專利名稱::用于媒體服務(wù)器上防攻擊的方法和媒體服務(wù)器的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及交互式網(wǎng)絡(luò)電視領(lǐng)域,特別涉及一種用于媒體服務(wù)器上防攻擊的方法和媒體服務(wù)器。
背景技術(shù):
:IPTVdnternetProtocolTelevision,交互式網(wǎng)絡(luò)電視),是一種利用寬帶IP網(wǎng)絡(luò),向家庭用戶提供包括數(shù)字電視在內(nèi)的多種交互式服務(wù)的技術(shù)。用戶可以通過PC安裝特定播放器來享受交互式網(wǎng)絡(luò)電視服務(wù),也可以通過網(wǎng)絡(luò)機(jī)頂盒加普通電視機(jī)來享受交互式網(wǎng)絡(luò)電視服務(wù)。但是不管用戶通過哪種方式,都需要媒體服務(wù)器提供多媒體數(shù)據(jù)服務(wù)。在IPTV上進(jìn)行多媒體數(shù)據(jù)傳輸時(shí),媒體服務(wù)器一般直接暴露在互聯(lián)網(wǎng)上為PC、機(jī)頂盒等終端提供服務(wù),很容易受到攻擊。目前,為了加強(qiáng)對(duì)媒體服務(wù)器的防護(hù),一般在服務(wù)器上采用iptables等軟件防火墻進(jìn)行防護(hù),以防止外界的惡意攻擊。在對(duì)現(xiàn)有技術(shù)進(jìn)行分析后,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少具有如下缺點(diǎn)媒體服務(wù)器的對(duì)外端口號(hào)是固定的,很容易受到攻擊,雖然在媒體服務(wù)器上加上了iptables等軟件防火墻,但是由于此類軟件防火墻的防攻擊能力比較弱,還是不能有效地保護(hù)媒體服務(wù)器。
發(fā)明內(nèi)容為了能夠更加有效地防止外界對(duì)媒體服務(wù)器的攻擊,本發(fā)明實(shí)施例提供了一種用于媒體服務(wù)器上防攻擊的方法和媒體服務(wù)器。所述技術(shù)方案如下一方面,提供了一種用于媒體服務(wù)器上防攻擊的方法,所述方法包括通過信令接口獲取終端請(qǐng)求用戶的身份信息;將所述用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證;如果認(rèn)證通過,則在媒體接口上為所述終端分配隨機(jī)端口號(hào),并將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上。另一方面,提供了一種防攻擊的媒體服務(wù)器,所述媒體服務(wù)器包括獲取模塊,用于通過信令接口獲取終端請(qǐng)求用戶的身份信息;發(fā)送模塊,用于將所述用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證;執(zhí)行模塊,用于如果所述用戶的身份信息通過認(rèn)證,則在媒體接口上為所述終端分配隨機(jī)端口號(hào),并將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上。本發(fā)明實(shí)施例提供的技術(shù)方案的有益效果是將信令接口和媒體接口分離,對(duì)認(rèn)證通過的用戶在媒體接口上分配隨機(jī)端口號(hào)的方式,使惡意攻擊的用戶很難獲取到該端口號(hào),有效地防止了惡意用戶的攻擊。為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明實(shí)施例1提供的一種用于媒體服務(wù)器上防攻擊的方法流程圖;圖2是本發(fā)明實(shí)施例2提供的一種用于媒體服務(wù)器上防攻擊的方法流程圖;圖3是本發(fā)明實(shí)施例3提供的一種防攻擊的媒體服務(wù)器結(jié)構(gòu)示意圖;圖4是本發(fā)明實(shí)施例3提供的另一種防攻擊的媒體服務(wù)器結(jié)構(gòu)示意圖。具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。