CN105282125B - Web实时通信中的访问控制方法和装置 - Google Patents
Web实时通信中的访问控制方法和装置 Download PDFInfo
- Publication number
- CN105282125B CN105282125B CN201410356960.1A CN201410356960A CN105282125B CN 105282125 B CN105282125 B CN 105282125B CN 201410356960 A CN201410356960 A CN 201410356960A CN 105282125 B CN105282125 B CN 105282125B
- Authority
- CN
- China
- Prior art keywords
- terminal
- token
- user name
- sequence number
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种Web实时通信中的访问控制方法,涉及互联网实时通信领域。本发明实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。
Description
技术领域
本发明涉及互联网实时通信领域,特别涉及一种Web实时通信中的访问控制方法。
背景技术
在互联网的Web实时通信业务中,终端间的媒体流往往需要穿越防火墙,而在穿越双端都是对称型的防火墙时需要使用STUN(Session Traversal Utilities for NAT,会话穿透效用的网络地址转换)服务器或TURN(Traversal Using Relays around NAT,中继穿透的网络地址转换)服务器进行媒体中继。
现有的Web实时通信中,终端向第三方应用平台申请令牌,第三方应用平台通知能力平台产生令牌,能力平台向第三方应用平台和STUN/TURN服务器推送该令牌,从而在STUN/TURN服务器和第三方应用平台共享针对每个终端请求产生的令牌,STUN/TURN服务器根据令牌对终端的访问进行控制。
上述访问控制方案存在以下问题:一方面,系统中共享的是终端令牌,大规模部署场景中终端及其令牌数量巨大,难以满足实时性的要求;另一方面,终端令牌泄露后存在被冒用的风险。
发明内容
本发明实施例所要解决的一个技术问题是:由于共享令牌数量巨大所导致的实时性差的问题,以及令牌泄露后存在的被冒用的问题。
根据本发明实施例的一个方面,提出一种Web实时通信中的访问控制方法,包括:网络地址转换穿透服务器接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;网络地址转换穿透服务器根据校验结果控制所述终端的访问。
在一个实施例中,所述网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验包括:网络地址转换穿透服务器在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;网络地址转换穿透服务器使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;网络地址转换穿透服务器通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
在一个实施例中,所述网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验包括:网络地址转换穿透服务器从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
在一个实施例中,所述用户名还包括产生时间,所述方法还包括:网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
在一个实施例中,所述网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验包括:网络地址转换穿透服务器比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
在一个实施例中,所述终端进行访问之后,所述方法还包括:网络地址转换穿透服务器将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
根据本发明实施例的再一方面,提出一种Web实时通信中的访问控制装置,包括:信息接收模块,用于接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;令牌合法性校验模块,用于利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;令牌是否已使用校验模块,用于对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;访问控制模块,用于网络地址转换穿透服务器根据校验结果控制所述终端的访问。
在一个实施例中,所述令牌合法性校验模块,具体用于:在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
在一个实施例中,所述令牌是否已使用校验模块,具体用于:从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
在一个实施例中,所述用户名还包括产生时间,所述装置还包括:令牌期限校验模块,用于对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
在一个实施例中,所述令牌期限校验模块,具体用于:比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
