CN105516070A - 一种认证凭证更替的方法及装置 - Google Patents

一种认证凭证更替的方法及装置 Download PDF

Info

Publication number
CN105516070A
CN105516070A CN201410525806.2A CN201410525806A CN105516070A CN 105516070 A CN105516070 A CN 105516070A CN 201410525806 A CN201410525806 A CN 201410525806A CN 105516070 A CN105516070 A CN 105516070A
Authority
CN
China
Prior art keywords
voucher
account
password
terminal equipment
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410525806.2A
Other languages
English (en)
Other versions
CN105516070B (zh
Inventor
张旭武
张进生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201410525806.2A priority Critical patent/CN105516070B/zh
Priority to PCT/CN2015/089048 priority patent/WO2016050133A1/zh
Publication of CN105516070A publication Critical patent/CN105516070A/zh
Application granted granted Critical
Publication of CN105516070B publication Critical patent/CN105516070B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种认证凭证更替的方法及装置,涉及通信领域,用以解决现有技术中因终端设备使用固定的账号和密码进行登录而导致的安全风险较大的问题,以及因需要在终端设备保存固定的账号和密码而导致的应用局限性的问题。本发明实施例提供的方法包括:中继服务器接收信令服务器发送的第一账号和第二凭证;根据所述第二凭证生成新的第一凭证;其中,新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。本发明实施例提供的技术方案可以应用在多媒体通信过程中。

