数据收发方法及系统、消息的处理方法及装置制造方法

数据收发方法及系统、消息的处理方法及装置制造方法
【专利摘要】本发明公开了一种数据收发方法及系统、消息的处理方法及装置，在上述方法中，中继服务器接收来自于第一用户设备的分配请求消息，其中，分配请求消息用于第一用户设备获得中继服务器的授权，该授权用于允许第一用户设备经由中继服务器进行数据的发送和/或接收；中继服务器根据分配请求消息向业务服务器请求对第一用户设备进行身份认证；中继服务器在业务服务器对第一用户设备认证成功的情况下，允许第一用户设备经由中继服务器进行数据的发送和/或接收。根据本发明提供的技术方案，降低了用户的操作复杂度，极大地改善中继服务器的部署和应用。
【专利说明】数据收发方法及系统、消息的处理方法及装置

【技术领域】
[0001]本发明涉及通信领域，具体而言，涉及一种数据收发方法及系统、消息的处理方法及装置。

【背景技术】
[0002]相关技术中，当两个移动终端均位于网络地址转换(Network AddressTranslat1n，简称为NAT)之后，并且NAT为地址(互联网协议(IP)地址或者端口)相关的映射，那么上述两个移动终端之间将无法直接进行通信。此时则需要中继服务器来充当中间节点，互联网工程任务组(IETF)请求评议(RFC) 5766定义了 TURN协议来控制移动终端与中继服务器的交互操作以及数据交换。由于全部的报文和数据都要经过中继服务器，因此，中继服务器只有在直接通信无法实现的情况下才能投入使用，并且仅对授权用户开放。
[0003]图1是根据相关技术的中继服务器的组网方式示意图。如图1所示，由于IPV4地址的资源限制，在用户终端设备与中继服务器之间通常会设置NAT设备，而且在上述NAT设备中通常会存在IP地址与端口的限制，从而导致用户终端设备无法直接进行通信。相关技术中的业务服务器与中继服务器通常位于公网之下，它们均有各自的用户信息数据库，用户终端设备如果希望使用业务服务器和中继服务器时，必须通过各自的身份验证。
[0004]中继服务器在分配请求中对移动终端的身份进行验证，如果用户身份有效，则允许其使用该中继服务器，这就是STUN规范中所说的长期凭据机制，需要移动终端预先从中继服务器获取到用户名和密码。为了防止离线字典攻击，通常密码需要有128位的长度，并且是随机化的字符。显然，该密码对于用户需要采取手工的方式进行输入而言，那将是十分困难的。为此，采用何种方式设置用户访问中继服务器的密码既能有效地防止离线字典攻击，同时还能够便于用户输入是亟待解决的难题。
[0005]针对相关技术中当用户设备需要经由中继服务器进行数据收发时，业务服务器和中继服务器需要分别对用户设备进行身份认证，增加了用户的操作复杂度的问题，目前尚未提出解决方案。


【发明内容】

[0006]本发明提供了一种数据收发方法及系统、消息的处理方法及装置，以至少解决相关技术中当用户设备需要经由中继服务器进行数据收发时，业务服务器和中继服务器需要分别对用户设备进行身份认证，增加了用户的操作复杂度的问题。
[0007]根据本发明的一个方面，提供了一种数据收发方法。
[0008]本发明的数据收发方法包括:中继服务器接收来自于第一用户设备的分配请求消息，其中，分配请求消息用于第一用户设备获得中继服务器的授权，该授权用于允许第一用户设备经由中继服务器进行数据的发送和/或接收；中继服务器根据分配请求消息向业务服务器请求对第一用户设备进行身份认证；中继服务器在业务服务器对第一用户设备认证成功的情况下，允许第一用户设备经由中继服务器进行数据的发送和/或接收。
[0009]根据本发明的另一方面，提供了一种数据收发系统。
[0010]本发明的数据收发系统包括:中继服务器；中继服务器包括:第一接收模块，用于接收来自于第一用户设备的分配请求消息，其中，分配请求消息用于第一用户设备获得中继服务器的授权，该授权用于允许第一用户设备经由中继服务器进行数据的发送和/或接收；请求认证模块，用于根据分配请求消息向业务服务器请求对第一用户设备进行身份认证；授权模块，用于在业务服务器对第一用户设备认证成功的情况下，允许第一用户设备经由中继服务器进行数据的发送和/或接收。
[0011]根据本发明的又一方面，提供了一种消息的处理方法。
[0012]本发明的消息的处理方法包括:将在业务服务器注册的账号信息添加至分配请求消息，并按照预设算法对分配请求消息进行计算，其中，分配请求消息用于获得中继服务器的授权，授权用于经由中继服务器进行数据的发送和/或接收；采用与账号信息对应的账号密码对计算结果进行加密处理；将加密处理的结果添加至分配请求消息，并向中继服务器发送分配请求消息。
[0013]根据本发明的再一方面，提供了一种消息的处理装置。
