一种基于NAT类型的设备互通方法和系统.pdf

上传人：111****11

文档编号：4893372

上传时间：2018-11-24

格式：PDF

页数：12

大小：1.79MB

《一种基于NAT类型的设备互通方法和系统.pdf》由会员分享，可在线阅读，更多相关《一种基于NAT类型的设备互通方法和系统.pdf（12页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104243629 A (43)申请公布日 2014.12.24 CN 104243629 A (21)申请号 201410494843.1 (22)申请日 2014.09.24 H04L 29/12(2006.01) H04L 29/06(2006.01) (71)申请人浙江宇视科技有限公司地址 310051 浙江省杭州市滨江区西兴街道江陵路 88 号 10 幢南座 1-11 层 (72)发明人周迪关春天 (74)专利代理机构北京博思佳知识产权代理有限公司 11415 代理人林祥 (54) 发明名称一种基于 NAT 类型的设备互通方法和系统 (57。

2、) 摘要本发明提供一种基于 NAT 类型的设备互通方法，该方法包括：公网中的服务器 Server 向第一 NAT 设备内的第一业务设备发送获取第一 NAT 设备类型的报文，第一业务设备向 server 反馈该第一 NAT 设备的类型； Server 向第二 NAT 设备内的第二业务设备发送获取第二 NAT 设备类型的报文，第二业务设备向 server 反馈该第二 NAT 设备的类型； Server 根据获取的第一 NAT 设备和第二 NAT 设备的类型判断是否进行 NAT 设备类型的设置；如果是，则发送设置 NAT 类型的报文；否则不发送设置 NAT 。

3、类型的报文；对应的 NAT 设备根据设置报文进行 NAT 类型的重新设置。本发明解决了在一些安全性非常高的 NAT 类型设备后的设备能实现和其他安全性非常高的 NAT 类型设备后的设备的互通。 (51)Int.Cl. 权利要求书 2 页说明书 6 页附图 3 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书6页附图3页 (10)申请公布号 CN 104243629 A CN 104243629 A 1/2 页 2 1. 一种基于 NAT 类型的设备互通方法，其特征在于，该方法包括：公网中的服务器 Server 向第一 NAT 设备。

4、内的第一业务设备发送获取第一 NAT 设备类型的报文，第一业务设备向 server 反馈该第一 NAT 设备的类型； Server 向第二 NAT 设备内的第二业务设备发送获取第二 NAT 设备类型的报文，第二业务设备向 server 反馈该第二 NAT 设备的类型； Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置 NAT 类型的报文；否则不发送设置 NAT 类型的报文； NAT 设备根据设置报文进行 NAT 类型的重新设置。 2. 如权利要求 1 所述的方法，其特征在于，所述方法还包括：第一业务。

5、设备和第二业务设备分别向 Server 进行注册，第一 NAT 设备和第二 NAT 设备基于所述注册分别记录对应的 NAT 表项； Server 基于第一业务设备和第二业务设备分别和自身建立的注册会话，分别向第一业务设备和第二业务设备发送获取第一 NAT 设备类型和第二 NAT 设备类型的报文。 3. 如权利要求 1 所述的方法，其特征在于， Server 发送设置 NAT 类型的报文给第一业务设备，该设置NAT类型的报文包括第一NAT设备所需设置的类型；该设置NAT类型的报文被第一 NAT 设备接收，第一 NAT 设备对该设置 NAT 类型的报文进行解析，并根据所需。

6、设置的类型设置自身的 NAT 类型，且设置该新的 NAT 类型只对第一业务设备和第二业务设备的会话起作用。 4. 如权利要求 1 所述的方法，其特征在于，所述 Server 还分别获取第一 NAT 设备和第二 NAT 设备是否支持对 NAT 类型的重新设置；当需要进行 NAT 设备类型的设置时，向支持 NAT 类型重新设置的 NAT 设备发送设置 NAT 类型的报文。 5.如权利要求1所述的方法，其特征在于， Server根据获取的第一NAT设备和第二NAT 设备的类型判断是否进行 NAT 设备类型的设置包括：如果第一 NAT 设备和第二 NAT 设备。

7、中一个为 Symmetric 类型，另一个为 Port Restricted Cone 或者 Symmetric 类型，则 Server 确定对其中一个或者两个 NAT 设备进行设置，以使得第一业务设备和第二业务设备至少能通过 NAT 打洞技术进行互通。 6. 一种基于 NAT 类型的设备互通系统，其特征在于，该系统包括：公网中的服务器 Server 向第一 NAT 设备内的第一业务设备发送获取第一 NAT 设备类型的报文，第一业务设备向 server 反馈该第一 NAT 设备的类型； Server 向第二 NAT 设备内的第二业务设备发送获取第二 NAT。

8、设备类型的报文，第二业务设备向 server 反馈该第二 NAT 设备的类型； Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置 NAT 类型的报文；否则不发送设置 NAT 类型的报文； NAT 设备根据设置报文进行 NAT 类型的重新设置。 7. 如权利要求 6 所述的系统，其特征在于，第一业务设备和第二业务设备分别向 Server 进行注册，第一 NAT 设备和第二 NAT 设备基于所述注册分别记录对应的 NAT 表项； Server 基于第一业务设备和第二业务设备分别和自身建立的注册会话，分别向第。

9、一业务设备和第二业务设备发送获取第一 NAT 设备类型和第二 NAT 设备类型的报文。 8. 如权利要求 6 所述的系统，其特征在于， Server 发送设置 NAT 类型的报文给第一业务设备，该设置NAT类型的报文包括第一NAT设备所需设置的类型；该设置NAT类型的报文权利要求书 CN 104243629 A 2 2/2 页 3 被第一 NAT 设备接收，第一 NAT 设备对该设置 NAT 类型的报文进行解析，并根据所需设置的类型设置自身的 NAT 类型，且设置该新的 NAT 类型只对第一业务设备和第二业务设备的会话起作用。 9. 如权利要求 6 所述的方法，。