Description

一种认证凭证更替的方法及装置
技术领域
本发明涉及通信领域,尤其涉及一种认证凭证更替的方法及装置。
背景技术
在Internet(互联网)网络环境中,私有网络与公网之间一般设置有防火墙或NAT(NetworkAddressTranslation,网络地址转换),因此,不同私有网络中的两个终端设备(UserEquipment,UE)进行通信时一般需要穿越防火墙/NAT。目前,一种实现防火墙/NAT穿越的方案为TURN(TraversalUsingRelayNetworkAddressTranslation,通过Relay方式穿越NAT)方案。TURN方案的基本原理为:终端设备通过一个或多个NAT与公网中的中继服务器连接;中继服务器通过某种机制为终端设备分配公网地址(即媒体中继地址分配阶段),终端设备利用该公网地址确定与通信对端(即另一终端设备)的媒体中继路径(即媒体中继路径连通性检查阶段),并通过该媒体中继路径向通信对端发送数据。
为了防止非法接入,终端设备与中继服务器之间建立TURN连接时,中继服务器需要对终端设备进行认证。目前TURN协议中定义了一种对终端设备进行认证的长期认证凭证(Long-termCredential)机制。所谓长期凭证认证机制是指,终端设备和中继服务器均预先保存一个固定的账号和密码,终端设备每次接入中继服务器时均采用该固定的账号和密码进行登录,也就是说,每次TURN连接的过程中,中继服务器均利用固定的账号和密码对终端设备进行认证。
上述利用长期认证机制对终端设备进行认证的过程中,由于终端设备使用固定的账号和密码进行登录,因此容易导致账号和密码被离线破解,安全风险较大。另外,由于长期认证机制需要在终端设备存储固定的账号和密码,因此会造成应用上的局限性;例如,长期认证机制不适用于WebRTC(WebReal-TimeCommunication,网页实时通信)场景中。
需要说明的是,由于在WebRTC场景中,终端设备的通信控制功能一般由JavaScript脚本语言实现,存储在终端设备的账号和密码直接由JavaScript读取,而JavaScript没有被编译和加密,可以被明文读取,因此容易造成存储的账号和密码泄露,因此需要在终端设备保存固定的账号和密码的长期认证机制不适合在WebRTC场景中使用。
发明内容
本发明的实施例提供一种认证凭证更替的方法及装置,用以解决现有技术中因终端设备使用固定的账号和密码进行登录而导致的安全风险较大的问题,以及因需要在终端设备保存固定的账号和密码而导致的应用局限性的问题。
为了达到上述目的,本发明实施例提供了如下技术方案:
第一方面,提供一种认证凭证更替的方法,包括:
中继服务器接收信令服务器发送的第一账号和第二凭证;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对终端设备进行认证时使用的第一凭证中的账号;所述第二凭证为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的凭证;
根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
结合第一方面,在第一种可能的实现方式中,在所述中继服务器接收信令服务器发送的第一账号和第二凭证之后,所述方法还包括:
向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述根据所述第二凭证生成新的第一凭证,包括:将所述第二凭证作为新的第一凭证;或,根据所述第一凭证和所述第二凭证生成新的第一凭证。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述根据所述第一凭证和所述第二凭证生成新的第一凭证,包括:根据所述第一密码和所述第二密码生成所述新的第一密码。
结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中,所述根据所述第一密码和所述第二密码生成所述新的第一密码,包括:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
结合第一方面的第三种可能的实现方式或第四种可能的实现方式,在第五种可能的实现方式中,所述新的第一凭证还包括新的第一账号;所述根据所述第一凭证和所述第二凭证生成新的第一凭证,还包括:根据所述第一账号和所述第二账号生成所述新的第一账号。
结合第一方面的第五种可能的实现方式,在第六种可能的实现方式中,所述根据所述第一账号和所述第二账号生成所述新的第一账号,包括:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
第二方面,提供一种认证凭证更替的方法,包括:
中继服务器接收终端设备发送的包含第一账号和第二账号的更新请求消息;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的第一凭证中的账号,所述第二账号为信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
利用所述第二凭证对所述终端设备进行认证;
认证成功后,根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
结合第二方面,在第一种可能的实现方式中,在所述中继服务器接收终端设备发送的包含第一账号和第二账号的更新请求消息之后,所述方法还包括:
向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述根据所述第二凭证生成新的第一凭证,包括:将所述第二凭证作为新的第一凭证;或,根据所述第一凭证和所述第二凭证生成新的第一凭证。
第三方面,提供一种中继服务器,包括:
接收单元,用于接收信令服务器发送的第一账号和第二凭证;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对终端设备进行认证时使用的第一凭证中的账号;所述第二凭证为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的凭证;
更替单元,用于根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
结合第三方面,在第一种可能的实现方式中,所述中继服务器还包括:
发送单元,用于向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述更替单元具体用于:
将所述第二凭证作为新的第一凭证;或,
根据所述第一凭证和所述第二凭证生成新的第一凭证。
第四方面,提供一种中继服务器,包括:
接收单元,用于接收终端设备发送的包含第一账号和第二账号的更新请求消息;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的第一凭证中的账号,所述第二账号为信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
认证单元,用于利用所述第二凭证对所述终端设备进行认证;
更替单元,用于在所述认证单元认证成功后,根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
第五方面,提供一种终端设备,包括:
获取单元,用于获得第一账号;其中,所述第一账号为在本次媒体中继地址分配阶段中中继服务器对终端设备进行认证时使用的第一凭证中的账号;
接收单元,用于接收信令服务器发送的第二账号;其中,所述第二账号为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
发送单元,用于向所述中继服务器发送包含所述第一账号和所述第二账号的更新请求消息;其中,所述更新请求消息用于使所述中继服务器根据所述第二凭证生成新的第一凭证;所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
结合第五方面,在第一种可能的实现方式中,所述发送单元还用于,向所述信令服务器发送凭证指示消息;其中,所述凭证指示消息用于使所述信令服务器生成所述第二凭证。
结合第五方面或第五方面的第一种可能的实现方式,在第二种可能的实现方式中,所述接收单元还用于,接收所述中继服务器发送的更新指示消息;
所述终端设备还包括:更替单元,用于根据所述第二凭证生成所述新的第一凭证。
本发明实施例提供的技术方案,中继服务器利用本次媒体中继路径连通性检查阶段中的第二凭证生成用于更替本次媒体中继地址分配阶段中的第一凭证的新的第一凭证,从而实现认证凭证的动态更替。该方法应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种认证凭证更替的方法流程图;
图2为本发明实施例二提供的一种认证凭证更替的方法流程图;
图3为本发明实施例三提供的一种认证凭证更替的方法流程图;
图4为本发明实施例1提供的一种认证凭证更替的方法流程图;
图5为本发明实施例2提供的一种认证凭证更替的方法流程图;
图6为本发明实施例四提供的一种中继服务器的结构示意图;
图7为本发明实施例四提供的另一种中继服务器的结构示意图;
图8为本发明实施例五提供的一种中继服务器的结构示意图;
图9为本发明实施例五提供的另一种中继服务器的结构示意图;
图10为本发明实施例六提供的一种中继服务器的结构示意图;
图11为本发明实施例六提供的另一种中继服务器的结构示意图;
图12为本发明实施例七提供的一种中继服务器的结构示意图;
图13为本发明实施例七提供的另一种中继服务器的结构示意图;
图14为本发明实施例八提供的一种终端设备的结构示意图;
图15为本发明实施例八提供的另一种终端设备的结构示意图;
图16为本发明实施例九提供的一种终端设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本发明实施例提供的技术方案可以应用在IP(InternetProtocol,网络协议)多媒体通信过程中的防火墙/NAT穿越场景中,具体可以应用在该场景中终端设备与中继服务器之间建立TURN连接的过程中。其中,IP多媒体通信可以为VoIP(VoiceoverInternetProtocol,网络电话)会话、IP视频通信等。
TURN连接的过程中存在两种逻辑通道,一种是用于承载上层VoIP媒体的TURN数据通道(TURNdatachannel),另外一种是用于建立数据通道的控制信息通道(下文称为“TURN控制通道”);TURN连接的过程包括媒体中继地址分配阶段和媒体中继路径连通性检查阶段。
“媒体中继地址分配阶段”是指中继服务器为终端设备分配媒体中继地址的阶段,具体可以包括:终端设备向中继服务器发送分配媒体中继地址请求消息;中继服务器终端设备分配媒体中继地址;其中,该媒体中继地址用于使终端设备与通信对端进行媒体会话协商。