實(shí)施例1參見圖1,本實(shí)施例提供了一種用于媒體服務(wù)器上防攻擊的方法,包括步驟101通過信令接口獲取終端請(qǐng)求用戶的身份信息;步驟102將用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證;步驟103如果認(rèn)證通過,則在媒體接口上為終端分配隨機(jī)端口號(hào),并將終端重定向到隨機(jī)端口號(hào)對(duì)應(yīng)的端口上。本發(fā)明實(shí)施例提供的技術(shù)方案的有益效果是將信令接口和媒體接口分離,對(duì)認(rèn)證通過的用戶在媒體接口上分配隨機(jī)端口號(hào)的方式,使惡意攻擊的用戶很難獲取到該端口號(hào),有效地防止了惡意用戶的攻擊。實(shí)施例2參見圖2,本實(shí)施例提供了一種用于媒體數(shù)據(jù)傳輸上防攻擊的方法,包括步驟201媒體服務(wù)器對(duì)信令接口進(jìn)行偵聽。本實(shí)施例中,在媒體服務(wù)器上增加信令網(wǎng)卡和媒體網(wǎng)卡,將信令接口和業(yè)務(wù)接口分離。信令接口用于和終端進(jìn)行信令交互、用戶鑒權(quán),返回媒體文件信息等,不用其來傳輸媒體數(shù)據(jù);媒體接口用于傳輸媒體數(shù)據(jù)。本實(shí)施例中,由于信令接口只用于簡單的小數(shù)量的數(shù)據(jù)傳輸,不會(huì)增加防火墻的負(fù)擔(dān),所以可在媒體服務(wù)器前端增加硬件防火墻,使用戶發(fā)送的請(qǐng)求消息先通過硬件防火墻,再到達(dá)信令接口。這樣做的目的是如果有用戶進(jìn)行惡意攻擊,防火墻就會(huì)先對(duì)其進(jìn)行攔截,使其不能到達(dá)媒體服務(wù)器,有效地保護(hù)了媒體服務(wù)器。防火墻的防攻擊方法屬于現(xiàn)有技術(shù)范疇,本實(shí)施例對(duì)此不在贅述。步驟202信令接口接收到用戶的請(qǐng)求登錄消息后,媒體服務(wù)器獲取用戶的身份fn息ο本實(shí)施例中,媒體服務(wù)器對(duì)信令接口進(jìn)行偵聽,當(dāng)信令接口收到用戶請(qǐng)求登錄消息后,媒體服務(wù)器會(huì)對(duì)該消息進(jìn)行分析,解析出用戶的身份信息,從而獲取到用戶的身份信息。其中,用戶發(fā)送的請(qǐng)求登錄消息中,包括用戶的身份信息。其中步驟201-202為媒體服務(wù)器通過信令接口獲取終端請(qǐng)求用戶的身份信息的具體過程。步驟203媒體服務(wù)器將用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證。其中,媒體服務(wù)器從信令接口獲取終端請(qǐng)求用戶的身份信息后,將用戶的身份信息從鑒權(quán)接口發(fā)送到鑒權(quán)服務(wù)器,進(jìn)行身份認(rèn)證。由于媒體服務(wù)器一直在偵聽鑒權(quán)接口,所以當(dāng)鑒權(quán)接口有認(rèn)證結(jié)果信息,媒體服務(wù)器會(huì)馬上獲知。其中,具體的認(rèn)證方式可以采用在URL上增加此用戶的MD5摘要,或記錄此用戶的ID信息等,對(duì)此本實(shí)施例不做具體限定。其中,返回給用戶終端的認(rèn)證結(jié)果信息,是事先定義好的,一般是三位數(shù)字,以2開頭表示請(qǐng)求被成功處理,以5開頭表示服務(wù)器不能滿足請(qǐng)求。步驟204媒體服務(wù)器獲取鑒權(quán)服務(wù)器的認(rèn)證結(jié)果信息,判斷該認(rèn)證結(jié)果信息是否是認(rèn)證通過信息,如果是則執(zhí)行步驟205;否則關(guān)閉與該用戶終端的連接。本明實(shí)施例中,由于事先對(duì)結(jié)果信息進(jìn)行了定義,所以根據(jù)事先定義的對(duì)認(rèn)證結(jié)果信息對(duì)獲取到的認(rèn)證結(jié)果信息進(jìn)行識(shí)別,如果是以2開頭的表示該終端用戶通過認(rèn)證,如果以5開頭的表示該終端用戶未通過認(rèn)證。對(duì)未通過認(rèn)證的用戶,媒體服務(wù)器拒絕該用戶的請(qǐng)求,直接關(guān)閉與該用戶終端的連接;對(duì)通過認(rèn)證的用戶,媒體服務(wù)器會(huì)為其準(zhǔn)備媒體的相關(guān)信息,如文件大小,媒體碼率等。