[发明专利]一种接入SIP安防视频监控系统的身份认证方法

摘要

本发明涉及一种接入SIP安防视频监控系统的身份认证方法，包括SIP终端在SIP服务器处进行身份认证完成注册；需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商；SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息，并下发相关密钥；两个SIP终端间通过点到点认证令牌交换进行双向身份认证；双向身份认证通过的SIP终端间进行信息交互；当SIP终端离开当前网络时，需要在SIP服务器上进行注销认证；本发明可实现网络实体之间安全高效地多实体初次认证、SIP终端之间的快速重认证，保证视频信令流和媒体流双通道认证等，大大提高了接入安全性，数据传输、存储及访问的安全性。

主权项

一种接入SIP安防视频监控系统的身份认证方法，其特征在于，包括如下步骤：步骤1：需入网的SIP终端在SIP服务器处进行三元对等身份认证完成注册，获得入网权限；步骤2：需要进行信息交互的SIP终端双方分别与SIP服务器进行单播密钥与安全会话协商；所述步骤2的具体实现如下：步骤2.1：SIP服务器向SIP终端发送单播密钥和安全会话协商请求M7；步骤2.2：SIP终端对接收到的单播密钥和安全会话协商请求M7进行验证，验证通过，则生成单播密钥和安全会话协商响应消息M8，并发送给SIP服务器；步骤2.3：SIP服务器对接收的单播密钥和安全会话协商响应消息M8进行验证，验证通过，则生成单播密钥与安全会话协商确认消息M9，并发送给SIP终端；步骤2.4：SIP终端对接收到单播密钥与安全会话协商确认消息M9进行验证，验证通过，向SIP服务器发送确认消息M10；所述单播密钥和安全会话协商请求M7携带单播密钥与安全会话协商请求分组n6，所述单播密钥和安全会话协商响应消息M8携带单播密钥和安全会话协商响应分组n7，所述单播密钥与安全会话协商确认消息M9携带单播密钥与安全会话协商确认分组n8；所述单播密钥与安全会话协商请求分组n6包括MKID、ADDID地址索引、SIP服务器生成的随机数和SIP服务器签名；所述单播密钥和安全会话协商响应分组n7包括标识FLAG、MKID、ADDID地址索引、SIP终端生成的随机数、SIP服务器生成的随机数、SIP终端的RTP/RTCP信息和单播数据消息认证码MIC；所述单播密钥与安全会话协商确认分组n8包括标识FLAG、MKID、ADDID地址索引、SIP终端生成的随机数、密钥协商结果和单播数据消息认证码MIC；其中，MKID为主密钥ID；步骤3：SIP服务器分别向需要进行信息交互的SIP终端发送点到点链路信息，并下发相关密钥；步骤4：需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证，实现链路认证；所述步骤4中需要进行信息交互的SIP终端间通过点到点认证令牌交换进行双向身份认证，实现链路认证的具体步骤如下：步骤4.1：两个SIP终端交换点对点认证令牌；步骤4.2：两个SIP终端分别利用单播数据完整性密钥验证对方的点对点认证令牌中的单播数据消息认证码，验证通过，则执行步骤4.3；否则返回步骤4.1，并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程；步骤4.3：检查两SIP终端之间单播数据完整性密钥索引字段是否与自己当前所认同的一致，如果一致，则执行步骤4.4；否则返回步骤4.1，并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程；步骤4.4：检查对方的当前系统时间与自己的系统时间之差，如果在预定接受的范围内，则完成点对点认证令牌验证工作，实现点对点认证；否则返回步骤4.1，并当执行预定次数后仍验证不通过的话则终止本次点对点认证过程；步骤5：双向身份认证通过的SIP终端间开启会话，进行信息交互；步骤6：当SIP终端要离开当前网络时，需要在其注册的SIP服务器上进行注销认证，认证通过则允许离开当前网络。