“媒体中继路径连通性检查阶段”是指:终端设备发送媒体中继路径连通性检查(ConnectivityCheck)请求消息,然后通过是否能够接收到连通性检查响应消息来确定媒体中继路径是否可用的阶段。其中,媒体中继路径连通性检查请求消息包括:创建允许请求(createPermissionrequest)消息、TURN数据通道绑定请求消息(ChannelBindrequest)和STUN(SimpleTraversalofUDPthroughNAT,UDP包的简单NAT穿越)绑定请求(STUNbindingrequest)消息。其中,创建允许请求消息用于使中继服务器获知允许接入该终端设备的媒体中继地址的通信对端的地址;TURN数据通道绑定请求消息用于在终端设备与中继服务器之间创建一条TURN数据通道;STUN绑定请求消息用于确定终端设备与通信对端之间的报文是否能够通过终端设备到通信对端之间的媒体中继路径到达通信对端。
需要说明的是,中继服务器与终端设备之间的交互消息遵循TURN协议,将该交互消息称为TURN控制消息。TURN协议规定:中继服务器在接收到终端设备发送的每条TURN控制消息后,均需要对终端设备进行认证;中继服务器对终端设备发送的每条TURN控制消息,均需要返回针对该请求消息的响应消息。上述“媒体中继地址分配阶段”和“媒体中继路径连通性检查阶段”中的每条TURN控制消息均遵循TURN协议。
利用本发明实施例提供的认证凭证更替的方法,在每次TURN连接的过程中,中继服务器均可以使用第一凭证和第二凭证对终端设备进行认证;为了保证终端设备的信息安全,任意两次TURN连接的过程中使用的第一凭证可以不同,任意两次TURN连接的过程中使用的第二凭证可以不同。如果不加说明,下文中描述的“第一凭证”均是指本次TURN连接的过程中使用的第一凭证,“第二凭证”均是指本次TURN连接的过程中使用的第二凭证。
本发明实施例中的“中继服务器对终端设备进行认证”具体可以为:中继服务器对终端设备进行TURN认证。本发明实施例中的“中继服务器”可以为TURN服务器等;“信令服务器”可以为VoIP服务器等,其中,VoIP服务器可以为SIP服务器或WebRTC服务器。
实施例一
如图1所示,为本发明实施例提供的一种认证凭证更替的方法,包括:
101:中继服务器接收信令服务器发送的第一账号和第二凭证;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对终端设备进行认证时使用的第一凭证中的账号;所述第二凭证为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的凭证。
第一凭证包括第一账号和第一密码。在第1次TURN连接的过程中,第一凭证可以为中继服务器在对终端设备进行开户业务发放时生成的凭证;在第n(n≥2,n为整数)次TURN连接的过程中,第一凭证可以为第n-1次TURN连接的过程中采用本发明实施例提供的技术方案生成的新的第一凭证。其中,相邻两次TURN连接的过程可以针对相同种类的IP多媒体通信(例如均为VoIP会话),也可以针对不同种类的IP多媒体通信(例如一次TURN连接的过程针对VoIP会话,另一次TURN连接的过程针对IP视频通信等)。一般地,第一凭证可以在本次TURN连接的过程之前即存储在中继服务器和终端设备中,与本次TURN连接的过程无关联关系。
第二凭证包括第二账号和第二密码。第二凭证可以为信令服务器为ICE(InteractiveConnectivityEstablishment,交互式连接建立)客户端生成的短期凭证(short-termcredential);当然还可以为其他凭证。一般地,第二凭证在本次TURN连接的过程中,由信令服务器为本次TURN连接临时生成的凭证,与本次TURN连接有关联关系;另外,当本次TURN连接结束后,该第二凭证可以被删除,以节省存储空间。
在步骤101之前,该方法还可以包括:终端设备向信令服务器发送凭证指示消息,以使得信令服务器根据该凭证指示消息生成第二凭证。
需要说明的是,第一账号和第二账号用于标识同一终端设备,但是由于第一账号是中继服务器生成的,第二账号是信令服务器生成的,因此中继服务器无法识别第二账号,信令服务器无法识别第一账号。基于此,具体实现时,终端设备可以将第一账号包含在该凭证指示消息中发送给信令服务器,以使得信令服务器通过识别该凭证指示消息而识别第一账号;进一步地,信令服务器向中继服务器发送第一账号和第二凭证,以使得中继服务器通过识别第一账号而识别第二凭证。
其中,信令服务器可以在同一消息中携带第一账号和第二凭证,也可以在不同消息中携带第一账号和第二凭证。为了减少信令条数,提高资源的利用率,信令服务器可以将第一账号和第二凭证携带在现有技术中的一消息(例如,H.248消息等)中发送给中继服务器。
另外需要说明的是,具体实现时,该方法还可以包括:在中继服务器和信令服务器之间建立接口;其中,该接口用于传输中继服务器和信令服务器之间的交互消息。
可选的,在步骤101之后,该方法还可以包括:向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
示例性的,本实施例对中继服务器执行“向所述终端设备发送更新指示消息”与执行步骤102的先后顺序不进行限定。为了减少信令条数,提高资源的利用率,在利用上述方式一实现步骤101时,用于表示更新指示消息的信息可以在现有技术中的一消息中携带;另外,也可以为新定义的一消息。
需要说明的是,“更新指示消息”中可以包括更新规则,其中,该更新规则可以包括但不限于以下任一种:更新方式、更新对象、更新算法等。其中,更新方式可以为下述步骤102中示例的方式1)或方式2);更新对象可以为第一密码和/或第一账号;更新算法可以为下述的“单向函数”算法等。中继服务器可以按照自身更新第一凭证的实现过程中使用的更新规则向终端设备发送更新指示消息,以使中继服务器更新第一凭证的实现过程与终端设备更新第一凭证的实现过程相同;另外,中继服务器可以预先与终端设备协商好更新规则,终端设备在接收到中继服务器发送的更新指示下消息时,即利用该已协商好更新规则对第一凭证进行更新。
102:根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,步骤102可以包括但不限于通过以下两种方式实现:
方式1)、将所述第二凭证作为新的第一凭证。
方式2)、根据所述第一凭证和所述第二凭证生成新的第一凭证。
示例性的,所述新的第一凭证包括新的第一密码,该方式2)可以包括:根据所述第一密码和所述第二密码生成所述新的第一密码。进一步地,所述新的第一凭证还包括新的第一账号,该方式2)还可以包括:根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,“根据所述第一密码和所述第二密码计算所述新的第一密码”可以包括:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。可选的,“根据所述第一账号和所述第二账号计算所述新的第一账号”可以包括:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。其中,该单向函数可以为哈希函数(hashfunction)等。
可选的,中继服务器用新的第一凭证更替第一凭证。更替的方式不限,可以全部更替;也可以只更替变化的内容,比如账号或密码。
本发明实施例提供的认证凭证更替的方法,中继服务器利用本次媒体中继路径连通性检查阶段中的第二凭证生成用于更替本次媒体中继地址分配阶段中的第一凭证的新的第一凭证,从而实现认证凭证的动态更替。该方法应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
实施例二
如图2所示,为本发明实施例提供的一种认证凭证更替的方法,包括:
201:中继服务器接收终端设备发送的包含第一账号和第二账号的更新请求消息;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的第一凭证中的账号,所述第二账号为信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号。
本实施例中相关内容的解释可以参考本文中的其他实施例中的描述。
为了节省信令条数,提高资源利用率,可选的,步骤201可以实现为:中继服务器接收终端设备发送的媒体中继路径连通性检查请求消息,该媒体中继路径连通性检查请求消息中包含用于表示更新请求消息的信息。示例性的,在该可选的方式中,媒体中继路径连通性检查请求消息具体可以为:创建允许请求消息或TURN数据通道绑定请求消息等。另外,更新请求消息还可以为新定义的一消息。
可选的,在步骤201之后,该方法还可以包括:向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。示例性的,该可选的方式中的相关内容的解释可以参考本文中的其他实施例中的描述。
202:利用所述第二凭证对所述终端设备进行认证。
本发明实施例对步骤202中的认证方法不进行限定,可以利用现有技术中的认证方法。
在步骤101之后步骤102之前,该方法还可以包括:接收信令服务器发送的第二凭证;步骤102可以包括:根据更新指示消息中包含的第二账号获取该第二账号所属的第二凭证,利用该第二凭证对终端设备进行认证。
203:认证成功后,根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,“根据所述第二凭证生成新的第一凭证”可以包括但不限于通过以下两种方式实现:
方式1)、将所述第二凭证作为新的第一凭证。
方式2)、根据所述第一凭证和所述第二凭证生成新的第一凭证。
示例性的,所述新的第一凭证包括新的第一密码,该方式2)可以包括:根据所述第一密码和所述第二密码生成所述新的第一密码。进一步地,所述新的第一凭证还包括新的第一账号,该方式2)还可以包括:根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,“根据所述第一密码和所述第二密码计算所述新的第一密码”可以包括:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。可选的,“根据所述第一账号和所述第二账号计算所述新的第一账号”可以包括:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。其中,该单向函数可以为哈希函数(hashfunction)等。
可选的,中继服务器用新的第一凭证更替第一凭证。更替的方式不限,可以全部更替;也可以只更替变化的内容,比如账号或密码。
