專利名稱:響應(yīng)消息認證方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種響應(yīng)消息認證方法、裝置及系統(tǒng)。
背景技術(shù):
為了保證通信過程中的安全性,例如,為了確保消息請求方發(fā)送的消息 不被惡意的終端截獲,消息接收方需要對消息請求方的身份進行認證,同時, 為了確保消息請求方不被惡意的代理服務(wù)器指示將呼叫轉(zhuǎn)移到一些非法實體 進而消息請求方與非法實體進行通話,消息請求方是需要對消息接收方的身 份進行認證的。
目前,會話初始協(xié)i義(SIP, Session Initiation Protocol)中通信雙方進行i人 證的方式主要有摘要(Digest)認證、傳輸層安全協(xié)議(TLS, Transport Layer Security),安全多用途因特網(wǎng)郵件擴充協(xié)議(S/MIME, Secure Multipurpose Internet Mail Extension)等,但這些方法都存在一些缺陷例如,Digest只能用 于雙方有共享密鑰的情況下,TLS和S/MIME都要求用到用戶證書,但實際 情況是很少終端用戶有自己的證書,所以為了解決SIP通信雙方的認證,尤 其是通信雙方不在同一個域的情況下的認證,互聯(lián)網(wǎng)工程任務(wù)組(IETF, The Internet Engineering Task Force) SIP組的鑒權(quán)識別管理(rfc4474 )提出了 一種 方案由請求者歸屬域的代理服務(wù)器(proxy)使用Digest對其認證,然后該 proxy使用域的證書對請求消息中的請求者身份及其他相關(guān)信息進行簽名;然 后接收者或接收者歸屬域的proxy驗證該簽名,如果驗證通過并且信任請求 者proxy, 則認證通過。
但是,上述方案解決的是請求消息的認證,其并未解決響應(yīng)消息的認證,因為響應(yīng)消息比請求消息要復雜的多,響應(yīng)消息的發(fā)送者不一定是響應(yīng)消息 中的TO值所表示的實體,沒有一個字段能準確的標識響應(yīng)消息的發(fā)送者,主
要表現(xiàn)在以下兩方面
1)有些響應(yīng)消息是proxy所發(fā),如lxx的臨時響應(yīng),3xx的重定向 (redirection)消息;
2 )被重定向(retarget)的消息其To值并不會因重定向而改變。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種響應(yīng)消息認證方法、裝置及系統(tǒng),以實現(xiàn)消息請 求終端對消息接收終端的響應(yīng)消息的有效認證。
本發(fā)明實施例提供了 一種響應(yīng)消息認證方法,該方法具體包括 轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息; 接收轉(zhuǎn)發(fā)的所述請求消息并發(fā)送;
接收返回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端,將生成的包含標識發(fā) 起所述響應(yīng)消息真實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā) 送;
將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
本發(fā)明實施例還提供了 一種響應(yīng)消息認證方法,該方法具體包括
轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;
將生成的包含標識發(fā)起響應(yīng)消息真實實體信息的簽名和證書信息插入到
響應(yīng)消息中并發(fā)送;
將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
本發(fā)明實施例提供了 一種響應(yīng)消息認證系統(tǒng),該系統(tǒng)具體包括請求方代
理服務(wù)器和接收方代理服務(wù)器,其中,所述請求方代理服務(wù)器包括 請求消息轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息; 響應(yīng)消息接收單元,用于接收帶有簽名和證書信息的響應(yīng)消息并轉(zhuǎn)發(fā);響應(yīng)認證單元,用于接收響應(yīng)消息接收單元轉(zhuǎn)發(fā)的帶有簽名和證書信息 的響應(yīng)消息,并驗證所述響應(yīng)消息是否合法,若合法則將所述簽名和證書信 息移除并轉(zhuǎn)發(fā);
所述接收方代理服務(wù)器包括
請求消息轉(zhuǎn)接單元,用于接收請求消息轉(zhuǎn)發(fā)單元轉(zhuǎn)發(fā)的請求消息; 請求消息處理單元,用于根據(jù)接收到的請求消息判斷是否需要返回重定
向響應(yīng)消息,及當不需要返回重定向響應(yīng)消息時,對請求消息進行處理并發(fā)
送;
重定向單元,用于當需要返回響應(yīng)消息時,發(fā)送包含標識發(fā)起所述響應(yīng) 消息真實實體信息的響應(yīng)消息;
認證單元,用于接收返回的響應(yīng)消息,并認證所述響應(yīng)消息是否合法, 若合法則發(fā)送包含標識發(fā)起所述響應(yīng)消息真實實體信息的響應(yīng)消息;
簽名單元,用于對標識發(fā)起所述響應(yīng)消息真實實體的信息進行簽名,并 將所述簽名和證書信息插入到響應(yīng)消息中并發(fā)送。
本發(fā)明實施例提供了一種響應(yīng)消息認證裝置,該裝置具體包括 轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息; 接收單元,用于接收轉(zhuǎn)發(fā)的所述請求消息并發(fā)送; 成功消息發(fā)送單元,接收返回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端, 將生成的包含標識發(fā)起所述響應(yīng)消息真實實體的信息的簽名及證書信息插入 到該響應(yīng)消息中并發(fā)送;
成功消息轉(zhuǎn)發(fā)單元,將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
本發(fā)明實施例還提供了 一種響應(yīng)消息認證裝置,該裝置具體包括 轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息; 發(fā)送單元,用于將生成的包含標識發(fā)起響應(yīng)消息真實實體信息的簽名和 證書信息插入到響應(yīng)消息中并發(fā)送;
10成功消息轉(zhuǎn)發(fā)單元,用于將所述響應(yīng)消息中的所述簽名和證書信息移除 并發(fā)送。
上述響應(yīng)消息認證方法、裝置及系統(tǒng),通過使用SIP擴展標簽
認證,通過在響應(yīng)消息中設(shè)置標識響應(yīng)消息發(fā)起者真實身份的信息,可以讓 請求者知道與其通信的實體,通過對真實響應(yīng)實體信息的簽名來讓請求者確 定與其通信的實體就是響應(yīng)消息中所聲稱的實體,從而可以較好地實現(xiàn)消息
請求終端對消息接收終端的響應(yīng)消息的有效認證。
