支持认证鉴权的流媒体系统nat穿越装置及其实现方法

专利名称：支持认证鉴权的流媒体系统nat穿越装置及其实现方法
技术领域：
本发明涉及多媒体通讯，尤其涉及一种支持认证鉴权的流媒体系统NAT 穿越装置及其实现方法。
背景技术：
由于公网IP地址已经成为稀缺资源，现有的企业级应用多采用组建自己 的私有网络，企业内部的网络设备全部隐藏在私网后面。企业内部的网络采用 私有编址并通过NAT/防火墙来控制与公共网络的通信。网络地址转换(NAT) /防火墙能够完成私有编址与公网编址的相互转换，并设置相应的包过滤规则， 让不满足条件的IP包不能够穿透NAT/防火墙。NAT/防火墙对HTTP等端口 固定的一般应用协议，只需要转换IP/TCP/UDP头，即可很好地实现穿透，但 对于H.323/SIP/H.248/MGCP/RTSP应用来说，是在控制信息中动态地协商媒 体流端口，信令协议里面的IP地址也是私有的，而私有IP地址在公网上是不 能路由的，动态分配的端口为在NAT/防火墙上配置固定的包过滤策略带来了 困难。
流媒体服务器和STB (Set Top Box,机顶盒)终端通过RTSP协议进行信
令交互，进行资源的协商，如图1所示，流程如下
步骤S110， STB终端向流媒体服务器发送携带认证码的Option命令，向
流媒体服务器注册；
步骤S120，流媒体服务器向STB终端发送注册成功应答消息； 步骤S130， STB终端向流媒体服务器发送Decrible命令，査询节目信息； 步骤S140，流媒体服务器向STB终端返回查询应答消息； 步骤S150， STB终端向流媒体服务器发送Setup命令，携带STB终端希
望建立的媒体流的本地IP和PORT,请求建立媒体流通道；
步骤S160，流媒体服务器向STB终端应答媒体流通道建立消息； 步骤SHO， STB终端向流媒体服务器发送PLAY命令，请求播放节目；
步骤S180，流媒体服务器向STB终端应答播放消息； 步骤S190,流媒体服务器向STB终端播放媒体流。
采用传统的交互模式，在流媒体服务器收到STB的PLAY消息，并正确 应答后，则根据SETUP消息交互中得到的STB远端IP和端口，向远端发送 流媒体报文。但是在存在NAT设备的情况下，STB可能隐藏在私有网络的后 面，流媒体发送的STB的私有网络IP在公网上无法正确路由，导致媒体包不 能发到STB上。如图2所示，在多媒体网络200中，STB终端210通过NAT 设备220接入到公网230，流媒体服务器240发送的私网IP在公网230上不 能正确路由，因此不能发送媒体包到STB终端210上。

发明内容
本发明旨在解决现有技术中STB终端在NAT设备后面时，通过信令协商 的媒体端口发送的媒体无法到达STB终端的问题，提供了一种支持认证鉴权 的流媒体系统NAT穿越装置及其实现方法，使流媒体服务器能够将媒体包发 送到NAT设备后面的STB终端。
为了实现上述目的，本发明提供了一种支持认证鉴权的流媒体系统NAT 穿越装置，包括机顶盒终端和流媒体服务器，所述流媒体服务器包括
信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到信令处 理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒终 端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息发 送到所述机顶盒终端；
信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息，以完成 所述机顶盒终端认证、节目查询、信道建立和节目播放，将相关消息的应答发 送给所述机顶盒终端，并指示所述机顶盒终端发送所述NAT穿越报文；
媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述 NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，并向 所述目标IP和端口发送媒体流。
上述的装置，其特点在于，所述信令消息包括认证消息、节目查询消息、 信道建立消息和节目播放消息。
上述的装置，其特点在于，所述信令处理模块还用于向所述媒体流转发模
块发送所述机顶盒终端的认证码。
上述的装置，其特点在于，所述媒体流转发模块还用于在接收所述机顶盒
终端的NAT穿越报文后，根据所述认证码对所述NAT穿越报文进行认证。 上述的装置，其特点在于，所述信令处理模块还用于指示所述媒体流转发
模块在一定时间内等待所述机顶盒终端发送的NAT穿越报文。
为了更好地实现上述目的，本发明又提供了 一种支持认证鉴权的流媒体系
统NAT穿越实现方法，用于包括机顶盒终端和流媒体服务器的穿越装置，该
方法包括.-
A，所述机顶盒终端向所述流媒体服务器认证注册的步骤；
B，所述机顶盒终端向所述流媒体服务器查询节目的步骤； C，所述机顶盒终端和所述流媒体服务器之间建立信道的步骤； D，所述机顶盒终端向所述流媒体服务器请求播放媒体流的步骤； E，所述流媒体服务器向所述机顶盒终端播放媒体流的步骤； 其特点在于，所述方法在步骤D之后还包括
D1，信令处理步骤，将相关信令消息的应答发送给所述机顶盒终端，并
指示所述机顶盒终端发送NAT穿越报文；
D2，信令流转发步骤，将所述流媒体服务器指示所述机顶盒终端发送NAT 穿越报文的消息发送到所述机顶盒终端；
D3，媒体流转发步骤，接收所述机顶盒终端的NAT穿越报文，根据所述 NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，并向 所述目标IP和端口发送媒体流。
