CN102143154A - 用于媒体服务器上防攻击的方法和媒体服务器 - Google Patents
用于媒体服务器上防攻击的方法和媒体服务器 Download PDFInfo
- Publication number
- CN102143154A CN102143154A CN201010614239XA CN201010614239A CN102143154A CN 102143154 A CN102143154 A CN 102143154A CN 201010614239X A CN201010614239X A CN 201010614239XA CN 201010614239 A CN201010614239 A CN 201010614239A CN 102143154 A CN102143154 A CN 102143154A
- Authority
- CN
- China
- Prior art keywords
- user
- port
- media server
- terminal
- media
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种用于媒体服务器上防攻击的方法和媒体服务器,属于交互式网络电视领域。所述方法包括:通过信令接口获取终端请求用户的身份信息;将所述用户的身份信息发送到鉴权服务器进行认证;如果所述认证通过,则在媒体接口上为所述终端分配随机端口号,并将所述终端重定向到所述随机端口号对应的端口上,否则关闭与所述终端的连接。本发明实施例将信令接口和媒体接口分离,对认证通过的用户在媒体接口上分配随机端口号的方式,使恶意攻击的用户很难获取到该端口号,有效地防止了恶意用户的攻击。
Description
技术领域
本发明涉及交互式网络电视领域,特别涉及一种用于媒体服务器上防攻击的方法和媒体服务器。
背景技术
IPTV(Internet Protocol Television,交互式网络电视),是一种利用宽带IP网络,向家庭用户提供包括数字电视在内的多种交互式服务的技术。用户可以通过PC安装特定播放器来享受交互式网络电视服务,也可以通过网络机顶盒加普通电视机来享受交互式网络电视服务。但是不管用户通过哪种方式,都需要媒体服务器提供多媒体数据服务。在IPTV上进行多媒体数据传输时,媒体服务器一般直接暴露在互联网上为PC、机顶盒等终端提供服务,很容易受到攻击。
目前,为了加强对媒体服务器的防护,一般在服务器上采用iptables等软件防火墙进行防护,以防止外界的恶意攻击。
在对现有技术进行分析后,发明人发现现有技术至少具有如下缺点:媒体服务器的对外端口号是固定的,很容易受到攻击,虽然在媒体服务器上加上了iptables等软件防火墙,但是由于此类软件防火墙的防攻击能力比较弱,还是不能有效地保护媒体服务器。
发明内容
为了能够更加有效地防止外界对媒体服务器的攻击,本发明实施例提供了一种用于媒体服务器上防攻击的方法和媒体服务器。所述技术方案如下:
一方面,提供了一种用于媒体服务器上防攻击的方法,所述方法包括:
通过信令接口获取终端请求用户的身份信息;
将所述用户的身份信息发送到鉴权服务器进行认证;
如果认证通过,则在媒体接口上为所述终端分配随机端口号,并将所述终端重定向到所述随机端口号对应的端口上。
另一方面,提供了一种防攻击的媒体服务器,所述媒体服务器包括:
获取模块,用于通过信令接口获取终端请求用户的身份信息;
发送模块,用于将所述用户的身份信息发送到鉴权服务器进行认证;
执行模块,用于如果所述用户的身份信息通过认证,则在媒体接口上为所述终端分配随机端口号,并将所述终端重定向到所述随机端口号对应的端口上。
本发明实施例提供的技术方案的有益效果是:将信令接口和媒体接口分离,对认证通过的用户在媒体接口上分配随机端口号的方式,使恶意攻击的用户很难获取到该端口号,有效地防止了恶意用户的攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例1提供的一种用于媒体服务器上防攻击的方法流程图;
图2是本发明实施例2提供的一种用于媒体服务器上防攻击的方法流程图;
图3是本发明实施例3提供的一种防攻击的媒体服务器结构示意图;
图4是本发明实施例3提供的另一种防攻击的媒体服务器结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
参见图1,本实施例提供了一种用于媒体服务器上防攻击的方法,包括:
步骤101:通过信令接口获取终端请求用户的身份信息;
步骤102:将用户的身份信息发送到鉴权服务器进行认证;