圖1為本發(fā)明響應(yīng)消息認證方法實施例一的信令流程圖; 圖2為本發(fā)明響應(yīng)消息認證方法實施例二的信令流程圖; 圖3為本發(fā)明響應(yīng)消息認證方法實施例三的信令流程圖; 圖4為本發(fā)明響應(yīng)消息認證方法實施例四的信令流程圖; 圖5為本發(fā)明響應(yīng)消息認證方法實施例一的流程圖; 圖6為本發(fā)明響應(yīng)消息認證方法實施例二的流程圖; 圖7為本發(fā)明響應(yīng)消息認證系統(tǒng)實施例的結(jié)構(gòu)示意圖; 圖8為本發(fā)明響應(yīng)消息i人^t裝置實施例一的結(jié)構(gòu)示意圖; 圖9為本發(fā)明響應(yīng)消息認證裝置實施例二的結(jié)構(gòu)示意圖。
具體實施例方式
如圖1所示,為本發(fā)明響應(yīng)消息認證方法實施例一的信令流程圖,該方 法具體包括
步驟101、請求終端向請求方代理服務(wù)器發(fā)送包含預定標簽的請求消息; 請求消息中包含頭域Require: respond-p-auth ,假設(shè)上述請求終端為 Alice,請求方代理服務(wù)器為Proxy A,接收終端為Bob,接收方代理服務(wù)器為Proxy B,該請求消息具體為
rNVITE sip: bob@biloxi.example.com SIP/2.0
Via:SIP/2.0/TCP client.atlanta.example.com: 5060; branch=
z9hG4bK7德
Require: response-p-auth
From: Alice <sip: alice@atlanta.example.com>; tag=9fxced76sl
To: Bob <sip: bob@biloxi.example.com〉
Call -ID: 384827629822018851 l@atlanta.example.com
CSeq:1 INVITE
Contact: <sip: alice@client.atlanta.example.com; transport=tcp〉 該請求消息表示請求方(由From字段表示,即 Alice <sip : alice@atlanta.example.com〉)向才妄收方(由 To字l殳表示,即 Bob <sip : bob⑥biloxi.example.com〉)發(fā)送一個邀請請求Invite;其中,該請求消息中,通 過預定標簽Require: response-p-auth表示請求方要求接收方代理服務(wù)器對其 域內(nèi)接收方的響應(yīng)消息進^f亍認證;
步驟102、請求方代理服務(wù)器將包含預定標簽的請求消息轉(zhuǎn)發(fā)至接收方 代理服務(wù)器;
步驟103、接收方代理服務(wù)器向轉(zhuǎn)發(fā)的請求消息中插入挑戰(zhàn)信息,并將 含有挑戰(zhàn)信息的請求消息發(fā)送至接收終端; 上述含有挑戰(zhàn)信息的請求消息具體為 INVITE sip: bob@client.biloxi.example.com SIP/2.0
Require: response-p-auth
Proxy-Authenticate: Digest realm="biloxi.example.com", qop="auth' nonce=" wfB4fl ceczx41 ae6cbe5aea9c8e88d3 59",opaque="", stale=FALSE, algorithm=MD5
Proxy-Authenticate字段表示挑戰(zhàn)信息,所述挑戰(zhàn)信息包含的信息與現(xiàn)有 的SIP中的摘要認證規(guī)定一致,其中nonce為接收方代理服務(wù)器生成的隨機 數(shù),realm為接收方代理服務(wù)器的域名;
步驟104、接收終端返回帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息;
接收終端收到含有挑戰(zhàn)信息的請求消息后,對請求消息處理完成后,在 響應(yīng)消息中加入根據(jù)挑戰(zhàn)信息生成的挑戰(zhàn)響應(yīng)信息Proxy-Authorization;挑戰(zhàn) 響應(yīng)信息中包含有接收終端用戶名username、接收終端密碼和所述挑戰(zhàn)信息 中的nonce值生成的摘要值,該摘要值放在response屬性中。其中用戶名 usemame必須是接收終端自己的真實ID;而不是步驟103中所述的接收方服 務(wù)器轉(zhuǎn)發(fā)給接受終端的請求消息中的To字段包含的ID;
上述返回的帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息具體為
Proxy-Authorization: Digest username="bob",realm="biloxi.example.com", nonce="wf84f 1 ceczx41 ae6cbe5aea9c8e88d359", opaque="", uri="sip: bob@biloxi.example.com",
response="42ce3cef44b22f50c6a6071bc8"
上述消息中,uri屬性表示接收終端的SIPURI,由用戶名加上用戶所屬 域的代理服務(wù)器域名組成。
步驟105、接收方代理服務(wù)器檢查挑戰(zhàn)響應(yīng)消息,若檢查通過則在響應(yīng) 消息中插入自己的簽名和證書信息;
接收方代理服務(wù)器首先檢查挑戰(zhàn)響應(yīng)消息中的接收終端ID是否屬于本域 用戶,即uri中的域名部分是否與本代理服務(wù)器域名一致;如果一致,則用現(xiàn) 有SIP協(xié)議中挑戰(zhàn)響應(yīng)的驗證方法對response中的摘要值進行驗證。
如果驗證通過,則將uri中表示的SIPURI作為真實的響應(yīng)消息發(fā)送方設(shè) 置為RespID的值,然后生成對該值的簽名,將簽名值放入Identity字段,將RespID、證書存放位置和簽名算法放入Identity-info字段中; 上述在響應(yīng)消息中插入自己的簽名后的消息具體為
Identity:
"ZYNBbHC00VMZr2kZt6VmCvPonWJMGvQTBDqghoWeLxJfzB2alpxA r3VgrB0SsSAaifsRdiOPoQZYOy2wrVghuhcsMbHWUSFxI6p6q5TOQXHMmz6 uEo3svJsSH4她yGnFVcnyaZ十+yRlBYYQTLqWzJ+KVhPKbfU/pryhVn9Yc6U
Identity-Info: <https: //biloxi.example.com/biloxi.cer〉; alg=rsa-shal; RespID=bob@bil oxi. example com
步驟106、請求方代理服務(wù)器驗證證書和簽名,若通過則移除Identity和 Identity-Info,然后將響應(yīng)消息發(fā)送至請求終端。
上述響應(yīng)消息認證方法,通過使用SIP擴展標簽response-p-auth使得請 求終端可以要求接收方的代理服務(wù)器對接收終端進行認證,通過在接收方的 響應(yīng)消息中設(shè)置標識響應(yīng)消息發(fā)起者真實身份的信息,可以讓請求者知道與 其通信的實體,通過接收方代理服務(wù)器對真實響應(yīng)實體信息的簽名可以使得 請求者確定與其通信的實體就是在響應(yīng)消息中所聲稱的響應(yīng)實體,從而可以 較好地實現(xiàn)消息請求終端對消息接收終端響應(yīng)消息的有效認證。
