[发明专利]适合公私网流量转发的设备连接方法及装置

说明书

本发明公开了一种适合公私网流量转发的设备连接方法，应用于视频监控系统，视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备，包括：网站服务器接收客户端和处于私网中的监控设备发送的连接信息，并在客户端与监控设备两者之间交换双方的连接信息；客户端利用交换所得的连接信息发起连接；网站服务器判断客户端是否连接成功：如果是，则保持私网到公网的端口关闭；否则，发送端口打开指令给监控设备；监控设备根据端口打开指令打开私网到公网的端口，使客户端与监控设备建立连接。本发明还公开了对应方法的装置，利用本发明，提高了私网的安全性。

技术领域

本发明涉及监控网络领域，尤其涉及适合公私网流量转发的设备连接方法及装置。

背景技术

NAT(Network Address Translation，网络地址转换)设备将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络(即内网或私网)访问公共网络(即公网)的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

在组网过程中，NAT设备实现内网到公网之间的连接和转换。处于内网中的设备与公网中的其他设备之间通过NAT设备进行数据传输。

以视频监控系统为例，随着网络视频监控的发展，以民用视频监控为代表的广域网视频监控需求日益增加。在广域网视频监控系统中，处于内网中的监控设备一般通过作为NAT设备的SOHO路由器接入作为公网的运营商网络，用户希望可以随时随地通过客户端访问监控设备，客户端作为客户端要通过NAT设备所开放的内网到公网的端口连接到作为监控设备的监控设备。

图1是目前最常见的一种广域视频监控组网：由NAT设备实现内网的监控设备与公网之间的数据传输，监控设备的厂商在公网布置网站服务器并通过NAT设备对内网中的设备进行管理，网站服务器一般为DDNS(Dynamic Domain Name Server，动态域名服务)服务器。用户在家中布置1台NVR和多台IPC，用户外出时通过客户端远程管理NVR和IPC。其中虚线框表示所在私网，虚线框与网络(INTENET)之间通过NAT设备连接。

目前业界的实现，为了使得监控网络内部的设备能够被外网其它客户端访问，需要在监控设备所连接的路由器上开放端口映射或者设置DMZ(Demilitarized Zone，隔离区)这样的功能，以便外网的设备能通过这个打开的端口映射/DMZ来访问里面的NVR/IPC等设备。

在现有的方案实现里，需要在监控设备所连接的NAT设备上开设端口映射或者采用DMZ这样的功能，以便外面的设备能通过这个打开的端口映射或DMZ来访问里面的NVR/IPC等设备。如图2所示，NAT设备上如果开放端口映射或者DMZ，就会存在被扫描或恶意攻击的安全风险。

因此现有技术的问题在于，私网连接到公网的端口持续开放，易受到来自公网的攻击，具有安全风险。

发明内容

为解决现有技术存在的问题，本发明提供了适用于公私网流量转发的方法，使得内网连接到公网的端口在不必要的情况下保持关闭，以提高安全性，减少来自公网攻击的安全风险。

一种适合公私网流量转发的设备连接方法，应用于视频监控系统，所述视频监控系统包括客户端、连接公私网的网站服务器和位于私网的监控设备，包括：

网站服务器接收客户端和位于私网中的监控设备发送的连接信息，并在客户端与监控设备两者之间交换双方的连接信息；

客户端利用交换所得的连接信息向监控设备发起连接；

网站服务器判断客户端是否连接成功：如果是，则保持私网到公网的端口关闭；否则，发送端口打开指令给监控设备；

监控设备根据端口打开指令打开私网到公网的端口，使客户端与监控设备建立连接。