一种接入SIP安防视频监控系统的身份认证方法技术方案

本发明专利技术涉及一种接入SIP安防视频监控系统的身份认证方法，包括SIP终端在SIP服务器处进行身份认证完成注册；需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商；SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息，并下发相关密钥；两个SIP终端间通过点到点认证令牌交换进行双向身份认证；双向身份认证通过的SIP终端间进行信息交互；当SIP终端离开当前网络时，需要在SIP服务器上进行注销认证；本发明专利技术可实现网络实体之间安全高效地多实体初次认证、SIP终端之间的快速重认证，保证视频信令流和媒体流双通道认证等，大大提高了接入安全性，数据传输、存储及访问的安全性。

【技术实现步骤摘要】
一种接入SIP安防视频监控系统的身份认证方法
本专利技术涉及视频监控联网领域，尤其涉及一种接入SIP安防视频监控系统的身份认证方法。
技术介绍
近年来，随着计算机、网络以及图像处理、传输技术的飞速发展，视频监控技术也有了长足的发展。从80年代初的模拟监控到90年代的数字监控，再到近年来的网络视频监控，从技术角度来看，视频监控系统的发展则经历了第一代以模拟设备为主的闭路电视监控系统，到第二代基于“PC+多媒体卡”数字视频监控系统，再到第三代完全基于IP网络视频监控系统。虽然中国视频监控市场发生了翻天覆地的发展，但是，在当前的视频监控市场中，不同监控系统采用的信令控制协议不统一，因此，互联互通困难，无法满足网络化时代对大规模电信级视频监控、远程访问、集中管理的需求。于是设计者们将目光投向了通用的SIP协议与H.323协议。但是，H.323由于其协议族过于复杂庞大，不如SIP简单灵活，而且SIP更适合用于分布式控制场景。将SIP作为未来市场网络视频监控的主流协议已成为业界共识，基于SIP的安全防范视频监控联网系统可谓是今后视频监控领域发展的主流趋势。但是，在其飞速发展的背后，由于IP网络固有的开放式特点、IP网络和SIP协议本身存在的安全缺陷以及应用系统的网络安全隐患，使得整个基于IP的视频监控系统及其设备都面临着严峻的信息安全风险。通过IP网络，攻击者可以轻而易举地侵入监控设备，发起例如窃取或篡改监控画面、对摄像机进行非法操控等攻击，达到窥探隐私，威胁用户、管理部门、政府甚至国家公共安全的目的。这些安全隐患的根源就在于现有市面上的监控产品(包括摄像机、网络硬盘录像机等)都或多或少的存在着信息安全漏洞。由上述可见，监控设备和系统亟需有效的信息安全防护机制。虽然目前在视频监控领域最有影响力的两大组织ONVIF(OpenNetworkVideoInterfaceForum，开放型网络视频接口论坛)和PSIA(PhysicalSecurityInteroperabilityAlliance,物理安防互操作性联盟)都已意识到这一点，并都相继针对监控系统的安全问题提出了一些应对方案，但是这两大组织的主要目的是致力于使基于IP网络的不同安防系统具有兼容性和互通性。由于信息安全问题并不是他们的主要任务，所以他们也只是给出了一些安全相关建议，因此对于系统安全，特别是前端摄像机的安全并没有形成完整的信息安全解决方案。同时，在目前我国视频监控系统体系中也缺乏专门针对前端摄像机的信息安全防护标准，使得我国市场上的摄像机产品普遍缺乏成体系的信息安全防护机制，极易造成对视频监控用户自身隐私的泄露，从而成为安全隐患。一个比较完整的信息安全解决方案总的来说应该满足以下两个方面：保护数据及整个系统不被未经授权的访问、使用、泄露、修改和破坏；为数据和系统提供机密性、完整性、可用性和不可否认性。为了实现以上安全功能，从技术层面出发，则需要考虑以下3个方面：网络接入安全、传输安全以及数据存储、访问安全。其中，网络接入安全是所有安全的前提和基础，只有保证了系统中的所有合法设备都能安全地接入符合安全要求的网络，为系统中设备之间、设备与用户之间创建起安全的通道，才能保证后续的通信安全。要实现网络接入安全，一个重要的手段就是实现网络(通信实体之间的)身份认证，目前进行网络身份认证主要涉及到设备身份认证和用户身份认证两种。设备身份认证是指在设备接入网络的过程中，实现设备与网络之间的双向身份鉴别，有效阻止不符合安全要求的监控设备访问网络，并且避免设备接入不符合安全要求的网络。用户接入网络的安全则是指在视频监控用户(客户端)在访问、查看视频数据之前的接入网络过程中，网络通过对用户的身份认证实现对用户权限的有效管控。目前，现有系统或标准中建议使用终端安全接入管理机制提供多种安全接入认证，例如使用IEEE802.1x端口访问机制、IEEE802.11i协议等来保障网络接入安全。但是以上现有的安全技术，都存在着单向认证的安全漏洞，未考虑中间人攻击，密钥管理复杂，系统可扩展性和灵活性差等缺陷。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足，提供一种接入SIP安防视频监控系统的身份认证方法，解决由于IP网络固有的开放式特点、IP网络和SIP协议本身存在的安全缺陷以及应用系统所带来的网络安全隐患问题。本专利技术解决上述技术问题的技术方案如下：一种接入SIP安防视频监控系统的身份认证方法，包括如下步骤：步骤1：需入网的SIP终端在SIP服务器处进行三元对等身份认证完成注册，获得入网权限；步骤2：需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商；步骤3：SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息，并下发相关密钥；步骤4：需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证，实现链路认证；步骤5：双向身份认证通过的SIP终端间开启会话，进行信息交互；步骤6：当SIP终端要离开当前网络时，需要在其注册的SIP服务器上进行注销认证，认证通过则允许离开当前网络。本专利技术的有益效果是：在SIP视频监控联网系统中，实现SIP终端、SIP服务器和认证服务器之间安全高效地多实体初次认证、SIP终端之间的快速重认证及保证了视频信令流和媒体流双通道认证等网络接入安全性。在上述技术方案的基础上，本专利技术还可以做如下改进。进一步，上述技术方案还包括设定认证有效期，当有效期届满时，两个SIP终端需要进行点对点重认证操作，具体实现为两个SIP终端之间交换点对点重认证令牌，按照初次认证的步骤进行重认证；当两个SIP终端需暂时关闭会话时，两个SIP终端需交换点对点会话关闭令牌，认证通过则关闭会话；当两个SIP终端要彻底关闭通信链路时，两个SIP终端除交换点对点会话关闭令牌之外，还需要交换点对点链路关闭令牌，认证通过时，彻底关闭链路。采用上述进一步方案的有益效果：重认证机制可进一步提高设备认证的安全性，有效识别网络内部的非法设备；点对点认证、重认证、关闭会话和关闭链路认证等操作可合理管理SIP终端之间的会话和链路的创建、关闭等过程。进一步，所述SIP终端和SIP服务器中分别预存有认证服务器签发的公钥证书和相应的私钥，且均预存有认证服务器的公钥证书。进一步，所述步骤1的具体实现为：步骤1.1：SIP终端向SIP服务器发送触发注册请求消息M1；步骤1.2：SIP服务器在收到SIP终端发送的触发注册请求M1后，向所述SIP终端发送触发注册响应消息M2；步骤1.3：所述SIP终端验证触发响应消息M2的合法性，若合法，向SIP服务器发送接入认证请求M3；否则返回步骤1.1；步骤1.4：SIP服务器验证所述SIP终端发送的接入认证请求M3的合法性，若合法，SIP服务器向认证服务器发送证书认证请求M4，执行步骤1.5；否则向SIP终端发送注册失败的信息，返回步骤1.1；步骤1.5：认证服务器验证所述SIP服务器发送的证书认证请求M4的合法性，若合法，则生成验证结果并对验证结果签名，将携带已签名的验证结果的证书认证响应消息M5发送给SIP服务器，执行步骤1.6；否则向SIP服务器发送证书认证失败的信息，返回步骤1.1；步骤1.6：SIP服务器验证本文档来自技高网...

【技术保护点】
一种接入SIP安防视频监控系统的身份认证方法，其特征在于，包括如下步骤：步骤1：需入网的SIP终端在SIP服务器处进行三元对等身份认证完成注册，获得入网权限；步骤2：需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商；步骤3：SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息，并下发相关密钥；步骤4：需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证，实现链路认证；步骤5：双向身份认证通过的SIP终端间开启会话，进行信息交互；步骤6：当SIP终端要离开当前网络时，需要在其注册的SIP服务器上进行注销认证，认证通过则允许离开当前网络。

【技术特征摘要】
1.一种接入SIP安防视频监控系统的身份认证方法，其特征在于，包括如下步骤：步骤1：需入网的SIP终端在SIP服务器处进行三元对等身份认证完成注册，获得入网权限；步骤2：需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商；所述步骤2的具体实现如下：步骤2.1：SIP服务器向SIP终端发送单播密钥和安全会话协商请求M7；步骤2.2：SIP终端对接收到的单播密钥和安全会话协商请求M7进行验证，验证通过，则生成单播密钥和安全会话协商响应消息M8，并发送给SIP服务器；步骤2.3：SIP服务器对接收的单播密钥和安全会话协商响应消息M8进行验证，验证通过，则生成单播密钥与安全会话协商确认消息M9，并发送给SIP终端；步骤2.4：SIP终端对接收到单播密钥与安全会话协商确认消息M9进行验证，验证通过，向SIP服务器发送确认消息M10；所述单播密钥和安全会话协商请求M7携带单播密钥与安全会话协商请求分组n6，所述单播密钥和安全会话协商响应消息M8携带单播密钥和安全会话协商响应分组n7，所述单播密钥与安全会话协商确认消息M9携带单播密钥与安全会话协商确认分组n8；所述单播密钥与安全会话协商请求分组n6包括MKID、ADDID地址索引、SIP服务器生成的随机数和SIP服务器签名；所述单播密钥和安全会话协商响应分组n7包括标识FLAG、MKID、ADDID地址索引、SIP终端生成的随机数、SIP服务器生成的随机数、SIP终端的RTP/RTCP信息和单播数据消息认证码MIC；所述单播密钥与安全会话协商确认分组n8包括标识FLAG、MKID、ADDID地址索引、SIP终端生成的随机数、密钥协商结果和单播数据消息认证码MIC；其中，MKID为主密钥ID；步骤3：SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息，并下发相关密钥；步骤4：需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证，实现链路认证；所述步骤4中需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证，实现链路认证的具体步骤如下：步骤4.1：两个SIP终端交换点对点认证令牌；步骤4.2：两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令牌中的单播数据消息认证码，验证通过，则执行步骤4.3；否则返回步骤4.1，并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程；步骤4.3：检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所认同的一致，如果一致，则执行步骤4.4；否则返回步骤4.1，并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程；步骤4.4：检查对方的当前系统时间与自己的系统时间之差，如果在预定接受的范围内，则完成点对点认证令牌验证工作，实现点对点认证；否则返回步骤4.1，并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程；步骤5：双向身份认证通过的SIP终端间开启会话，进行信息交互；步骤6：当SIP终端要离开当前网络时，需要在其注册的SIP服务器上进行注销认证，认证通过则允许离开当前网络。2.根据权利要求1所述一种接入SIP安防视频监控系统的身份认证方法，其特征在于，还包括设定认证有效期，当有效期届满时，两个SIP终端需要进行点对点重认证操作，具体实现为两个SIP终端之间交换点对点重认证令牌，按照初次认证的步骤进行重认证；当两个SIP终端需暂时关闭会话时，两个SIP终端需交换点对点会话关闭令牌，认证通过则关闭会话；当两个SIP终端要彻底关闭通信链路时，两个SIP终端除交换点对点会话关闭令牌之外，还需要交换点对点链路关闭令牌，认证通过时，彻底关闭链路。