NAT穿越方法及装置与流程

本公开涉及公共安全，尤其涉及一种nat穿越方法及装置。

背景技术：

1、gb35114协议是指规定公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，包括公共安全视频监控联网信息安全系统的互联结构、证书和密钥要求、基本功能要求、性能要求等技术要求。

2、符合gb35114协议标准的系统称为公共安全视频监控信息安全系统，由具有安全功能的前端设备、具有安全功能的用户终端、视频监控安全管理平台和视频安全密钥服务系统四部分组成。视频监控安全管理平台由具有安全功能的中心信令控制服务器、具有安全功能的流媒体服务器和信令安全路由网关三部分组成。其中，视频安全密钥服务系统的作用是为用户和设备身份证书的制发，为管理平台提供证书查询和验证，对称密钥的管理。

3、目前相关技术中支持nat穿越的方法，网络地址转换nat设备没有身份证书和身份认证功能，无法完成符合gb35114协议标准的系统间的注册和身份认证，nat设备无法获取到加密认证的数据从而无法完成认证信令的转换后的再次签名和转发，无法传递加密的视频加密密钥vkek信息从而无法解密出加密的视频数据。

技术实现思路

1、有鉴于此，本公开实施例提供了一种nat穿越方法及装置，能够使nat设备完成系统间的身份认证，获取到需要的身份信息，满足信令认证和视频加密密钥vkek信息的转发需求，可以完成系统间认证信令的转换和认证信令转换后的再次签名和转发，可以完成系统间的视频加密密钥vkek信息的解密和再加密后的传递，满足视频请求侧加密视频和解密视频的需求。

2、第一方面，本公开实施例提供了一种nat穿越方法，采用如下技术方案：

3、当网络地址转换nat设备的身份认证通过后，将第一信令网关发送的第一invite请求转发至第二信令网关，其中，所述第一信令网关设置于第一系统，所述第二信令网关设置于第二系统；

4、所述nat设备将所述第二信令网关响应于所述第一invite请求的临时响应、振铃响应和成功响应分别发送至所述第一信令网关；

5、接收所述第一信令网关根据所述临时响应、振铃响应和成功响应生成的第一ack信息，并将所述第一ack信息发送至所述第二信令网关，建立所述第一信令网关和所述第二信令网关的通信信道。

6、在一些实施例中，所述方法还包括：

7、所述nat设备获取所述第一系统的第一身份证书和所述第二系统的第二身份证书，所述第一系统和所述第二系统获取所述nat设备的第三身份证书，其中，所述第一身份证书包含所述第一系统的第一公钥和第一标识id；所述第二身份证书包含所述第二系统的第二公钥和第二标识id；所述第三身份证书包含所述nat设备的第三公钥和第三标识id；

8、所述nat设备将所述第一系统的第一register消息转发至所述第二系统，其中，所述第一register消息的消息头域中携带有所述第一系统的安全能力信息以及所述nat设备的授权信息；

9、将所述第二系统根据所述第一register消息返回的挑战响应转发至所述第一系统，其中，所述挑战响应中携带有所述第二系统生成的第一随机数和所述第二系统的第二加密算法；

10、将所述第一系统根据所述挑战响应返回的第二register消息进行修改，并将修改后的第二register消息转发至所述第二系统，以使所述第二系统通过所述第三公钥验证所述nat设备的身份，并在所述nat设备的身份验证成功后通过所述nat设备将成功响应转发至所述第一系统。

11、在一些实施例中，将所述第一系统根据所述挑战响应返回的第二register消息进行修改，包括：

12、所述nat设备获取所述第二register消息中携带的所述第一随机数、所述第一系统生成的第二随机数、所述第三标识id、所述第一系统的第一加密算法以及第一数据签名，其中，所述第一数字签名是所述第一系统通过第一私钥对所述第一随机数、所述第二随机数和所述第三标识id进行签名得到的；

13、所述nat设备将所述第三标识id修改为所述第二系统的第二标识id；

14、所述nat设备通过第三私钥对所述第一随机数、所述第二随机数和所述第三标识id进行签名；

15、根据签名结果对所述第一数据签名进行更新，得到修改后的第二register消息。

16、在一些实施例中，所述方法还包括：

17、所述nat设备接收所述第二系统的成功响应，其中，所述成功响应中携带有第二随机数、第一随机数、第三标识id、第二数字签名、所述第二系统的第二加密算法、第一加密信息和第二加密信息；所述第一加密信息是所述第二系统通过所述nat设备的第三公钥对vkek信息进行加密得到的；所述第二加密信息是所述第二系统通过所述第三公钥对vemk信息及vemk版本信息进行加密得到的；所述第二数字签名是通过所述第二系统的第二私钥对所述第一随机数、第二随机数、所述第三标识id、所述第一加密信息和所述第二加密信息进行签名得到的；

