一種認(rèn)證憑證更替的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,尤其涉及一種認(rèn)證憑證更替的方法及裝置。
【背景技術(shù)】
[0002]在Internet互聯(lián)網(wǎng))網(wǎng)絡(luò)環(huán)境中,私有網(wǎng)絡(luò)與公網(wǎng)之間一般設(shè)置有防火墻或NAT (Network Address Translat1n,網(wǎng)絡(luò)地址轉(zhuǎn)換),因此,不同私有網(wǎng)絡(luò)中的兩個(gè)終端設(shè)備(User Equipment, UE)進(jìn)行通信時(shí)一般需要穿越防火墻/NAT。目前,一種實(shí)現(xiàn)防火墻/NAT 穿越的方案為 TURN (Traversal Using Relay Network Address Translat1n,通過Relay方式穿越NAT)方案。TURN方案的基本原理為:終端設(shè)備通過一個(gè)或多個(gè)NAT與公網(wǎng)中的中繼服務(wù)器連接;中繼服務(wù)器通過某種機(jī)制為終端設(shè)備分配公網(wǎng)地址(即媒體中繼地址分配階段),終端設(shè)備利用該公網(wǎng)地址確定與通信對(duì)端(即另一終端設(shè)備)的媒體中繼路徑(即媒體中繼路徑連通性檢查階段),并通過該媒體中繼路徑向通信對(duì)端發(fā)送數(shù)據(jù)。
[0003]為了防止非法接入,終端設(shè)備與中繼服務(wù)器之間建立TURN連接時(shí),中繼服務(wù)器需要對(duì)終端設(shè)備進(jìn)行認(rèn)證。目前TURN協(xié)議中定義了一種對(duì)終端設(shè)備進(jìn)行認(rèn)證的長(zhǎng)期認(rèn)證憑證(Long-term Credential)機(jī)制。所謂長(zhǎng)期憑證認(rèn)證機(jī)制是指,終端設(shè)備和中繼服務(wù)器均預(yù)先保存一個(gè)固定的賬號(hào)和密碼,終端設(shè)備每次接入中繼服務(wù)器時(shí)均采用該固定的賬號(hào)和密碼進(jìn)行登錄,也就是說,每次TURN連接的過程中,中繼服務(wù)器均利用固定的賬號(hào)和密碼對(duì)終端設(shè)備進(jìn)行認(rèn)證。
[0004]上述利用長(zhǎng)期認(rèn)證機(jī)制對(duì)終端設(shè)備進(jìn)行認(rèn)證的過程中,由于終端設(shè)備使用固定的賬號(hào)和密碼進(jìn)行登錄,因此容易導(dǎo)致賬號(hào)和密碼被離線破解,安全風(fēng)險(xiǎn)較大。另外,由于長(zhǎng)期認(rèn)證機(jī)制需要在終端設(shè)備存儲(chǔ)固定的賬號(hào)和密碼,因此會(huì)造成應(yīng)用上的局限性;例如,長(zhǎng)期認(rèn)證機(jī)制不適用于WebRTC(Web Real-Time Communicat1n,網(wǎng)頁實(shí)時(shí)通信)場(chǎng)景中。
[0005]需要說明的是,由于在WebRTC場(chǎng)景中,終端設(shè)備的通信控制功能一般由JavaScript腳本語言實(shí)現(xiàn),存儲(chǔ)在終端設(shè)備的賬號(hào)和密碼直接由JavaScript讀取,而JavaScript沒有被編譯和加密,可以被明文讀取,因此容易造成存儲(chǔ)的賬號(hào)和密碼泄露,因此需要在終端設(shè)備保存固定的賬號(hào)和密碼的長(zhǎng)期認(rèn)證機(jī)制不適合在WebRTC場(chǎng)景中使用。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的實(shí)施例提供一種認(rèn)證憑證更替的方法及裝置,用以解決現(xiàn)有技術(shù)中因終端設(shè)備使用固定的賬號(hào)和密碼進(jìn)行登錄而導(dǎo)致的安全風(fēng)險(xiǎn)較大的問題,以及因需要在終端設(shè)備保存固定的賬號(hào)和密碼而導(dǎo)致的應(yīng)用局限性的問題。
[0007]為了達(dá)到上述目的,本發(fā)明實(shí)施例提供了如下技術(shù)方案:
[0008]第一方面,提供一種認(rèn)證憑證更替的方法,包括:
[0009]中繼服務(wù)器接收信令服務(wù)器發(fā)送的第一賬號(hào)和第二憑證;其中,所述第一賬號(hào)為在本次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第一憑證中的賬號(hào);所述第二憑證為所述信令服務(wù)器生成的、在本次媒體中繼路徑連通性檢查階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的憑證;
[0010]根據(jù)所述第二憑證生成新的第一憑證;其中,所述新的第一憑證為在下一次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的憑證,用于更替所述第一憑證。
[0011]結(jié)合第一方面,在第一種可能的實(shí)現(xiàn)方式中,在所述中繼服務(wù)器接收信令服務(wù)器發(fā)送的第一賬號(hào)和第二憑證之后,所述方法還包括:
[0012]向所述終端設(shè)備發(fā)送更新指示消息,其中,所述更新指示消息用于使所述終端設(shè)備根據(jù)所述第二憑證生成所述新的第一憑證。
[0013]結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述第二憑證生成新的第一憑證,包括:將所述第二憑證作為新的第一憑證;或,根據(jù)所述第一憑證和所述第二憑證生成新的第一憑證。
