本发明涉及通讯技术领域,具体地说,涉及一种公网环境下的voip安全防范方法、系统、设备及存储介质。
背景技术
voip(voiceoverinternetprotocol)是将模拟信号(voice)数字化,以数据封包的形式在ip网络上做实时传递。voip最大的优势是能广泛地采用internet和全球ip互连的环境,提供比传统业务更多、更好的服务。voip可以在ip网络上便宜的传送语音、传真、视频、和数据等业务,如统一消息业务、虚拟电话、虚拟语音/传真邮箱、查号业务、internet呼叫中心、internet呼叫管理、电话视频会议、电子商务、传真存储转发和各种信息的存储转发等。
一般的voip应用只有账号密码认证这一条策略,由客户端通过注册账号密码向服务端发起注册认证,在认证通过后即可在客户端发起外呼。随着voip应用的增多,其中很大一部分服务是暴露在公网的,如在家办公系统,集团公网接入系统,面向普通大众的voip云服务,这类系统面临着较大的安全考验,极易被黑客攻击,而系统一旦被攻破盗打,损失将不可估量。因此,需要一种voip安全防范方法,避免损失发生。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现要素:
针对现有技术中的问题,本发明的目的在于提供了一种voip安全防范方法、系统、设备及存储介质,防止voip系统被攻击者盗打,避免损失发生。
本发明提供了一种voip安全防范方法,其特征在于,包括以下步骤:
客户端接收用户的外呼请求;
所述客户端分别向电话服务器和认证服务器发送通话请求和认证请求,所述认证请求中包含客户端身份识别信息;
所述电话服务器收到通话请求后,向所述认证服务器请求认证结果;
所述认证服务器向所述电话服务器返回认证结果;
所述电话服务器根据返回的所述认证结果建立或不建立通话通道。
优选地,所述认证服务器接收到所述认证请求后,判断所述客户端是否合法,并存储认证结果。
优选地,所述认证服务器判断所述客户端是否合法,包括以下步骤:对接收到的所述认证请求进行解析,获取所述认证请求中的身份识别信息并将之与数据库中的记录进行对比,如果是数据库中记录的身份,则认证结果为认证成功,如果不是数据库中记录的身份,则认证结果为认证失败。
优选地,所述电话服务器根据返回的所述认证结果建立或不建立通话通道,包括以下步骤:
如果所述电话服务器接收到返回的所述认证结果为认证成功,则建立通话通道;
如果所述电话服务器接收到返回的所述认证结果为认证失败,则不建立通话通道。
优选地,所述身份识别信息包括客户端id、客户端ip、客户端mac、主叫号码和被叫号码中的至少任一项。
优选地,所述客户端向认证服务器发送认证请求,包括以下步骤:
所述客户端推送交互界面至用户,用户通过所述交互界面设置所述认证服务器的地址和所用的服务协议,所述客户端根据用户的设置向对应的认证服务器发送认证请求。
优选地,所述客户端预设有所述认证服务器的地址和所用的服务协议。
本发明还提供了一种voip安全防范系统,其特征在于,包括客户端、电话服务器和认证服务器,其中:
所述客户端用于接收用户的外呼请求,向所述电话服务器发送通话请求,向所述认证服务器发起认证请求,所述认证请求中包含身份识别信息;
所述认证服务器用于对所述客户端的认证请求进行认证;
所述电话服务器接收到通话请求后,用于向所述认证服务器请求认证结果;
所述认证服务器向所述电话服务器返回认证结果;
所述电话服务器根据返回的所述认证结果建立或不建立通话通道。
优选地,所述客户端包括pc端、手机端、pad端和实体电话端中的至少一种,所述实体电话端具有http消息推送模块。
优选地,所述认证服务器配置有数据库,所述数据库包括有所有合法用户的身份信息列表;
所述认证服务器收到所述认证请求后,对接收到的所述认证请求进行解析,获取所述认证请求中的身份识别信息并将之与数据库中的记录进行对比,如果是数据库中记录的身份,则认证结果为认证成功,如果不是数据库中记录的身份,则认证结果为认证失败。
本发明还提供了一种voip安全防范设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行所述voip安全防范方法的步骤。
本发明还提供了一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被执行时实现所述voip安全防范方法的步骤。
本发明提供了一种voip安全防范方法、系统、设备及存储介质,该方法包括客户端接收用户的外呼请求;所述客户端分别向电话服务器和认证服务器发送通话请求和认证请求,所述认证请求中包含客户端身份识别信息;所述电话服务器收到通话请求后,向所述认证服务器请求认证结果;所述认证服务器向所述电话服务器返回认证结果;所述电话服务器根据返回的所述认证结果建立或不建立通话通道。本发明引入第三方认证,voip电话需通过第三方认证通过后才能实现外呼功能,因此,即使在电话服务器的注册账号和密码被暴力破解的情况下,如不了解第三方认证的服务地址和请求协议,仍无法进行盗打,可有效减少voip电话用户损失。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理,通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的voip安全防范方法的流程图;
图2为本发明一实施例的认证服务器认证过程的流程图;
图3为本发明一实施例的voip安全防范系统架构示意图;
图4为本发明一实施例的voip安全防范设备的结构示意图;
图5为本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
图1为本发明一实施例的voip安全防范方法的流程图,该方法包括以下步骤:
s100:客户端接收用户的外呼请求,所述客户端包括手机端11、pad端12、pc端13和实体电话端14中的至少一种。
s200:所述客户端分别向电话服务器和认证服务器发送通话请求和认证请求,所述认证请求中包含客户端身份识别信息;所述身份识别信息包括但不限于以下至少任一项:
客户端id
客户端ip
客户端mac
主叫号码
被叫号码中等。
通常,手机端11、pad端12、pc端13预设有所述认证服务器的地址和所用的服务协议。或者所述客户端配置有设置所述认证服务器的地址和所用的服务协议的交互界面,用户可通过所述交互界面设置或更改所述认证服务器的地址和所用的服务协议,所述客户端根据用户的设置向对应的认证服务器发送认证请求。实体电话端14为定制话机,具有http消息推送模块,同样可具有交互界面,通过交互界面更改和设置认证服务器的地址和所用的服务协议。
所述认证服务器接收到所述认证请求s220后,s230判断所述客户端是否合法,包括如下步骤:对接收到的所述认证请求进行解析,获取所述认证请求中的身份识别信息并将之与数据库中的记录进行对比,如果是数据库中记录的身份,则认证结果为认证成功s231,如果不是数据库中记录的身份,则认证结果为认证失败s232。并存储认证结果。图2为本发明一实施例的认证服务器认证过程的流程图。
s300:所述电话服务器收到通话请求后,向所述认证服务器请求认证结果。
s400:所述认证服务器向所述电话服务器返回认证结果,如果是数据库中记录的身份,所述认证服务器向所述电话服务器返回认证成功信号;如果不是数据库中记录的身份,所述认证服务器向所述电话服务器返回认证失败信号。
s500:所述电话服务器根据返回的所述认证结果建立或不建立通话通道,如果所述电话服务器接收到返回的所述认证结果为认证成功,则建立通话通道s510;如果所述电话服务器接收到返回的所述认证结果为认证失败,则不建立通话通道s520。
本发明的实施例还提供了一种voip安全防范系统,图3为系统架构示意图,包括客户端1、电话服务器2和认证服务器3,其中:
所述客户端1用于接收用户的外呼请求,向所述电话服务器2发送通话请求,向所述认证服务器3发起认证请求,所述认证请求中包含身份识别信息;
所述认证服务器3用于对所述客户端的认证请求进行认证;
所述电话服务器2接收到通话请求后,用于向所述认证服务器3请求认证结果;
所述认证服务器3向所述电话服务器2返回认证结果;所述电话服务器根据返回的所述认证结果建立或不建立通话通道。
所述认证服务器3配置有数据库,所述数据库包括有所有合法用户的身份信息列表;所述认证服务器3收到所述认证请求后,对接收到的所述认证请求进行解析,获取所述认证请求中的身份识别信息并将之与数据库中的记录进行对比,如果是数据库中记录的身份,则认证结果为认证成功,如果不是数据库中记录的身份,则认证结果为认证失败。
本发明中的认证服务器3认证的过程起到了第三方认证的作用,只有合法的用户端才了解第三方的地址和所用的服务协议。
电话服务器2可以是ippbx系统。传统的pbx(privatebranchexchange,用户级交换机)即程控交换机是企业内部自用的语音程控交换机,使企业管理者可集团性管理外线来电与内线呼出。pbx完成企业内部之间以及与公共电信网络的电话交换,并将电话、传真、调制解调器等功能合并。但传统的pbx对新兴的cti(计算机与电话集成)和voip支持不足,随着internet的流行和ip的成功,基于ip协议的ippbx解决传统pbx的缺陷,ippbx设备是基于ip的用户交换机,提供ip网络和ip用户接入功能。
本发明实施例还提供一种voip安全防范设备,包括处理器;存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的voip安全防范方法的步骤。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
下面参照图4来描述根据本发明的这种实施方式的电子设备600。图4显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(ram)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(rom)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(lan),广域网(wan)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行实现voip安全防范方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
参考图5所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、rf等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如java、c++等,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(lan)或广域网(wan),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上所述,本发明提供了一种voip安全防范方法、系统、设备及存储介质,该方法包括客户端接收用户的外呼请求;所述客户端分别向电话服务器和认证服务器发送通话请求和认证请求,所述认证请求中包含客户端身份识别信息;所述电话服务器收到通话请求后,向所述认证服务器请求认证结果;所述认证服务器向所述电话服务器返回认证结果;所述电话服务器根据返回的所述认证结果建立或不建立通话通道。本发明引入第三方认证,voip电话需通过第三方认证通过后才能实现外呼功能,因此,即使在电话服务器的注册账号和密码被暴力破解的情况下,如不了解第三方认证的服务地址和请求协议,仍无法进行盗打,可有效减少voip电话用户损失。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。