具体实现时,若步骤202中的认证结果为认证失败,则该方法还可以包括:中继服务器向终端设备发送认证失败的响应消息。另外,根据现有TURN协议,在媒体中继路径的连通性检查阶段中,若在某一时间段内中继服务器无法完成对终端设备的认证,则会释放分配给该终端设备的媒体中继地址,并中断与终端设备之间的TURN连接,以节省资源。
需要说明的是,本次TURN连接的过程中,中继服务器在接收到所述终端设备发送的包含所述第二账号的TURN控制消息时,均利用所述第二凭证对所述终端设备进行认证。由于TURN协议中规定,中继服务器在接收到终端设备发送的每条TURN控制消息后,均需要对终端设备进行认证;因此终端设备向中继服务器发送的每条TURN控制消息中均包含有一个账号,以使得中继服务器根据该账号所属的凭证对终端设备进行认证。另外,具体实现时,TURN控制消息中还可以包含该账号对应的参考量,其中,关于“参考量”的解释和使用方法可以参考下文中的相关描述。
本发明实施例提供的认证凭证更替的方法,中继服务器利用本次媒体中继路径连通性检查阶段中的第二凭证生成用于更替本次媒体中继地址分配阶段中的第一凭证的新的第一凭证,从而实现认证凭证的动态更替。该方法应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
实施例三
如图3所示,为本发明实施例提供的一种认证凭证更替的方法,包括:
301:终端设备获得第一账号;其中,所述第一账号为在本次媒体中继地址分配阶段中中继服务器对终端设备进行认证时使用的第一凭证中的账号。
本实施例中相关内容的解释可以参考本文中的其他实施例中的描述。
302:接收信令服务器发送的第二账号;其中,所述第二账号为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号。
可选的,在步骤302之前,该方法还可以包括:向所述信令服务器发送凭证指示消息;其中,所述凭证指示消息用于使所述信令服务器生成所述第二凭证。具体实现时,为了节省信令开销,该凭证指示消息可以携带在会话呼叫请求消息中。步骤302可以实现为:接收信令服务器发送的第二凭证,其中,该第二凭证中包括第二账号。具体实现时,为了节省信令开销,该第二凭证可以携带在会话呼叫响应消息中。
303:向所述中继服务器发送包含所述第一账号和所述第二账号的更新请求消息;其中,所述更新请求消息用于使所述中继服务器根据所述第二凭证生成新的第一凭证;所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,在步骤302之后,该方法还可以包括:接收所述中继服务器发送的更新指示消息;根据所述第二凭证生成所述新的第一凭证。
可选的,终端设备用新的第一凭证更替第一凭证。更替的方式不限,可以全部更替;也可以只更替变化的内容,比如账号或密码。
可选的,“根据所述第二凭证生成所述新的第一凭证”可以包括但不限于通过以下两种方式实现:
方式1)、将所述第二凭证作为新的第一凭证。
方式2)、根据所述第一凭证和所述第二凭证生成新的第一凭证。
示例性的,所述新的第一凭证包括新的第一密码,该方式2)可以包括:根据所述第一密码和所述第二密码生成所述新的第一密码。进一步地,所述新的第一凭证还包括新的第一账号,该方式2)还可以包括:根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,“根据所述第一密码和所述第二密码计算所述新的第一密码”可以包括:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。可选的,“根据所述第一账号和所述第二账号计算所述新的第一账号”可以包括:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。其中,该单向函数可以为哈希函数(hashfunction)等。
本发明实施例提供的认证凭证更替的方法,中继服务器利用本次媒体中继路径连通性检查阶段中的第二凭证生成用于更替本次媒体中继地址分配阶段中的第一凭证的新的第一凭证,从而实现认证凭证的动态更替。该方法应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
下面通过两个具体的实施例(实施例1和实施例2)对上文提供的认证凭证更替方法应用于认证方法中进行说明。需要说明的是,该两个具体的实施例提供认证方法的场景均为一次TURN连接的过程中该两个具体的实施例中的相关内容的解释均可以参考上文。
实施例1
如图4所示,为本实施例提供的一种认证方法,包括:
401、终端设备向中继服务器发送分配媒体中继地址请求消息;其中,该分配媒体中继地址请求消息中包含第一账号和该第一账号对应的参考量。
“第一账号对应的参考量”为终端设备根据预设认证算法使用第一密码和随机数进行哈希计算,由该计算后得到的值所确定的一个数值或一个数值范围;其中,预设认证算法为终端设备与中继服务器预先约定的、用于使用第一密码进行哈希计算的算法。
步骤401可以包括:终端设备通过TURN协议向中继服务器发送分配媒体中继地址请求消息。“第一账号”可以由现有的TURN协议属性中的username属性携带。
402、中继服务器根据第一账号获取第一凭证,利用第一凭证和第一账号对应的参考量对终端设备进行认证。
步骤402可以包括:中继服务器通过第一账号获取第一密码,利用预设认证算法对第一密码进行计算,得到计算结果;当参考量是一个数值时,判断该计算结果与参考量是否相同,若是,则认证成功;若否,则认证失败;当参考量是一个数值范围时,判断该计算结果是否在该数值范围内,若是,则认证成功;若否,则认证失败。认证成功说明该终端设备合法,则执行步骤403;认证失败说明该终端设备不合法,则向终端设备返回认证失败的响应消息。
需要说明的是,由于中继服务器接收到终端设备发送的每条TURN控制消息后,均需要对终端设备进行认证;因此终端设备向中继服务器发送的每条TURN控制消息中均包含有一个账号和与使用该账号对应密码计算出来的参考量,以使得中继服务器根据该账号所属的凭证对终端设备进行认证。
403、认证成功后,中继服务器根据分配媒体中继地址请求消息为终端设备分配媒体中继地址。
该步骤403的具体实现方法可以参考现有技术,此处不再描述。
404、中继服务器向终端设备发送分配媒体中继地址响应消息;其中,该分配媒体中继地址响应消息中包含中继服务器为该终端设备分配的媒体中继地址。
步骤401-404即为中继服务器为终端设备分配媒体中继地址阶段的具体实现过程。
405、终端设备向信令服务器发送会话呼叫请求消息,会话呼叫请求消息中包含中继服务器为该终端设备分配的媒体中继地址、用于表示凭证请求消息的信息和第一账号。
406、信令服务器根据用于表示凭证请求消息的信息为终端设备生成第二凭证;其中,第二凭证包括第二账号和第二密码。
407、信令服务器向终端设备发送会话呼叫响应消息;其中,该会话呼叫响应消息中包含第二凭证。
408、信令服务器向中继服务器发送关联请求消息,该关联请求消息中包含第一账号和第二凭证。
具体实现时,本发明实施例对步骤407和步骤408的执行顺序不作限定,例如,可以先执行步骤407再执行步骤408,也可以先执行步骤408再执行步骤407,还可以同时执行步骤407和步骤408。
另外,在执行步骤407和步骤408之后,信令服务器可以删除该第二凭证,以节省存储空间。
409、中继服务器建立第一账号与第二账号之间的关联关系。
“建立第一账号与第二账号之间的关联关系”具体是指绑定共同标识一终端设备的第一账号和第二账号,以使得中继服务器在媒体中继路径连通性检查阶段中利用与该第一账号所绑定的第二账号所属的第二凭证对终端设备进行认证;以及在凭证更替时,中继服务器利用第二账号所属的第二凭证对该第二账号所绑定的第一账号所属的第一凭证进行更新。
需要说明的是,由于中继服务器中存储有与其连接的多个终端设备的第一账号和第二账号,因此,中继服务器需要将共同标识一终端设备的第一账号与第二账号进行关联,以实现对不同终端设备的第一账号和第二账号的管理。
410、终端设备向中继服务器发送创建允许请求消息;其中,所述创建允许请求消息中包含第二账号和该第二账号对应的参考量。
示例性的,第二账号对应的参考量的解释可以参考上述实施例六中对第一账号对应的参考量的解释。
411、中继服务器根据第二账号获取第二凭证,并利用第二凭证和第二账号对应的参考量对终端设备进行认证。
412、认证成功后,向终端设备发送创建允许响应消息;其中,该创建允许响应消息中包含用于表示更新指示消息的信息,更新指示消息中包含用于表示该关联关系的信息。
413、终端设备根据第一凭证和第二凭证计算新的第一凭证,该新的第一凭证即为下一次TURN连接的过程中使用的凭证;并使用新的第一凭证更替第一凭证。
执行步骤413之后,本次TURN连接的过程中使用的第一凭证失效。
本发明实施例对第一账号和第一密码的更新计算方法不进行限定,以下提供了一种计算方法作为示例:
第一账号更新计算方法可以为:
Username_f_new=PDF(username_f_old,username_s),其中,username_f_new表示新的第一账号,PDF表示单向函数的函数名称,同时也代表一种算法,username_f_old表示第一账号,username_s表示第二账号。
第一密码的更新计算方法可以为:PWD_f_new=KDF(PWD_f_old,PWD_s,,其他参数)。其中,PWD_f_new表示新的第一密码,KDF表示单向函数的函数名称,同时也代表一种算法(例如可以为MD5(Message-DigestAlgorithm5,一种单向散列算法)等),PWD_f_old表示第一密码,PWD_s表示为第二密码,其他参数为可选参数,例如可以为关联响应消息中的transactionid或者NONCE参数等。
414、中继服务器根据第一凭证和第二凭证计算新的第一凭证,该新的第一凭证即为下一次TURN连接的过程中使用的凭证;并使用新的第一凭证更替第一凭证。
步骤414的具体更新计算方法可以参考步骤413。
需要说明的是,中继服务器可以按照自身更新第一凭证的实现过程中使用的更新规则向终端设备发送更新指示消息,以保证中继服务器更新第一凭证的实现过程与终端设备更新第一凭证的实现过程相同;另外,中继服务器可以预先与终端设备协商好更新规则,终端设备在接收到中继服务器发送的更新第一凭证的指示时,即利用已协商好更新规则对第一凭证进行更新。
步骤412-413为终端设备更新第一凭证的过程,该过程可以在终端设备获知第一账号与第二账号之间的关联关系之后、本次TURN连接的过程结束之前的任一步骤中执行;步骤414为中继服务器更新第一凭证的过程,该过程可以在中继服务器建立第一账号与第二账号之间的关联关系之后、本次TURN连接的过程结束之前的任一步骤中执行。另外,本发明实施例对终端设备更新第一凭证的过程和中继服务器更新第一凭证的过程的执行顺序不作限定。
