專利名稱:一種sip終端的防盜打方法及一種sip服務(wù)器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,尤其涉及的是一種SIP服務(wù)器及SIP終端基于注冊(cè)地址變更確認(rèn)機(jī)制的防盜打方法�����。
背景技術(shù):
現(xiàn)有技術(shù)一的方式是利用SIP (Session Initiation Protocol,會(huì)話發(fā)起協(xié)議)鑒權(quán)進(jìn)行防盜打���,當(dāng)UA (UserAgent,用戶代理(SIP終端系統(tǒng))���,含用戶代理客戶機(jī)UAC (UserAgentClient)和用戶代理服務(wù)器UAS(UserAgentserver)兩部分)在線,在其本地管理域注冊(cè)時(shí)��,就可以與它的注冊(cè)服務(wù)器建立TLS (Transport Layer Security,安全傳輸層協(xié)議)連接��。注冊(cè)服務(wù)器為UA提供證書�,并且�����,此證書標(biāo)識(shí)的站點(diǎn)必須與UA要進(jìn)行注冊(cè)的域相符合��;例如����,如果UA想要注冊(cè)的記錄地址為aliceOatlanta.com,那么站點(diǎn)證書必須標(biāo)識(shí)域中的主機(jī)(如sip.atlanta.com)����。當(dāng)它接收到TLS證書消息時(shí),UA就會(huì)驗(yàn)證證書,并檢查證書標(biāo)識(shí)的站點(diǎn)�。如果證書無效、吊銷或者不能標(biāo)識(shí)合適的當(dāng)事人���,那么UA就不能發(fā)送REGISTER (注冊(cè))消息��,否則將繼續(xù)注冊(cè)�����。當(dāng)注冊(cè)服務(wù)器提供有效證書時(shí)���,UA知道該注冊(cè)服務(wù)器不是對(duì)UA進(jìn)行重定向���、盜竊口令或試圖一些類似攻擊的攻擊者。隨后UA創(chuàng)建一個(gè)REGISTER請(qǐng)求��,應(yīng)該說明注冊(cè)服務(wù)器接收的站點(diǎn)證書對(duì)應(yīng)的Request-URI�����。當(dāng)UA在已有的TLS連接上發(fā)送REGISTER請(qǐng)求時(shí)���,注冊(cè)服務(wù)器應(yīng)該挑戰(zhàn)請(qǐng)求���,返回401 (需要代理認(rèn)證)響應(yīng)。響應(yīng)的Proxy-Authenticate頭字段的realm參數(shù)應(yīng)該與前面站點(diǎn)證書給出的域一致�����。當(dāng)UAC接收到此挑戰(zhàn),它就應(yīng)該提示用戶出示憑證,或者從挑戰(zhàn)的realm參數(shù)對(duì)應(yīng)的密鑰環(huán)中取出適當(dāng)?shù)膽{證�����。證書的用戶名應(yīng)該和REGISTER請(qǐng)求To頭字段URI的USERINF0部分一致���。一旦摘要憑證插入到合適的Proxy-Authenticate頭字段�����,REGISTER就應(yīng)該再提交給注冊(cè)服務(wù)器����。由于注冊(cè)服務(wù)器要求用戶代理對(duì)其進(jìn)行認(rèn)證�����,所以這使攻擊者難于偽造用戶記錄地址的REGISTER請(qǐng)求�。要注意的是,由于REGISTER通過機(jī)密的TLS連接發(fā)送��,所以攻擊者不能夠截獲REGISTER���,記錄憑證用于可能的重放攻擊�����。下面簡(jiǎn)單描述了一個(gè)SIP鑒權(quán)的過程:(I)用戶首次試呼時(shí)�����,終端代理A向代理服務(wù)器發(fā)送REGISTER注冊(cè)請(qǐng)求�;(2)代理服務(wù)器通過后端認(rèn)證/計(jì)費(fèi)中心獲知用戶信息不在數(shù)據(jù)庫(kù)中,便向終端代理回送401 Unauthorized質(zhì)詢信息,其中包含安全認(rèn)證所需的令牌���;( 3 )終端代理提示用戶輸入其標(biāo)識(shí)和密碼后��,根據(jù)安全認(rèn)證令牌將其加密后�,再次用REGISTER消息報(bào)告給代理服務(wù)器�;(4)代理服務(wù)器將REGISTER消息中的用戶信息解密,通過認(rèn)證/計(jì)費(fèi)中心驗(yàn)證其合法后�����,將該用戶信息登記到數(shù)據(jù)庫(kù)中���,并向終端代理A返回成功響應(yīng)消息2000K?,F(xiàn)有技術(shù)二的方式是利用靜態(tài)IP綁定�,在SIP服務(wù)器測(cè)配置用戶模板,對(duì)于每一個(gè)前來注冊(cè)的用戶���,都對(duì)照是否存在模板����,不存在的不允許注冊(cè)。
這個(gè)方案實(shí)現(xiàn)了靜態(tài)的IP地址綁定功能�����,保證了只有模板中指定的合法用戶才可以注冊(cè)成功����,非法用戶無法完成注冊(cè)��,不能盜打電話?���,F(xiàn)有技術(shù)一的缺點(diǎn)是:在SIP中使用HTTP摘要的主要限制之一就是摘要的完整性機(jī)制不能很好地為SIP服務(wù)。特別的��,它們對(duì)Request-URI和消息方法提供保護(hù)�����,但是對(duì)UA希望保護(hù)的一些頭字段卻不提供保護(hù)��。HTTP摘要的另一個(gè)限制就是域的范圍����。SIP鑒權(quán)保證了非法用戶不能夠截獲REGISTER�,但是如果非法用戶通過其他手段獲取了用戶的帳號(hào)信息����,SIP鑒權(quán)是沒有作用的。現(xiàn)有技術(shù)二的缺點(diǎn)是:IP地址綁定都是靜態(tài)配置的���,雖然可以采取批處理文件的方式批量加載�����,但是事先要收集好相關(guān)的IP地址列表等信息�����。因此�����,現(xiàn)有技術(shù)還有待于改進(jìn)和發(fā)展�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種SIP服務(wù)器及SIP終端基于注冊(cè)地址變更確認(rèn)機(jī)制的防盜打方法���,旨在解決現(xiàn)有的兩種防盜打技術(shù)運(yùn)用是的局限性保護(hù)部全面的問題�����。本發(fā)明的技術(shù)方案如下:一種SIP終端基于注冊(cè)地址變更確認(rèn)機(jī)制的防盜打方法��,其中���,包括以下步驟:步驟S1:SIP終端向服務(wù)器注冊(cè)發(fā)送注冊(cè)請(qǐng)求,并執(zhí)行S2;步驟S2:服務(wù)器判斷SIP終端IP地址是否發(fā)生變更��,如果IP地址發(fā)生變更則執(zhí)行步驟S3���,如果終端IP地址沒有發(fā)生變化則繼續(xù)執(zhí)行S5 ���;步驟S3:服務(wù)器向SIP終端原IP地址發(fā)送一個(gè)消息,探詢?cè)璉P地址終端是否還在線�����,并且設(shè)置接收響應(yīng)的超時(shí)時(shí)間�����,并執(zhí)行S4 �;步驟S4:服務(wù)器超時(shí)沒有收到確認(rèn)響應(yīng),允許注冊(cè)IP地址變更��,繼續(xù)執(zhí)行S5 ;月艮務(wù)器超時(shí)前收到原終端的確認(rèn)響應(yīng),禁止地址變更�����,上報(bào)告警或者日志�,提示出現(xiàn)搶注;步驟S5:注冊(cè)地址變更判斷結(jié)束����,SIP終端繼續(xù)標(biāo)準(zhǔn)的注冊(cè)流程;所述的SIP終端基于注冊(cè)地址變更確認(rèn)機(jī)制的防盜打方法�����,其中��,服務(wù)器向原來的地址發(fā)送的響應(yīng)包含警告頭字段���,警告頭字段中記錄IP地址變更信息����。