在一个实施例中,访问控制装置还包括:已用信息处理模块,用于在所述终端进行访问之后,将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
本发明实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的网络架构示意图和访问控制示意图。
图2为本发明用户名包括应用标识和序列号时Web实时通信中的访问控制方法流程示意图。
图3为本发明用户名包括应用标识、序列号和产生时间时Web实时通信中的访问控制方法流程示意图。
图4为本发明Web实时通信中的访问控制装置一个实施例的结构示意图。
图5为本发明Web实时通信中的访问控制装置再一个实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明的网络架构示意图和访问控制示意图。如图1所示,访问控制系统包括媒体中继能力平台设备、NAT穿透服务器、第三方应用平台设备以及终端等。媒体中继能力平台设备例如可以运行在apache上,采用PHP(超文本预处理器)实现。NAT穿透服务器例如可以是STUN服务器或TURN服务器。STUN/TURN服务器例如可以采用高性能的rfc5766-turn-server实现,需要改造增加内存数据库以存储当天已使用序列号列表。终端例如可以采用chrome 27以上实现。每个第三方应用平台设备可以为多个终端提供服务。
如图1所示,访问控制过程如下:
步骤S102,媒体中继能力平台设备负责第三方应用平台设备的注册,为第三方应用平台设备分配应用标识(APPID)及其相应的应用令牌(APPKEY)。
步骤S104,媒体中继能力平台设备将APPID和APPKEY推送到全网的NAT穿透服务器,以实现NAT穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌。
步骤S106,第三方应用平台设备检测到终端登录后,根据APPID和APPKEY为终端生成用户名和密码,将用户名和密码发送给终端。
其中,根据APPID和APPKEY为终端生成用户名和密码例如采用以下方法实现:
第一种方法,随机产生一序列号,该序列号在一定时期内不重复,例如,在一天内不重复,然后将应用标识和序列号(APPID+Sequence)作为用户名,对用户名采用应用令牌APPKEY签名得到的散列值作为密码。
第二种方法,随机产生一序列号,该序列号在一定时期内不重复,将当前日期作为用户名的产生时间,然后将应用标识、序列号和产生时间(APPID+Sequence+CreateTime)作为用户名,对用户名采用应用令牌APPKEY签名得到的散列值作为密码。
其中,签名采用的散列算法可以参考现有技术,本发明不限定具体的散列算法。
另外,第三方应用平台设备在将用户名和密码发送给终端之前,还可以对终端认证,认证通过后再将用户名和密码发送给终端。
步骤S108,终端需要进行NAT穿越时,携带第三方应用平台设备颁发的用户名和密码访问NAT穿透服务器进行媒体中继。
上述实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以更好地满足Web实时通信中的实时性要求。
根据用户名中的信息,NAT穿透服务器可以对终端采用不同的访问控制策略,下面分别说明。
当用户名包括应用标识和序列号(APPID+Sequence)时,如图2所示,Web实时通信中的访问控制方法包括以下步骤:
步骤S202,网络地址转换穿透服务器接收终端访问时发送的用户名和密码;
其中,用户名包括应用标识和序列号,密码是对用户名采用应用令牌签名得到的散列值,终端的用户名和密码由第三方应用平台设备提供(参考S106),网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌(参考S102和S104)。
步骤S204,网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对终端的密码进行校验,以确定终端的应用令牌是否合法。
步骤S206,网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验,以确定终端的应用令牌是否已经使用过。
步骤S208,网络地址转换穿透服务器根据校验结果控制所述终端的访问。
本实施例不限定步骤S204和S206的校验顺序,例如可以先执行步骤S204再执行步骤S206,也可以先执行步骤S206,再执行步骤S204。
在一个实施例中,步骤S204可以采用以下方法校验:
网络地址转换穿透服务器在本地存储的信息中提取与终端的用户名中的应用标识对应的应用令牌;使用本地存储的应用令牌对终端的用户名进行散列运算得到散列值;通过比较自己计算得到的散列值与终端的密码确定终端的应用令牌是否合法,如果自己计算得到的散列值与终端的密码相同,则终端的应用令牌合法,否则,如果自己计算得到的散列值与终端的密码不同,则终端的应用令牌不合法。
在一个实施例中,步骤S206可以采用以下方法校验:
网络地址转换穿透服务器从终端的用户名中提取序列号;从已使用序列号列表中查询提取的终端的用户名中的序列号是否已经存在;如果终端的用户名中的序列号在已使用序列号列表中已经存在,确定终端的应用令牌已经使用过;如果终端的用户名中的序列号在已使用序列号列表中不存在,确定终端的应用令牌未使用过。
在一个实施例中,步骤S208可以采用以下方法进行访问控制:如果步骤S204和步骤S206的校验通过,即终端的应用令牌合法,并且终端的应用令牌未使用过,则允许终端访问,否则,步骤S204和步骤S206有任一项校验未通过,则拒绝终端访问。
上述实施例,在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。
当用户名包括应用标识、序列号和产生时间(APPID+Sequence+CreateTime)时,如图3所示,Web实时通信中的访问控制方法包括以下步骤:
步骤S302,网络地址转换穿透服务器接收终端访问时发送的用户名和密码;