10、其特征在于，所述 Server 还分别获取第一 NAT 设备和第二 NAT 设备是否支持对 NAT 类型的重新设置；当需要进行 NAT 设备类型的设置时，向支持 NAT 类型重新设置的 NAT 设备发送设置 NAT 类型的报文。 10. 如权利要求 6 所述的方法，其特征在于， Server 根据获取的第一 NAT 设备和第二 NAT 设备的类型判断是否进行 NAT 设备类型的设置包括：如果第一 NAT 设备和第二 NAT 设备中一个为 Symmetric 类型，另一个为 Port Restricted Cone 或者 Symmetric 类。

11、型，则 Server 确定对其中一个或者两个 NAT 设备进行设置，以使得第一业务设备和第二业务设备至少能通过 NAT 打洞技术进行互通。权利要求书 CN 104243629 A 3 1/6 页 4 一种基于 NAT 类型的设备互通方法和系统技术领域 0001 本发明涉及网络技术领域，尤其涉及基于 NAT 类型的设备互通方法和系统。背景技术 0002 完整的视频监控系统是由摄像、传输、控制、显示、存储5大部分组成。请参图1，本专利申请主要涉及传输部分。 0003 众所周知，随着 IP 监控技术、互联网技术的推广普及，跨地区部门分支机构、商业集团全球。

12、分部越来越多地使用远程互联网视频监控。而在实际使用中，用户显示设备和监控摄像机通常位于不同的 NAT 路由器构建的内网中。用户显示设备和监控摄像机在内网中通过各自不同的 NAT 路由器接入互联网。当用户想要访问摄像机时，由于各自接入的 NAT 类型复杂以及 IP 地址、端口等的变化，有的时候该访问会不成功。 0004 如何基于已有的接入互联网的公网中的视频监控平台服务器 Server 和将监控设备接入网络的 NAT 路由器，灵活便捷、安全地实现 NAT 内显示设备和 NAT 内摄像机之间的互联访问是本文要解决的问题。发明内容 0005 有鉴于此，本发明提供一种基于 NA。

13、T 类型的设备互通方法和系统。 0006 该基于 NAT 类型的设备互通方法包括：公网中的服务器 Server 向第一 NAT 设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一 NAT 设备的类型； Server 向第二 NAT 设备内的第二业务设备发送获取第二 NAT 设备类型的报文，第二业务设备向 server 反馈该第二 NAT 设备的类型； Server 根据获取的第一 NAT 设备和第二 NAT 设备的类型判断是否进行 NAT 设备类型的设置；如果是，则发送设置 NAT 类型的报文；否则不发送设置NAT类型的报文。

14、； NAT设备根据设置报文进行NAT类型的重新设置。 0007 优选地，该方法还包括：第一业务设备和第二业务设备分别向 Server 进行注册，第一 NAT 设备和第二 NAT 设备基于所述注册分别记录对应的 NAT 表项； Server 基于第一业务设备和第二业务设备分别和自身建立的注册会话，分别向第一业务设备和第二业务设备发送获取第一 NAT 设备类型和第二 NAT 设备类型的报文。 0008 优选地， Server发送设置NAT类型的报文给第一业务设备，该设置NAT类型的报文包括第一 NAT 设备所需设置的类型；该设置 NAT 类型的报文被第一 NAT 设备接。

15、收，第一 NAT 设备对该设置NAT类型的报文进行解析，并根据所需设置的类型设置自身的NAT类型，且设置该新的 NAT 类型只对第一业务设备和第二业务设备的会话起作用。 0009 优选地，该 Server 还分别获取第一 NAT 设备和第二 NAT 设备是否支持对 NAT 类型的重新设置；当需要进行NAT设备类型的设置时，向支持NAT类型重新设置的NAT设备发送设置 NAT 类型的报文。 0010 优选地， Server 根据获取的第一 NAT 设备和第二 NAT 设备的类型判断是否进行说明书 CN 104243629 A 4 2/6 页 5 NAT 设备类型的设置包。

16、括：如果第一 NAT 设备和第二 NAT 设备中一个为 Symmetric 类型，另一个为 Port Restricted Cone 或者 Symmetric 类型，则 Server 确定对其中一个或者两个 NAT 设备进行设置，以使得第一业务设备和第二业务设备至少能通过 NAT 打洞技术进行互通。 0011 该基于 NAT 类型的设备互通系统包括：公网中的服务器 Server 向第一 NAT 设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一 NAT 设备的类型； Server 向第二 NAT 设备内的第二业务设备发送获取第二。

17、NAT 设备类型的报文，第二业务设备向 server 反馈该第二 NAT 设备的类型； Server 根据获取的第一 NAT 设备和第二 NAT 设备的类型判断是否进行 NAT 设备类型的设置；如果是，则发送设置 NAT 类型的报文；否则不发送设置NAT类型的报文； NAT设备根据设置报文进行NAT类型的重新设置。 0012 相较于现有技术，本发明解决了在一些安全性非常高的 NAT 类型设备后的设备能实现和其他安全性非常高的 NAT 类型设备后的设备的互通。附图说明 0013 图 1 是现有的一种基本监控系统组网图。 0014 图 2 是包含有 NAT 设备的网络。

18、图。 0015 图 3 是本发明实施例流程图。具体实施方式 0016 NAT 设备具有多种不同的类型，“Full Cone NAT” ，“Restricted Cone NAT” ，“Port Restricted Cone NAT” 和 “Symmetric NAT” 。 0017 “Full Cone NAT” ：内网主机建立一个UDP socket(LocalIP:LocalPort)，第一次使用这个socket给外部主机发送数据时， NAT会给其分配一个公网(PublicIP:PublicPort)，以后用这个 socket 向外面任何主机发送数据都将使用这对 (Public。