415、中继服务器在本次TURN连接的过程中,在接收到其他TURN控制消息时,均利用该第二凭证对终端设备进行认证。
示例性的,步骤415中的TURN控制消息可以包括:刷新请求(Refreshrequest)消息、TURN数据通道绑定请求消息等。
本发明实施例提供的认证方法,中继服务器利用双凭证(第一凭证和第二凭证)对终端设备进行认证,提高了终端设备的信息安全。本实施例通过第一账号与第二账号之间的关联关系,利用本次TURN连接的过程中的第二凭证对本次TURN连接的过程中的第一凭证进行更新,得到下一次TURN连接的过程中的第一凭证,从而实现认证凭证的动态更新。与现有技术中的长期认证机制相比,本实施例提供的认证方法不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。同时,本实施例提供的认证方法利用现有技术中的消息携带认证过程中所使用的交互信令,减少了信令数目,提高了资源的利用率。另外,本实施例提供的认证方法实现了VoIP呼叫信令对媒体中继路径连通性检查阶段的控制。
实施例2
如图5所示,为本实施例提供的一种认证方法,包括:
步骤501-504与上述步骤401-404相同,具体可参考实施例1,在此不再赘述。步骤501-504即为中继服务器为终端设备分配媒体地址阶段的具体实现过程。
505、终端设备向信令服务器发送会话呼叫请求消息,会话呼叫请求消息中包含中继服务器为该终端设备分配的媒体中继地址和用于表示凭证请求消息的信息。
需要说明的是,终端设备与信令服务器之间的交互消息称为SIP消息,终端设备与信令服务器使用SIP消息中的SDP(SessionDescriptionProtocol,会话描述协议)协商双方的会话信息,其中,该会话信息可以包括:媒体地址、编解码信息和ICE相关参数等。现有技术中SIP消息需要通过TLS(TransportLayerSecurity,安全传输层协议)或者IPSec(InternetProtocolSecurity,互联网安全协议)进行加密,在该实施例中假设所有SIP消息已经通过TLS或者IPSec进行了加密;其中,具体的加密方法可以参考现有技术。
506、信令服务器根据用于表示凭证请求消息的信息生成第二凭证;其中,第二凭证包括第二账号和第二密码。
示例性的,第二凭证可以为信令服务器随机生成的一凭证。
507、信令服务器向终端设备发送会话呼叫响应消息;其中,该会话呼叫响应消息中包含第二凭证。
具体实现时,第二凭证中的第二账号可以通过现有SDP属性中的ICE-ufrag携带,第二凭证中的第二密码可以通过现有SDP属性中ICE-passwd属性携带,当然,也可以通过新定义的一个SDP属性行专门携带第二凭证。
508、信令服务器向中继服务器发送第二凭证。
具体实现时,步骤508可以包括:信令服务器通过信令服务器与中继服务器器之间的接口直接向中继服务器发送第二凭证;或者,信令服务器与中继服务器之间预共享一个密钥,信令服务器使用该密钥对第二凭证进行加密,然后通过SDP消息将该加密后的信息发送给终端设备,终端设备通过TURN控制消息将该加密后的信息转发给中继服务器,中继服务器通过该密钥解出第二凭证。
本发明实施例对步骤507和步骤508的执行顺序不作限定,例如,可以先执行步骤507再执行步骤508,也可以先执行步骤508再执行步骤507,还可以同时执行步骤507和步骤508。
另外,在执行步骤507和步骤508之后,信令服务器可以删除该第二凭证,以节省存储空间。
509、终端设备向中继服务器发送创建允许请求消息,该创建允许请求消息中包含用于表示关联请求消息的信息,该关联请求消息中包含第一账号和第二账号。
具体实现时,上述关联请求消息中的第一账号与第二账号可以通过以下两种方式携带:
1)、第一账号和第二账号均由现有的TURN协议属性中的username属性携带,第一账号和第二账号通过约定的符号来区分,例如username=“第二账号”||“第一账号”。
2)、第一账号可以通过新定义的一个TURN协议属性携带,第二账号由现有的TURN协议属性中的username属性携带。
当然,关联请求消息中的第一账号与第二账号的携带方式还可以是其他方式,上述两种方式只是示例性说明,例如,还可以第一账号和第二账号均由新定义的TURN协议属性携带等。
510、中继服务器通过关联请求消息中携带的第二账号,获取第二账号所属的第二凭证,利用第二凭证对终端设备进行认证。
具体认证过程可参考步骤502。
511、认证成功后,中继服务器建立第一账号与第二账号之间的关联关系。
512、中继服务器向终端设备发送创建允许响应消息;其中,该创建允许响应消息中包含用于表示更新指示消息的信息,更新指示消息中包含用于表示该关联关系的信息。
“用于表示更新指示消息的信息”可以通过现有的TURN协议属性或者专门新定义的一个TURN协议属性携带;另外,更新指示消息还可以包括更新规则等,关于更新规则的描述可以参考上文。
步骤513-515与步骤413-415相同,具体可参考实施例1,在此不再赘述。
本发明实施例提供的认证方法,中继服务器利用双凭证(第一凭证和第二凭证)对终端设备进行认证,提高了终端设备的信息安全。本实施例通过第一账号与第二账号之间的关联关系,利用本次TURN连接的过程中的第二凭证对本次TURN连接的过程中的第一凭证进行更新,得到下一次TURN连接的过程中的第一凭证,从而实现认证凭证的动态更新。与现有技术中的长期认证机制相比,本实施例提供的认证方法不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。同时,本实施例提供的认证方法利用现有技术中的消息携带认证过程中所使用的交互信令,减少了信令数目,提高了资源的利用率。另外,本实施例提供的认证方法实现了VoIP呼叫信令对媒体中继路径连通性检查阶段的控制。
实施例四
如图6所示,为本发明实施例提供一种中继服务器60,用以执行上述方法实施例中提供的认证凭证更替的方法,该中继服务器60包括:
接收单元601,用于接收信令服务器发送的第一账号和第二凭证;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对终端设备进行认证时使用的第一凭证中的账号;所述第二凭证为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的凭证;
更替单元602,用于根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,如图7所示,所述中继服务器60还包括:
发送单元603,用于向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
可选的,所述更替单元602具体用于:将所述第二凭证作为新的第一凭证;或,根据所述第一凭证和所述第二凭证生成新的第一凭证。
可选的,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;如图7所示,所述更替单元602包括:
第一生成子单元6021,用于根据所述第一密码和所述第二密码生成所述新的第一密码。
可选的,所述第一生成子单元6021具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
可选的,所述新的第一凭证还包括新的第一账号;如图7所示,所述更替单元602还包括:
第二生成子单元6022,用于根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,所述第二生成子单元6022具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
本发明实施例提供的中继服务器应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
实施例五
在硬件实现上,实施例四中的发送单元可以为发送器,接收单元可以为接收器,且该发送器和接收器可以集成在一起构成收发器;更替单元可以以硬件形式内嵌于或独立于中继服务器的处理器中,也可以以软件形式存储于中继服务器的存储器中,以便于处理器调用执行以上各个单元对应的操作,该处理器可以为中央处理单元(CPU)、微处理器、单片机等。
如图8所示,为本发明实施例提供的一种中继服务器80,用以执行上述方法实施例提供的认证凭证更替的方法,该中继服务器80包括:接收器801、存储器802、处理器803和总线系统804。
其中,接收器801、存储器802和处理器803之间是通过总线系统804耦合在一起的,其中总线系统804除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统804。
接收器801,用于接收信令服务器发送的第一账号和第二凭证;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对终端设备进行认证时使用的第一凭证中的账号;所述第二凭证为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的凭证;
存储器802,用于存储一组代码,存储器802中存储的代码用于控制处理器803根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,如图9所示,所述中继服务器还包括:
发送器805,用于向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
可选的,所述处理器803具体用于:将所述第二凭证作为新的第一凭证;或,根据所述第一凭证和所述第二凭证生成新的第一凭证。
可选的,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述处理器803具体用于:根据所述第一密码和所述第二密码生成所述新的第一密码。
可选的,所述处理器803具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
可选的,所述新的第一凭证还包括新的第一账号;所述处理器803具体用于:根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,所述处理器803具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
本发明实施例提供的中继服务器应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
实施例六
如图10所示,为本发明实施例提供一种中继服务器100,用于上述方法实施例提供的认证凭证更替的方法,该中继服务器100包括:
接收单元1001,用于接收终端设备发送的包含第一账号和第二账号的更新请求消息;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的第一凭证中的账号,所述第二账号为信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
认证单元1002,用于利用所述第二凭证对所述终端设备进行认证;
更替单元1003,用于在所述认证单元认证成功后,根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,如图11所示,所述中继服务器还包括:发送单元1004,用于向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
可选的,所述更替单元1003具体用于:将所述第二凭证作为新的第一凭证;或,根据所述第一凭证和所述第二凭证生成新的第一凭证。
可选的,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述更替单元1003具体用于:根据所述第一密码和所述第二密码生成所述新的第一密码。
可选的,所述更替单元1003具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
可选的,所述新的第一凭证还包括新的第一账号;所述更替单元1003具体用于:根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,所述更替单元1003具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
本发明实施例提供的中继服务器应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
实施例七
在硬件实现上,实施例六中的接收单元可以为接收器;认证单元、更替单元可以以硬件形式内嵌于或独立于中继服务器的处理器中,也可以以软件形式存储于中继服务器的存储器中,以便于处理器调用执行以上各个单元对应的操作,该处理器可以为中央处理单元(CPU)、微处理器、单片机等。
如图12所示,为本发明实施例提供一种中继服务器120,用以执行上述方法实施例中提供的认证凭证更替的方法,该中继服务器120包括:接收器1201、存储器1202、处理器1203和总线系统1204。
其中,接收器1201、存储器1202和处理器1203之间是通过总线系统1204耦合在一起的,其中总线系统1204除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统1204。
接收器1201,用于接收终端设备发送的包含第一账号和第二账号的更新请求消息;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的第一凭证中的账号,所述第二账号为信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
存储器1202,用于存储一组代码,存储器1202中存储的代码用于控制处理器1203执行以下动作:利用所述第二凭证对所述终端设备进行认证;认证成功后,根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,如图13所示,所述中继服务器120还包括:发送器1205,用于向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
可选的,所述处理器1203具体用于:将所述第二凭证作为新的第一凭证;或,根据所述第一凭证和所述第二凭证生成新的第一凭证。
可选的,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述处理器1203具体用于:根据所述第一密码和所述第二密码生成所述新的第一密码。
可选的,所述处理器1203具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
可选的,所述新的第一凭证还包括新的第一账号;所述处理器1203具体用于:根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,所述处理器1203具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
本发明实施例提供的中继服务器应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
实施例八
如图14所示,为本发明实施例提供一种终端设备140,用以执行上述方法实施例中提供的认证凭证更替的方法,该终端设备140包括:
获取单元1401,用于获得第一账号;其中,所述第一账号为在本次媒体中继地址分配阶段中中继服务器对终端设备进行认证时使用的第一凭证中的账号;
接收单元1402,用于接收信令服务器发送的第二账号;其中,所述第二账号为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
发送单元1403,用于向所述中继服务器发送包含所述第一账号和所述第二账号的更新请求消息;其中,所述更新请求消息用于使所述中继服务器根据所述第二凭证生成新的第一凭证;所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,所述发送单元1403还用于,向所述信令服务器发送凭证指示消息;其中,所述凭证指示消息用于使所述信令服务器生成所述第二凭证。
可选的,所述接收单元1402还用于,接收所述中继服务器发送的更新指示消息;如图15所示,所述终端设备140还包括:更替单元1404,用于根据所述第二凭证生成所述新的第一凭证。
可选的,所述更替单元1404具体用于:将所述第二凭证作为所述新的第一凭证;或,根据所述第一凭证和所述第二凭证生成所述新的第一凭证。
可选的,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;如图15所示,所述更替单元1404包括:第一生成子单元14041,用于根据所述第一密码和所述第二密码生成所述新的第一密码。
可选的,所述第一生成子单元14041具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
可选的,所述新的第一凭证还包括新的第一账号;如图15所示,所述更替单元1404还包括:第二生成子单元14042,用于根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,所述第二生成子单元14042具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
本发明实施例提供的终端设备应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
实施例九
在硬件实现上,实施例八中的发送单元可以为发送器,接收单元可以为接收器,且该发送器和接收器可以集成在一起构成收发器;获取单元、更替单元可以以硬件形式内嵌于或独立于终端设备的处理器中,也可以以软件形式存储于终端设备的存储器中,以便于处理器调用执行以上各个单元对应的操作,该处理器可以为中央处理单元(CPU)、微处理器、单片机等。
如图16所示,为本发明实施例提供的一种终端设备160,用以执行上述方法实施例中提供的认证凭证更替的方法,该终端设备160包括:接收器1601、发送器1602、存储器1603、处理器1604和总线系统1605。
其中,接收器1601、发送器1602、存储器1603和处理器1604之间是通过总线系统1605耦合在一起的,其中总线系统1605除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统1605。
存储器1603,用于存储一组代码,存储器1603中存储的代码用于控制处理器1604获得第一账号;其中,所述第一账号为在本次媒体中继地址分配阶段中中继服务器对终端设备进行认证时使用的第一凭证中的账号;
接收器1601,用于接收信令服务器发送的第二账号;其中,所述第二账号为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
发送器1602,用于向所述中继服务器发送包含所述第一账号和所述第二账号的更新请求消息;其中,所述更新请求消息用于使所述中继服务器根据所述第二凭证生成新的第一凭证;所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
可选的,所述发送器1602还用于,向所述信令服务器发送凭证指示消息;其中,所述凭证指示消息用于使所述信令服务器生成所述第二凭证。
可选的,所述接收器1601还用于,接收所述中继服务器发送的更新指示消息;处理器1604具体还用于,根据所述第二凭证生成所述新的第一凭证。
可选的,所述处理器1604具体用于:将所述第二凭证作为所述新的第一凭证;或,根据所述第一凭证和所述第二凭证生成所述新的第一凭证。
可选的,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述处理器1604具体用于:根据所述第一密码和所述第二密码生成所述新的第一密码。
可选的,所述处理器1604具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
可选的,所述新的第一凭证还包括新的第一账号;所述处理器1604具体用于:根据所述第一账号和所述第二账号生成所述新的第一账号。
可选的,所述处理器1604具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
本发明实施例提供的终端设备应用于利用双凭证(第一凭证和第二凭证)对终端设备进行认证的认证机制中。与现有技术中的长期认证机制相比,使用了该认证凭证更替的方法的认证机制不容易导致账号和密码被离线破解,安全风险小;另外,由于使用了该认证凭证更替的方法的认证机制只需要在终端设备中存储第一凭证,而第一凭证是动态更新的,因此使用了该认证凭证更替的方法的认证机制不需要在终端设备中保存固定的账号和密码,因此应用范围较大。
另外,本发明实施例还提供了一种认证凭证更替的系统,包括:信令服务器和上述实施例四至实施例七中提供的任一种中继服务器。需要说明的是,该中继服务器的各功能模块的介绍可以参考上文,此处不再赘述。另外,该系统中还可以包括一个/多个终端设备。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,简称ROM)、随机存取存储器(RandomAccessMemory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (32)