步骤103:如果认证通过,则在媒体接口上为终端分配随机端口号,并将终端重定向到随机端口号对应的端口上。
本发明实施例提供的技术方案的有益效果是:将信令接口和媒体接口分离,对认证通过的用户在媒体接口上分配随机端口号的方式,使恶意攻击的用户很难获取到该端口号,有效地防止了恶意用户的攻击。
实施例2
参见图2,本实施例提供了一种用于媒体数据传输上防攻击的方法,包括:
步骤201:媒体服务器对信令接口进行侦听。
本实施例中,在媒体服务器上增加信令网卡和媒体网卡,将信令接口和业务接口分离。信令接口用于和终端进行信令交互、用户鉴权,返回媒体文件信息等,不用其来传输媒体数据;媒体接口用于传输媒体数据。
本实施例中,由于信令接口只用于简单的小数量的数据传输,不会增加防火墙的负担,所以可在媒体服务器前端增加硬件防火墙,使用户发送的请求消息先通过硬件防火墙,再到达信令接口。这样做的目的是:如果有用户进行恶意攻击,防火墙就会先对其进行拦截,使其不能到达媒体服务器,有效地保护了媒体服务器。防火墙的防攻击方法属于现有技术范畴,本实施例对此不在赘述。
步骤202:信令接口接收到用户的请求登录消息后,媒体服务器获取用户的身份信息。
本实施例中,媒体服务器对信令接口进行侦听,当信令接口收到用户请求登录消息后,媒体服务器会对该消息进行分析,解析出用户的身份信息,从而获取到用户的身份信息。其中,用户发送的请求登录消息中,包括用户的身份信息。
其中步骤201-202为媒体服务器通过信令接口获取终端请求用户的身份信息的具体过程。
步骤203:媒体服务器将用户的身份信息发送到鉴权服务器进行认证。
其中,媒体服务器从信令接口获取终端请求用户的身份信息后,将用户的身份信息从鉴权接口发送到鉴权服务器,进行身份认证。由于媒体服务器一直在侦听鉴权接口,所以当鉴权接口有认证结果信息,媒体服务器会马上获知。其中,具体的认证方式可以采用:在URL上增加此用户的MD5摘要,或记录此用户的ID信息等,对此本实施例不做具体限定。其中,返回给用户终端的认证结果信息,是事先定义好的,一般是三位数字,以2开头表示请求被成功处理,以5开头表示服务器不能满足请求。
步骤204:媒体服务器获取鉴权服务器的认证结果信息,判断该认证结果信息是否是认证通过信息,如果是则执行步骤205;否则关闭与该用户终端的连接。
本明实施例中,由于事先对结果信息进行了定义,所以根据事先定义的对认证结果信息对获取到的认证结果信息进行识别,如果是以2开头的表示该终端用户通过认证,如果以5开头的表示该终端用户未通过认证。对未通过认证的用户,媒体服务器拒绝该用户的请求,直接关闭与该用户终端的连接;对通过认证的用户,媒体服务器会为其准备媒体的相关信息,如文件大小,媒体码率等。
步骤205:在媒体接口上为该用户终端分配随机端口号,将该用户重定向到媒体接口上分配的随机端口号上。
其中,区别于现有技术中媒体服务器对外的端口号采用固定的端口对用户进行服务的方式,本实施例中,对通过认证的终端,为其在媒体接口上分配随机端口号,通过随机端口号对应的端口将媒体数据传输给终端用户,为该终端用户提供服务。其中,随机端口号的分配没有具体限制,只要在协议内,能够为用户提供服务的端口号均可。一般采用动态的端口,动态端口的范围是从1024到65535。当这个进程关闭时,同时也就释放了所占用的端口号。如,一般用于网页浏览的端口号为80,如果采用这个固定的端口号,很容易遭到攻击,本实施例中随机配一个端口号,可能为1026,因为随机分配时没有规律,这样攻击的用户就很难找到这个端口号进行攻击,从而避免了攻击。
本实施例中,由于对该用户终端在媒体服务器上分配了随机端口号,所以媒体服务器要对用户进行重定向,将该用户重定向到该媒体接口上的随机端口号对应的端口上。
本实施例中分配的随机端口号,包括但不限于仅为一个用户提供服务。
步骤206:媒体服务器侦听该随机端口号对应的端口,判断用户是否在预设时间内发起数据请求,如果是,则执行步骤207;否则执行步骤208。
本实施例中可选地,为了降低媒体服务器被攻击的几率,设定媒体服务器在预设时间内侦听媒体接口上的随机端口号对应的端口,如果用户在预设时间内没有发起数据请求,则关闭该端口号对应的端口,以防恶意攻击。其中,预设时间,可以是15秒,20秒,45秒,1分钟等,本实施例对此不做具体限定。如上述随机分配端口号1026,则媒体服务器在15秒内对其进行侦听,如果该时间内,用户没有发起数据请求,则关闭该端口。
步骤207:通过媒体接口和该端口号对应的端口向用户进行数据传输。
本实施例中,如果用户在预设时间内发起了数据请求,则通过媒体接口和该端口号对应的端口向用户进行数据传输。
步骤208:关闭该随机端口号对应的端口。