步驟205在媒體接口上為該用戶終端分配隨機(jī)端口號(hào),將該用戶重定向到媒體接口上分配的隨機(jī)端口號(hào)上。其中,區(qū)別于現(xiàn)有技術(shù)中媒體服務(wù)器對(duì)外的端口號(hào)采用固定的端口對(duì)用戶進(jìn)行服務(wù)的方式,本實(shí)施例中,對(duì)通過認(rèn)證的終端,為其在媒體接口上分配隨機(jī)端口號(hào),通過隨機(jī)端口號(hào)對(duì)應(yīng)的端口將媒體數(shù)據(jù)傳輸給終端用戶,為該終端用戶提供服務(wù)。其中,隨機(jī)端口號(hào)的分配沒有具體限制,只要在協(xié)議內(nèi),能夠?yàn)橛脩籼峁┓?wù)的端口號(hào)均可。一般采用動(dòng)態(tài)的端口,動(dòng)態(tài)端口的范圍是從IOM到65535。當(dāng)這個(gè)進(jìn)程關(guān)閉時(shí),同時(shí)也就釋放了所占用的端口號(hào)。如,一般用于網(wǎng)頁瀏覽的端口號(hào)為80,如果采用這個(gè)固定的端口號(hào),很容易遭到攻擊,本實(shí)施例中隨機(jī)配一個(gè)端口號(hào),可能為1026,因?yàn)殡S機(jī)分配時(shí)沒有規(guī)律,這樣攻擊的用戶就很難找到這個(gè)端口號(hào)進(jìn)行攻擊,從而避免了攻擊。本實(shí)施例中,由于對(duì)該用戶終端在媒體服務(wù)器上分配了隨機(jī)端口號(hào),所以媒體服務(wù)器要對(duì)用戶進(jìn)行重定向,將該用戶重定向到該媒體接口上的隨機(jī)端口號(hào)對(duì)應(yīng)的端口上。本實(shí)施例中分配的隨機(jī)端口號(hào),包括但不限于僅為一個(gè)用戶提供服務(wù)。步驟206媒體服務(wù)器偵聽該隨機(jī)端口號(hào)對(duì)應(yīng)的端口,判斷用戶是否在預(yù)設(shè)時(shí)間內(nèi)發(fā)起數(shù)據(jù)請(qǐng)求,如果是,則執(zhí)行步驟207;否則執(zhí)行步驟208。本實(shí)施例中可選地,為了降低媒體服務(wù)器被攻擊的幾率,設(shè)定媒體服務(wù)器在預(yù)設(shè)時(shí)間內(nèi)偵聽媒體接口上的隨機(jī)端口號(hào)對(duì)應(yīng)的端口,如果用戶在預(yù)設(shè)時(shí)間內(nèi)沒有發(fā)起數(shù)據(jù)請(qǐng)求,則關(guān)閉該端口號(hào)對(duì)應(yīng)的端口,以防惡意攻擊。其中,預(yù)設(shè)時(shí)間,可以是15秒,20秒,45秒,1分鐘等,本實(shí)施例對(duì)此不做具體限定。如上述隨機(jī)分配端口號(hào)1026,則媒體服務(wù)器在15秒內(nèi)對(duì)其進(jìn)行偵聽,如果該時(shí)間內(nèi),用戶沒有發(fā)起數(shù)據(jù)請(qǐng)求,則關(guān)閉該端口。步驟207通過媒體接口和該端口號(hào)對(duì)應(yīng)的端口向用戶進(jìn)行數(shù)據(jù)傳輸。本實(shí)施例中,如果用戶在預(yù)設(shè)時(shí)間內(nèi)發(fā)起了數(shù)據(jù)請(qǐng)求,則通過媒體接口和該端口號(hào)對(duì)應(yīng)的端口向用戶進(jìn)行數(shù)據(jù)傳輸。步驟208關(guān)閉該隨機(jī)端口號(hào)對(duì)應(yīng)的端口。本實(shí)施例中,如果用戶沒有在預(yù)設(shè)的時(shí)間內(nèi)發(fā)起數(shù)據(jù)請(qǐng)求則,關(guān)閉端口,進(jìn)一步地,本實(shí)施例中可選地,當(dāng)用戶發(fā)起了數(shù)據(jù)請(qǐng)求,通過隨機(jī)端口向用戶傳輸數(shù)據(jù)完畢后,將該端口關(guān)閉,以防惡意用戶的攻擊。