1.一种认证凭证更替的方法,其特征在于,包括:
中继服务器接收信令服务器发送的第一账号和第二凭证;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对终端设备进行认证时使用的第一凭证中的账号;所述第二凭证为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的凭证;
根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
2.根据权利要求1所述的方法,其特征在于,在所述中继服务器接收信令服务器发送的第一账号和第二凭证之后,所述方法还包括:
向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述第二凭证生成新的第一凭证,包括:
将所述第二凭证作为新的第一凭证;或,
根据所述第一凭证和所述第二凭证生成新的第一凭证。
4.根据权利要求3所述的方法,其特征在于,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述根据所述第一凭证和所述第二凭证生成新的第一凭证,包括:
根据所述第一密码和所述第二密码生成所述新的第一密码。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一密码和所述第二密码生成所述新的第一密码,包括:
对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
6.根据权利要求4或5所述的方法,其特征在于,所述新的第一凭证还包括新的第一账号;所述根据所述第一凭证和所述第二凭证生成新的第一凭证,还包括:
根据所述第一账号和所述第二账号生成所述新的第一账号。
7.根据权利要求6所述的方法,其特征在于,所述根据所述第一账号和所述第二账号生成所述新的第一账号,包括:
对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
8.一种认证凭证更替的方法,其特征在于,包括:
中继服务器接收终端设备发送的包含第一账号和第二账号的更新请求消息;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的第一凭证中的账号,所述第二账号为信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
利用所述第二凭证对所述终端设备进行认证;
认证成功后,根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
9.根据权利要求8所述的方法,其特征在于,在所述中继服务器接收终端设备发送的包含第一账号和第二账号的更新请求消息之后,所述方法还包括:
向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
10.根据权利要求8或9所述的方法,其特征在于,所述根据所述第二凭证生成新的第一凭证,包括:
将所述第二凭证作为新的第一凭证;或,
根据所述第一凭证和所述第二凭证生成新的第一凭证。
11.根据权利要求10所述的方法,其特征在于,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述根据所述第一凭证和所述第二凭证生成新的第一凭证,包括:
根据所述第一密码和所述第二密码生成所述新的第一密码。
12.根据权利要求11所述的方法,其特征在于,所述根据所述第一密码和所述第二密码生成所述新的第一密码,包括:
对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
13.一种中继服务器,其特征在于,包括:
接收单元,用于接收信令服务器发送的第一账号和第二凭证;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对终端设备进行认证时使用的第一凭证中的账号;所述第二凭证为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的凭证;
更替单元,用于根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
14.根据权利要求13所述的中继服务器,其特征在于,所述中继服务器还包括:
发送单元,用于向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
15.根据权利要求13或14所述的中继服务器,其特征在于,所述更替单元具体用于:
将所述第二凭证作为新的第一凭证;或,
根据所述第一凭证和所述第二凭证生成新的第一凭证。
16.根据权利要求15所述的中继服务器,其特征在于,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述更替单元包括:
第一生成子单元,用于根据所述第一密码和所述第二密码生成所述新的第一密码。
17.根据权利要求16所述的中继服务器,其特征在于,所述第一生成子单元具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
18.根据权利要求16或17所述的中继服务器,其特征在于,所述新的第一凭证还包括新的第一账号;所述更替单元还包括:
第二生成子单元,用于根据所述第一账号和所述第二账号生成所述新的第一账号。
19.根据权利要求18所述的中继服务器,其特征在于,所述第二生成子单元具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
20.一种中继服务器,其特征在于,包括:
接收单元,用于接收终端设备发送的包含第一账号和第二账号的更新请求消息;其中,所述第一账号为在本次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的第一凭证中的账号,所述第二账号为信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
认证单元,用于利用所述第二凭证对所述终端设备进行认证;
更替单元,用于在所述认证单元认证成功后,根据所述第二凭证生成新的第一凭证;其中,所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
21.根据权利要求20所述的中继服务器,其特征在于,所述中继服务器还包括:
发送单元,用于向所述终端设备发送更新指示消息,其中,所述更新指示消息用于使所述终端设备根据所述第二凭证生成所述新的第一凭证。
22.根据权利要求20或21所述的中继服务器,其特征在于,所述更替单元具体用于:
将所述第二凭证作为新的第一凭证;或,
根据所述第一凭证和所述第二凭证生成新的第一凭证。
23.根据权利要求22所述的中继服务器,其特征在于,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述更替单元具体用于:根据所述第一密码和所述第二密码生成所述新的第一密码。
24.根据权利要求23所述的中继服务器,其特征在于,所述更替单元具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
25.一种终端设备,其特征在于,包括:
获取单元,用于获得第一账号;其中,所述第一账号为在本次媒体中继地址分配阶段中中继服务器对终端设备进行认证时使用的第一凭证中的账号;
接收单元,用于接收信令服务器发送的第二账号;其中,所述第二账号为所述信令服务器生成的、在本次媒体中继路径连通性检查阶段中所述中继服务器对所述终端设备进行认证时使用的第二凭证中的账号;
发送单元,用于向所述中继服务器发送包含所述第一账号和所述第二账号的更新请求消息;其中,所述更新请求消息用于使所述中继服务器根据所述第二凭证生成新的第一凭证;所述新的第一凭证为在下一次媒体中继地址分配阶段中所述中继服务器对所述终端设备进行认证时使用的凭证,用于更替所述第一凭证。
26.根据权利要求25所述的终端设备,其特征在于,所述发送单元还用于,向所述信令服务器发送凭证指示消息;其中,所述凭证指示消息用于使所述信令服务器生成所述第二凭证。
27.根据权利要求25或26所述的终端设备,其特征在于,
所述接收单元还用于,接收所述中继服务器发送的更新指示消息;
所述终端设备还包括:更替单元,用于根据所述第二凭证生成所述新的第一凭证。
28.根据权利要求27所述的终端设备,其特征在于,所述更替单元具体用于:
将所述第二凭证作为所述新的第一凭证;或,
根据所述第一凭证和所述第二凭证生成所述新的第一凭证。
29.根据权利要求28所述的终端设备,其特征在于,所述第一凭证还包括第一密码,所述第二凭证还包括第二密码,所述新的第一凭证包括新的第一密码;所述更替单元包括:
第一生成子单元,用于根据所述第一密码和所述第二密码生成所述新的第一密码。
30.根据权利要求29所述的终端设备,其特征在于,所述第一生成子单元具体用于:对所述第一密码和所述第二密码进行单向函数计算,得到所述新的第一密码。
31.根据权利要求29或30所述的终端设备,其特征在于,所述新的第一凭证还包括新的第一账号;所述更替单元还包括:
第二生成子单元,用于根据所述第一账号和所述第二账号生成所述新的第一账号。
32.根据权利要求31所述的终端设备,其特征在于,
所述第二生成子单元具体用于:对所述第一账号和所述第二账号进行单向函数计算,得到所述新的第一账号。
CN201410525806.2A 2014-09-30 2014-09-30 一种认证凭证更替的方法及装置 Active CN105516070B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201410525806.2A CN105516070B (zh) 2014-09-30 2014-09-30 一种认证凭证更替的方法及装置
PCT/CN2015/089048 WO2016050133A1 (zh) 2014-09-30 2015-09-07 一种认证凭证更替的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410525806.2A CN105516070B (zh) 2014-09-30 2014-09-30 一种认证凭证更替的方法及装置