[0014]結(jié)合第一方面的第二種可能的實(shí)現(xiàn)方式,在第三種可能的實(shí)現(xiàn)方式中,所述第一憑證還包括第一密碼,所述第二憑證還包括第二密碼,所述新的第一憑證包括新的第一密碼;所述根據(jù)所述第一憑證和所述第二憑證生成新的第一憑證,包括:根據(jù)所述第一密碼和所述第二密碼生成所述新的第一密碼。
[0015]結(jié)合第一方面的第三種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述第一密碼和所述第二密碼生成所述新的第一密碼,包括:對(duì)所述第一密碼和所述第二密碼進(jìn)行單向函數(shù)計(jì)算,得到所述新的第一密碼。
[0016]結(jié)合第一方面的第三種可能的實(shí)現(xiàn)方式或第四種可能的實(shí)現(xiàn)方式,在第五種可能的實(shí)現(xiàn)方式中,所述新的第一憑證還包括新的第一賬號(hào);所述根據(jù)所述第一憑證和所述第二憑證生成新的第一憑證,還包括:根據(jù)所述第一賬號(hào)和所述第二賬號(hào)生成所述新的第一賬號(hào)。
[0017]結(jié)合第一方面的第五種可能的實(shí)現(xiàn)方式,在第六種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述第一賬號(hào)和所述第二賬號(hào)生成所述新的第一賬號(hào),包括:對(duì)所述第一賬號(hào)和所述第二賬號(hào)進(jìn)行單向函數(shù)計(jì)算,得到所述新的第一賬號(hào)。
[0018]第二方面,提供一種認(rèn)證憑證更替的方法,包括:
[0019]中繼服務(wù)器接收終端設(shè)備發(fā)送的包含第一賬號(hào)和第二賬號(hào)的更新請(qǐng)求消息;其中,所述第一賬號(hào)為在本次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第一憑證中的賬號(hào),所述第二賬號(hào)為信令服務(wù)器生成的、在本次媒體中繼路徑連通性檢查階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第二憑證中的賬號(hào);
[0020]利用所述第二憑證對(duì)所述終端設(shè)備進(jìn)行認(rèn)證;
[0021]認(rèn)證成功后,根據(jù)所述第二憑證生成新的第一憑證;其中,所述新的第一憑證為在下一次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的憑證,用于更替所述第一憑證。
[0022]結(jié)合第二方面,在第一種可能的實(shí)現(xiàn)方式中,在所述中繼服務(wù)器接收終端設(shè)備發(fā)送的包含第一賬號(hào)和第二賬號(hào)的更新請(qǐng)求消息之后,所述方法還包括:
[0023]向所述終端設(shè)備發(fā)送更新指示消息,其中,所述更新指示消息用于使所述終端設(shè)備根據(jù)所述第二憑證生成所述新的第一憑證。
[0024]結(jié)合第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述第二憑證生成新的第一憑證,包括:將所述第二憑證作為新的第一憑證;或,根據(jù)所述第一憑證和所述第二憑證生成新的第一憑證。
[0025]第三方面,提供一種中繼服務(wù)器,包括:
[0026]接收單元,用于接收信令服務(wù)器發(fā)送的第一賬號(hào)和第二憑證;其中,所述第一賬號(hào)為在本次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第一憑證中的賬號(hào);所述第二憑證為所述信令服務(wù)器生成的、在本次媒體中繼路徑連通性檢查階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的憑證;
[0027]更替單元,用于根據(jù)所述第二憑證生成新的第一憑證;其中,所述新的第一憑證為在下一次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的憑證,用于更替所述第一憑證。
[0028]結(jié)合第三方面,在第一種可能的實(shí)現(xiàn)方式中,所述中繼服務(wù)器還包括:
[0029]發(fā)送單元,用于向所述終端設(shè)備發(fā)送更新指示消息,其中,所述更新指示消息用于使所述終端設(shè)備根據(jù)所述第二憑證生成所述新的第一憑證。
[0030]結(jié)合第三方面或第三方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述更替單元具體用于:
[0031]將所述第二憑證作為新的第一憑證;或,
[0032]根據(jù)所述第一憑證和所述第二憑證生成新的第一憑證。
[0033]第四方面,提供一種中繼服務(wù)器,包括:
[0034]接收單元,用于接收終端設(shè)備發(fā)送的包含第一賬號(hào)和第二賬號(hào)的更新請(qǐng)求消息;其中,所述第一賬號(hào)為在本次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第一憑證中的賬號(hào),所述第二賬號(hào)為信令服務(wù)器生成的、在本次媒體中繼路徑連通性檢查階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第二憑證中的賬號(hào);
[0035]認(rèn)證單元,用于利用所述第二憑證對(duì)所述終端設(shè)備進(jìn)行認(rèn)證;