本实施例中,如果用户没有在预设的时间内发起数据请求则,关闭端口,进一步地,本实施例中可选地,当用户发起了数据请求,通过随机端口向用户传输数据完毕后,将该端口关闭,以防恶意用户的攻击。
本实施例中,可以在媒体服务器上增加信令网卡和媒体网卡,产生信令接口和媒体接口,另外,本实施例中也可以将媒体接口和信令接口部署在不同的服务器上,在信令接口所处的服务器前部署硬件防火墙,同样能达到防攻击的目的。
本实施例提供的技术方案的有益效果是:在媒体服务器中增加信令网卡和媒体网卡,使信令接口和媒体接口分开,这样在媒体服务器前增加的硬件防火墙,就能在用户进行登录时对媒体服务器进行保护,并通过采用对认证通过的用户在媒体接口上分配随机端口号的方式,更加有效地防止了恶意用户的攻击。
实施例3
参见图3,本实施例提供了一种防攻击的媒体服务器,包括:获取模块301,发送模块302,执行模块303。
获取模块301,用于获取终端请求用户的身份信息;
发送模块302,用于将所述用户的身份信息发送到鉴权服务器进行认证;
执行模块303,用于如果所述用户的身份信息通过认证,则在媒体接口上为所述终端分配随机端口号,并将所述终端重定向到所述随机端口号对应的端口上,否则关闭与所述终端的连接。
本实施例中,获取模块301,具体用于:
侦听信令接口,以获取用户的身份信息。
本实施例中,由于将媒体接口和信令接口分离,所以可在媒体服务器前设置硬件防火墙,使终端用户的请求信息通过硬件防火墙到达信令接口。
参见图4,防攻击的媒体服务器还包括:
侦听模块304,用于执行模块303将所述终端重定向到所述随机端口号对应的端口上之后,在预设时间内侦听随机端口,如果终端在预设时间内发起数据请求,则通过随机端口号对应的端口将媒体数据传输给终端,否则关闭随机端口号对应的端口。
参见图4,进一步地,防攻击的媒体服务器上还包括:
关闭模块305,用于当侦听模块304通过随机端口号对应的端口将媒体数据传输给终端之后,关闭随机端口号对应的端口。
本发明实施例提供的技术方案的有益效果是:将信令接口和媒体接口分离,对认证通过的用户在媒体接口上分配随机端口号的方式,使恶意攻击的用户很难获取到该端口号,有效地防止了恶意用户的攻击。
本实施例提供的服务器,具体可以,与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例提供的上述技术方案的全部或部分可以通过程序指令相关的硬件来完成,所述程序可以存储在可读取的存储介质中,该存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种用于媒体服务器上防攻击的方法,其特征在于,所述方法包括:
通过信令接口获取终端请求用户的身份信息;
将所述用户的身份信息发送到鉴权服务器进行认证;
如果所述认证通过,则在媒体接口上为所述终端分配随机端口号,并将所述终端重定向到所述随机端口号对应的端口上。
2.根据权利要求1所述的方法,其特征在于,所述通过信令接口获取终端请求用户的身份信息,包括:
侦听所述信令接口,以获取用户的身份信息。
3.根据权利要求1所述的方法,其特征在于,所述将所述终端重定向到所述随机端口号对应的端口上,之后还包括:
在预设时间内侦听所述随机端口号对应的端口;
如果所述终端在预设时间内发起数据请求,则通过所述随机端口号对应的端口将媒体数据传输给所述终端,否则关闭所述端口号对应的端口。
4.根据权利要求3所述的方法,其特征在于,所述通过所述随机端口号对应的端口将媒体数据传输给所述终端,之后还包括:
关闭所述随机端口号对应的端口。
5.一种防攻击的媒体服务器,其特征在于,所述媒体服务器包括:
获取模块,用于通过信令接口获取终端请求用户的身份信息;
发送模块,用于将所述用户的身份信息发送到鉴权服务器进行认证;
执行模块,用于如果所述用户的身份信息通过认证,则在媒体接口上为所述终端分配随机端口号,并将所述终端重定向到所述随机端口号对应的端口上。
6.根据权利要求5所述的媒体服务器,其特征在于,所述获取模块,具体用于:
侦听所述信令接口,以获取用户的身份信息。
7.根据权利要求6所述的媒体服务器,其特征在于,所述媒体服务器还包括:
侦听模块,用于所述执行模块将所述终端重定向到所述随机端口号对应的端口上之后,在预设时间内侦听所述随机端口,如果所述终端在预设时间内发起数据请求,则通过所述随机端口号对应的端口将媒体数据传输给所述终端,否则关闭所述端口号对应的端口。
8.根据权利要求7所述的媒体服务器,其特征在于,所述媒体服务器还包括:
