CN116193421A

CN116193421A - 网络连接信息的验证方法、装置、系统及电子设备

Info

Publication number: CN116193421A
Application number: CN202310200449.1A
Authority: CN
Inventors: 陈熙彩; 肖洋
Original assignee: Alibaba Cloud Computing Ltd
Current assignee: Alibaba Cloud Computing Ltd
Priority date: 2023-02-27
Filing date: 2023-02-27
Publication date: 2023-05-30

Abstract

本申请提供了一种网络连接信息的验证方法、装置、系统及电子设备，涉及云计算技术领域，该方法包括：若应用服务器检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。本实施例中，若检测到终端设备发送的网络报文中的网络连接信息发生变化，则通过应用服务器和运营商服务器之间进行交互，对网络报文中的网络连接信息进行验证，不需要终端设备与应用服务器之间进行交互，节省了终端设备的流量开销。

Description

网络连接信息的验证方法、装置、系统及电子设备

技术领域

本申请涉及云计算技术领域，尤其涉及一种网络连接信息的验证方法、装置及电子设备。

背景技术

QUIC(Quick User Datagram Protocol Internet Connections，快速用户数据报协议网络连接)协议是一种实验性传输层网络协议，具有较低的连接和传输延迟，在丢包和网络延迟严重的情况下仍可提供可用的服务。QUIC协议在应用程序层面就能实现不同的拥塞控制算法，不需要操作系统和内核支持，这相比于传统的TCP协议，拥有了更好的改造灵活性，非常适合在TCP协议优化遇到瓶颈的服务。

QUIC协议支持连接迁移，连接迁移是指在网际互连协议(Internet Protocol，IP)地址或端口号等网络连接信息发生变化的情况下，维持原有连接，避免了重复建连的开销。然而，连接迁移在带来便利的同时，也存在安全性隐患，为了排除安全隐患，需要使用路径验证技术。使用QUIC协议的蜂窝连接设备，由于IP地址和端口号等网络连接信息经常发生变化，因此，路径验证比较频繁，而频繁的路径验证会给蜂窝连接设备带来不小流量的开销。

发明内容

本申请实施例提供一种网络连接信息的验证方法、装置、系统及电子设备，以避免蜂窝连接设备路径验证带来的流量开销。

第一方面，本申请实施例提供了一种网络连接信息的验证方法，应用于应用服务器，该方法包括：

若检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；

若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。

第二方面，本申请实施例提供了一种网络连接信息的验证装置，应用于应用服务器，该装置包括：

检测模块，用于若检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；

验证模块，用于若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。

第三方面，本申请实施例提供了一种网络连接信息的验证系统，包括物联网平台、运营商服务器和物联网设备；物联网平台与物联网设备通过快速用户数据报网络连接协议QUIC建立连接；

物联网设备，用于通过蜂窝网络向物联网平台发送网络报文；

物联网平台，用于在检测到物联网设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过；

运营商服务器，用于根据物联网平台发送的查询请求中携带的终端设备的服务卡的唯一标识，查询唯一标识对应的网络连接信息，并发送给物联网平台。

第四方面，本申请实施例提供了一种电子设备，包括存储器、处理器及存储在存储器上的计算机程序，处理器在执行所述计算机程序时实现上述任一项所述的方法。

第五方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法。

与现有技术相比，本申请具有如下优点：

本申请提供了一种网络连接信息的验证方法、装置、系统及电子设备，若应用服务器检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。本实施例中，若检测到终端设备发送的网络报文中的网络连接信息发生变化，则通过应用服务器和运营商服务器之间进行交互，对网络报文中的网络连接信息进行验证，不需要终端设备与应用服务器之间进行交互，节省了终端设备的流量开销。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，可依照说明书的内容予以实施，并且为了让本申请的上述和其他目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

在附图中，除非另外规定，否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解，这些附图仅描绘了根据本申请的一些实施方式，而不应将其视为是对本申请范围的限制。

图1为相关技术中的反射攻击的示意图；

图2为相关技术中的路径验证的交互过程的示意图；

图3为本申请提供的网络连接信息的验证方法的一个应用场景示意图；

图4为本申请一实施例的网络连接信息的验证方法的流程图；

图5为本申请一实施例的网络连接信息的验证装置的结构框图；以及

图6为用来实现本申请实施例的电子设备的框图。

具体实施方式

在下文中，仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样，在不脱离本申请的构思或范围的情况下，可通过各种不同方式修改所描述的实施例。因此，附图和描述被认为本质上是示例性的，而非限制性的。

