同样的SM3摘要哈希过程,也生成一个auth_id,与从SIP服务器那边 收到的对应的值对比是否一致,如果一致则进行下一步操作,生成随机数nSIPUA和SM2密钥 父换参数keydataSiPUA,把auth_id、nSiPUA、keydataSiPUA,nSi本文档来自技高网...
【技术保护点】
一种基于国密的SIP安全认证的方法,其特征在于,包括下述步骤:步骤1:SIP客户端向SIP服务器发送带国密算法信息的注册数据包;步骤2:SIP服务器检测到没有带有用户信息,回应一个401未认证数据包,并带有自己的国密SM2公钥证书;步骤3:SIP客户端收到401未认证数据包,对用户密码相关字段使用SM3算法进行哈希,并对数据进行SM2签名;将签名后数据发给SIP服务器,内含有SIP客户端SM2公钥证书;步骤4,SIP服务器收到SIP客户端发来的数据后,使用对方SIP客户端的SM2公钥进行解密,并验证,验证完成之后携带自己和对方SIP客户端的国密SM2公钥证书发给认证服务器;步骤5:认证服务器对SIP客户端的SM2公钥证书和SIP服务器的SM2公钥证书进行验证,并利用认证服务器SM2私钥证书中的SM2私钥对验证结果进行签名并将签名后数据发回给SIP服务器;步骤6:SIP服务器对验证结果用认证服务器的SM2公钥进行验证,验证完成之后利用自己的SM2私钥进行签名并返回给SIP客户端;步骤7:SIP客户端对SIP服务器返回的信息利用SIP服务器的SM2公钥进行验证,验证正确,再利用认证服务器的SM2公钥进行其中认证结果的验签,正确之后完成SIP客户端和SIP服务器的双向认证。...
【技术特征摘要】
【专利技术属性】
技术研发人员:江再伟,芦翔,汪明伟,吕世超,潘磊,周新运,孙利民,
申请(专利权)人:江苏物联网研究发展中心,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。