WO2023130901A1

WO2023130901A1 - 一种网络节点间nat探测方法、装置、设备及存储介质

Info

Publication number: WO2023130901A1
Application number: PCT/CN2022/138028
Authority: WO
Inventors: 郭金发; 杜明; 张国强; 颜湘
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2022-01-05
Filing date: 2022-12-09
Publication date: 2023-07-13
Also published as: CN116455863A

Abstract

本申请公开了一种网络节点间NAT探测方法、装置、设备及存储介质，包括：请求节点获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，并将NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点；响应节点对接收的NAT探测请求分组报文进行解保护处理后获取NAT探测请求消息或NAT探测结果请求消息的载荷数据，将获取的载荷数据与NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。解决了网络节点间NAT探测与密钥管理协议紧耦合而造成的密钥管理功能扩展难的问题。

Description

一种网络节点间NAT探测方法、装置、设备及存储介质

相关申请的交叉引用

本申请要求在2022年01月05日提交中国专利局、申请号为202210005432.6、申请名称为“一种网络节点间NAT探测方法、装置及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，特别涉及一种网络节点间NAT探测方法、装置、设备及存储介质。

背景技术

由于Internet网络设计之初，基本没有把安全设计在内，因此网络通信存在很大安全隐患；随着时间的推移，技术的发展，网络在人们的生活中随处可见，其安全隐患也暴露无遗，威胁着人们的财产、安全；在这种情况下就出现了诸如互联网安全协议IPsec等安全通信协议，来弥补最初网络设计时没有考虑安全需求的缺陷。但是由于在Internet上有网络地址转换(Network Address Translation，简称NAT)的存在，部署诸如IPsec等安全通信协议工程时又无法知道部署环境是否存在NAT设备(因为是否存在NAT设备决定着安全通信保障方式)，所以就需要通过NAT探测方法来确定诸如IPsec等安全通信协议如何保障安全通信。

现阶段，安全通信协议没有一个NAT探测的统一解决方案，一般使用密钥管理协议进行NAT探测，例如IPsec使用秘钥管理协议IKE(Internet Key Exchange)进行NAT探测；但是使用IKE进行NAT探测还存在如下缺陷：

功能界定混乱，边界模糊，不利于密钥管理协议对密钥管理功能的扩展。例如，IPsec进行NAT探测使用密钥管理协议IKE的“通告载荷”实现，“通告载荷”是密钥管理协议的一部分，如果进行密钥管理功能的扩展(如，进一步加强密钥管理的安全性)，由于受NAT探测功能支持的限制，存在内部IP地址的暴露风险，反而使安全性降低。

发明内容

本发明实施例提供一种网络节点间NAT探测方法、装置、设备及存储介质，用以解决现有技术中类似IPsec使用IKE进行NAT探测时，由于NAT探测与密钥管理协议紧耦合而造成的密钥管理功能扩展难且引入安全漏洞问题。

第一方面，本发明实施例提供一种网络节点间NAT探测方法，包括：

请求节点获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，所述第一节点信息包括请求节点自身的IP地址，及配置的响应节点的IP地址；

请求节点将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，并对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点；

响应节点接收所述NAT探测请求分组报文，并对接收的NAT探测请求分组报文进行解保护处理；

响应节点从解保护处理后的NAT探测请求分组报文中获取所述NAT探测请求消息或NAT探测结果请求消息，将获取的NAT探测请求消息或NAT探测结果请求消息中的载荷数据与所述NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果；

响应节点从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测请求消息时，获取第二节点信息，所述第二节点信息包括响应节点自身的IP地址，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的IP地址，并将第二节点信息作为NAT探测响应消息的载荷数据，将所述NAT探测响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；或者，响应节点从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测结果请求消息时，将所述NAT探测结果携带在NAT探测结果响应消息，将所述NAT探测结果响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；

请求节点接收所述NAT探测响应分组报文并进行解保护处理，从解保护处理后的NAT探测响应分组报文中获取到NAT探测结果响应消息时，从所述NAT探测结果响应消息中获取NAT探测结果；或者，从解保护处理后的NAT探测响应分组报文中获取到NAT探测响应消息时，获取所述NAT探测响应消息的载荷数据，并将获取的载荷数据与所述NAT探测响应分组报文的第二IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。

可选地，所述第一节点信息还包括请求节点自身的端口号，及配置的响应节点的端口号；或者所述第一节点信息还包括请求节点自身的SID，及配置的响应节点的SID；

所述第二节点信息还包括响应节点自身的端口号，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的端口号；或者所述第二节点信息还包括响应节点自身的SID，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的SID。

可选地，所述请求节点将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，包括：

将所述第一节点信息封装到NAT探测请求分组报文的第一IP报头中；

将所述NAT探测请求消息或NAT探测结果请求消息封装到NAT探测请求分组报文的第一报文内容中；

所述响应节点将所述NAT探测响应消息或NAT探测结果响应消息进行IP报文封装，包括：

将所述第二节点信息封装到NAT探测响应分组报文的第二IP报头中；

将所述NAT探测响应消息或NAT探测结果响应消息封装到NAT探测响应分组报文的第二报文内容中。

可选地，所述NAT探测请求消息或所述NAT探测结果请求消息或所述NAT探测响应消息，包括指示消息类型的标识、用于解析IP地址个数的长度信息；

所述NAT探测结果响应消息，包括指示请求节点和响应节点间是否存在NAT的标识。

可选地，请求节点对所述NAT探测请求分组报文进行保护处理，包括：

请求节点对所述NAT探测请求分组报文进行加密、数据混淆、完整性校验中的至少一项处理；

响应节点对所述NAT探测请求分组报文进行解保护处理，包括：

响应节点对所述NAT探测请求分组报文进行解密、数据还原、完整性校验中的至少一项处理。

可选地，响应节点对所述NAT探测响应分组报文进行保护处理，包括：

响应节点对所述NAT探测响应分组报文进行加密、数据混淆、完整性校验中的至少一项处理；

请求节点对所述NAT探测响应分组报文进行解保护处理，包括：

请求节点对所述NAT探测响应分组报文进行解密、数据还原、完整性校验中的至少一项处理。

可选地，响应节点根据对比结果确定NAT探测结果，包括如下任一步骤：

当获取的载荷数据中的请求节点的IP地址与第一IP报头中的请求节点的IP地址不同，或者，所述载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同，或者，所述载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT；

当获取的载荷数据中的响应节点的IP地址与所述第一IP报头中的响应节点的IP地址不同，或者，所述载荷数据中响应节点的端口号与所述第一IP报头中的响应节点的端口号不同，或者，所述载荷数据中响应节点的SID与所述第一IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT。

可选地，请求节点根据对比结果确定NAT探测结果，包括：

当获取的载荷数据中的响应节点的IP地址与第二IP报头中的响应节点的IP地址不同，或者，所述载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同，或者，所述载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT；

当获取的载荷数据中请求节点的IP地址与所述第二IP报头中请求节点的IP地址不同，或者，所述载荷数据中请求节点的端口号与所述第二IP报头中请求节点的端口号不同，或者，所述载荷数据中请求节点的SID与所述第二IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT。

可选地，所述请求节点或响应节点根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果；

所述第一探测结果为指示所述请求节点和响应节点间是否存在NAT的探测结果；

所述第二探测结果包括指示所述请求节点和响应节点间是否存在NAT，及所述请求节点和响应节点之间存在NAT时，所述NAT的分布位置。

第二方面，本发明实施例还提供一种网络节点间NAT探测装置，配置于请求节点，包括：

获取模块，用于获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，所述第一节点信息包括请求节点自身的IP地址，及配置的响应节点的IP地址；

封装模块，用于将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，并对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点；

确定模块，用于接收NAT探测响应分组报文并进行解保护处理，从解保护处理后的NAT探测响应分组报文中获取到NAT探测结果响应消息时，从所述NAT探测结果响应消息中获取NAT探测结果；或者，从解保护处理后的NAT探测响应分组报文中获取到NAT探测响应消息时，获取所述NAT探测响应消息的载荷数据，并将获取的载荷数据与所述NAT探测响应分组报文的第二IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。

第三方面，本发明实施例还提供一种网络节点间NAT探测装置，配置于响应节点，包括：

接收模块，用于接收NAT探测请求分组报文，并对接收的NAT探测请求分组报文进行解保护处理；

确定模块，用于从解保护处理后的NAT探测请求分组报文中获取所述NAT探测请求消息或NAT探测结果请求消息，将获取的NAT探测请求消息或NAT探测结果请求消息中的载荷数据与所述NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果；

获取模块，用于从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测请求消息时，获取第二节点信息，所述第二节点信息包括响应节点自身的IP地址，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的IP地址，并将第二节点信息作为NAT探测响应消息的载荷数据，将所述NAT探测响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；或者，用于从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测结果请求消息时，将所述NAT探测结果携带在NAT探测结果响应消息，将所述NAT探测结果响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点。

第四方面，本发明实施例还提供一种网络节点间NAT探测设备，配置于请求节点，所述设备包括：存储器，用于存储程序指令；处理器，用于调用所述存储器存储的程序指令，按照获得的程序执行上述第一方面提供的网络节点间NAT探测方法的步骤。

第五方面，本发明实施例还提供一种网络节点间NAT探测设备，配置于响应节点，所述设备包括：存储器，用于存储程序指令；处理器，用于调用所述存储器存储的程序指令，按照获得的程序执行上述第一方面提供的网络节点间NAT探测方法的步骤。

第六方面，本发明实施例还提供一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一方面提供的网络节点间NAT探测方法的步骤。

本发明有益效果如下：

本申请提供了独立于密钥管理协议而单独存在的一种NAT探测方法，简单、可靠，解决了网络节点间NAT探测与密钥管理协议紧耦合而造成的功能界定混乱、边界模糊所带来的密钥管理功能扩展难的问题(例如，本申请的NAT探测能力由与密钥管理协议无关的携带IP地址、或IP地址和端口号、或IP地址和会话标识SID的协议完成，密钥管理由专门的密钥管理协议来完成，密钥管理安全性的加强及扩展，不会受NAT探测能力的影响)；此外，本申请的NAT探测是由独立的协议实现，不是通过修改密钥管理协议本身实现，修改NAT探测能力不会影响密钥管理协议本身的安全能力；支持NAT探测方法多样性，支持仅确定是否存在NAT或确定NAT分布位置的不同的探测方式；在仅确定是否存在NAT时，响应节点仅反馈NAT探测结果，减少通信量，更适应流量敏感的网络环境；支持对NAT探测过程的保护，避免内部地址泄露，避免攻击者修改探测消息导致DoS攻击或网络资源浪费，加强了系统的整体安全性。

附图说明

图1为本发明实施例提供的一种网络节点间NAT探测方法的流程示意图；

图2为本发明实施例提供的请求节点与响应节点间存在NAT时的NAT分布位置示意图；

图3为本发明实施例提供的一种配置于请求节点的NAT探测装置的结构示意图；

图4为本发明实施例提供的一种配置于响应节点的NAT探测装置的结构示意图；

图5为本发明实施例提供的一种配置于请求节点的NAT探测设备的模块示意图；

图6为本发明实施例提供的一种配置于响应节点的NAT探测设备的模块示意图。

具体实施方式

下面结合附图，对本发明实施例提供的网络节点间NAT探测方法、装置、设备及存储介质进行具体说明。

本发明实施例提供了一种网络节点间NAT探测方法，如图1所示，包括：

S101、请求节点获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，所述第一节点信息包括请求节点自身的IP地址，及配置的响应节点的IP地址。

上述NAT探测请求消息与NAT探测结果请求消息的格式相同，属于不同消息类型，若请求节点需要确定是否存在NAT，及存在NAT时NAT的分布位置，则需向响应节点发送NAT探测请求消息，若请求节点仅需要确定与响应节点间是否存在NAT时，则需向响应节点发送NAT探测结果请求消息。

上述NAT探测请求消息或NAT探测结果请求消息的载荷数据相同，载荷数据内容包括：请求节点自身的IP地址，响应节点的IP地址。但是需要注意的是，响应节点的地址可由管理员配置，因为初始情况下，需要明确告知请求节点向哪个响应节点发送。

S102、请求节点将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，并对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点。

作为一种可选的实施方式，请求节点需向响应节点发送NAT探测请求消息时，将所述NAT探测请求消息进行IP报文封装，包括：

请求节点将第一节点信息封装到NAT探测请求分组报文的第一IP报头中；将所述NAT探测请求消息封装到NAT探测请求分组报文的第一报文内容中。

作为另一种可选的实施方式，请求节点需向响应节点发送NAT探测结果请求消息时，将所述NAT探测结果请求消息进行IP报文封装，包括：

请求节点将第一节点信息封装到NAT探测请求分组报文的第一IP报头中；将所述NAT探测结果请求消息封装到NAT探测请求分组报文的第一报文内容中。

需要说明的是，上述请求节点的第一节点信息，在组织NAT探测请求分组报文时，既存在于第一IP报头中，也会被封装在第一报文内容中。

假设发起端是请求节点，接收端是响应节点，请求节点进行IP报文封装的时候，需要首先组织形成请求节点的NAT探测请求消息或NAT探测结果请求消息的载荷数据，再将NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，便形成NAT探测请求分组报文。

需要说明的是，本申请中请求节点或响应节点自身的地址称为私有地址，将请求节点或响应节点在网络中传输报文时封装到报头中的地址称为公有地址。对于请求节点或响应节点，若经NAT进行网络地址转换传输报文时，则公有地址与私有地址为不同的地址；若未经NAT进行网络地址转换传输报文时，则公有地址与私有地址为相同的地址。

参见图2所示的请求节点与响应节点间存在NAT时，NAT的分布位置示意图，包括三种情况：

情况一，请求节点与网络间存在NAT，响应节点与网络间不存在NAT；

封装到第一IP报头中的请求节点的IP地址是私有地址，响应节点的IP地址是响应节点自身的公有地址，同时也是私有地址。上述经保护处理的NAT探测请求分组报文在经过NAT时，第一IP报头中的请求节点的私有IP地址会被NAT更改为不同的公有地址。

情况二，请求节点与网络间不存在NAT，响应节点与网络间存在NAT；

封装到第一IP报头中的请求节点的IP地址是请求节点自身的私有地址，同时也是公有地址，响应节点的IP地址是公有地址，上述经保护处理的NAT探测请求分组报文在经过NAT时，第一IP报头中的响应节点的公有IP地址会被NAT改变为不同的私有地址。

情况三，请求节点与网络间存在NAT，响应节点与网络间存在NAT；

封装到第一IP报头中的请求节点的IP地址是私有地址，响应节点的IP地址是公有地址。上述经保护处理的NAT探测请求分组报文在经过请求节点与网络间的NAT时，第一IP报头中的请求节点的私有IP地址会被NAT更改为不同的公有地址，在经过响应节点与网络间的NAT时，第一IP报头中的响应节点的公有IP地址会被NAT改变为不同的私有地址。

若请求节点与响应节点间不存在NAT，即请求节点与网络间不存在NAT、响应节点与网络间不存在NAT，则封装到第一IP报头中的请求节点的IP地址是请求节点自身的私有地址，同时也是在网络传输中使用的公有地址，响应节点的IP地址是响应节点自身的公有地址，同时也是在网络传输中使用的公有地址。

上面仅是示例解释了IP地址的改变情况，对于端口和SID的改变规则与IP地址相同的情况，这里不再重述。

作为一种可选的实施方式，请求节点对所述NAT探测请求分组报文进行保护处理，包括：

请求节点对NAT探测请求分组报文进行加密、数据混淆、完整性校验中的至少一项处理。具体来讲，对NAT探测请求分组报文进行保护处理，是对NAT探测请求分组报文中的第一报文内容进行保护处理，不对NAT探测请求分组报文中的第一IP报头进行保护处理。

需要说明的是，请求节点对NAT探测请求分组报文进行保护处理，形成受保护的NAT探测请求分组报文。因NAT探测请求消息中可能包含敏感信息，对NAT探测请求分组报文进行保护处理可以防止内部私有IP地址等敏感信息泄露，所以NAT探测请求分组报文在传输过程中需要进行私密性和完整性校验处理，由此可以防止攻击者通过篡改信息而发起DoS攻击(例如，IPsec没有对NAT探测信息进行保护，攻击者可以通过删除或增加NAT发现(NAT-Discovery，简称NAT-D)载荷，从而发起DoS攻击)的情况，解决了攻击者篡改信息而造成带宽浪费的问题(例如，在IPsec中，在没有NAT的环境下，攻击者可以通过篡改NAT检测报文，造成协商双方都使用用户数据报协议(User Datagram Protocol，简称UDP)封装模式，从而造成带宽的浪费)。

S103、响应节点接收所述NAT探测请求分组报文，并对接收的NAT探测请求分组报文进行解保护处理。

作为一种可选的实施方式，响应节点对经保护处理的NAT探测请求分组报文进行解保护处理，包括：响应节点对经保护处理的NAT探测请求分组报文相应进行解密、数据还原、完整性校验中的至少一项处理。

S104、响应节点从解保护处理后的NAT探测请求分组报文中获取NAT探测请求消息或NAT探测结果请求消息，将获取的NAT探测请求消息或NAT探测结果请求消息中的载荷数据与所述NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。

需要说明的是，响应节点通过对比第一IP报头和NAT探测请求消息或NAT探测结果请求消息的载荷数据中的IP地址，确定请求节点或响应节点的IP地址在网络传输时是否经过NAT进行地址转换，从而可以解析出请求节点和响应节点间的NAT探测结果。

S105、响应节点从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测请求消息时，获取第二节点信息，所述第二节点信息包括响应节点自身的IP地址，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的IP地址，并将第二节点信息作为NAT探测响应消息的载荷数据，将所述NAT探测响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点。

S106、响应节点从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测结果请求消息时，将所述NAT探测结果携带在NAT探测结果响应消息，将所述NAT探测结果响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点。

作为一种可选的实施方式，响应节点将所述NAT探测响应消息或NAT探测结果响应消息进行IP报文封装，包括：

响应节点将所述第二节点信息封装到NAT探测响应分组报文的第二IP报头中；将所述NAT探测响应消息或NAT探测结果响应消息封装到NAT探测响应分组报文的第二报文内容中。

需要说明的是，上述响应节点的第二节点信息，在组织NAT探测响应分组报文时，既存在于第二 IP报头中，也会被封装在第二报文内容中。

响应节点进行IP报文封装的时候，需要首先组织形成响应节点的NAT探测响应消息或NAT探测结果响应消息的载荷数据，再将NAT探测响应消息或NAT探测结果响应消息进行IP报文封装，便形成NAT探测响应分组报文。

需要说明的是，响应节点与请求节点间存在NAT时，NAT的分布位置包括三种情况，具体参见上述S102(图2)对应内容的阐述，此处不再赘述。

作为一种可选的实施方式，响应节点对所述NAT探测响应分组报文进行保护处理，包括：

响应节点对NAT探测响应分组报文进行加密、数据混淆、完整性校验中的至少一项处理。对NAT探测响应分组报文进行保护处理，指的是对NAT探测响应分组报文中的第二报文内容进行保护处理，不对NAT探测响应分组报文中的第二IP报头进行保护处理。

需要说明的是，保护处理的目的与上述请求节点对NAT探测请求分组报文进行保护处理一致，此处不再赘述。

S107、请求节点接收所述NAT探测响应分组报文并进行解保护处理，从解保护处理后的NAT探测响应分组报文中获取到NAT探测结果响应消息时，从所述NAT探测结果响应消息中获取NAT探测结果；或者，从解保护处理后的NAT探测响应分组报文中获取到NAT探测响应消息时，获取所述NAT探测响应消息的载荷数据，并将获取的载荷数据与所述NAT探测响应分组报文的第二IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。

需要说明的是，在实际应用场景中，请求节点向响应节点发送的NAT探测请求分组报文中，封装的可以是NAT探测请求消息，也可以是NAT探测结果请求消息，因此响应节点根据实际情况只需执行S105或S106，相应的，S107中请求节点根据实际情况只需通过其中一种方式得到NAT探测结果。

作为一种可选的实施方式，请求节点对经保护处理的NAT探测响应分组报文进行解保护处理，包括：请求节点对经保护处理的NAT探测响应分组报文相应进行解密、数据还原、完整性校验中的至少一项处理。

作为一种可选的实施方式，所述第一节点信息还包括请求节点自身的端口号，及配置的响应节点的端口号；或者，所述第一节点信息还包括请求节点自身的SID，及配置的响应节点的SID。

作为一种可选的实施方式，相应的，所述第二节点信息还包括响应节点自身的端口号，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的端口号；或者，所述第二节点信息还包括响应节点自身的SID，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的SID。

需要说明的是，响应节点的IP地址、端口号和SID，表示能够将数据发到响应节点的地址。NAT探测除了支持带有PORT(端口)的协议，还支持非端口协议，有些协议没有端口，但是有SID，例如支持TUE(Tunnel Universal Encapsulating，隧道通用封装)的SID(Session Identifier，会话标识)探测，则响应节点可以根据第一IP报头中IP地址、端口和SID的携带情况，根据其中任一项的变化判定是否存在NAT，请求节点可以根据第二IP报头中IP地址、端口和SID的携带情况，根据其中任一项的变化判定是否存在NAT。

本申请提供了独立于密钥管理协议而单独存在的一种NAT探测方法，简单、可靠，解决了网络节点间NAT探测与密钥管理协议紧耦合而造成的功能界定混乱，边界模糊所带来的密钥管理功能扩展难的问题(例如，本实施例的NAT探测能力由与密钥管理协议无关的携带IP地址，或IP地址和端口号，或IP地址和会话标识SID的协议完成，密钥管理由专门的密钥管理协议来完成，密钥管理安全性的加强及扩展，不会受NAT探测能力的影响)；此外，本实施例的NAT探测是由独立的协议实现，不是通过修改密钥管理协议本身实现，修改NAT探测能力不会影响密钥管理协议本身的安全能力；支持NAT 探测方法多样性，支持仅确定是否存在NAT或确定NAT分布位置的不同的探测方式，在仅确定是否存在NAT时，响应节点仅反馈NAT探测结果，减少通信量，更适应流量敏感的网络环境；支持对NAT探测过程的保护，避免内部地址泄露，避免攻击者修改探测消息导致DoS攻击或网络资源浪费，加强了系统的整体安全性。

作为一种可选的实施方式，所述NAT探测请求消息或所述NAT探测结果请求消息或所述NAT探测响应消息，包括指示消息类型的标识、用于解析IP地址个数的长度信息；通过消息类型的标识可以对上述三种消息进行区分；所述NAT探测结果响应消息，包括指示请求节点和响应节点间是否存在NAT的标识；根据指示请求节点和响应节点间是否存在NAT的标识，可以确定消息类型为NAT探测结果响应消息，且可以确定是否存在NAT。

需要说明的是，长度信息可以包括载荷数据的长度，或者载荷数据包含请求节点/响应节点地址的个数，或者消息的长度；通过不同类型的长度信息都可以解析出IP地址的个数。

作为一种可选的实施方式，NAT探测请求消息/NAT探测响应消息/NAT探测结果请求消息/NAT探测结果响应消息的格式包括如下字段：

标识字段，具有多个取值，取值定义如下表1所示：

表1标识字段取值定义

标识字段取值	定义
1	NAT探测请求消息
2	NAT探测响应消息
3	NAT探测结果请求消息
4	NAT探测结果响应消息(无NAT)
5	NAT探测结果响应消息(有NAT)
其余	保留

其中，NAT探测请求消息中的指示消息类型的标识取值为1，NAT探测响应消息中的指示消息类型的标识取值为2，NAT探测结果请求消息中的指示消息类型的标识取值为3，若不存在NAT时，NAT探测结果响应消息中的标识取值为4，若存在NAT时，NAT探测结果响应消息中的标识取值为5。

长度信息字段，为可选字段，可以通过长度字段解析出载荷数据中IP地址个数。

如在多宿主的环境中，请求节点或响应节点可能同时有多个活动的可用IP地址，因此在构造NAT探测请求消息或NAT探测响应消息或NAT探测结果请求消息时应包含这些IP地址的信息；当上述标识字段的取值为1、2、3时，用于解析IP地址个数的长度信息字段为必需字段，当上述标识字段的取值为4或5时，该长度信息字段无效。

载荷数据字段，为长度可变的可选字段，表示NAT探测请求消息/NAT探测响应消息/NAT探测结果请求消息的载荷数据；当上述标识字段的取值为1、2、3时，载荷数据字段为必需字段，当上述标识字段的取值为4或5时，载荷数据字段无效。

示例性的，载荷数据字段作为NAT探测请求消息或NAT探测结果请求消息或NAT探测响应消息的载荷数据，具体的格式见下表。

其中：

DST_PORT(SID)：表示NAT探测请求消息或NAT探测结果请求消息或NAT探测响应消息中的对端端口号或对端SID，长度为2个八位位组的可选字段；若当前环境为IPv4，则此字段必选；若当前环境为IPv6，则无此字段；

DST_IP：表示NAT探测请求消息或NAT探测结果请求消息或NAT探测响应消息中的对端IP地址，字段长度根据当前通信的IP版本而定，如果当前使用IPv4通信，则长度为4个八位位组，如果当前使用IPv6通信，则长度为16个八位位组；

SRC_PORT(SID)：表示NAT探测请求消息或NAT探测结果请求消息或NAT探测响应消息中的源端口号或源SID，长度为2个八位位组的可选字段；若当前环境为IPv4，则此字段必选；若当前环境为IPv6，则无此字段；

SRC_IP1|SRC_IP2|…|SRC_IPn：表示当前通信可用的本地自身IP地址，长度根据当前通信的IP版本和可用IP地址的个数(n)而定，如果当前使用IPv4通信，则长度为4*n个八位位组；如果当前使用IPv6通信，则长度为16*n个八位位组；“|”：表示连接符。

例如，可用本地自身IP地址为1个时，n等于1；对于请求节点，SRC_IPn为请求节点自身的IP地址，SRC_PORT(SID)为请求节点的端口号或请求节点的SID，DST_IP为响应节点的IP地址，DST_PORT(SID)为响应节点的端口号或SID；对于响应节点，SRC_IPn为响应节点自身的IP地址，SRC_PORT(SID)为响应节点的端口号或响应节点SID，DST_IP为请求节点的IP地址，DST_PORT(SID)为请求节点的端口号或SID。需要说明的是，一个或多个SRC_IP不能同时存在IPv4和IPv6，必须是仅IPv4或仅IPv6，具体根据当前通信的IP版本而定。一个节点可能会存在1个或多个本地自身IP地址，但是通信过程中具体使用哪个IP地址是预先不可知的，等完成通信才可知。

下面结合NAT探测请求消息中源IP地址个数不同的情况，给出对应的响应节点根据对比结果确定NAT探测结果可能的实施方式。

1、当发送端为请求节点，接收端为响应节点，所述NAT探测请求消息中请求节点的IP地址个数为1，响应节点根据对比结果确定NAT探测结果，包括如下任一步骤：

步骤A：当响应节点获取的载荷数据中请求节点的IP地址与第一IP报头中请求节点的IP地址不同，或者，获取的载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同，或者，获取的载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT。

需要说明的是，请求节点组织载荷数据时，请求节点的IP地址个数为1，对于响应节点，当在对比过程中解析出满足如下任一个条件时，确定请求节点与网络间存在NAT：

1)当作为载荷数据的第一节点信息存放请求节点的IP地址，载荷数据中请求节点的IP地址与第一IP报头中请求节点的IP地址不同；

2)当作为载荷数据的第一节点信息存放请求节点的IP地址和端口号，载荷数据中请求节点的IP地址与第一IP报头中请求节点的IP地址不同，和/或，载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同；

3)当作为载荷数据的第一节点信息存放请求节点的IP地址和SID，载荷数据中请求节点的IP地址与第一IP报头中请求节点的IP地址不同，和/或，载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同。

步骤B：当响应节点获取的载荷数据中响应节点的IP地址与第一IP报头中响应节点的IP地址不同，或者，获取的载荷数据中响应节点的端口号与第一IP报头中响应节点的端口号不同，或者，获取的载荷数据中响应节点的SID与第一IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT。

需要说明的是，请求节点组织载荷数据时，请求节点的IP地址个数为1，对于响应节点，当在对比过程中解析出满足如下任一个条件时，确定响应节点与网络间存在NAT：

1)当作为载荷数据的第一节点信息存放响应节点的IP地址，载荷数据中响应节点的IP地址与第一IP报头中响应节点的IP地址不同；

2)当作为载荷数据的第一节点信息存放响应节点的IP地址和端口号，载荷数据中响应节点的IP地址与第一IP报头中响应节点的IP地址不同，和/或，载荷数据中响应节点的端口号与第一IP报头中响应节点的端口号不同；

3)当作为载荷数据的第一节点信息存放响应节点的IP地址和SID，载荷数据中响应节点的IP地址与第一IP报头中响应节点的IP地址不同，和/或，载荷数据中响应节点的SID与第一IP报头中响应节点的SID不同。

2、当发送端为请求节点，接收端为响应节点，所述NAT探测请求消息中请求节点的IP地址个数大于1，响应节点根据对比结果确定NAT探测结果，包括如下任一步骤：

步骤A，当响应节点获取的载荷数据中请求节点的所有IP地址与第一IP报头中请求节点的IP地址都不同，或者，获取的载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同，或者，获取的载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT。

其中，请求节点的所有的IP地址都封装在第一报文内容中，发送时系统在第一IP报头中只添加1个需要使用的IP地址。对于响应节点，当在对比过程中解析出满足如下任一个条件时，确定请求节点与网络间存在NAT：

1)当作为载荷数据的第一节点信息存放请求节点的所有IP地址，载荷数据中请求节点的所有IP地址与第一IP报头中请求节点的IP地址都不同；

2)当作为载荷数据的第一节点信息存放请求节点的所有IP地址和端口号，载荷数据中请求节点的所有IP地址与第一IP报头中请求节点的IP地址都不同，和/或，载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同；

3)当作为载荷数据的第一节点信息存放请求节点的所有IP地址和SID，载荷数据中请求节点的所有IP地址与第一IP报头中请求节点的IP地址都不同，和/或，载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同。

步骤B，当响应节点获取的载荷数据中响应节点的IP地址与第一IP报头中响应节点的IP地址不同，或者，获取的载荷数据中响应节点的端口号与第一IP报头中响应节点的端口号不同，或者，获取的载荷数据中响应节点的SID与第一IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT。

具体解释参见上述请求节点组织载荷数据时，请求节点的IP地址个数为1时，载荷数据中响应节点信息的对比过程，此处不再赘述。

请求节点获得最终的NAT探测结果包括两种方式：方式1，当响应节点向请求节点反馈的是NAT探测响应消息时，请求节点根据对比结果确定NAT探测结果；方式2，如果响应节点向请求节点反馈的是NAT探测结果响应消息时，请求节点直接从NAT探测结果响应消息中获取NAT探测结果。

下面结合NAT探测响应消息中源IP地址个数不同的情况，给出对应的请求节点根据对比结果确定NAT探测结果可能的实施方式。

1、当发送端为响应节点，接收端为请求节点，所述NAT探测响应消息中响应节点的IP地址个数为1，请求节点根据对比结果确定NAT探测结果，包括：

步骤A：当请求节点获取的载荷数据中响应节点的IP地址与第二IP报头中响应节点的IP地址不同，或者，获取的载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同，或者，获取的载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT。

需要说明的是，响应节点组织载荷数据时，响应节点的IP地址个数为1，对于请求节点，当在对比过程中解析出满足如下任一个条件时，确定响应节点与网络间存在NAT：

1)当作为载荷数据的第二节点信息存放响应节点的IP地址，载荷数据中响应节点的IP地址与第二IP报头中响应节点的IP地址不同；

2)当作为载荷数据的第二节点信息存放响应节点的IP地址和端口号，载荷数据中响应节点的IP地址与第二IP报头中响应节点的IP地址不同，和/或，载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同；

3)当作为载荷数据的第二节点信息存放响应节点的IP地址和SID，载荷数据中响应节点的IP地址与第二IP报头中响应节点的IP地址不同，和/或，载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同。

步骤B：当请求节点获取的载荷数据中请求节点的IP地址与第二IP报头中请求节点的IP地址不同，或者，获取的载荷数据中请求节点的端口号与第二IP报头中请求节点的端口号不同，或者，获取的载荷数据中请求节点的SID与第二IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT。

需要说明的是，响应节点组织载荷数据时，响应节点的IP地址个数为1，对于请求节点，当在对比过程中解析出满足如下任一个条件时，确定请求节点与网络间存在NAT：

1)当作为载荷数据的第二节点信息存放请求节点的IP地址，载荷数据中请求节点的IP地址与第二IP报头中请求节点的IP地址不同；

2)当作为载荷数据的第二节点信息存放请求节点的IP地址和端口号，载荷数据中请求节点的IP地址与第二IP报头中请求节点的IP地址不同，和/或,载荷数据中请求节点的端口号与第二IP报头中请求节点的端口号不同；

3)当作为载荷数据的第二节点信息存放请求节点的IP地址和SID，载荷数据中请求节点的IP地址与第二IP报头中请求节点的IP地址不同，和/或，载荷数据中请求节点的SID与第二IP报头中请求节点的SID不同。

2、当发送端为响应节点，接收端为请求节点，所述NAT探测响应消息中响应节点的IP地址个数大于1，请求节点根据对比结果确定NAT探测结果，包括：

步骤A：当请求节点获取的载荷数据中响应节点的所有IP地址与第二IP报头中响应节点的IP地址都不同，或者，获取的载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同，或者，获取的载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT。

其中，响应节点的所有的IP地址都封装在第二报文内容中，发送的时候，系统在第二IP报头中只添加1个需要使用的IP地址。对于请求节点，当在对比过程中解析出满足如下任一个条件时，确定响应节点与网络间存在NAT：

1)当作为载荷数据的第二节点信息存放响应节点的所有IP地址，载荷数据中响应节点的所有IP地址与在第二IP报头中响应节点的IP地址都不同；

2)当作为载荷数据的第二节点信息存放响应节点的所有IP地址和端口号，载荷数据中响应节点的所有IP地址与第二IP报头中响应节点的IP地址都不同，和/或，载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同；

3)当作为载荷数据的第二节点信息存放响应节点的所有IP地址和SID，载荷数据中响应节点的所有IP地址与第二IP报头中响应节点的IP地址都不同，和/或，载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同。

具体解释参见上述响应节点组织载荷数据时，响应节点的IP地址个数为1时，载荷数据中请求节点信息的对比过程，此处不再赘述。

需要说明的是，NAT探测结果信息没有必要全部保存，但是为了接下来数据安全通道的封装以及通信，响应节点可以有选择的保存NAT探测结果信息，根据选择保存的不同NAT探测结果信息得到第一探测结果或第二探测结果。所述请求节点或响应节点根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果。

其中，所述第一探测结果为指示请求节点和响应节点间是否存在NAT的探测结果；所述第二探测结果为指示请求节点和响应节点间是否存在NAT，及所述请求节点和响应节点之间存在NAT时所述NAT的分布位置。

作为一种可选的实施方式，对于响应节点，当获取的载荷数据中的请求节点的IP地址与第一IP报头中请求节点的IP地址不同，但载荷数据中请求节点的端口号/SID与第一IP报头中请求节点的端口号/SID相同时，对探测过程产生对应的日志信息并保存；

或者，当获取的载荷数据中响应节点的IP地址与第一IP报头中响应节点的IP地址不同，但载荷数据中响应节点的端口号/SID与第一IP报头中响应节点的端口号/SID相同时，对探测过程产生对应的日志信息并保存。

需要说明的是，当响应节点从NAT探测请求分组报文中获取的载荷数据中请求节点的IP地址与第一IP报头中请求节点的IP地址不同，按常规来讲可以证明请求节点与网络间存在NAT，但当出现载荷数据中请求节点的端口号或SID与第一IP报头中请求节点的端口号或SID相同时，则可能出现NAT映射失败的情况，本申请将这种情况归为请求节点与网络间的NAT不支持穿越；请求节点在向响应节点发送消息时，请求节点与网络间的NAT会将请求节点自身的端口号或SID改成NAT的端口号或SID，但是第一IP报头中请求节点的端口号或SID没有变，即在请求节点与网络间的NAT进行地址映射时可能失败(例如，NAT不支持UDP穿越的情况)，这时需要产生对应的日志信息并保存，以便后期管理员查看日志，排查不支持NAT穿越的情况。

基于同一发明构思，本发明实施例还提供一种网络节点间NAT探测装置，配置于请求节点，如图3所示，包括：

获取模块301，用于获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，所述第一节点信息包括请求节点自身的IP地址，及配置的响应节点的IP地址；

封装模块302，用于将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，并对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点；

确定模块303，用于接收NAT探测响应分组报文并进行解保护处理，从解保护处理后的NAT探测响应分组报文中获取到NAT探测结果响应消息时，从所述NAT探测结果响应消息中获取NAT探测结果；或者，从解保护处理后的NAT探测响应分组报文中获取到NAT探测响应消息时，获取所述NAT探测响应消息的载荷数据，并将获取的载荷数据与所述NAT探测响应分组报文的第二IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。

可选地，所述第一节点信息还包括请求节点自身的端口号，及配置的响应节点的端口号；或者所述第一节点信息还包括请求节点自身的SID，及配置的响应节点的SID。

可选地，封装模块302将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，包括：

将所述NAT探测请求消息或NAT探测结果请求消息封装到NAT探测请求分组报文的第一报文内容中。

可选地，封装模块302对所述NAT探测请求分组报文进行保护处理，包括：

封装模块302对所述NAT探测请求分组报文进行加密、数据混淆、完整性校验中的至少一项处理。

可选地，确定模块303对所述NAT探测响应分组报文进行解保护处理，包括：

确定模块303对所述NAT探测响应分组报文进行解密、数据还原、完整性校验中的至少一项处理。

可选地，确定模块303根据对比结果确定NAT探测结果，包括：

可选地，确定模块303根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果；

本发明实施例还提供一种网络节点间NAT探测装置，配置于响应节点，如图4所示，包括：

接收模块401，用于接收NAT探测请求分组报文，并对接收的NAT探测请求分组报文进行解保护处理；

确定模块402，用于从解保护处理后的NAT探测请求分组报文中获取所述NAT探测请求消息或NAT探测结果请求消息，将获取的NAT探测请求消息或NAT探测结果请求消息中的载荷数据与所述NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果；

获取模块403，用于从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测请求消息时，获取第二节点信息，所述第二节点信息包括响应节点自身的IP地址，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的IP地址，并将第二节点信息作为NAT探测响应消息的载荷数据，将所述NAT探测响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；或者，用于从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测结果请求消息时，将所述NAT探测结果携带在NAT探测结果响应消息，将所述NAT探测结果响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点。

可选地，所述第二节点信息还包括响应节点自身的端口号，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的端口号；或者所述第二节点信息还包括响应节点自身的SID，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的SID。

可选地，获取模块403将所述NAT探测响应消息或NAT探测结果响应消息进行IP报文封装，包括：

可选地，接收模块401对所述NAT探测请求分组报文进行解保护处理，包括：

接收模块401对所述NAT探测请求分组报文进行解密、数据还原、完整性校验中的至少一项处理。

可选地，获取模块403对所述NAT探测响应分组报文进行保护处理，包括：

获取模块403对所述NAT探测响应分组报文进行加密、数据混淆、完整性校验中的至少一项处理。

可选地，确定模块402根据对比结果确定NAT探测结果，包括如下任一步骤：

可选地，确定模块402根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果；

所述第二探测结果包括指示所述请求节点和响应节点间是否存在NAT，及所述请求节点和响应节点之间存在NAT时所述NAT的分布位置。

基于同一发明构思，本发明实施例还提供一种网络节点间NAT探测设备，配置于请求节点，如图5所示，所述设备包括：存储器501，用于存储程序指令；处理器502，用于调用所述存储器存储的程序指令，按照获得的程序执行下列过程：

获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，所述第一节点信息包括请求节点自身的IP地址，及配置的响应节点的IP地址；

将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，并对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点；

接收NAT探测响应分组报文并进行解保护处理，从解保护处理后的NAT探测响应分组报文中获取到NAT探测结果响应消息时，从所述NAT探测结果响应消息中获取NAT探测结果；或者，从解保护处理后的NAT探测响应分组报文中获取到NAT探测响应消息时，获取所述NAT探测响应消息的载荷数据，并将获取的载荷数据与所述NAT探测响应分组报文的第二IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。

可选的，所述第一节点信息还包括请求节点自身的端口号，及配置的响应节点的端口号；或者，所述第一节点信息还包括请求节点自身的SID，及配置的响应节点的SID。

将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，包括：

可选的，所述NAT探测请求消息或所述NAT探测结果请求消息或所述NAT探测响应消息，包括指示消息类型的标识、用于解析IP地址个数的长度信息；所述NAT探测结果响应消息，包括指示请求节点和响应节点间是否存在NAT的标识。

对所述NAT探测请求分组报文进行保护处理，包括：对所述NAT探测请求分组报文进行加密、数据混淆、完整性校验中的至少一项处理。

对所述NAT探测响应分组报文进行解保护处理，包括：对所述NAT探测响应分组报文进行解密、数据还原、完整性校验中的至少一项处理。

根据对比结果确定NAT探测结果，包括：当获取的载荷数据中的响应节点的IP地址与第二IP报头中的响应节点的IP地址不同，或者，所述载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同，或者，所述载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT；

根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果；所述第一探测结果为指示所述请求节点和响应节点间是否存在NAT的探测结果；所述第二探测结果包括指示所述请求节点和响应节点间是否存在NAT，及所述请求节点和响应节点之间存在NAT时所述NAT的分布位置。

基于同一发明构思，本发明实施例还提供一种网络节点间NAT探测设备，配置于响应节点，如图6所示，所述设备包括：存储器601，用于存储程序指令；处理器602，用于调用所述存储器存储的程序指令，按照获得的程序执行下列过程：

接收NAT探测请求分组报文，并对接收的NAT探测请求分组报文进行解保护处理；

从解保护处理后的NAT探测请求分组报文中获取所述NAT探测请求消息或NAT探测结果请求消息，将获取的NAT探测请求消息或NAT探测结果请求消息中的载荷数据与所述NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果；

从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测请求消息时，获取第二节点信息，所述第二节点信息包括响应节点自身的IP地址，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的IP地址，并将第二节点信息作为NAT探测响应消息的载荷数据，将所述NAT探测响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；或者，用于从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测结果请求消息时，将所述NAT探测结果携带在NAT探测结果响应消息，将所述NAT探测结果响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点。

可选的，所述第二节点信息还包括响应节点自身的端口号，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的端口号；或者，所述第二节点信息还包括响应节点自身的SID，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的SID。

将所述NAT探测响应消息或NAT探测结果响应消息进行IP报文封装，包括：将所述第二节点信息封装到NAT探测响应分组报文的第二IP报头中；将所述NAT探测响应消息或NAT探测结果响应消息封装到NAT探测响应分组报文的第二报文内容中。

对所述NAT探测请求分组报文进行解保护处理，包括：对所述NAT探测请求分组报文进行解密、数据还原、完整性校验中的至少一项处理。对所述NAT探测响应分组报文进行保护处理，包括：对所述NAT探测响应分组报文进行加密、数据混淆、完整性校验中的至少一项处理。

根据对比结果确定NAT探测结果，包括如下任一步骤：当获取的载荷数据中的请求节点的IP地址与第一IP报头中的请求节点的IP地址不同，或者，所述载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同，或者，所述载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT；

基于同一发明构思，本发明实施例还提供一种计算机存储介质，所述计算机存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例一中提供的网络节点间NAT探测方法的步骤。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

以上对本申请所提供的技术方案进行了详细介绍，本申请中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims

一种网络节点间NAT探测方法，其特征在于，所述方法包括：

请求节点获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，所述第一节点信息包括请求节点自身的IP地址，及配置的响应节点的IP地址；

请求节点将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，并对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点；

响应节点接收所述NAT探测请求分组报文，并对接收的NAT探测请求分组报文进行解保护处理；

响应节点从解保护处理后的NAT探测请求分组报文中获取所述NAT探测请求消息或NAT探测结果请求消息，将获取的NAT探测请求消息或NAT探测结果请求消息中的载荷数据与所述NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果；

响应节点从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测请求消息时，获取第二节点信息，所述第二节点信息包括响应节点自身的IP地址，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的IP地址，并将第二节点信息作为NAT探测响应消息的载荷数据，将所述NAT探测响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；或者，响应节点从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测结果请求消息时，将所述NAT探测结果携带在NAT探测结果响应消息，将所述NAT探测结果响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；

请求节点接收所述NAT探测响应分组报文并进行解保护处理，从解保护处理后的NAT探测响应分组报文中获取到NAT探测结果响应消息时，从所述NAT探测结果响应消息中获取NAT探测结果；或者，从解保护处理后的NAT探测响应分组报文中获取到NAT探测响应消息时，获取所述NAT探测响应消息的载荷数据，并将获取的载荷数据与所述NAT探测响应分组报文的第二IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。
根据权利要求1所述的方法，其特征在于，所述第一节点信息还包括请求节点自身的端口号，及配置的响应节点的端口号；或者，所述第一节点信息还包括请求节点自身的SID，及配置的响应节点的SID；

所述第二节点信息还包括响应节点自身的端口号，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的端口号；或者，所述第二节点信息还包括响应节点自身的SID，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的SID。
根据权利要求1或2所述的方法，其特征在于，所述请求节点将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，包括：

将所述第一节点信息封装到NAT探测请求分组报文的第一IP报头中；

将所述NAT探测请求消息或NAT探测结果请求消息封装到NAT探测请求分组报文的第一报文内容中；

所述响应节点将所述NAT探测响应消息或NAT探测结果响应消息进行IP报文封装，包括：

将所述第二节点信息封装到NAT探测响应分组报文的第二IP报头中；

将所述NAT探测响应消息或NAT探测结果响应消息封装到NAT探测响应分组报文的第二报文内容中。
根据权利要求1所述的方法，其特征在于，

所述NAT探测请求消息或所述NAT探测结果请求消息或所述NAT探测响应消息，包括指示消息类型的标识、用于解析IP地址个数的长度信息；

所述NAT探测结果响应消息，包括指示请求节点和响应节点间是否存在NAT的标识。
根据权利要求1所述的方法，其特征在于，请求节点对所述NAT探测请求分组报文进行保护处理，包括：

请求节点对所述NAT探测请求分组报文进行加密、数据混淆、完整性校验中的至少一项处理；

响应节点对所述NAT探测请求分组报文进行解保护处理，包括：

响应节点对所述NAT探测请求分组报文进行解密、数据还原、完整性校验中的至少一项处理。
根据权利要求1所述的方法，其特征在于，响应节点对所述NAT探测响应分组报文进行保护处理，包括：

响应节点对所述NAT探测响应分组报文进行加密、数据混淆、完整性校验中的至少一项处理；

请求节点对所述NAT探测响应分组报文进行解保护处理，包括：

请求节点对所述NAT探测响应分组报文进行解密、数据还原、完整性校验中的至少一项处理。
根据权利要求2所述的方法，其特征在于，响应节点根据对比结果确定NAT探测结果，包括如下任一步骤：

当获取的载荷数据中的请求节点的IP地址与第一IP报头中的请求节点的IP地址不同，或者，所述载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同，或者，所述载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT；

当获取的载荷数据中的响应节点的IP地址与所述第一IP报头中的响应节点的IP地址不同，或者，所述载荷数据中响应节点的端口号与所述第一IP报头中的响应节点的端口号不同，或者，所述载荷数据中响应节点的SID与所述第一IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT。
根据权利要求2所述的方法，其特征在于，请求节点根据对比结果确定NAT探测结果，包括：

当获取的载荷数据中的响应节点的IP地址与第二IP报头中的响应节点的IP地址不同，或者，所述载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同，或者，所述载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT；

当获取的载荷数据中请求节点的IP地址与所述第二IP报头中请求节点的IP地址不同，或者，所述载荷数据中请求节点的端口号与所述第二IP报头中请求节点的端口号不同，或者，所述载荷数据中请求节点的SID与所述第二IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT。
根据权利要求1或4所述的方法，其特征在于，

所述请求节点或响应节点根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果；

所述第一探测结果为指示所述请求节点和响应节点间是否存在NAT的探测结果；

所述第二探测结果包括指示所述请求节点和响应节点间是否存在NAT，及所述请求节点和响应节点之间存在NAT时所述NAT的分布位置。
一种网络节点间NAT探测装置，配置于请求节点，其特征在于，包括：

获取模块，用于获取第一节点信息，并将获取的第一节点信息作为NAT探测请求消息或NAT探测结果请求消息的载荷数据，所述第一节点信息包括请求节点自身的IP地址，及配置的响应节点的IP 地址；

封装模块，用于将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，并对封装后得到的NAT探测请求分组报文进行保护处理后发送至响应节点；

确定模块，用于接收NAT探测响应分组报文并进行解保护处理，从解保护处理后的NAT探测响应分组报文中获取到NAT探测结果响应消息时，从所述NAT探测结果响应消息中获取NAT探测结果；或者，从解保护处理后的NAT探测响应分组报文中获取到NAT探测响应消息时，获取所述NAT探测响应消息的载荷数据，并将获取的载荷数据与所述NAT探测响应分组报文的第二IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果。
根据权利要求10所述的装置，其特征在于，所述第一节点信息还包括请求节点自身的端口号，及配置的响应节点的端口号；或者，所述第一节点信息还包括请求节点自身的SID，及配置的响应节点的SID。
根据权利要求10所述的装置，其特征在于，所述封装模块将所述NAT探测请求消息或NAT探测结果请求消息进行IP报文封装，包括：

将所述第一节点信息封装到NAT探测请求分组报文的第一IP报头中；

将所述NAT探测请求消息或NAT探测结果请求消息封装到NAT探测请求分组报文的第一报文内容中。
根据权利要求10所述的装置，其特征在于，所述NAT探测请求消息或所述NAT探测结果请求消息或所述NAT探测响应消息，包括指示消息类型的标识、用于解析IP地址个数的长度信息；

所述NAT探测结果响应消息，包括指示请求节点和响应节点间是否存在NAT的标识。
根据权利要求10所述的装置，其特征在于，所述封装模块对所述NAT探测请求分组报文进行保护处理，包括：

所述封装模块对所述NAT探测请求分组报文进行加密、数据混淆、完整性校验中的至少一项处理。
根据权利要求10所述的装置，其特征在于，所述确定模块对所述NAT探测响应分组报文进行解保护处理，包括：

所述确定模块对所述NAT探测响应分组报文进行解密、数据还原、完整性校验中的至少一项处理。
根据权利要求11所述的装置，其特征在于，所述确定模块根据对比结果确定NAT探测结果，包括：

当获取的载荷数据中的响应节点的IP地址与第二IP报头中的响应节点的IP地址不同，或者，所述载荷数据中响应节点的端口号与第二IP报头中响应节点的端口号不同，或者，所述载荷数据中响应节点的SID与第二IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT；

当获取的载荷数据中请求节点的IP地址与所述第二IP报头中请求节点的IP地址不同，或者，所述载荷数据中请求节点的端口号与所述第二IP报头中请求节点的端口号不同，或者，所述载荷数据中请求节点的SID与所述第二IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT。
根据权利要求10或13所述的装置，其特征在于，所述确定模块根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果；

所述第一探测结果为指示所述请求节点和响应节点间是否存在NAT的探测结果；

所述第二探测结果包括指示所述请求节点和响应节点间是否存在NAT，及所述请求节点和响应节点之间存在NAT时所述NAT的分布位置。
一种网络节点间NAT探测装置，配置于响应节点，其特征在于，包括：

接收模块，用于接收NAT探测请求分组报文，并对接收的NAT探测请求分组报文进行解保护处理；

确定模块，用于从解保护处理后的NAT探测请求分组报文中获取所述NAT探测请求消息或NAT探测结果请求消息，将获取的NAT探测请求消息或NAT探测结果请求消息中的载荷数据与所述NAT探测请求分组报文的第一IP报头中的对应内容进行对比，根据对比结果确定NAT探测结果；

获取模块，用于从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测请求消息时，获取第二节点信息，所述第二节点信息包括响应节点自身的IP地址，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的IP地址，并将第二节点信息作为NAT探测响应消息的载荷数据，将所述NAT探测响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点；或者，用于从解保护处理后的NAT探测请求分组报文中获取到所述NAT探测结果请求消息时，将所述NAT探测结果携带在NAT探测结果响应消息，将所述NAT探测结果响应消息进行IP报文封装，并对封装后得到的NAT探测响应分组报文进行保护处理后发送至请求节点。
根据权利要求18所述的装置，其特征在于，所述第二节点信息还包括响应节点自身的端口号，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的端口号；或者，所述第二节点信息还包括响应节点自身的SID，及从所述NAT探测请求分组报文的第一IP报头中获取的请求节点的SID。
根据权利要求18所述的装置，其特征在于，所述获取模块将所述NAT探测响应消息或NAT探测结果响应消息进行IP报文封装，包括：

将所述第二节点信息封装到NAT探测响应分组报文的第二IP报头中；

将所述NAT探测响应消息或NAT探测结果响应消息封装到NAT探测响应分组报文的第二报文内容中。
根据权利要求18所述的装置，其特征在于，所述接收模块对所述NAT探测请求分组报文进行解保护处理，包括：

所述接收模块对所述NAT探测请求分组报文进行解密、数据还原、完整性校验中的至少一项处理。
根据权利要求18所述的装置，其特征在于，所述获取模块对所述NAT探测响应分组报文进行保护处理，包括：

所述获取模块对所述NAT探测响应分组报文进行加密、数据混淆、完整性校验中的至少一项处理。
根据权利要求19所述的装置，其特征在于，所述确定模块根据对比结果确定NAT探测结果，包括如下任一步骤：

当获取的载荷数据中的请求节点的IP地址与第一IP报头中的请求节点的IP地址不同，或者，所述载荷数据中请求节点的端口号与第一IP报头中请求节点的端口号不同，或者，所述载荷数据中请求节点的SID与第一IP报头中请求节点的SID不同时，确定请求节点与网络间存在NAT；否则，确定请求节点与网络间不存在NAT；

当获取的载荷数据中的响应节点的IP地址与所述第一IP报头中的响应节点的IP地址不同，或者，所述载荷数据中响应节点的端口号与所述第一IP报头中的响应节点的端口号不同，或者，所述载荷数据中响应节点的SID与所述第一IP报头中响应节点的SID不同时，确定响应节点与网络间存在NAT；否则，确定响应节点与网络间不存在NAT。
根据权利要求18或21所述的装置，其特征在于，所述确定模块根据对比结果确定的NAT探测结果为第二探测结果，所述携带在NAT探测结果响应消息中的探测结果为第一探测结果；

所述第一探测结果为指示所述请求节点和响应节点间是否存在NAT的探测结果；

所述第二探测结果包括指示所述请求节点和响应节点间是否存在NAT，及所述请求节点和响应节点之间存在NAT时所述NAT的分布位置。
一种网络节点间NAT探测设备，配置于请求节点，其特征在于，所述设备包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器存储的程序指令，按照获得的程序执行如权利要求1至9任一所述网络节点间NAT探测方法。
一种网络节点间NAT探测设备，配置于响应节点，其特征在于，所述设备包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器存储的程序指令，按照获得的程序执行如权利要求1至9任一所述网络节点间NAT探测方法。
一种计算机存储介质，其特征在于，其上存储有计算机程序，该程序被处理器执行时实现如权利要求1至9任一所述网络节点间NAT探测方法的步骤。