CN105530310B - 适合公私网流量转发的设备连接方法及装置 - Google Patents
适合公私网流量转发的设备连接方法及装置 Download PDFInfo
- Publication number
- CN105530310B CN105530310B CN201510976973.3A CN201510976973A CN105530310B CN 105530310 B CN105530310 B CN 105530310B CN 201510976973 A CN201510976973 A CN 201510976973A CN 105530310 B CN105530310 B CN 105530310B
- Authority
- CN
- China
- Prior art keywords
- client
- monitoring device
- connection
- port
- private network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种适合公私网流量转发的设备连接方法,应用于视频监控系统,视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备,包括:网站服务器接收客户端和处于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;客户端利用交换所得的连接信息发起连接;网站服务器判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备;监控设备根据端口打开指令打开私网到公网的端口,使客户端与监控设备建立连接。本发明还公开了对应方法的装置,利用本发明,提高了私网的安全性。
Description
技术领域
本发明涉及监控网络领域,尤其涉及适合公私网流量转发的设备连接方法及装置。
背景技术
NAT(Network Address Translation,网络地址转换)设备将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络(即内网或私网)访问公共网络(即公网)的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。
在组网过程中,NAT设备实现内网到公网之间的连接和转换。处于内网中的设备与公网中的其他设备之间通过NAT设备进行数据传输。
以视频监控系统为例,随着网络视频监控的发展,以民用视频监控为代表的广域网视频监控需求日益增加。在广域网视频监控系统中,处于内网中的监控设备一般通过作为NAT设备的SOHO路由器接入作为公网的运营商网络,用户希望可以随时随地通过客户端访问监控设备,客户端作为客户端要通过NAT设备所开放的内网到公网的端口连接到作为监控设备的监控设备。
图1是目前最常见的一种广域视频监控组网:由NAT设备实现内网的监控设备与公网之间的数据传输,监控设备的厂商在公网布置网站服务器并通过NAT设备对内网中的设备进行管理,网站服务器一般为DDNS(Dynamic Domain Name Server,动态域名服务)服务器。用户在家中布置1台NVR和多台IPC,用户外出时通过客户端远程管理NVR和IPC。其中虚线框表示所在私网,虚线框与网络(INTENET)之间通过NAT设备连接。
目前业界的实现,为了使得监控网络内部的设备能够被外网其它客户端访问,需要在监控设备所连接的路由器上开放端口映射或者设置DMZ(Demilitarized Zone,隔离区)这样的功能,以便外网的设备能通过这个打开的端口映射/DMZ来访问里面的NVR/IPC等设备。
在现有的方案实现里,需要在监控设备所连接的NAT设备上开设端口映射或者采用DMZ这样的功能,以便外面的设备能通过这个打开的端口映射或DMZ来访问里面的NVR/IPC等设备。如图2所示,NAT设备上如果开放端口映射或者DMZ,就会存在被扫描或恶意攻击的安全风险。
因此现有技术的问题在于,私网连接到公网的端口持续开放,易受到来自公网的攻击,具有安全风险。
发明内容
为解决现有技术存在的问题,本发明提供了适用于公私网流量转发的方法,使得内网连接到公网的端口在不必要的情况下保持关闭,以提高安全性,减少来自公网攻击的安全风险。
一种适合公私网流量转发的设备连接方法,应用于视频监控系统,所述视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备,包括:
网站服务器接收客户端和位于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;
客户端利用交换所得的连接信息向监控设备发起连接;
