WO2014107894A1

WO2014107894A1 - 穿越防火墙的方法、客户端和媒体穿越服务器

Info

Publication number: WO2014107894A1
Application number: PCT/CN2013/070395
Authority: WO
Inventors: 张旭武; 孟斌
Original assignee: 华为技术有限公司
Priority date: 2013-01-11
Filing date: 2013-01-11
Publication date: 2014-07-17
Also published as: CN103392316A

Abstract

本发明提供穿越防火墙的方法、客户端和媒体穿越服务器。该方法包括：确定局域网中客户端的地址；向会话初始化协议SIP服务器发送包含所述客户端的地址的信息；接收所述SIP服务器发送的包含网络侧的媒体穿越服务器MTS地址的信息；根据所述客户端的地址以及所述MTS的地址，建立所述客户端与所述MTS之间的用于传输SIP媒体数据的隧道，所述隧道穿越所述客户端与所述MTS之间的所述局域网的防火墙，所述SIP媒体数据包括实时传输协议RTP数据和实时传输控制协议RTCP数据。本发明实施中，通过在客户端与网络侧的MTS之间的媒体平面建立一条穿越隧道，使得RTP、RTCP等媒体数据都可以通过该隧道进行传输，从而降低了呼叫过程的耗时，提高了用户体验。

Description

穿越防火墙的方法、客户端和媒体穿越服务器技术领域

本发明实施例涉及通信领域，并且更具体地，涉及一种穿越防火墙的方法、客户端、 SIP服务器和媒体穿越服务器。背景技术

网际协议多媒体子系统（ Internet Protocol Multimedia Subsystem, IMS ) 作为移动网络和固定网络相融合的基石，广泛应用于各种网络环境中。 IMS 采用会话初始化协议 ( Session Initiation Protocol, SIP )作为会话信令协议，在客户端与 IMS网络之间可以建立一个实时传输协议（Real-Time Transport Protocol, RTP )的传输通道，以及一条实时传输控制协议（ Real-time Transport Control Protocol, RTCP )传输通道，利用该传输通道可以传输 VoIP ( Voice of IP, IP 载语音）等实时数据信息；也可以建立消息会话中继协议（Message Session Relay Protocol, MSRP )传输通道，利用该通道可以传输视频、游戏、共享内容等 IP多媒体业务。

考虑网络的安全性，企业网络或局域网与公网之间普遍部署了防火墙来保障内网的安全性。但是，出于安全考虑，防火墙只开放少量的端口，或者通过 HTTP代理方式，只允许超文本传输协议 ( HTTP, Hypertext Transfer Protocol )报文通过，造成 RTP/RTCP报文无法通过防火墙，导致使得内网中的客户端无法与 IMS网络进行通信，即内网中的客户端与 IMS网络之间存在防火墙的穿越问题。

现有技术中，常见的防火墙穿越问题有：网络地址转换（Network Address Translation, NAT ) 问题和限制性防火墙穿越问题。

在 NAT问题中，局域网中的客户端使用私有 IP地址和端口，不能够直接与处于公网的 IMS网络进行通信，而是由防火墙提供 NAT功能，为客户端分配一个公有地址，然后将此公有地址与该客户端的私有地址绑定后才可以与公网通信。目前第三代合作伙伴计划（The 3^rd Generation Partnership, 3GPP )使用交互式连接建立（Interactive Connectivity Establishment, ICE ) 方案解决了 NAT穿越问题。 ICE方案包括 STUN ( Simple Traversal of UDP through NAT, UDP 包的筒单 NAT 穿越）、 TURN ( Traversal Using Relay Network Address Translation, 通过 Relay方式穿越 NAT ) 以及 ICE等多种协议，其核心思想都是建立客户端的私有地址和公有地址的绑定关系，利用客户端的公有地址与 IMS网络进行通信。

在限制性防火墙穿越问题中，防火墙不但可能限制允许通过的防火墙端口，也可能限制允许通过防火墙的报文的类型。目前，提出一种 ICE over TLS ( Transport Layer Security, 传输层安全 )穿越方案。该方案对基于 TURN的 ICE方案的进行优化， UE与 TURN服务器之间协商建立多条 TLS隧道，不同的媒体报文通过不同 TLS隧道实现防火墙穿越。但是，由于 UE与 TURN 建立 TLS连接的握手协商过程非常复杂，造成呼叫过程耗时长；而且，由于不同的 TLS隧道封装不同的媒体流，所以每次呼叫 UE与 TURN服务器之间都需要建立多条 TLS隧道，例如，要传输 VoIP业务，UE至少需要与 TRUN 服务器之间同时建立承载 TURN控制信息的 TLS隧道、传输 RTP数据的 TLS 隧道以及传输 RTCP数据的 TLS隧道，进一步增加了呼叫过程耗时，用户体验差。发明内容

本发明实施例提供一种穿越防火墙的方法、客户端、 SIP服务器和媒体穿越服务器，降低了呼叫过程的耗时，提高了用户体验。

第一方面，提供一种穿越防火墙的方法，包括：确定局域网中客户端的地址；向会话初始化协议 SIP服务器发送包含所述客户端的地址的信息；接根据所述客户端的地址以及所述 MTS的地址，建立所述客户端与所述 MTS 之间的用于传输 SIP媒体数据的隧道，所述隧道穿越局域网的防火墙，所述

SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

结合第一方面，在第一方面的一种实现方式中，所述确定局域网中客户端的地址包括：确定所述客户端的地址，所述客户端的地址包括客户端的公有网际协议 IP地址和客户端的公有端口。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，所述接收所述 SIP服务器发送的包含网络侧的 MTS的地址的信息包括：接收所述包含所述 MTS的地址的信息，所述 MTS的地址包括所述 MTS的公有

IP地址和所述 MTS的公有端口；则，所述根据所述客户端的地址以及所述 MTS的地址，建立所述客户端与所述 MTS之间的用于传输 SIP媒体数据的隧道，包括：根据所述客户端的公有 IP地址、所述客户端的公有端口、所述 MTS的公有 IP地址以及所述 MTS的公有端口，建立所述隧道。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，在所述确定所述客户端的地址之前，还包括：判断所述防火墙是否需要进行网络地址转换 NAT; 则，在确定所述防火墙需要进行 NAT时，所述确定所述客户端的地址包括：获取所述客户端的私有 IP地址，并分配所述客户端的私有端口；根据所述客户端的私有 IP地址和所述客户端的私有端口查询所述客户端的公有 IP地址和所述客户端的公有端口。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，所述根据所述客户端的私有 IP地址和所述客户端的私有端口查询所述客户端的公有 IP地址和所述客户端的公有端口包括：获取所述 MTS的公有 IP地址；根据所述客户端的私有端口以及所述 MTS的公有 IP地址，与所述 MTS 的特定端口建立传输控制协议 TCP连接，所述特定端口的端口号与所述防火墙允许通过的端口的端口号相同；通过所述 TCP连接查询所述客户端的地址。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，所述获取所述 MTS的公有 IP地址包括：向所述 SIP服务器发送用于请求所述 MTS的公有 IP地址的请求消息；接收所述 SIP服务器发送的请求响应消息，所述请求响应消息中携带所述 MTS的公有 IP地址。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，在确定所述防火墙不需要进行 NAT时，所述确定所述客户端的地址包括：获取所述客户端的公有 IP地址；探测所述防火墙允许通过的特定端口；将所述防火墙允许通过的特定端口作为所述客户端的公有端口。

结合第一方面及其上述实现方式，在第一方面的另一种实现方式中，还包括：确定所述防火墙支持的传输协议，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；向所述 SIP服务器发送用于指示所述传输协议的信息；当通过所述隧道向所述 MTS发送数据时，利用所述传输协议对所述数据进行封装；当接收所述 MTS通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。

第二方面，提供一种穿越防火墙的方法，包括：接收包含局域网中客户端的地址的信息；分配媒体穿越服务器 MTS的公有端口；向所述客户端发送包含 MTS的地址的信息，所述 MTS地址包括所述 MTS的公有端口以及获取的 MTS的公有 IP地址，并向所述 MTS发送包含所述客户端的地址以及所述 MTS的公有端口的信息，以便所述客户端与所述 MTS之间建立用于传输会话初始化协议 SIP媒体数据的隧道，所述隧道穿越所述客局域网的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

结合第二方面，在第二方面的一种实现方式中，所述接收包含局域网中客户端的地址的信息包括：接收所述包含所述客户端的地址的信息，所述客户端的地址包括所述客户端的公有网际协议 IP地址和所述客户端的公有端口。

结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，所述分配 MTS的公有端口包括：将所述防火墙允许通过的端口的端口号作为所述 MTS的公有端口的端口号。

结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，在所述接收局域网中客户端的地址之前，还包括：接收所述客户端发送的用于请求所述 MTS的公有 IP地址的请求消息；向所述客户端发送请求响应消息，所述请求响应消息中携带所述 MTS的公有 IP地址。

结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，还包括：接收所述客户端发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；向所述 MTS 发送用于指示所述传输协议的信息。

结合第二方面及其上述实现方式，在第二方面的另一种实现方式中，还包括：向所述 MTS发送包含媒体网关的地址以及所述客户端的地址的信息。

第三方面，提供一种穿越防火墙的方法，包括：接收会话初始化协议

SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息；根据所述客户端的地址以及所述 MTS的地址，建立所述 MTS与所述客户端之间的用于传输 SIP媒体数据的隧道，所述隧道穿越局域网中的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

结合第三方面，在第三方面的一种实现方式中，所述接收 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息包括：接收所述包含所述客户端的地址以及所述 MTS的公有端口的信息，所述客户端的地址包括所述客户端的公有 IP地址和所述客户端的公有端口；则，所述根据所述客户端的地址以及所述 MTS的地址，建立所述 MTS与所述客户端之间的用于传输 SIP媒体数据的隧道包括：根据所述客户端的公有 IP地址、所述客户端的公有端口以及所述 MTS的地址建立所述隧道，所述 MTS的地址包括所述 MTS的公有 IP地址和所述 MTS的公有端口。

结合第三方面及其上述实现方式，在第三方面的另一种实现方式中，在所述接收 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息之前，还包括：与所述客户端建立传输控制协议 TCP连接，以便所述客户端根据所述 TCP连接查询所述客户端的公有 IP地址和所述客户端的公有端口。

结合第三方面及其上述实现方式，在第三方面的另一种实现方式中，还包括：接收所述 SIP服务器发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；当通过所述隧道向所述客户端发送数据时，利用所述传输协议对所述数据进行封装；当接收所述客户端通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。

结合第三方面及其上述实现方式，在第三方面的另一种实现方式中，还址的信息。

第四方面，提供一种客户端，包括：确定单元，用于确定局域网中客户端的地址；发送单元，用于向会话初始化协议 SIP服务器发送包含所述客户端的地址的信息；接收单元，用于接收所述 SIP服务器发送的包含网络侧的媒体穿越服务器 MTS的地址的信息；建立单元，用于根据所述客户端的地址以及所述 MTS的地址，建立所述客户端与所述 MTS之间的用于传输 SIP 媒体数据的隧道，所述隧道穿越局域网中的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

结合第四方面，在第四方面的一种实现方式中，所述确定单元具体用于确定所述客户端的地址，所述客户端的地址包括所述客户端的公有网际协议 IP地址和所述客户端的公有端口。结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，所述接收单元具体用于接收所述包含所述 MTS的地址的信息，所述 MTS的地址包括所述 MTS的公有 IP地址和所述 MTS的公有端口；所述建立单元具体用于根据所述所述客户端的公有 IP地址、客户端的公有端口、所述 MTS 的公有 IP地址以及所述 MTS的公有端口建立所述隧道。

结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，还包括：判断单元，用于判断所述防火墙是否需要进行网络地址转换 NAT;贝' J , 在确定所述防火墙需要进行 NAT时，所述确定单元具体用于获取所述客户端的私有 IP地址，并分配所述客户端的私有端口；根据所述客户端的私有 IP地址和所述客户端的私有端口查询所述客户端的公有 IP地址和所述客户端的公有端口。

结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，所述确定单元具体用于获取所述 MTS的公有 IP地址；根据所述客户端的私有端口以及所述 MTS的公有 IP地址，与所述 MTS的特定端口建立传输控制协议 TCP连接，所述特定端口的端口号与所述防火墙允许通过的端口的端口号相同；通过所述 TCP连接查询所述客户端的地址。

结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，所述确定单元具体用于向所述 SIP服务器发送用于请求所述 MTS的公有 IP地址的请求消息；接收所述 SIP服务器发送的请求响应消息，所述请求响应消息中携带所述 MTS的公有 IP地址。

结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，在确定所述防火墙不需要进行 NAT时，所述确定单元具体用于获取所述客户端的公有 IP地址；探测所述防火墙允许通过的特定端口；将所述防火墙允许通过的特定端口作为所述客户端的公有端口。

结合第四方面及其上述实现方式，在第四方面的另一种实现方式中，所述确定单元还用于确定所述防火墙支持的传输协议，所述传输协议包括 TCP 和用户数据包协议 UDP中的至少一种；所述发送单元还用于向所述 SIP服务器发送用于指示所述传输协议的信息；所述客户端还包括：封装单元，用于当通过所述隧道向所述 MTS发送数据时，利用所述传输协议对所述数据进行封装；解封装单元，用于当接收所述 MTS通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。第五方面，提供一种会话初始化协议 SIP服务器，包括：接收单元，用于接收包含局域网中客户端的地址的信息；分配单元，用于分配媒体穿越服务器 MTS的公有端口；发送单元，用于向所述客户端发送包含所述 MTS的地址的信息，所述 MTS地址包括所述 MTS的公有端口以及获取的 MTS的公有 IP地址，并向所述 MTS发送包含所述客户端的地址以及所述 MTS的公有端口的信息，以便所述客户端与所述 MTS之间建立用于传输会话初始化协议 SIP媒体数据的隧道，所述隧道穿越所述客户端与所述 MTS之间的局域网的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

结合第五方面，在第五方面的一种实现方式中，所述接收单元具体用于接收所述包含所述客户端的地址的信息，所述客户端的地址包括所述客户端的公有网际协议 IP地址和所述客户端的公有端口；所述向所述客户端发送所述 MTS的地址包括：向所述客户端发送所述 MTS的地址，所述 MTS的地址包括所述 MTS的公有 IP地址和所述 MTS的公有端口。

结合第五方面及其上述实现方式，在第五方面的另一种实现方式中，所述分配单元具体用于将所述防火墙允许通过的端口的端口号作为所述 MTS 的公有端口的端口号。

结合第五方面及其上述实现方式，在第五方面的另一种实现方式中，所述接收单元还用于接收所述客户端发送的用于请求所述 MTS的公有 IP地址的请求消息；向所述客户端发送请求响应消息，所述请求响应消息中携带所述 MTS的公有 IP地址。

结合第五方面及其上述实现方式，在第五方面的另一种实现方式中，所述接收单元还用于接收所述客户端发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；所述发送单元还用于向所述 MTS发送用于指示所述传输协议的信息。

结合第五方面及其上述实现方式，在第五方面的另一种实现方式中，所述发送单元还用于向所述 MTS发送包含媒体网关的地址以及所述客户端的地址的信息。

第六方面，提供一种穿越隧道服务器 MTS, 包括：接收单元，用于接收会话初始化协议 SIP服务器发送的包含局域网中客户端的地址以及 MTS 的公有端口的信息；建立单元，用于根据所述客户端的地址以及所述 MTS 的地址，建立所述 MTS与所述客户端之间的用于传输 SIP媒体数据的隧道，所述隧道穿越局域网的防火墙，所述 SIP媒体数据包括实时传输协议 RTP 数据和实时传输控制协议 RTCP数据。

结合第六方面，在第六方面的一种实现方式中，所述接收单元具体用于接收所述包含所述客户端的地址以及所述 MTS的公有端口的信息，所述客户端的地址包括所述客户端的公有 IP地址和所述客户端的公有端口；贝' J , 所述建立单元具体用于根据所述客户端的公有 IP地址、所述客户端的公有端口以及所述 MTS的地址建立所述隧道，所述 MTS的地址包括所述 MTS 的公有 IP地址和所述 MTS的公有端口。

结合第六方面及其上述实现方式，在第六方面的另一种实现方式中，所述建立单元还用于与所述客户端建立传输控制协议 TCP连接，以便所述客户端根据所述 TCP连接查询所述客户端的公有 IP地址和所述客户端的公有端口。

结合第六方面及其上述实现方式，在第六方面的另一种实现方式中，所述接收单元还用于接收所述 SIP服务器发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；所述 MTS还包括：封装单元，用于当通过所述隧道向所述客户端发送数据时，利用所述传输协议对所述数据进行封装；解封装单元，用于当接收所述客户端通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。

结合第六方面及其上述实现方式，在第六方面的另一种实现方式中，所客户端的地址的信息。

本发明实施中，通过在客户端与网络侧的 MTS之间的媒体平面建立一条穿越隧道，使得 RTP、 RTCP等媒体数据都可以通过该隧道进行传输，从而降低了呼叫过程的耗时，提高了用户体验。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作筒单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明实施例的一种穿越防火墙的系统架构图。

图 2是本发明一个实施例的穿越防火墙的方法的流程图。

图 3是本发明另一个实施例的穿越防火墙的方法的流程图。

图 4是本发明另一个实施例的穿越防火墙的方法的流程图。

图 5是本发明另一个实施例的穿越防火墙的方法的流程图。

图 6是本发明另一个实施例的穿越防火墙的方法的流程图。

图 7是本发明另一个实施例的穿越防火墙的方法的流程图。

图 8是本发明另一个实施例的穿越隧道的方法的流程图。

图 9是本发明另一个实施例的穿越隧道的方法的流程图。

图 10是本发明一个实施例的隧道的封装方式的示意图。

图 11是本发明一个实施例的客户端的框图。

图 12是本发明一个实施例的 SIP服务器的框图。

图 13是本发明一个实施例的 MTS的框图。

图 14是本发明另一个实施例的客户端的框图。

图 15是本发明另一个实施例的 SIP服务器的框图。

图 16是本发明另一个实施例的 MTS的框图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

应理解，本发明的技术方案可以应用于各种通信系统，例如：全球移动通讯 ( Global System of Mobile communication , GSM )系统、码分多址（ Code Division Multiple Access , CDMA ) 系统、宽带码分多址 ( Wideband Code Division Multiple Access, WCDMA )系统、通用分组无线业务（ General Packet Radio Service, GPRS )、长期演进（ Long Term Evolution, LTE ) 系统、先进的长期演进（ Advanced long term evolution , LTE- A ) 系统、通用移动通信系统 ( Universal Mobile Telecommunication System, UMTS )等。

还应理解，在本发明实施例中，客户端可以是位于局域网中的实体，例如可以是 UE, 还可以是 UE中的逻辑单元。。

需要说明的是，本专利申请文件中提到的限制性防火墙可以指防火墙的端口受限也可以是报文类型受限，例如，防火墙只开放 80或 443等少量端口；也可以指防火墙对允许通过的报文类型受限，例如，只允许通过 TCP 报文，或只允许通过 UDP报文；还可以是上述两种情况的组合。

还需要说明的是，本专利申请文件中提到的防火墙需要进行 NAT, 即防火墙存在 NAT穿越问题，是指局域网中的客户端使用私有 IP地址，不能够直接与公网进行通信。当需要与公网进行通信时，防火墙提供 NAT功能，为 UE分配一个公有 IP地址，然后将客户端私有 IP地址与公有 IP地址绑定，才能与公网进行通信。

图 1是本发明实施例的一种穿越防火墙的系统架构图。

如图 1所述，客户端位于局域网中， MTS位于网络侧， MTS可以集成在媒体网关中，也可以是独立的实体。

本发明实施例利用 SIP服务器在客户端与 MTS之间建立一条传输 SIP 媒体数据的隧道，通过这条隧道既可以传输 RTP数据，也可以传输 RTCP 数据。

本发明实施中，通过在客户端与网络侧的 MTS之间的媒体平面建立一条穿越隧道，使得 RTP、 RTCP等媒体数据都可以通过该隧道进行传输，从而降低了呼叫过程的耗时，提高了用户体验。

基于图 1所示的系统架构，本发明一个实施例提供一种穿越防火墙的方法，该方法可以由局域网中的客户端执行，例如可以是 UE。如图 2所示，该方法包括：

5201、确定局域网中客户端的地址；

5202、向会话初始化协议 SIP服务器发送包含客户端的地址的信息； S203、接收 SIP服务器发送的包含网络侧的媒体穿越服务器 MTS的地址的信息；

S204、根据客户端的地址以及 MTS的地址，建立客户端与 MTS之间的用于传输 SIP媒体数据的隧道，隧道穿越局域网的防火墙， SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

应理解， S201中的客户端位于局域网中，客户端的地址用于建立隧道，即作为隧道在局域网侧的终结点的地址。其中，客户端可以是实体，例如可以是 UE, 也可以是能实现图 2中各个步骤的逻辑单元。本发明实施例对客户端的地址的具体形式不作限定，例如，可以是客户端的公有 IP地址和客户端的公有端口。应理解，上述客户端的公有端口是指客户端的公有 IP地址所对应的客户端的端口。

应理解， S203中的 MTS位于网络侧， MTS的地址是用于建立隧道，即作为隧道在网络侧的终结点的地址。其中， MTS 可以是独立的实体，也可以是集成在现有 IMS-AGW上的功能模块。本发明实施例对 MTS的地址的具体形式不作限定，例如，可以是 MTS的公有 IP地址和公有端口。应理解，上述 MTS的公有端口是指 MTS的公有 IP地址所对应的 MTS的端口也可以是其他可以标识该客户端位置的信息，本发明实施例以 MTS 的地址包括

MTS的公有 IP地址和公有端口为例进行说明。

应理解， S204 中的隧道用于传输媒体数据，不用于传输信令数据，这样更符合目前 3GPP标准中媒体数据与信令数据分离的架构，在媒体和信令数据流增长不对称时，更容易扩容。

应理解，本发明实施例对确定局域网中客户端的地址（即客户端的公有

IP地址和客户端的公有端口）的具体方式不作限定。

可选地，作为一个实施例，当局域网中的防火墙需要进行 NAT时，确定客户端的公有 IP地址和客户端的公有端口可包括：获取客户端的私有 IP 地址，并分配客户端的私有端口；根据客户端的私有 IP地址和客户端的私有端口查询客户端的公有 IP地址和客户端的公有端口。

需要说明的是，本发明实施例对上述根据私有 IP地址和客户端的私有端口查询客户端的公有 IP地址和客户端的公有端口的具体方式不作限定，例如，可以根据现有的 STUN协议或 TURN协议进行查询。

可选地，作为另一个实施例，还可以通过获取 MTS的公有 IP地址；根据客户端的私有端口以及 MTS的公有 IP地址，与 MTS的公有 IP地址的特定端口建立传输控制协议 TCP连接，特定端口的端口号与防火墙允许通过的端口的端口号相同；通过 TCP连接查询客户端的地址。通过事先建立 TCP 连接的方式查询客户端的公有 IP地址和公有端口，然后在这条 TCP连接的基础上建立隧道，使得客户端侧与 MTS之间建立的隧道无需执行隧道路径探测，缩短了信令交互流程。式不作限定。例如，可以向 SIP服务器发送用于请求 MTS的公有 IP地址的请求消息；接收 SIP服务器发送的请求响应消息，请求响应消息中携带 MTS 的公有 IP地址。应理解，上述请求消息可以是客户端向 SIP服务器（在 IMS 网络中为 P-CSCF )发送的注册消息，也可以是呼叫请求消息。

可选地，作为另一个实施例，当局域网中的防火墙不需要进行 NAT时，确定客户端的公有 IP地址和客户端的公有端口可包括：获取客户端的公有 IP地址；探测防火墙允许通过的特定端口；将防火墙允许通过的特定端口作为客户端的公有端口。

可选地，作为一个实施例，图 2的方法还可包括：确定防火墙支持的传输协议，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；向 SIP 服务器发送用于指示传输协议的信息；当通过隧道向 MTS发送数据时，利用传输协议对数据进行封装；当接收 MTS通过隧道发送的数据时，利用传输协议对数据进行解封装。

上文中结合图 2, 从客户端的角度详细描述了根据本发明实施例的穿越防火墙的方法，下面将结合图 3, 从 SIP服务器的角度描述根据本发明实施例的穿越防火墙的方法。

应理解， SIP服务器侧描述的客户端与 SIP服务器的交互及相关特性、功能等与客户端侧的描述相应，为了筒洁，适当省略重复的描述。

图 3是本发明另一个实施例的穿越防火墙的方法的流程图。图 3的方法可以由 SIP服务器执行，例如可以是 IMS网络中的 P-CSCF。

S301、接收包含局域网中客户端的地址的信息；

S302、分配媒体穿越服务器 MTS的公有端口；

S303、向客户端发送包含 MTS的地址的信息，所述 MTS地址包括所述 MTS的公有端口以及获取的 MTS的公有 IP地址，并向 MTS发送包含客户端的地址以及 MTS的公有端口，以便客户端与 MTS之间建立用于传输会话初始化协议 SIP媒体数据的隧道的信息，隧道穿越局域网中的防火墙， SIP 媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

可选地，作为一个实施例， S301 中的接收包含局域网中客户端的地址的信息包括：接收包含客户端的地址的信息，客户端的地址包括客户端的公有网际协议 IP地址和客户端的公有端口。

可选地，作为另一个实施例， S302中的分配 MTS的公有端口可包括：将防火墙允许通过的端口的端口号作为 MTS的公有端口的端口号。还可以将客户端的公有端口作为所述 MTS的公有端口，本发明实施例对此并不作限定。

可选地，作为另一个实施例，在接收局域网中客户端的地址之前，还可包括：接收客户端发送的用于请求 MTS的公有 IP地址的请求消息；向客户端发送请求响应消息，请求响应消息中携带 MTS的公有 IP地址。

可选地，作为另一个实施例，图 3的方法还可包括：接收客户端发送的用于指示防火墙支持的传输协议的信息，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；向 MTS发送用于指示传输协议的信息。

可选地，作为另一个实施例，图 3的方法还包括：向所述 MTS发送包 ^某体网关的地址以及所述客户端的地址的信息。上述地址可包括客户端用于进行 RTP、 RTCP数据传输的 IP地址和端口和媒体网关用于进行 RTP、 RTCP数据传输的 IP地址和端口。

上文中结合图 2和图 3, 分别从客户端和 SIP服务器的角度详细描述了根据本发明实施例的穿越防火墙的方法，下面将结合图 4, 从 MTS 的角度描述根据本发明实施例的穿越防火墙的方法， MTS 可以是集成在媒体网关 ( Media Gateway, MGW ) 中的新增的逻辑单元，也可以是布置在网络侧的新的实体网元。

应理解，媒体网关侧描述的媒体网关与 UE以及 SIP服务器的交互及相关特性、功能等与 UE侧和 SIP服务器侧的描述相应，为了筒洁，适当省略重复的描述。

图 4是本发明另一个实施例的穿越防火墙的方法的流程图。图 4的方法可以由 MTS执行。

S401、接收会话初始化协议 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息； S402、根据客户端的地址以及 MTS的地址，建立 MTS与客户端之间的用于传输 SIP媒体数据的隧道，隧道穿越局域网的防火墙， SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

可选地，作为一个实施例，接收 SIP服务器发送的包含局域网中客户端的地址以及 MTS 的公有端口的信息可包括：接收包含客户端的地址以及 MTS的公有端口的信息，客户端的地址包括客户端的公有 IP地址和客户端的公有端口；则，根据客户端的地址以及 MTS的地址，建立 MTS与客户端之间的用于传输 SIP媒体数据的隧道包括：根据客户端的公有 IP地址、客户端的公有端口以及 MTS的地址建立隧道， MTS的地址包括 MTS的公有 IP地址和 MTS的公有端口。

可选地，作为另一个实施例，在接收 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息之前，还可包括：与客户端建立传输控制协议 TCP连接，以便客户端根据 TCP连接查询客户端的公有 IP地址和客户端的公有端口。

可选地，作为另一个实施例，图 4的方法还可包括：接收 SIP服务器发送的用于指示防火墙支持的传输协议的信息，传输协议包括 TCP和用户数据包协议 UDP 中的至少一种；当通过隧道向客户端发送数据时，利用传输协议对数据进行封装；当接收客户端通过隧道发送的数据时，利用传输协议对数据进行解封装。

可选地，作为另一个实施例，图 4的方法还可包括：接收 SIP服务器发送的包含媒体网关的地址以及客户端的地址的信息。

下面结合具体例子，更加详细地描述本发明实施例。应注意，图 5至图

9的例子仅仅是为了帮助本领域技术人员理解本发明实施例，而非要将本发明实施例限于所例示的具体数值或具体场景。本领域技术人员根据所给出的图 5至图 9的例子，显然可以进行各种等价的修改或变化，这样的修改或变化也落入本发明实施例的范围内。

还应注意，图 5至图 9的实施例是以局域网中的客户端与公网中的 IMS 网络进行通信来举例说明的，但本发明实施例并不限于此，例如，还可以是其他非 IMS网络的 SIP类业务场景，如 non-3GPP接入 EPC应用场合中， UE使用 WiFi接入方式进行非 IMS的 VoIP呼叫，由于网络侧部署了防火墙，只开放了 80端口，导致无法进行 VoIP会话，采用本方案能够解决上述场景下的穿越问题。

还应注意，图 5至图 9中的媒体穿越客户端（Media Traversal Client,

MTC )可以集成在 UE上，例如，可以是 UE上的逻辑单元，也可以是实体装置，本发明以 UE集成 MTC为例进行说明，即图 5-图 9中的 UE可以执行图 1-图 4中的由客户端执行的各个步骤；图 5-图 9中的 MTS可以是集成在 IMS- AGW上的逻辑单元，也可以是独立的实体，本发明实施例对此不作限定。

还应注意，图 5至图 9中的媒体穿越客户端（Media Traversal Client, MTC ) 集成在 UE上。 UE可以实现图 1-图 3中的描述的由客户端执行的各个步骤。

图 5是本发明另一个实施例的穿越防火墙的方法的流程图。在图 5的实施例中，客户端所在局域网的防火墙存在 NAT穿越问题，且 UE待发起的会话类型为 VoIP。

S501、 UE按照现有技术从 80或者 443端口完成 IMS注册。

S502~S503、 P-CSCF根据收到 UE发过来注册（REGISTER )请求判断是否存在 NAT穿越问题，如果网络层的源 IP地址和传输层的源端口与请求报文中 Contact的 IP地址和端口不一致，则存在 NAT穿越问题，采用重量级的防火墙穿越方案（指存在 NAT穿越问题时所采用的穿越防火墙的方案），即本发明实施例的方案，如果一致则不存在 NAT穿越问题，采用轻量级的穿越方案（指不存在 NAT穿越问题时所采用的穿越防火墙的方案），即图 6 实施例的穿越方案。

S504~S505、 UE确定准备发起的会话类型为 VoIP, 则采用隧道方式进行穿越，转 S506,如果确定会话类型为 MSRP会话，则采用非隧道的 MSRP 穿越方法，即图 6实施例中的 S601至 S611的方案。

S506、客户端分配客户端的私有 PT1 , 即穿越隧道的客户端 MTC的私有 IP地址 P1 私有端口为 PT1。分配的方法为：存在 NAT场景下可以使用随机分配方式分配穿越隧道端口，不存在 NAT场景下，根据 UE发起会话请求前进行防火墙可穿越端口探测结果选取端口，或者直接采用特定的端口如 80或者 443端口作为穿越隧道。

S507~S509、 UE中 MTC模块采用 STUN协议查询到 MTC的公有 IP地址为 IPln, MTC的公有端口 PTln, 并确定防火墙允许通过哪种传输协议，是 TCP协议还是 UDP协议。

S510、 UE发起 VoIP的 INVITE请求，在 SDP 中携带建立穿越隧道的客户端信息，包括 MTC公有地址、私有地址和隧道封装类型，隧道封装类型包括 UDP封装模式（ UDP-encaps )、 TCP封装模式（ TCP-encaps ) , 上述隧道的封装类型与图 1-图 3中描述的防火墙支持的传输协议相同，当然，该隧道还可以采用不进行隧道封装的透明传输模式（transp )。 SDP通过下面两种方式携带穿越隧道客户端信息：

1 )在现有 SDP协议中的 a=candidate描述行，添加一个特殊的参数描述隧道封装类型，格式为 a=candidate ：〈现有协议的参数 > <tunnel> <tunnel type>。

2 )在 SDP body 中专门添加一个 SDP描述行，专门用于描述包括公有地址、私有地址、隧道封装模式等穿越隧道相关信息，例如采用的格式为： a=tunnel: <公有地址 > <私有地址 > <tunnel type>。

S511、 P-CSCF根据 UE发过来的隧道封装类型信息决定是否需要为隧道分配 MTS端口，如果为透传模式，则不给 MTS分配端口，只给 MGW分配端口；如果为 UDP或者 TCP封装模式，则根据隧道客户端地址信息判定是否存在 NAT穿越，判别方法为 SDP中 candidate行中如有 srflx标志，则存在 NAT问题， MTS端的端口为特定的穿越端口，如 HTTP协议默认端口 80或者 HTTPS默认端口 443; 如有 host标志，则认为不存在 NAT问题， MTS的端口分配成和 MTC—样端口或者分配特定的穿越端口，如 443或者 80端口。

S512、 P-CSCF通过 H.248 将穿越隧道双方地址和封装格式，以及将需要封装的媒体数据的通信双方地址相关信息通过 H.248协议或者其他控制协议传给 MTS, MTS根据 P-CSCF发过的信息，建立媒体流和穿越隧道之间的对应关系。

5513、和正常的 IMS会话一样， P-CSCF将建立 RTP/RTCP媒体信息发给媒体网关 MGW, 建立 RTP/RTCP连接。

5514、 P-CSCF通过或者200 0 会话响应消息发给 UE, SDP携带 MTS的公有地址和隧道封装模式。

S515、 MTS判定存在 NAT穿越问题，例如，可以通过 SIP服务器发送的指示防火墙是否具有 NAT穿越问题的标识判定，则和 UE执行连接可达性检查，采用现有技术的 STUN路径可行的检查机制。

S516、 UE确认隧道连接是可达的后，发 ACK消息，确认 VoIP媒体协商完成。

S517~S518、 UE中 MTC模块和 MTS作为穿越隧道的业务终结点，执行 VoIP数据包的封装 /解开处理，封装方式如图 10所示，整个 VoIP数据包作为净荷被封装在隧道数据包中，隧道报头的 IP地址为 MTS和 MTC的公有地址。 MTS/MTC解开隧道数据包后，根据原 VoIP数据包的地址进行转发。

S519、通话过程中 UE和 MTS进行周期性 NAT地址绑定保活交互。本发明实施中，通过在客户端与网络侧的 MTS之间的媒体平面建立一条穿越隧道，使得 RTP、 RTCP等媒体数据都可以通过该隧道进行传输，从而降低了呼叫过程的耗时，提高了用户体验。

图 6是本发明另一个实施例的穿越防火墙的方法的流程图。在图 6的实施例中， UE所在局域网的限制性防火墙存在 NAT穿越问题，且 UE待发起的会话类型为 MSRP。由于 MSRP能够通过 HTTP端口 80或者 443进行传输，因此 MSRP不使用 UDP/TCP隧道方式进行穿越，由 UE和媒体网关直接通过 HTTP/HTTPS端口协商建立 MSRP连接。

S601、 UE通过注册消息确定存在 NA ( P ) T, 准备进行 MSRP会话，

MSRP用于传送 IM、内容共享、文件传送等非实时业务数据， UE给 MSRP 会话分配专门的私有端口 PTx, MSRP专门的 MSRP穿越端口可以根据防火墙实际开放端口进行设置，例如设置成 HTTP协议默认端口 80端口等。

S602~S604、 UE通过 STUN方式查询到 MSRP穿越隧道客户端的公有地址为 ΙΡ1η/ΡΤχη。

S605、 UE通过 INVITE消息，将 MSRP穿越隧道客户端私有 IP地址 IP1 , 私有端口 PTx, 公有 IP地址 IPln, 公有端口 PTxn以及隧道封装类型为透传模式等信息通知 P-CSCF。

S606、P-CSCF获知隧道封装类型为透传模式后，也像 UE—样，为 MGW 分配专门的 MSRP穿越端口，如 80端口或者 443端口，不为 MTS分配用于 MSRP穿越的端口，也就是说 MSRP穿越不经过 MTS, UE和 MGW直接建立 MSRP连接。

5607、和正常 IMS MSRP会话方案一样， P-CSCF将建立 MSRP连接的信息告诉 MGW。

5608、 P-CSCF通过 lxx或者 200 OK响应消息，将 MGW的地址和端口信息告诉 UE, 并通知隧道类型为透传模式。

S609~S610、 UE和 MGW执行 MSRP路径可达性检查，确认 MSRP连接可到达后， UE发建立 MSRP通道完成确认消息。

S611、 MTC对收到 MSRP消息不做任何封装处理，直接透传给 IMS客户端。

S612、 MSRP传输过程， UE和 MGW使用 STUN协议，进行周期性 NA

( P ) T地址绑定保活交互。

图 7是本发明另一个实施例的穿越防火墙的方法的流程图。在图 7的实施例中， UE所在局域网的限制性防火墙不存在 NAT穿越问题。同图 4实施例的主要区别为省略公有地址绑定查询、连接可达性检查、 STUN keep-alive 等 NAT相关处理流程，分配 MTS的穿越隧道端口和 MTC的端口是一样的，而不是随机分配，穿越流程包括下面步骤：

S701~S702、 UE按照现有技术，通过 443或者 80端口完成 IMS注册，

P-CSCF通过检查 SIP消息中网络层地址和 contact中的地址为一致，则认为防火墙没有 NAT, 则决定采用轻量级防火墙穿越方案。

S703~S704、 UE在完成注册后采用现有的 STUN技术或者其他端口扫描技术，探测防火墙允许的端口和其传输协议， UE根据现网情况配置端口探测范围，如 443、 80的端口。

S705、 UE准备发起 VoIP会话，为穿越隧道分配 MTC的端口 PT1；分配方法为： UE确定不存在 NA(P)T场景后，根据防火墙探测结果，优先选择 UDP报文可通过的端口作为穿越隧道端口，或者直接分配一个特定的专门用于穿越隧道的端口，如 80或者 443端口。

S706、 UE通过 INVITE消息将客户端私有 IP地址 IP1 , 私有端口 PT1 和隧道封装类型（即防火墙支持的传输协议）通知 P-CSCF, 通知的方法有下面两种：

1 )在现有 SDP协议中的 a=candidate行，添加一个特殊的参数描述描述隧道封装类型，格式为 a=candidate ：〈现有协议的参数 > <tunnel> <tunnel type>。

2 )在 SDP body 中专门添加一个 SDP描述行，专门用于描述穿越隧道相关信息，例如采用的格式为： a=tunnel:〈公有 IP> <公有 port > <tunnel type>。

5707、 P-CSCF根据 UE发过来的隧道封装类型和隧道客户端地址信息，获知隧道为非透传模式且为非 NAT下的场景下的穿越，则给 MTS分配和 MTC相同的端口号。

5708、 P-CSCF通过 H.248 将穿越隧道双方地址和封装格式，以及将需要封装的媒体数据的通信双方地址信息通过 H.248协议或者其他控制协议传给 MTS, 建立媒体流和穿越隧道之间的对应关系。

5709、和正常的 IMS会话一样， P-CSCF将建立 RTP/RTCP媒体信息发给媒体网关 MGW, 建立 RTP/RTCP连接。

5710、 P-CSCF通过 lxx或者 200 OK响应消息将穿越隧道服务器端地址，即 MTS的 IP和端口即隧道封装类型发给 UE。

S711、 MTS根据 P-CSCF转发过来的隧道客户端地址信息判定为非 NAT 场景下的穿越，则不执行连接路径可达性检查。

S712、 UE不执行路径可达性检查，直接发隧道建立完成和媒体协商完成确认信息给 P-CSCF。

S713~S714、 UE中 MTC模块和 MTS作为穿越隧道的业务终结点，执行 VoIP数据包的封装 /解开处理，封装方式如附图 10所示，整个 VoIP数据包作为净荷被封装在隧道数据包中，隧道报头的 IP地址为 MTS和 MTC的公有地址。 MTS/MTC解开隧道数据包后，根据原 VoIP数据包的地址进行转发。 MTC和 MTS不再执行 NAT地址绑定保活流程。

S715、 UE决定发起 MSRP会话，给 MSRP会话分配专门的防火墙穿越端口 PTx, MSRP专门的 MSRP穿越端口可以根据防火墙实际开放端口进行设置，例如设置成 HTTP协议默认端口 80端口等。

S716、 UE通过 INVITE消息，将 MSRP穿越隧道客户端公有 IP地址 IP1 , 公有端口 PTx以及隧道封装类型为透传模式等信息通知 P-CSCF。 5717、 P-CSCF根据 UE的穿越隧道地址和封装模式信息，获知隧道为透传模式且非 NAT场景，则给 MGW分配和 UE—样的 MSRP端口，不分配 MTS的 MSRP端口。

5718、和正常 IMS MSRP会话方案一样， P-CSCF将建立 MSRP连接的信息告诉 MGW。

S719、 P-CSCF通过 lxx或者 200 会话响应消息将 MGW的 IP和 MSRP 端口已经穿越隧道为透传模式信息通知 UE。

S720、 UE不执行路径可达性检查，直接发送媒体协商完成确认消息给 P-CSCF。

S721、 MTC根据隧道类型为透传模式，对该 MSRP会话连接的报文进行透传处理，至此 UE和 IMS网络的 MSRP会话建立完成。

图 8是本发明另一个实施例的穿越隧道的方法的流程图。同图 4的实施例的主要区别是 UE没有发起 INVITE会话请求之前，先和 MTS建立 TCP 连接，然后在通过 SDP offer/answer方式， UE和网络协商将 VoIP媒体流通过这条事先建好的 TCP连接封装， UE和 MTS不用再进行穿越路径可达性检查，但是 VoIP媒体流只能采用 TCP隧道封装，不能采用 UDP隧道封装， MGW和 MTS都要集成 ICE-lite功能。

5801、 UE发起 IMS注册请求。

5802、 P-CSCF根据 REGISTER消息的地址信息判定存在 NAT问题，通过注册响应消息将 MTS信息通知 UE,在注册响应消息携带 MTS和 MGW 的 IP地址信息，携带方法为在 SIP消息中增加一个扩展头域或者在现有的 SIP头域基础上增加参数，携带 MTS和 MGW地址信息。如果判定为非 NAT 问题则采用实施例二中的轻量级穿越方案。

5803、 UE确定将要发起 VoIP会话，准备采用 TCP隧道方式穿越防火墙， UE分配 TCP穿越隧道的端口，即 MTC的端口 PT1。

S804~S805、MTC通过 PT1端口向 MTS的特定端口发起一条 TCP连接， MTS 的特定端口可以根据防火墙允许通过的端口范围进行配置，如设置为 HTTP协议默认端口 80或者 HTTPS协议默认端口 443端口，这一条 TCP在通话过程中一直保持着，知道通话结束。

S806~S807、 MTS集成 ICE-Lite功能， UE通过步骤 S805建立的 TCP 连接，向 MTS查询 MTC的公有 IP地址 IPln, 公有端口 PTln或者请求分配 MTC的公有 IP地址 IPa,公有端口 PTln, 本发明举例采用 STUN方式查询 MTC公有地址，采用 TURN方式申请 MTC公有地址，建立穿越隧道的方法和 STUN方式类似，这里不再举例。

5808、 UE起 VoIP的 INVITE请求，在 SDP 中携带建立穿越隧道的客户端信息，包括 MTC公有 IP地址和公有端口（ΙΡ1η,ΡΤ1η)、私有 IP地址和私有端口（ΙΡΙ,ΡΤΙ)和隧道封装类型为 TCP 隧道封装模式，采用下面两种方式携带穿越隧道客户端信息：

5809、 P-CSCF分配设置的特定端口 80为 TCP隧道的端口，即 TCP隧道网络侧的地址为 S805建立 TCP连接的 MTS地址。

5810、 P-CSCF将 TCP隧道的通信双方的地址和封装模式为 TCP封装以及将需要封装的媒体数据的通信双方地址相关信息通过 H.248协议或者其他控制协议传给 MTS, MTS根据 P-CSCF发过的信息，建立媒体和穿越隧道之间的对应关系 811、和正常的 IMS会话一样， P-CSCF将建立 RTP/RTCP 媒体信息发给媒体网关 MGW , 建立 RTP/RTCP连接。

5812、 P-CSCF将 TCP隧道的 MTS侧的地址信息和封装模式为 TCP隧道模式通过会话响应消息 200 OK或者 lxx消息通知 UE。

5813、 UE和 MTS无需执行路径， UE直接发会话成功确认消息 ACK 给网络。

5814、 UE和 MTS作为 TCP穿越隧道的业务终结点，执行 VoIP数据包的 TCP封装 /解开处理，封装方式如附图 10, TCP封装格式所示，整个 VoIP 数据包作为净荷被封装在 TCP隧道数据包中，隧道报头的 IP地址为 MTS 和 MTC的公有地址。 MTS/MTC解开隧道数据包后，根据原 VoIP数据包的地址进行转发。

5815、通话过程中 UE和 MTS进行周期性 NA ( P ) T地址绑定保活交互。

5816、 UE决定发起 MSRP会话，给 MSRP会话分配端口 PTx。

S817、 UE中 MTC模块通过 PTx端口和媒体网关 MGW特定端口建立一条 TCP连接，这一条 TCP保持长连接，知道会话结束后才终止， MGW 集成 ICE-lite功能。 MGW用于 MSRP穿越的特定端口可以根据防火墙允许通过的端口范围进行设置，例如设置为 HTTP协议默认端口 80或者 HTTPS 协议默认端口 443端口，本发明实施例举例为 80端口。

S818、 MTC通过和 S806、 S807相同的方法向 MGW查询 MSRP的公有地址 IPln, PTxn。

S819、 UE通过 INVITE消息，将 MSRP穿越隧道客户端私有 IP地址 IP1 , 和私有端口 PTx, 公有 IP地址 IPln和公有端口 PTxn以及隧道封装类型为透传模式等信息通知 P-CSCF。

S820、 P-CSCF获知隧道封装类型为透传模式后，为 MGW分配特定的

MSRP穿越端口 80,不为 MTS分配用于 MSRP穿越的端口，也就是说 MSRP 穿越不经过 MTS, UE和 MGW直接建立 MSRP连接。

S821、和正常 IMS MSRP会话方案一样， P-CSCF将建立 MSRP连接的信息告诉 MGW。

S822、 P-CSCF通过 lxx或者 200 OK响应消息，将 MGW的地址信息

(IPb,80)告诉 UE, 并通知隧道类型为透传模式。

5823、 UE和网络无需做路径可达性检查，直接发 ACK会话成功确认消息给网络。

5824、 MTC对收到 MSRP消息不做任何封装处理，直接透传给 IMS客户端。

图 9是本发明另一个实施例的穿越隧道的方法的流程图。同图 8的实施例的主要区别是 UE获取 MTS或者 MGW的方式不同， P-CSCF不通过注册消息将 MTS和 MGW地址告诉 UE, 而是通过建立会话过程中 SDP消息携带将 MTS或者 MGW通知 UE, UE再 MTS或者 MGW建立 TCP连接。 S901、 UE和 P-CSCF完成 IMS注册。

S902、 UE决定发起 VoIP会话，分配 TCP穿越隧道端口 PT1 , 通知准备通知 P-CSCF需要做防火墙穿越。

S903、 UE通过 INVITE消息中的 SDP携带的专门参数或者专门 SDP描述行，通知 P-CSCF需要做防火墙穿越。

S904、 P-CSCF通过 lxx 响应消息中 SDP的专门参数或者专门 SDP描述行，将 MTC的地址信息告诉 UE, 同声明网络侧也支持防火墙穿越,。

S905、 MTC通过 PT1端口向 MTS的特定端口发起一条 TCP连接， MTS 的特定端口可以根据防火墙允许通过的端口范围进行配置，如设置为 HTTP 协议默认端口 80或者 HTTPS协议默认端口 443端口，这一条 TCP在通话过程中一直保持着，知道通话结束。

S906~S907、 MTS集成 ICE-Lite功能， UE通过步骤 S905建立的 TCP 连接，向 MTS查询 MTC的公有 IP地址 IPln,和公有端口 PTln或者向 MTS 申请 MTC的公有 IP地址 IPa,公有端口 PTln, 本发明举例采用 STUN方式查询 MTC公有地址，采用 TURN方式申请 MTC公有地址，建立穿越隧道的方法和 STUN方式类似，这里不再举例。。

S908、 UE发送 PRACK消息，在 PRACK消息 SDP body中携带建立穿越隧道的客户端信息，包括 MTC公有 IP地址和公有端口（ΙΡ1η,ΡΤ1η)、私有 IP地址和私有短裤哦 (ΙΡΙ,ΡΤΙ)和隧道封装类型为 TCP隧道封装模式，采用下面两种方式携带穿越隧道客户端信息：

S909、 P-CSCF分配设置的特定端口 80为 TCP隧道的端口，即 TCP隧道网络侧的地址为步骤 S905建立 TCP连接的 MTS地址。

S910、 P-CSCF将 TCP隧道的通信双方的地址和封装模式为 TCP封装，以及将需要封装的媒体数据的通信双方地址相关信息通过 H.248协议或者其他控制协议传给 MTS, MTS根据 P-CSCF发过的信息，建立媒体和穿越隧道之间的对应关系 911、和正常的 IMS会话一样， P-CSCF将建立 RTP/RTCP 媒体信息发给媒体网关 MGW , 建立 RTP/RTCP连接。

5912、 P-CSCF将 TCP隧道的 MTS侧的地址信息和封装模式为 TCP隧道模式通过会话响应消息 200 OK消息通知 UE。

5913、 UE和 MTS无需执行路径， UE直接发会话成功确认消息 ACK 给网络。

5914、 UE和 MTS作为 TCP穿越隧道的业务终结点，执行 VoIP数据包的 TCP封装 /解开处理，封装方式如附图 10, TCP封装格式所示，整个 VoIP 数据包作为净荷被封装在 TCP隧道数据包中，隧道报头的 IP地址为 MTS 和 MTC的公有地址。 MTS/MTC解开隧道数据包后，根据原 VoIP数据包的地址进行转发。通话过程中 UE和 MTS进行周期性 NA ( P ) T地址绑定保活交互。

S915、 UE决定发起 MSRP会话，给 MSRP会话分配私网端口 PTx。 S916、 UE通过 INVITE消息中的 SDP携带的专门参数或者专门 SDP描述行，通知 P-CSCF需要做防火墙穿越。

S917、 P-CSCF通过 lxx 响应消息中 SDP的专门参数或者专门 SDP描述行，将 MGW的地址信息告诉 UE, 同声明网络侧也支持防火墙穿越。

S918、 UE中 MTC模块通过 PTx端口和媒体网关 MGW特定端口建立一条 TCP连接，这一条 TCP保持长连接，知道会话结束后才终止， MGW 集成 ICE-lite功能。 MGW用于 MSRP穿越的特定端口可以根据防火墙允许通过的端口范围进行设置，例如设置为 HTTP协议默认端口 80或者 HTTPS 协议默认端口 443端口，本发明实施例举例为 80端口。

S919、 MTC通过和步骤 S906、 S907相同的方法向 MGW查询 MSRP 的公有 IP地址 IPln, 公有端口 PTxn。

S920、 UE通过 PRACK消息，将 MSRP穿越隧道客户端私有 IP地址 IP1 , 私有端口 PTx, 公有 IP地址 IPln, 公有 PTxn以及隧道封装类型为透传模式等信息通知 P-CSCF。

S921、 P-CSCF获知隧道封装类型为透传模式后，为 MGW分配特定的 MSRP穿越端口 80,不为 MTS分配用于 MSRP穿越的端口，也就是说 MSRP 穿越不经过 MTS, UE和 MGW直接建立 MSRP连接。 5922、和正常 IMS MSRP会话方案一样， P-CSCF将建立 MSRP连接的信息告诉 MGW。

5923、 P-CSCF通过 200 OK响应消息，将 MGW的地址信息 (IPb,80)告诉 UE, 并通知隧道类型为透传模式。

S924, UE和网络无需做路径可达性检查，直接发 ACK会话成功确认消息给网络。

S925 , MTC对收到 MSRP消息不做任何封装处理，直接透传给 IMS 客户端。

上文中结合图 1至图 10,详细描述了根据本发明实施例的穿越防火墙的方法，下面将结合图 11至图 16, 详细描述根据本发明实施例的客户端、 SIP 服务器和 MTS。

图 11 是本发明一个实施例的客户端的框图。该客户端包括确定单元

1101、发送单元 1102、接收单元 1103以及建立单元 1104。

确定单元 1101 , 用于确定局域网中客户端的地址；

发送单元 1102,用于向会话初始化协议 SIP服务器发送包含客户端的地址的信息；

接收单元 1103,用于接收 SIP服务器发送的包含网络侧的媒体穿越服务器 MTS的地址的信息；

建立单元 1104, 用于根据客户端的地址以及 MTS的地址，建立客户端与 MTS之间的用于传输 SIP媒体数据的隧道，隧道穿越局域网中的防火墙，

可选地，作为一个实施例，确定单元 1101具体用于确定客户端的地址，客户端的地址包括客户端的公有网际协议 IP地址和客户端的公有端口。

可选地，作为另一个实施例，接收单元 1103具体用于接收包含 MTS的地址的信息， MTS的地址包括 MTS的公有 IP地址和 MTS的公有端口；建立单元 1104具体用于根据客户端的公有 IP地址、客户端的公有端口、 MTS 的公有 IP地址以及 MTS的公有端口建立隧道。

可选地，作为另一个实施例，客户端还可包括：判断单元，用于判断防火墙是否需要进行网络地址转换 NAT; 则，在确定防火墙需要进行 NAT时，确定单元 1101具体用于获取客户端的私有 IP地址，并分配客户端的私有端口；根据客户端的私有 IP地址和客户端的私有端口查询客户端的公有 IP地址和客户端的公有端口。

可选地，作为另一个实施例，确定单元 1101具体用于获取 MTS的公有 IP地址；根据客户端的私有端口以及 MTS的公有 IP地址，与 MTS的公有 IP地址的特定端口建立传输控制协议 TCP连接，特定端口的端口号与防火墙允许通过的端口的端口号相同；通过 TCP连接查询客户端的地址。

可选地，作为另一个实施例，确定单元 1101具体用于向 SIP服务器发送用于请求 MTS的公有 IP地址的请求消息；接收 SIP服务器发送的请求响应消息，请求响应消息中携带 MTS的公有 IP地址。

可选地，作为另一个实施例，在确定防火墙不需要进行 NAT时，确定单元 1101具体用于获取客户端的公有 IP地址；探测防火墙允许通过的特定端口；将防火墙允许通过的特定端口作为客户端的公有端口。

可选地，作为另一个实施例，确定单元 1101还用于确定防火墙支持的传输协议，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；发送单元 1102还用于向 SIP服务器发送用于指示传输协议的信息；

客户端还包括：封装单元，用于当通过隧道向 MTS发送数据时，利用传输协议对数据进行封装；解封装单元，用于当接收 MTS通过隧道发送的数据时，利用传输协议对数据进行解封装。

图 12是本发明一个实施例的 SIP服务器的框图。该 SIP服务器包括接收单元 1201、分配单元 1202以及发送单元 1203。

接收单元 1201 , 用于接收包含局域网中客户端的地址的信息；分配单元 1202, 用于分配媒体穿越服务器 MTS的公有端口；

发送单元 1203, 用于向客户端发送包含 MTS的地址的信息，所述 MTS 地址包括所述 MTS的公有端口以及获取的 MTS的公有 IP地址，并向 MTS 发送包含客户端的地址以及 MTS的公有端口的信息，以便客户端与 MTS之间建立用于传输会话初始化协议 SIP媒体数据的隧道，隧道穿越局域网中的防火墙， SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP 数据。

可选地，作为一个实施例，接收单元 1201具体用于接收包含客户端的地址的信息，客户端的地址包括客户端的公有网际协议 IP地址和客户端的公有端口；向客户端发送 MTS 的地址包括：向客户端发送 MTS 的地址， MTS的地址包括 MTS的公有 IP地址和 MTS的公有端口。

可选地，作为另一个实施例，分配单元 1202具体用于将防火墙允许通过的端口的端口号作为 MTS的公有端口的端口号。

可选地，作为另一个实施例，接收单元 1201还用于接收客户端发送的用于请求 MTS的公有 IP地址的请求消息；向客户端发送请求响应消息，请求响应消息中携带 MTS的公有 IP地址。

可选地，作为另一个实施例，接收单元 1201还用于接收客户端发送的用于指示防火墙支持的传输协议的信息，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；发送单元 1203还用于向 MTS发送用于指示传输协议的信息。

可选地，作为另一个实施例，发送单元 1203还用于向所述 MTS发送包含媒体网关的地址以及所述客户端的地址的信息。

图 13是本发明一个实施例的 MTS的框图。该 MTS包括接收单元 1301 和建立单元 1302。

接收单元 1301 ,用于接收会话初始化协议 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息；

建立单元 1302, 用于根据客户端的地址以及 MTS 的地址，建立 MTS 与客户端之间的用于传输 SIP媒体数据的隧道，隧道穿越局域网的防火墙， SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

可选地，作为一个实施例，接收单元 1301具体用于接收包含客户端的地址以及 MTS的公有端口的信息，客户端的地址包括客户端的公有 IP地址和客户端的公有端口；建立单元 1302具体用于根据客户端的公有 IP地址、客户端的公有端口以及 MTS的地址建立隧道， MTS的地址包括 MTS的公有 IP地址和 MTS的公有端口。

可选地，作为另一个实施例，建立单元 1302还用于与客户端建立传输控制协议 TCP连接，以便客户端根据 TCP连接查询客户端的公有 IP地址和客户端的公有端口。

可选地，作为另一个实施例，接收单元 1301还用于接收 SIP服务器发送的用于指示防火墙支持的传输协议的信息，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；

MTS 还包括：封装单元，用于当通过隧道向客户端发送数据时，利用传输协议对数据进行封装；解封装单元，用于当接收客户端通过隧道发送的数据时，利用传输协议对数据进行解封装。

可选地，作为另一个实施例，接收单元 1301还用于接收所述 SIP服务器发送的包含媒体网关的地址以及所述客户端的地址的信息。

图 14 是本发明另一个实施例的客户端的框图。该客户端包括处理器 1401、发送器 1402以及接收器 1403。

处理器 1401 , 用于确定局域网中客户端的地址；

发送器 1402,用于向会话初始化协议 SIP服务器发送包含客户端的地址的信息；

接收器 1403,用于接收 SIP服务器发送的包含网络侧的媒体穿越服务器 MTS的地址的信息；

处理器 1401还用于根据客户端的地址以及 MTS的地址，建立客户端与 MTS之间的用于传输 SIP媒体数据的隧道，隧道穿越局域网中的防火墙， SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

可选地，作为一个实施例，处理器 1401具体用于确定客户端的地址，客户端的地址包括客户端的公有网际协议 IP地址和客户端的公有端口。

可选地，作为另一个实施例，接收器 1403具体用于接收包含 MTS的地址的信息， MTS的地址包括 MTS的公有 IP地址和 MTS的公有端口；处理器 1401具体用于根据客户端的公有 IP地址、客户端的公有端口、 MTS的公有 IP地址以及 MTS的公有端口建立隧道。

可选地，作为另一个实施例，处理器 1401还用于判断防火墙是否需要进行网络地址转换 NAT; 在确定防火墙需要进行 NAT时，处理器 1401具体用于获取客户端的私有 IP地址，并分配客户端的私有端口；根据客户端的私有 IP地址和客户端的私有端口查询客户端的公有 IP地址和客户端的公有端口。

可选地，作为另一个实施例，处理器 1401具体用于获取 MTS的公有 IP 地址；根据客户端的私有端口以及 MTS的公有 IP地址，与 MTS的特定端口建立传输控制协议 TCP连接，特定端口的端口号与防火墙允许通过的端口的端口号相同；通过 TCP连接查询客户端的地址。

可选地，作为另一个实施例，处理器 1401具体用于向 SIP服务器发送用于请求 MTS的公有 IP地址的请求消息；接收 SIP服务器发送的请求响应消息，请求响应消息中携带 MTS的公有 IP地址。

可选地，作为另一个实施例，在确定防火墙不需要进行 NAT时，处理器 1401具体用于获取客户端的公有 IP地址；探测防火墙允许通过的特定端口；将防火墙允许通过的特定端口作为客户端的公有端口。

可选地，作为另一个实施例，处理器 1401还用于确定防火墙支持的传输协议，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；发送单元 1402还用于向 SIP服务器发送用于指示传输协议的信息；

处理器还用于当通过隧道向 MTS发送数据时，利用传输协议对数据进行封装；处理器还用于当接收 MTS通过隧道发送的数据时，利用传输协议对数据进行解封装。

图 15是本发明另一个实施例的 SIP服务器的框图。该 SIP服务器包括接收器 1501、处理器 1502以及发送器 1503。

接收器 1501 , 用于接收包含局域网中客户端的地址的信息；

处理器 1502, 用于分配媒体穿越服务器 MTS的公有端口；

发送器 1503, 用于向客户端发送包含 MTS的地址的信息， MTS地址包括 MTS的公有端口以及获取的 MTS的公有 IP地址，并向 MTS发送包含客户端的地址以及 MTS的公有端口的信息，以便客户端与 MTS之间建立用于传输会话初始化协议 SIP媒体数据的隧道，隧道穿越局域网中的防火墙， SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

可选地，作为一个实施例，接收器 1501具体用于接收包含客户端的地址的信息，客户端的地址包括客户端的公有网际协议 IP地址和客户端的公有端口。

可选地，作为另一个实施例，处理器 1502具体用于将防火墙允许通过的端口的端口号作为 MTS的公有端口的端口号。

可选地，作为另一个实施例，接收器 1501还用于接收客户端发送的用于请求 MTS的公有 IP地址的请求消息；向客户端发送请求响应消息，请求响应消息中携带 MTS的公有 IP地址。

可选地，作为另一个实施例，接收器 1501还用于接收客户端发送的用于指示防火墙支持的传输协议的信息，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；发送器 1503还用于向 MTS发送用于指示传输协议的信息。

可选地，作为另一个实施例，发送器 1503还用于向所述 MTS发送包含媒体网关的地址以及所述客户端的地址的信息。

图 16是本发明另一个实施例的 MTS的框图。该 MTS包括接收器 1601 和处理器 1602。

接收器 1601 ,用于接收会话初始化协议 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息；

处理器 1602, 用于根据客户端的地址以及 MTS的地址，建立 MTS与客户端之间的用于传输 SIP媒体数据的隧道，隧道穿越客局域网中的防火墙， SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

可选地，作为一个实施例，接收器 1601具体用于接收包含客户端的地址以及 MTS的公有端口的信息，客户端的地址包括客户端的公有 IP地址和客户端的公有端口；处理器 1602具体用于根据客户端的公有 IP地址、客户端的公有端口以及 MTS的地址建立隧道， MTS的地址包括 MTS的公有 IP 地址和 MTS的公有端口。

可选地，作为另一个实施例，处理器 1602还用于与客户端建立传输控制协议 TCP连接，以便客户端根据 TCP连接查询客户端的公有 IP地址和客户端的公有端口。

可选地，作为另一个实施例，接收器 1601还用于接收 SIP服务器发送的用于指示防火墙支持的传输协议的信息，传输协议包括 TCP和用户数据包协议 UDP中的至少一种；

处理器 1602还用于当通过隧道向客户端发送数据时，利用传输协议对数据进行封装；当接收客户端通过隧道发送的数据时，利用传输协议对数据进行解封装。

可选地，作为另一个实施例，接收器 1601还用于接收所述 SIP服务器发送的包含媒体网关的地址以及所述客户端的地址的信息。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和筒洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ ROM, Read-Only Memory )、随机存取存储器（RAM, Random Access Memory ), 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

权利要求

1. 一种穿越防火墙的方法，其特征在于，包括：

确定局域网中客户端的地址；

向会话初始化协议 SIP服务器发送包含所述客户端的地址的信息；接收所述 SIP服务器发送的包含网络侧的媒体穿越服务器 MTS的地址的信息；

根据所述客户端的地址以及所述 MTS的地址，建立所述客户端与所述 MTS之间的用于传输 SIP媒体数据的隧道，所述隧道穿越所述局域网中的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

2. 如权利要求 1所述的方法，其特征在于，所述确定局域网中客户端的地址包括：

确定所述客户端的地址，所述客户端的地址包括所述客户端的公有网际协议 IP地址和所述客户端的公有端口。

3. 如权利要求 1或 2所述的方法，其特征在于，所述接收所述 SIP服务器发送的包含网络侧的 MTS的地址的信息包括：

接收所述包含所述 MTS的地址的信息，所述 MTS的地址包括所述 MTS 的公有 IP地址和所述 MTS的公有端口；

贝' J , 所述根据所述客户端的地址以及所述 MTS的地址，建立所述客户端与所述 MTS之间的用于传输 SIP媒体数据的隧道，包括：

根据所述客户端的公有 IP地址、所述客户端的公有端口、所述 MTS的公有 IP地址以及所述 MTS的公有端口，建立所述隧道。

4. 如权利要求 3所述的方法，其特征在于，在所述确定所述客户端的地址之前，还包括：

判断所述防火墙是否需要进行网络地址转换 NAT;

贝' J , 在确定所述防火墙需要进行 NAT时，所述确定所述客户端的地址包括：

获取所述客户端的私有 IP地址，并分配所述客户端的私有端口；根据所述客户端的私有 IP地址和所述客户端的私有端口，查询所述客户端的公有 IP地址和所述客户端的公有端口。

5. 如权利要求 4所述的方法，其特征在于，所述根据所述客户端的私有 IP地址和所述客户端的私有端口，查询所述客户端的公有 IP地址和所述客户端的公有端口包括：

获取所述 MTS的公有 IP地址；

根据所述客户端的私有端口以及所述 MTS的公有 IP地址，与所述 MTS 的特定端口建立传输控制协议 TCP连接，所述特定端口的端口号与所述防火墙允许通过的端口的端口号相同；

通过所述 TCP连接查询所述客户端的地址。

6. 如权利要求 5所述的方法，其特征在于，所述获取所述 MTS的公有 IP地址包括：

向所述 SIP服务器发送用于请求所述 MTS的公有 IP地址的请求消息；接收所述 SIP服务器发送的请求响应消息，所述请求响应消息中携带所述 MTS的公有 IP地址。

7. 如权利要求 4-6中任一项所述的方法，其特征在于，

在确定所述防火墙不需要进行 NAT时，所述确定所述客户端的地址包括：

获取所述客户端的公有 IP地址；

探测所述防火墙允许通过的特定端口；

将所述防火墙允许通过的特定端口作为所述客户端的公有端口。

8. 如权利要求 1-7中任一项所述的方法，其特征在于，还包括：确定所述防火墙支持的传输协议，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；

向所述 SIP服务器发送用于指示所述传输协议的信息；

当通过所述隧道向所述 MTS发送数据时，利用所述传输协议对所述数据进行封装；

当接收所述 MTS通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。

9. 一种穿越防火墙的方法，其特征在于，包括：

接收包含局域网中客户端的地址的信息；

分配媒体穿越服务器 MTS的公有端口；

向所述客户端发送包含 MTS 的地址的信息，所述 MTS地址包括所述

MTS的公有端口以及获取的 MTS的公有 IP地址，并向所述 MTS发送包含所述客户端的地址以及所述 MTS的公有端口的信息，以便所述客户端与所述 MTS之间建立用于传输会话初始化协议 SIP媒体数据的隧道，所述隧道穿越所述局域网中的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

10. 如权利要求 9所述的方法，其特征在于，所述接收包含局域网中客户端的地址的信息包括：

接收所述包含所述客户端的地址的信息，所述客户端的地址包括所述客户端的公有网际协议 IP地址和所述客户端的公有端口。

11. 如权利要求 10所述的方法，其特征在于，所述分配 MTS的公有端口包括：

将所述防火墙允许通过的端口的端口号作为所述 MTS的公有端口的端口号。

12. 如权利要求 9-11中任一项所述的方法，其特征在于，在所述接收局域网中客户端的地址之前，还包括：

接收所述客户端发送的用于请求所述 MTS的公有 IP地址的请求消息；向所述客户端发送请求响应消息，所述请求响应消息中携带所述 MTS 的公有 IP地址。

13. 如权利要求 9-12中任一项所述的方法，其特征在于，还包括：接收所述客户端发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；

向所述 MTS发送用于指示所述传输协议的信息。

14. 如权利要求 9-13中任一项所述的方法，其特征在于，还包括：向所述 MTS发送包含媒体网关的地址以及所述客户端的地址的信息。

15. 一种穿越防火墙的方法，其特征在于，包括：

接收会话初始化协议 SIP服务器发送的包含局域网中客户端的地址以及

MTS的公有端口的信息；

根据所述客户端的地址以及所述 MTS的地址，建立所述 MTS与所述客户端之间的用于传输 SIP媒体数据的隧道，所述隧道穿越所述局域网中的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

16. 如权利要求 15所述的方法，其特征在于，所述接收 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息包括：接收所述包含所述客户端的地址以及所述 MTS的公有端口的信息，所述客户端的地址包括所述客户端的公有 IP地址和所述客户端的公有端口；贝' J , 所述根据所述客户端的地址以及所述 MTS的地址，建立所述 MTS 与所述客户端之间的用于传输 SIP媒体数据的隧道包括：

根据所述客户端的公有 IP地址、所述客户端的公有端口以及所述 MTS 的地址，建立所述隧道，所述 MTS的地址包括所述 MTS的公有 IP地址和所述 MTS的公有端口。

17. 如权利要求 15或 16所述的方法，其特征在于，在所述接收 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息之前，还包括：

与所述客户端建立传输控制协议 TCP连接，以便所述客户端根据所述 TCP连接查询所述客户端的公有 IP地址和所述客户端的公有端口。

18. 如权利要求 15-17中任一项所述的方法，其特征在于，还包括：接收所述 SIP服务器发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；

当通过所述隧道向所述客户端发送数据时，利用所述传输协议对所述数据进行封装；

当接收所述客户端通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。

19. 如权利要求 15-18中任一项所述的方法，其特征在于，还包括：的信息。

20. 一种客户端，其特征在于，包括：

确定单元，用于确定局域网中客户端的地址；

发送单元，用于向会话初始化协议 SIP服务器发送包含所述客户端的地址的信息；

接收单元，用于接收所述 SIP服务器发送的包含网络侧的媒体穿越服务器 MTS的地址的信息；

建立单元，用于根据所述客户端的地址以及所述 MTS的地址，建立所述客户端与所述 MTS之间的用于传输 SIP媒体数据的隧道，所述隧道穿越所述局域网中的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

21. 如权利要求 20所述的客户端，其特征在于，所述确定单元具体用于确定所述客户端的地址，所述客户端的地址包括所述客户端的公有网际协议 IP地址和所述客户端的公有端口。

22. 如权利要求 20或 21所述的方法，其特征在于，所述接收单元具体用于接收所述包含所述 MTS的地址的信息，所述 MTS的地址包括所述 MTS 的公有 IP地址和所述 MTS的公有端口；

所述建立单元具体用于根据所述客户端的公有 IP地址、所述客户端的公有端口、所述 MTS的公有 IP地址以及所述 MTS的公有端口，建立所述隧道。

23. 如权利要求 22所述的客户端，其特征在于，还包括：

判断单元，用于判断所述防火墙是否需要进行网络地址转换 NAT; 贝' J , 在确定所述防火墙需要进行 NAT时，所述确定单元具体用于获取所述客户端的私有 IP地址，并分配所述客户端的私有端口；根据所述客户端的私有 IP地址和所述客户端的私有端口查询所述客户端的公有 IP地址和所述客户端的公有端口。

24. 如权利要求 23所述的客户端，其特征在于，所述确定单元具体用于获取所述 MTS的公有 IP地址；根据所述客户端的私有端口以及所述 MTS 的公有 IP地址，与所述 MTS的特定端口建立传输控制协议 TCP连接，所述特定端口的端口号与所述防火墙允许通过的端口的端口号相同；通过所述 TCP连接查询所述客户端的地址。

25. 如权利要求 24所述的客户端，其特征在于，所述确定单元具体用于向所述 SIP服务器发送用于请求所述 MTS的公有 IP地址的请求消息；接收所述 SIP服务器发送的请求响应消息，所述请求响应消息中携带所述 MTS 的公有 IP地址。

26. 如权利要求 23-25中任一项所述的客户端，其特征在于，

在确定所述防火墙不需要进行 NAT时，所述确定单元具体用于获取所述客户端的公有 IP地址；探测所述防火墙允许通过的特定端口；将所述防火墙允许通过的特定端口作为所述客户端的公有端口。

27. 如权利要求 20-26中任一项所述的客户端，其特征在于，所述确定单元还用于确定所述防火墙支持的传输协议，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；息；、。，，、所述客户端还包括：

封装单元，用于当通过所述隧道向所述 MTS发送数据时，利用所述传输协议对所述数据进行封装；

解封装单元，用于当接收所述 MTS通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。

28. 一种会话初始化协议 SIP服务器，其特征在于，包括：

接收单元，用于接收包含局域网中客户端的地址的信息；

分配单元，用于分配媒体穿越服务器 MTS的公有端口；

发送单元，用于向所述客户端发送包含 MTS的地址的信息，所述 MTS 地址包括所述 MTS的公有端口以及获取的 MTS的公有 IP地址，并向所述 MTS发送包含所述客户端的地址以及所述 MTS的公有端口的信息，以便所述客户端与所述 MTS之间建立用于传输会话初始化协议 SIP媒体数据的隧道，所述隧道穿越所述局域网的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

29. 如权利要求 27所述的 SIP服务器，其特征在于，所述接收单元具体用于接收所述包含所述客户端的地址的信息，所述客户端的地址包括所述客户端的公有网际协议 IP地址和所述客户端的公有端口。

30. 如权利要求 29所述的 SIP服务器，其特征在于，所述分配单元具体用于将所述防火墙允许通过的端口的端口号作为所述 MTS的公有端口的端口号。

31. 如权利要求 28-30中任一项所述的 SIP服务器，其特征在于，所述请求消息；向所述客户端发送请求响应消息，所述请求响应消息中携带所述 MTS的公有 IP地址。

32. 如权利要求 28-31中任一项所述的 SIP服务器，其特征在于，所述接收单元还用于接收所述客户端发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；所述发送单元还用于向所述 MTS发送用于指示所述传输协议的信息。

33. 如权利要求 28-32中任一项所述的 SIP服务器，其特征在于，所述发送单元还用于向所述 MTS发送包含媒体网关的地址以及所述客户端的地址的信息。

34. 一种穿越隧道服务器 MTS, 其特征在于，包括：

接收单元，用于接收会话初始化协议 SIP服务器发送的包含局域网中客户端的地址以及 MTS的公有端口的信息；

建立单元，用于根据所述客户端的地址以及所述 MTS的地址，建立所述 MTS与所述客户端之间的用于传输 SIP媒体数据的隧道，所述隧道穿越局域网的防火墙，所述 SIP媒体数据包括实时传输协议 RTP数据和实时传输控制协议 RTCP数据。

35. 如权利要求 34所述的 MTS, 其特征在于，所述接收单元具体用于接收所述包含所述客户端的地址以及所述 MTS的公有端口的信息，所述客户端的地址包括所述客户端的公有 IP地址和所述客户端的公有端口；

则，所述建立单元具体用于根据所述客户端的公有 IP地址、所述客户端的公有端口以及所述 MTS的地址建立所述隧道，所述 MTS的地址包括所述 MTS的公有 IP地址和所述 MTS的公有端口。

36. 如权利要求 34或 35所述的 MTS, 其特征在于，所述建立单元还用于与所述客户端建立传输控制协议 TCP连接，以便所述客户端根据所述 TCP连接查询所述客户端的公有 IP地址和所述客户端的公有端口。

37. 如权利要求 34-36中任一项所述的 MTS, 其特征在于，所述接收单元还用于接收所述 SIP服务器发送的用于指示所述防火墙支持的传输协议的信息，所述传输协议包括 TCP和用户数据包协议 UDP中的至少一种；所述 MTS还包括：

封装单元，用于当通过所述隧道向所述客户端发送数据时，利用所述传输协议对所述数据进行封装；

解封装单元，用于当接收所述客户端通过所述隧道发送的数据时，利用所述传输协议对所述数据进行解封装。

38. 如权利要求 34-37中任一项所述的 MTS, 其特征在于，所述接收单地址的信息。