[0014]本发明的消息的处理装置包括:计算模块，用于将在业务服务器注册的账号信息添加至分配请求消息，并按照预设算法对分配请求消息进行计算，其中，分配请求消息用于获得中继服务器的授权，授权用于经由中继服务器进行数据的发送和/或接收；加密模块，用于采用与账号信息对应的账号密码对计算结果进行加密处理；发送模块，用于将加密处理的结果添加至分配请求消息，并向中继服务器发送分配请求消息。
[0015]通过本发明，采用中继服务器接收来自于第一用户设备的分配请求消息，其中，分配请求消息用于第一用户设备获得中继服务器的授权，该授权用于允许第一用户设备经由中继服务器进行数据的发送和/或接收；中继服务器根据分配请求消息向业务服务器请求对第一用户设备进行身份认证；中继服务器在业务服务器对第一用户设备认证成功的情况下，允许第一用户设备经由中继服务器进行数据的发送和/或接收，即中继服务器不再直接对用户设备进行鉴权，不再单独为用户配置鉴权信息，而是将鉴权的工作交由业务服务器来处理，对用户在业务服务器上注册的鉴权信息(包括:用户账号和密码)进行复用，由此解决了相关技术中当用户设备需要经由中继服务器进行数据收发时，业务服务器和中继服务器需要分别对用户设备进行身份认证，增加了用户的操作复杂度的问题，进而降低了用户的操作复杂度，极大地改善中继服务器的部署和应用。

【专利附图】

【附图说明】
[0016]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0017]图1是根据相关技术的中继服务器的组网方式示意图；
[0018]图2是根据本发明实施例的数据收发方法的流程图；
[0019]图3是根据本发明优选实施例的通过中继服务器进行文件传输过程的流程图；
[0020]图4是根据本发明实施例的消息的处理方法的流程图；
[0021]图5是根据本发明实施例的数据收发系统的结构框图；
[0022]图6是根据本发明优选实施例的数据收发系统的结构框图；
[0023]图7是根据本发明的消息的处理装置的结构框图。

【具体实施方式】
[0024]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0025]图2是根据本发明实施例的数据收发方法的流程图。如图2所示，该方法可以包括以下处理步骤:
[0026]步骤S202:中继服务器接收来自于第一用户设备的分配请求消息，其中，分配请求消息用于第一用户设备获得中继服务器的授权，该授权用于允许第一用户设备经由中继服务器进行数据的发送和/或接收；
[0027]步骤S204:中继服务器根据分配请求消息向业务服务器请求对第一用户设备进行身份认证；
[0028]步骤S206:中继服务器在业务服务器对第一用户设备认证成功的情况下，允许第一用户设备经由中继服务器进行数据的发送和/或接收。
[0029]相关技术中，当用户设备需要经由中继服务器进行数据收发时，业务服务器和中继服务器需要分别对用户设备进行身份认证，增加了用户的操作复杂度。采用如图2所示的方法，中继服务器接收来自于第一用户设备的分配请求消息，其中，分配请求消息用于第一用户设备获得中继服务器的授权，经由中继服务器进行数据的发送和/或接收；中继服务器根据分配请求消息向业务服务器请求对第一用户设备进行身份认证；中继服务器在业务服务器对第一用户设备认证成功的情况下，允许第一用户设备经由中继服务器进行数据的发送和/或接收，即中继服务器不再直接对用户设备进行鉴权，不再单独为用户配置鉴权信息，而是将鉴权的工作交由业务服务器来处理，对用户在业务服务器上注册的鉴权信息(包括:用户账号和密码)进行复用，由此解决了相关技术中当用户设备需要经由中继服务器进行数据收发时，业务服务器和中继服务器需要分别对用户设备进行身份认证，增加了用户的操作复杂度的问题，进而降低了用户的操作复杂度，极大地改善中继服务器的部署和应用。
[0030]在优选实施例中，如果第一用户设备希望向第二用户设备发送数据，而它们分别位于不同的地址限制型的NAT网络中(例如:图1中位于NATl网络中的终端I与位于NAT2网络中的终端2)，业务服务器和中继服务器(在实际业务部署过程中，业务服务器与中继服务器通常必须成对配置)则在NAT网络之外的公网下。在中继服务器实际部署过程中，通常会结合其它协议来进行互动式连接建立(Interactive Connectivity Establishment,简称为ICE)协商，以便检测两个用户设备之间是否存在直接的通路可以直接进行通信。由于第一用户设备与第二用户设备无法直接进行通信，所以最后的文件传输协商必须使用中继服务器来进行传输。第一用户设备与第二用户设备在业务服务器上均存在各自的注册账号和注册密码，第一用户设备或者第二用户设备与业务服务器之间可以使用会话发起协议(SIP)或者可扩展消息呈现协议(XMPP)进行信息交互，业务服务器与中继服务器之间采用超文本传输协议(HTTP)进行信息交互；而第一用户设备或者第二用户设备与中继服务器采用TURN协议进行信息交互。由于中继服务器所采用的用户鉴权方式能够对业务服务器上存储的注册账号和注册密码进行复用，采用业务服务器与中继服务器共用一个用户信息数据库来进行统一认证，因此，能够极大地改善中继服务器的部署和应用，降低网络搭建成本，增加使用中继服务器业务的用户体验。
[0031]优选地，在步骤S204，中继服务器根据分配请求消息向业务服务器请求对第一用户设备进行身份认证之前，还可以包括以下操作:
[0032]步骤S1:中继服务器判断在分配请求消息中是否携带有消息完整性字段信息；
[0033]步骤S2:中继服务器在确定在分配请求消息中未携带有消息完整性字段信息的情况下，向第一用户设备发送未授权响应消息，其中，未授权响应消息用于使第一用户设备重新发送分配请求消息且在重新发送的分配请求消息中携带消息完整性字段信息。
[0034]在优选实施例中，首先用户设备通过在业务服务器上注册的账号密码进行登录，用户设备在发起语音通信业务、视频通信业务或者文件数据传输业务时，由于无法直接进行通信，因此，需要通过中继服务器进行转发。用户设备可以在分配请求消息的消息完整性字段中采用基于密钥的哈希消息验证码(HMAC)-安全散列算法(SHA1)，在用户名字段中包含其在业务服务器上的注册账号。中继服务器在接收到第一用户设备的分配请求消息之后，检查分配请求消息中是否携带有消息完整性属性字段，如果没有此字段，为了授权第一用户设备进行访问，发送带有随机数(NONCE)和域名的401响应，指示第一用户设备提供有效的长期凭据信息，每次响应的NONCE均不相同，可以有效地防止重放攻击。第一用户设备从接收到的401响应消息中提取NONCE和域名字段，添加至分配请求信息中，同时还将其向业务服务器注册的账号信息添加至用户名字段，然后对即将重新发起的分配请求信息进行哈希计算，并采用与注册账号对应的注册密码对哈希计算结果进行加密处理，最后将加密结果作为消息完整性(MESSAGE-1NTEGRITY)字段附加到分配请求消息中，再次发起分配请求信息。
[0035]优选地，在步骤S204中，中继服务器根据分配请求消息向业务服务器请求对第一用户设备进行身份认证可以包括以下步骤:
[0036]步骤S3:中继服务器对分配请求消息进行有效性验证；
[0037]步骤S4:中继服务器在对分配请求消息验证成功的情况下，将分配请求消息作为超文本传输协议的消息体封装在认证请求消息中，并将认证请求消息发送至业务服务器。
[0038]在优选实施例中，中继服务器在接收到携带有消息完整性字段的分配请求消息之后，验证NONCE字段和域名字段的有效性，如果合法，则将上述分配请求消息作为HTTP协议的消息体，通过HTTP POST请求发送到业务服务器。
[0039]优选地，在步骤S206，中继服务器允许第一用户设备经由中继服务器进行数据传输之前，还可以包括以下操作:
[0040]步骤S5:业务服务器接收来自于中继服务器的认证请求消息；
[0041]步骤S6:业务服务器对认证请求消息中除消息完整性字段信息之外的其余字段信息进行哈希计算，并采用从预设存储区域获取到的与第一用户设备对应的注册密码对哈希计算结果进行加密处理；
[0042]步骤S7:业务服务器将加密处理的结果与消息完整性字段信息进行比较，并在比较结果一致的情况下，向中继服务器发送认证成功响应消息。
[0043]在优选实施例中，业务服务器在接收到上述POST请求后，通过分配请求消息中的用户名字段在用户信息数据库中查询对应的注册密码，之后对除消息完整性字段之外的其余字段内容进行SHAl计算，再然后使用注册密码对HASH结果进行加密，从而得到HMAC-SHA1计算结果，最后将HMAC-SHA1计算结果与分配请求消息中的消息完整性字段进行比较，如果比较结果一致，则可以确定为有效用户，并且当前用户处于登录状态，以200OK响应通知中继服务器可以对此分配请求消息进行处理；如果无法查找到该用户或者该用户未处于登录状态或者上述比较结果不一致，则以403响应通知中继服务器无需处理上述分配请求消息。
[0044]优选地，中继服务器允许第一用户设备经由中继服务器进行数据传输可以包括以下步骤:
[0045]步骤S8:中继服务器接收来自于业务服务器的认证成功响应消息；
[0046]步骤S9:中继服务器根据认证成功响应消息向第一用户设备分配第一用户设备在中继服务器上使用的IP地址信息、端口信息以及IP地址信息与端口信息的有效使用周期，其中，IP地址信息、端口信息以及有效使用周期均用于第一用户设备经由中继服务器发送和/或接收数据。
