[发明专利]一种分配中继地址的方法、装置以及网元

说明书

一种分配中继地址的方法、装置以及网元，该方法包括：中继服务器接收终端发送的分配请求，分配请求中携带终端的用于向中继服务器请求中继地址的用户名和校验信息；其中，所述用户名与终端的用于向业务系统服务器请求注册的业务用户信息相关；中继服务器根据校验信息对所述用户名进行鉴权；在鉴权通过时，中继服务器根据所述用户名确定所述业务用户信息；中继服务器确定所述业务用户信息是否满足预设条件；中继服务器基于所述业务用户信息满足所述预设条件的确定结果，向终端发送成功响应信息，成功响应信息中携带中继服务器为终端分配的中继地址。通过该方法，可以提高网络的安全性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种分配中继地址的方法、装置以及网元。

背景技术

在现有技术中，多种业务系统中均部署了使用中继方式穿越网络地址转换(英文：Traversal Using Relays around NAT(英文：Network Address Translation)，简称：TURN)服务器，例如物联网(英文：Internet of Things，简称：IoT)业务系统、网页实时通信(英文：Web Real-Time Communication，简称：WebRTC)业务系统。

TURN服务器是用来实现防火墙和/或NAT穿越的网元。

TURN服务器使用中转的方式实现位于两个不同NAT网元后的客户端通信。TURN服务器会为每个连接到该服务器的客户端都分配一个中继地址，该中继地址专用于该客户端的消息中转。

在现有技术中，TURN服务器为客户端分配中继地址的流程如下：在客户端与业务系统建立信令连接后，客户端会向业务系统发送注册请求，注册请求中携带业务用户名userX。业务系统在接收到注册请求后，为该客户端生成一个TURN用户名和密码，该TURN用户名由随机数加一个有效期组成，密码由事先配置的对接参数、TURN用户名加密生成。然后业务系统发送注册成功响应给客户端，注册成功响应中携带TURN服务器的网络地址和端口，以及TURN用户名和密码。

接下来，客户端向TURN服务器发起分配请求，该分配请求中携带TURN用户名和消息完整性校验值，该消息完整性校验值由消息内容和TURN密码计算得到。然后TURN根据分配请求中的TURN用户名和本地配置的对接参数，通过相同的加密算法，重新计算出TURN密码，并通过重新计算出的TURN密码和消息内容重新计算出新的消息完整性校验值。TURN服务器验证分配请求中的消息完整性校验值和新的消息完整性校验值是否一致，以及有效期是否超出，若两个消息完整性校验值一致且有效期未超出，则鉴权通过，否则鉴权失败。若鉴权通过，TURN服务器向客户端发送分配的中继地址。

然而，在现有技术的分配中继地址的方法中，若某个客户端的TURN用户名和密码泄露或被恶意使用，反复发起分配请求，TURN服务器的分配资源将被快速耗尽。因此，现有技术中的分配中继地址的方法，存在安全漏洞，安全性较低。

发明内容

本发明提供一种分配中继地址的方法、装置以及网元，用以解决现有技术中分配中继地址的方法的安全性较低的技术问题。