一种网络地址转换映射保活方法及装置制造方法及图纸

本发明专利技术实施例提供一种网络地址转换映射保活方法及装置，实现了不需要资源受限节点频繁发送心跳消息来维持地址映射关系的保活，且保证了资源受限节点的安全性。该方法包括：网络地址转换NAT设备接收内网设备发送的探测请求，探测请求包括内网设备的私网地址；NAT设备向内网设备发送探测响应，探测响应携带指示信息，用于指示内网设备不主动发起心跳消息来维持网络地址转换映射保活；并从地址资源池中为内网设备分配至少两个公网地址，在后续内网设备与外网设备的会话过程的每一时间段，NAT设备将至少两个公网地址中的一个公网地址，作为在每一时间段内的当前激活地址，用于将内网设备的私网地址映射为当前激活地址。

Network address conversion mapping preserving method and device

The embodiment of the invention provides a device and network address translation maps preserving method, realized without resource constrained nodes frequently send heartbeat messages to maintain the address mapping relations keep alive, and ensure the safety of resource constrained nodes. The method includes: network address transition detection equipment NAT sending and receiving equipment within the network request detection request address private network including the network equipment; NAT detection equipment send a response to the network equipment, detection response carrying indication information for indicating network equipment does not initiate heart message to maintain network address translation and keep alive from the address mapping; the pool of resources for distribution network equipment at least two public address, in each time period follow-up session with the network equipment network equipment, NAT equipment will be a public address at least two public address, as in every period of time the active address for mapping the private network address network equipment to address the current activation.