[0047]在优选实施例中，中继服务器根据业务服务器对第一用户设备身份验证成功的结果，向第一用户设备发送分配响应消息；该分配响应消息中携带有准备用于中继的IP地址、端口以及一个生命周期，即上述分配端口以及IP地址的有效时间。
[0048]优选地，在步骤S202，中继服务器接收来自于第一用户设备的分配请求消息之前，还可以包括以下操作:
[0049]步骤SlO:业务服务器确定第一用户设备以及第二用户设备登录认证成功，其中，第一用户设备与第二用户设备分别位于不同的NAT网络中；
[0050]步骤Sll:业务服务器接收来自于第一用户设备的会话请求消息，并将会话请求消息转发至第二用户设备，其中，会话请求消息用于在第一用户设备与第二用户设备之间建立会话；
[0051]步骤S12:业务服务器接收来自于第二用户设备的会话接受消息，并将会话接受消息转发至第一用户设备，其中，会话接受消息用于使第一用户设备发起分配请求消息。
[0052]在优选实施例中，第一用户设备采用注册账号和注册密码向业务服务器发起登录请求，业务服务器通过用户信息数据库验证用户提交的注册账号和注册密码；如果为合法用户，则允许第一用户设备登录至业务服务器。同理，第二用户设备采用注册账号和注册密码向业务服务器发起登录请求，业务服务器通过用户信息数据库验证用户提交的注册账号和注册密码；如果为合法用户，则允许第二用户设备登录至业务服务器。在第一用户设备发现第二用户设备在线后，采用JINGLE协议向业务服务器发起会话请求消息，业务服务器在接收到第一用户设备的会话请求消息之后，将其转发给目标设备第二用户设备；同时向第一用户设备发送确认消息，表示服务器已经接收到上述会话请求消息，正在等待第二用户设备进行处理。业务服务器在接收到第二用户设备的会话接受消息之后，将其转发给第一用户设备。
[0053]优选地，在步骤S206，中继服务器允许第一用户设备经由中继服务器进行数据的发送和/或接收之后，还可以包括以下步骤:
[0054]步骤S13:业务服务器接收来自于第一用户设备的会话终止消息，其中，会话终止消息中携带有第一用户设备已经成功发送和/或接收全部数据的指示信息；
[0055]步骤S14:业务服务器在将会话终止消息转发至第二用户设备之后，终止第一用户设备进行数据的发送和/或接收，其中，第一用户设备与第二用户设备分别位于不同的NAT网络中。
[0056]在优选实施例中，当第一用户设备完成数据的发送和/或接收后，向业务服务器发送会话终止消息，并在该会话终止消息中指示数据传输成功完成。业务服务器转发上述会话终止消息给第二用户设备，结束上述数据传输过程。
[0057]下面结合图3所示的优选实施方式对上述优选实施过程作进一步的描述。
[0058]图3是根据本发明优选实施例的通过中继服务器进行文件传输过程的流程图。如图3所示，第一用户设备(UEl)希望向第二用户设备(UE2)发送文件，它们都位于地址限制型的NAT网络中，业务服务器和中继服务器则在NAT之外的公网下。由于UEl与UE2无法直接进行通信，所以最后的文件传输协商必须使用中继服务器来进行传输。UEl和UE2在业务服务器上均存在各自的注册账号和注册密码，UEl或者UE2与业务服务器之间可以使用会话初始化协议(SIP)或者可扩展消息处理现场协议(XMPP)进行信息交互，业务服务器与中继服务器之间采用HTTP协议进行信息交互；而UEl或者UE2与中继服务器采用TURN协议进行信息交互。在该优选实施例中，为了描述方便，假设UEl或者UE2与业务服务器的通信协议采用XMPP。该流程可以包括以下处理步骤:
[0059]步骤S302 =UEl采用注册账号和注册密码向业务服务器发起登录请求，业务服务器通过用户信息数据库验证用户提交的注册账号和注册密码；如果为合法用户，则允许UEl登录至业务服务器，如果有其它设备也登录至业务服务器，并且是UEl所登录账号的好友，则向上述好友通知UEl当前在线。
[0060]步骤S304:UE2采用注册账号和注册密码向业务服务器发起登录请求，业务服务器通过用户信息数据库验证用户提交的注册账号和注册密码；如果UEl和UE2使用的是同一个账号，则UE2能够接收到UEl在线的信息；否则，UE2需要将UEl的注册账号添加为好友用户，才能看到UEl的在线信息。
[0061]步骤S306 =UEl发现UE2设备在线后，采用JINGLE协议向业务服务器发起会话请求消息，其中，该会话请求消息可以包括:UE1支持的传输能力信息和待传输的文件信息。
[0062]步骤S308:业务服务器在接收到UEl的会话请求消息之后，将其转发给目标设备UE2 ;同时向UEl发送确认消息，表示业务服务器已经接收到上述会话请求消息，正在等待UE2进行处理。
