本发明专利技术公开了一种Web实时通信中的访问控制方法,涉及互联网实时通信领域。本发明专利技术实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。
【技术实现步骤摘要】
本专利技术涉及互联网实时通信领域,特别涉及一种Web实时通信中的访问控制方法。
技术介绍
在互联网的Web实时通信业务中,终端间的媒体流往往需要穿越防火墙,而在穿越双端都是对称型的防火墙时需要使用STUN(Sess1n Traversal Utilities for NAT,会话穿透效用的网络地址转换)服务器或TURN (Traversal Using Relays around NAT,中继穿透的网络地址转换)服务器进行媒体中继。现有的Web实时通信中,终端向第三方应用平台申请令牌,第三方应用平台通知能力平台产生令牌,能力平台向第三方应用平台和STUN/TURN服务器推送该令牌,从而在STUN/TURN服务器和第三方应用平台共享针对每个终端请求产生的令牌,STUN/TURN服务器根据令牌对终端的访问进行控制。上述访问控制方案存在以下问题:一方面,系统中共享的是终端令牌,大规模部署场景中终端及其令牌数量巨大,难以满足实时性的要求;另一方面,终端令牌泄露后存在被冒用的风险。
技术实现思路
本专利技术实施例所要解决的一个技术问题是:由于共享令牌数量巨大所导致的实时性差的问题,以及令牌泄露后存在的被冒用的问题。根据本专利技术实施例的一个方面,提出一种Web实时通信中的访问控制方法,包括:网络地址转换穿透服务器接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;网络地址转换穿透服务器根据校验结果控制所述终端的访问。在一个实施例中,所述网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验包括:网络地址转换穿透服务器在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;网络地址转换穿透服务器使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;网络地址转换穿透服务器通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。在一个实施例中,所述网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验包括:网络地址转换穿透服务器从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。在一个实施例中,所述用户名还包括产生时间,所述方法还包括:网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。在一个实施例中,所述网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验包括:网络地址转换穿透服务器比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。在一个实施例中,所述终端进行访问之后,所述方法还包括:网络地址转换穿透服务器将所述用户名中的应用标识和序列号插入到已使用序列号列表中。根据本专利技术实施例的再一方面,提出一种Web实时通信中的访问控制装置,包括:信息接收模块,用于接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;令牌合法性校验模块,用于利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;令牌是否已使用校验模块,用于对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;访问控制模块,用于网络地址转换穿透服务器根据校验结果控制所述终端的访问。在一个实施例中,所述令牌合法性校验模块,具体用于:在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。在一个实施例中,所述令牌是否已使用校验模块,具体用于:从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。在一个实施例中,所述用户名还包括产生时间,所述装置还包括:令牌期限校验模块,用于对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。在一个实施例中,所述令牌期限校验模块,具体用于:比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。在一个实施例中,访问控制装置还包括:已用信息处理模块,用于在所述终端进行访问之后,将所述用户名中的应用标识和序列号插入到已使用序列号列表中。本专利技术实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。通过以下参照附图对本专利技术的示例性实施例的详细描述,本专利技术的其它特征及其优点将会变得清楚。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的网络架构示意图和访问控制示意图。图2为本专利技术用户名包括应用标识和序列号时Web实时通信中的访问控制方法流程意图。图3为本专利技术用户名包括应用标识、序列号和产生时间时Web实时通信中的访问控制方法流程示意图。图4为本专利技术Web实时通信中的访问控制装置一个实施例的结构示意图。图5为本专利技术Web实时通信中的访问控制装置再一个实施例的结构示意图。【具体实施方式】下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整本文档来自技高网...
【技术保护点】
一种Web实时通信中的访问控制方法,包括:网络地址转换穿透服务器接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;网络地址转换穿透服务器根据校验结果控制所述终端的访问。
【技术特征摘要】
【专利技术属性】
技术研发人员:赵继壮,杨鑫,吕国松,付斌,叶华,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。