【技术实现步骤摘要】
一种接入SIP安防视频监控系统的身份认证方法
本专利技术涉及视频监控联网领域,尤其涉及一种接入SIP安防视频监控系统的身份认证方法。
技术介绍
近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控技术也有了长足的发展。从80年代初的模拟监控到90年代的数字监控,再到近年来的网络视频监控,从技术角度来看,视频监控系统的发展则经历了第一代以模拟设备为主的闭路电视监控系统,到第二代基于“PC+多媒体卡”数字视频监控系统,再到第三代完全基于IP网络视频监控系统。虽然中国视频监控市场发生了翻天覆地的发展,但是,在当前的视频监控市场中,不同监控系统采用的信令控制协议不统一,因此,互联互通困难,无法满足网络化时代对大规模电信级视频监控、远程访问、集中管理的需求。于是设计者们将目光投向了通用的SIP协议与H.323协议。但是,H.323由于其协议族过于复杂庞大,不如SIP简单灵活,而且SIP更适合用于分布式控制场景。将SIP作为未来市场网络视频监控的主流协议已成为业界共识,基于SIP的安全防范视频监控联网系统可谓是今后视频监控领域发展的主流趋势。但是,在其飞速发展的背后,由于IP网络固有的开放式特点、IP网络和SIP协议本身存在的安全缺陷以及应用系统的网络安全隐患,使得整个基于IP的视频监控系统及其设备都面临着严峻的信息安全风险。通过IP网络,攻击者可以轻而易举地侵入监控设备,发起例如窃取或篡改监控画面、对摄像机进行非法操控等攻击,达到窥探隐私,威胁用户、管理部门、政府甚至国家公共安全的目的。这些安全隐患的根源就在于现有市面上的监控产品(包括摄像机、网络硬盘 ...
【技术保护点】
一种接入SIP安防视频监控系统的身份认证方法,其特征在于,包括如下步骤:步骤1:需入网的SIP终端在SIP服务器处进行三元对等身份认证完成注册,获得入网权限;步骤2:需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商;步骤3:SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息,并下发相关密钥;步骤4:需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证,实现链路认证;步骤5:双向身份认证通过的SIP终端间开启会话,进行信息交互;步骤6:当SIP终端要离开当前网络时,需要在其注册的SIP服务器上进行注销认证,认证通过则允许离开当前网络。
【技术特征摘要】
1.一种接入SIP安防视频监控系统的身份认证方法,其特征在于,包括如下步骤:步骤1:需入网的SIP终端在SIP服务器处进行三元对等身份认证完成注册,获得入网权限;步骤2:需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商;所述步骤2的具体实现如下:步骤2.1:SIP服务器向SIP终端发送单播密钥和安全会话协商请求M7;步骤2.2:SIP终端对接收到的单播密钥和安全会话协商请求M7进行验证,验证通过,则生成单播密钥和安全会话协商响应消息M8,并发送给SIP服务器;步骤2.3:SIP服务器对接收的单播密钥和安全会话协商响应消息M8进行验证,验证通过,则生成单播密钥与安全会话协商确认消息M9,并发送给SIP终端;步骤2.4:SIP终端对接收到单播密钥与安全会话协商确认消息M9进行验证,验证通过,向SIP服务器发送确认消息M10;所述单播密钥和安全会话协商请求M7携带单播密钥与安全会话协商请求分组n6,所述单播密钥和安全会话协商响应消息M8携带单播密钥和安全会话协商响应分组n7,所述单播密钥与安全会话协商确认消息M9携带单播密钥与安全会话协商确认分组n8;所述单播密钥与安全会话协商请求分组n6包括MKID、ADDID地址索引、SIP服务器生成的随机数和SIP服务器签名;所述单播密钥和安全会话协商响应分组n7包括标识FLAG、MKID、ADDID地址索引、SIP终端生成的随机数、SIP服务器生成的随机数、SIP终端的RTP/RTCP信息和单播数据消息认证码MIC;所述单播密钥与安全会话协商确认分组n8包括标识FLAG、MKID、ADDID地址索引、SIP终端生成的随机数、密钥协商结果和单播数据消息认证码MIC;其中,MKID为主密钥ID;步骤3:SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息,并下发相关密钥;步骤4:需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证,实现链路认证;所述步骤4中需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证,实现链路认证的具体步骤如下:步骤4.1:两个SIP终端交换点对点认证令牌;步骤4.2:两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令牌中的单播数据消息认证码,验证通过,则执行步骤4.3;否则返回步骤4.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;步骤4.3:检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所认同的一致,如果一致,则执行步骤4.4;否则返回步骤4.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;步骤4.4:检查对方的当前系统时间与自己的系统时间之差,如果在预定接受的范围内,则完成点对点认证令牌验证工作,实现点对点认证;否则返回步骤4.1,并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程;步骤5:双向身份认证通过的SIP终端间开启会话,进行信息交互;步骤6:当SIP终端要离开当前网络时,需要在其注册的SIP服务器上进行注销认证,认证通过则允许离开当前网络。2.根据权利要求1所述一种接入SIP安防视频监控系统的身份认证方法,其特征在于,还包括设定认证有效期,当有效期届满时,两个SIP终端需要进行点对点重认证操作,具体实现为两个SIP终端之间交换点对点重认证令牌,按照初次认证的步骤进行重认证;当两个SIP终端需暂时关闭会话时,两个SIP终端需交换点对点会话关闭令牌,认证通过则关闭会话;当两个SIP终端要彻底关闭通信链路时,两个SIP终端除交换点对点会话关闭令牌之外,还需要交换点对点链路关闭令牌,认证通过时,彻底关闭链路。3.根据权利要求1所述一种接入SIP安防视频监控系统的身份认证方法,其特征在于,所述SIP终端和SIP服务器中分别预存有认证服务器签发的公钥证书和相应的私钥,且均预存有认证服务器的公钥证书。4.根据权利要求1所述一种接入SIP安防视频监控系统的身份认证方法,其特征在于,所述步骤1的具体实现为:步骤1.1:SIP终端向SIP服务器发送触发注册请求消息M1;步骤1.2:SIP服务器在收到SIP终端发送的触发注册请求M1后,向所述SIP终端发送触发注册响应消息M2;步骤1.3:所述SIP终端验证触发响应消息M2的合法性,若合法,向SIP服务器发送接入认证请求M3;否则返回步骤1.1;步骤1.4:SIP服务器验证所述SIP终端发送的接入认证请求M3的合法性,若合法,SIP服务器向认证服务器发送证书认证请求M4,执行步骤1.5;否则,向SIP终端发送注册失败的信息,返回步骤1.1;步骤1.5:认证服务器验证所述SIP服务器发送的证书认证请求M4的合法性,若合法,则生成验证结果并对验证结果签名,将携带已签名的验证结果的证书认证响应消息M5发送给SIP服务器,执行步骤1.6;否则,向SIP服务器发送证书认证失败的信息,返回步骤1.1;步骤1.6:SIP服务器验证证书认证响应消息M5的合法性,若合法,则验证认证服务器对证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中SIP终端的证书验证结果,根据此字段来决定是否允许SIP终端接入,进而封装得到接入认证响应消息M6并发送给SIP终端,执行步骤1.7;否则,向认证服务器发送认证失败的信息,返回步骤1.1;步骤1.7:SIP终端验证接入认证响应消息M6的合法性,若合法,则验证认证服务器对则证书验证结果的签名字段的合法性,若合法,则查看证书验证结果字段中SIP服务器的证书验证结果,根据此字段决定是否接入该SIP服务器,如决定接入该SIP服务器,则进入待会话状态;否则,向SIP服务器发送认证失败的信息,返回步骤1.1。5.根据权利要求4所述一种接入SIP安防视频监控系统的身份认证方法,其特征在于,所述触发响应消息M2携带认证激活分组n1,注册请求M3携带接入认证请求分组n2,所述证书认证请求M4携带证书认证请求分组n3,所述证书认证响应消息M5携带证书认证响应分组n4,所述接入认证响应消息M6携带接入认证响应分组n5;所述认证激活分组n1包括标识FLAG、认证标识、SIP服务器生成的随机数,认证激活时间、相应的认证服务器账号、ECDH曲线相关参数、SIP服务器的公钥证书和SIP服务器签名;所述接入认证请求分组n2包括标识FLAG、认证标识、SIP终端生成的随机数、SIP密钥数据、认证激活分组n1中的SIP服务器生成的随机数、SIP服务器账号、ECDH曲线相关参数、SIP终端证书和SIP终端签名;所述证书认证请求分组n3包括ADDID地址索引、n2中SIP终端生成的随机数、n1中SIP服务器生成的随机数、SIP终端证书、SIP服务器证书和SIP服务器签名;所述证书认证响应分组n4包括ADDID地址索引、证书验证结果、认证服务器对证书验证结果字段的签名和认证服务器对本数据包的签名;所述接入认证响应分组n5包括标识FLAG、认证标识、n2中SIP终端生成的随机数、SIP终端密钥、n1中SIP服务器生成的随机数、SIP服务器密钥、接入结果、证书验证结果、认证服务器对证书验证结果的签名和SIP服务器签名。6.根据权利要求5所述一种接入SIP安防视频监控系统的身份认证方法,其特征在于,所述认证激活分组n1、接入认证请求分组n2和接入认证响应分组n5中的认证标识字段计算方式为:其中,nSIPServer为SIP服务器生成的随机数,PasswordSIPUA为预置在SIP终端和SIP服务器内的对应于SIP终端的用户名密码,Timeactive为认证激活时间。7.根据权利要求5所述一种接入SIP安防视频监控系统的身份认证方法,其特征在于,所述SIP服务器签名为SIP服务器用私钥对相应分组所有字段的签名;SIP终端签名为SIP终端用私钥对相应分组所有字段的签名。8.根据权利要求5所述一种接入SIP安防视频监控系统的身份认证方法,其特征在于,步骤1.3中SIP终端验证触发注册响应消息M2的合法性的具...
【专利技术属性】
技术研发人员:吕世超,卢翔,潘磊,周新运,朱红松,石志强,江再伟,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。