[发明专利]基于移动互联网的NAT转换方法及系统

说明书

技术领域

本发明涉及一种NAT转换方法及系统，尤其一种是基于移动互联网的NAT转换方法及系统。属于移动通信领域。

背景技术

随着移动互联网的高速发展，给移动通信终端用户打开了一扇通过互联网世界的大门，移动互联网结合了移动通信的便利性和互联网的丰富内容，成为通信业和互联网业融合发展的交叉领域，具有巨大的市场前景。但由于移动通信网络和互联网在用户标识方面有着本质的不同，移动通信网中的身份标识是手机号，互联网中的身份标识是IP地址，由于移动通信终端海量用户，造成了互联网业务运营者不能很好地利用用户的手机号码开展业务，同时也造成了移动互联网用户溯源的问题，不能满足互联网安全管理的要求。

NAT(Network Address Translator)称为网络地址翻译。即改变IP报文中的源地址和目标地址及源端口和目标端口的一种数据处理；使一个局域网中的多台主机使用少数合法全球互联网IP地址访问外部资源；通过NAT转换，可以有效的隐藏了内部局域网的主机IP地址，起到了保护内部网络的作用。

在电信运营商的当前网络中，为解决庞大移动通信终端用户群体访问互联网的时候IPv4地址不够使用的问题，采用IP地址转换实现公网IP地址共用的方法，但这导致了移动互联网平台获取的用户访问IP地址是重复的，更为标识用户带来了困难，此外为了提高电信运营商IP地址转换的性能，目前大多采用独立的多核CPU进行处理，由主处理CPU单元进行分流和分发，但是目前这种处理方式也不能满足电信运营商上网用户数的增长速度。

发明内容

本发明的目的是为了解决上述现有技术的缺陷，提供一种基于移动互联网的NAT转换方法，该方法对移动通信终端用户标识容易，可以进行用户访问溯源和分析，以及通过网络防火墙时将内部IP地址固定分配为公有IP地址进行Internet访问。

本发明的另一目的在于提供一种基于移动互联网的NAT转换系统。

本发明的目的可以通过采取如下技术方案达到：

基于移动互联网的NAT转换方法，其特征在于：所述方法应用于移动通信终端用户通过APN NET访问互联网，采用静态IP地址映射和动态端口映射的混合NAT映射实现，包括在IP层出口处调用NAT和在IP层入口处调用NAT；

所述在IP层出口处调用NAT具体如下：

将以内部本地IP地址为源IP地址、外部本地IP地址为目的IP地址进行封装的数据包传输到NAT路由器；

NAT路由器检查路由表是否有包含数据包目的IP地址的路由表项，若有，则检验数据包是否是从内部网络发到外部网络的访问数据包；若无，则数据包被丢弃；

当检验到数据包是从内部网络发到外部网络的访问数据包，通过HASH计算定位检查资源池的NAT地址映射表中是否有包含内部本地IP地址和内部全局IP地址的NAT表项，若有，则将数据包的源IP地址用内部全局IP地址替换，源端口用内部全局端口替换；若无，则数据包直接被NAT路由器转发；

所述在IP层入口处调用NAT具体如下：

将以外部本地IP地址为源IP地址、内部全局IP地址为目的IP地址进行封装的数据包传输到NAT路由器；

NAT路由器检查路由表是否有包含数据包目的IP地址的路由表项，若有，则检验数据包是否是从外部网络发到内部网络的应答数据包；若无，则数据包被丢弃；

当检验到数据包是从外部网络发到内部网络的应答数据包，通过HASH计算定位检查资源池的NAT地址映射表中是否有包含内部全局IP地址和内部本地IP地址的HASH表项，若有，则将数据包的目的IP地址用内部本地IP地址替换，目的端口用内部本地端口替换；若无，则数据包直接被NAT路由器转发。

作为一种优选方案，在IP层出口处调用NAT还包括：

当检验到数据包不是从内部网络发到外部网络的访问数据包，判断是否为IP地址列表中允许的地址，若是，通过HASH计算后存储建立新的HASH表项，记录有关转换信息后，转换源地址和源端口，若否，则丢弃数据包。

作为一种优选方案，在IP层出口处调用NAT还包括：

根据数据包中的源IP地址、转换后的源IP地址、目的IP地址、源端口、转换后的源端口、目的端口和协议号的七元组来标识一条数据流，并生成一条NAT数据流量的日志记录。

作为一种优选方案，在IP层入口处调用NAT还包括：

当检验到数据包不是从外部网络发到内部网络的应答数据包，判断是否为HASH表中的地址，若是，还原目的IP地址和目的端口，若否，则丢弃数据包。