本實(shí)施例中,可以在媒體服務(wù)器上增加信令網(wǎng)卡和媒體網(wǎng)卡,產(chǎn)生信令接口和媒體接口,另外,本實(shí)施例中也可以將媒體接口和信令接口部署在不同的服務(wù)器上,在信令接口所處的服務(wù)器前部署硬件防火墻,同樣能達(dá)到防攻擊的目的。本實(shí)施例提供的技術(shù)方案的有益效果是在媒體服務(wù)器中增加信令網(wǎng)卡和媒體網(wǎng)卡,使信令接口和媒體接口分開,這樣在媒體服務(wù)器前增加的硬件防火墻,就能在用戶進(jìn)行登錄時(shí)對(duì)媒體服務(wù)器進(jìn)行保護(hù),并通過采用對(duì)認(rèn)證通過的用戶在媒體接口上分配隨機(jī)端口號(hào)的方式,更加有效地防止了惡意用戶的攻擊。實(shí)施例3參見圖3,本實(shí)施例提供了一種防攻擊的媒體服務(wù)器,包括獲取模塊301,發(fā)送模塊302,執(zhí)行模塊303。獲取模塊301,用于獲取終端請(qǐng)求用戶的身份信息;發(fā)送模塊302,用于將所述用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證;執(zhí)行模塊303,用于如果所述用戶的身份信息通過認(rèn)證,則在媒體接口上為所述終端分配隨機(jī)端口號(hào),并將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上,否則關(guān)閉與所述終端的連接。本實(shí)施例中,獲取模塊301,具體用于偵聽信令接口,以獲取用戶的身份信息。本實(shí)施例中,由于將媒體接口和信令接口分離,所以可在媒體服務(wù)器前設(shè)置硬件防火墻,使終端用戶的請(qǐng)求信息通過硬件防火墻到達(dá)信令接口。參見圖4,防攻擊的媒體服務(wù)器還包括偵聽模塊304,用于執(zhí)行模塊303將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上之后,在預(yù)設(shè)時(shí)間內(nèi)偵聽隨機(jī)端口,如果終端在預(yù)設(shè)時(shí)間內(nèi)發(fā)起數(shù)據(jù)請(qǐng)求,則通過隨機(jī)端口號(hào)對(duì)應(yīng)的端口將媒體數(shù)據(jù)傳輸給終端,否則關(guān)閉隨機(jī)端口號(hào)對(duì)應(yīng)的端口。參見圖4,進(jìn)一步地,防攻擊的媒體服務(wù)器上還包括關(guān)閉模塊305,用于當(dāng)偵聽模塊304通過隨機(jī)端口號(hào)對(duì)應(yīng)的端口將媒體數(shù)據(jù)傳輸給終端之后,關(guān)閉隨機(jī)端口號(hào)對(duì)應(yīng)的端口。本發(fā)明實(shí)施例提供的技術(shù)方案的有益效果是將信令接口和媒體接口分離,對(duì)認(rèn)證通過的用戶在媒體接口上分配隨機(jī)端口號(hào)的方式,使惡意攻擊的用戶很難獲取到該端口號(hào),有效地防止了惡意用戶的攻擊。本實(shí)施例提供的服務(wù)器,具體可以,與方法實(shí)施例屬于同一構(gòu)思,其具體實(shí)現(xiàn)過程詳見方法實(shí)施例,這里不再贅述。本發(fā)明實(shí)施例提供的上述技術(shù)方案的全部或部分可以通過程序指令相關(guān)的硬件來完成,所述程序可以存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中,該存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1.一種用于媒體服務(wù)器上防攻擊的方法,其特征在于,所述方法包括通過信令接口獲取終端請(qǐng)求用戶的身份信息;將所述用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證;如果所述認(rèn)證通過,則在媒體接口上為所述終端分配隨機(jī)端口號(hào),并將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述通過信令接口獲取終端請(qǐng)求用戶的身份信息,包括偵聽所述信令接口,以獲取用戶的身份信息。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上,之后還包括在預(yù)設(shè)時(shí)間內(nèi)偵聽所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口;如果所述終端在預(yù)設(shè)時(shí)間內(nèi)發(fā)起數(shù)據(jù)請(qǐng)求,則通過所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口將媒體數(shù)據(jù)傳輸給所述終端,否則關(guān)閉所述端口號(hào)對(duì)應(yīng)的端口。4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述通過所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口將媒體數(shù)據(jù)傳輸給所述終端,之后還包括關(guān)閉所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口。5.一種防攻擊的媒體服務(wù)器,其特征在于,所述媒體服務(wù)器包括獲取模塊,用于通過信令接口獲取終端請(qǐng)求用戶的身份信息;發(fā)送模塊,用于將所述用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證;執(zhí)行模塊,用于如果所述用戶的身份信息通過認(rèn)證,則在媒體接口上為所述終端分配隨機(jī)端口號(hào),并將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上。6.根據(jù)權(quán)利要求5所述的媒體服務(wù)器,其特征在于,所述獲取模塊,具體用于偵聽所述信令接口,以獲取用戶的身份信息。7.根據(jù)權(quán)利要求6所述的媒體服務(wù)器,其特征在于,所述媒體服務(wù)器還包括偵聽模塊,用于所述執(zhí)行模塊將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上之后,在預(yù)設(shè)時(shí)間內(nèi)偵聽所述隨機(jī)端口,如果所述終端在預(yù)設(shè)時(shí)間內(nèi)發(fā)起數(shù)據(jù)請(qǐng)求,則通過所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口將媒體數(shù)據(jù)傳輸給所述終端,否則關(guān)閉所述端口號(hào)對(duì)應(yīng)的端口。8.根據(jù)權(quán)利要求7所述的媒體服務(wù)器,其特征在于,所述媒體服務(wù)器還包括關(guān)閉模塊,用于當(dāng)所述偵聽模塊通過所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口將媒體數(shù)據(jù)傳輸給所述終端之后,關(guān)閉所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口。全文摘要本發(fā)明公開了一種用于媒體服務(wù)器上防攻擊的方法和媒體服務(wù)器,屬于交互式網(wǎng)絡(luò)電視領(lǐng)域。所述方法包括通過信令接口獲取終端請(qǐng)求用戶的身份信息;將所述用戶的身份信息發(fā)送到鑒權(quán)服務(wù)器進(jìn)行認(rèn)證;如果所述認(rèn)證通過,則在媒體接口上為所述終端分配隨機(jī)端口號(hào),并將所述終端重定向到所述隨機(jī)端口號(hào)對(duì)應(yīng)的端口上,否則關(guān)閉與所述終端的連接。本發(fā)明實(shí)施例將信令接口和媒體接口分離,對(duì)認(rèn)證通過的用戶在媒體接口上分配隨機(jī)端口號(hào)的方式,使惡意攻擊的用戶很難獲取到該端口號(hào),有效地防止了惡意用戶的攻擊。文檔編號(hào)H04L29/06GK102143154SQ201010614239公開日2011年8月3日申請(qǐng)日期2010年12月28日優(yōu)先權(quán)日2010年12月28日發(fā)明者徐晉,甘漠申請(qǐng)人:華為技術(shù)有限公司