为便于理解本申请实施例的技术方案，以下对本申请实施例的相关技术进行说明。以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合，其均属于本申请实施例的保护范围。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

在蜂窝网络中使用QUIC协议进行连接迁移时，存在的安全隐患之一是反射攻击。反射攻击如图1所示，一个真实IP地址为5.6.7.8的设备(如图1中所示的Attacker)会伪装自己的IP地址为1.2.3.4，向服务器(如图1中所示的Server，Server的真实IP：10.0.0.8)发送域名系统(Domain Name System，DNS)请求(如图中所示的DNS request)报文，请求报文中的源IP为1.2.3.4，目的IP为10.0.0.8，引导服务器发送大量回复报文(如图中所示的DNSresponse)给IP地址为1.2.3.4的设备(如图1中所示的Victim)，回复报文中的源IP为10.0.0.8，目的IP为1.2.3.4。反射攻击的后果是被攻击设备会无故收到大量报文，造成拒绝服务(Denial of Service，DOS)等问题。反射攻击往往伴随着放大攻击，即以发送小的数据报文为代价，诱发服务器发送大量的回复报文。

相关技术中，物联网卡设备和物联网平台之间通过路径验证的方式避免反射攻击。路径验证的交互过程如图2所示。物联网卡设备为使用物联网卡的终端设备，物联网卡设备向物联网平台发送网络报文，网络报文中携带源IP1，源IP1没有发生变化时，无需处理，如图2中所示的无探测数据包None-Probing packet，当物联网卡设备的源IP1变成源IP2后，通过路径验证的方式缓解反射攻击的压力。物联网平台向物联网卡设备发送路径验证挑战帧，如图2中所示的PATH-CHALLENGE，携带令牌token，物联网卡设备向物联网平台发送响应帧，如图2中所示的PATH-RESPONSE，期待对方回复同样的令牌token。通过路径验证可以确定变化后的源IP是否安全。路径验证通过后，源IP2没有再次变化，则无需处理，如图2中所示的无探测数据包None-Probing packet。然而，物联网卡的设备对流量敏感。每次路径验证的PATH_CHANLLENGE和PATH_RESPONSE都要1200字节以上，也就意味着一次验证要至少2.4k的数据量。另外，物联网卡的设备经常移动，会在信号不好的地方经过，则IP地址经常被动发生变化,也就意味着触发路径验证的频次比较高，导致物联网卡设备的流量费用开销较大。

有鉴于此，本申请实施例提供了一种网络连接信息的验证方法，图3为本申请实施例提供的网络连接信息的验证方法的一个应用场景的示意图。本实施例中，终端设备为在蜂窝网络中使用QUIC协议的蜂窝连接设备，可以包括移动终端，例如，手机、平板电脑等，还可以包括使用物联网卡的设备，即物联网卡设备，本实例中以物联网卡设备为例进行介绍。本实施例中以物联网平台作为应用服务器。如图3所示，物联网卡设备的物联网卡的唯一标识，即集成电路卡识别码(Integrate circuit card identity，ICCID)为XYZ，源IP1没有发生变化时，无需处理，如图3中所示的无探测数据包None-Probing packet，当物联网卡设备的源IP1变成源IP2后，物联网平台向网络运营商发送查询请求，查询ICCID为XYZ的设备的IP地址是否为IP2，物联网平台根据运营商的回复来确定IP2是否验证通过，如果验证通过，则物联网平台继续接收物联网卡设备发送的网络报文，源IP2没有再次变化，则无需处理，如图3中所示的无探测数据包None-Probing packet。由于两个相同ICCID号码的设备无法同时在线。即使恶意仿制了一个相同ICCID的物联网卡，由于只能有一张物联网卡在线，反射攻击需要2个卡同时在线，因此不存在被反射攻击的可能性。本实施例中，通过物联网平台和运营商服务器之间进行交互，对网络报文中的源IP地址进行验证，可以达到和路径验证类似的效果，却不需要物联网卡设备与物联网平台之间进行交互，节省了物联网卡设备的流量开销。而且，物联网平台和运营商服务器之间的链路一般是有线网络，与蜂窝场景下物联网卡设备和物联网平台之间的无线网络通信相比，时延要短，对于时延敏感的场景，可以显著提高用户体验。

