[发明专利]鉴权方法、客户端及服务器

说明书

技术领域

本发明涉及通信技术，尤其涉及一种鉴权方法、客户端及服务器。

背景技术

会话初始协议（Session Initiation Protocol，简称为SIP）是由互联网工程任务组（Internet Engineering Task Force，简称为IETF）发布的一种基于应用的多媒体会话控制协议，逐渐成为了多媒体通信的主要通信协议。目前，SIP采用客户端/服务器（Client/Server）结构的消息机制，其语法和语义借鉴了超文本传输协议（Hypertext transfer protocol，简称为HTTP），具有简单、灵活、易于实现等优点，但是容易被攻击者模仿，从而进行篡改和攻击。

为解决上述问题，SIP通过认证机制来保证安全性。其中，一种常用的认证方法是双向认证方法，即在服务器对客户端进行身份验证的基础上，增加了客户端对服务器的身份验证。这种方法是校验用户名和密码分别位于客户端和服务器，如果两端使用相同的密钥，一旦一端密钥被非法获取，攻击者同样能够伪装成服务器骗取客户端的信任进行攻击。

发明内容

提供一种鉴权方法、客户端及服务器，用以提高SIP通信的安全性。

第一方面提供一种鉴权方法，包括：

客户端与服务器协商确定会话初始协议SIP鉴权过程中使用的认证密钥；

所述客户端与所述服务器使用协商确定的认证密钥进行双向SIP鉴权。

结合第一方面，在第一方面的第一种可能的实现方式中，所述客户端与服务器协商确定会话初始协议SIP鉴权过程中使用的认证密钥包括：

所述客户端随机生成所述认证密钥，并使用公钥对所述认证密钥进行加密；

所述客户端将加密后的认证密钥携带在第一SIP请求消息中发送给所述服务器，以供所述服务器使用与所述公钥对应的私钥对所述加密后的认证密钥进行解密，获取所述认证密钥并存储在本地。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述客户端随机生成所述认证密钥，并使用公钥对所述认证密钥进行加密包括：

所述客户端随机生成所述认证密钥，并确定所述认证密钥的生存周期；

所述客户端使用所述公钥同时对所述认证密钥和所述生存周期进行加密；

所述客户端将加密后的认证密钥携带在第一SIP请求消息中发送给所述服务器，以供所述服务器使用与所述公钥对应的私钥对所述加密后的认证密钥进行解密，获取所述认证密钥并存储在本地包括：

所述客户端将加密后的认证密钥和加密后的生存周期同时携带在所述第一SIP请求消息中发送给所述服务器，以使所述服务器使用与所述公钥对应的私钥对所述加密后的认证密钥和所述加密后的生存周期进行解密，分别获取所述认证密钥和所述生存周期并存储在本地，其中，所述生成周期用于供所述服务器确定所述认证密钥剩余的有效时长，并在所述认证密钥剩余的有效时长小于预设门限时，向所述客户端发起认证密钥更新过程。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述鉴权方法进一步包括：

所述客户端接收所述服务器发送的第二SIP请求消息，所述第二SIP请求用于所述服务器向所述客户端请求对所述认证密钥进行更新；

所述客户端根据所述第二SIP请求消息，在所述认证密钥的生存周期结束后，随机生成新的认证密钥，并在对所述新的认证密钥进行加密后发送给所述服务器，以实现对所述认证密钥的更新。

结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式或第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述客户端与所述服务器使用协商确定的认证密钥进行双向SIP鉴权包括：

所述客户端向所述服务器发送第一SIP邀请消息，以主动发起所述服务器对所述客户端的SIP鉴权过程；

所述客户端接收所述服务器发送的第二SIP邀请消息，以发起所述客户端对所述服务器的SIP鉴权过程，其中，所述第二SIP邀请消息是所述服务器在所述客户端鉴权通过后发送的。

结合第一方面或第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式或第一方面的第三种可能的实现方式，在第一方面的第五种可能的实现方式中，所述客户端与所述服务器使用协商确定的认证密钥进行双向SIP鉴权包括：

所述客户端接收所述服务器发送的第三SIP邀请消息，以发起所述服务器对所述客户端的SIP鉴权过程；