关闭模块,用于当所述侦听模块通过所述随机端口号对应的端口将媒体数据传输给所述终端之后,关闭所述随机端口号对应的端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010614239.XA CN102143154B (zh) | 2010-12-28 | 2010-12-28 | 用于媒体服务器上防攻击的方法和媒体服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010614239.XA CN102143154B (zh) | 2010-12-28 | 2010-12-28 | 用于媒体服务器上防攻击的方法和媒体服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102143154A true CN102143154A (zh) | 2011-08-03 |
CN102143154B CN102143154B (zh) | 2015-12-09 |
Family
ID=44410378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010614239.XA Active CN102143154B (zh) | 2010-12-28 | 2010-12-28 | 用于媒体服务器上防攻击的方法和媒体服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102143154B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991624A (zh) * | 2015-03-06 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种服务器的安全管理方法及装置 |
WO2016197782A3 (zh) * | 2016-03-16 | 2017-02-02 | 中兴通讯股份有限公司 | 一种服务端口管理的方法、装置和计算机可读存储介质 |
CN108848114A (zh) * | 2018-08-21 | 2018-11-20 | 华严信息科技(常熟)有限公司 | 一种安全的基于随机动态网络的信息传输方法 |
CN109495509A (zh) * | 2018-12-27 | 2019-03-19 | 北京奇安信科技有限公司 | 网闸的数据传输方法、设备、系统和介质 |
CN114666130A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种web安全反向代理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1964407A (zh) * | 2006-11-23 | 2007-05-16 | 华为技术有限公司 | 一种媒体转发的方法、系统及设备 |
CN101119278A (zh) * | 2007-09-14 | 2008-02-06 | 广东威创日新电子有限公司 | 一种处理海量数据的方法及系统 |
-
2010
- 2010-12-28 CN CN201010614239.XA patent/CN102143154B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1964407A (zh) * | 2006-11-23 | 2007-05-16 | 华为技术有限公司 | 一种媒体转发的方法、系统及设备 |
CN101119278A (zh) * | 2007-09-14 | 2008-02-06 | 广东威创日新电子有限公司 | 一种处理海量数据的方法及系统 |
Non-Patent Citations (1)
Title |
---|
袁敏等: "浅谈如何保障基于LINUX系统下FTP服务器的安全", 《网络安全技术与应用》, no. 200812, 31 December 2008 (2008-12-31), pages 23 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991624A (zh) * | 2015-03-06 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种服务器的安全管理方法及装置 |
CN105991624B (zh) * | 2015-03-06 | 2019-07-26 | 阿里巴巴集团控股有限公司 | 一种服务器的安全管理方法及装置 |
WO2016197782A3 (zh) * | 2016-03-16 | 2017-02-02 | 中兴通讯股份有限公司 | 一种服务端口管理的方法、装置和计算机可读存储介质 |
