本发明专利技术公开了一种适合公私网流量转发的设备连接方法,应用于视频监控系统,视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备,包括:网站服务器接收客户端和处于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;客户端利用交换所得的连接信息发起连接;网站服务器判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备;监控设备根据端口打开指令打开私网到公网的端口,使客户端与监控设备建立连接。本发明专利技术还公开了对应方法的装置,利用本发明专利技术,提高了私网的安全性。
【技术实现步骤摘要】
本专利技术涉及监控网络领域,尤其涉及适合公私网流量转发的设备连接方法及装置。
技术介绍
NAT(NetworkAddressTranslation,网络地址转换)设备将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络(即内网或私网)访问公共网络(即公网)的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。在组网过程中,NAT设备实现内网到公网之间的连接和转换。处于内网中的设备与公网中的其他设备之间通过NAT设备进行数据传输。以视频监控系统为例,随着网络视频监控的发展,以民用视频监控为代表的广域网视频监控需求日益增加。在广域网视频监控系统中,处于内网中的监控设备一般通过作为NAT设备的SOHO路由器接入作为公网的运营商网络,用户希望可以随时随地通过客户端访问监控设备,客户端作为客户端要通过NAT设备所开放的内网到公网的端口连接到作为监控设备的监控设备。图1是目前最常见的一种广域视频监控组网:由NAT设备实现内网的监控设备与公网之间的数据传输,监控设备的厂商在公网布置网站服务器并通过NAT设备对内网中的设备进行管理,网站服务器一般为DDNS(DynamicDomainNameServer,动态域名服务)服务器。用户在家中布置1台NVR和多台IPC,用户外出时通过客户端远程管理NVR和IPC。其中r>虚线框表示所在私网,虚线框与网络(INTENET)之间通过NAT设备连接。目前业界的实现,为了使得监控网络内部的设备能够被外网其它客户端访问,需要在监控设备所连接的路由器上开放端口映射或者设置DMZ(DemilitarizedZone,隔离区)这样的功能,以便外网的设备能通过这个打开的端口映射/DMZ来访问里面的NVR/IPC等设备。在现有的方案实现里,需要在监控设备所连接的NAT设备上开设端口映射或者采用DMZ这样的功能,以便外面的设备能通过这个打开的端口映射或DMZ来访问里面的NVR/IPC等设备。如图2所示,NAT设备上如果开放端口映射或者DMZ,就会存在被扫描或恶意攻击的安全风险。因此现有技术的问题在于,私网连接到公网的端口持续开放,易受到来自公网的攻击,具有安全风险。
技术实现思路
为解决现有技术存在的问题,本专利技术提供了适用于公私网流量转发的方法,使得内网连接到公网的端口在不必要的情况下保持关闭,以提高安全性,减少来自公网攻击的安全风险。一种适合公私网流量转发的设备连接方法,应用于视频监控系统,所述视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备,包括:网站服务器接收客户端和位于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;客户端利用交换所得的连接信息向监控设备发起连接;网站服务器判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备;监控设备根据端口打开指令打开私网到公网的端口,使客户端与监控设备建立连接。本专利技术的方法在客户端与监控设备处于同一私网中的情况下私网连接到公网的端口不需要打开,并且连接所需的连接信息通过网站服务器来交换传递,也避免了端口的打开。这种设备连接的方法使得端口减少了端口打开的时间,从而减少了来自公网的恶意扫描或攻击的安全风险。其中,为了保证安全性,在通过打开私网到公网的端口来建立客户端与监控设备之间的连接后,如果客户端停止通过连接进行业务数据的收发,则由网站服务器发送通知消息给监控设备,断开监控设备与客户端之间的连接。进一步而言,还包括:在监控设备打开私网到公网端口并与客户端建立连接后,网站服务器向监控设备发送端口关闭指令;监控设备根据接收到的端口关闭指令关闭私网到公网的端口并维持与客户端之间的连接。为了进一步提高安全性,即使监控设备与连接设备处于不同私网中因而需要打开端口来建立连接时,私网连接到公网的端口打开也是暂时的,大多数情况下端口处于关闭状态。使得端口打开的时间大大减少,从而进一步避免了来自公网的安全风险。进一步而言,还包括:网站服务器判断客户端是否停止通过所建立的连接进行业务数据的收发,若是,则向监控设备发送连接停止指令;监控设备根据接收到的连接停止指令,停止与客户端之间的连接维持。监控设备与客户端之间的连接维持开始以及停止时机均由网站服务器触发,因此不需要打开NAT设备的端口来进行。当客户端停止与监控设备收发业务数据时,客户端向网站服务器发送停止业务的消息,网站服务器接收到停止业务的消息后发送停止维持的消息给监控设备,以停止连接的维持。进一步而言,所述监控设备通过向客户端周期性发送保活报文来维持与客户端之间的连接。监控设备通过使能UPnP(UniversalPlugandPlay,通用即插即用)功能来开启私网到公网的端口,并在连接完成时去使能UPnP来关闭对应的端口,NAT设备上的NATSESSION会随时间的推移而老化,导致连接断开,例如老化时间为30秒,则在30秒后会连接中断。为维持连接,监控设备需要周期性向客户端发送保活报文来维持这一连接,其中报文格式根据之前发送的TCP或UDP格式的报文格式确定,报文的内容可以为空。进一步而言,网站服务器在客户端与监控设备两者之间交换双方的连接信息的过程为,分别建立与客户端及与监控设备之间的会话,利用向客户端发送会话协商成功消息中携带监控设备的连接信息以及向监控设备发送会话协商成功消息中携带客户端的连接信息,来交换双方的连接信息,其中连接信息包括:公网IP地址、在私网中的IP地址以及端口号。监控设备在获取客户端的连接信息后,通过使能UPnP(通用即插即用)功能来开启私网到公网的端口,并在连接完成时去使能UPnP来关闭对应的端口。网站服务器通过建立会话来获取客户端以及监控设备进行业务数据收发流的端口用于后续建立连接后进行业务数据的收发,且可以利用会话协商成功的消息进行连接信息的交换,在向客户端与监控设备发送协商成功后的SDP媒体参数中包含需要发送的连接信息,具体为,向客户端发送的SDP媒体参数中包含监控设备的连接信息,向监控设备发送的SDP媒体参数中包含客户端的连接信息。其中,监控设备以及客户端向网站服务器发送的连接信息可以在向网站服务器发送的注册报文的荷载中携带,其中,注本文档来自技高网...
【技术保护点】
一种适合公私网流量转发的设备连接方法,应用于视频监控系统,所述视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备,其特征在于,包括:网站服务器接收客户端和位于私网中的监控设备发送的连接信息,并在客户端与监控设备两者之间交换双方的连接信息;客户端利用交换所得的连接信息向监控设备发起连接;网站服务器判断客户端是否连接成功:如果是,则保持私网到公网的端口关闭;否则,发送端口打开指令给监控设备;监控设备根据端口打开指令打开私网到公网的端口,使客户端与监控设备建立连接。
【技术特征摘要】
1.一种适合公私网流量转发的设备连接方法,应用于视频监控系统,
所述视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监
控设备,其特征在于,包括:
网站服务器接收客户端和位于私网中的监控设备发送的连接信息,并
在客户端与监控设备两者之间交换双方的连接信息;
客户端利用交换所得的连接信息向监控设备发起连接;
网站服务器判断客户端是否连接成功:如果是,则保持私网到公网的
端口关闭;否则,发送端口打开指令给监控设备;
监控设备根据端口打开指令打开私网到公网的端口,使客户端与监控
设备建立连接。
2.如权利要求1所述适合公私网流量转发的设备连接方法,其特征在
于,还包括:
在监控设备打开私网到公网端口并与客户端建立连接后,网站服务器
向监控设备发送端口关闭指令;
监控设备根据接收到的端口关闭指令关闭私网到公网的端口并维持
与客户端之间的连接。
3.如权利要求2所述适合公私网流量转发的设备连接方法,其特征在
于,还包括:
网站服务器判断客户端是否停止通过所建立的连接进行业务数据的
收发,若是,则向监控设备发送连接停止指令;
监控设备根据接收到的连接停止指令,停止与客户端之间的连接维
持。
4.如权利要求2所述适合公私网流量转发的设备连接方法,其特征在
于,所述监控设备通过向客户端周期性发送保活报文来维持与客户端之间
的连接。
5.如权利要求1所述适合公私网流量转发的设备连接方法,其特征在
于,网站服务器在客户端与监控设备两者之间交换双方的连接信息的过程
\t为,分别建立与客户端及与监控设备之间的会话,利用向客户端发送会话
协商成功消息中携带监控设备的连接信息以及向监控设备发送会话协商
成功消息中携带客户端的连接信息,来交换双方的连接信息,其中连接信
息包括:公网IP地址、在私网中的IP地址以及端口号。
6.一种适合...
【专利技术属性】
技术研发人员:周迪,王军,杨正,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。