网站服务器判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备;
监控设备根据端口打开指令打开私网到公网的端口,使客户端与监控设备建立连接。
本发明的方法在客户端与监控设备处于同一私网中的情况下私网连接到公网的端口不需要打开,并且连接所需的连接信息通过网站服务器来交换传递,也避免了端口的打开。这种设备连接的方法使得端口减少了端口打开的时间,从而减少了来自公网的恶意扫描或攻击的安全风险。其中,为了保证安全性,在通过打开私网到公网的端口来建立客户端与监控设备之间的连接后,如果客户端停止通过连接进行业务数据的收发,则由网站服务器发送通知消息给监控设备,断开监控设备与客户端之间的连接。
进一步而言,还包括:
在监控设备打开私网到公网端口并与客户端建立连接后,网站服务器向监控设备发送端口关闭指令;
监控设备根据接收到的端口关闭指令关闭私网到公网的端口并维持与客户端之间的连接。
为了进一步提高安全性,即使监控设备与连接设备处于不同私网中因而需要打开端口来建立连接时,私网连接到公网的端口打开也是暂时的,大多数情况下端口处于关闭状态。使得端口打开的时间大大减少,从而进一步避免了来自公网的安全风险。
进一步而言,还包括:
网站服务器判断客户端是否停止通过所建立的连接进行业务数据的收发,若是,则向监控设备发送连接停止指令;
监控设备根据接收到的连接停止指令,停止与客户端之间的连接维持。
监控设备与客户端之间的连接维持开始以及停止时机均由网站服务器触发,因此不需要打开NAT设备的端口来进行。当客户端停止与监控设备收发业务数据时,客户端向网站服务器发送停止业务的消息,网站服务器接收到停止业务的消息后发送停止维持的消息给监控设备,以停止连接的维持。
进一步而言,所述监控设备通过向客户端周期性发送保活报文来维持与客户端之间的连接。
监控设备通过使能UPnP(Universal Plug and Play,通用即插即用)功能来开启私网到公网的端口,并在连接完成时去使能UPnP来关闭对应的端口,NAT设备上的NATSESSION会随时间的推移而老化,导致连接断开,例如老化时间为30秒,则在30秒后会连接中断。为维持连接,监控设备需要周期性向客户端发送保活报文来维持这一连接,其中报文格式根据之前发送的TCP或UDP格式的报文格式确定,报文的内容可以为空。
进一步而言,网站服务器在客户端与监控设备两者之间交换双方的连接信息的过程为,分别建立与客户端及与监控设备之间的会话,利用向客户端发送会话协商成功消息中携带监控设备的连接信息以及向监控设备发送会话协商成功消息中携带客户端的连接信息,来交换双方的连接信息,其中连接信息包括:公网IP地址、在私网中的IP地址以及端口号。
监控设备在获取客户端的连接信息后,通过使能UPnP(通用即插即用)功能来开启私网到公网的端口,并在连接完成时去使能UPnP来关闭对应的端口。网站服务器通过建立会话来获取客户端以及监控设备进行业务数据收发流的端口用于后续建立连接后进行业务数据的收发,且可以利用会话协商成功的消息进行连接信息的交换,在向客户端与监控设备发送协商成功后的SDP媒体参数中包含需要发送的连接信息,具体为,向客户端发送的SDP媒体参数中包含监控设备的连接信息,向监控设备发送的SDP媒体参数中包含客户端的连接信息。
其中,监控设备以及客户端向网站服务器发送的连接信息可以在向网站服务器发送的注册报文的荷载中携带,其中,注册报文在经过NAT设备时,源IP地址会变为公网IP地址,因此在注册报文的荷载中包含监控设备的私网IP地址,从而网站服务器能够获取实际的私网IP地址。连接信息中所包含的端口号为私网连接到公网的端口号,在后续需要时打开。
本发明还提供了对应于所实施方法的装置,在监控设备上实施本发明方法。
一种适合公私网流量转发的设备连接装置,应用于视频监控系统中连接公私网的网站服务器,所述视频监控系统还包括客户端和位于私网的监控设备,包括:
连接信息交换单元,用于接收客户端和位于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;
私网端口控制单元,用于在客户端利用交换所得的连接信息向监控设备发起连接后,判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备,以使得监控设备在接收到端口打开指令后打开私网到公网的端口,使客户端与监控设备连接。
在客户端与监控设备处于同一私网中的情况下,私网连接到公网的端口不需要打开,并且连接所需的连接信息通过网站服务器来交换传递,也避免了端口的打开。这种设备连接的方法使得端口减少了端口打开的时间,从而减少了来自公网的恶意扫描或攻击的安全风险。其中,为了保证安全性,在通过打开私网到公网的端口来建立客户端与监控设备之间的连接后,如果客户端停止通过连接进行业务数据的收发,可以由网站服务器发送通知消息给监控设备,断开监控设备与客户端之间的连接。
