CN104408777A - 一种基于nat穿越实现p2p通信的互联网考勤管理系统和方法 - Google Patents

Abstract

一种基于NAT穿越实现P2P通信的互联网考勤管理系统，其包括：用于考勤终端的考勤机，所述的考勤机包括一业务逻辑处理器和一P2P通信服务器；WFM考勤服务器，所述的WFM考勤服务器用于计算统计企业员工的出勤信息和工时；地址注册服务器，包括：一NAT穿越服务器和一管理服务器。本发明的基于NAT穿越实现P2P通信的互联网考勤管理系统能够实现基于互联网的多端点，多地区的广域网和局域网的网络考勤系统。

Description

一种基于NAT穿越实现P2P通信的互联网考勤管理系统和方法

技术领域

本发明涉及互联网考勤技术领域，尤其涉及一种基于NAT穿越实现P2P通信的互联网考勤管理系统和方法。

背景技术

在现代企业管理中，考勤管理记录企业员工的打卡签到时间，收集员工的请假、加班、外出等数据，并根据考勤规则计算出员工每天的出勤记录，统计员工的工时记录，作为计算员工薪酬的基础。考勤管理不仅强化员工的日常行为规范，还是薪酬计算的数据来源，能有效提升整体员工的工作效率，是企业信息化建设不可或缺的步分。

同时，随着企业业务的扩展，分公司、办事处、连锁店等分支机构越来越多，企业急需能够集中管理各地分支机构的员工考勤。如何跨地域、跨网络进行考勤管理，集中统一管理分支机构的人员考勤数据，防止考勤作弊，及时、便捷、准确的统计考勤，降低公司考勤人员的工作负担，是摆在现代企业的信息化建设面前的一大难题。

为解决这一问题，必须构建一套能够跨域广域网，特别是互联网的网络考勤管理解决方案，包含一套考勤管理系统(WFM系统)和分布在各地分支机构的考勤机。考勤机和考勤管理系统之间通过网络互联，完成打卡签到时间的收集和考勤指令的下发。方案的关键点就是如何建立考勤机与考勤管理系统之间的双向连接。

现在的考勤机大多数只具备单机或者局域网功能，并不能跨越广域网。为了实现跨网络的考勤，业界出现了如下几种技术方案：

第一种，建立企业专用的VPN。考勤机和WFM系统之间通过VPN建立连接，与局域网通信一致。

第二种，基于HTTP协议的通信。考勤机充当浏览器的角色，向WFM系统(Web服务器)发起连接。

第三种，基于公网IP地址的通信。WFM系统配置公网IP，开放特定端口，考勤机作为客户端主动向WFM系统的公网IP地址发起连接。

上述的技术方案在网络通信上都有一定的缺陷，不能完善的解决考勤机与WFM系统跨网络双向互联的问题。

VPN属于远程访问技术，简单地说就是利用公用网络架设企业专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。让外地员工访问到企业内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路。当远程客户端开始一个VPN连接的请求的时候，VPN网关通过XAUTH(扩展验证)强行中断VPN协商的过程，并要求客户端必须输入合法的用户名的密码进行验证，网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法，如果在本地数据库找不到相对应的用户名，则将信息转发到RADIUS服务器进行校验，如果判断为合法，则继续VPN的协商过程并且在连结成功后为远程客户端分配IP地址，如果用户不合法，则中断VPN连接。

借用VPN通道，建立考勤机和WFM系统之间的连接，考勤机就可以向WFM系统发送数据，类似于外地员工借助VPN访问公司内步办公系统一样。

这种方式的缺陷是：对网络有要求，需要步署VPN服务器；无法实现网络双向通信；成本较高。

第二种，基于HTTP协议的通信方案：

基于HTTP协议的通信方案，公司的WFM系统作为Web服务在Internet上公开提供服务，考勤机通过HTTP协议发起对Web服务器的连接，并按照固定定义的格式向WFM系统发送请求和数据，就像浏览器访问普通网站一样。

HTTP协议“请求-响应”式协议，客户端(即浏览器端)主动向web服务器发起连接请求，Web服务器处理请求，返回响应。Web服务器无法主动发起到客户端的连接，所以基于HTTP协议实现通信的网络考勤管理方案，只能实现单向通信。

但是，这种方式的缺点是：直接开放Web服务，WFM系统安全性低。无法实现直接的网络双向通信，只能使用考勤机定时请求的方式去联系WFM系统。对考勤机的硬件资源(存储和芯片)有一定要求，考勤机必须要支持HTTP协议。

第三种，基于公网IP地址的通信方案

跟基于HTTP协议的通信方案类型，在Internet上步署WFM服务系统，公开WFM系统的公网IP地址和连接端口。考勤机向WFM系统的公网IP地址发起连接，建立socket连接，并向WFM系统发送考勤相关的数据。

考勤机和WFM系统之间一般是建立socket长连接，即socket连接会一直存在，WFM系统维护这些socket长连接池，并通过连接句柄可以连接到相应的考勤机，向考勤机下发指令。

但是，这种方案的缺点：直接开放公网IP和端口，WFM系统安全性低。长连接资源耗费很大，系统能够管理的考勤机数量有限。依赖与网络设备的配置，一般的网络设备都会屏蔽公共的端口，需要打开端口的访问。

发明内容

本发明要解决的技术问题是提供一种网络考勤系统，能够实现基于互联网的多端点，多地区的广域网和局域网的网络考勤系统。

为实现上述目的，本发明采用以下技术方案：一种基于NAT穿越实现P2P通信的互联网考勤管理系统，包括：

用于考勤终端的考勤机，所述的考勤机包括一业务逻辑处理器和一P2P通信服务器；

WFM考勤服务器，所述的WFM考勤服务器用于计算统计企业员工的出勤信息和工时；

NAT地址注册服务器，所述NAT地址注册服务器包括：一NAT穿越服务器和一管理服务器；

其中：所述的NAT穿越服务器构建在公网上，考勤机与WFM考勤服务器之间通过P2P通信传输，通过NAT地址注册服务器，考勤机和WFM考勤服务器共同构建P2P网络，其中，所述的考勤机和WFM考勤服务器通过NAT地址注册服务器完成地址注册、通信鉴权，获得对端的公网IP地址和Port，进行直接通信。

其中，所述的NAT地址注册服务器包含一NAT穿越服务器，一管理服务器；通过NAT地址注册服务器完成考勤机和WFM考勤服务器之间的地址注册、通信鉴权和地址路由操作。

其中，通过所述NAT地址注册服务器，考勤机和WFM考勤服务器之间可发起双向的P2P直接连接通信，考勤机可以主动发起到WFM考勤服务器的连接，上报考勤数据；WFM考勤服务器也可以发起到指定的考勤机，下发考勤机的管理命令。

一种基于NAT穿越实现P2P通信的互联网考勤管理方法，其包括如下步骤：

第一步，构建NAT地址注册服务器；

第二步，当考勤机和WFM考勤服务器入网时，向NAT地址注册服务器发起地址注册；

第三步，当考勤机或WFM考勤服务器有通信请求时，向NAT发起P2P通信鉴权；

第四步，验证是否通过判定，当验证不通过，则中断网络连接；当验证通过进入下一步；

第五步，当验证通过时，返回对外公网的IP地址和Port，考勤机和WFM考勤服务器进行P2P通信。

其中，所述的第三步，当考勤机或WFM考勤服务器有通信请求时，向NAT发起P2P通信鉴权，包括如下步骤；

第一步，考勤机或WFM考勤服务器解析NAT地址注册服务器域名；

第二步，考勤机或WFM考勤服务器向NAT地址注册服务器建立TCP连接，并发送Peer标识和密码，进行签权；

第三步，当考勤机向WFM考勤服务器发起通信请求时，由NAT地址注册服务器进行权限验证，并返回WFM系统注册的对外公网IP地址和Port端口。

其中，所述的第一步，构建NAT地址注册服务器包括如下步骤：

第一步，NAT地址注册服务器是否是IP地址，若是则进入第三步，否则进入第二步；

第二步，考勤机或WFM解析NAT地址注册服务器域名；

第三步，考勤机或WFM服务器与NAT地址注册服务器建立TCP连接；

第四步，考勤机或WFM服务器向地址注册服务器发送地址绑定请求报文；

第五步，NAT地址注册服务器接收到地址绑定请求报文，记录考勤机或WFM考勤服务器经过NAT转换后的公网IP和Port，并分配Peer标识；

第六步，NAT地址注册服务器返回注册成功到考勤机或WFM考勤服务器。

与现有技术相比，本发明的有益效果是：提供基于NAT穿越技术的P2P通信方式，能够实现在广域网范围内的多点考勤集中管理的需求，并且WFM考勤服务器可以反向直连分别在各地的考勤机，能够集中的管理和维护众多分布的考勤机；方案覆盖了单点考勤和多点考勤的情况，几乎能够满足在所有的网络类型上进行考勤管理的需求；统一的业务逻辑，P2P通信服务进程屏蔽了跨网络通信的低层网络的复杂性，上层的考勤机和WFM系统的业务在广域网、局域网、专用网等各种网络中能保持统一。

附图说明

图1为本发明一种基于NAT穿越实现P2P通信的互联网考勤管理系统的模块图；

图2为本发明一种基于NAT穿越实现P2P通信的互联网考勤管理方法的流程图；

图3为本发明一种基于NAT穿越实现P2P通信的互联网考勤管理方法的通信鉴权的流程图；

图4为本发明一种基于NAT穿越实现P2P通信的互联网考勤管理方法的建立NAT地址注册服务器的流程图。

具体实施方式

为了更充分理解本发明的技术内容，下面结合具体实施例对本发明的技术方案作进一步介绍和说明。

在详细介绍本发明的具体实施例之前，先介绍几个常用的专业名词：

WFM:workforce management.劳动力管理系统，也是考勤工时管理系统，是企业信息化的重要组成步分，主要计算统计企业员工的出勤信息和工时，快速合理的进行任务安排和排班调度。

P2P：Peer to Peer，点对点通信，计算机之间通过直接连接来交换共享资源和服务，采用P2P模式建立的网络通常称为对等网络。不同于C/S和B/S模式，在P2P网络环境中，彼此连接的计算机都处于对等的地位，整个网络一般来说不依赖专用的集中服务器。网络中的每一台计算机既能充当网络服务的请求者，又对其它计算机的请求做出响应，提供资源和服务。

NAT：Network Address Translation，网络地址转换。是将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。在RFC 1632中有对NAT的说明。

VPN：Virtual Private Network,虚拟专用网络。在公用网络上建立专用网络，进行加密通讯，在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

请参阅附图1，该种基于NAT穿越实现P2P通信的互联网考勤管理系统，其包括：一考勤终端考勤机1，考勤机1与WFM考勤服务器2通过公用的互联网系统3进行通信，还有一NAT地址注册服务器4部署在所述互联网系统3中，提供NAT穿越的公共服务。

其中，用于考勤终端的考勤机1，包括一业务逻辑处理器11和一P2P通信服务器12。

所述的WFM考勤服务器2，用于计算统计企业员工的出勤信息和工时。

互联网系统3，所述的互联网系统3用于提供公共的信息通信网络平台,即公网。

地址注册服务器4，所述地址注册服务器4包括：一NAT穿越服务器41和一管理服务器42，所述管理服务器通过Web方式可以访问配置和管理NAT穿越服务器。

其中，所述WFM考勤服务器2包括：一P2P通信服务器21，一考勤终端通信服务器22，一考勤数据解析引擎23，一考勤业务处理服务器24。其中所述的考勤终端通信服务器22，处理与考勤机的P2P通信连接，接收考勤机上传的考勤数据，或下发到指定考勤机的指令；所述的考勤数据解析引擎23，考勤业务处理服务器24，完成考勤数据和业务的后台处理以及前台查询，两个系统之间通过数据库共享数据；所述的考勤业务处理服务器24，提供Web访问的方式进行人机交互。

其中，所述的考勤机1的业务逻辑处理器11完成考勤机的业务逻辑处理。所述的考勤机1的P2P通信服务器12与WFM考勤服务器2的P2P通信服务器21通过互联网系统3实现NAT穿越的P2P通信互联，所述的地址注册服务器4完成NAT穿越的地址注册等功能，考勤机1和WFM考勤服务器2通过互联网系统3与地址注册服务器4进行网络地址NAT穿越的协议通信。

请参阅附图2，本实施例公开了考勤机和WFM考勤管理服务器基于NAT穿越实现P2P通信的方法，其包括如下步骤：

第一步S1，构建NAT地址注册服务器，在考勤机和WFM考勤服务器接入网络时，首先向NAT地址注册服务器发起地址注册。

第二步S2，当考勤机或WFM考勤服务器有通信请求时，向NAT地址注册服务器发起P2P链接鉴权。

第三步S3，验证链接鉴权是否通过。只有当验证通过时，才能进入后续步骤。

第四步S4，如果所述第三步S3鉴权通过，NAT地址注册服务器返回通信请求端的公网IP地址和Port，否则中断连接。

第五步S5，考勤机或考勤系统接收到NAT地址注册服务器返回的对端公网IP和Port，即可向对端基于UDP协议发送数据。

基于NAT穿越技术实现P2P通信的考勤管理方案，首先需要构建NAT地址注册服务器，集中管理P2P网络中所有Peer点，这里所说的Peer点包括考勤机1和WFM服务考勤系统，对外体现的公网IP地址和Port。考勤机1和WFM考勤服务系统2开始运行之前，首先向NAT地址注册服务器4发起地址注册，通过系统预先配置的Peer标识和密码完成鉴权认证，NAT的地址注册服务器4会保存通过认证的Peer的对外体现的公网IP地址和Port。

当考勤机1或WFM考勤服务系统2有通信需求的时候，向NAT地址注册服务器4发起询问对端Peer的公网IP地址和Port。NAT地址注册服务器4返回对端注册的IP地址和Port，考勤机1或WFM考勤服务系统2收到后直接向对端的IP地址和Port发起连接。在一次通信数据收发结束后，考勤机1或WFM考勤服务系统2中断跟对端Peer的socket连接。

更进一步的，其中，所述的P2P验证询问包括以下步骤：

第一步T1，首先，考勤机1或WFM考勤服务器2解析NAT服务器域名。

第二步T2，考勤机1或WFM考勤服务器2向地址注册服务器建立TCP连接，并发送Peer标识和密码，进行签权。

第三步T3，当考勤机1向WFM考勤服务器2发起通信请求时，由地址注册服务器4进行权限验证，并返回WFM系统注册的对外公网IP地址和Port端口。

第四步T4，权限验证通过时，考勤机1与WFM考勤服务器2进行一次P2P通信。

请参阅附图4，建立NAT地址注册服务器的过程包括如下步骤：

其中，所述的第一步，构建NAT地址注册服务器包括如下步骤：

第一步P1，NAT地址注册服务器是否是IP地址，若是则进入第三步P3，否则进入第二步P2；

第二步P2，考勤机或WFM解析NAT地址注册服务器域名；

第三步P3，考勤机或WFM服务器与NAT地址注册服务器建立TCP连接；

第四步P4，考勤机或WFM服务器向地址注册服务器发送地址绑定请求报文；

第五步P5，NAT地址注册服务器接收到地址绑定请求报文，记录考勤机或WFM考勤服务器经过NAT转换后的公网IP和Port，并分配Peer标识；

第六步P6，NAT地址注册服务器返回注册成功到考勤机或WFM考勤服务器。

更具体的，考勤机1首先解析NAT穿越服务器的域名，也即是地址注册服务器4的域名。如果考勤机1上直接配置的是地址注册服务器的IP地址，则不需要解析域名。然后，考勤机1向地址注册服务器建立TCP连接，并发送Peer标识和密码，由地址注册服务器完成鉴权。当通过鉴权的考勤机1注册请求，地址注册服务器4将保存考勤机1注册上报上来的对外公网的IP地址和Port端口。并向考勤机返回地址注册成功，断开和考勤机的TCP连接。

其中，所述的WFM考勤服务系统2的地址注册过程跟考勤机一致，同上文所述，再次不予赘述。

当考勤机1需要向WFM考勤服务系统2发起通信时，首先向地址注册服务器4发起请求，由地址注册服务器4判断考勤机1是否有权限向WFM考勤服务2系统发起通信。如果有权限，则返回WFM考勤服务器系统注册的对外公网IP地址和Port端口。

当考勤机1直接向WFM考勤服务器系统的公网IP和Port端口发起P2P通信，基于UDP协议实现NAT穿越，向WFM考勤服务器系统发送数据。

其中，需要特别指出的是，当考勤1机直接与WFM考勤服务器2的公网IP地址和Port端口进行通信时，不进行所述的第一步操作。由于考勤机1与WFM考勤服务器2之间已经预先建立了唯一的通信协议。

在传统的集中式网络中，Client/Server、Browser/Server和Slave/Master等通信模式，都是一台服务器(集群)对外提供服务，所有客户端都依赖服务器进行与服务端的通信或者其他客户端的通信。

传统的C/S、B/S通信方式，以应用系统为中心，数据都从客户端发送到服务端中进行处理，服务端承受的压力非常大，很容易因为线程问题而宕机。于是提出另一种通信方式：P2P通信(peer to peer)点对点对等通信。在P2P的网络中，所有网络节点都是同等地位，没有服务端和客户端之分，一个节点即是服务端也是客户端。例如BT下载工具，在下载的同时，也为其他节点提供下载资源。P2P通信模式，各个Peer(客户端或服务器)之间可以进行直接的通信，不需要经过服务端的中转，从而提高网络传输速度和减小服务器压力。Peer通信之前，必须知晓对端Peer的公网IP和端口port。可以通过一台拥有公网IP的节点来记录在线Peer的公网IP地址和端口Port，所有Peer可以通过该节点读取接受对端Peer的IP和Port。P2P通信的数据包必须能够穿透私有网络，利用NAT穿透技术可以实现。NAT穿透技术原理主要有UDP打洞和中转两种，相应的RFC技术标准定义有：

RFC 3489：Simple Traversal of UDP Through NAT(简称STUN)

RFC5389：Session Traversal Utilities for NAT(简称STUN，是RFC3489的升级版)

RFC5766：Traversal Using Relays around NAT:Relay Extensions toSession Traversal Utilities for NAT(简称TURN)

RFC 5245：Interactive Connectivity Establishment:A Protocol forNetwork Address Translator(NAT)Traversal for Offer/Answer Protocols(简称ICE)

其中，所述NAT穿越的UDP打洞和中转两种方式同样适用于本发明的互联网考勤系统中。

以上所述仅以实施例来进一步说明本发明的技术内容，以便于读者更容易理解，但不代表本发明的实施方式仅限于此，任何依本发明所做的技术延伸或再创造，均受本发明的保护。

Claims (6)

1.一种基于NAT穿越实现P2P通信的互联网考勤管理系统，包括：

用于考勤终端的考勤机，所述的考勤机包括一业务逻辑处理器和一P2P通信服务器；

WFM考勤服务器，所述的WFM考勤服务器用于计算统计企业员工的出勤信息和工时；

NAT地址注册服务器，所述NAT地址注册服务器包括：一NAT穿越服务器和一管理服务器；

其特征在于：所述的NAT穿越服务器构建在公网上，考勤机与WFM考勤服务器之间通过P2P通信传输，通过NAT地址注册服务器，考勤机和WFM考勤服务器共同构建P2P网络，并且，所述的考勤机和WFM考勤服务器通过NAT地址注册服务器完成地址注册、通信鉴权，获得对端的公网IP地址和Port，进行直接通信。

2.根据权利要求1所述的基于NAT穿越实现P2P通信的互联网考勤管理系统，其特征在于，所述的NAT地址注册服务器包含的NAT穿越服务器，管理服务器；通过NAT地址注册服务器完成考勤机和WFM考勤服务器之间的地址注册、通信鉴权和地址路由操作。

3.根据权力要求1所述的基于NAT穿越实现P2P通信的互联网考勤管理系统，其特征在于，通过所述NAT地址注册服务器，考勤机和WFM考勤服务器之间可发起双向的P2P直接连接通信，考勤机可以主动发起到WFM考勤服务器的连接，上报考勤数据；WFM考勤服务器也可以发起到指定的考勤机，下发考勤机的管理命令。

4.一种基于NAT穿越实现P2P通信的互联网考勤管理方法，其特征在于，包括如下步骤：

第一步，构建NAT地址注册服务器；

第二步，当考勤机和WFM考勤服务器入网时，向NAT地址注册服务器发起地址注册；

第三步，当考勤机或WFM考勤服务器有通信请求时，向NAT发起P2P通信鉴权；

第四步，验证是否通过判定，当验证不通过，则中断网络连接；当验证通过进入下一步；

第五步，当验证通过时，返回对外公网的IP地址和Port，考勤机和WFM考勤服务器进行P2P通信。

5.如权利要求4所述一种基于NAT穿越实现P2P通信的互联网考勤管理方法，其特征在于，所述的第三步，当考勤机或WFM考勤服务器有通信请求时，向NAT发起P2P通信鉴权，包括如下步骤；

第一步，考勤机或WFM考勤服务器解析NAT地址注册服务器域名；

第二步，考勤机或WFM考勤服务器向NAT地址注册服务器建立TCP连接，并发送Peer标识和密码，进行签权；

第三步，当考勤机向WFM考勤服务器发起通信请求时，由NAT地址注册服务器进行权限验证，并返回WFM系统注册的对外公网IP地址和Port端口。

6.如权利要求4所述的一种基于NAT穿越实现P2P通信的互联网考勤管理方法，其特征在于，所述的第一步，构建NAT地址注册服务器包括如下步骤：

第一步，NAT地址注册服务器是否是IP地址，若是则进入第三步，否则进入第二步；

第二步，考勤机或WFM解析NAT地址注册服务器域名；

第三步，考勤机或WFM服务器与NAT地址注册服务器建立TCP连接；

第四步，考勤机或WFM服务器向地址注册服务器发送地址绑定请求报文；

第五步，NAT地址注册服务器接收到地址绑定请求报文，记录考勤机或WFM考勤服务器经过NAT转换后的公网IP和Port，并分配Peer标识；

第六步，NAT地址注册服务器返回注册成功到考勤机或WFM考勤服务器。