如圖2所示,為本發(fā)明響應(yīng)消息認證方法實施例二的信令流程圖,該信 令流程圖與本發(fā)明響應(yīng)消息認證方法實施例一的信令流程圖不同的是步驟 205-206,步驟205為接收方代理服務(wù)器檢查挑戰(zhàn)響應(yīng)消息失敗后,先給接收 終端發(fā)送BYE消息;步驟206接收方代理服務(wù)器給請求方代理服務(wù)器發(fā)送 "0 Response Authentication Failed信息;步驟2O7請求方代理服務(wù)器給請求 纟冬端發(fā)送440 Response Authentication Failed "(言息'。
上述響應(yīng)消息認證方法,較好地描述了在接收方代理服務(wù)器驗證挑戰(zhàn)信 息失敗的情況下請求終端、請求方代理服務(wù)器、接收方代理服務(wù)器和接收終
14端之間的交互流禾呈,通過增力。一個新的響應(yīng)石馬440 Response Authentication Failed使得接收方代理服務(wù)器驗證接收方身份錯誤時返回響應(yīng)給請求方,從 而避免了非法終端冒充響應(yīng)終端返回響應(yīng)消息。
如圖3所示,為本發(fā)明響應(yīng)消息認證方法實施例三的信令流程圖,該信 令流程圖與本發(fā)明響應(yīng)消息認證方法實施例 一 的信令流程圖不同的是步驟 306;步驟306為請求方代理服務(wù)器發(fā)現(xiàn)證書和簽名不正確時,給接收方代理 服務(wù)器發(fā)送BYE消息,給請求終端發(fā)送440 Response Authentication Failed信 自、
由于該BYE消息是服務(wù)器發(fā)往域內(nèi)的,因此該440消息不包含Identity 和Identity-Info,請求終端與請求方代理服務(wù)器之間的通信安全由其它方式來 保證,如TLS。上述440響應(yīng)消息具體為
SIP/2,0 440 Response Authentication Failed
上述響應(yīng)消息認證方法,較好地描述了在請求方代理服務(wù)器驗證簽名失 敗的情況下請求終端、請求方代理服務(wù)器、接收方代理服務(wù)器和接收終端之 間的交互流程,同時通過在響應(yīng)消息中設(shè)置標識響應(yīng)消息發(fā)起者真實身份的 信息,可以讓請求者知道與其通信的實體,通過對真實響應(yīng)實體信息的簽名 來讓請求者確定與其通信的實體就是其所聲稱的實體,從而可以較好地實現(xiàn) 消息請求終端對信息接收終端響應(yīng)消息的有效認證。
如圖4所示,為本發(fā)明響應(yīng)消息認證方法實施例四的信令流程圖,該信 令流程圖與本發(fā)明響應(yīng)消息認證方法實施例一的信令流程圖不同的是接收方 代理服務(wù)器收到請求方代理服務(wù)器轉(zhuǎn)發(fā)的請求消息后,返回3xx響應(yīng)消息, 而不再向下轉(zhuǎn)發(fā)給接收者;該響應(yīng)消息具體為
Identity-Info: <https: //biloxi.example.com/biloxi.cer〉; alg=rsa-shal; RespID=biloxi. example. com從響應(yīng)消息認證方法實施例一和實施例四的響應(yīng)消息中可以看到,
RespID的值不同,實施例一中的RespIDH3ob(gbiloxi.example.com,實施例四 中的RespID=biloxi.example.com,即實施例一中發(fā)送響應(yīng)消息的真實實體是 接收終端Bob,而實施例四中發(fā)送響應(yīng)消息的真實實體是接收方代理服務(wù)器 Proxy B。
另外,當請求方代理服務(wù)器發(fā)現(xiàn)證書和簽名不正確時,其信令流程圖如 本發(fā)明響應(yīng)消息認證方法實施例三的信令流程圖。
上述響應(yīng)消息認證方法,通過在響應(yīng)消息中設(shè)置標識響應(yīng)消息發(fā)起者真 實身份的信息從而使得請求者確定與其通信的實體就是響應(yīng)消息中所聲稱的 實體,從而可以較好地實現(xiàn)消息請求終端對消息接收終端響應(yīng)消息的有效認 證。
本發(fā)明實施例一響應(yīng)消息i人證方法具體包括 轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息; 接收轉(zhuǎn)發(fā)的所述請求消息并發(fā)送;
接收返回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端,將生成的包含標識發(fā) 起所述響應(yīng)消息真實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā) 送;
將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。 如圖5所示,為本發(fā)明響應(yīng)消息認證方法實施例一的流程圖,該方法具 體包括
步驟501 、轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;
請求方代理服務(wù)器接收到請求終端發(fā)送的包含預定標簽的請求消息后轉(zhuǎn) 發(fā)給接收方代理服務(wù)器,上述預定標簽為請求終端要求對響應(yīng)消息發(fā)送者做 認ii的要求^f言息,可以用response-p-auth表示,子貞定才示簽response-p-auth的 使用格式為Require: response-p-auth,表示請求終端要求接收方代理服務(wù)器 對其域內(nèi)接收終端的響應(yīng)消息進行i人證;步驟502、在接收到的轉(zhuǎn)發(fā)的所述請求消息中加入挑戰(zhàn)信息并發(fā)送;
接收方代理服務(wù)器接收請求方代理服務(wù)器轉(zhuǎn)發(fā)的請求消息后,在上述請 求消息中加入4兆戰(zhàn)信息Proxy-Authenticate后發(fā)送給接收終端;
步驟503、檢查接收的帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息是否合法,若合法, 則執(zhí)行步驟504,否則執(zhí)行步驟505;
該步驟是可選步驟,接收終端根據(jù)接收的帶有挑戰(zhàn)信息的請求消息生成 并返回帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息,接收方代理服務(wù)器檢查接收的挑戰(zhàn)響 應(yīng)信息是否合法;
上述步驟502和503為接收方代理服務(wù)器對接收終端的認證,并且使用 的是基于Digest的挑戰(zhàn)/響應(yīng)認證方式;但是實現(xiàn)該認證的方法不限于挑戰(zhàn)/ 響應(yīng)方式,還可以包括TLS、 3GPPGBA方式等;
步驟504、將生成的包含標識發(fā)起上述響應(yīng)消息真實實體信息的簽名和 證書信息插入到響應(yīng)消息中并發(fā)送,轉(zhuǎn)向步驟506;