CN108848114A (zh) * | 2018-08-21 | 2018-11-20 | 华严信息科技(常熟)有限公司 | 一种安全的基于随机动态网络的信息传输方法 |
CN109495509A (zh) * | 2018-12-27 | 2019-03-19 | 北京奇安信科技有限公司 | 网闸的数据传输方法、设备、系统和介质 |
CN114666130A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种web安全反向代理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102143154B (zh) | 2015-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7042875B2 (ja) | セキュア動的通信ネットワーク及びプロトコル | |
EP3481029B1 (en) | Internet defense method and authentication server | |
CN104113534B (zh) | 应用程序app的登录系统及方法 | |
CN1172485C (zh) | 网络信息家电远程控制及安全认证装置和方法 | |
CN107517179B (zh) | 一种鉴权方法、装置和系统 | |
CN105682093A (zh) | 无线网络接入方法及接入装置和客户端 | |
KR20010083899A (ko) | 비유사한 장치들이 네트워크를 통하여 정보를 교환할 수있도록 하는 적응형 통신 시스템 | |
CN101986598B (zh) | 认证方法、服务器及系统 | |
CN107222480A (zh) | 一种流媒体播放方法、终端设备及cdn服务器 | |
WO2017084318A1 (zh) | 视频资源共享方法、系统及相关设备 | |
CN109040069B (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
CN102143154A (zh) | 用于媒体服务器上防攻击的方法和媒体服务器 | |
CN105491073A (zh) | 一种数据下载方法、装置及系统 | |
CN109792433A (zh) | 用于将设备应用绑定到网络服务的方法和装置 | |
CN104702562B (zh) | 终端融合业务接入方法、系统与终端 | |
EP1624622A1 (en) | Inter-device authentication system, inter-device authentication method, communication device, and computer program | |
CN109005164B (zh) | 一种网络系统、设备、网络数据交互方法及存储介质 | |
CN101741568A (zh) | 上网方法、客户端、安全网关及上网系统 | |
Schulz et al. | d 2 Deleting Diaspora: Practical attacks for profile discovery and deletion | |
CN103685147A (zh) | 网络接入安全处理方法、设备及系统 | |
Francis et al. | Countermeasures for attacks on satellite tv cards using open receivers | |
KR101713191B1 (ko) | 악성 데이터의 사전 검증을 통해 악성 행위를 차단하는 액세스 포인트 및 그 방법 | |
Alsaffar et al. | IPTV service framework based on secure authentication and lightweight content encryption for screen-migration in Cloud computing | |
CN115134175B (zh) | 一种基于授权策略的安全通讯方法及装置 | |
CN113347190B (zh) | 鉴权方法、系统、从站点服务器、客户端、设备和介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220214 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
TR01 | Transfer of patent right |