本發明實施例公開了一種認證憑證更替的方法及裝置，涉及通信領域，用以解決現有技術中因終端設備使用固定的賬號和密碼進行登錄而導致的安全風險較大的問題，以及因需要在終端設備保存固定的賬號和密碼而導致的應用局限性的問題。本發明實施例提供的方法包括：中繼服務器接收信令服務器發送的第一賬號和第二憑證；根據所述第二憑證生成新的第一憑證；其中，新的第一憑證為在下一次媒體中繼地址分配階段中所述中繼服務器對所述終端設備進行認證時使用的憑證，用于更替所述第一憑證。本發明實施例提供的技術方案可以應用在多媒體通信過程中。

技術領域

本發明涉及通信領域，尤其涉及一種認證憑證更替的方法及裝置。

背景技術

在Internet(互聯網)網絡環境中，私有網絡與公網之間一般設置有防火墻或NAT(Network Address Translation，網絡地址轉換)，因此，不同私有網絡中的兩個終端設備(User Equipment，UE)進行通信時一般需要穿越防火墻/NAT。目前，一種實現防火墻/NAT穿越的方案為TURN(Traversal Using Relay Network Address Translation，通過Relay方式穿越NAT)方案。TURN方案的基本原理為：終端設備通過一個或多個NAT與公網中的中繼服務器連接；中繼服務器通過某種機制為終端設備分配公網地址(即媒體中繼地址分配階段)，終端設備利用該公網地址確定與通信對端(即另一終端設備)的媒體中繼路徑(即媒體中繼路徑連通性檢查階段)，并通過該媒體中繼路徑向通信對端發送數據。

為了防止非法接入，終端設備與中繼服務器之間建立TURN連接時，中繼服務器需要對終端設備進行認證。目前TURN協議中定義了一種對終端設備進行認證的長期認證憑證(Long-term Credential)機制。所謂長期憑證認證機制是指，終端設備和中繼服務器均預先保存一個固定的賬號和密碼，終端設備每次接入中繼服務器時均采用該固定的賬號和密碼進行登錄，也就是說，每次TURN連接的過程中，中繼服務器均利用固定的賬號和密碼對終端設備進行認證。

上述利用長期認證機制對終端設備進行認證的過程中，由于終端設備使用固定的賬號和密碼進行登錄，因此容易導致賬號和密碼被離線破解，安全風險較大。另外，由于長期認證機制需要在終端設備存儲固定的賬號和密碼，因此會造成應用上的局限性；例如，長期認證機制不適用于WebRTC(Web Real-Time Communication，網頁實時通信)場景中。

需要說明的是，由于在WebRTC場景中，終端設備的通信控制功能一般由JavaScript腳本語言實現，存儲在終端設備的賬號和密碼直接由JavaScript讀取，而JavaScript沒有被編譯和加密，可以被明文讀取，因此容易造成存儲的賬號和密碼泄露，因此需要在終端設備保存固定的賬號和密碼的長期認證機制不適合在WebRTC場景中使用。

發明內容

本發明的實施例提供一種認證憑證更替的方法及裝置，用以解決現有技術中因終端設備使用固定的賬號和密碼進行登錄而導致的安全風險較大的問題，以及因需要在終端設備保存固定的賬號和密碼而導致的應用局限性的問題。

為了達到上述目的，本發明實施例提供了如下技術方案：

第一方面，提供一種認證憑證更替的方法，包括：

中繼服務器接收信令服務器發送的第一賬號和第二憑證；其中，所述第一賬號為在本次媒體中繼地址分配階段中所述中繼服務器對終端設備進行認證時使用的第一憑證中的賬號；所述第二憑證為所述信令服務器生成的、在本次媒體中繼路徑連通性檢查階段中所述中繼服務器對所述終端設備進行認證時使用的憑證；

根據所述第二憑證生成新的第一憑證；其中，所述新的第一憑證為在下一次媒體中繼地址分配階段中所述中繼服務器對所述終端設備進行認證時使用的憑證，用于更替所述第一憑證。