上述包含標識發(fā)起上述響應(yīng)消息真實實體信息的簽名包括"RespID二" 字段及發(fā)起響應(yīng)消息的真實實體的ID;當接收的包含挑戰(zhàn)信息的響應(yīng)消息合 法時,將RespID的值設(shè)為接收終端的ID,接收方代理服務(wù)器對包含RespID 的SIP頭字段簽名,將簽名值放入Identity字段,將RespID和證書存放地址 i文入Identity-info字,殳,并將Identity和Identity-Info字段力文入響應(yīng)消息并發(fā) 送;Identity-info包含的字段有標識發(fā)起該響應(yīng)消息的真實實體的ID (RespID)、簽名方法(Sign method)和接收方代理〗良務(wù)器域-i正書存^:的統(tǒng) 一資源定位符(URL); RespID為Proxy-Authorization中的用戶名(username ) 所對應(yīng)的SIP URL該值并不總等于請求消息中接收終端(To)的值,即當 請求終端發(fā)出來的請求消息沒有被重定向時,實際接收者就是請求消息中的 To所指示的實體,因此RespID值等于To里面的值,但當請求消息是被重定 向(retarget)到實際接收終端時,RespID的值不等于請求消息中中的To的值, 而是實際接收終端的ID;接收方代理服務(wù)器除了對RespID進行簽名外,還可以對如下字段進行簽名請求終端(From)、接收終端(To)、會話標識 (Call-ID)、日期(Date) 、 Identity-info其他參數(shù)、響應(yīng)碼和描述等;上述 簽名方法(Sign method)可以是消息摘要算法版本5RSA簽名算法 (MD5RSA),即首先用消息摘要算法版本5 (message-digest algorithm v5, md5)對響應(yīng)ID和其他相關(guān)字段進行哈希,再由接收方代理服務(wù)器用域證書 對應(yīng)的私鑰對其加密;
步驟505、先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息,轉(zhuǎn)向步驟509;
該步驟只有在接收方代理服務(wù)器對接收終端認證失敗時發(fā)生。如果采用 挑戰(zhàn)/響應(yīng)認證方法,在接收方代理服務(wù)器接收的挑戰(zhàn)響應(yīng)消息不合法時發(fā) 生,此時接收方代理服務(wù)器先給接收終端發(fā)送BYE消息以結(jié)束與接收終端的 會話,然后發(fā)送440 Response Authentication Failed響應(yīng)給請求方代理服務(wù)器 以通知請求終端響應(yīng)認證失敗;
步驟506、驗證包含上述簽名和證書信息的響應(yīng)消息是否合法,若合法 則執(zhí)行步驟507,否則執(zhí)行步驟508;
上述步驟506也是可選步驟,請求方代理服務(wù)器接收包含上述簽名和證 書信息的響應(yīng)消息后,對其進行驗證,如果驗證成功,則基于請求方代理服 務(wù)器對接收方代理服務(wù)器的信任,請求方代理服務(wù)器認為響應(yīng)消息發(fā)起方即 接收終端已經(jīng);波成功認證。
該驗證過程具體包括
請求方代理服務(wù)器根據(jù)響應(yīng)消息中的證書信息,獲取接收方代理服務(wù)器 的證書;比較RespID中的響應(yīng)實體標識的域名部分是否與所述證書中的證書 所有者同屬一個域;如果不是,則驗證失敗,因為一個代理服務(wù)器只能管理 本域內(nèi)的用戶;如杲是,按照步驟504所采用的簽名算法,例如MD5RSA, 對所述簽名進行驗證,該驗證過程具體為
使用所述消息摘要算法計算被簽名的字段的摘要值,其中必然包含 RespID;再用所述證書所包含的公鑰解密響應(yīng)消息中的簽名值;最后用解密后的數(shù)據(jù)與所述摘要值對比。如果相等,則表示驗證成功;如果不等,則驗
證失?。?br>
步驟507、將上述響應(yīng)消息中的上述簽名和證書信息移除并發(fā)送,轉(zhuǎn)向 步驟509;
若通過驗證,請求方代理服務(wù)器則移除上述簽名和證書信息并轉(zhuǎn)發(fā)移除 了上述簽名和證書信息的響應(yīng)消息給請求終端;
步驟508、先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息;
該步驟發(fā)生在響應(yīng)消息未通過請求方代理服務(wù)器的驗證時,此時先向接 收方代理服務(wù)器發(fā)送BYE消息,再向請求終端發(fā)送440 Response Authentication Failed響應(yīng)以通知請求終端響應(yīng)認證失??;
步驟509、結(jié)束。
上述響應(yīng)消息認證方法是在網(wǎng)絡(luò)側(cè)完成的,接收終端通過在響應(yīng)消息中 設(shè)置標識響應(yīng)消息發(fā)起者真實身份的信息,可以讓請求終端知道與其通信的 實體,通過接收方代理服務(wù)器對真實響應(yīng)實體信息的簽名從而使得請求者確 定與其通信的實體就是響應(yīng)消息中所聲稱的實體,從而可以較好地實現(xiàn)消息 請求終端對消息接收終端的響應(yīng)消息的有效認證。
如圖6所示,為本發(fā)明響應(yīng)消息認證方法實施例二的流程圖,該方法具 體包括
步驟601 、轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;
同本發(fā)明響應(yīng)消息認證方法實施例一中步驟101的操作步驟一樣,且預 定標簽也相同,均為response-p-auth,使用才各式也相同;
步驟602、將生成的包含標識發(fā)起響應(yīng)消息真實實體信息的簽名和證書 信息插入到響應(yīng)消息中并發(fā)送;
接收方代理服務(wù)器根據(jù)對SIP請求消息的處理,需要返回響應(yīng)消息給請 求方,而不再轉(zhuǎn)發(fā)給接收終端時,則執(zhí)行此步驟。接收方代理服務(wù)器將帶有 簽名和證書信息的響應(yīng)消息發(fā)送給請求方代理服務(wù)器,上述簽名和證書信息中標識發(fā)起上述響應(yīng)消息真實實體的RespID設(shè)置為接收方代理服務(wù)器的標
識;
步驟603、驗證包含上述簽名和證書信息的響應(yīng)消息是否合法,若合法 則執(zhí)行步驟604,否則執(zhí)行步驟605;
該步驟是可選步驟,請求方代理服務(wù)器接收包含上述簽名和證書信息的 響應(yīng)消息后,對其進行驗證,該驗證過程包括
獲取請求方代理服務(wù)器證書,并比較證書中的所有者標識與RespID是否 相同;如果不相同,則認證失敗;如果相同,則驗證所述簽名值。驗證方法 與實施例一相同;
步驟604、將上述響應(yīng)消息中的簽名和證書信息移除并發(fā)送,轉(zhuǎn)向步驟
606;
若通過驗證,則請求方代理服務(wù)器移除上述簽名和證書信息并轉(zhuǎn)發(fā)移除 上述簽名和證書信息的響應(yīng)消息給發(fā)起所述請求消息的請求終端;
步驟605、先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息;
該步驟只有在響應(yīng)消息若未通過驗證時才發(fā)生,此時先向接收方代理服 務(wù)器發(fā)送BYE消息,再向請求終端發(fā)送440 Response Authentication Failed響 應(yīng)以通知i貪求纟冬端響應(yīng)i人i正失??;
步驟606、結(jié)束。
