及其相应的应用令牌;
[0075]令牌合法性校验模块404,用于利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;
[0076]令牌是否已使用校验模块406,用于对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;
[0077]访问控制模块408,用于网络地址转换穿透服务器根据校验结果控制所述终端的访问。
[0078]在一个实施例中,所述令牌合法性校验模块404,具体用于:在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
[0079]在一个实施例中,所述令牌是否已使用校验模块406,具体用于:从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
[0080]在一个实施例中,所述用户名还包括产生时间,如图5所示,访问控制装置还包括:令牌期限校验模块503,用于对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
[0081]在一个实施例中,所述令牌期限校验模块503,具体用于:比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
[0082]在一个实施例中,访问控制装置还包括:已用信息处理模块510,用于在所述终端进行访问之后,将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
[0083]本发明实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。另外,通过在用户名中设置产生时间,使得终端必须在规定时间内使用令牌进行访问,可以进一步减小密码泄露和被冒用的风险,并且NAT穿透服务器只需保存当天序列号的使用记录,可以保证认证效率。
[0084]本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0085]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种Web实时通信中的访问控制方法,包括: 网络地址转换穿透服务器接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌; 网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法; 网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过; 网络地址转换穿透服务器根据校验结果控制所述终端的访问。2.根据权利要求1所述的方法,其特征在于,所述网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验包括: 网络地址转换穿透服务器在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌; 网络地址转换穿透服务器使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值; 网络地址转换穿透服务器通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。3.根据权利要求1所述的方法,其特征在于,所述网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验包括: 网络地址转换穿透服务器从所述终端的用户名中提取序列号; 从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在; 如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过; 如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。4.根据权利要求1所述的方法,其特征在于,所述用户名还包括产生时间,所述方法还包括:网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。5.根据权利要求4所述的方法,其特征在于,所述网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验包括: 网络地址转换穿透服务器比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。6.根据权利要求1所述的方法,其特征在于,所述终端进行访问之后,所述方法还包括:网络地址转换穿透服务器将所述用户名中的应用标识和序列号插入到已使用序列号列表中。7.—种Web实时通信中的访问控制装置,包括: 信息接收模块,用于接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌; 令牌合法性校验模块,用于利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法; 令牌是否已使用校验模块,用于对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过; 访问控制模块,用于网络地址转换穿透服务器根据校验结果控制所述终端的访问。8.根据权利要求7所述的装置,其特征在于,所述令牌合法性校验模块,具体用于: 在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌; 使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值; 通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。9.根据权利要求7所述的装置,其特征在于,所述令牌是否已使用校验模块,具体用于: 从所述终端的用户名中提取序列号; 从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在; 如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过; 如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。10.根据权利要求7所述的装置,其特征在于,所述用户名还包括产生时间,所述装置还包括: 令牌期限校验模块,用于对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。11.根据权利要求10所述的方法装置,其特征在于,所述令牌期限校验模块,具体用于:比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。12.根据权利要求7所述的装置,其特征在于,还包括: 已用信息处理模块,用于在所述终端进行访问之后,将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
【专利摘要】本发明公开了一种Web实时通信中的访问控制方法,涉及互联网实时通信领域。本发明实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。
【IPC分类】H04L29/06, H04L29/08, H04L9/32, H04L9/08
【公开号】CN105282125
【申请号】CN201410356960
【发明人】赵继壮, 杨鑫, 吕国松, 付斌, 叶华
【申请人】中国电信股份有限公司
【公开日】2016年1月27日
【申请日】2014年7月25日