技術(shù)領(lǐng)域

本發(fā)明屬于通信技術(shù)領(lǐng)域，具體涉及一種VoIP中基于ICE協(xié)議的快速私網(wǎng)穿越方法。

背景技術(shù)

VoIP是Voice?over?Internet?Protocol的縮寫(業(yè)界一般稱為IP電話)，是把話音或傳真轉(zhuǎn)換成數(shù)據(jù)，然后與數(shù)據(jù)一起共享同一個IP網(wǎng)絡(luò)(Internet互聯(lián)網(wǎng))。對于VoIP業(yè)務(wù)，其系統(tǒng)架構(gòu)示意圖如圖1所示。NAT(Network?Address?Translation即網(wǎng)絡(luò)地址轉(zhuǎn)換)是伴隨著ipv4地址的耗盡以及加入互聯(lián)網(wǎng)的主機數(shù)的日益增加而產(chǎn)生的。私網(wǎng)和外網(wǎng)中間由NAT負(fù)責(zé)進行ip地址的轉(zhuǎn)換，私網(wǎng)穿越和NAT穿越指的是同一技術(shù)，只是名稱不同而已。

隨著VoIP技術(shù)的成熟和廣泛應(yīng)用，越來越多的企業(yè)和個人采用了VoIP和軟交換技術(shù)進行企業(yè)內(nèi)部數(shù)據(jù)網(wǎng)絡(luò)和語音網(wǎng)絡(luò)的整合。但是，當(dāng)前的網(wǎng)絡(luò)實際情況是，由于IP地址緊缺以及安全等各種原因，大量的企業(yè)網(wǎng)和駐地網(wǎng)基本上都采用了私有IP地址通過出口的網(wǎng)絡(luò)地址接入公網(wǎng)。這些技術(shù)在早期的Internet網(wǎng)絡(luò)中起到了很大的作用，能夠阻擋來自企業(yè)外部網(wǎng)絡(luò)的攻擊、節(jié)省IP地址、保護企業(yè)內(nèi)部的數(shù)據(jù)安全。在VoIP應(yīng)用中，多媒體會話信令協(xié)議是用于準(zhǔn)備建立媒體流傳輸?shù)拇碇g交換信息的控制協(xié)議，例如SIP、RTSP、H.323等。然而，媒體流與信令流截然不同，它們所采用的網(wǎng)絡(luò)通道也不一致。由于協(xié)議自身設(shè)計上的原因，使得媒體流無法直接穿透NAT環(huán)境。

NAT環(huán)境阻礙主機進行P2P通信的主要原因是NAT環(huán)境不允許公網(wǎng)主機主動訪問內(nèi)網(wǎng)主機。這使得Internet上具有公網(wǎng)IP地址的主機不能主動訪問NAT環(huán)境之后的主機，而位于不同NAT環(huán)境之后的主機之間更是無法相互識別因而不能直接交換信息。當(dāng)前存在有如下解決方案：ALG方式，MIDCOM方式，STUN方式，TURN方式，ICE方式，F(xiàn)ULL?PXOXY方式等，它們各自的特點具體如下：

1，ALG

ALG(應(yīng)用層網(wǎng)關(guān))方案指能識別指式協(xié)議(H.323，SIP)的設(shè)備。在網(wǎng)絡(luò)中增加ALG設(shè)備可以很好地配合NAT環(huán)境完成應(yīng)用協(xié)議消息中的地址字段翻譯。NAT和NAPT只能對IP報文的頭部地址和TCP/UDP頭部的端口信息進行轉(zhuǎn)換，對于報文的數(shù)據(jù)部分可能包含IP地址或端口信息的特殊協(xié)議(如H.323、SIP、MGCP)，則無法實現(xiàn)有效的轉(zhuǎn)換，而許多應(yīng)用中卻需要對數(shù)據(jù)包負(fù)載重的數(shù)據(jù)進行分析轉(zhuǎn)換。例如一個FTP服務(wù)器處于內(nèi)網(wǎng)中，只有內(nèi)網(wǎng)IP地址，該服務(wù)器在和公網(wǎng)主機建立會話的過程中，需要將自己的IP地址發(fā)送給對方，而這個地址信息是放在IP報文的數(shù)據(jù)部分，現(xiàn)有的NAT設(shè)備是無法對它進行地址轉(zhuǎn)換的。當(dāng)公網(wǎng)主機接收到這個私有地址并使用它時，是不可能建立連接的。增加應(yīng)用層網(wǎng)關(guān)ALG之后，就可進一步分析數(shù)據(jù)包負(fù)載內(nèi)的數(shù)據(jù)，即應(yīng)用層的數(shù)據(jù)。所以當(dāng)網(wǎng)絡(luò)中使用了NAT設(shè)備來屏蔽內(nèi)部IP地址時，應(yīng)用層網(wǎng)關(guān)ALG就可以同時實行對業(yè)務(wù)流NAT環(huán)境的穿越了。ALG可以是單獨地連接于公網(wǎng)和內(nèi)網(wǎng)之間的設(shè)備，也可以內(nèi)置于NAT或防火墻設(shè)備中。該方案涉及的相關(guān)協(xié)議時RFC3027。

該方案的優(yōu)點是：對于客戶端不作要求，不需要在公網(wǎng)架設(shè)新的設(shè)備，并且沒有安全問題。同時它還能優(yōu)化下一代網(wǎng)絡(luò)軟交換系統(tǒng)的帶寬使用(客戶端之間直接建立連接)。

該方案的缺點是：升級時，需要對NAT設(shè)備也進行升級，這對目前我們所處的網(wǎng)絡(luò)來說，將會是一項非常艱巨的任務(wù)，在實際中很難實現(xiàn)，ALG方式的另一個不足就是ALG必須透徹地理解應(yīng)用協(xié)議，需要根據(jù)協(xié)議過程協(xié)調(diào)NAT的地址翻譯過程，并同步修改數(shù)據(jù)包負(fù)載中的相關(guān)字段，這將會加重網(wǎng)關(guān)的負(fù)擔(dān)，對于NAPT來說情況更復(fù)雜，處理開銷過大，可能會影響了網(wǎng)絡(luò)的正常運行，形成網(wǎng)絡(luò)瓶頸。而且ALG無法識別加密報文內(nèi)容，必須保證報文采用明文傳送，使得在公網(wǎng)中傳送時存在安全隱患。

總而言之，該方案需要網(wǎng)關(guān)的支持，并且與應(yīng)用協(xié)議相關(guān)度較高。因此，如果輕量級VoIP要采用ALG的方式進行NAT穿越時，就無法對語音進行加密，需要權(quán)衡考慮。

2，MIDCOM

MIDCOM(中間盒通信)協(xié)議方式與ALG方式在功能上基本相同，也需要了解相應(yīng)的工作機制，負(fù)責(zé)具體的應(yīng)用處理，協(xié)助NAT一起對數(shù)據(jù)包進行處理。不同之處在于MIDCOM的框架結(jié)構(gòu)采用可信的第三方(MIDCOM代理)對NAT進行控制。方案涉及相關(guān)協(xié)議：RFC4097。