19、IP:PublicPort)。此外，任何外部主机只要知道这个 (PublicIP:PublicPort) 就可以发送数据给 (PublicIP:PublicPort)，内网的主机就能收到这个数据包。 0018 “Restricted Cone NAT” : 内网主机建立一个 UDP socket(LocalIP:LocalPort)，第一次使用这个 socket 给外部主机发送数据时 NAT 会给其分配一个公网 (PublicIP:PublicPort)，以后用这个 socket 向外面任何主机发送数。

20、据都将使用这对 (PublicIP:PublicPort)。此外，如果任何外部主机想要发送数据给这个内网主机，只要知道这个(PublicIP:PublicPort)，并且内网主机之前用这个socket曾向这个外部主机IP发送过数据。只要满足这两个条件，这个外部主机就可以用自己的 (IP, 任何端口 ) 发送数据给 (PublicIP:PublicPort)，内网的主机就能收到这个数据包。 0019 Port Restricted Cone NAT: 内网主机建立一个 UDP socket(LocalIP:LocalPort)，第一次使用这个 socket 给外部主机发送数据时。

21、 NAT 会给其分配一个公网 (PublicIP:PublicPort)，以后用这个 socket 向外面任何主机发送数据都将使用这对 (PublicIP:PublicPort)。此外，如果任何外部主机想要发送数据给这个内网主机，只要知道这个 (PublicIP:PublicPort) 并且内网主机之前用这个 socket 曾向这个外说明书 CN 104243629 A 5 3/6 页 6 部主机 (IP， Port) 发送过数据。只要满足这两个条件，这个外部主机就可以用自己的 (IP， Port) 发送数据给 (PublicIP:PublicPort)，内网的主机就能收。

22、到这个数据包。 0020 Symmetric NAT ：内网主机建立一个 UDP socket(LocalIP， LocalPort)，当用这个 socket 第一次发数据给外部主机 1 时， NAT 为其映射一个 (PublicIP-1,Port-1)，以后内网主机发送给外部主机 1 的所有数据都是用这个 (PublicIP-1,Port-1)，如果内网主机同时用这个 socket 给外部主机 2 发送数据，第一次发送时， NAT 会为其分配一个 (PublicIP-2,Port-2)，以后内网主机发送给外部主机 2 的所有数据都是用这个 (PublicIP-2,Port-。

23、2)。如果 NAT 有多于一个公网 IP，则 PublicIP-1 和 PublicIP-2 可能不同，如果 NAT 只有一个公网 IP, 则 Port-1 和 Port-2 肯定不同，也就是说一定不能是 PublicIP-1 等于 PublicIP-2 且 Port-1 等于 Port-2。此外，如果任何外部主机想要发送数据给这个内网主机，那么它首先应该收到内网主机发给他的数据，然后才能往回发送，否则即使他知道内网主机的一个 (PublicIP， Port) 也不能发送数据给内网主机，这种 NAT 无法实现 UDP-P2P 通信。 0021 请参图 2 的组网图，公。

24、网中有一个 Server20， NAT 设备 21 所构建的内网 1 中有若干业务设备； NAT 设备 22 所构建的内网 2 中也存在若干业务设备。根据前文对 NAT 类型的介绍可知，在 NAT 设备 21 为 Symmetric NAT， NAT 设备 22 为 Port Restricted Cone NAT 或者 Symmetric NAT 时，无法通过 NAT 打洞技术实现内网 1 中的业务设备和内网 2 中的业务设备的互通；在 NAT 设备 21 为 Port Restricted Cone NAT， NAT 设备 22 为 Symmetric NAT 时，也无。

25、法通过 NAT 打洞技术实现内网 1 中的设备和内网 2 中的设备的互通。 0022 在一些应用场景中，需要配置 Symmetric NAT，主要是从安全的角度考虑。如果配置如 Full Cone NAT 类型 NAT 时，黑客很容易获取内网终端设备的一些数据。现实中就发生过这样的案例：在一监控网络，家庭用户在家中安装了一些摄像机，这些监控摄像机位于家庭出口 NAT 路由器构建的内网中，由于这些 NAT 路由器的 NAT 类型为 Full Cone NAT，导致了黑客轻而易举地获得了用户家庭的监控图像，并将之传播到网上，造成了恶劣的影响。 0023 所以后续用户很。

26、希望将自己家中的 NAT 设备配置为最安全的级别，即 Symmetric NAT，但是这又将造成上文提到的访问不通的问题。比如说，用户在公司上班，中间休息时想看下家中的监控图像，若该用户的观看设备，如PC机，手机终端也位于一Symmetric NAT的网络中，则用户将无法观看家中的视频监控画面。 0024 下面的方案将基于视频监控网络来进行说明，但是可以理解的是，其他非视频监控的网络同样可以应用本发明的技术方案。 0025 请参图 3 所示的本发明实施例流程图。 0026 S31、公网中的服务器Server向第一NAT设备内的第一业务设备发送获取第一NAT 设备类。

27、型的报文。 0027 S32、第一业务设备向 server 反馈该第一 NAT 设备的类型。 0028 S33、 Server 向第二 NAT 设备内的第二业务设备发送获取第二 NAT 设备类型的报文，第二业务设备向 server 反馈该第二 NAT 设备的类型。 0029 S34、 Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，转步骤 S35，否则转步骤 S36。 0030 S35、发送设置 NAT 类型的报文。说明书 CN 104243629 A 6 4/6 页 7 0031 S36、不发送设置 NAT 类型的。