上述響應(yīng)消息認證方法是在網(wǎng)絡(luò)側(cè)完成的,通過在響應(yīng)消息中設(shè)置標識 響應(yīng)消息發(fā)起者真實身份的信息,可以讓請求者知道與其通信的實體,接收 方代理服務(wù)器通過對真實響應(yīng)實體信息的簽名從而使得請求者確定與其通信 的實體就是響應(yīng)消息中所聲稱的實體,從而可以較好地實現(xiàn)消息請求終端對 消息接收終端的響應(yīng)消息的有效認證。
如圖7所示,為本發(fā)明響應(yīng)消息"^人證系統(tǒng)實施例的結(jié)構(gòu)示意圖,該系統(tǒng) 具體包括請求方代理服務(wù)器12和接收方代理服務(wù)器13。
其中,請求方代理服務(wù)器12包括請求消息轉(zhuǎn)發(fā)單元121,用于轉(zhuǎn)發(fā)接
20收到的包含預定標簽的請求消息;響應(yīng)消息接收單元122,用于接收帶有簽 名和證書信息的響應(yīng)消息并轉(zhuǎn)發(fā);響應(yīng)認證單元123,用于接收響應(yīng)消息接 收單元轉(zhuǎn)發(fā)的帶有簽名和證書信息的響應(yīng)消息,并驗證所述響應(yīng)消息是否合 法,若合法則將所述簽名和證書信息移除并轉(zhuǎn)發(fā);
另外,上述請求方代理服務(wù)器還可以包括認證失敗單元,用于當響應(yīng) 消息不合法時,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息。
上述接收方代理服務(wù)器13包括請求消息轉(zhuǎn)接單元131,用于接收請求 消息轉(zhuǎn)發(fā)單元轉(zhuǎn)發(fā)的請求消息;請求消息處理單元132,用于根據(jù)接收到的 請求消息判斷是否需要返回重定向響應(yīng)消息,及當不需要返回重定向響應(yīng)消 息時,對請求消息進行處理并發(fā)送;重定向單元133,用于當需要返回響應(yīng) 消息時,發(fā)送包含標識發(fā)起所述響應(yīng)消息真實實體信息的響應(yīng)消息;認證單 元134,用于接收返回的響應(yīng)消息,并認證所述響應(yīng)消息是否合法,若合法 則發(fā)送包含標識發(fā)起所述響應(yīng)消息真實實體信息的響應(yīng)消息;簽名單元135, 用于對標識發(fā)起所述響應(yīng)消息真實實體的信息進行簽名,并將所述簽名和證 書信息插入到響應(yīng)消息中并發(fā)送。
其中,上述請求消息處理單元具體為挑戰(zhàn)請求消息處理單元,用于根據(jù) 接收到的請求消息判斷是否需要返回重定向響應(yīng)消息,及當不需要返回重定 向響應(yīng)消息時,在請求消息中插入挑戰(zhàn)信息并發(fā)送;上述響應(yīng)認證單元具體 包括證書獲取單元,用于接收響應(yīng)消息接收單元轉(zhuǎn)發(fā)的帶有簽名和證書信 息的響應(yīng)消息,并根據(jù)證書信息中的地址獲取證書;證書認證單元,用于根 據(jù)獲取的證書驗證所述響應(yīng)消息是否合法,若合法則移除所述簽名和證書信 息,并轉(zhuǎn)發(fā)移除所述簽名和證書信息的響應(yīng)消息。
另外,上述系統(tǒng)還可以進一步包括請求終端11和接收終端14。上述請 求終端ll包括請求消息生成單元lll,用于生成包含預定標簽的請求消息 并發(fā)送;響應(yīng)消息接收單元112,用于接收轉(zhuǎn)發(fā)的移除簽名和證書信息的響 應(yīng)消息。上述接收終端14包括請求消息接收單元141,用于接收請求消息處理單元轉(zhuǎn)發(fā)的請求消息;處理單元142,用于根據(jù)請求消息接收單元接收
的請求消息生成響應(yīng)消息;響應(yīng)消息發(fā)送單元143,用于發(fā)送生成的響應(yīng)消 臺
其中,上述請求消息接收單元具體為挑戰(zhàn)請求消息接收單元,用于接收
請求消息處理單元轉(zhuǎn)發(fā)的帶有挑戰(zhàn)信息的請求消息;上述處理單元具體為挑 戰(zhàn)信息處理單元,用于根據(jù)請求消息接收單元接收的帶有挑戰(zhàn)信息的請求消 息生成帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息;上述響應(yīng)消息發(fā)送單元具體為挑戰(zhàn)響 應(yīng)消息發(fā)送單元,用于發(fā)送帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息。
進一步地,上述接收方代理服務(wù)器上的認證單元和簽名單元共同構(gòu)成了 一個邏輯實體認證子裝置(authenticator),它可以實現(xiàn)在單獨的服務(wù)器上與 代理服務(wù)器進行交互,也可以作為代理服務(wù)器上的一個邏輯實體,其作用是 對本域內(nèi)的接收終端返回的響應(yīng)進行認證,當收到攜帶挑戰(zhàn)信息的
(Proxy-Authorization )的響應(yīng)時,authenticator -驗i正其是否是合法用戶,如 果驗證通過,且請求終端不在本域內(nèi),authenticator用自己的私鑰對該消息簽 名,簽名值放入簽名(Identity)頭域中,同時在消息中插入證書信息
(Identity-Info);如果請求終端在本域內(nèi),即請求終端和接收終端在同一個 域,則不需要插入簽名直接發(fā)送即可。
如果域內(nèi)用戶驗證不通過,可以有多種方式進行處理,如返回ACK后 直接發(fā)送BYE結(jié)束會話,同時向請求終端返回440 Response Authentication Failed響應(yīng);或者重新發(fā)送該請求,直到連續(xù)失敗一定次數(shù)以后結(jié)束通話, 由于這涉及到本地安全策略的制定,可以根據(jù)具體情況以靈活的方式實現(xiàn)。
進一步地,上述請求方代理服務(wù)器上的響應(yīng)認證單元也可以作為一個邏 輯實體驗證子裝置(verifier),它既可以實現(xiàn)在單獨的服務(wù)器上與代理服務(wù) 器進行交互,又可以作為代理服務(wù)器上的一個邏輯實體,其作用是通過證書 獲取單元根據(jù)響應(yīng)消息identity-info頭域中的統(tǒng)一資源定位符(URL)來獲取接 收方代理服務(wù)器的證書,然后通過認證單元驗證接收終端的響應(yīng)消息是否經(jīng)過接收終端服務(wù)器認證,即用證書驗證Identity頭域里的簽名值是否為接收終 端服務(wù)器所生成的簽名值。
上述響應(yīng)消息認證系統(tǒng),當請求終端發(fā)送請求時,如果需要對響應(yīng)消息 進行認證,由請求消息生成單元在SIP請求消息中插入Require : response-p-auth,如果中間服務(wù)器或者接收終端客戶端不支持response-p-auth, 則請求終端將收到420 Bad Extension響應(yīng);請求終端將請求消息發(fā)送至接收 方代理服務(wù)器的請求消息處理單元后,接收方代理服務(wù)器根據(jù)是否需要返回 重定向響應(yīng)消息來判斷該請求消息是應(yīng)該發(fā)送給接收終端還是應(yīng)該發(fā)送給請 求方代理服務(wù)器,并由此設(shè)置不同的響應(yīng)實體標識RespID,當需要返回重定 向響應(yīng)消息時,將RespID設(shè)置為接收方代理服務(wù)器的ID,否則將RespID設(shè) 置為接收終端的ID,上述簽名單元會根據(jù)不同的RespID進行簽名,從而供 請求方終端或請求方代理服務(wù)器進行有效的響應(yīng)消息認證。