Publications (2)

Publication Number Publication Date
CN105516070A true CN105516070A (zh) 2016-04-20
CN105516070B CN105516070B (zh) 2019-01-11

Family

ID=55629416

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410525806.2A Active CN105516070B (zh) 2014-09-30 2014-09-30 一种认证凭证更替的方法及装置

Country Status (2)

Country Link
CN (1) CN105516070B (zh)
WO (1) WO2016050133A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106603245A (zh) * 2017-01-03 2017-04-26 上海金融云服务集团安全技术有限公司 一种基于带外混合生物认证技术的设备补办方法
CN109792433A (zh) * 2016-09-28 2019-05-21 瑞典爱立信有限公司 用于将设备应用绑定到网络服务的方法和装置
TWI763176B (zh) * 2020-12-14 2022-05-01 中華電信股份有限公司 身分認證方法與身分認證系統
CN115242521A (zh) * 2022-07-25 2022-10-25 深圳市潮流网络技术有限公司 密码认证方法、装置及终端设备发起呼叫的通讯方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7006436B1 (en) * 2001-11-13 2006-02-28 At&T Corp. Method for providing voice-over-IP service
CN1747457A (zh) * 2005-09-09 2006-03-15 北京中星微电子有限公司 一种跨网关通信的方法
CN102196423A (zh) * 2010-03-04 2011-09-21 腾讯科技(深圳)有限公司 一种安全数据中转方法及系统
CN102457580A (zh) * 2010-10-18 2012-05-16 中兴通讯股份有限公司 Nat穿越方法及系统
CN102571328A (zh) * 2010-12-30 2012-07-11 中国移动通信集团公司 用户终端的服务调用方法、系统和用户终端
CN103236935A (zh) * 2013-05-21 2013-08-07 北京梅泰诺电子商务有限公司 一种二维码用户注册认证系统及其方法
CN103401852A (zh) * 2013-07-23 2013-11-20 徐华 基于认证的二维码智能名片系统及设计方法
CN103607345A (zh) * 2013-11-21 2014-02-26 浙江宇视科技有限公司 一种监控节点建立路由信息的方法和系统
CN103731266A (zh) * 2012-10-12 2014-04-16 北京微智全景信息技术有限公司 一种用于对电子凭证进行认证的方法及系统
CN103780397A (zh) * 2014-02-25 2014-05-07 中国科学院信息工程研究所 一种多屏多因子便捷web身份认证方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7006436B1 (en) * 2001-11-13 2006-02-28 At&T Corp. Method for providing voice-over-IP service
CN1747457A (zh) * 2005-09-09 2006-03-15 北京中星微电子有限公司 一种跨网关通信的方法
CN102196423A (zh) * 2010-03-04 2011-09-21 腾讯科技(深圳)有限公司 一种安全数据中转方法及系统
CN102457580A (zh) * 2010-10-18 2012-05-16 中兴通讯股份有限公司 Nat穿越方法及系统
CN102571328A (zh) * 2010-12-30 2012-07-11 中国移动通信集团公司 用户终端的服务调用方法、系统和用户终端
CN103731266A (zh) * 2012-10-12 2014-04-16 北京微智全景信息技术有限公司 一种用于对电子凭证进行认证的方法及系统
CN103236935A (zh) * 2013-05-21 2013-08-07 北京梅泰诺电子商务有限公司 一种二维码用户注册认证系统及其方法
CN103401852A (zh) * 2013-07-23 2013-11-20 徐华 基于认证的二维码智能名片系统及设计方法
CN103607345A (zh) * 2013-11-21 2014-02-26 浙江宇视科技有限公司 一种监控节点建立路由信息的方法和系统
CN103780397A (zh) * 2014-02-25 2014-05-07 中国科学院信息工程研究所 一种多屏多因子便捷web身份认证方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109792433A (zh) * 2016-09-28 2019-05-21 瑞典爱立信有限公司 用于将设备应用绑定到网络服务的方法和装置
US11374999B2 (en) 2016-09-28 2022-06-28 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for binding a device application to a web service
CN109792433B (zh) * 2016-09-28 2022-07-12 瑞典爱立信有限公司 用于将设备应用绑定到网络服务的方法和装置
CN106603245A (zh) * 2017-01-03 2017-04-26 上海金融云服务集团安全技术有限公司 一种基于带外混合生物认证技术的设备补办方法
TWI763176B (zh) * 2020-12-14 2022-05-01 中華電信股份有限公司 身分認證方法與身分認證系統
CN115242521A (zh) * 2022-07-25 2022-10-25 深圳市潮流网络技术有限公司 密码认证方法、装置及终端设备发起呼叫的通讯方法

Also Published As

Publication number Publication date
WO2016050133A1 (zh) 2016-04-07
CN105516070B (zh) 2019-01-11

Similar Documents

Publication Publication Date Title
US10667131B2 (en) Method for connecting network access device to wireless network access point, network access device, and application server
JP6651096B1 (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
US9130935B2 (en) System and method for providing access credentials
US20140289839A1 (en) Resource control method and apparatus
US20170302646A1 (en) Identity authentication method and apparatus
CN107426339B (zh) 一种数据连接通道的接入方法、装置及系统
CN109936547A (zh) 身份认证方法、系统及计算设备
US8527762B2 (en) Method for realizing an authentication center and an authentication system thereof
CN105391744A (zh) 一种管理监控设备的方法及系统
US8560633B2 (en) Communicating in a peer-to-peer computer environment
CN104756458A (zh) 用于保护通信网络中的连接的方法和设备
CN109698746B (zh) 基于主密钥协商生成绑定设备的子密钥的方法和系统
CN106612267B (zh) 一种验证方法及验证装置
CN103458400A (zh) 一种语音加密通信系统中的密钥管理方法
CN105262773A (zh) 一种物联网系统的验证方法及装置
US9503392B2 (en) Enhance private cloud system provisioning security
CN103986723A (zh) 一种保密通信控制、保密通信方法及装置
CN105516070A (zh) 一种认证凭证更替的方法及装置
CN103997405B (zh) 一种密钥生成方法及装置
CN107819888B (zh) 一种分配中继地址的方法、装置以及网元
CN104753872A (zh) 认证方法、认证平台、业务平台、网元及系统
CN114173328A (zh) 密钥交换方法、装置、电子设备
CN108809631B (zh) 一种量子密钥服务管理系统及方法
US11902789B2 (en) Cloud controlled secure Bluetooth pairing for network device management
CN113472722A (zh) 数据传输方法、存储介质、电子设备及自动售检票系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant