[发明专利]一种SIP终端接入鉴权的方法

说明书

技术领域

本发明涉及通信技术领域，具体而言，涉及一种SIP终端接入鉴权的方法。

背景技术

目前，随着VoIP（Voice over Internet Protocol，中文名：网络电话）业务的兴起，采用SIP（Session Initiation Protocol，中文名：会话发起协议）终端接入SIP服务器实现语音、视频呼叫的业务越来越多。

相比于传统的模拟电话，SIP终端接入通信网络的过程不受物理线路的限制，只要有网络，就可以使用系统预先分配的SIP账号和密码注册到SIP服务器上，并发起呼叫。

在SIP协议里规定的对SIP终端的鉴权方式是：当SIP服务器在收到对SIP终端发来的未经认证的访问请求时，会响应一个401Unauthorized（401未经授权）应答给SIP终端，其中包含realm、动态nonce、opaque、Algorithm、Qop等参数；SIP终端在重试发送注册请求时，也产生一个动态的cnonce值，并采用如下算法来计算摘要认证响应：

HA1 = md5("username:realm:password");

HA2 = md5("method:uri")

response = md5("HA1:nouce:nc:cnonce:qop:HA2");

SIP服务器收到SIP终端重发的注册请求后，要对用户名、口令进行合法性检查。SIP服务器使用已经保存在服务端的用户名和密码，并结合消息头域中的其他参数。采用和SIP终端相同的摘要认证算法（如MD5）计算摘要认证响应，并将计算结果与请求-摘要中的response值相比较。此鉴权过程的关键点在于：由于response的值与用户名、密码、nonce、cnonce、algorithm（约定的算法）等参数有关，因此如果结果一致，SIP服务器和SIP客户端双方都可以认为对方不是伪造的。

这样也就存在一个很大的风险，如果SIP账号和密码泄露，SIP账号和密码就有可能被盗用，并且SIP服务器也无法有效甄别哪个SIP终端是非法接入，SIP账号和密码就有可能被不法分子盗用。

因此，改进SIP终端接入SIP服务器的鉴权方法，使SIP服务器能够自动有效甄别出非法接入的SIP终端、并拒绝该SIP终端的注册请求，这是，目前亟待解决的技术问题。

发明内容

本发明的目的在于提供一种SIP终端接入鉴权的方法，其旨在解决SIP服务器也无法有效甄别SIP账号和密码是否被盗用、且无法有效拒绝被盗用的SIP账号的注册请求的技术问题。

本发明提供的技术方案：

一种SIP终端接入鉴权的方法包括以下步骤：

SIP终端向SIP服务器发送注册请求；

SIP服务器收到注册请求后，发送401Unauthorized消息给SIP终端，请求对SIP终端认证；

SIP终端收到401Unauthorized消息后，根据SIP服务器指示的摘要认证算法，将SIP终端的MAC地址作为输入参数之一，计算摘要认证响应，并计算出的摘要认证响应发送给SIP服务器；

SIP服务器收到SIP终端发来的摘要认证响应后，同样将SIP终端的MAC地址作为输入参数之一，采用和SIP终端相同的摘要认证算法，计算出摘要认证响应；

SIP服务器将计算出的摘要认证响应和接收到的报文中的摘要认证响应进行匹配，如果匹配一致，则允许SIP终端的注册请求，如果匹配不一致，则拒绝SIP终端的注册请求。

进一步地，SIP终端向SIP服务器发送注册请求之前，还包括步骤：

在SIP服务器中添加SIP账号，同时将SIP账号与使用该SIP账号的SIP终端的MAC地址绑定，并在SIP服务器中保存SIP账号、密码和SIP终端的MAC地址的对应关系。

进一步地，SIP终端向SIP服务器发送注册请求之前，还包括步骤：

在SIP服务器中添加SIP账号，同时将SIP账号与可以使用该SIP账号的多个SIP终端的MAC地址绑定，并在SIP服务器中保存SIP账号、密码和SIP终端的MAC地址的对应关系。

本发明提供的SIP终端接入鉴权的方法的有益效果是：

现有技术中，只要SIP账号泄露，就有被盗用的风险，并且很难判断哪个注册请求是非法接入的。利用本发明提供的SIP终端接入鉴权的方法，即使SIP账号、密码泄露了，如果不是通过预先绑定的SIP终端登录，SIP账号、密码也无法登录使用，这样，可以有效防止SIP账号被盗用的风险。