[发明专利]在网络视频会议系统中实现网内穿透的方法

说明书

【技术领域】

本发明涉及计算机通信和网络视频会议系统领域，尤其是涉及一种基于H323协议体系的实体间内网穿透的方法。 

【背景技术】

在视频会议系统中，出于安全考虑，多点控制单元(MCU，多点控制单元，h323终端实体的一种)通常部署在内网，并且有防火墙将公网隔开。与多点控制单元同在内网的客户端(H323Endpoint/H323EndPort：h323终端实体的一种，通常缩写成EP，也可称为客户端。)可以直接连上服务器。而在公网的客户端的连接将被防火墙拦下。如果防火墙开放所有的端口，在公网的客户端还是无法加入会议。私网IP地址无法从公网寻址，RAS，Q.931和H.245信令中的地址信息需要进行网络地址转换，即将多点控制单元的内网传输地址换成公网的传输地址。同理，在外网的客户端也可能处在某个内网的防火墙后面。例如图1中所描述的情况：多点控制单元位于防火墙NAT1之后的私网中，客户端EP1位于公网上，客户端EP2位于防火墙NAT2之后的私网中。一般情况下，当客户端EP1拨入多点控制单元时，将被防火墙NAT1拦截。为了解决该问题，可配置防火墙NAT1，防火墙NAT1与多点控制单元进行端口映射。端口映射解决了客户端EP1拨入多点控制单元的情况，但不能解决客户端EP2拨入多点控制单元。然而只做端口映射，客户端EP2的音视数据可以进入多点控制单元，但多点控制单元的音视数据无法到达客户端EP2，因为客户端EP2不知道自己的网络环境，所以客户端EP2交给多点控制单元的打开逻辑通道参数带的是私网地址。由于多点控制单元获取不到对方实际的公网地址，所以不能正确建立RTP会话。 

如何解决从内网到内网防火墙后的H323实体间的呼叫和音视数据传 送，目前主要存在下面两种方案： 

第一种是，私网内的H323实体预先获得公网上的服务地址，在信令中直接填写出口NAT(路由、防火墙等设备)上的对外地址。比如STUN方式和TURN方式，要在公网上挂一个Server服务器。如当使用STUN方式进行防火墙穿透时，必须在公网上架设一台具有双网卡的双公网IP的STUN服务器。当处于内网的客户端(EP)拨入处于另一内网的多点控制单元(MCU)后，H323终端实体(无论是客户端或是多点控制单元)在填写打开逻辑通道参数(OLC，打开逻辑通道参数，主要包含有发送方的IP地址和通信端口号)之前，必须与STUN服务器进行通信(发送STUN信令)。通信过程如下：1、客户端1向STUN服务器上第一个网卡(IP1：PORT1)发送STUN协议信令1。2、STUN服务器收到信令1后，从第二个网卡(IP2：PORT2)向客户端1发送信令2。3、客户端收到信令3后向STUN服务器第二个网卡(IP2：PORT2)回复信令5。4、当STUN服务器收到信令5后，认为该防火墙是可以穿透的，则回复信令6，通过信令6告诉客户端，该客户端前的防火墙地址；如果收不到信令5，STUN服务器认为此防火墙无法穿透。STUN通过这次通信获得该H323终端实体的防火墙地址，并回复H323终端实体数据包，将H323终端实体所处防火墙的IP地址告诉该H323终端实体。H323终端实体根据得到的地址填写打开逻辑通道参数，并发送给对方。这样对方就根据得到的公网地址，与发起方建立起RTP会话。在STUN方式中，由STUN发送RTP维护数据包，用以维护防火墙上的端口处于活动状态。此种方式的缺点：需要在公网上架设服务器，增加系统成本，将服务器暴露在公网上降低系统安全性。 

第二种是，通过可信的第三方relay转发，存在的标准:H460。其中，H460.17/H460.18对应于信令，H460.19对应于音视等媒体数据。 

H460协议需要用到关守(Gatekeeper)。关守在其中扮演中间人的角色。H460.17使用已存在的H225通道转发信令数据。防火墙通常拒绝拨入，而对拨出一般比较宽松。H460.18通过关守让内网的H323实体发起对外网的H323的连接。如果外网的H323实体也在防火墙后面，那么H460.18关守充当代理的角色。此种方式的缺点：增加了数据包延迟和丢包的可能性。

因此，提供一种可正确建立RTP会话，体统安全性高，数据包延迟小，减少丢包可能的一种安全可靠的在网络视频会议系统中实现网内穿透的方法实为必要。 

【发明内容】

本发明的目的在于提供一种可正确建立网络视频会话，体统安全性高，数据包延迟小，减少丢包可能的一种安全可靠的在网络视频会议系统中实现网内穿透的方法。 

为实现本发明目的，提供以下技术方案：