[发明专利]基于分叉的认证方法、系统以及分叉认证装置

说明书

技术领域

本发明涉及通信领域，并且特别地，涉及一种基于分叉的认证方法、系统以及分叉认证装置。

背景技术

在会话发起协议(Session Initiation Protocol，简称为SIP)中，一个呼叫可以被送到多个地点，无论接收者在哪里，呼叫者始终能够找到接收者，SIP的这种能力易于实现电信网络中的多方通话、一号通业务、呼叫前转业务。SIP分叉(Forking)可以实现这个功能，SIP分叉是指代理服务器把SIP请求发送给多个位置并把响应返回给发送者。一般意义上，分叉分为顺序分叉和并行分叉，前者指代理服务器逐个联系不同的接收者，后者指代理服务器同时联系不同的接收者。SIP支持顺序分叉和并行分叉，相对于顺序分叉，并行分叉可以减少会话建立的时间。

下一代网络(Next Generation Network，简称为NGN)是基于互联网协议(Internet Protocol，简称为IP)的技术，由于IP网络的不安全性，与传统的电信网络相比，NGN面临着各种安全威胁。其中，认证机制用以确认主体的身份，可以防止假冒之类的安全威胁。尽管用户信任网络，但是消息的接收者可能想知道消息发送者的身份，例如，垃圾信息制造者的身份，这样，消息的接收者就需要对消息的发送者进行认证。

目前，NGN针对代理-用户、用户-用户的认证的情况，提出了基于SIP信令的挑战/应答方式来认证源设备。但是NGN没有涉及SIP信令分叉的情况，因此不能支持电信网络中某些业务(如多方通话、一号通、呼叫前转)的认证。然而，目前尚未提出解决上述问题的技术方案。

发明内容

考虑到接收设备无法对源设备进行分叉认证的问题而做出本发明，为此，本发明的主要目的在于提供一种基于分叉的认证方法和系统，以解决相关技术中的上述问题。

根据本发明的一个方面，提供了一种基于分叉的认证方法，涉及至少两个接收设备对源设备进行认证。

根据本发明实施例的基于分叉的认证方法包括：在接收设备和源设备上分别设置认证凭证；分叉网元在接收到来自源设备的呼叫请求后，将呼叫请求进行分叉，并把分叉后的呼叫请求发送到对应的接收设备；分叉网元接收来自多个接收设备的挑战值，并将多个挑战值转发到源设备；分叉网元接收来自源设备重新发送的呼叫请求，其中，重新发送的呼叫请求中携带相关认证凭证；分叉网元将重新发送的呼叫请求进行分叉，并将分叉后的呼叫请求发送到对应的接收设备，以使接收设备根据认证凭证对源设备进行认证。

优选地，上述认证凭证包括以下至少之一：预共享密钥、数字证书。

优选地，上述分叉网元为服务呼叫会话控制功能设备，上述接收设备为在分叉网元之后的下一代网络网元和/或终端设备。

其中，将多个挑战值转发到源设备具体为：分叉网元将多个接收设备发送的多个挑战值聚合在分叉请求响应中，并将分叉请求响应发送到源设备。

此外，在上述分叉网元接收来自源设备重新发送的呼叫请求之前，上述方法还包括：源设备对不同的挑战值提供不同的认证凭证；源设备将不同的认证凭证聚合在呼叫请求中，并重新发送呼叫请求。

根据本发明的另一方面，提供了一种基于分叉的认证系统，包括至少两个接收设备对源设备进行认证。

根据本发明实施例的基于分叉的人证系统包括：设置模块，用于在接收设备和源设备上分别设置认证凭证；分叉网元，用于在接收到来自源设备的呼叫请求后，将呼叫请求进行分叉，发送到对应的接收设备，并将多个接收设备发送的多个挑战值转发到源设备；源设备，用于发送呼叫请求，以及在接收到多个挑战值后，重新发送呼叫请求，并在重新发送的呼叫请求中携带相关认证凭证；接收设备，用于在接收到重新发送的呼叫请求后，根据认证凭证完成对源设备的认证。

此外，上述分叉网元还用于接收来自源设备重新发送的呼叫请求。

根据本发明的再一方面，提供了一种分叉认证装置，位于源设备。

根据本发明实施例的分叉认证装置包括：设置模块，用于设置认证凭证；发送模块，用于发送呼叫请求；接收模块，用于接收来自分叉网元的挑战值；重发模块，用于重发呼叫请求，并在呼叫请求中携带与挑战值对应的认证凭证。

根据本发明的再一方面，还提供了一种分叉认证装置，位于接收设备。

根据本发明实施例的分叉认证装置包括：设置模块，用于设置认证凭证；发送模块，用于在接收到来自源设备的呼叫请求后，通过分叉网元向源设备发送挑战值；认证模块，用于在接收到源设备重新发送的呼叫请求后，根据重新发送的呼叫请求中携带的认证凭证完成对源设备的认证。