如圖8所示,為本發(fā)明響應(yīng)消息認證裝置實施例一的結(jié)構(gòu)示意圖,該裝 置具體包括轉(zhuǎn)發(fā)單元21,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;接 收單元22,用于接收轉(zhuǎn)發(fā)的所述請求消息并發(fā)送;成功消息發(fā)送單元24,接 收返回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端,將生成的包含標識發(fā)起所述 響應(yīng)消息真實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā)送;成 功消息轉(zhuǎn)發(fā)單元26,將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
其中,上述接收單元具體為挑戰(zhàn)消息收發(fā)單元,用于在接收到的轉(zhuǎn)發(fā)的 所述請求消息中加入挑戰(zhàn)信息并發(fā)送;上述成功消息發(fā)送單元具體為成功挑 戰(zhàn)消息發(fā)送單元,用于根據(jù)返回的帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息,將生成的 包含標識發(fā)起所述響應(yīng)消息真實實體的信息的簽名及證書信息插入到該響應(yīng) 消息中并發(fā)送。
另外,上述響應(yīng)消息認證裝置還包括檢查單元23,用于檢查接收的挑 戰(zhàn)響應(yīng)消息是否合法,若合法,則根據(jù)返回的帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息, 將生成的包含標識發(fā)起上述響應(yīng)消息真實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā)送,否則,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息;結(jié)
束;驗證單元25,用于驗證包含上述簽名和證書信息的響應(yīng)消息是否合法, 若合法則將上述響應(yīng)消息中的上述簽名和證書信息移除并發(fā)送,否則,先發(fā) 送失敗消息,后發(fā)送響應(yīng)失敗消息。
其中,上述驗證單元具體可以包括獲取模塊251,用于獲取響應(yīng)消息 中的證書信息;判斷模塊252,用于比較簽名中標識發(fā)起所述響應(yīng)消息真實 實體信息的域名部分是否與所述證書中的證書所有者同屬一個域,若不同屬 一個域,則驗證失敗,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息,若同屬一個 域,則按照生成簽名時所采用的簽名算法,對所述簽名進行驗證,若驗證通 過,則將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送,否則,先發(fā)送 失敗消息,后發(fā)送響應(yīng)失敗消息。
另外,上述裝置還可以包括失敗消息發(fā)送單元,用于當接收的挑戰(zhàn)響 應(yīng)消息不合法時,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息,結(jié)束;上述裝置 也可以包括失敗消息轉(zhuǎn)發(fā)單元,用于當接收的包含上述簽名和證書信息的 響應(yīng)消息不合法時,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息。
上述響應(yīng)消息認證裝置設(shè)置在網(wǎng)絡(luò)側(cè),利用轉(zhuǎn)發(fā)單元轉(zhuǎn)發(fā)接收的請求終 端發(fā)送的請求消息,利用發(fā)送單元將接收的挑戰(zhàn)請求消息發(fā)送給接收終端, 然后利用檢查單元檢查接收的挑戰(zhàn)響應(yīng)消息是否合法,并通過成功消息發(fā)送 單元將合法的挑戰(zhàn)響應(yīng)消息發(fā)送給接收方代理服務(wù)器,然后利用驗證單元驗 證響應(yīng)消息中包含的簽名和證書信息是否合法,若合法通過成功消息轉(zhuǎn)發(fā)單 元將響應(yīng)消息發(fā)送給請求終端,/人而完成請求終端與接收終端的正常會話; 同時,也可以利用失敗消息發(fā)送單元將失敗的挑戰(zhàn)響應(yīng)信息發(fā)送給接收方代 理服務(wù)器,進而發(fā)送給請求終端以結(jié)束會話;也可以利用失敗消息轉(zhuǎn)發(fā)單元 將失敗的響應(yīng)消息發(fā)送給請求終端以結(jié)束會話;從而可以較好地實現(xiàn)消息請 求終端對信息接收終端響應(yīng)消息的有效認證。
如圖9所示,為本發(fā)明響應(yīng)消息認證裝置實施例二的結(jié)構(gòu)示意圖,該裝 置具體包括轉(zhuǎn)發(fā)單元21,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;發(fā)
24送單元31,用于將生成的包含標識發(fā)起響應(yīng)消息真實實體信息的簽名和證書
信息插入到響應(yīng)消息中并發(fā)送;成功消息轉(zhuǎn)發(fā)單元26,用于將上述響應(yīng)消息
中的上述簽名和證書信息移除并發(fā)送。
上述裝置設(shè)置在網(wǎng)絡(luò)側(cè),另外,上述裝置還可以包括驗證單元25,用 于驗證包含上述簽名和證書信息的響應(yīng)消息是否合法,若合法則將上述響應(yīng) 消息中的上述簽名和證書信息移除并發(fā)送,否則,先發(fā)送失敗消息,后發(fā)送 響應(yīng)失敗消 息o
其中,上述驗證單元具體可以包括獲取模塊251,用于獲取響應(yīng)消息 中的證書信息;判斷模塊252,用于比較簽名中標識發(fā)起所述響應(yīng)消息真實 實體信息的域名部分是否與所述證書中的證書所有者同屬一個域,若不同屬 一個域,則驗證失敗,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息,若同屬一個 域,則按照生成簽名時所采用的簽名算法,對所述簽名進行驗證,若驗證通 過,則將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送,否則,先發(fā)送 失敗消息,后發(fā)送響應(yīng)失敗消息。