28、报文。 0032 S37、 NAT 设备根据设置报文进行 NAT 类型的重新设置。 0033 上述流程各步骤之间的顺序可以进行一定的调整。比如说， S31 和 S33 之间显然没有明显的先后关系。 0034 在第二NAT设备内的第一业务设备有访问第一NAT设备内的第二业务设备的需求时， Server 根据获取的第一 NAT 设备和第二 NAT 设备的类型判断是否进行 NAT 设备类型的设置；如果是，则发送设置NAT类型的报文；否则不发送设置NAT类型的报文；对应的NAT设备根据设置报文进行 NAT 类型的重新设置。 0035 对 NAT 类型的重新设置是将安全级别高的类型。

29、往安全级别低的类型进行设置，所以最好在有访问需求的时候再进行NAT类型的调整，即NAT类型的调整是基于会话的，在本发明中将称之为 Session 模式的类型设置。 0036 在视频监控系统中， Server 为视频监控平台服务器，其管理和控制着若干业务设备。比如说，第一和第二业务设备均需要向 Server 进行注册；第一业务设备若需要访问第二业务设备时，先将访问请求发送给 Server， Server 根据两者之间的权限、绑定或者其他关系确认是否允许访问。 0037 在第二NAT设备内的第二业务设备有访问第一NAT设备内的第一业务设备的需求时，如果此时 Serv。

30、er 已经获取了第一 NAT 设备和第二 NAT 设备的类型，则直接根据这两者的类型判断是否需要进行 NAT 类型的变更设置。如果此时 Server 还不清楚第一 NAT 设备和第二 NAT 设备的类型，则可以向第一业务设备和第二业务设备获取。第一业务设备和第二业务设备属于 Server 管理的设备，且第一业务设备和第二业务设备通过一些现有的方式可以获取到 NAT 的类型，所以 Server 向这两个设备获取 NAT 设备的类型。 0038 Server 获取第一 NAT 设备和第二 NAT 设备的类型包括： Server 向第一 NAT 设备内的第一业务设备发送获取第一N。

31、AT设备类型的报文，第一业务设备向server反馈该第一 NAT 设备的类型。Server 向第二 NAT 设备内的第二业务设备发送获取第二 NAT 设备类型的报文，第二业务设备向 server 反馈该第二 NAT 设备的类型。 0039 上述获取 NAT 设备类型的报文可以是如下的一种报文： 0040 0041 表一 0042 由于业务设备会向公网中的 Server 进行注册，所以无论将业务设备和公网隔离的 NAT 是属于什么类型， Server 向业务设备获取 NAT 类型的报文都能穿过 NAT 设备发送到业务设备。即第一业务设备和第二业务设备分别向 Server 进行注册，。

32、第一 NAT 设备和第二 NAT 设备基于所述注册会话分别记录对应的 NAT 表项； Server 基于第一业务设备和第二业务设备分别和自身建立的注册会话，向第一业务设备和第二业务设备发送获取第一 NAT 设备类型和第二 NAT 设备类型的报文。获取第一 NAT 设备类型和第二 NAT 设备类型的报文均能穿越第一 NAT 设备和第二 NAT 设备到达第一业务设备和第二业务设备。说明书 CN 104243629 A 7 5/6 页 8 0043 业务设备通过 NAT 类型检测技术能得到相应 NAT 设备的类型，并在接收到 Server 的 NAT 类型获取报文后将 NAT 设。

33、备的类型反馈给 Server。 0044 Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置包括：如果第一NAT设备和第二NAT设备中一个为Symmetric类型，另一个为Port Restricted Cone 或者 Symmetric 类型，则 Server 确定对其中一个或者两个 NAT 设备进行重新设置，以使得第一业务设备和第二业务设备至少能通过 NAT 打洞技术进行互通。 0045 比如说，第一 NAT 设备为 Symmetric 类型，第二 NAT 设备为 Port Restricted Cone 类型， Server 可以。

34、将第一 NAT 设备的类型设为 Port Restricted Cone ；或者将第二 NAT 设备设为 Full Cone 类型。又比如，第一 NAT 设备为 Symmetric 类型，第二 NAT 设备也为 Symmetric 类型， Server 可以同时将第一 NAT 设备和第二 NAT 设备类型设为 Port Restricted Cone 类型。Server 重新调整 NAT 设备类型的时候，以尽可能降的安全级别比较小为原则。 0046 设置 NAT 类型的报文可以是如表二的报文： 0047 0048 表二 0049 Server 发送如表二所示的设置 NAT 类型。

35、的报文给第一业务设备，该设置 NAT 类型的报文包括第二业务设备的公网 IP 地址和端口号，第一 NAT 设备所需设置的类型。该设置 NAT 类型的报文被第一 NAT 设备接收，第一 NAT 设备对该设置 NAT 类型的报文进行解析，并根据所需设置的类型设置自身的 NAT 类型。该新设置的 NAT 类型只对第二业务设备和第一业务设备交互的报文其起作用。比如说第一 NAT 设备类型被设置为了 Port Restricted Cone 类型，如果第二 NAT 设备是 Port Restricted Cone 类型的话，那么后续只要借助 NAT 打洞技术就能实现第一业务设备和第二业。

36、务设备的通信。具体可以按照如下方式实现：比如第二业务设备想要和第一业务设备进行通信，第二业务设备只需要向 Server 发送一个请求，请求 Server 命令该第一业务设备向第二业务设备方向打一个洞，这样第二业务设备就能访问第一业务设备了。具体地，第一业务设备发送目的 IP 地址和端口为第二业务设备的公网 IP 和端口，源 IP 地址和端口为第一业务设备的私网 IP 和端口的报文，该报文在经过设置为 Port Restricted Cone 类型第一 NAT 设备的时候，第一 NAT 设备将源 IP 地址和端口转换为第一业务设备的公网 IP 和端口，并在本地记录。