其中,用户名包括应用标识、序列号和产生时间,密码是对用户名采用应用令牌签名得到的散列值,终端的用户名和密码由第三方应用平台设备提供(参考S106),网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌(参考S102和S104)。
步骤S303,网络地址转换穿透服务器对终端的用户名中的产生时间CreateTime进行校验,以确定终端的应用令牌是否过期。
在一个实施例中,步骤S303可以采用以下方法校验:
网络地址转换穿透服务器比较终端的用户名中的产生时间与当前时间,如果终端的用户名中的产生时间与当前时间是同一天,确定终端的应用令牌未过期,如果终端的用户名中的产生时间与当前时间不是同一天,确定终端的应用令牌过期。
步骤S204,网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对终端的密码进行校验,以确定终端的应用令牌是否合法。
步骤S206,网络地址转换穿透服务器对终端的用户名中的序列号进行校验,以确定终端的应用令牌是否已经使用过。
本实施例不限定步骤S303、S204和S206的校验顺序,例如执行顺序可以为步骤S303、S204、S206,也可以是执行步骤S206、S204、S303,或者采用其他执行顺序。步骤S204和步骤S206的具体校验方法可以参考前述。
步骤S308,网络地址转换穿透服务器根据校验结果控制终端的访问。
在一个实施例中,步骤S308可以采用以下方法进行访问控制:如果步骤S303、步骤S204和步骤S206的校验通过,即终端的应用令牌未过期、终端的应用令牌合法,并且终端的应用令牌未使用过,则允许终端访问,否则,步骤S303、步骤S204和步骤S206有任一项校验未通过,则拒绝终端访问。
在步骤S308或S208之后,还可以包括以下步骤:
步骤S310,网络地址转换穿透服务器将所用户名中的应用标识和序列号插入到已使用序列号列表中。
步骤S312,每天零时清空已使用序列号列表,从而可以重复利用序列号。
上述实施例,在用户名中除了设置了应用标识和序列号,还设置了产生时间,一方面,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用;另一方面,通过设置产生时间,使得终端必须在规定时间内使用令牌进行访问,可以进一步减小密码泄露和被冒用的风险,并且NAT穿透服务器只需保存当天序列号的使用记录,可以保证认证效率。
图4为本发明Web实时通信中的访问控制装置一个实施例的结构示意图,该访问控制装置例如可以置于NAT穿透服务器中。
如图4所示,种Web实时通信中的访问控制装置,包括:
信息接收模块402,用于接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌;
令牌合法性校验模块404,用于利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;
令牌是否已使用校验模块406,用于对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;
访问控制模块408,用于网络地址转换穿透服务器根据校验结果控制所述终端的访问。
在一个实施例中,所述令牌合法性校验模块404,具体用于:在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
在一个实施例中,所述令牌是否已使用校验模块406,具体用于:从所述终端的用户名中提取序列号;从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
在一个实施例中,所述用户名还包括产生时间,如图5所示,访问控制装置还包括:令牌期限校验模块503,用于对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
在一个实施例中,所述令牌期限校验模块503,具体用于:比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
在一个实施例中,访问控制装置还包括:已用信息处理模块510,用于在所述终端进行访问之后,将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
本发明实施例中,NAT穿透服务器仅需共享第三方应用平台设备的应用令牌,应用令牌的数量远小于终端令牌的数量,可以满足Web实时通信中的实时性要求,并且在用户名中设置了应用标识和序列号,采用应用令牌对用户名签名可以得到密码,终端使用用户名和密码访问NAT穿透服务器时,由于每个序列号仅可以使用一次,并且终端没有第三方应用的令牌无法伪造新序列号的签名,因此即使终端的密码泄露,该终端的用户名和密码也不会被冒用。另外,通过在用户名中设置产生时间,使得终端必须在规定时间内使用令牌进行访问,可以进一步减小密码泄露和被冒用的风险,并且NAT穿透服务器只需保存当天序列号的使用记录,可以保证认证效率。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种Web实时通信中的访问控制方法,包括:
网络地址转换穿透服务器接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌,序列号在预设时期内不重复;
网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;
网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;
网络地址转换穿透服务器根据校验结果控制所述终端的访问。
2.根据权利要求1所述的方法,其特征在于,所述网络地址转换穿透服务器利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验包括:
网络地址转换穿透服务器在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;
网络地址转换穿透服务器使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;网络地址转换穿透服务器与第三方应用平台设备采用相同的散列算法计算散列值;
网络地址转换穿透服务器通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
3.根据权利要求1所述的方法,其特征在于,所述网络地址转换穿透服务器对所述终端的用户名中的序列号进行校验包括:
网络地址转换穿透服务器从所述终端的用户名中提取序列号;
从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;
如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;
如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
4.根据权利要求1所述的方法,其特征在于,所述用户名还包括产生时间,所述方法还包括:网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
5.根据权利要求4所述的方法,其特征在于,所述网络地址转换穿透服务器对所述终端的用户名中的产生时间进行校验包括:
网络地址转换穿透服务器比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
6.根据权利要求1所述的方法,其特征在于,所述终端进行访问之后,所述方法还包括:网络地址转换穿透服务器将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
7.一种Web实时通信中的访问控制装置,包括:
信息接收模块,用于接收终端访问时发送的用户名和密码,所述用户名包括应用标识和序列号,所述密码是对所述用户名采用应用令牌签名得到的散列值,所述终端的用户名和密码由第三方应用平台设备提供,网络地址转换穿透服务器与第三方应用平台设备共享应用标识及其相应的应用令牌,序列号在预设时期内不重复;
令牌合法性校验模块,用于利用自己存储的应用标识及其相应的应用令牌对所述终端的密码进行校验,以确定所述终端的应用令牌是否合法;
令牌是否已使用校验模块,用于对所述终端的用户名中的序列号进行校验,以确定所述终端的应用令牌是否已经使用过;
访问控制模块,用于网络地址转换穿透服务器根据校验结果控制所述终端的访问。
8.根据权利要求7所述的装置,其特征在于,所述令牌合法性校验模块,具体用于:
在本地存储的信息中提取与所述终端的用户名中的应用标识对应的应用令牌;
使用本地存储的应用令牌对所述终端的用户名进行散列运算得到散列值;网络地址转换穿透服务器与第三方应用平台设备采用相同的散列算法计算散列值;
通过比较自己计算得到的散列值与所述终端的密码确定所述终端的应用令牌是否合法。
9.根据权利要求7所述的装置,其特征在于,所述令牌是否已使用校验模块,具体用于:从所述终端的用户名中提取序列号;
从已使用序列号列表中查询提取的所述终端的用户名中的序列号是否已经存在;
如果所述终端的用户名中的序列号在已使用序列号列表中已经存在,确定所述终端的应用令牌已经使用过;
如果所述终端的用户名中的序列号在已使用序列号列表中不存在,确定所述终端的应用令牌未使用过。
10.根据权利要求7所述的装置,其特征在于,所述用户名还包括产生时间,所述装置还包括:
令牌期限校验模块,用于对所述终端的用户名中的产生时间进行校验,以确定所述终端的应用令牌是否过期。
11.根据权利要求10所述的装置,其特征在于,所述令牌期限校验模块,具体用于:比较所述终端的用户名中的产生时间与当前时间,如果所述终端的用户名中的产生时间与当前时间是同一天,确定所述终端的应用令牌未过期,如果所述终端的用户名中的产生时间与当前时间不是同一天,确定所述终端的应用令牌过期。
12.根据权利要求7所述的装置,其特征在于,还包括:
已用信息处理模块,用于在所述终端进行访问之后,将所述用户名中的应用标识和序列号插入到已使用序列号列表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410356960.1A CN105282125B (zh) | 2014-07-25 | 2014-07-25 | Web实时通信中的访问控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410356960.1A CN105282125B (zh) | 2014-07-25 | 2014-07-25 | Web实时通信中的访问控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105282125A CN105282125A (zh) | 2016-01-27 |
| CN105282125B true CN105282125B (zh) | 2018-07-06 |
Family
ID=55150460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410356960.1A Active CN105282125B (zh) | 2014-07-25 | 2014-07-25 | Web实时通信中的访问控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105282125B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786326A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 应用在车联网动态密码校验中的共享方法 |