进一步而言,所述私网端口控制单元还用于在监控设备打开私网到公网端口并与客户端建立连接后,向监控设备发送端口关闭指令,以使得监控设备在接收到端口关闭指令后关闭私网到公网的端口,并维持与客户端之间的连接。
为了进一步提高安全性,即使监控设备与连接设备处于不同私网因而需要打开端口来建立连接时,私网连接到公网的端口打开也是暂时的,连接后马上进行端口的关闭,使得大多数情况下端口处于关闭状态。使得端口打开的时间大大减少,从而进一步避免了来自公网的安全风险。
进一步而言,还包括:
连接维持控制单元,用于判断客户端是否停止通过所建立的连接进行业务数据的收发,若是,则向监控设备发送连接停止指令,以使得监控设备停止与客户端之间的连接维持。
监控设备与客户端之间的连接维持开始以及停止时机均由网站服务器触发,因此不需要打开NAT设备的端口来进行。当客户端停止与监控设备收发业务数据时,客户端向网站服务器发送停止业务的消息,网站服务器接收到停止业务的消息后发送停止维持的消息给监控设备,以停止连接的维持。
进一步而言,所述监控设备通过向客户端周期性发送保活报文来维持与客户端之间的连接。
监控设备通过使能UPnP(Universal Plug and Play,通用即插即用)功能来开启私网到公网的端口,并在连接完成时去使能UPnP来关闭对应的端口,NAT设备上的NATSESSION会随时间的推移而老化,导致连接断开,例如老化时间为30秒,则在30秒后会连接中断。为维持连接,监控设备需要周期性向客户端发送UDP报文或TCP报文来维持这一连接,其中报文格式根据先前发送的报文的内容可以为空。
进一步而言,所述连接信息交换单元在客户端与监控设备两者之间交换双方的连接信息的过程为,分别建立与客户端及与监控设备之间的会话,利用向客户端发送会话协商成功消息中携带监控设备的连接信息以及向监控设备发送会话协商成功消息中携带客户端的连接信息,来交换双方的连接信息,其中连接信息包括:公网IP地址、在私网中的IP地址以及端口号。
监控设备在获取客户端的连接信息后,通过使能UPnP(通用即插即用)功能来开启私网到公网的端口,并在连接完成时去使能UPnP来关闭对应的端口。网站服务器通过建立会话来获取客户端以及监控设备进行业务数据收发流的端口用于后续建立连接后进行业务数据的收发,且可以利用会话协商成功的消息进行连接信息的交换,在向客户端与监控设备发送协商成功后的SDP媒体参数中包含需要发送的连接信息,具体为,向客户端发送的SDP媒体参数中包含监控设备的连接信息,向监控设备发送的SDP媒体参数中包含客户端的连接信息。
其中,监控设备以及客户端向网站服务器发送的连接信息可以在向网站服务器发送的注册报文的荷载中携带,其中,注册报文在经过NAT设备时,源IP地址会变为公网IP地址,因此在注册报文的荷载中包含监控设备的私网IP地址,从而网站服务器能够获取实际的私网IP地址。
本发明的主要优点在于,处于同一私网中的设备连接不打开私网端口,且即使打开后也会迅速关闭,用监控设备来维持连接,使得端口的打开时间十分短暂,从而大大减少了来自公网的恶意扫描或攻击的安全风险。
附图说明
图1为现有技术广域视频监控组网的示意图;
图2为现有技术客户端与监控设备之间的交互示意图;
图3为本发明一个实施例的广域视频监控组网的示意图;
图4为当前实施例防止老化的报文发送过程示意图;
图5为当前实施例监控设备与客户端建立会话协商的过程示意图;
图6为当前实施例客户端与监控设备连接成功状态示意图;
图7为当前实施例客户端与监控设备连接失败情况下通知连接设备使能UPnP的流程示意图;
图8为当前实施例网站服务器通知监控设备去使能UPnP的流程示意图。
具体实施方式
本发明方案的核心思想是:在有需要的时候打开端口映射,使用完后立即关闭端口映射,在不影响业务交互的前提下,尽可能地保护网络安全,不被攻击。为使本发明更加详细明了,参考附图及实施例对本发明进行进一步的阐释说明。
其中本发明的实施例实施于视频监控系统中,但其他领域的组网也可以采用本发明的方式进行组网,以实现公私网间的设备连接。
本发明实施例中,上述方法应用于视频监控系统中的连接公私网的网站服务器、客户端及位于私网的监控设备中。其中连接公私网的网站服务器可以是DDNS服务器,监控设备可以是NVR、IPC等,客户端可以是手机、平板或PC客户端等。其中当前实施例监控设备具体以NVR为例,客户端为手机,用于向监控设备获取监控业务数据,网站服务器为DDNS服务器。
本发明第一实施例的方法所实施的组网参考图3,具体包括如下步骤:
步骤一,监控设备以及客户端向网站服务器发送连接信息。
其中,连接信息包含在注册报文中,连接信息包括客户端和监控设备各自的公网IP地址、私网IP地址以及私网连接到公网的端口号。步骤一包括两个部分,一个是监控设备向网站服务器发送注册报文,另一个是客户端向网站服务器发送注册报文,具体为:
(1)由监控设备向网站服务器发送注册报文,其中在注册报文的荷载中包含监控设备的连接信息。
当前实施例中监控设备以NVR为例进行举例说明。参考图3,监控设备启动后向网站服务器发送注册报文。该注册报文的源地址是IP1,目的地址是网站服务器的IP地址IP3,注册报文内部携带监控设备的连接信息,包括在私网内的IP地址IP1、公网IP地址IP3、端口号以及设备ID,其中报文荷载携带的IP地址是监控设备的真实IP地址。由于网站服务器具有公网IP地址,在监控设备所发送的注册报文处于NAT设备后,监控设备还是可以主动向网站服务器发起连接。该注册报文经过NAT设备时,注册报文的源IP地址变为NAT设备的公网地址IP2,目的IP地址不变依旧是IP3,报文内部携带的信息也不会更改。此注册报文到达网站服务器后,网站服务器提取此注册报文IP头部的IP地址信息即IP2以及注册报文里携带的信息,建立如表1所示的表项:
表1
| 设备类型 | 设备ID | 设备IP | 设备公网IP | 端口号 |
| 监控设备 | 监控设备_JACK | IP1 | IP2 | 56320 |
(2)客户端向网站服务器发送注册报文。
客户端需要查看某一路摄像机的视频监控(可以为视频实况业务和/或录像回放业务和/或语音业务)时,需要先登录到网站服务器。登录的过程也是一个注册的过程,需要发送注册报文,同样注册报文包含客户端的连接信息,连接信息包括:在私网内的IP地址IP4、公网IP地址IP5、端口号以及设备ID。IP4及IP5所示IP地址的位置如图4所示。在网站服务器上也会建立一个表项,如表2所示:
表2
| 设备类型 | 设备ID | 设备IP | 设备公网IP | 端口号 |
| 客户端 | Lily_pc | IP4 | IP5 | 50020 |
通过上述的注册操作,网站服务器就有了监控设备以及客户端的相关信息。由于连接所需的连接信息发送到网站服务器,由网站服务器在后续过程中交换传递,因此避免了私网到公网端口的打开,提高了私网的安全性。
步骤二,网站服务器在监控设备与客户端两者之间交换双方的连接信息。
在当前实施例中,网站服务器可以通过会话初始化协议(SIP)分别建立与客户端的会话连接以及与监控设备的会话连接,并通过向客户端和监控设备发送含有SDP参数的信令来交换客户端与监控设备双方的连接信息。连接信息也可以通过其他协议形式的信令来实现交换。
在第一实施例中,客户端通过步骤一登录到网站服务器后,按照SIP的标准流程,客户端与监控设备通过网站服务器建立会话连接,具体过程如图5所示,网站服务器先向客户端发起呼叫(即图5中发送INVITE消息),在客户端返回200OK响应(即图5中发送200OKfor invite)后,网站服务器接着向监控设备发起呼叫,在监控设备也返回200OK响应后,说明监控设备与客户端会话连接协商成功,由网站服务器分别向监控设备及客户端发送含有SDP参数的ACK消息进行最终的会话建立确认。通过这一会话连接建立,来打开客户端接收流的端口以及监控设备发送流的端口,后续在建立连接后客户端接收流的端口与监控设备发送流的端口之间用于业务数据的收发。在其他实现方式中,可以采用私有协议或其他标准协议(例如HTTP、ONVIF协议等等)建立会话。
网站服务器在通过报文告知监控设备与客户端协商成功后的SDP媒体参数时,该报文里携带有相关的IP和端口信息,具体而言,网站服务器发给监控设备的SIP的ACK消息里,携带有客户端的IP地址和端口信息,这些IP地址和端口信息包括客户端的真实IP地址(即监控设备中在私网中的IP地址)IP4,客户端的公网IP地址即IP5,客户端的NAT设备端口号;同理,网站服务器发给客户端的SIP的ACK消息里,携带有监控设备的IP地址信息和端口信息,这些IP地址信息和端口信息包括监控设备所在的私网IP地址即IP1,监控设备的公网IP地址即IP2,监控设备所在私网的端口号。
步骤三,客户端根据收到的连接信息向监控设备发起连接以进行视频的查看,网站服务器根据发起连接的结果判断是否连接成功,并根据判断结果进行相应的处理。
客户端已经获知监控设备的实际IP地址,公网IP地址和所在私网的端口号,接着尝试向监控设备的真实IP地址发起连接,发起连接有两种结果:
连接成功。如果监控设备与客户端恰好在同一个内网里,监控设备与客户端之间通过自己真实的IP地址(即在私网中的IP地址)彼此之间可达,如图6所示。
连接失败。如图7所示,其中虚线箭头所示为消息发送方向,标号①②③④为发送顺序。如果监控设备与客户端恰不在同一个NAT设备内,视频客户端去连接监控设备时连接不成功。这时客户端需要发送信令消息给网站服务器,告知网站服务器此时无法与监控设备的真实IP地址建立连接。网站服务器收到客户端上报的信息后,发送信令报文(端口打开指令)给监控设备,监控设备根据端口打开指令使能UPnP功能,通知NAT设备打开端口号对应的端口。通过UPnP协议交互后,NAT设备会根据端口号进行端口映射以打开相应的端口,过程如下:
NAT设备打开相应的端口后,客户端向监控设备的公网IP地址即IP2发起连接,此时可以完成连接的建立。
步骤四,网站服务器在业务建立后发送端口关闭指令,由监控设备去使能监控设备的UPnP功能,关闭私网到公网的端口。
由于只有在客户端与监控设备处于不同的私网中情况下私网才会打开到公网的端口,并且一旦建立了连接以后就关闭端口,因此这种连接方式使端口打开时间十分短暂,在几率上大大减少了私网被攻击的风险。
截止到上面的步骤三,视频监控业务都能正常建立。客户端再发信令报文给网站服务器,告知网站服务器视频监控业务已经建立成功。如图8所示,网站服务器收到客户端上报的信息后,进一步发送信令报文给监控设备,指示监控设备去使能UPnP功能,以关闭私网连接到公网的端口。NAT设备与监控设备之间无UPnP报文交互后,NAT设备上的端口映射表项就会关闭。其中图8中箭头所示为消息发送方向,标号①②③④为发送顺序。
此时为了进一步确保已经建立起来的监控业务不受影响,需要监控设备周期性地向客户端发送保活报文以确保NAT设备上的NAT SESSION不被老化。监控设备发送保活报文的特征如下:
目的IP是IP5,源IP地址是IP1,目的端口和源端口分别是之前UPnP交互映射成功后的端口,具体发TCP报文或UDP也是由之前UPnP交互映射的是TCP还是UDP来决定,保活报文的承载内容可以为空。发送此保活报文的时间间隔可以由管理员指定。
需要强调的是:监控设备不是一直都在发送此保活报文。前面已经阐述了监控设备发送保活报文的发送时机。停止时机也由网站服务器来触发主导,即当客户端停止视频监控业务(即停止收发业务数据)时,网站服务器会及时向监控设备发送通知消息,当监控设备收到网站发送过来的通知消息后,就立即停止发送保活报文。
本发明的第二实施例包括:
步骤一,监控设备以及客户端向网站服务器发送连接信息。
其中监控设备及客户端可以通过与第一实施例相同的方法发送连接信息,当前实施例中,则采用直接将连接信息通过报文发送服务器的方式。连接信息包括:自身在私网内的IP地址、自身的公网IP地址、所在私网的NAT设备端口号以及自身的设备ID。
步骤二,网站服务器在监控设备与客户端两者之间交换双方的连接信息。
网站服务器通过报文方式,将接收到的监控设备连接信息发送到客户端,并将客户端的连接信息发送至监控设备以完成双方连接信息的交换。在第一实施例中,这种交换采用了建立会话连接的方式,并在会话连接建立成功的情况下发送连接信息,获取客户端以及监控设备进行业务数据收发流的端口用于后续建立连接后进行业务数据的收发。第二实施例可以直接进行两者的连接信息交换,而不需要通过会话连接的方式,与第一实施例的这一步骤相比较而言会更加快速。
步骤三,客户端根据收到的连接信息向监控设备发起连接以进行视频的查看,网站服务器根据发起连接的结果判断是否连接成功,并根据判断结果进行相应的处理。
步骤三与第一实施例相同,在连接成功的情况下保持端口关闭,并在连接失败的情况下使能监控设备的UPnP功能,以建立连接。
步骤四,网站服务器在业务建立后保持端口打开,在业务停止时发送端口关闭指令,由监控设备去使能监控设备的UPnP功能,关闭私网到公网的端口。
当前实施例中,在判断出连接失败的情况下将私网到公网的端口打开之后,可保持端口打开的状态以保持客户端与监控设备之间的连接。客户端停止收发视频业务数据时,由网站服务器向监控设备发送端口关闭指令,则监控设备会根据收到的端口关闭指令关闭端口,从而断开监控设备与客户端之间的连接。这种方式在连接上比较稳定,不需要监控设备周期性发送保活报文,因此减少监控设备的性能消耗。这样与现有技术相比,在端口打开的时间上仍然得到了很大的降低,但仍存在被攻击的风险。因此如果从安全角度来看,较佳而言,可以采用第一实施例中步骤四的方法,使得端口打开的时间大大减少,以更进一步地降低被攻击的风险,提高安全性。
其中本发明第一实施例及第二实施例的方法均可以参考图3的组网,采用设备连接系统进行,设备连接系统包括网站服务器、客户端以及监控设备,而网站服务器中包括本发明的设备连接装置,包括:连接信息交换单元、连接维持控制单元、私网端口控制单元;对应地,监控设备包括私网端口处理单元,客户端包括连接单元。
其中连接信息交换单元用于接收客户端和位于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;私网端口控制单元用于在客户端的连接单元利用交换所得的连接信息向监控设备发起连接后,判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备。
在第一实施例中,私网端口控制单元还用于在监控设备打开私网到公网端口并与客户端建立连接后,向监控设备发送端口关闭指令。并且,在第一实施例中,网站服务器的连接维持控制单元用于判断客户端是否停止通过所建立的连接进行业务数据的收发:若是,则向监控设备发送连接停止指令,以使得监控设备停止与客户端之间的连接维持。
对应地,在第一实施例中,监控设备的私网端口处理单元在接收到端口打开指令后打开私网到公网的端口,使客户端与监控设备连接;私网端口处理单元在接收到端口关闭指令后关闭私网到公网的端口,并通过发送保活报文维持与客户端之间的连接。
在第二实施例中,连接维持控制单元用于:在私网端口控制单元将私网连接到公网的端口打开之后,保持端口处于打开状态以维持客户端与监控设备之间的连接,并在客户端停止收发业务数据后,发送端口关闭指令给监控设备。
对应地,在第二实施例中,监控设备的私网端口处理单元在接收到端口打开指令后打开私网到公网的端口,使客户端与监控设备连接;私网端口处理单元在接收到端口关闭指令后关闭私网到公网的端口,停止与客户端之间的连接。
本发明的主要优点在于,处于同一私网中的设备连接不打开私网端口,且即使打开后也会迅速关闭,用监控设备来维持连接,使得端口的打开时间十分短暂,从而大大减少了来自公网的恶意扫描或攻击的安全风险。
Claims (8)
1.一种适合公私网流量转发的设备连接方法,应用于视频监控系统,所述视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备,其特征在于,包括:
网站服务器接收客户端和位于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;
客户端利用交换所得的连接信息向监控设备发起连接;
网站服务器判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备,
监控设备根据端口打开指令打开私网到公网的端口,使客户端与监控设备建立连接;
在监控设备打开私网到公网端口并与客户端建立连接后,网站服务器向监控设备发送端口关闭指令;
监控设备根据接收到的端口关闭指令关闭私网到公网的端口并维持与客户端之间的连接。
2.如权利要求1所述适合公私网流量转发的设备连接方法,其特征在于,还包括:网站服务器判断客户端是否停止通过所建立的连接进行业务数据的收发,若是,则向监控设备发送连接停止指令;
监控设备根据接收到的连接停止指令,停止与客户端之间的连接维持。
3.如权利要求1所述适合公私网流量转发的设备连接方法,其特征在于,所述监控设备通过向客户端周期性发送保活报文来维持与客户端之间的连接。
4.如权利要求1所述适合公私网流量转发的设备连接方法,其特征在于,网站服务器在客户端与监控设备两者之间交换双方的连接信息的过程为,分别建立与客户端及与监控设备之间的会话,利用向客户端发送会话协商成功消息中携带监控设备的连接信息以及向监控设备发送会话协商成功消息中携带客户端的连接信息,来交换双方的连接信息,其中连接信息包括:公网IP地址、在私网中的IP地址以及端口号。
5.一种适合公私网流量转发的设备连接装置,应用于视频监控系统中连接公私网的网站服务器,所述视频监控系统还包括客户端和位于私网的监控设备,其特征在于,包括:
连接信息交换单元,用于接收客户端和位于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;
私网端口控制单元,用于在客户端利用交换所得的连接信息向监控设备发起连接后,
判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备,以使得监控设备在接收到端口打开指令后打开私网到公网的端口,使客户端与监控设备连接;
所述私网端口控制单元还用于在监控设备打开私网到公网端口并与客户端建立连接后,向监控设备发送端口关闭指令,以使得监控设备在接收到端口关闭指令后关闭私网到公网的端口,并维持与客户端之间的连接。
6.如权利要求5所述适合公私网流量转发的设备连接装置,其特征在于,还包括:连接维持控制单元,用于判断客户端是否停止通过所建立的连接进行业务数据的收发,若是,则向监控设备发送连接停止指令,以使得监控设备停止与客户端之间的连接维持。
7.如权利要求6所述适合公私网流量转发的设备连接装置,其特征在于,所述监控设备通过向客户端周期性发送保活报文来维持与客户端之间的连接。
8.如权利要求5所述适合公私网流量转发的设备连接装置,其特征在于,所述连接信息交换单元在客户端与监控设备两者之间交换双方的连接信息的过程为,分别建立与客户端及与监控设备之间的会话,利用向客户端发送会话协商成功消息中携带监控设备的连接信息以及向监控设备发送会话协商成功消息中携带客户端的连接信息,来交换双方的连接信息,其中连接信息包括:公网IP地址、在私网中的IP地址以及端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510976973.3A CN105530310B (zh) | 2015-12-22 | 2015-12-22 | 适合公私网流量转发的设备连接方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510976973.3A CN105530310B (zh) | 2015-12-22 | 2015-12-22 | 适合公私网流量转发的设备连接方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105530310A CN105530310A (zh) | 2016-04-27 |
| CN105530310B true CN105530310B (zh) | 2019-03-08 |
Family
ID=55772286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510976973.3A Active CN105530310B (zh) | 2015-12-22 | 2015-12-22 | 适合公私网流量转发的设备连接方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105530310B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107222714A (zh) * | 2017-06-15 | 2017-09-29 | 浙江大华技术股份有限公司 | 一种楼宇对讲方法及装置 |
| CN107690052B (zh) * | 2017-08-14 | 2020-07-28 | 浙江宇视科技有限公司 | 一种视频监控图像叠加水印的方法及装置 |
| CN109495509A (zh) * | 2018-12-27 | 2019-03-19 | 北京奇安信科技有限公司 | 网闸的数据传输方法、设备、系统和介质 |
| CN111131310B (zh) * | 2019-12-31 | 2022-10-18 | 奇安信科技集团股份有限公司 | 访问控制方法、装置、系统、计算机设备和存储介质 |
| CN113328972B (zh) * | 2020-02-28 | 2023-02-28 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
| CN112543351A (zh) * | 2020-12-17 | 2021-03-23 | 瓴盛科技有限公司 | 一种网络视频数据处理方法和处理系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064712A (zh) * | 2006-04-24 | 2007-10-31 | 维豪信息技术有限公司 | 一种基于Linux内核实现双通道穿越多级NAT和防火墙的系统及方法 |
| CN101262478A (zh) * | 2008-04-10 | 2008-09-10 | 杭州华三通信技术有限公司 | 穿越网络地址转换nat的方法和设备 |
| EP2012502A1 (en) * | 2006-04-27 | 2009-01-07 | ZTE Corporation | Method for managing user side device through nat gateway |
| CN102546444A (zh) * | 2012-03-28 | 2012-07-04 | 杭州华三通信技术有限公司 | 一种通过二层隧道协议访问私网的方法和服务器 |
| CN102710495A (zh) * | 2012-04-23 | 2012-10-03 | 浙江宇视科技有限公司 | 一种监控网络用户主机建立路由信息的方法及装置 |
-
2015
- 2015-12-22 CN CN201510976973.3A patent/CN105530310B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064712A (zh) * | 2006-04-24 | 2007-10-31 | 维豪信息技术有限公司 | 一种基于Linux内核实现双通道穿越多级NAT和防火墙的系统及方法 |
| EP2012502A1 (en) * | 2006-04-27 | 2009-01-07 | ZTE Corporation | Method for managing user side device through nat gateway |