上述響應(yīng)消息認證裝置,利用轉(zhuǎn)發(fā)單元轉(zhuǎn)發(fā)接收的請求消息,利用發(fā)送 單元將生成的簽名和證書信息插入到響應(yīng)消息中并發(fā)送給接收方代理服務(wù) 器,然后利用驗證單元驗證響應(yīng)消息中包含的簽名和證書信息是否合法,若 合法通過成功消息轉(zhuǎn)發(fā)單元將響應(yīng)消息發(fā)送給請求終端,從而完成請求終端 與接收終端的正常會話;同時,也可以利用失敗消息發(fā)送單元將失敗的挑戰(zhàn) 響應(yīng)信息發(fā)送給接收方代理服務(wù)器,進而發(fā)送給請求終端以結(jié)束會話;也可 以利用失敗消息轉(zhuǎn)發(fā)單元將失敗的響應(yīng)消息發(fā)送給請求終端以結(jié)束會話;從 而較好地實現(xiàn)了消息請求終端對信息接收終端響應(yīng)消息的有效認證。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其 限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或 者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應(yīng)技 術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
權(quán)利要求
1、一種響應(yīng)消息認證方法,其特征在于包括轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;接收轉(zhuǎn)發(fā)的所述請求消息并發(fā)送;接收返回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端,將生成的包含標識發(fā)起所述響應(yīng)消息真實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā)送;將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
2、 根據(jù)權(quán)利要求1所述的響應(yīng)消息認證方法,其特征在于所述接收轉(zhuǎn) 發(fā)的所述請求消息并發(fā)送具體為在接收到的轉(zhuǎn)發(fā)的所述請求消息中加入挑 戰(zhàn)信息并發(fā)送。
3、 根據(jù)權(quán)利要求2所述的響應(yīng)消息認證方法,其特征在于所述接收返 回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端,將生成的包含標識發(fā)起所述響應(yīng) 消息真實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā)送具體包 括檢查接收的帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息是否合法,若合法,則根據(jù)返回的帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息,將生成的包含標識發(fā)起所述響應(yīng)信息真 實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā)送。
4、 才艮據(jù)權(quán)利要求3所述的響應(yīng)消息認證方法,其特征在于所述將所述 響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送之前還包括驗證包含所述簽名和證書信息的響應(yīng)消息是否合法,若合法則將所述響 應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
5、 根據(jù)權(quán)利要求4所述的響應(yīng)消息認證方法,其特征在于所述驗證包 含所述簽名和證書信息的響應(yīng)消息是否合法,若合法則將所述響應(yīng)消息中的 所述簽名和證書信息移除并發(fā)送具體包括獲取響應(yīng)消息中的證書信息,比較簽名中標識發(fā)起所述響應(yīng)信息真實實個域,則按照生成簽名時所采用的簽名算法,對所述簽名進行驗證,若驗證 通過,則將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
6、 一種響應(yīng)消息認證方法,其特征在于包括 轉(zhuǎn)發(fā)接收的包含預定標簽的請求消息;將生成的包含標識發(fā)起響應(yīng)信息真實實體信息的簽名和證書信息插入到 響應(yīng)消息中并發(fā)送;將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
7、 根據(jù)權(quán)利要求6所述的響應(yīng)消息認證方法,其特征在于所述將所述 響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送之前還包括驗證包含所述簽名和證書信息的響應(yīng)消息是否合法,若合法則將所述響 應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
8、 根據(jù)權(quán)利要求7所述的響應(yīng)消息認證方法,其特征在于所述驗證包 含所述簽名和證書信息的響應(yīng)消息是否合法,若合法則將所述響應(yīng)消息中的 所述簽名和證書信息移除并發(fā)送具體包括獲取響應(yīng)消息中的證書信息,比較簽名中標識發(fā)起所述響應(yīng)消息真實實 體信息的域名部分是否與所述證書中的證書所有者同屬一個域,如果同屬一 個域,則按照生成簽名時所采用的簽名算法,對所述簽名進行驗證,若驗證 通過,則將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
9、 一種響應(yīng)消息認證系統(tǒng),包括請求方代理服務(wù)器和接收方代理服務(wù) 器,其特征在于所述請求方代理服務(wù)器包括請求消息轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息; 響應(yīng)消息接收單元,用于接收帶有簽名和證書信息的響應(yīng)消息并轉(zhuǎn)發(fā); 響應(yīng)認證單元,用于接收響應(yīng)消息接收單元轉(zhuǎn)發(fā)的帶有簽名和證書信息的響應(yīng)消息,并驗證所述響應(yīng)消息是否合法,若合法則將所述簽名和證書信息移除并轉(zhuǎn)發(fā);所述接收方代理服務(wù)器包括請求消息轉(zhuǎn)接單元,用于接收請求消息轉(zhuǎn)發(fā)單元轉(zhuǎn)發(fā)的請求消息;請求消息處理單元,用于根據(jù)接收到的請求消息判斷是否需要返回重定 向響應(yīng)信息,及當不需要返回重定向響應(yīng)信息時,對請求消息進行處理并發(fā)送;重定向單元,用于當需要返回響應(yīng)信息時,發(fā)送包含標識發(fā)起所述響應(yīng) 消息真實實體信息的響應(yīng)信息;認證單元,用于接收返回的響應(yīng)消息,并認證所述響應(yīng)消息是否合法, 若合法則發(fā)送包含標識發(fā)起所述響應(yīng)消息真實實體信息的響應(yīng)消息;簽名單元,用于對標識發(fā)起所述響應(yīng)消息真實實體的信息進行簽名,并 將所述簽名和證書信息插入到響應(yīng)消息中并發(fā)送。
10、 根據(jù)權(quán)利要求9所述的響應(yīng)消息認證系統(tǒng),其特征在于還包括請 求終端,所述請求終端包括請求消息生成單元,用于生成包含預定標簽的請求消息并發(fā)送; 響應(yīng)消息接收單元,用于接收轉(zhuǎn)發(fā)的移除簽名和證書信息的響應(yīng)消息。
11、 根據(jù)權(quán)利要求10所述的響應(yīng)消息認證系統(tǒng),其特征在于還包括 ^接收終端,所述接收終端包括請求消息接收單元,用于接收請求消息處理單元轉(zhuǎn)發(fā)的請求消息; 處理單元,用于根據(jù)請求消息接收單元接收的請求消息生成響應(yīng)消息; 響應(yīng)消息發(fā)送單元,用于發(fā)送生成的響應(yīng)消息。