【技术实现步骤摘要】

本专利技术实施例涉及通信
，尤其涉及一种网络地址转换映射保活方法及装置。
技术介绍
物联网(英文：Internetofthings，简称：IoT)的出现，给人们的生活带来了便利。IoT领域存在着大量的资源受限节点(ConstrainedNode)，其主要表现在低能耗、低存储以及低的资源计算处理能力上。资源受限节点的低的资源处理能力，导致资源受限节点在安全方面面临的很多威胁，例如：IP网络协议加密方式主要是基于密钥和随机数，而互联网工程任务组(IETF)推荐的密钥长度是112bits，但是资源受限节点无法保存和处理这么长的密钥。现有针对节点的安全性考虑，现有技术中采用网络地址转换(NetworkAddressTranslation，简称：NAT)技术，具体是NAT设备将内部设备网络地址与外部设备网络地址形成映射，既能减少外部设备网络地址的需求，又能够隐藏内部设备网络地址，起到安全隔离作用。目前NAT技术中一般采用如下三种映射，包括端点独立映射(Endpoint-IndependentMapping)、地址依赖性映射(Address-DependentMapping)、地址和端口依赖性映射(AddressandPort-DependentMapping)。端点独立映射，是指对于从相同内部IP地址与端口发往任何外部IP地址与端口的数据包，都将该内部IP地址与端口映射为同一外部IP地址与端口。地址依赖性映射，是指对于从相同内部IP地址与端口发往同一外部IP地址的数据包，不管外部端口号是多少，都将该内部IP地址与端口映射为同一外部IP地址与端口。地址和端口依赖性映射，是指对于从相同内部IP地址与端口发往同一外部IP地址与端口的包，都将该内部IP地址与端口映射为同一外部IP地址与端口。不论NAT采用NAT技术中哪种映射方式，都会对内部设备对应的内网地址分配一个对应的外部设备的外网地址；同时需要维持外网地址与外网地址映射关系的保活。但是当前NAT技术需要内部设备发送心跳消息来维持地址映射关系的保活。并且如果使用NAT技术来屏蔽资源受限节点的IP地址来提高安全性，但是用户数据报协议(英文：UserDatagramProtocol，简称：UDP)场景下，频繁的发送心跳消息来维持地址映射关系的映射对于低能耗的资源受限节点来说是不可能接受的。在传输控制协议(英文：TransmissionControlProtocol，简称：TCP)场景下，长时间连接状态会使得资源受限节点在长时间内的外部映射地址固定，使得外部攻击者更容易窃取地址来发送伪造消息，降低了资源受限节点的安全性。
技术实现思路
本专利技术实施例提供一种网络地址转换映射保活方法及装置，实现了不需要资源受限节点频繁发送心跳消息来维持地址映射关系的保活，且保证了资源受限节点的安全性。第一方面，本专利技术实施例提供了一种网络地址转换映射保活方法，包括：NAT设备接收内网设备发送的探测请求，所述探测请求包括所述内网设备的私网地址；所述NAT设备在接收到所述探测请求后，向所述内网设备发送探测响应，所述探测响应携带指示信息，所述指示信息用于指示所述内网设备不主动发起心跳消息来维持网络地址转换映射保活；并从地址资源池中包括的空闲的公网地址中为所述内网设备分配至少两个公网地址，在后续所述内网设备与外网设备的会话过程的每一时间段，所述NAT设备将所述至少两个公网地址中的一个公网地址，作为在所述每一时间段内的当前激活地址，用于将所述内网设备的私网地址映射为所述当前激活地址。本专利技术实施例中，NAT设备在首次接收到内网设备发送的请求时，针对内网地址分配至少两个公网地址，并将所述至少两个公网地址循环激活并将激活的地址作为内网设备的私网地址所映射的公网地址，从而内网设备不需要发送心跳消息来维持网络地址映射保活，达到了减少内网设备的能源消耗，由于采用循环激活，使得在内网设备与外网设备的会话过程中，内网设备的私网地址所映射的公网地址不固定，降低了外部网络设备获取私网地址所映射的公网地址的安全风险。在一种可能的设计中，在后续所述内网设备与外网设备的会话过程的每一时间段，所述NAT设备将所述至少两个公网地址中的一个公网地址，作为在所述每一时间段内的当前激活地址，包括：所述NAT设备按照所述至少两个公网地址的配置顺序，针对所述至少两个公网地址循环依次执行如下操作：从选择当前次对应的一个公网地址起开始计时，直到计时时长达到所述一个公网地址对应的超时时长时为止，在所述当前次计时过程中，将当前次选择的一个公网地址作为当前激活地址；其中，一个公网地址对应一个超时时长。在一种可能的设计中，所述方法还包括：所述NAT设备接收到所述内网设备发送给外网设备的第一上报数据消息，所述第一上报数据消息中的源地址为所述内网设备的私网地址；所述NAT设备将所述上报数据消息中的所述内网设备的私网地址替换为作为当前激活地址的第一地址后发送给所述外网设备。在一种可能的设计中，所述方法还包括：在接收到所述内网设备发送给外网设备的第一上报数据消息时，所述NAT设备将作为当前激活地址的第一地址标记为当前映射地址。在一种可能的设计中，所述方法还包括：所述NAT设备接收到所述外网设备发给所述内网设备的第一指令消息，所述第一指令消息的目的地址为第二地址；所标记的当前映射地址为第二地址；所述NAT设备确定所述第一指令消息的目的地址与所标记的当前映射地址相同，将所述第一指令消息中的目的地址更改为所述第二地址所映射的所述内网设备的私网地址后，发送给所述内网设备。在一种可能的设计中，所述方法还包括：所述NAT设备接收到所述内网设备发送给外网设备的第二上报数据消息，其中，所述第二上报数据消息中的源地址为所述内网设备的私网地址，作为当前激活地址的公网地址为第三地址，所标记的当前映射地址为第四地址；所述NAT设备将所述上报数据消息中的所述内网设备的私网地址替换为所述第三地址后发送给所述外网设备，将标记为当前映射地址的第四地址标记为前一映射地址；并将作为当前激活地址的第三地址标记为当前映射地址；其中，所述前一映射地址以及所述当前映射地址均与所述内网设备的私网地址存在映射关系。在一种可能的设计中，所述方法还包括：所述NAT设备接收到所述外网设备发送给所述内网设备的第二指令消息；所述第二指令消息的目的地址为第五地址，所标记的当前映射地址为第六地址，所标记的前一映射地址为第五地址；所述NAT设备确定所述第二指令消息的目的地址与所标记的当前映射地址不同，且所述第二指令消息的目的地址与所标记的前一映射地址相同；所述NAT设备将所述第二指令消息的目的地址更改为所述第五地址所映射的所述内网设备的私网地址后，发送给所述内网设备。在一种可能的设计中，作为当前激活地址的公网地址为第七地址，还包括：在确定所述第二指令消息的目的地址与所标记的当前映射地址不同，且所述第二指令消息的目的地址与所标记的前一映射地址相同时，所述NAT设备将作为当前激活地址的第七地址标记为当前映射地址，并将标记为当前映射地址的第六地址标记为前一映射地址。在一种可能的设计中，在所述NAT设备确定所述第二指令消息的目的地址与所标记的当前映射地址不同，且所述第二指令消息的目的地址本文档来自技高网...

【技术保护点】
一种网络地址转换映射保活方法，其特征在于，包括：网络地址转换NAT设备接收内网设备发送的探测请求，所述探测请求包括所述内网设备的私网地址；所述NAT设备在接收到所述探测请求后，向所述内网设备发送探测响应，所述探测响应携带指示信息，所述指示信息用于指示所述内网设备不主动发起心跳消息来维持网络地址转换映射保活；并从地址资源池中包括的空闲的公网地址中为所述内网设备分配至少两个公网地址，在后续所述内网设备与外网设备的会话过程的每一时间段，所述NAT设备将所述至少两个公网地址中的一个公网地址，作为在所述每一时间段内的当前激活地址，用于将所述内网设备的私网地址映射为所述当前激活地址。

【技术特征摘要】
1.一种网络地址转换映射保活方法，其特征在于，包括：网络地址转换NAT设备接收内网设备发送的探测请求，所述探测请求包括所述内网设备的私网地址；所述NAT设备在接收到所述探测请求后，向所述内网设备发送探测响应，所述探测响应携带指示信息，所述指示信息用于指示所述内网设备不主动发起心跳消息来维持网络地址转换映射保活；并从地址资源池中包括的空闲的公网地址中为所述内网设备分配至少两个公网地址，在后续所述内网设备与外网设备的会话过程的每一时间段，所述NAT设备将所述至少两个公网地址中的一个公网地址，作为在所述每一时间段内的当前激活地址，用于将所述内网设备的私网地址映射为所述当前激活地址。2.如权利要求1所述的方法，其特征在于，在后续所述内网设备与外网设备的会话过程的每一时间段，所述NAT设备将所述至少两个公网地址中的一个公网地址，作为在所述每一时间段内的当前激活地址，包括：所述NAT设备按照所述至少两个公网地址的配置顺序，针对所述至少两个公网地址循环依次执行如下操作：从选择当前次对应的一个公网地址起开始计时，直到计时时长达到所述一个公网地址对应的超时时长时为止，在所述当前次计时过程中，将当前次选择的一个公网地址作为当前激活地址；其中，一个公网地址对应一个超时时长。3.如权利要求2所述的方法，其特征在于，还包括：所述NAT设备接收到所述内网设备发送给外网设备的第一上报数据消息，所述第一上报数据消息中的源地址为所述内网设备的私网地址；所述NAT设备将所述上报数据消息中的所述内网设备的私网地址替换为作为当前激活地址的第一地址后发送给所述外网设备。4.如权利要求3所述的方法，其特征在于，还包括：在接收到所述内网设备发送给外网设备的第一上报数据消息时，所述NAT设备将作为当前激活地址的第一地址标记为当前映射地址。5.如权利要求4所述的方法，其特征在于，还包括：所述NAT设备接收到所述外网设备发给所述内网设备的第一指令消息，所述第一指令消息的目的地址为第二地址；所标记的当前映射地址为第二地址；所述NAT设备确定所述第一指令消息的目的地址与所标记的当前映射地址相同，将所述第一指令消息中的目的地址更改为所述第二地址所映射的所述内网设备的私网地址后，发送给所述内网设备。6.如权利要求4或5所述的方法，其特征在于，还包括：所述NAT设备接收到所述内网设备发送给外网设备的第二上报数据消息，其中，所述第二上报数据消息中的源地址为所述内网设备的私网地址，作为当前激活地址的公网地址为第三地址，所标记的当前映射地址为第四地址；所述NAT设备将所述上报数据消息中的所述内网设备的私网地址替换为所述第三地址后发送给所述外网设备，将标记为当前映射地址的第四地址标记为前一映射地址；并将作为当前激活地址的第三地址标记为当前映射地址；其中，所述前一映射地址以及所述当前映射地址均与所述内网设备的私网地址存在映射关系。7.如权利要求6所述的方法，其特征在于，还包括：所述NAT设备接收到所述外网设备发送给所述内网设备的第二指令消息；所述第二指令消息的目的地址为第五地址，所标记的当前映射地址为第六地址，所标记的前一映射地址为第五地址；所述NAT设备确定所述第二指令消息的目的地址与所标记的当前映射地址不同，且所述第二指令消息的目的地址与所标记的前一映射地址相同；所述NAT设备将所述第二指令消息的目的地址更改为所述第五地址所映
\t射的所述内网设备的私网地址后，发送给所述内网设备。8.如权利要求7所述的方法，其特征在于，作为当前激活地址的公网地址为第七地址，还包括：在确定所述第二指令消息的目的地址与所标记的当前映射地址不同，且所述第二指令消息的目的地址与所标记的前一映射地址相同时，所述NAT设备将作为当前激活地址的第七地址标记为当前映射地址，并将标记为当前映射地址的第六地址标记为前一映射地址。9.如权利要求8所述的方法，其特征在于，在所述NAT设备确定所述第二指令消息的目的地址与所标记的当前映射地址不同，且所述第二指令消息的目的地址与所标记的前一映射地址相同后，还包括：所述NAT设备向所述外网设备发送指示消息，所述指示消息用于指示所述内网设备映射的地址更改为作为当前激活地址的第七地址。10.如权利要求6～9任一项所述的方法，其特征在于，还包括：所述NAT设备接收到所述外网设备发送给所述内网设备的第三指令消息；所述第三指令消息的目的地址为第八地址，所标记的当前映射地址为第九地址，所标记的前一映射地址为第十地址；所述NAT设备确定所述第三指令消息的目的地址与所标记的当前映射地址不同，且所述第二指令消息的目的地址与所标记的前一映射地址不同；所述NAT设备将所述第三指令消息的源地址添加到告警列表中，并丢弃所述第三指令消息。11.如权利要求10所述的方法，其特征在于，还包括：所述NAT设备接收到所述外网设备发送给所述内网设备的第四指令消息；所述NAT设备确定所述第一指令消息的源地址与所述告警列表包括的其中一个地址相同，则丢弃所述第四指令消息。12.一种网络地址转换映射保活装置，其特征在于，所述装置应用于网络地址转换NAT设备，包括：接收模块，用于接收内网设备发送的探测请求，所述探测请求包括所述内网设备的私网地址；发送模块，用于在所述接收模块接收到所述探测请求后，向所述内网设备发送探测响应，所述探测响应携带指示信息，所述指示信息用于指示所述内网设备不主动发起心跳消息来维持网络地址转换映射保活；处理模块，用于从地址资源池中包括的空闲的公网地址中为所述内网设备分配至少两个公网地址，在后续所述内网设备与外网设备的会话过程的...

【专利技术属性】
技术研发人员：刘艳，肖杨，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44