[0063]步骤S310:UE2在接收到业务服务器转发的会话请求消息之后，如果不想接受该会话，则可以向业务服务器发送会话终止消息，通知业务服务器UE2拒绝处理上述会话请求消息，整个会话流程到此结束；否则，向业务服务器发送会话接受消息，继续后续流程，此会话接受消息中可以包括:UE2自身的传输能力信息；在该优选实施例中，UE2向业务服务器发送会话接受消息。
[0064]步骤S312:业务服务器在接收到会话接受消息之后，将其转发给UEl。
[0065]步骤S314 =UEl在接收到UE2发送的会话接受消息之后，开始进行网络连通性探测，首先是直接向UE2的IP发送探测，然后是向UE2的STUN发送探测，最后是向UE2的TURN发送探测；由于之前假定UEl和UE2均处于地址限制型的NAT中，因此，前面两种网络连通性检查均无法成功，UEl与UE2无法直接进行数据传输，而是需要通过中继服务器;UE1向中继服务器发起分配请求消息，请求中继服务器分配一个端口用来进行中继传输；该分配请求消息可以包括-Ml的传输信息(可以包括:IP地址、端口和传输协议)；中继服务器的IP地址和端口预先配置到UEl和UE2中。与相关技术中所采用的技术规范不同的是，不需要在UEl和UE2配置中继服务器的账号和密码。
[0066]步骤S316:中继服务器在接收到UEl的分配请求消息之后，检查分配请求消息中是否携带有消息完整性属性字段，如果没有此字段，为了授权UEl进行访问，发送带有随机数(NONCE)和域名的401响应，指示UEl提供有效的长期凭据信息，每次响应的NONCE均不相同，可以有效地防止重放攻击。
[0067]步骤S318 =UEl从接收到的401响应消息中提取NONCE和域名字段，添加至分配请求信息中，同时还将其向业务服务器注册的账号信息添加至用户名字段，然后对即将重新发起的分配请求信息进行哈希计算，并采用与注册账号对应的注册密码对哈希计算结果进行加密处理，最后将加密结果作为消息完整性字段附加到分配请求消息中，再次发起分配请求信息。
[0068]步骤S320:中继服务器在接收到携带有消息完整性字段的分配请求消息后，验证NONCE字段和域名字段的有效性，如果合法，则将上述分配请求消息作为HTTP协议的消息体，向业务服务器发送用户验证请求消息。
[0069]步骤S322:业务服务器在接收到中继服务器的用户验证请求消息后，对除消息完整性字段之外的消息体进行哈希计算，从用户信息数据库获取用户对应的密码进行加密处理，如果得到的加密结果与消息完整性字段内容一致，则确定为有效用户，向中继服务器发送2000K响应；否则，用户验证失败，中继服务器可以拒绝上述再次发起的分配请求信息，向中继服务器发送403响应。
[0070]步骤S324:中继服务器根据业务服务器的验证结果，向UEl发送分配响应消息；如果用户验证通过，则携带有准备用于中继的IP地址、端口以及一个生命周期，即上述分配端口以及IP地址的有效时间，通常设定为900秒。
[0071]步骤S326 =UEl在接收到分配成功响应消息之后，向业务服务器发送通知消息，告知其中继传输能力信息，表示UEl已经准备好开始中继传输。
[0072]步骤S328:业务服务器收到UEl的传输能力消息后，转发给UE2，同时向UEl发送确认消息，表示服务器已经转发此消息。
[0073]步骤S330:UE2同样需要重复上述步骤S316-步骤S328的过程，完成与中继服务器的分配请求验证，获得自身的中继服务器的IP地址和端口，并向UEl通告自身当前的传输能力信息。
[0074]步骤S332:由此，UEl即可开始向中继服务器分配的IP地址和端口发送和/或接收数据。
[0075]步骤S334:UE2也可以通过中继服务器分配的IP地址和端口发送和/或接收数据。
[0076]步骤S336:当UEl完成文件数据发送后，向业务服务器发送会话终止消息，并在该会话终止消息中指示文件传输成功完成。
[0077]步骤S338:业务服务器转发上述会话终止消息给UE2，结束上述文件传输过程。
[0078]在该优选实施例中，用户在业务服务器完成注册的同时授权用户可以在运行业务服务器所提供业务时使用中继服务器。业务服务器可以根据用户的登录状态对用户设备是否可以使用中继服务器进行授权，以便更好地进行服务器的流量控制。通过该优选实施例所提供的技术方案可以有效地改善终端用户在进行内网穿越时的用户体验，降低网络构建成本。
[0079]图4是根据本发明实施例的消息的处理方法的流程图。如图4所示，该方法可以包括以下处理步骤:
[0080]步骤S402:将在业务服务器注册的账号信息添加至分配请求消息，并按照预设算法对分配请求消息进行计算，其中，分配请求消息用于获得中继服务器的授权，授权用于经由中继服务器进行数据的发送和/或接收；
