[发明专利]一种网络地址转换映射保活方法及装置

说明书

本发明实施例提供一种网络地址转换映射保活方法及装置，实现了不需要资源受限节点频繁发送心跳消息来维持地址映射关系的保活，且保证了资源受限节点的安全性。该方法包括：网络地址转换NAT设备接收内网设备发送的探测请求，探测请求包括内网设备的私网地址；NAT设备向内网设备发送探测响应，探测响应携带指示信息，用于指示内网设备不主动发起心跳消息来维持网络地址转换映射保活；并从地址资源池中为内网设备分配至少两个公网地址，在后续内网设备与外网设备的会话过程的每一时间段，NAT设备将至少两个公网地址中的一个公网地址，作为在每一时间段内的当前激活地址，用于将内网设备的私网地址映射为当前激活地址。

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种网络地址转换映射保活方法及装置。

背景技术

物联网(英文：Internet of things，简称：IoT)的出现，给人们的生活带来了便利。IoT领域存在着大量的资源受限节点(Constrained Node)，其主要表现在低能耗、低存储以及低的资源计算处理能力上。资源受限节点的低的资源处理能力，导致资源受限节点在安全方面面临的很多威胁，例如：IP网络协议加密方式主要是基于密钥和随机数，而互联网工程任务组(IETF)推荐的密钥长度是112bits，但是资源受限节点无法保存和处理这么长的密钥。

现有针对节点的安全性考虑，现有技术中采用网络地址转换(Network AddressTranslation，简称：NAT)技术，具体是NAT设备将内部设备网络地址与外部设备网络地址形成映射，既能减少外部设备网络地址的需求，又能够隐藏内部设备网络地址，起到安全隔离作用。

目前NAT技术中一般采用如下三种映射，包括端点独立映射(Endpoint-Independent Mapping)、地址依赖性映射(Address-Dependent Mapping)、地址和端口依赖性映射(Address and Port-Dependent Mapping)。

端点独立映射，是指对于从相同内部IP地址与端口发往任何外部IP地址与端口的数据包，都将该内部IP地址与端口映射为同一外部IP地址与端口。

地址依赖性映射，是指对于从相同内部IP地址与端口发往同一外部IP地址的数据包，不管外部端口号是多少，都将该内部IP地址与端口映射为同一外部IP地址与端口。

地址和端口依赖性映射，是指对于从相同内部IP地址与端口发往同一外部IP地址与端口的包，都将该内部IP地址与端口映射为同一外部IP地址与端口。

不论NAT采用NAT技术中哪种映射方式，都会对内部设备对应的内网地址分配一个对应的外部设备的外网地址；同时需要维持外网地址与外网地址映射关系的保活。

但是当前NAT技术需要内部设备发送心跳消息来维持地址映射关系的保活。并且如果使用NAT技术来屏蔽资源受限节点的IP地址来提高安全性，但是用户数据报协议(英文：User Datagram Protocol，简称：UDP)场景下，频繁的发送心跳消息来维持地址映射关系的映射对于低能耗的资源受限节点来说是不可能接受的。在传输控制协议(英文：Transmission Control Protocol，简称：TCP)场景下，长时间连接状态会使得资源受限节点在长时间内的外部映射地址固定，使得外部攻击者更容易窃取地址来发送伪造消息，降低了资源受限节点的安全性。

发明内容

本发明实施例提供一种网络地址转换映射保活方法及装置，实现了不需要资源受限节点频繁发送心跳消息来维持地址映射关系的保活，且保证了资源受限节点的安全性。

第一方面，本发明实施例提供了一种网络地址转换映射保活方法，包括：

NAT设备接收内网设备发送的探测请求，所述探测请求包括所述内网设备的私网地址；