3.根据权利要求1所述一种接入SIP安防视频监控系统的身份认证方法，其特征在于，所述SIP终端和SIP服务器中分别预存有认证服务器签发的公钥证书和相应的私钥，且均预存有认证服务器的公钥证书。4.根据权利要求1所述一种接入SIP安防视频监控系统的身份认证方法，其特征在于，所述步骤1的具体实现为：步骤1.1：SIP终端向SIP服务器发送触发注册请求消息M1；步骤1.2：SIP服务器在收到SIP终端发送的触发注册请求M1后，向所述SIP终端发送触发注册响应消息M2；步骤1.3：所述SIP终端验证触发响应消息M2的合法性，若合法，向SIP服务器发送接入认证请求M3；否则返回步骤1.1；步骤1.4：SIP服务器验证所述SIP终端发送的接入认证请求M3的合法性，若合法，SIP服务器向认证服务器发送证书认证请求M4，执行步骤1.5；否则，向SIP终端发送注册失败的信息，返回步骤1.1；步骤1.5：认证服务器验证所述SIP服务器发送的证书认证请求M4的合法性，若合法，则生成验证结果并对验证结果签名，将携带已签名的验证结果的证书认证响应消息M5发送给SIP服务器，执行步骤1.6；否则，向SIP服务器发送证书认证失败的信息，返回步骤1.1；步骤1.6：SIP服务器验证证书认证响应消息M5的合法性，若合法，则验证认证服务器对证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中SIP终端的证书验证结果，根据此字段来决定是否允许SIP终端接入，进而封装得到接入认证响应消息M6并发送给SIP终端，执行步骤1.7；否则，向认证服务器发送认证失败的信息，返回步骤1.1；步骤1.7：SIP终端验证接入认证响应消息M6的合法性，若合法，则验证认证服务器对则证书验证结果的签名字段的合法性，若合法，则查看证书验证结果字段中SIP服务器的证书验证结果，根据此字段决定是否接入该SIP服务器，如决定接入该SIP服务器，则进入待会话状态；否则，向SIP服务器发送认证失败的信息，返回步骤1.1。5.根据权利要求4所述一种接入SIP安防视频监控系统的身份认证方法，其特征在于，所述触发响应消息M2携带认证激活分组n1,注册请求M3携带接入认证请求分组n2,所述证书认证请求M4携带证书认证请求分组n3，所述证书认证响应消息M5携带证书认证响应分组n4，所述接入认证响应消息M6携带接入认证响应分组n5；所述认证激活分组n1包括标识FLAG、认证标识、SIP服务器生成的随机数，认证激活时间、相应的认证服务器账号、ECDH曲线相关参数、SIP服务器的公钥证书和SIP服务器签名；所述接入认证请求分组n2包括标识FLAG、认证标识、SIP终端生成的随机数、SIP密钥数据、认证激活分组n1中的SIP服务器生成的随机数、SIP服务器账号、ECDH曲线相关参数、SIP终端证书和SIP终端签名；所述证书认证请求分组n3包括ADDID地址索引、n2中SIP终端生成的随机数、n1中SIP服务器生成的随机数、SIP终端证书、SIP服务器证书和SIP服务器签名；所述证书认证响应分组n4包括ADDID地址索引、证书验证结果、认证服务器对证书验证结果字段的签名和认证服务器对本数据包的签名；所述接入认证响应分组n5包括标识FLAG、认证标识、n2中SIP终端生成的随机数、SIP终端密钥、n1中SIP服务器生成的随机数、SIP服务器密钥、接入结果、证书验证结果、认证服务器对证书验证结果的签名和SIP服务器签名。6.根据权利要求5所述一种接入SIP安防视频监控系统的身份认证方法，其特征在于，所述认证激活分组n1、接入认证请求分组n2和接入认证响应分组n5中的认证标识字段计算方式为：其中，nSIPServer为SIP服务器生成的随机数，PasswordSIPUA为预置在SIP终端和SIP服务器内的对应于SIP终端的用户名密码，Timeactive为认证激活时间。7.根据权利要求5所述一种接入SIP安防视频监控系统的身份认证方法，其特征在于，所述SIP服务器签名为SIP服务器用私钥对相应分组所有字段的签名；SIP终端签名为SIP终端用私钥对相应分组所有字段的签名。8.根据权利要求5所述一种接入SIP安防视频监控系统的身份认证方法，其特征在于，步骤1.3中SIP终端验证触发注册响应消息M2的合法性的具...

【专利技术属性】
技术研发人员：吕世超，卢翔，潘磊，周新运，朱红松，石志强，江再伟，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11