本申请实施例提供了一种网络连接信息的验证方法，如图4所示为本申请一实施例的网络连接信息的验证方法的流程图，该方法应用于应用服务器，包括：

步骤S401，若检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息。

步骤S402，若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。

本实施例中，应用服务器可以是单个服务器，也可以是由多个服务器组成的服务器集群。终端设备可以是与服务器之间进行通信的设备，可以包括移动终端，例如，手机、平板电脑等，还可以包括使用物联网卡的设备，例如，办公设备、家用电器等。应用服务器可以为移动终端的应用程序的服务器，也可以是为物联网设备提供服务的服务器。其中，服务卡可以包括移动终端的用户识别卡(Subscriber Identity Module，SIM)等，还可以包括物联网卡等。服务卡的唯一标识包括：集成电路卡识别码(Integrate circuit card identity，ICCID)、国际移动用户识别码(International Mobile Subscriber Identity，IMSI)、移动站综合服务数字网络(Mobile Station Integrated Services Digital Network，MSISDN)识别码等。在蜂窝网络中，MSISDN识别码为在呼叫或数据会话期间标识设备的电话号码。

其中，网络连接信息可以为运营商服务器为终端设备的服务卡分配的网络通信所需要的资源，例如，IP地址、端口号中的至少一项等。其中，IP地址可以包括静态IP地址，也可以包括动态IP地址。静态IP地址可以是分配以后就固定不变的IP地址，动态IP地址可以是随着终端设备的位置或者其他条件的变化而变化的IP地址。

示例性的，终端设备和应用服务器首次建立连接时，终端设备的开户文件信息存储在应用服务器，开户文件信息中包括终端设备的服务卡的唯一标识。应用服务器在接收到终端设备发送的网络报文之后，对网络报文进行解析，网络报文中包括网络连接信息，若通过同一终端设备或者终端设备的同一服务卡发送的前一网络报文和后一网络报文中的源IP地址发生变化，则需要对源IP地址进行验证，从运营商服务器获取唯一标识对应的IP地址，与网络报文中的变化后的源IP地址进行比对，如果是匹配的，则验证通过。

本申请提供了一种网络连接信息的验证方法，若应用服务器检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。本实施例中，若检测到终端设备发送的网络报文中的网络连接信息发生变化，则通过应用服务器和运营商服务器之间进行交互，对网络报文中的网络连接信息进行验证，不需要终端设备与应用服务器之间进行交互，节省了终端设备的流量开销。

在一种实现方式中，在从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息之前，该方法还包括：获取终端设备和应用服务器之间通过QUIC建立连接的连接标识；根据连接标识，查询终端设备的服务卡的唯一标识。

其中，在应用服务器和终端设备首次建立连接时，应用服务器获取到终端设备的服务卡的唯一标识，并与连接标识建立关联关系。具体获取方式可以包括：应用服务器接收终端设备发送的服务卡的唯一标识；或者应用服务器根据终端设备的网络连接信息(例如，IP地址)从运营商服务器中查询的服务卡的唯一标识。

在一示例中，服务卡为SIM卡，唯一标识为ICCID。终端设备和应用服务器首次建立连接时，上报自己的ICCID给应用服务器，或者，对于没有上报自己的ICCID到应用服务器的终端设备，应用服务器根据终端设备首次连接时的IP地址，向运营商服务器查询终端设备的服务卡的ICCID。终端设备和应用服务器建立连接以后，配置连接标识connection_ID，将连接标识和ICCID建立关联。

终端设备通过QUIC协议跟应用服务器建立连接后，只要连接不断开，则connection_ID不变，可以根据connection_ID查询SIM卡的ICCID，在检测到同一ICCID对应的网络报文中的源IP地址发生变化后，应用服务器根据终端设备的SIM卡的ICCID，可以到运营商服务器去查询ICCID对应的IP地址或端口信息。

在一种实现方式中，在从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息之前，该方法还包括：确定唯一标识对应的网络连接信息为动态的IP地址或端口号中的任一项。

其中，网络连接信息可以包括静态的也可以包括动态的。静态的网络连接信息可以包括静态IP地址。动态的网络连接信息可以包括动态的IP地址或者端口号。例如，对于接入点名称(Access Point Name，APN)定向卡的IP地址即为静态IP地址，为固定分配的，使用APN定向卡的终端设备首次和应用服务器建立连接后，即对IP地址进行验证。之后终端设备和应用服务器进行报文交互的过程中，如果应用服务器接收到终端设备发送的网络报文中的源IP地址发生变化，根据服务卡的唯一标识在服务卡的开户文件中查询到该服务卡对应的IP地址为静态IP地址，则可以通过从运营商服务器获取服务卡的唯一标识对应的IP地址，和网络报文中的源IP地址进行比对，如果不是同一个IP地址，则网络报文中的源IP地址验证不通过；或者，也可以不需要向运营商服务器查询，因为该服务卡对应的是静态IP地址，应该是不变的，如果检测到网络报文中的源IP地址发生变化，则直接认定源IP地址验证不通过。

如果根据终端设备的服务卡的唯一标识在服务卡的开户文件中查询到该服务卡对应的IP地址为动态IP地址，则从运营商服务器查询唯一标识对应的IP地址，与网络报文中的变化后的源IP地址进行比对，如果匹配，则验证通过。由于动态IP地址是运营商服务器为终端设备动态分配的，终端设备的位置或其他条件发生变化之后，运营商服务器为终端设备分配的IP地址也发生了变化，因此，如果网络报文中的变化后的源IP地址和运营商分配的新的IP地址是匹配的，则说明该源IP地址是安全的，则验证通过。

在一种实现方式中，从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息，包括：向运营商服务器发送查询请求，查询请求中携带唯一标识；接收运营商服务器发送的唯一标识对应的网络连接信息。

本实施例中，网络连接信息为IP地址，随着终端设备位置的变化，运营商服务器为终端设备分配的IP地址也随之变化，运营商服务器定期将变化后的IP地址发送到应用服务器。在应用服务器检测到网络报文中的源IP地址发生变化，则变化后的源IP地址有可能是不安全的IP地址，也有可能是运营商服务器为终端设备分配的真实的IP地址，还没有推送给应用服务器，因此，应用服务器向运营商服务器发送查询请求，通过唯一标识查询为终端设备分配的IP地址，应用服务器通过将网络报文中的源IP地址与运营商服务器返回的IP地址进行比对，来验证网络报文中变化后的源IP地址是否是运营商服务器分配的IP地址，如果不是，则认为是不安全的。

在一种实现方式中，该方法还包括：若接收到唯一标识对应的多个网络连接信息，且网络报文中的网络连接信息和多个网络连接信息中的任一网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。

在实际应用中，针对多网融合的服务卡，例如，三网卡(内置有移动、联通、电信三个运营商的子卡)，一个三网卡对应三个不同运营商ICCID，此时服务卡的唯一标识为每个运营商对应的唯一标识，同时三张卡也对应三个IP地址，三合一的服务卡工作时会在移动、联通、电信三个运营商之间进行切换，但同一时刻只有一张卡在线，即只有一个IP联网。任意一张运营商的卡上网时，应用服务器可以将查询请求发送至当前在线的服务卡的运营商服务器，进行IP地址验证。或者，也可以向三个运营商服务器发送查询请求，接收三个IP地址，若网络报文中的源IP地址与三个IP地址中的任一个匹配，则验证通过。

在一种实现方式中，该方法还包括：若网络报文中的网络连接信息和唯一标识对应的网络连接信息不匹配，则确定网络报文中的网络连接信息验证不通过，断开终端设备和应用服务器之间的连接。

在一示例中，如果网络报文中的源IP地址和运营商服务器返回的IP地址不匹配，则表明该IP地址不是运营商服务器分配的IP地址，有可能存在安全隐患，则断开终端设备和应用服务器之间的连接，或者也可以采用其他处理方式，避免出现安全问题。

在一种实现方式中，在从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息之前，该方法还包括：获取预设时间段内的唯一标识对应的网络连接信息的验证次数，确定验证次数不超过预设阈值；其中，唯一标识对应的网络连接信息的验证次数包括：多次对唯一标识对应的同一网络连接信息进行验证的次数，或者对唯一标识对应的多个网络连接信息进行验证的次数。

本实施例中，在验证次数不超过阈值的情况下进行验证，即应用服务器向运营商服务器发送查询请求的次数不超过预设阈值的情况下，应用服务器才向运营商服务器发送查询请求，通过去重的方式，来降低运营商服务器的压力。例如，对于同一个SIM卡在1秒中内多次验证同一个IP地址，则应用服务器不会多次发送查询请求。另外，过滤掉恶意查询，例如，同一个SIM卡在1秒中内验证多个不同的IP地址，则为恶意查询。

与本申请实施例提供的方法的应用场景以及方法相对应地，本申请实施例还提供一种网络连接信息的验证装置。如图5所示为本申请一实施例的网络连接信息的验证装置的结构框图，该装置包括：

检测模块501，用于若检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息。

验证模块502，用于若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。

本申请提供了一种网络连接信息的验证装置，若应用服务器检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。本实施例中，若检测到终端设备发送的网络报文中的网络连接信息发生变化，则通过应用服务器和运营商服务器之间进行交互，对网络报文中的网络连接信息进行验证，不需要终端设备与应用服务器之间进行交互，节省了终端设备的流量开销。

在一种实现方式中，检测模块501在从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息时，用于：向运营商服务器发送查询请求，查询请求中携带唯一标识；接收运营商服务器发送的唯一标识对应的网络连接信息。

在一种实现方式中，验证模块502还用于：若接收到唯一标识对应的多个网络连接信息，且网络报文中的网络连接信息和多个网络连接信息中的任一网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。

在一种实现方式中，验证模块502还用于：若网络报文中的网络连接信息和唯一标识对应的网络连接信息不匹配，则确定网络报文中的网络连接信息验证不通过，断开终端设备和应用服务器之间的连接。

在一种实现方式中，检测模块501还用于：在从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息之前，获取预设时间段内的唯一标识对应的网络连接信息的验证次数，确定验证次数不超过预设阈值；其中，唯一标识对应的网络连接信息的验证次数包括：多次对唯一标识对应的同一网络连接信息进行验证的次数，或者对唯一标识对应的多个网络连接信息进行验证的次数。

在一种实现方式中，验证模块502还用于：在从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息之前，确定唯一标识对应的网络连接信息为动态的网际互连协议地址或端口号中的任一项。

在一种实现方式中，检测模块501还用于：在从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息之前，获取终端设备和应用服务器之间通过快速用户数据报网络连接协议QUIC建立连接的连接标识；根据连接标识，查询终端设备的服务卡的唯一标识。

本申请实施例各装置中的各模块的功能可以参见上述方法中的对应描述，并具备相应的有益效果，在此不再赘述。

另外，本申请实施例提供了一种网络连接信息的验证系统，包括物联网平台、运营商服务器和物联网设备；物联网平台与物联网设备通过快速用户数据报网络连接协议QUIC建立连接；

物联网设备，用于通过蜂窝网络向物联网平台发送网络报文。

物联网平台，用于在检测到物联网设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取终端设备的服务卡的唯一标识对应的网络连接信息；若网络报文中的网络连接信息和唯一标识对应的网络连接信息匹配，则确定网络报文中的网络连接信息验证通过。

本申请实施例中的具体实现过程可以参见上述方法中的对应描述，并具备相应的有益效果，在此不再赘述。

图6为用来实现本申请实施例的电子设备的框图。如图6所示，该电子设备包括：存储器610和处理器620，存储器610内存储有可在处理器620上运行的计算机程序。处理器620执行该计算机程序时实现上述实施例中的方法。存储器610和处理器620的数量可以为一个或多个。

该电子设备还包括：

通信接口630，用于与外界设备进行通信，进行数据交互传输。

如果存储器610、处理器620和通信接口630独立实现，则存储器610、处理器620和通信接口630可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果存储器610、处理器620及通信接口630集成在一块芯片上，则存储器610、处理器620及通信接口630可以通过内部接口完成相互间的通信。

本申请实施例提供了一种计算机可读存储介质，其存储有计算机程序，该程序被处理器执行时实现本申请实施例中提供的方法。

本申请实施例还提供了一种芯片，该芯片包括处理器，用于从存储器中调用并运行存储器中存储的指令，使得安装有芯片的通信设备执行本申请实施例提供的方法。

本申请实施例还提供了一种芯片，包括：输入接口、输出接口、处理器和存储器，输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连，处理器用于执行存储器中的代码，当代码被执行时，处理器用于执行申请实施例提供的方法。

应理解的是，上述处理器可以是中央处理器(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是，处理器可以是支持进阶精简指令集机器(Advanced RISC Machines，ARM)架构的处理器。

进一步地，可选的，上述存储器可以包括只读存储器和随机访问存储器。该存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以包括只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以包括随机访问存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM均可用。例如，静态随机访问存储器(Static RAM，SRAM)、动态随机访问存储器(Dynamic Random Access Memory，DRAM)、同步动态随机访问存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机访问存储器(Double Data RateSDRAM，DDR SDRAM)、增强型同步动态随机访问存储器(Enhanced SDRAM，ESDRAM)、同步链接动态随机访问存储器(Sync link DRAM，SLDRAM)和直接内存总线随机访问存储器(DirectRambus RAM，DR RAM)。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生依照本申请的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

流程图中描述的或在此以其他方式描述的任何过程或方法可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能。

在流程图中描述的或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。

应理解的是，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器，磁盘或光盘等。

以上所述，仅为本申请的示例性实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请记载的技术范围内，可轻易想到其各种变化或替换，这些都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

1.一种网络连接信息的验证方法，其特征在于，所述方法应用于应用服务器，所述方法包括：

若检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取所述终端设备的服务卡的唯一标识对应的网络连接信息；

若所述网络报文中的网络连接信息和所述唯一标识对应的网络连接信息匹配，则确定所述网络报文中的网络连接信息验证通过。

2.根据权利要求1所述的方法，其特征在于，所述从运营商服务器获取所述终端设备的服务卡的唯一标识对应的网络连接信息，包括：

向运营商服务器发送查询请求，所述查询请求中携带所述唯一标识；

接收所述运营商服务器发送的所述唯一标识对应的网络连接信息。

3.根据权利要求1所述的方法，其特征在于，在从运营商服务器获取所述终端设备的服务卡的唯一标识对应的网络连接信息之前，所述方法还包括：

获取预设时间段内的所述唯一标识对应的网络连接信息的验证次数，确定所述验证次数不超过预设阈值；

其中，所述唯一标识对应的网络连接信息的验证次数包括：多次对所述唯一标识对应的同一网络连接信息进行验证的次数，或者对所述唯一标识对应的多个网络连接信息进行验证的次数。

4.根据权利要求1-3任一项所述的方法，其特征在于，在从运营商服务器获取所述终端设备的服务卡的唯一标识对应的网络连接信息之前，所述方法还包括：

确定所述唯一标识对应的网络连接信息为动态的网际互连协议地址或端口号中的任一项。

5.根据权利要求1-3任一项所述的方法，其特征在于，在从运营商服务器获取所述终端设备的服务卡的唯一标识对应的网络连接信息之前，所述方法还包括：

获取所述终端设备和所述应用服务器之间通过快速用户数据报网络连接协议QUIC建立连接的连接标识；

根据所述连接标识，查询所述终端设备的服务卡的唯一标识。

6.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

若接收到所述唯一标识对应的多个网络连接信息，且所述网络报文中的网络连接信息和所述多个网络连接信息中的任一网络连接信息匹配，则确定所述网络报文中的网络连接信息验证通过。

7.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

若所述网络报文中的网络连接信息和所述唯一标识对应的网络连接信息不匹配，则确定所述网络报文中的网络连接信息验证不通过，断开所述终端设备和所述应用服务器之间的连接。

8.一种网络连接信息的验证装置，其特征在于，所述装置应用于应用服务器，所述装置包括：

检测模块，用于若检测到终端设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取所述终端设备的服务卡的唯一标识对应的网络连接信息；

验证模块，用于若所述网络报文中的网络连接信息和所述唯一标识对应的网络连接信息匹配，则确定所述网络报文中的网络连接信息验证通过。

9.一种网络连接信息的验证系统，其特征在于，所述系统包括：物联网平台、运营商服务器和物联网设备；所述物联网平台与所述物联网设备通过快速用户数据报网络连接协议QUIC建立连接；

所述物联网设备，用于通过蜂窝网络向所述物联网平台发送网络报文；

所述物联网平台，用于在检测到所述物联网设备通过蜂窝网络发送的网络报文中的网络连接信息发生变化，则从运营商服务器获取所述终端设备的服务卡的唯一标识对应的网络连接信息；若所述网络报文中的网络连接信息和所述唯一标识对应的网络连接信息匹配，则确定所述网络报文中的网络连接信息验证通过；

所述运营商服务器，用于根据所述物联网平台发送的查询请求中携带的所述终端设备的服务卡的唯一标识，查询所述唯一标识对应的网络连接信息，并发送给所述物联网平台。

10.一种电子设备，其特征在于，包括存储器、处理器及存储在存储器上的计算机程序，所述处理器在执行所述计算机程序时实现权利要求1-7中任一项所述的方法。

11.一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的方法。