Web实时通信中的访问控制方法和装置的制造方法
【技术领域】
[0001]本发明涉及互联网实时通信领域,特别涉及一种Web实时通信中的访问控制方法。
【背景技术】
[0002]在互联网的Web实时通信业务中,终端间的媒体流往往需要穿越防火墙,而在穿越双端都是对称型的防火墙时需要使用STUN(Sess1n Traversal Utilities for NAT,会话穿透效用的网络地址转换)服务器或TURN (Traversal Using Relays around NAT,中继穿透的网络地址转换)服务器进行媒体中继。
[0003]现有的Web实时通信中,终端向第三方应用平台申请令牌,第三方应用平台通知能力平台产生令牌,能力平台向第三方应用平台和STUN/TURN服务器推送该令牌,从而在STUN/TURN服务器和第三方应用平台共享针对每个终端请求产生的令牌,STUN/TURN服务器根据令牌对终端的访问进行控制。
[0004]上述访问控制方案存在以下问题:一方面,系统中共享的是终端令牌,大规模部署场景中终端及其令牌数量巨大,难以满足实时性的要求;另一方面,终端令牌泄露后存在被冒用的风险。
【发明内容】
[0005]本发明实施例所要解决的一个技术问题是:由于共享令牌数量巨大所导致的实时性差的问题,以及令牌泄露后存在的被冒用的问题。
[0006]根据本发明实施例的一个方面,提出一种Web实时通信中的访问控制方法,包括:网络地址转换穿透服务器接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;网络地址转换穿透服务器根据校验结果控制所述终端的访问。
[0007]在一个实施例中,所述网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验包括:网络地址转换穿透服务器在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;网络地址转换穿透服务器使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;网络地址转换穿透服务器通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
[0008]在一个实施例中,所述网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验包括:网络地址转换穿透服务器从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
[0009]在一个实施例中,所述用户名还包括产生时间,所述方法还包括:网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
[0010]在一个实施例中,所述网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验包括:网络地址转换穿透服务器比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
[0011]在一个实施例中,所述终端进行访问之后,所述方法还包括:网络地址转换穿透服务器将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
[0012]根据本发明实施例的再一方面,提出一种Web实时通信中的访问控制装置,包括:信息接收模块,用于接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;令牌合法性校验模块,用于利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;令牌是否已使用校验模块,用于对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;访问控制模块,用于网络地址转换穿透服务器根据校验结果控制所述终端的访问。
[0013]在一个实施例中,所述令牌合法性校验模块,具体用于:在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
[0014]在一个实施例中,所述令牌是否已使用校验模块,具体用于:从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
[0015]在一个实施例中,所述用户名还包括产生时间,所述装置还包括:令牌期限校验模块,用于对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
[0016]在一个实施例中,所述令牌期限校验模块,具体用于:比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
[0017]在一个实施例中,访问控制装置还包括:已用信息处理模块,用于在所述终端进行访问之后,将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
[0018]本发明实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。
[0019]通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
【附图说明】
[0020]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0021]图1为本发明的网络架构示意图和访问控制示意图。
[0022]图2为本发明用户名包括应用标识和序列号时Web实时通信中的访问控制方法流程意图。
[0023]图3为本发明用户名包括应用标识、序列号和产生时间时Web实时通信中的访问控制方法流程示意图。
[0024]图4为本发明Web实时通信中的访问控制装置一个实施例的结构示意图。
[0025]图5为本发明Web实时通信中的访问控制装置再一个实施例的结构示意图。
【具体实施方式】
[0026]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0027]除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0028]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
[0029]在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0030]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0031]图1为本发明的网络架构示意图和访问控制示意图。如图1所示,访问控制系统包括媒体中继能力平台设备、NAT穿透服务器、第三方应用平台设备以及终端