12、 根據(jù)權(quán)利要求11所述的響應(yīng)消息認證系統(tǒng),其特征在于所述請 求消息處理單元具體為挑戰(zhàn)請求消息處理單元,用于根據(jù)接收到的請求消息 判斷是否需要返回重定向響應(yīng)信息,及當不需要返回重定向響應(yīng)信息時,在 請求消息中插入挑戰(zhàn)信息并發(fā)送。
13、 根據(jù)權(quán)利要求12所述的響應(yīng)消息認證系統(tǒng),其特征在于所述響 應(yīng)認證單元具體包括證書獲取單元,用于接收響應(yīng)消息接收單元轉(zhuǎn)發(fā)的帶有簽名和證書信息的響應(yīng)消息,并根據(jù)證書信息中的地址獲取證書;證書認證單元,用于根據(jù)獲取的證書并驗證所述響應(yīng)信息是否合法,若合法則移除所述簽名和證書信息,并轉(zhuǎn)發(fā)移除所述簽名和證書信息的響應(yīng)消 自、
14、 根據(jù)權(quán)利要求13所述的響應(yīng)消息認證系統(tǒng),其特征在于 所述請求消息接收單元具體為挑戰(zhàn)請求消息接收單元,用于接收請求消息處理單元轉(zhuǎn)發(fā)的帶有挑戰(zhàn)信息的請求消息;所述處理單元具體為挑戰(zhàn)信息處理單元,用于根據(jù)請求消息接收單元接收的帶有挑戰(zhàn)信息的請求消息生成帶有挑戰(zhàn)響應(yīng)信息的響應(yīng)消息;所述響應(yīng)消息發(fā)送單元具體為挑戰(zhàn)響應(yīng)消息發(fā)送單元,用于發(fā)送帶有挑 戰(zhàn)響應(yīng)信息的響應(yīng)消息。
15、 一種響應(yīng)消息認證裝置,其特征在于包括 轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息; 接收單元,用于接收轉(zhuǎn)發(fā)的所述請求消息并發(fā)送; 成功消息發(fā)送單元,接收返回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端,將生成的包含標識發(fā)起所述響應(yīng)消息真實實體的信息的簽名及證書信息插入 到該響應(yīng)消息中并發(fā)送;成功消息轉(zhuǎn)發(fā)單元,將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送。
16、 根據(jù)權(quán)利要求15所述的響應(yīng)消息認證裝置,其特征在于所述接 收單元具體為挑戰(zhàn)消息收發(fā)單元,用于在接收到的轉(zhuǎn)發(fā)的所述請求消息中加入挑戰(zhàn)信息并發(fā)送。
17、 根據(jù)權(quán)利要求16所述的響應(yīng)消息認證裝置,其特征在于所述成 功消息發(fā)送單元具體為成功挑戰(zhàn)消息發(fā)送單元,用于根據(jù)返回的帶有挑戰(zhàn)響 應(yīng)信息的響應(yīng)信息,將生成的包含標識發(fā)起所述響應(yīng)信息真實實體的信息的簽名及^E書信息插入到該響應(yīng)消息中并發(fā)送。
18、 根據(jù)權(quán)利要求17所述的響應(yīng)消息認證裝置,其特征在于還包括 檢查單元,用于檢查接收的挑戰(zhàn)響應(yīng)消息是否合法,若合法,則將響應(yīng)消息發(fā)送給成功挑戰(zhàn)消息發(fā)送單元,否則,先發(fā)送失敗消息,后發(fā)送響應(yīng)失 敗消息;結(jié)束。
19、 根據(jù)權(quán)利要求18所述的響應(yīng)消息認證裝置,其特征在于還包括 驗證單元,用于驗證包含所述簽名和證書信息的響應(yīng)消息是否合法,若合法則將所述響應(yīng)消息發(fā)送至成功消息轉(zhuǎn)發(fā)單元,否則,先發(fā)送失敗消息, 后發(fā)送響應(yīng)失敗消息。
20、 根據(jù)權(quán)利要求19所述的響應(yīng)消息認證裝置,其特征在于所述驗 證單元具體包括獲取模塊,用于獲取響應(yīng)消息中的證書信息;判斷模塊,用于比較簽名中標識發(fā)起所述響應(yīng)信息真實實體信息的域名 部分是否與所述證書中的證書所有者同屬一個域,若不同屬一個域,則驗證 失敗,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息,若同屬一個域,則按照生成 簽名時所采用的簽名算法,對所述簽名進行驗證,若驗證通過,則將所迷響 應(yīng)消息中的所述簽名和證書信息移除并發(fā)送,否則,先發(fā)送失敗消息,后發(fā) 送響應(yīng)失敗消息。
21、 一種響應(yīng)消息認證裝置,其特征在于包括 轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;發(fā)送單元,用于將生成的包含標識發(fā)起響應(yīng)消息真實實體信息的簽名和 證書信息插入到響應(yīng)消息中并發(fā)送;成功消息轉(zhuǎn)發(fā)單元,用于將所述響應(yīng)消息中的所述簽名和證書信息移除 并發(fā)送。
22、 根據(jù)權(quán)利要求21所述的響應(yīng)消息認證裝置,其特征在于還包括 驗證單元,用于驗證包含所述簽名和證書信息的響應(yīng)消息是否合法,若合法則將所述響應(yīng)消息發(fā)送至成功消息轉(zhuǎn)發(fā)單元,否則,先發(fā)送失敗消息, 后發(fā)送響應(yīng)失敗消息。
23、 根據(jù)權(quán)利要求22所述的響應(yīng)消息認證裝置,其特征在于所述驗 證單元具體包括獲取模塊,用于獲取響應(yīng)消息中的證書信息;判斷模塊,用于比較簽名中標識發(fā)起所述響應(yīng)消息真實實體信息的域名 部分是否與所述證書中的證書所有者同屬一個域,若不同屬一個域,則驗證 失敗,先發(fā)送失敗消息,后發(fā)送響應(yīng)失敗消息,若同屬一個域,則按照生成 簽名時所采用的簽名算法,對所述簽名進行驗證,若驗證通過,則將所述響 應(yīng)消息中的所述簽名和證書信息移除并發(fā)送,否則,先發(fā)送失敗消息,后發(fā) 送響應(yīng)失敗消息。
全文摘要
本發(fā)明涉及一種響應(yīng)消息認證方法、裝置及系統(tǒng),該響應(yīng)消息認證方法包括轉(zhuǎn)發(fā)接收到的包含預定標簽的請求消息;接收轉(zhuǎn)發(fā)的所述請求消息并發(fā)送;接收返回的響應(yīng)消息,并認證響應(yīng)消息發(fā)送終端,將生成的包含標識發(fā)起所述響應(yīng)消息真實實體的信息的簽名及證書信息插入到該響應(yīng)消息中并發(fā)送;將所述響應(yīng)消息中的所述簽名和證書信息移除并發(fā)送;上述響應(yīng)消息認證方法、裝置及系統(tǒng),可以較好地實現(xiàn)消息請求終端對消息接收終端響應(yīng)消息的有效認證。
文檔編號H04L1/16GK101527632SQ20081010146
公開日2009年9月9日 申請日期2008年3月6日 優(yōu)先權(quán)日2008年3月6日
發(fā)明者江為強, 陽 辛, 鈕心忻, 驥 馬, 高洪濤 申請人:華為技術(shù)有限公司;北京郵電大學