| CN101262478A (zh) * | 2008-04-10 | 2008-09-10 | 杭州华三通信技术有限公司 | 穿越网络地址转换nat的方法和设备 |
| CN102546444A (zh) * | 2012-03-28 | 2012-07-04 | 杭州华三通信技术有限公司 | 一种通过二层隧道协议访问私网的方法和服务器 |
| CN102710495A (zh) * | 2012-04-23 | 2012-10-03 | 浙江宇视科技有限公司 | 一种监控网络用户主机建立路由信息的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105530310A (zh) | 2016-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105530310B (zh) | 适合公私网流量转发的设备连接方法及装置 | |
| JP4405360B2 (ja) | ファイアウォールシステム及びファイアウォール制御方法 | |
| US7907525B2 (en) | Method of communicating packet multimedia to restricted endpoints | |
| US8607323B2 (en) | Method for providing media communication across firewalls | |
| US7996543B2 (en) | Client-to-client direct RTP exchange in a managed client-server network | |
| CN101437036B (zh) | 支持nat/防火墙穿越的文件传输方法和系统 | |
| US20090052435A1 (en) | Relay device, communication system, and control method and program for them | |
| JP2004528774A (ja) | リアルタイムストリーミングメディア通信システムのためにチャネルを確立するシステムおよび方法 | |
| CN102307119B (zh) | 一种发现互联网性能测量系统中的探针故障的方法 | |
| US7734909B1 (en) | Using voice over IP or instant messaging to connect to customer products | |
| CN109714559A (zh) | 一种现场协同作业服务支持方法及系统 | |
| CN113079144A (zh) | 一种穿透DMZ网络的SIP WebRTC网关系统 | |
| JP4433206B2 (ja) | コネクションを確立し維持する方法 | |
| CN105915662B (zh) | 一种数据传输方法及装置 | |
| CN108123912A (zh) | 一种支持p2p的微服务系统 | |
| US20100135292A1 (en) | Apparatus and method for supporting nat traversal in voice over internet protocol system | |
| US20080291901A1 (en) | Network architecture for call processing | |
| US8861700B2 (en) | Method for notifying communication in progress to terminals connected to a domestic gateway | |
| CN100514939C (zh) | Ip多媒体通信业务处理系统及实现ip多媒体通信的方法 | |
| KR100660123B1 (ko) | Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기 | |
| CN112333088B (zh) | 一种兼容性即时通信传输方法 | |
| KR101080383B1 (ko) | 브이오아이피 호설정 방법 및 이를 수행하는 브이오아이피 통신 시스템 | |
| CN101465852A (zh) | 在网络视频会议系统中实现网内穿透的方法 | |
| CN107404591B (zh) | 智能门铃监控方法和装置 | |
| KR102335670B1 (ko) | 웹소켓을 이용하여 중간 서버를 경유하는 미디어 스트리밍 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |