從ip終端上安全傳送卡號信息到軟交換的方法

2023-10-11 16:26:29 1

專利名稱：從ip終端上安全傳送卡號信息到軟交換的方法
技術領域：
本發明涉及通信技術領域，尤其涉及一種從IP終端上安全傳送卡號信息到軟交換設備的方法。
背景技術：
NGN(下一代網絡)的發展，需要IP終端(基於會話初始協議SIP、基於分組的多媒體通信系統協議H.323等的語音/多媒體通信終端)提供更多的功能，其中之一就是能夠使用卡號進行呼叫。在使用卡號呼叫過程中，傳統的方法是通過IVR(交互式語音響應)放音系統，在撥通接入碼(如17909)後，提示用戶輸入卡號密碼，IP終端先撥接入碼，聽到提示音後，依次輸入卡號、密碼，由IP終端採用音頻信號將密碼送到軟交換，軟交換是NGN網絡的核心設備，實現IP業務的交換控制；再由軟交換將密碼送到Radius(遠程驗證用戶撥入服務)伺服器上進行鑑權，如果通過則允許用戶進行呼叫，否則禁止呼叫。這種方法由於需要放音，速度較慢，用戶需要每次輸入卡號和密碼，使用不方便，並且放音佔用了放音資源，增加了設備成本。
現有的IP終端一般通過SIP協議或H.323協議與軟交換進行通信，SIP協議是在INVITE(邀請用戶加入呼叫消息)鑑權消息中，通過CHAP(質詢握手身份驗證協議)方式傳送終端號碼(ID)和密碼。採用CHAP加密方法，能夠避免建立連接時傳送用戶的真實密碼，主要通過下面幾步，完成對密碼的安全傳送
1)由IP終端發起挑戰(challenge)請求；2)軟交換系統給出響應的隨機數，發送給IP終端；3)IP終端和軟交換系統使用該隨機數作為公共的加密密鑰，將需要傳送的敏感信息進行加密，從IP終端發送到軟交換系統。
H.323協議是在ARQ(接入請求)鑑權消息中使用Option欄位，按CHAP方式或共享密鑰的方式傳送終端ID和密碼。共享密鑰方式，一般是通過人工配置，將客戶端和伺服器端設置出相同的公共密鑰，用於加密要傳送的敏感信息。
現有技術中有的IP終端，將終端的ID和密碼配置在有關文件裡，呼叫時按照SIP或H.323協議的規定自動傳送密碼；同樣也將卡號和密碼配置在文件裡，呼叫時按照SIP或H.323協議的規定自動傳送密碼。這樣不需要放音，速度較快，用戶不需要每次輸入卡號和密碼，使用比較方便。
但現有協議和技術只定義了傳送終端本身ID和密碼的方法，對於卡號呼叫，則沒有定義和考慮，這兩種協議，都只能加密傳送終端自身的ID和密碼，不能一次性將終端的密碼和卡號的密碼加密送到軟交換。對於卡號的密碼只能採用明文傳送，容易被竊取，存在安全隱患。
H.323協議在ARQ消息中，還定義了可以選擇的擴展欄位(又稱非標準數據欄位)，例如，這些擴展欄位可包含Card Number(卡號)、Password(密碼)、User Name(設備ID)等。可以利用協議的擴展性，進行兩次MD5(信息摘要算法)計算，分別對終端ID和卡號進行加密。但在SIP及H.323協議下採用MD5算法進行加密鑑權，而由於MD5算法的不可逆性，無法在軟交換中解析出卡號密碼。為了驗證密碼的正確性，軟交換必須知道卡號的密碼，用卡號密碼作為關鍵字之一，進行MD5的運算，將運算結果與IP終端送上來的MD5加密串進行比較，如果一致，就說明密碼正確，允許用戶呼叫。而Radius卡號的密碼是在保存在Radius伺服器上，Radius協議不支持CHAP方式或共享密鑰方式的鑑權，無法直接與IP終端交互，這樣卡號不能由Radius協議鑑權，IP終端所使用的卡號只能放在軟交換上進行管理，只能限於本地使用，無法支持Radius伺服器上的卡號，因而無法實現建設大的IP智能網。

發明內容
本發明所要解決的技術問題是克服現有的IP終端在使用卡號呼叫過程中需進行放音提示操作所帶來的速度慢等缺點，提供一種從IP終端上安全傳送終端及卡號信息到軟交換設備的方法，從而實現IP終端與軟交換的快速安全的通信，並實現Radius伺服器對IP終端卡號的鑑權。
本發明為解決上述技術問題所採用的技術方案為這種從IP終端上安全傳送終端及卡號信息到軟交換的方法，包括以下步驟對會話初始協議(SIP)或基於分組的多媒體通信系統協議(H.323)進行擴展，在SIP協議的邀請用戶加入呼叫消息(INVITE)或H.323協議的接入請求消息(ARQ)中增加卡號欄位，用來存儲卡號信息；或利用INVITE消息或ARQ消息中閒置的標準欄位存儲卡號信息；在IP終端將卡號密碼與某一固定密鑰進行異或運算形成一加密串，放到消息的加密串欄位中；軟交換收到該消息後，將上述固定密鑰與消息中該加密串欄位中的值進行異或運算，解析出卡號密碼。
所述的固定密鑰是由終端號碼、卡號、終端號碼的密碼及SIP協議中定義的計算加密串的參數(SIP Digest)一起按散列加密算法進行加密而得到的值。
所述的散列加密算法採用信息摘要(MD5)加密算法。
計算固定密鑰時還將固定內容的字符串或同步隨機數串與終端號碼、卡號、終端號碼的密碼及SIP協議中定義的計算加密串的參數(SIPDigest)一起按散列加密算法進行加密。
軟交換設備利用遠程驗證用戶撥入服務(Radius)協議將卡號、解析出來的卡號密碼送到Radius伺服器鑑權，軟交換設備匯集終端號碼及其密碼、卡號及其密碼的鑑權結果，允許兩套密碼都符合的終端接入進行呼叫，否則拒絕其接入。
本發明的有益效果為本發明為了方便NGN終端的卡號呼叫，設計了這種一次性安全攜帶兩套密碼的方法，可簡單方便地實現NGN終端的卡號呼叫。用戶只需要配置好自己的卡號和密碼，終端就可以安全地將用戶的卡號密碼信息，加密後送到軟交換設備。不用像通常的IP電話那樣，按照提示音輸入卡號密碼，並且，在IP網絡上，能夠安全地將用戶終端和卡號的兩套密碼傳送到伺服器方。本發明在兼容現有協議的基礎上，方便地實現了IP終端的卡號輸入問題，方便了用戶使用IP終端。
本發明利用MD5和異或算法的組合方式，實現對字符串的加密、解密。通過對response(加密串)欄位的MD5計算，得到兩個密碼的MD5散列加密串，並且能夠通過查終端ID的表，得到終端ID的密碼，由這個終端ID密碼，解析出另一個隱藏在MD5異或字符串中的密碼。利用本發明，可實現SIP協議與Radius協議的協同工作，使得SIP終端，通過軟交換設備，可以支持Radius伺服器上的卡號，從而擴大了IP終端使用卡號呼叫的範圍，可以實現建設大的IP智能網。
具體實施例方式
下面結合實施例對本發明作進一步詳細說明本發明對在SIP、H.323協議中使用的CHAP方式，進行改進，利用協議中對INVITE/ARQ消息進行的擴展，實現在一條INVITE/ARQ消息中，安全地傳送終端自身密碼和卡號密碼。
由於終端ID和密碼一般由軟交換系統控制，而卡號系統在軟交換系統之外，一般存在於Radius伺服器上，而MD5算法是不可逆的(也就是說，不能從加密後的字符串倒出原來的密碼，只能通過用相同的算法計算加密串，比較兩次運算的結果一致性，來判斷密碼的正確性)。這樣，為了將位於軟交換系統之外的Radius伺服器上的卡號密碼從用戶終端輸入的加密串中解析出來，本發明用異或算法與MD5算法相結合，一方面保證IP網上敏感信息的安全傳送，另一方面可在軟交換中解析出卡號密碼。
本發明實現方法如下在終端和軟交換設備完成Challenge(挑戰請求)過程後，在INVITE/ARQ消息中，利用協議對消息的擴展，增加卡號欄位，用來存儲卡號信息，也可以利用閒置的標準欄位(SIP協議中，INVITE消息裡面，還沒有正式普遍使用的欄位，例如，Contact欄位、From欄位等)存儲卡號信息；利用SIP協議定義的Digest(摘要算法)，將卡號、終端ID以及各自的密碼，按照下面的改進Digest進行運算，得到標準的Response(加密串)欄位Response＝[Md5(終端ID+卡號+終端ID的密碼+SIP Digest參數)]XOR卡號密碼其中，XOR表示異或操作，SIP Digest參數為SIP協議定義的計算加密串的參數，包括username/realm/nonce/Digest-uri dresponse/algorithm/cnonce/opaque/message-qop/nonce-count/auth-param等。
當軟交換收到這個Response後，通過查終端ID的表，得到終端ID的密碼，然後通過對應的算法計算Md5(終端ID+卡號+終端ID的密碼+SIP Digest參數)的值，再進行異或操作，由於異或操作的特點是「經過兩次異或就恢復原值」，即當一個數A和另一個數B進行異或運算會生成另一個數C，如果再將C和B進行異或運算則C又會還原為A。因此，利用異或操作的這一特點就可以輕鬆地將卡號的密碼解析出來卡號密碼＝Response XOR Md5(終端ID+卡號+終端ID的密碼+SIP Digest參數)這樣，解析出來的卡號密碼，就可以由Radius客戶端通過標準的Radius協議送往Radius伺服器了，實現了SIP協議與Radius協議的交互工作；另一方面，通過這一條消息，就將終端ID的密碼和卡號的密碼，同時安全地(由MD5加密)送到軟交換設備，軟交換設備可以對這兩個密碼分別進行驗證。
這樣，本發明在兼容現有協議基礎上，安全地將卡號和密碼送到軟交換設備，方便地實現了IP終端的卡號輸入問題，由於可以在軟交換中解析出卡號密碼，本發明可實現SIP協議與Radius協議的協同工作，IP終端通過軟交換設備可使用Radius卡號服務，從而解決了SIP協議下，卡號不能由Radius協議鑑權的問題。步驟如下1、將終端ID、密碼、卡號、卡號密碼一同送到軟交換；2、軟交換根據終端ID、卡號、終端ID的密碼等信息，採用上述方法將卡號密碼解析出來；3、採用標準的Radius協議，由軟交換設備做Radius客戶端，將解析出來的卡號密碼送到Radius伺服器進行鑑權；4、軟交換設備匯集終端ID/密碼、卡號/密碼的鑑權結果，只有兩套密碼都符合才允許接入；5、軟交換設備將最終結果返回給IP終端，同意或拒絕其接入。
在進行加密串(response)的計算時，可以對進行MD5算法的字符串進行擴展，增加一些固定內容的字符串，如像共享密鑰一樣在客戶端和軟交換系統之間使用相同的一個字符串，也可以在客戶端和伺服器端使用同步隨機數機制，根據時間不同，使用預訂好的參數。
本發明對用戶終端一側，支持標準的SIP協議(要使用其中的擴展欄位或無普遍確切含義的欄位)；對Radius伺服器一側，支持標準的Radius協議(需要將卡號密碼解析出來)，實現了SIP終端和Radius伺服器的協同工作。
權利要求
1.一種從IP終端上安全傳送卡號信息到軟交換的方法，其特徵在於，包括以下步驟對會話初始協議(SIP)或基於分組的多媒體通信系統協議(H.323)進行擴展，在SIP協議的邀請用戶加入呼叫消息(INVITE)或H.323協議的接入請求消息(ARQ)中增加卡號欄位，用來存儲卡號信息；或利用INVITE消息或ARQ消息中閒置的標準欄位存儲卡號信息；在IP終端將卡號密碼與某一固定密鑰進行異或運算形成一加密串，放到消息的加密串欄位中；軟交換收到該消息後，將上述固定密鑰與消息中該加密串欄位中的值進行異或運算，解析出卡號密碼。
2.根據權利要求1所述的從IP終端上安全傳送卡號信息到軟交換的方法，其特徵在於所述的固定密鑰是由終端號碼、卡號、終端號碼的密碼及SIP協議中定義的計算加密串的參數(SIP Digest)一起按散列加密算法進行加密而得到的值。
3.根據權利要求2所述的從IP終端上安全傳送卡號信息到軟交換的方法，其特徵在於所述的散列加密算法採用信息摘要(MD5)加密算法。
4.根據權利要求2所述的從IP終端上安全傳送卡號信息到軟交換的方法，其特徵在於計算固定密鑰時還將固定內容的字符串或同步隨機數串與終端號碼、卡號、終端號碼的密碼及SIP協議中定義的計算加密串的參數(SIP Digest)一起按散列加密算法進行加密。
5.根據權利要求1、2、3或4所述的從IP終端上安全傳送卡號信息到軟交換的方法，其特徵在於軟交換設備利用遠程驗證用戶撥入服務(Radius)協議將卡號、解析出來的卡號密碼送到Radius伺服器鑑權，軟交換設備匯集終端號碼及其密碼、卡號及其密碼的鑑權結果，允許兩套密碼都符合的終端接入進行呼叫，否則拒絕其接入。
全文摘要
一種從IP終端上安全傳送卡號信息到軟交換的方法，對會話初始協議(SIP)或基於分組的多媒體通信系統協議(H.323)進行擴展，在SIP協議的INVITE消息或H.323協議的ARQ消息中增加卡號欄位，用來存儲卡號信息；或利用INVITE消息或ARQ消息中閒置的標準欄位存儲卡號信息；在IP終端將卡號密碼與某一固定密鑰進行異或運算形成一加密串，放到消息的加密串欄位中；軟交換收到該消息後，將固定密鑰與消息中該加密串欄位中的值進行異或運算，解析出卡號密碼。利用本發明實現了IP終端與軟交換的快速安全的通信，並實現Radius伺服器對IP終端卡號的鑑權，從而可以組建大規模的IP智能網。
文檔編號H04Q3/00GK1604585SQ0312725
公開日2005年4月6日 申請日期2003年9月30日 優先權日2003年9月30日
發明者張毅, 埔萊薩納 申請人:華為技術有限公司