上述的实现方法，其特点在于，所述信令消息包括认证消息、节目查询消 息、信道建立消息和节目播放消息。
上述的实现方法，其特点在于，所述D1还包括发送所述机顶盒终端的认 证码的步骤。
上述的实现方法，其特点在于，所述D3还包括在接收所述机顶盒终端的 NAT穿越报文后，根据所述认证码对所述NAT穿越报文进行认证的步骤。
为了更好地实现上述目的，本发明还提供了一种用于实现上述实现方法的 多媒体网络，包括一种支持认证鉴权的流媒体系统NAT穿越装置，所述装置 包括机顶盒终端和流媒体服务器，所述流媒体服务器包括
信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到所述信 令处理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒
终端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息 发送到所述机顶盒终端；
信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息以完成所 述机顶盒终端认证、节目查询、信道建立和节目播放，发送相关消息的应答给
所述机顶盒终端，并指示所述机顶盒终端发送所述NAT穿越报文；
媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述
NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口 ，并向
所述目标IP和端口发送媒体流。
本发明提供的装置和方法，将NAT穿越包携带的远端IP和PORT替代信
令协商的STB终端的IP和PORT,从而使流媒体服务器能够将媒体包发送到
NAT设备后面的STB终端，并且通过在穿越报文中携带鉴权码，可以防止非
法用户获取媒体信息。


图1是现有技术中流媒体服务器和STB终端信令交互流程图； 图2是现有技术中多媒体网络结构框图； 图3是本发明中多媒体网络结构框图； 图4是本发明中装置结构框图5是本发明中流媒体服务器和STB终端信令交互流程图。
具体实施例方式
图3所示为本发明中多媒体网络结构框图，其中多媒体网络300包括STB 终端310、 NAT设备320、公共网络330和流媒体服务器340，流媒体服务器 又包括用于指示所述STB终端发送NAT穿越报文(或者穿越包)的信令处理 模块343、用于将所述信令处理模块指示所述STB终端发送NAT穿越报文的 消息发送到所述STB终端的信令流转发模块341、用于接收所述STB终端的 NAT穿越报文并根据所述NAT穿越报文携带的NAT转换后的IP和PORT信 息发送媒体流的媒体流转发模块342以及定时器模块344。其中本发明的装置
400包括STB终端310和流媒体服务器340，如图4所示，流媒体服务器340 又包括用于指示所述STB终端发送NAT穿越报文的信令处理模块343、用于 将所述信令处理模块指示所述STB终端发送NAT穿越报文的消息发送到所述 STB终端的信令流转发模块341 、用于接收所述STB终端的NAT穿越报文并 根据所述NAT穿越报文携带的NAT转换后的IP和PORT信息发送媒体流的 媒体流转发模块342以及定时器模块344。
如图5所示，本发明中流媒体服务器和STB终端信令交互流程如下
步骤S501 ， STB终端向流媒体服务器发送携带认证码的Option消息，向 流媒体服务器注册；
步骤S502，信令流转发模块接收到STB携带认证码的注册消息后将其转 发给信令处理模块；
步骤S503，信令处理模块在认证成功后，通过信令流转发模块向STB终 端发送注册成功应答消息；
歩骤S504，信令处理模块将认证成功的注册码发送给媒体转发模块，为 后续NAT认证做准备；
步骤S505， STB终端向流媒体服务器发送Describle命令，查询节目信息；
步骤S506,信令流转发模块接收到STB终端的节目査询消息后将其转发 给信令处理模块；
步骤S507，信令处理模块在査询成功后，通过信令流转发模块向STB终 端返回查询应答消息；
步骤S508， STB终端向流媒体服务器发送Setup命令，携带STB终端希 望建立的媒体流的IP和PORT，请求建立媒体流通道；
步骤S509，信令流转发模块接收到STB终端的媒体流通道建立消息后将 其转发给信令处理模块；
步骤S510，信令处理模块在内部媒体通道准备成功后，通过信令流转发 模块向STB终端应答媒体流通道建立成功消息；
步骤S511， STB终端向流媒体服务器发送PLAY命令，请求播放节目；
步骤S512,信令流转发模块接收到STB终端的节目消息后将其转发给信 令处理模块；
步骤S513，信令处理模块通过信令流转发模块向STB终端应答播放消息，
在消息中指示STB终端发送携带认证码的NAT穿越报文，此时流媒体服务器 不再立即按照信令协议中协商的端口和IP直接发送媒体流，而是设置定时器， 等待STB终端的NAT穿越报文；
步骤S514， STB终端在接收到要求发送NAT穿越报文的应答后，发送携 带鉴权信息的NAT穿越报文到流媒体服务器；
步骤S515，媒体流转发模块接收到STB终端的NAT穿越报文后，根据 携带的认证消息进行鉴权认证；
步骤S516，媒体流转发模块在认证通过后，根据穿越报文中携带的NAT 转换后的IP和PORT信息确定目标IP和PORT,也就是根据NAT穿越报文 中携带的源IP和PORT重新确定STB终端在NAT穿越后的IP和PORT,并 通过该目标IP和PORT向STB终端播放媒体流。
当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情 况下，熟悉本领域的普通技术人员当可根据本发明做出各种相应的改变和变 形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种支持认证鉴权的流媒体系统NAT穿越装置，包括机顶盒终端和流媒体服务器，其特征在于，所述流媒体服务器包括信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到信令处理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒终端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息发送到所述机顶盒终端；信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息，以完成所述机顶盒终端认证、节目查询、信道建立和节目播放，将相关消息的应答发送给所述机顶盒终端，并指示所述机顶盒终端发送所述NAT穿越报文；媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，并向所述目标IP和端口发送媒体流。
2、 根据权利要求1所述的装置，其特征在于，所述信令消息包括认证消 息、节目查询消息、信道建立消息和节目播放消息。
3、 根据权利要求1所述的装置，其特征在于，所述信令处理模块还用于 向所述媒体流转发模块发送所述机顶盒终端的认证码。
4、 根据权利要求3所述的装置，其特征在于，所述媒体流转发模块还用 于在接收所述机顶盒终端的NAT穿越报文后，根据所述认证码对所述NAT 穿越报文进行认证。
5、 根据权利要求1所述的装置，其特征在于，所述信令处理模块还用于 指示所述媒体流转发模块在一定时间内等待所述机顶盒终端发送的NAT穿越 报文。
6、 一种支持认证鉴权的流媒体系统NAT穿越实现方法，用于包括机顶盒 终端和流媒体服务器的穿越装置，该方法包括A，所述机顶盒终端向所述流媒体服务器认证注册的步骤； B，所述机顶盒终端向所述流媒体服务器査询节目的步骤； C，所述机顶盒终端和所述流媒体服务器之间建立信道的步骤； D，所述机顶盒终端向所述流媒体服务器请求播放节目的步骤； E，所述流媒体服务器向所述机顶盒终端播放媒体流的歩骤； 其特征在于，所述方法在步骤D之后还包括Dl，信令处理步骤，用于将相关信令消息的应答发送给所述机顶盒终端， 并指示所述机顶盒终端发送NAT穿越报文；D2，信令流转发步骤，用于将所述流媒体服务器指示所述机顶盒终端发 送NAT穿越报文的消息发送到所述机顶盒终端；D3，媒体流转发步骤，用于接收所述机顶盒终端的NAT穿越报文，根据 所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口 ， 并向所述目标IP和端口发送媒体流。
7、 根据权利要求6所述的实现方法，其特征在于，所述信令消息包括认 证消息、节目査询消息、信道建立消息和节目播放消息。
8、 根据权利要求6所述的实现方法，其特征在于，所述Dl还包括发送 所述机顶盒终端的认证码的步骤。
9、 根据权利要求8所述的实现方法，其特征在于，所述D3还包括在接 收所述机顶盒终端的NAT穿越报文后，根据所述认证码对所述NAT穿越报文 进行认证的步骤。
10、 一种用于实现权利要求6、 7、 8或9所述实现方法的多媒体网络，包 括一种支持认证鉴权的流媒体系统NAT穿越装置，所述装置包括机顶盒终端 和流媒体服务器，其特征在于，所述流媒体服务器包括信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到所述信 令处理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒 终端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息 发送到所述机顶盒终端；信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息以完成所 述机顶盒终端认证、节目查询、信道建立和节目播放，发送相关消息的应答给 所述机顶盒终端，并指示所述机顶盒终端发送所述NAT穿越报文；媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述 NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口 ，并向 所述目标IP和端口发送媒体流。
全文摘要
本发明提供了一种支持认证鉴权的流媒体系统NAT穿越装置，包括STB终端和流媒体服务器，该流媒体服务器包括信令流转发模块，用于将从STB终端接收的信令消息转发到信令处理模块，以及信令消息经信令处理模块处理后发送到STB终端；信令处理模块，指示STB终端发送NAT穿越报文；媒体流转发模块，用于接收STB终端的NAT穿越报文，并向目标IP和PORT发送媒体流。本发明提供的装置和方法，STB在NAT穿越包中携带终端的鉴权码供服务器端鉴权，服务器在鉴权成功后，将NAT穿越包携带的远端IP和PORT替代信令协商的STB终端的IP和PORT，从而使流媒体服务器能够将媒体包发送到NAT设备后面的STB终端。
文档编号H04L12/18GK101110774SQ20071012088
公开日2008年1月23日 申请日期2007年8月28日 优先权日2007年8月28日
发明者孙福清, 张少魁, 王治平, 魏含宇 申请人:中兴通讯股份有限公司