技術領域

本發明涉及電通信技術，尤其涉及一種通訊終端注冊方法和系統。

背景技術

在采用國際電信聯盟電信標準化部門(Telecommunication?StandardizationSector?of?ITU)H323協議的多媒體通信系統中，大多采用的是“用戶標識+密碼”的方式實現對通訊終端的認證，例如圖1所示，首先完成網守發現過程，其流程如下：

1、通訊終端1開機，請求接入網絡，向網守2發送網守請求(GRQ：GatekeeperRequest)數據包。

2、網守2收到GRQ數據包后，發送網守確認(GCF：Gatekeeper?Conform)消息給終端。

3、通訊終端1收到GCF消息，發現網守成功。

通訊終端1發現網守成功后，如圖2所示，完成如下注冊流程：

1、通訊終端1將“用戶標識+密碼”通過注冊請求(RRQ：Register?Request)消息，發送給網守2。

2、網守2收到RRQ消息后，使用用戶標識為索引，找出數據庫中的密碼，將數據庫中的密碼與RRQ消息中的密碼進行比較，進行如下操作：

2.1如果兩者相同，則發送注冊確認(RCF：Register?Conform)消息至通訊終端1，通訊終端1收到RCF消息，則注冊成功。

2.2如果兩者不相同，發送RRJ消息至通訊終端1，通訊終端1收到注冊受拒(RRJ：Register?Reject)消息，注冊失敗。

以上描述了一般的“用戶標識+密碼”操作方式，現有技術中也有采用“用戶標識+密碼+信息-摘要算法(MD5：Message-Digest?Algorithm?5)”的方式實現對用戶的認證，與前面所述流程的不同之處僅在于：前者的密碼為明文，而在包含“MD5”的方式中密碼為密文。

現有技術具有如下缺點：

1、從上面的描述可以看出，這種“用戶標識+密碼”的RRQ消息在IP網絡上一旦被截獲，由于算法是公開的，可以通過程序，遍歷所有密碼的組合，可以在短時間內破譯密碼，他人的惡意使用會給用戶造成損失。

2、IP電話運營商(處于網守2)可以從數據庫中取得用戶的用戶標識和密碼，也會對用戶造成潛在的安全威脅。

3、現有的認證流程中都只有網絡(網守2)對用戶(通訊終端1)認證，卻沒有用戶(通訊終端1)對網絡(網守2)認證，這對于用戶(通訊終端1)的安全性來說，總是處于被動和不利的位置。

總之，現有技術中的通訊終端認證注冊安全性較差。

發明內容

本發明的目的在于提供一種安全性高的通訊終端注冊方法和系統，以解決現有技術中通訊終端認證注冊安全性較差的問題。

本發明所采用的通訊終端注冊方法為：對于采用H323協議的通信終端，使用SIM或USIM安全認證機制進行注冊，通過H323協議的網守發現流程和注冊流程承載，網守發現流程中的GCF消息承載用于SIM認證或USIM認證的參數組，注冊流程中的RRQ消息承載用于SIM認證或USIM認證的計算結果。

本發明基于SIM注冊方法包括如下步驟：

A1、通信終端向網守發送GRQ消息，所述的GRQ消息上承載請求認證的用戶標識；

A2、網守收到GRQ消息后，網守向認證鑒權中心發送認證請求；

A3、認證鑒權中心生成多個三參數組(RAND，XRES，Kc)，并將數據發送給網守；

A4、網守收到多個三參數組后，選擇其中一個參數組承載于GCF消息中，發送給通信終端；

A5、通信終端收到GCF消息后，根據RAND參數計算出Kc和RES，判斷RES和XRES是否相同，進行如下操作：

A51、若RES和XRES相同，通信終端向網守發送承載有計算結果RES的RRQ消息，繼續如下步驟A6；

A52、否則，結束認證；

A6、網守收到RRQ消息，比較XRES和RES，如果相同，注冊成功，向通信終端發送RCF消息。

所述的步驟A6之后，還包括如下步驟：

所述的網守通過對保活的RRQ消息的應答，承載RAND，可以再次啟動認證過程。

所述的步驟A6之后，還包括如下步驟：

通信終端在H225或H245消息采用網守路由模式的情況下，發起呼叫業務時，使用生成的密鑰Kc對H225或H245消息、以及業務數據進行加密。

本發明基于USIM注冊方法包括如下步驟：

B1、通信終端向網守發送GRQ消息，所述的GRQ消息上承載請求認證的用戶標識；