37、 NAT 表项。此时第二业务设备再向第一业务设备发送目的 IP 和端口为第一业务设备的公网 IP 和端口，源 IP 和端口为第二业务设备的私网 IP 和端口的报文时，由于第一 NAT 设备已经记录有对应的 NAT 表项 ( 该条表项包括：第一业务设备的私网IP/端口、第一业务设备的公网IP/端口以及第二业务设备说明书 CN 104243629 A 8 6/6 页 9 的公网 IP/ 端口 )，所以该 Port Restricted Cone 类型的第一 NAT 设备对第二业务设备发送给第一业务设备的报文进行 NAT 转换后发送给第一业务设备，至此第二业务设备就实现。

38、了对第一业务设备的访问。由于第二业务设备在给第一业务设备发送报文时，第二 NAT 设备上也记录了对应的 NAT 表项，所以第一业务设备发送给第二业务设备的报文也能被转发到第二业务设备。因此，第一业务设备和第二业务设备就实现了互通。 0050 由于该新设置的 NAT 类型对第一业务设备和第二业务设备之间的会话起作用。对于其他业务设备和第一业务设备之间的通信，第一 NAT 设备还是按照原先的 NAT 类型进行处理，除非 Server 对于其他业务设备和第一业务设备的通信也发起 NAT 类型重设置的处理。这样就有限的放开了 NAT 设备的安全级别。 0051 本发明方案， NAT。

39、设备是一个需要改进的设备，该 NAT 设备至少应该能够解析 Server 发送的 NAT 类型设置报文，并且根据待设置的类型调整 NAT 的类型。但是从网络兼容性的角度考虑，需要允许网络中存在一些未如本发明一样改进的 NAT 设备。所以在获取 NAT 类型的时候，还获取该 NAT 是否支持 NAT 类型设置。然后 Server 根据该信息，仅对支持 NAT 类型设置的 NAT 进行类型设置。比如说当两个 NAT 设备，一个是普通的 NAT 设备，一个是支持 Session 模式设置的 NAT 设备，则 Server 设置支持 Session 模式设置的 NAT 设备。另。

40、外，当两个 NAT 设备都是支持 Session 模式设置的设备， Server 可以根据尽可能降的安全级别比较小为原则进行设置；或者如果给Server反馈的NAT设备类型报文中包含NAT设备的安全级别信息，则可以选择设置安全级别低的一侧的NAT设备；如果两个NAT设备的安全级别一样，则可以任选一个进行设置。 0052 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。说明书 CN 104243629 A 9 1/3 页 10 图 1 说明书附图 CN 104243629 A 10 2/3 页 11 图 2 说明书附图 CN 104243629 A 11 3/3 页 12 图 3 说明书附图 CN 104243629 A 12 。

摘要
申请专利号：	CN201410494843.1	申请日：	2014.09.24
公开号：	CN104243629A	公开日：	2014.12.24
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/12申请日:20140924\|\|\|公开
IPC分类号：	H04L29/12; H04L29/06	主分类号：	H04L29/12
申请人：	浙江宇视科技有限公司
发明人：	周迪; 关春天
地址：	310051 浙江省杭州市滨江区西兴街道江陵路88号10幢南座1-11层
优先权：
专利代理机构：	北京博思佳知识产权代理有限公司 11415	代理人：	林祥
PDF完整版下载：	PDF下载

内容摘要

本发明提供一种基于NAT类型的设备互通方法，该方法包括：公网中的服务器Server向第一NAT设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一NAT设备的类型；Server向第二NAT设备内的第二业务设备发送获取第二NAT设备类型的报文，第二业务设备向server反馈该第二NAT设备的类型；Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置NAT类型的报文；否则不发送设置NAT类型的报文；对应的NAT设备根据设置报文进行NAT类型的重新设置。本发明解决了在一些安全性非常高的NAT类型设备后的设备能实现和其他安全性非常高的NAT类型设备后的设备的互通。

权利要求书

权利要求书1. 一种基于NAT类型的设备互通方法，其特征在于，该方法包括：公网中的服务器Server向第一NAT设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一NAT设备的类型；Server向第二NAT设备内的第二业务设备发送获取第二NAT设备类型的报文，第二业务设备向server反馈该第二NAT设备的类型；Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置NAT类型的报文；否则不发送设置NAT类型的报文；NAT设备根据设置报文进行NAT类型的重新设置。2. 如权利要求1所述的方法，其特征在于，所述方法还包括：第一业务设备和第二业务设备分别向Server进行注册，第一NAT设备和第二NAT设备基于所述注册分别记录对应的NAT表项；Server基于第一业务设备和第二业务设备分别和自身建立的注册会话，分别向第一业务设备和第二业务设备发送获取第一NAT设备类型和第二NAT设备类型的报文。3. 如权利要求1所述的方法，其特征在于，Server发送设置NAT类型的报文给第一业务设备，该设置NAT类型的报文包括第一NAT设备所需设置的类型；该设置NAT类型的报文被第一NAT设备接收，第一NAT设备对该设置NAT类型的报文进行解析，并根据所需设置的类型设置自身的NAT类型，且设置该新的NAT类型只对第一业务设备和第二业务设备的会话起作用。4. 如权利要求1所述的方法，其特征在于，所述Server还分别获取第一NAT设备和第二NAT设备是否支持对NAT类型的重新设置；当需要进行NAT设备类型的设置时，向支持NAT类型重新设置的NAT设备发送设置NAT类型的报文。5. 如权利要求1所述的方法，其特征在于，Server根据获取的第一NAT 设备和第二NAT设备的类型判断是否进行NAT设备类型的设置包括：如果第一NAT设备和第二NAT设备中一个为Symmetric类型，另一个为Port Restricted Cone或者Symmetric类型，则Server确定对其中一个或者两个NAT设备进行设置，以使得第一业务设备和第二业务设备至少能通过NAT打洞技术进行互通。6. 一种基于NAT类型的设备互通系统，其特征在于，该系统包括：公网中的服务器Server向第一NAT设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一NAT设备的类型；Server向第二NAT设备内的第二业务设备发送获取第二NAT设备类型的报文，第二业务设备向server反馈该第二NAT设备的类型；Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置NAT类型的报文；否则不发送设置NAT类型的报文；NAT设备根据设置报文进行NAT类型的重新设置。7. 如权利要求6所述的系统，其特征在于，第一业务设备和第二业务设备分别向Server进行注册，第一NAT设备和第二NAT设备基于所述注册分别记录对应的NAT表项；Server基于第一业务设备和第二业务设备分别和自身建立的注册会话，分别向第一业务设备和第二业务设备发送获取第一NAT设备类型和第二NAT设备类型的报文。8. 如权利要求6所述的系统，其特征在于，Server发送设置NAT类型的报文给第一业务设备，该设置NAT类型的报文包括第一NAT设备所需设置的类型；该设置NAT类型的报文被第一NAT设备接收，第一NAT设备对该设置NAT类型的报文进行解析，并根据所需设置的类型设置自身的NAT类型，且设置该新的NAT类型只对第一业务设备和第二业务设备的会话起作用。9. 如权利要求6所述的方法，其特征在于，所述Server还分别获取第一NAT设备和第二NAT设备是否支持对NAT类型的重新设置；当需要进行NAT设备类型的设置时，向支持NAT类型重新设置的NAT设备发送设置NAT类型的报文。10. 如权利要求6所述的方法，其特征在于，Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置包括：如果第一NAT设备和第二NAT设备中一个为Symmetric类型，另一个为Port Restricted Cone或者Symmetric类型，则Server确定对其中一个或者两个NAT设备进行设置，以使得第一业务设备和第二业务设备至少能通过NAT打洞技术进行互通。

说明书

说明书一种基于NAT类型的设备互通方法和系统
技术领域
本发明涉及网络技术领域，尤其涉及基于NAT类型的设备互通方法和系统。
背景技术
完整的视频监控系统是由摄像、传输、控制、显示、存储5大部分组成。请参图1，本专利申请主要涉及传输部分。
众所周知，随着IP监控技术、互联网技术的推广普及，跨地区部门分支机构、商业集团全球分部越来越多地使用远程互联网视频监控。而在实际使用中，用户显示设备和监控摄像机通常位于不同的NAT路由器构建的内网中。用户显示设备和监控摄像机在内网中通过各自不同的NAT路由器接入互联网。当用户想要访问摄像机时，由于各自接入的NAT类型复杂以及IP地址、端口等的变化，有的时候该访问会不成功。
如何基于已有的接入互联网的公网中的视频监控平台服务器Server和将监控设备接入网络的NAT路由器，灵活便捷、安全地实现NAT内显示设备和NAT内摄像机之间的互联访问是本文要解决的问题。
发明内容
有鉴于此，本发明提供一种基于NAT类型的设备互通方法和系统。
该基于NAT类型的设备互通方法包括：公网中的服务器Server向第一NAT设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一NAT设备的类型；Server向第二NAT设备内的第二业务设备发送获取第二NAT设备类型的报文，第二业务设备向server反馈该第二NAT设备的类型；Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置NAT类型的报文；否则不发送设置NAT类型的报文；NAT设备根据设置报文进行NAT类型的重新设置。
优选地，该方法还包括：第一业务设备和第二业务设备分别向Server进行注册，第一NAT设备和第二NAT设备基于所述注册分别记录对应的NAT表项；Server基于第一业务设备和第二业务设备分别和自身建立的注册会话，分别向第一业务设备和第二业务设备发送获取第一NAT设备类型和第二NAT设备类型的报文。
优选地，Server发送设置NAT类型的报文给第一业务设备，该设置NAT类型的报文包括第一NAT设备所需设置的类型；该设置NAT类型的报文被第一NAT设备接收，第一NAT设备对该设置NAT类型的报文进行解析，并根据所需设置的类型设置自身的NAT类型，且设置该新的NAT类型只对第一业务设备和第二业务设备的会话起作用。
优选地，该Server还分别获取第一NAT设备和第二NAT设备是否支持对NAT类型的重新设置；当需要进行NAT设备类型的设置时，向支持NAT类型重新设置的NAT设备发送设置NAT类型的报文。
优选地，Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置包括：如果第一NAT设备和第二NAT设备中一个为Symmetric类型，另一个为Port Restricted Cone或者Symmetric类型，则Server确定对其中一个或者两个NAT设备进行设置，以使得第一业务设备和第二业务设备至少能通过NAT打洞技术进行互通。
该基于NAT类型的设备互通系统包括：公网中的服务器Server向第一NAT设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一NAT设备的类型；Server向第二NAT设备内的第二业务设备发送获取第二NAT设备类型的报文，第二业务设备向server反馈该第二NAT设备的类型；Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置NAT类型的报文；否则不发送设置NAT类型的报文；NAT设备根据设置报文进行NAT类型的重新设置。
相较于现有技术，本发明解决了在一些安全性非常高的NAT类型设备后的设备能实现和其他安全性非常高的NAT类型设备后的设备的互通。
附图说明
图1是现有的一种基本监控系统组网图。
图2是包含有NAT设备的网络图。
图3是本发明实施例流程图。
具体实施方式
NAT设备具有多种不同的类型，“Full Cone NAT”，“Restricted Cone NAT”，“Port Restricted Cone NAT”和“Symmetric NAT”。
“Full Cone NAT”：内网主机建立一个UDP socket(LocalIP:LocalPort)，第一次使用这个socket给外部主机发送数据时，NAT会给其分配一个公网(PublicIP:PublicPort)，以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外，任何外部主机只要知道这个(PublicIP:PublicPort)就可以发送数据给(PublicIP:PublicPort)，内网的主机就能收到这个数据包。
“Restricted Cone NAT”:内网主机建立一个UDP socket(LocalIP:LocalPort)，第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort)，以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外，如果任何外部主机想要发送数据给这个内网主机，只要知道这个(PublicIP:PublicPort)，并且内网主机之前用这个socket曾向这个外部主机IP发送过数据。只要满足这两个条件，这个外部主机就可以用自己的(IP,任何端口)发送数据给(PublicIP:PublicPort)，内网的主机就能收到这个数据包。
Port Restricted Cone NAT:内网主机建立一个UDP socket(LocalIP:LocalPort)，第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort)，以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外，如果任何外部主机想要发送数据给这个内网主机，只要知道这个(PublicIP:PublicPort)并且内网主机之前用这个socket曾向这个外部主机(IP，Port)发送过数据。只要满足这两个条件，这个外部主机就可以用自己的(IP，Port)发送数据给(PublicIP:PublicPort)，内网的主机就能收到这个数据包。
Symmetric NAT：内网主机建立一个UDP socket(LocalIP，LocalPort)，当用这个socket第一次发数据给外部主机1时，NAT为其映射一个(PublicIP-1,Port-1)，以后内网主机发送给外部主机1的所有数据都是用这个(PublicIP-1,Port-1)，如果内网主机同时用这个socket给外部主机2发送数据，第一次发送时，NAT会为其分配一个(PublicIP-2,Port-2)，以后内网主机发送给外部主机2的所有数据都是用这个(PublicIP-2,Port-2)。如果NAT有多于一个公网IP，则PublicIP-1和PublicIP-2可能不同，如果NAT只有一个公网IP,则Port-1和Port-2肯定不同，也就是说一定不能是PublicIP-1等于PublicIP-2且Port-1等于Port-2。此外，如果任何外部主机想要发送数据给这个内网主机，那么它首先应该收到内网主机发给他的数据，然后才能往回发送，否则即使他知道内网主机的一个(PublicIP，Port)也不能发送数据给内网主机，这种NAT无法实现UDP-P2P通信。
请参图2的组网图，公网中有一个Server20，NAT设备21所构建的内网1中有若干业务设备；NAT设备22所构建的内网2中也存在若干业务设备。根据前文对NAT类型的介绍可知，在NAT设备21为Symmetric NAT，NAT设备22为Port Restricted Cone NAT或者Symmetric NAT时，无法通过NAT打洞技术实现内网1中的业务设备和内网2中的业务设备的互通；在 NAT设备21为Port Restricted Cone NAT，NAT设备22为Symmetric NAT时，也无法通过NAT打洞技术实现内网1中的设备和内网2中的设备的互通。
在一些应用场景中，需要配置Symmetric NAT，主要是从安全的角度考虑。如果配置如Full Cone NAT类型NAT时，黑客很容易获取内网终端设备的一些数据。现实中就发生过这样的案例：在一监控网络，家庭用户在家中安装了一些摄像机，这些监控摄像机位于家庭出口NAT路由器构建的内网中，由于这些NAT路由器的NAT类型为Full Cone NAT，导致了黑客轻而易举地获得了用户家庭的监控图像，并将之传播到网上，造成了恶劣的影响。
所以后续用户很希望将自己家中的NAT设备配置为最安全的级别，即Symmetric NAT，但是这又将造成上文提到的访问不通的问题。比如说，用户在公司上班，中间休息时想看下家中的监控图像，若该用户的观看设备，如PC机，手机终端也位于一Symmetric NAT的网络中，则用户将无法观看家中的视频监控画面。
下面的方案将基于视频监控网络来进行说明，但是可以理解的是，其他非视频监控的网络同样可以应用本发明的技术方案。
请参图3所示的本发明实施例流程图。
S31、公网中的服务器Server向第一NAT设备内的第一业务设备发送获取第一NAT设备类型的报文。
S32、第一业务设备向server反馈该第一NAT设备的类型。
S33、Server向第二NAT设备内的第二业务设备发送获取第二NAT设备类型的报文，第二业务设备向server反馈该第二NAT设备的类型。
S34、Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，转步骤S35，否则转步骤S36。
S35、发送设置NAT类型的报文。
S36、不发送设置NAT类型的报文。
S37、NAT设备根据设置报文进行NAT类型的重新设置。
上述流程各步骤之间的顺序可以进行一定的调整。比如说，S31和S33之间显然没有明显的先后关系。
在第二NAT设备内的第一业务设备有访问第一NAT设备内的第二业务设备的需求时，Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置；如果是，则发送设置NAT类型的报文；否则不发送设置NAT类型的报文；对应的NAT设备根据设置报文进行NAT类型的重新设置。
对NAT类型的重新设置是将安全级别高的类型往安全级别低的类型进行设置，所以最好在有访问需求的时候再进行NAT类型的调整，即NAT类型的调整是基于会话的，在本发明中将称之为Session模式的类型设置。
在视频监控系统中，Server为视频监控平台服务器，其管理和控制着若干业务设备。比如说，第一和第二业务设备均需要向Server进行注册；第一业务设备若需要访问第二业务设备时，先将访问请求发送给Server，Server根据两者之间的权限、绑定或者其他关系确认是否允许访问。
在第二NAT设备内的第二业务设备有访问第一NAT设备内的第一业务设备的需求时，如果此时Server已经获取了第一NAT设备和第二NAT设备的类型，则直接根据这两者的类型判断是否需要进行NAT类型的变更设置。如果此时Server还不清楚第一NAT设备和第二NAT设备的类型，则可以向第一业务设备和第二业务设备获取。第一业务设备和第二业务设备属于Server管理的设备，且第一业务设备和第二业务设备通过一些现有的方式可以获取到NAT的类型，所以Server向这两个设备获取NAT设备的类型。
Server获取第一NAT设备和第二NAT设备的类型包括：Server向第一NAT设备内的第一业务设备发送获取第一NAT设备类型的报文，第一业务设备向server反馈该第一NAT设备的类型。Server向第二NAT设备内的第二业务设备发送获取第二NAT设备类型的报文，第二业务设备向server反馈该第二NAT设备的类型。
上述获取NAT设备类型的报文可以是如下的一种报文：

表一
由于业务设备会向公网中的Server进行注册，所以无论将业务设备和公网隔离的NAT是属于什么类型，Server向业务设备获取NAT类型的报文都能穿过NAT设备发送到业务设备。即第一业务设备和第二业务设备分别向Server进行注册，第一NAT设备和第二NAT设备基于所述注册会话分别记录对应的NAT表项；Server基于第一业务设备和第二业务设备分别和自身建立的注册会话，向第一业务设备和第二业务设备发送获取第一NAT设备类型和第二NAT设备类型的报文。获取第一NAT设备类型和第二NAT设备类型的报文均能穿越第一NAT设备和第二NAT设备到达第一业务设备和第二业务设备。
业务设备通过NAT类型检测技术能得到相应NAT设备的类型，并在接收到Server的NAT类型获取报文后将NAT设备的类型反馈给Server。
Server根据获取的第一NAT设备和第二NAT设备的类型判断是否进行NAT设备类型的设置包括：如果第一NAT设备和第二NAT设备中一个为Symmetric类型，另一个为Port Restricted Cone或者Symmetric类型，则Server确定对其中一个或者两个NAT设备进行重新设置，以使得第一业务设备和第二业务设备至少能通过NAT打洞技术进行互通。
比如说，第一NAT设备为Symmetric类型，第二NAT设备为Port Restricted Cone类型，Server可以将第一NAT设备的类型设为Port Restricted Cone；或者将第二NAT设备设为Full Cone类型。又比如，第一NAT设备为Symmetric类型，第二NAT设备也为Symmetric类型，Server可以同时将第一NAT设备和第二NAT设备类型设为Port Restricted Cone类型。Server重新调整NAT设备类型的时候，以尽可能降的安全级别比较小为原则。
设置NAT类型的报文可以是如表二的报文：

表二
Server发送如表二所示的设置NAT类型的报文给第一业务设备，该设置NAT类型的报文包括第二业务设备的公网IP地址和端口号，第一NAT设备所需设置的类型。该设置NAT类型的报文被第一NAT设备接收，第一NAT设备对该设置NAT类型的报文进行解析，并根据所需设置的类型设置自身的NAT类型。该新设置的NAT类型只对第二业务设备和第一业务设备交互的报文其起作用。比如说第一NAT设备类型被设置为了Port Restricted Cone类型，如果第二NAT设备是Port Restricted Cone类型的话，那么后续只要借助NAT打洞技术就能实现第一业务设备和第二业务设备的通信。具体可以按照如下方式实现：比如第二业务设备想要和第一业务设备进行通信，第二业务设备只需要向Server发送一个请求，请求Server命令该第一业务设备向第二业务设备方向打一个洞，这样第二业务设备就能访问第一业务设备了。具体地，第一业务设备发送目的IP地址和端口为第二业务设备的公网IP和端口，源IP地址和端口为第一业务设备的私网IP和端口的报文，该报文在经过设置为Port Restricted Cone类型第一NAT设备的时候，第一NAT设备将源IP地址和端口转换为第一业务设备的公网IP和端口，并在本地记录NAT表项。此时第二业务设备再向第一业务设备发送目的IP和端口为第一业务设备的公网IP和端口，源IP和端口为第二业务设备的私网IP和端口的报文时，由于第一NAT设备已经记录有对应的NAT表项(该条表项包括：第一业务设备的私网IP/端口、第一业务设备的公网IP/端口以及第二业务设备的公网IP/端口)，所以该Port Restricted Cone类型的第一NAT设备对第二业务设备发送给第一业务设备的报文进行NAT转换后发送给第一业务设备，至此第二业务设备就实现了对第一业务设备的访问。由于第二业务设备在给第一业务设备发送报文时，第二NAT设备上也记录了对应的NAT表项，所以第一业务设备发送给第二业务设备的报文也能被转发到第二业务设备。因此，第一业务设备和第二业务设备就实现了互通。
由于该新设置的NAT类型对第一业务设备和第二业务设备之间的会话起作用。对于其他业务设备和第一业务设备之间的通信，第一NAT设备还是按照原先的NAT类型进行处理，除非Server对于其他业务设备和第一业务设备的通信也发起NAT类型重设置的处理。这样就有限的放开了NAT设备的安全级别。
本发明方案，NAT设备是一个需要改进的设备，该NAT设备至少应该能够解析Server发送的NAT类型设置报文，并且根据待设置的类型调整NAT的类型。但是从网络兼容性的角度考虑，需要允许网络中存在一些未如本发明一样改进的NAT设备。所以在获取NAT类型的时候，还获取该NAT是否支持NAT类型设置。然后Server根据该信息，仅对支持NAT类型设置的NAT进行类型设置。比如说当两个NAT设备，一个是普通的NAT设备，一个是支持Session模式设置的NAT设备，则Server设置支持Session模式设置的NAT设备。另外，当两个NAT设备都是支持Session模式设置的设备，Server可以根据尽可能降的安全级别比较小为原则进行设置；或者如果给Server反馈的NAT设备类型报文中包含NAT设备的安全级别信息，则可以选择设置安全级别低的一侧的NAT设备；如果两个NAT设备的安全级别一样，则可以任选一个进行设置。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。