[0081]步骤S404:采用与账号信息对应的账号密码对计算结果进行加密处理；
[0082]步骤S406:将加密处理的结果添加至分配请求消息，并向中继服务器发送分配请求消息。
[0083]相关技术中，用户设备如果需要经由中间服务器向位于不同NAT网络的另一用户设备传输数据时，中间服务器与业务服务器需要通过各自为用户设备配置的注册账号和注册密码进行两次认证，由此增加了用户的操作复杂度。而采用上述实施例中提供的技术方案，不再需要为用户设备配置中继服务器的注册账号和注册密码，而是由中继服务器与业务服务器复用一套注册账号和注册密码，从而简化了对用户设备的验证操作。
[0084]图5是根据本发明实施例的数据收发系统的结构框图。如图5所示，该数据收发系统可以包括:中继服务器10 ;中继服务器10可以包括:第一接收模块100，用于接收来自于第一用户设备的分配请求消息，其中，分配请求消息用于第一用户设备获得中继服务器的授权，该授权用于允许第一用户设备经由中继服务器进行数据的发送和/或接收；请求认证模块102，用于根据分配请求消息向业务服务器请求对第一用户设备进行身份认证；授权模块104，用于在业务服务器对第一用户设备认证成功的情况下，允许第一用户设备经由中继服务器进行数据的发送和/或接收。
[0085]采用如图5所示的系统，解决了相关技术中当用户设备需要经由中继服务器进行数据收发时，业务服务器和中继服务器需要分别对用户设备进行身份认证，增加了用户的操作复杂度的问题，进而降低了用户的操作复杂度，极大地改善中继服务器的部署和应用。
[0086]优选地，如图6所示，中继服务器10还可以包括:判断模块106，用于判断在分配请求消息中是否携带有消息完整性字段信息；发送模块108，用于在判断模块输出为否时，向第一用户设备发送未授权响应消息，其中，未授权响应消息用于使第一用户设备重新发送分配请求消息且在重新发送的分配请求消息中携带消息完整性字段信息。
[0087]优选地，请求认证模块102可以包括:验证单元(图中未示出)，用于对分配请求消息进行有效性验证；处理单元(图中未示出)，用于在对分配请求消息验证成功的情况下，将分配请求消息作为超文本传输协议的消息体封装在认证请求消息中，并将认证请求消息发送至业务服务器。
[0088]优选地，如图6所示，上述系统还可以包括:业务服务器20 ;业务服务器20可以包括:第二接收模块200，用于接收来自于中继服务器的认证请求消息；处理模块202，用于对认证请求消息中除消息完整性字段信息之外的其余字段信息进行哈希计算，并采用从预设存储区域获取到的与第一用户设备对应的注册密码对哈希计算结果进行加密处理；比较模块204，用于将加密处理的结果与消息完整性字段信息进行比较，并在比较结果一致的情况下，向中继服务器发送认证成功响应消息。
[0089]优选地，授权模块104可以包括:接收单元(图中未示出)，用于接收来自于业务服务器的认证成功响应消息；分配单元(图中未示出)，用于根据认证成功响应消息向第一用户设备分配第一用户设备在中继服务器上使用的IP地址信息、端口信息以及IP地址信息与端口信息的有效使用周期，其中，IP地址信息、端口信息以及有效使用周期均用于第一用户设备经由中继服务器发送和/或接收数据。
[0090]优选地，如图6所示，业务服务器20还可以包括:确定模块206，用于确定第一用户设备以及第二用户设备登录认证成功，其中，第一用户设备与第二用户设备分别位于不同的NAT网络中；第一转发模块208，用于接收来自于第一用户设备的会话请求消息，并将会话请求消息转发至第二用户设备，其中，会话请求消息用于在第一用户设备与第二用户设备之间建立会话；第二转发模块210，用于接收来自于第二用户设备的会话接受消息，并将会话接受消息转发至第一用户设备，其中，会话接受消息用于使第一用户设备发起分配请求消息。
[0091]优选地，如图6所示，业务服务器20还可以包括:第三接收模块212，用于接收来自于第一用户设备的会话终止消息，其中，会话终止消息中携带有第一用户设备已经成功发送和/或接收全部数据的指示信息；终止模块214，用于在将会话终止消息转发至第二用户设备之后，终止第一用户设备进行数据的发送和/或接收，其中，第一用户设备与第二用户设备分别位于不同的NAT网络中。
[0092]图7是根据本发明的消息的处理装置的结构框图。如图7所示，该消息的处理装置可以包括:计算模块702，用于将在业务服务器注册的账号信息添加至分配请求消息，并按照预设算法对分配请求消息进行计算，其中，分配请求消息用于获得中继服务器的授权，授权用于经由中继服务器进行数据的发送和/或接收；加密模块704，用于采用与账号信息对应的账号密码对计算结果进行加密处理；发送模块706，用于将加密处理的结果添加至分配请求消息，并向中继服务器发送分配请求消息。
[0093]从以上的描述中，可以看出，上述实施例实现了如下技术效果(需要说明的是这些效果是某些优选实施例可以达到的效果):采用本发明实施例所提供的技术方案，可以有效地解决相关技术中当用户设备需要经由中继服务器进行数据收发时，业务服务器和中继服务器需要分别对用户设备进行身份认证，增加了用户的操作复杂度的问题，进而降低了用户的操作复杂度，极大地改善中继服务器的部署和应用。
[0094]显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
[0095]以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种数据收发方法，其特征在于，包括: 中继服务器接收来自于第一用户设备的分配请求消息，其中，所述分配请求消息用于所述第一用户设备获得所述中继服务器的授权，所述授权用于允许所述第一用户设备经由所述中继服务器进行数据的发送和/或接收； 所述中继服务器根据所述分配请求消息向业务服务器请求对所述第一用户设备进行身份认证； 所述中继服务器在所述业务服务器对所述第一用户设备认证成功的情况下，允许所述第一用户设备经由所述中继服务器进行数据的发送和/或接收。
2.根据权利要求1所述的方法，其特征在于，在所述中继服务器根据所述分配请求消息向所述业务服务器请求对所述第一用户设备进行所述身份认证之前，还包括: 所述中继服务器判断在所述分配请求消息中是否携带有消息完整性字段信息； 所述中继服务器在确定在所述分配请求消息中未携带有所述消息完整性字段信息的情况下，向所述第一用户设备发送未授权响应消息，其中，所述未授权响应消息用于使所述第一用户设备重新发送所述分配请求消息且在重新发送的所述分配请求消息中携带所述消息完整性字段信息。
3.根据权利要求2所述的方法，其特征在于，所述中继服务器根据所述分配请求消息向所述业务服务器请求对所述第一用户设备进行所述身份认证包括: 所述中继服务器对所述分配请求消息进行有效性验证； 所述中继服务器在对所述分配请求消息验证成功的情况下，将所述分配请求消息作为超文本传输协议的消息体封装在认证请求消息中，并将所述认证请求消息发送至所述业务服务器。
4.根据权利要求3所述的方法，其特征在于，在所述中继服务器允许所述第一用户设备经由所述中继服务器进行数据传输之前，还包括: 所述业务服务器接收来自于所述中继服务器的所述认证请求消息； 所述业务服务器对所述认证请求消息中除所述消息完整性字段信息之外的其余字段信息进行哈希计算，并采用从预设存储区域获取到的与所述第一用户设备对应的注册密码对哈希计算结果进行加密处理； 所述业务服务器将加密处理的结果与所述消息完整性字段信息进行比较，并在比较结果一致的情况下，向所述中继服务器发送认证成功响应消息。
5.根据权利要求4所述的方法，其特征在于，所述中继服务器允许所述第一用户设备经由所述中继服务器进行数据传输包括: 所述中继服务器接收来自于所述业务服务器的所述认证成功响应消息； 所述中继服务器根据所述认证成功响应消息向所述第一用户设备分配所述第一用户设备在所述中继服务器上使用的互联网协议IP地址信息、端口信息以及所述IP地址信息与所述端口信息的有效使用周期，其中，所述IP地址信息、所述端口信息以及所述有效使用周期均用于所述第一用户设备经由所述中继服务器发送和/或接收数据。
6.根据权利要求1至5中任一项所述的方法，其特征在于，在所述中继服务器接收来自于所述第一用户设备的所述分配请求消息之前，还包括: 所述业务服务器确定所述第一用户设备以及第二用户设备登录认证成功，其中，所述第一用户设备与所述第二用户设备分别位于不同的网络地址转换NAT网络中； 所述业务服务器接收来自于所述第一用户设备的会话请求消息，并将所述会话请求消息转发至所述第二用户设备，其中，所述会话请求消息用于在所述第一用户设备与所述第二用户设备之间建立会话； 所述业务服务器接收来自于所述第二用户设备的会话接受消息，并将所述会话接受消息转发至所述第一用户设备，其中，所述会话接受消息用于使所述第一用户设备发起所述分配请求消息。
7.根据权利要求1至5中任一项所述的方法，其特征在于，在所述中继服务器允许所述第一用户设备经由所述中继服务器进行数据的发送和/或接收之后，还包括: 所述业务服务器接收来自于所述第一用户设备的会话终止消息，其中，所述会话终止消息中携带有所述第一用户设备已经成功发送和/或接收全部数据的指示信息； 所述业务服务器在将所述会话终止消息转发至第二用户设备之后，终止所述第一用户设备进行数据的发送和/或接收，其中，所述第一用户设备与所述第二用户设备分别位于不同的网络地址转换NAT网络中。
8.一种消息的处理方法，其特征在于，包括: 将在业务服务器注册的账号信息添加至分配请求消息，并按照预设算法对所述分配请求消息进行计算，其中，所述分配请求消息用于获得中继服务器的授权，所述授权用于经由所述中继服务器进行数据的发送和/或接收； 采用与所述账号信息对应的账号密码对计算结果进行加密处理； 将加密处理的结果添加至所述分配请求消息，并向所述中继服务器发送所述分配请求消息。
9.一种数据收发系统，其特征在于，包括:中继服务器； 所述中继服务器包括: 第一接收模块，用于接收来自于第一用户设备的分配请求消息，其中，所述分配请求消息用于所述第一用户设备获得所述中继服务器的授权，所述授权用于允许所述第一用户设备经由所述中继服务器进行数据的发送和/或接收； 请求认证模块，用于根据所述分配请求消息向业务服务器请求对所述第一用户设备进行身份认证； 授权模块，用于在所述业务服务器对所述第一用户设备认证成功的情况下，允许所述第一用户设备经由所述中继服务器进行数据的发送和/或接收。
10.根据权利要求9所述的系统，其特征在于，所述中继服务器还包括: 判断模块，用于判断在所述分配请求消息中是否携带有消息完整性字段信息； 发送模块，用于在所述判断模块输出为否时，向所述第一用户设备发送未授权响应消息，其中，所述未授权响应消息用于使所述第一用户设备重新发送所述分配请求消息且在重新发送的所述分配请求消息中携带所述消息完整性字段信息。
11.根据权利要求10所述的系统，其特征在于，所述请求认证模块包括: 验证单元，用于对所述分配请求消息进行有效性验证； 处理单元，用于在对所述分配请求消息验证成功的情况下，将所述分配请求消息作为超文本传输协议的消息体封装在认证请求消息中，并将所述认证请求消息发送至所述业务服务器。
12.根据权利要求11所述的系统，其特征在于，所述系统还包括:所述业务服务器； 所述业务服务器包括: 第二接收模块，用于接收来自于所述中继服务器的所述认证请求消息； 处理模块，用于对所述认证请求消息中除所述消息完整性字段信息之外的其余字段信息进行哈希计算，并采用从预设存储区域获取到的与所述第一用户设备对应的注册密码对哈希计算结果进行加密处理； 比较模块，用于将加密处理的结果与所述消息完整性字段信息进行比较，并在比较结果一致的情况下，向所述中继服务器发送认证成功响应消息。
13.根据权利要求12所述的系统，其特征在于，所述授权模块包括: 接收单元，用于接收来自于所述业务服务器的所述认证成功响应消息； 分配单元，用于根据所述认证成功响应消息向所述第一用户设备分配所述第一用户设备在所述中继服务器上使用的互联网协议IP地址信息、端口信息以及所述IP地址信息与所述端口信息的有效使用周期，其中，所述IP地址信息、所述端口信息以及所述有效使用周期均用于所述第一用户设备经由所述中继服务器发送和/或接收数据。
14.根据权利要求9至13中任一项所述的系统，其特征在于，所述业务服务器还包括: 确定模块，用于确定所述第一用户设备以及第二用户设备登录认证成功，其中，所述第一用户设备与所述第二用户设备分别位于不同的NAT网络中； 第一转发模块，用于接收来自于所述第一用户设备的会话请求消息，并将所述会话请求消息转发至所述第二用户设备，其中，所述会话请求消息用于在所述第一用户设备与所述第二用户设备之间建立会话； 第二转发模块，用于接收来自于所述第二用户设备的会话接受消息，并将所述会话接受消息转发至所述第一用户设备，其中，所述会话接受消息用于使所述第一用户设备发起所述分配请求消息。
15.根据权利要求9至13中任一项所述的系统，其特征在于，所述业务服务器还包括: 第三接收模块，用于接收来自于所述第一用户设备的会话终止消息，其中，所述会话终止消息中携带有所述第一用户设备已经成功发送和/或接收全部数据的指示信息； 终止模块，用于在将所述会话终止消息转发至第二用户设备之后，终止所述第一用户设备进行数据的发送和/或接收，其中，所述第一用户设备与所述第二用户设备分别位于不同的NAT网络中。
16.一种消息的处理装置，其特征在于，包括: 计算模块，用于将在业务服务器注册的账号信息添加至分配请求消息，并按照预设算法对所述分配请求消息进行计算，其中，所述分配请求消息用于获得中继服务器的授权，所述授权用于经由所述中继服务器进行数据的发送和/或接收； 加密模块，用于采用与所述账号信息对应的账号密码对计算结果进行加密处理； 发送模块，用于将加密处理的结果添加至所述分配请求消息，并向所述中继服务器发送所述分配请求消息。
【文档编号】H04L9/32GK104426656SQ201310363458
【公开日】2015年3月18日 申请日期:2013年8月19日 优先权日:2013年8月19日
【发明者】梁洁辉, 周江, 贺平 申请人:中兴通讯股份有限公司