| CN110401674B (zh) * | 2019-08-19 | 2022-05-17 | 泰康保险集团股份有限公司 | 数据访问方法、装置、系统、电子设备及计算机可读介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546532A (zh) * | 2010-12-07 | 2012-07-04 | 中国移动通信集团公司 | 能力调用方法、请求装置、平台及系统 |
| CN102573112A (zh) * | 2010-12-07 | 2012-07-11 | 中国电信股份有限公司 | 电信网络能力开放方法、系统及联盟支撑平台 |
| CN102710640A (zh) * | 2012-05-31 | 2012-10-03 | 中国联合网络通信集团有限公司 | 请求授权的方法、装置和系统 |
| CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7024689B2 (en) * | 2002-12-13 | 2006-04-04 | Intuit, Inc. | Granting access rights to unattended software |
-
2014
- 2014-07-25 CN CN201410356960.1A patent/CN105282125B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546532A (zh) * | 2010-12-07 | 2012-07-04 | 中国移动通信集团公司 | 能力调用方法、请求装置、平台及系统 |
| CN102573112A (zh) * | 2010-12-07 | 2012-07-11 | 中国电信股份有限公司 | 电信网络能力开放方法、系统及联盟支撑平台 |
| CN102710640A (zh) * | 2012-05-31 | 2012-10-03 | 中国联合网络通信集团有限公司 | 请求授权的方法、装置和系统 |
| CN103051630A (zh) * | 2012-12-21 | 2013-04-17 | 微梦创科网络科技(中国)有限公司 | 基于开放平台实现第三方应用授权的方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105282125A (zh) | 2016-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102394887B (zh) | 基于OAuth协议的开放平台安全认证方法和系统 | |
| CN102171969B (zh) | 用于操作网络的方法,用于其的系统管理设备、网络和计算机程序 | |
| CN108537046A (zh) | 一种基于区块链技术的在线合同签署系统及方法 | |
| CN105282122B (zh) | 基于数字证书的信息安全实现方法及系统 | |
| CN109714174A (zh) | 一种基于区块链的物联网设备数字身份管理系统及其方法 | |
| CN108881308A (zh) | 一种用户终端及其认证方法、系统、介质 | |
| CN106164917B (zh) | 用于远程会话的用户特定应用激活 | |
| CN104378379B (zh) | 一种数字内容加密传输方法、设备和系统 | |
| CN105760724B (zh) | 游戏角色的共享方法、设备及系统 | |
| CN105656859A (zh) | 税控设备软件安全在线升级方法及系统 | |
| CN104618369A (zh) | 一种基于OAuth的物联网设备唯一授权方法、装置及系统 | |
| CN107229877A (zh) | 证书管理、获取方法、装置、计算机程序及电子设备 | |
| CN108683645A (zh) | 一种基于区块链的信息分布式域名及数据交易系统 | |
| Alhaidary et al. | Vulnerability analysis for the authentication protocols in trusted computing platforms and a proposed enhancement of the offpad protocol | |
| CN107454064A (zh) | 一种基于公众号的访客认证方法及系统 | |
| CN101399724A (zh) | 面向用户的网络接入和业务使用的一次认证方法 | |
| CN102255916A (zh) | 接入认证方法、设备、服务器及系统 | |
| CN109218334A (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
| CN104426834B (zh) | 一种网页请求方法、客户端、服务器以及系统 | |
| CN105282125B (zh) | Web实时通信中的访问控制方法和装置 | |
| Pinter et al. | Towards a multi-party, blockchain-based identity verification solution to implement clear name laws for online media platforms | |
| CN107248997A (zh) | 多服务器环境下基于智能卡的认证方法 | |
| CN107135076A (zh) | 一种无可信第三方的参与式感知激励机制实现方法 | |
| CN105516070B (zh) | 一种认证凭证更替的方法及装置 | |
| CN117278988A (zh) | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |