用于在限制性防火墻后進行tcp turn操作的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本公開涉及客戶端與對等端之間的傳輸控制協(xié)議(TCP)連接，且具體地涉及在客戶端位于網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)和限制性防火墻后的情況下客戶端與對等端之間的TCP連接。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)通過隱藏網(wǎng)絡(luò)上節(jié)點的網(wǎng)際協(xié)議(IP)地址來提高網(wǎng)絡(luò)的安全性，從而防止從網(wǎng)絡(luò)外部直接可達節(jié)點。然而，NAT也可以導(dǎo)致實時通信方面的問題，因為網(wǎng)絡(luò)中的節(jié)點可能不能從網(wǎng)絡(luò)外部直接接收呼入呼叫、會話、通信、對話或交易。
[0003]NAT也可以與防火墻處在同一位置。為了克服NAT/防火墻造成的障礙，存在各種解決方案。NAT 會話傳輸應(yīng)用程序(Sess1n Traversal Utilities for NAT，STUN)(由互聯(lián)網(wǎng)工程任務(wù)組(IETF)請求注解(RFC) 5389 “NAT會話傳輸應(yīng)用程序(STUN)”來定義，其內(nèi)容以引用方式并入本文)為IP節(jié)點上的客戶端軟件提供了用于獲知從其網(wǎng)絡(luò)之外的其他網(wǎng)絡(luò)(例如在NAT另一側(cè)的IP節(jié)點)觀察到的其在NAT上被指派的地址和端口的方法。由于NAT/防火墻功能的多樣性和復(fù)雜性，STUN本身不足以允許呼入業(yè)務(wù)穿越NAT。
[0004]使用NAT周圍中繼的穿越(TURN)(在IETF RFC 5766 “使用NAT周圍中繼的穿越(TURN):針對NAT會話傳輸應(yīng)用程序(STUN)的中繼擴展”中定義，其內(nèi)容以引用方式并入本文中)引入了“中間人”類型服務(wù)器，該服務(wù)器代表NAT后面的客戶端來中繼、代理或傳輸IP數(shù)據(jù)業(yè)務(wù)，從而允許該客戶端可從NAT的另一側(cè)到達。TURN服務(wù)器在兩個通信點之間中繼業(yè)務(wù)。TURN協(xié)議允許NAT后面的主機(本文中稱為TURN客戶端)請求被稱為TURN服務(wù)器的另一主機充當中繼。TURN是STUN的擴展，并且大多數(shù)TURN消息與它們的STUN等同物具有相同的格式。
[0005]TURN不提供將客戶端的中繼傳輸?shù)刂穫魉徒o它的對等端的方法，也不提供讓客戶端獲知每個對等端的面向外部的IP地址和端口的方法，如果對等端也在NAT后，該面向外部的IP地址和端口將是“服務(wù)器自反傳輸?shù)刂贰?。針對這種通信，存在其它協(xié)議和解決方案，包括會話發(fā)起協(xié)議(SIP)和交互式連接建立(ICE)，ICE是在IETF RFC 5245 “交互式連接建立(ICE):針對要約/應(yīng)答協(xié)議的網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)的協(xié)議”，其內(nèi)容以引用方式并入本文中。
[0006]然而，在一些網(wǎng)絡(luò)中，防火墻可以限制TCP連接僅使用某些端口。這可能出于例如安全或隱私的原因。例如，在一些網(wǎng)絡(luò)中，只有TCP端口 80和443可能為TCP開啟。TCP端口 80通常用于超文本傳輸協(xié)議(HTTP)，以及端口 443通常用于具有傳輸層安全(TLS)的HTTP，其也被稱為HTTPS。為了使用戶能夠訪問萬維網(wǎng)但不能訪問其它內(nèi)容，僅針對出站的TCP連接可以允許這種端口。除上述端口之外，或者作為上述端口的備選，可以允許其它端口。對端口的限制在很多公司或企業(yè)的網(wǎng)絡(luò)環(huán)境中是常見的，它們在這里被稱為“限制訪問的網(wǎng)絡(luò)環(huán)境”。
[0007]在限制訪問的網(wǎng)絡(luò)環(huán)境中，由于TCP TURN服務(wù)器向客戶端指派唯一的端口以唯一標識客戶端，并且通過防火墻可以限制這種端口訪問，因此TCP TURN服務(wù)器解決方案可能無法工作。

【發(fā)明內(nèi)容】

【附圖說明】
[0008]參照附圖將更好地理解本公開，其中:
[0009]圖1是示出了用于使用TURN服務(wù)器在客戶端與對等端之間通信的示例網(wǎng)絡(luò)結(jié)構(gòu)的框圖；
[0010]圖2是示出了客戶端到TURN服務(wù)器的初始化的示例數(shù)據(jù)流程圖；
[0011]圖3是示出了通過TCP TURN服務(wù)器來建立從客戶端到對等端的連接的示例數(shù)據(jù)流程圖；
[0012]圖4是示出了通過TCP TURN服務(wù)器來建立從對等端到客戶端的連接的示例數(shù)據(jù)流程圖；
[0013]圖5是示出了通過限制訪問防火墻的客戶端到TURN服務(wù)器的初始化的示例數(shù)據(jù)流程圖；
[0014]圖6是示出了通過TCP TURN服務(wù)器通過限制訪問防火墻來建立從客戶端到對等端的連接的示例數(shù)據(jù)流程圖；
[0015]圖7是示出了通過TCP TURN服務(wù)器通過限制訪問防火墻來建立從對等端到客戶端的連接的示例數(shù)據(jù)流程圖；
[0016]圖8是示出了通過一對TCP TURN服務(wù)器來建立從對等端到客戶端的連接的示例數(shù)據(jù)流程圖；以及
[0017]圖9是示例計算設(shè)備的簡化框圖。
【具體實施方式】
[0018]本公開提供了一種在位于網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)和限制訪問防火墻后面的計算客戶端處的方法，該方法包括:使用能夠穿越限制訪問防火墻的端口來建立與傳輸控制協(xié)議(TCP)使用NAT周圍中繼的穿越(TURN)服務(wù)器的控制連接；向TCP TURN服務(wù)器請求分配客戶端服務(wù)身份；以及從TCP TURN服務(wù)器接收包含客戶端服務(wù)身份在內(nèi)的響應(yīng)，其中，客戶端服務(wù)身份獨立于用于與TCP TURN服務(wù)器通信的任何端口。
[0019]本公開還提供了一種計算設(shè)備，包括:處理器；以及通信子系統(tǒng)，其中，該計算設(shè)備位于網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)和限制訪問防火墻的后面，并且被配置為:使用能夠穿越限制訪問防火墻的端口來建立與傳輸控制協(xié)議(TCP)使用NAT周圍中繼的穿越(TURN)服務(wù)器的控制連接；向TCP TURN服務(wù)器請求分配客戶端服務(wù)身份；以及從TCP TURN服務(wù)器接收包含客戶端服務(wù)身份在內(nèi)的響應(yīng)，其中，客戶端服務(wù)身份獨立于用于與TCP TURN服務(wù)器通Is的任何端口。
[0020]本公開還提供了一種在TCP使用網(wǎng)絡(luò)地址轉(zhuǎn)換器周圍中繼的穿越(TURN)服務(wù)器處的方法，該方法包括:在第一端口上監(jiān)聽來自計算客戶端的通信，計算客戶端位于限制訪問防火墻后面并且第一端口能夠穿越限制訪問防火墻；在第一端口上接受與通信客戶端的控制連接；從計算客戶端接收針對分配客戶端服務(wù)身份的請求；以及發(fā)送包含客戶端服務(wù)身份在內(nèi)的響應(yīng)，其中，客戶端服務(wù)身份獨立于用于與TCP TURN服務(wù)器通信的任何端口。
[0021]本公開還提供了一種TCP使用網(wǎng)絡(luò)地址轉(zhuǎn)換器周圍中繼的穿越(TURN)服務(wù)器，包括:處理器；通信子系統(tǒng)，其中，TCP TURN服務(wù)器被配置為:在第一端口上監(jiān)聽來自計算客戶端的通信，計算客戶端位于限制訪問防火墻后面并且第一端口能夠穿越限制訪問防火墻；在第一端口上接受與通信客戶端的控制連接；從計算客戶端接收針對分配客戶端服務(wù)身份的請求；以及發(fā)送包含客戶端服務(wù)身份在內(nèi)的響應(yīng)，其中，客戶端服務(wù)身份獨立于用于與TCP TURN服務(wù)器通信的任何端口。
[0022]現(xiàn)在參考圖1，其符合IETF RFC 5766的第2節(jié)。如圖1中可見，TURN客戶端110是NAT/防火墻112后面的主機。如IETF RFC 5766中所示，TURN客戶端110通常與IETFRFC 1918定義的私有網(wǎng)絡(luò)連接，并且穿過一個或多個NAT 112連接到公共互聯(lián)網(wǎng)。
[0023]TURN客戶端110與TURN服務(wù)器114通過NAT/防火墻112進行通信。如圖1所示，TURN客戶端110位于私有側(cè)并且TURN服務(wù)器114位于公共側(cè)。如IETF 5766的第2節(jié)進一步所示，TURN客戶端110從被稱為客戶端的主機傳輸?shù)刂返腎P地址和端口的組合與TURN服務(wù)器114通信。IP地址和傳輸層協(xié)議端口(下文中就稱為“端口 ”)的組合被稱為傳輸?shù)刂贰?br>[0024]因此，TURN客戶端110從其主機傳輸?shù)刂废虮环Q為TURN服務(wù)器傳輸?shù)刂返腡URN服務(wù)器114上的傳輸?shù)刂钒l(fā)送TURN消息。在一些實施例中，可以在TURN客戶端110上配置TURN服務(wù)器傳輸?shù)刂?。在其它實施例中，該地址可以通過其他技術(shù)來發(fā)現(xiàn)。
[0025]此外，如IETF RFC 5766的第2節(jié)所示，由于TURN客戶端110在NAT的后面，TURN服務(wù)器114可以將來自客戶端110的分組視為來自NAT上的傳輸?shù)刂繁旧?。該地址可以被稱為TURN客戶端的“服務(wù)器自反傳輸?shù)刂贰?。由TURN服務(wù)器向TURN客戶端的服務(wù)器自反傳輸?shù)刂钒l(fā)送的分組可以被NAT轉(zhuǎn)發(fā)至TURN客戶端的主機傳輸?shù)刂贰?br>[0026]TURN客戶端110使用TURN命令在TURN服務(wù)器114上對分配進行創(chuàng)建和操作。分配是TURN服務(wù)器114上的數(shù)據(jù)結(jié)構(gòu)，并且可以包含針對TURN客戶端110分配的中繼傳輸?shù)刂返取Ｖ欣^傳輸?shù)刂肥荰URN服務(wù)器114上的傳輸?shù)刂?，該傳輸?shù)刂房晒Φ榷擞脕碜孴URN服務(wù)器114將數(shù)據(jù)中繼至TURN客戶端110。分配由它的中繼傳輸?shù)刂穪砦ㄒ粯俗R。上述內(nèi)容在IETF RFC 5766中規(guī)定。
[0027]一旦創(chuàng)建了分配，TURN客戶端110能夠?qū)?yīng)用數(shù)據(jù)連同對要向哪個對等端發(fā)送該數(shù)據(jù)的指示一起向TURN服務(wù)器114發(fā)送。然后，TURN服務(wù)器114可以向合適的對等端中繼該數(shù)據(jù)。向TURN服務(wù)器114傳輸應(yīng)用數(shù)據(jù)的通信可以在TURN消息內(nèi)部，并且在TURN服務(wù)器114處從TURN消息中提取該數(shù)據(jù)，并在用戶數(shù)據(jù)報協(xié)議(UDP)數(shù)據(jù)報中向?qū)Φ榷税l(fā)送該數(shù)據(jù)。從而，在圖1的示例中，可以由TURN客戶端110來選擇對等端120和對等端130之一。在圖1的示例中，對等端120位于MT/防火墻122的后面。
[0028]在相反的方向上，諸如對等端130之類的對等端可以在UDP數(shù)據(jù)報中向TURN服務(wù)器114發(fā)送應(yīng)用數(shù)據(jù)。該應(yīng)用數(shù)據(jù)將會被發(fā)送至分配給TURN客戶端110的中繼傳輸?shù)刂?，然后TURN服務(wù)器114能夠?qū)⒃摂?shù)據(jù)封裝在TURN消息中，并將其與對哪個對等端發(fā)送該數(shù)據(jù)的指示一起向TURN客戶端110發(fā)送。
[0029]由于TURN消息包含對客戶端正與哪個對等端進行通信的指示，TURN客戶端110能夠使用TURN服務(wù)器114上的單一分配與多個對等端通信。
[0030]當諸如對等端120之類的對等端位于NAT/防火墻122的后面時，客戶端可以使用服務(wù)器自反傳輸?shù)刂范皇瞧渲鳈C傳輸?shù)刂穪順俗R對等端。因此，如圖1中可見的，NAT/防火墻122具有服務(wù)器自反傳輸?shù)刂?192.0.2.150:32102，并且這將是TURN客戶端110使用的地址，而不是對等端主機的實際主機傳輸?shù)刂?192.168.100.2:49582。
[0031]在TURN服務(wù)器114上的每個分配與正好一個TURN客戶端110關(guān)聯(lián)，并且從而當分組到達TURN服務(wù)器114上的中繼傳輸?shù)刂窌r，TURN服務(wù)器114知曉數(shù)據(jù)是針對哪個客戶端的。然而，TURN客戶端110可以同時具有它本身與TURN服務(wù)器114之間的多個分配。
[0032]IETF RFC 5766定義了在TURN客戶端110與TURN服務(wù)器114之間對UDP、TCP以及基于TCP的傳輸層安全(TLS)的使用。然而，僅UDP被定義為在TURN服務(wù)器114與諸如對等端120之類的對等端之間使用。IETF RFC 6062，“使用NAT周圍中繼的穿越(TURN)針對TCP分配的擴展”(其內(nèi)容以引用方式并入本文中)介紹了用于在TURN服務(wù)器114與諸如對等端120之類的對等端之間通信的TCP。
[0033]在TURN服務(wù)器與對等端之間使用TCP連接的能力允許TURN客戶端之后將TURN客戶端與對等端之間的端到端TCP連接用