[0036]更替單元,用于在所述認(rèn)證單元認(rèn)證成功后,根據(jù)所述第二憑證生成新的第一憑證;其中,所述新的第一憑證為在下一次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的憑證,用于更替所述第一憑證。
[0037]第五方面,提供一種終端設(shè)備,包括:
[0038]獲取單元,用于獲得第一賬號(hào);其中,所述第一賬號(hào)為在本次媒體中繼地址分配階段中中繼服務(wù)器對(duì)終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第一憑證中的賬號(hào);
[0039]接收單元,用于接收信令服務(wù)器發(fā)送的第二賬號(hào);其中,所述第二賬號(hào)為所述信令服務(wù)器生成的、在本次媒體中繼路徑連通性檢查階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的第二憑證中的賬號(hào);
[0040]發(fā)送單元,用于向所述中繼服務(wù)器發(fā)送包含所述第一賬號(hào)和所述第二賬號(hào)的更新請(qǐng)求消息;其中,所述更新請(qǐng)求消息用于使所述中繼服務(wù)器根據(jù)所述第二憑證生成新的第一憑證;所述新的第一憑證為在下一次媒體中繼地址分配階段中所述中繼服務(wù)器對(duì)所述終端設(shè)備進(jìn)行認(rèn)證時(shí)使用的憑證,用于更替所述第一憑證。
[0041]結(jié)合第五方面,在第一種可能的實(shí)現(xiàn)方式中,所述發(fā)送單元還用于,向所述信令服務(wù)器發(fā)送憑證指示消息;其中,所述憑證指示消息用于使所述信令服務(wù)器生成所述第二憑證。
[0042]結(jié)合第五方面或第五方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中,所述接收單元還用于,接收所述中繼服務(wù)器發(fā)送的更新指示消息;
[0043]所述終端設(shè)備還包括:更替單元,用于根據(jù)所述第二憑證生成所述新的第一憑證。
[0044]本發(fā)明實(shí)施例提供的技術(shù)方案,中繼服務(wù)器利用本次媒體中繼路徑連通性檢查階段中的第二憑證生成用于更替本次媒體中繼地址分配階段中的第一憑證的新的第一憑證,從而實(shí)現(xiàn)認(rèn)證憑證的動(dòng)態(tài)更替。該方法應(yīng)用于利用雙憑證(第一憑證和第二憑證)對(duì)終端設(shè)備進(jìn)行認(rèn)證的認(rèn)證機(jī)制中。與現(xiàn)有技術(shù)中的長(zhǎng)期認(rèn)證機(jī)制相比,使用了該認(rèn)證憑證更替的方法的認(rèn)證機(jī)制不容易導(dǎo)致賬號(hào)和密碼被離線破解,安全風(fēng)險(xiǎn)?。涣硗?,由于使用了該認(rèn)證憑證更替的方法的認(rèn)證機(jī)制只需要在終端設(shè)備中存儲(chǔ)第一憑證,而第一憑證是動(dòng)態(tài)更新的,因此使用了該認(rèn)證憑證更替的方法的認(rèn)證機(jī)制不需要在終端設(shè)備中保存固定的賬號(hào)和密碼,因此應(yīng)用范圍較大。
【附圖說明】
[0045]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0046]圖1為本發(fā)明實(shí)施例一提供的一種認(rèn)證憑證更替的方法流程圖;
[0047]圖2為本發(fā)明實(shí)施例二提供的一種認(rèn)證憑證更替的方法流程圖;
[0048]圖3為本發(fā)明實(shí)施例三提供的一種認(rèn)證憑證更替的方法流程圖;
[0049]圖4為本發(fā)明實(shí)施例1提供的一種認(rèn)證憑證更替的方法流程圖;
[0050]圖5為本發(fā)明實(shí)施例2提供的一種認(rèn)證憑證更替的方法流程圖;
[0051]圖6為本發(fā)明實(shí)施例四提供的一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0052]圖7為本發(fā)明實(shí)施例四提供的另一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0053]圖8為本發(fā)明實(shí)施例五提供的一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0054]圖9為本發(fā)明實(shí)施例五提供的另一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0055]圖10為本發(fā)明實(shí)施例六提供的一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0056]圖11為本發(fā)明實(shí)施例六提供的另一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0057]圖12為本發(fā)明實(shí)施例七提供的一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0058]圖13為本發(fā)明實(shí)施例七提供的另一種中繼服務(wù)器的結(jié)構(gòu)示意圖;
[0059]圖14為本發(fā)明實(shí)施例八提供的一種終端設(shè)備的結(jié)構(gòu)示意圖;
[0060]圖15為本發(fā)明實(shí)施例八提供的另一種終端設(shè)備的結(jié)構(gòu)示意圖;
[0061]圖16為本發(fā)明實(shí)施例九提供的一種終端設(shè)備的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0062]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其