所述的SIP終端基于注冊(cè)地址變更確認(rèn)機(jī)制的防盜打方法��,其中���,所述超時(shí)時(shí)間默認(rèn)設(shè)置為5S�,用戶可以根據(jù)需要進(jìn)行配置。所述的SIP終端基于注冊(cè)地址變更確認(rèn)機(jī)制的防盜打方法�����,其中����,同一個(gè)IP地址連續(xù)多個(gè)注冊(cè)周期無其他地址設(shè)備搶注則默認(rèn)為合法的IP地址�,用戶可以根據(jù)需要進(jìn)行配置,然后固化并記錄�����,不允許其他地址直接更新記錄信息�����,但是可以采用上述確認(rèn)機(jī)制進(jìn)行更新����。本發(fā)明的有益效果:本發(fā)明通過在SIP服務(wù)器上自動(dòng)記錄SIP終端的IP地址和SIP帳號(hào)的對(duì)應(yīng)關(guān)系,并且在注冊(cè)時(shí)增加確認(rèn)機(jī)制來識(shí)別合法用戶����,防止非法用戶搶注����。采用確認(rèn)機(jī)制有效防止搶注����,并且可以記錄搶注信息,方便用戶采取進(jìn)一步措施(比如把搶注用戶或帳號(hào)直接拉進(jìn)黑名單)��。對(duì)于需要變更注冊(cè)IP地址的用戶���,采用確認(rèn)機(jī)制也可以正常使用�����,保證了變更的合法性和有效性��,從而有效的實(shí)現(xiàn)了防止非法用戶盜打的問題�����。
圖1是本發(fā)明提供的方法流程圖�。圖2是本發(fā)明提供的動(dòng)態(tài)識(shí)別合法用戶的過程。圖3描述了注冊(cè)變更的情況下出現(xiàn)搶注的交互流程���。圖4描述了正常的注冊(cè)變更的情況下的交互流程����。
具體實(shí)施例方式為使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點(diǎn)更加清楚�、明確,以下參照附圖并舉實(shí)施例對(duì)本發(fā)明進(jìn)一步詳細(xì)說明�。本發(fā)明所要解決的技術(shù)問題是:用戶帳號(hào)和IP地址綁定后,SIP終端移動(dòng)性的問題����;SIP終端通過DHCP動(dòng)態(tài)獲取IP地址的安全性問題�;以及用戶帳號(hào)被泄露后防止被盜打產(chǎn)生高額話費(fèi)的問題。SIP不是一個(gè)很容易實(shí)現(xiàn)安全的協(xié)議���。媒介的使用���、多面的信任關(guān)系,在完全不信任的元素間的期望用法以及用戶之間的操作,都使得安全問題非常重要�����。今天��,在廣泛變化的環(huán)境和用法中���,需要在不必大量協(xié)調(diào)的情況下部署安全解決方案�。為了滿足這些不同的需要����,需要一些適用于SIP不同方面和用法的特殊機(jī)制。SIP注冊(cè)機(jī)制允許用戶代理向SIP服務(wù)器識(shí)別自己��,SIP服務(wù)器是用于定位用戶(由記錄地址指定)的一個(gè)設(shè)備�����。SIP服務(wù)器評(píng)估REGISTER消息的From頭字段中聲稱的身份�����,確定請(qǐng)求是否能修改To頭字段中與記錄地址相關(guān)聯(lián)的聯(lián)系地址����。如果這兩個(gè)字段相同����,就會(huì)有許多有效部署�,第三方就能代表用戶注冊(cè)聯(lián)系。UA的所有者可任意修改SIP請(qǐng)求的頭字段��,這就為惡意注冊(cè)開了后門�����。攻擊者可以成功地模仿成授權(quán)更改與記錄地址相關(guān)的contact的一方,例如,攻擊者可以取消一個(gè)URI (Universal Resource Identifier,通用資源標(biāo)識(shí)符)的所有現(xiàn)有聯(lián)系的注冊(cè),然后注冊(cè)自己的設(shè)備作為相應(yīng)的聯(lián)系地址�����,從而將被攻擊用戶的所有請(qǐng)求直接發(fā)送到攻擊者的設(shè)備����。因此需要通過在SIP服務(wù)器上通過增加注冊(cè)確認(rèn)機(jī)制來防止非法用戶的搶注�����。參見圖1��,本發(fā)明提供的SIP終端基于注冊(cè)地址變更確認(rèn)機(jī)制的防盜打方法,包括以下步驟:步驟SI =SIP終端向服務(wù)器注冊(cè)發(fā)送注冊(cè)請(qǐng)求����,并執(zhí)行S2 ;步驟S2:服務(wù)器判斷SIP終端IP地址是否發(fā)生變更����,如果IP地址發(fā)生變更則執(zhí)行步驟S3,如果終端IP地址沒有發(fā)生變化則繼續(xù)執(zhí)行S5 ���;步驟S3:服務(wù)器向SIP終端原IP地址發(fā)送一個(gè)消息�,探詢?cè)璉P地址終端是否還在線���,并且設(shè)置接收響應(yīng)的超時(shí)時(shí)間�,并執(zhí)行S4 ����;步驟S4:服務(wù)器超時(shí)沒有收到確認(rèn)響應(yīng),允許注冊(cè)IP地址變更����,繼續(xù)執(zhí)行S5 ;月艮務(wù)器超時(shí)前收到原終端的確認(rèn)響應(yīng),禁止地址變更���,上報(bào)告警或者日志�,提示出現(xiàn)搶注;步驟S5:注冊(cè)地址變更判斷結(jié)束�����,SIP終端繼續(xù)標(biāo)準(zhǔn)的注冊(cè)流程�����。本發(fā)明中的響應(yīng)消息定義如下:注冊(cè)地址變更時(shí)����,發(fā)送給原地址,確認(rèn)原地址終端是否還在使用�。Status-Code: 412 (新增加)Reason-Phrase:Register Modify
示例:Status-Line: SIP/2.0 412Register Modify告警頭定義:Warn-code:399(非新增)警告文本包括了向人提供的或者記錄的任何信息。收到該警告的系統(tǒng)不能采取任何自動(dòng)行動(dòng)���。示例:Warning: 399 is1.edu"Address will be changed byXXXXX〃SIP服務(wù)器等待超時(shí)時(shí)間:本發(fā)明建議超時(shí)時(shí)間可以配置����,默認(rèn)為5S�����,可以根據(jù)本省的網(wǎng)絡(luò)環(huán)境進(jìn)行自由調(diào)M
iF.0以注冊(cè)周期為單位����,連續(xù)注冊(cè)成功次數(shù)作為號(hào)碼合法性判斷條件,同一個(gè)IP地址連續(xù)N個(gè)注冊(cè)周期無其他地址設(shè)備搶注默認(rèn)為合法的IP地址���,然后固化并記錄IP地址和SIP帳號(hào)的對(duì)應(yīng)關(guān)系��,不允許其他地址直接更新記錄信息���,合法用戶的正常更新可以采用上述確認(rèn)機(jī)制。這個(gè)發(fā)明解決了現(xiàn)有技術(shù)二面臨的問題���,實(shí)現(xiàn)了合法IP地址的動(dòng)態(tài)收集��,不需要手動(dòng)收集����,減少了設(shè)備維護(hù)的工作量����。參見圖2,是本發(fā)明提供的一個(gè)動(dòng)態(tài)識(shí)別合法用戶的過程�����,然后把合法用戶直接固化,防止非法用戶搶注��。判斷合法用戶的注冊(cè)周期建議可以配置��,默認(rèn)是8次���,可以根據(jù)網(wǎng)絡(luò)情況實(shí)時(shí)調(diào)整���。該流程包括一下步驟:步驟SI =SIP帳號(hào)首次發(fā)起注冊(cè);步驟S2:服務(wù)器記錄對(duì)應(yīng)的SIP帳號(hào)和IP地址�����,并且進(jìn)行計(jì)數(shù)��,初始計(jì)數(shù)為I ;步驟S3 =SIP帳號(hào)根據(jù)預(yù)先配置的注冊(cè)周期循環(huán)注冊(cè)�����;步驟S4:服務(wù)器每收到一次同樣的注冊(cè)信息進(jìn)行計(jì)數(shù)加I ;步驟S5:服務(wù)器計(jì)數(shù)達(dá)到配置的次數(shù)后����,生成SIP帳號(hào)和IP地址的記錄信息����。注冊(cè)變更的情況下出現(xiàn)搶注的交互流程�。具體流程如圖3�。合法的用戶使用SIP終端時(shí)先發(fā)出注冊(cè)請(qǐng)求,SIP服務(wù)器會(huì)響應(yīng)一個(gè)成功提示�。當(dāng)盜用者盜用合法用戶的SIP帳號(hào)時(shí)也需要發(fā)出注冊(cè)請(qǐng)求,此時(shí)SIP服務(wù)器會(huì)向先注冊(cè)的合法用戶的SIP終端發(fā)出注冊(cè)被修改的確認(rèn)信號(hào)��。此時(shí)SIP終端會(huì)回應(yīng)服務(wù)一個(gè)響應(yīng)消息并且上報(bào)日志和告警��。SIP服務(wù)器收到原SIP終端IP地址的回應(yīng)后則按照盜用現(xiàn)象處理�����,不響應(yīng)變更IP地址的注冊(cè)請(qǐng)求�����,同時(shí)上報(bào)日志和告警���。正常的注冊(cè)變更的情況下的交互流程���。具體流程如圖4����。同一個(gè)用戶在辦公室和家都使用同一個(gè)SIP帳號(hào)��,白天在辦公室注冊(cè)使用����,下班后SIP帳號(hào)下線,回到家中使用家里的IP地址再次發(fā)起注冊(cè)請(qǐng)求���,此時(shí)SIP服務(wù)器會(huì)發(fā)出注冊(cè)被修改的確認(rèn)信息給辦公室的SIP終端�,由于辦公室的SIP終端已經(jīng)下線�,無法回應(yīng)確認(rèn)消息,所以當(dāng)該確認(rèn)信息超過設(shè)定時(shí)間后�����,SIP服務(wù)器會(huì)發(fā)送請(qǐng)求成功的響應(yīng)給用戶在家使用的SIP終端���。本發(fā)明通過在SIP服務(wù)器上自動(dòng)記錄SIP終端的IP地址和SIP帳號(hào)的對(duì)應(yīng)關(guān)系��,并且在注冊(cè)時(shí)增加確認(rèn)機(jī)制來識(shí)別合法用戶���,防止非法用戶搶注����。采用確認(rèn)機(jī)制有效防止搶注���,并且可以記錄搶注信息,方便用戶采取進(jìn)一步措施(比如把搶注用戶直接拉進(jìn)黑名單)�。對(duì)于需要變更IP地址注冊(cè)的用戶,采用確認(rèn)機(jī)制也可以正常使用��,保證了變更的合法性和有效性��。從而有效的實(shí)現(xiàn)了防止非法用戶盜打的問題����。應(yīng)當(dāng)理解的是,本發(fā)明的應(yīng)用不限于上述的舉例���,對(duì)本領(lǐng)域普通技術(shù)人員來說����,可以根據(jù)上述說明加以改進(jìn)或變換�����,所有這些改進(jìn)和變換都應(yīng)屬于本發(fā)明所附權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種SIP終端的防盜打方法�����,其特征在于包括步驟: 步驟S1:SIP終端向服務(wù)器注冊(cè)發(fā)送注冊(cè)請(qǐng)求���,并執(zhí)行S2 ���; 步驟S2:服務(wù)器判斷SIP終端IP地址是否發(fā)生變更,如果IP地址發(fā)生變更則執(zhí)行步驟S3���,如果終端IP地址沒有發(fā)生變化則繼續(xù)執(zhí)行S5 ��; 步驟S3:服務(wù)器向SIP終端原IP地址發(fā)送一個(gè)消息�,探詢?cè)璉P地址終端是否還在線����,并且設(shè)置接收響應(yīng)的超時(shí)時(shí)間,并執(zhí)行S4 �; 步驟S4:服務(wù)器超時(shí)沒有收到確認(rèn)響應(yīng),允許注冊(cè)IP地址變更�����,繼續(xù)執(zhí)行S5 ;服務(wù)器超時(shí)前收到原終端的確認(rèn)響應(yīng),禁止地址變更�����; 步驟S5:注冊(cè)地址變更判斷結(jié)束�����,SIP終端繼續(xù)標(biāo)準(zhǔn)的注冊(cè)流程���。
2.如權(quán)利要求1所述的方法其特征在于步驟S4包括步驟: 步驟4.1:所屬SIP服務(wù)器收到原SIP終端的確認(rèn)消息,判斷發(fā)生搶注事件���,禁止新的IP地址注冊(cè)����,如果沒有收到SIP終端的確認(rèn)消息執(zhí)行步驟4.2 ��; 步驟4.2:所屬SIP服務(wù)器超時(shí)沒有收到SIP終端的確認(rèn)消息����,允許注冊(cè)IP地址發(fā)生變更。
3.如權(quán)利要求1和2所述的方法,其特征在于服務(wù)器在收到IP地址的變更的注冊(cè)請(qǐng)求后�����,向原SIP終端的IP地址發(fā)送確認(rèn)請(qǐng)求��,根據(jù)原SIP終端是否能夠回應(yīng)確認(rèn)響應(yīng)消息來判斷是否發(fā)生搶注�。
4.一種SIP月艮務(wù)器,包括: 注冊(cè)監(jiān)控單元,用于檢測(cè)SIP帳號(hào)對(duì)應(yīng)的注冊(cè)IP地址以及記錄對(duì)應(yīng)IP地址的注冊(cè)次數(shù)�����; 綁定信息維護(hù)單元���,用于記錄SIP帳號(hào)和注冊(cè)IP地址的對(duì)應(yīng)關(guān)系�; 搶注判斷單元����,用于判斷SIP帳號(hào)是否發(fā)生搶注; 搶注處理單元��,用于在SIP帳號(hào)發(fā)生搶注后提供相應(yīng)的處理方法����。
全文摘要
本發(fā)明公開了一種SIP終端的防盜打方法及SIP服務(wù)器�,首先終端向服務(wù)器注冊(cè)發(fā)送注冊(cè)請(qǐng)求�;服務(wù)器判斷地址是否發(fā)生變更,如果地址發(fā)生變更則服務(wù)器向原來的地址發(fā)送一個(gè)響應(yīng)的消息����,向終端確認(rèn)是否還在正常使用,并且設(shè)置一個(gè)超時(shí)時(shí)間��,服務(wù)器超時(shí)沒有收到確認(rèn)字符�,允許地址變更,繼續(xù)下面的注冊(cè)流程����;如果終端實(shí)際上地址沒有發(fā)生變化則終端回應(yīng)一個(gè)確認(rèn)字符給服務(wù)器,同時(shí)上報(bào)告警或者日志�,提示用戶出現(xiàn)搶注��;服務(wù)器收到確認(rèn)字符�����,禁止地址變更����,上報(bào)告警或者日志����,提示出現(xiàn)搶注����。采用本發(fā)明可動(dòng)態(tài)生成合法用戶地址列表,防止非法用戶搶注�,對(duì)于需要變更地址綁定的用戶,采用確認(rèn)機(jī)制����,保證了變更的合法性和有效性。
文檔編號(hào)H04L29/06GK103200200SQ20131013144
公開日2013年7月10日 申請(qǐng)日期2013年4月15日 優(yōu)先權(quán)日2013年4月15日
發(fā)明者顏君志, 黃昊, 吳曉東, 唐小兵 申請(qǐng)人:廣東天波信息技術(shù)股份有限公司