18、所述nat设备通过第三私钥对所述成功响应进行解密，得到所述vkek信息、vemk信息及vemk版本信息；

19、所述nat设备将所述第三标识id修改为所述第一标识id；

20、所述nat设备通过所述第一公钥对所述vkek信息进行加密得到第三加密信息，以及通过所述第一公钥对所述vemk信息及vemk版本信息进行加密得到第四加密信息，并将修改后的所述成功响应发送到所述第一系统。

21、在一些实施例中，所述方法还包括：

22、所述nat设备将接收到的所述第一信令网关的第二invite请求转发至第二信令网关；

23、所述nat设备接收所述第二信令网关响应于所述第二invite请求的成功响应；

24、所述nat设备通过第三私钥对所述成功响应中携带的加密的vkek信息进行解密，并通过所述第一系统的第一公钥对所述vkek信息进行加密；

25、所述nat设备将所述成功响应发送至所述第一系统。

26、第二方面，本公开实施例还提供了一种nat穿越装置，采用如下技术方案：

27、第一发送单元，被配置为当网络地址转换nat设备的身份认证通过后，将第一信令网关发送的第一invite请求转发至第二信令网关，其中，所述第一信令网关设置于第一系统，所述第二信令网关设置于第二系统；

28、第二发送单元，被配置为所述nat设备将所述第二信令网关响应于所述第一invite请求的临时响应、振铃响应和成功响应分别发送至所述第一信令网关；

29、第三发送单元，被配置为接收所述第一信令网关根据所述临时响应、振铃响应和成功响应生成的第一ack信息，并将所述第一ack信息发送至所述第二信令网关，建立所述第一信令网关和所述第二信令网关的通信信道。

30、在一些实施例中，所述装置还包括：

31、获取单元，被配置为所述nat设备获取所述第一系统的第一身份证书和所述第二系统的第二身份证书，所述第一系统和所述第二系统获取所述nat设备的第三身份证书，其中，所述第一身份证书包含所述第一系统的第一公钥和第一标识id；所述第二身份证书包含所述第二系统的第二公钥和第二标识id；所述第三身份证书包含所述nat设备的第三公钥和第三标识id；

32、第四发送单元，被配置为所述nat设备将所述第一系统的第一register消息转发至所述第二系统，其中，所述第一register消息的消息头域中携带有所述第一系统的安全能力信息以及所述nat设备的授权信息；

33、第五发送单元，被配置为将所述第二系统根据所述第一register消息返回的挑战响应转发至所述第一系统，其中，所述挑战响应中携带有所述第二系统生成的第一随机数和所述第二系统的第二加密算法；

34、第六发送单元，被配置为将所述第一系统根据所述挑战响应返回的第二register消息进行修改，并将修改后的第二register消息转发至所述第二系统，以使所述第二系统通过所述第三公钥验证所述nat设备的身份，并在所述nat设备的身份验证成功后通过所述nat设备将成功响应转发至所述第一系统。

35、在一些实施例中，所述第六发送单元包括：

36、获取模块，被配置为所述nat设备获取所述第二register消息中携带的所述第一随机数、所述第一系统生成的第二随机数、所述第三标识id、所述第一系统的第一加密算法以及第一数据签名，其中，所述第一数字签名是所述第一系统通过第一私钥对所述第一随机数、所述第二随机数和所述第三标识id进行签名得到的；

37、修改模块，被配置为所述nat设备将所述第三标识id修改为所述第二系统的第二标识id；

38、签名模块，被配置为所述nat设备通过第三私钥对所述第一随机数、所述第二随机数和所述第三标识id进行签名；

39、更新模块，被配置为根据签名结果对所述第一数据签名进行更新，得到修改后的第二register消息。

40、第三方面，本公开实施例还提供了一种电子设备，采用如下技术方案：

41、所述电子设备包括：

42、至少一个处理器；以及，

43、与所述至少一个处理器通信连接的存储器；其中，

44、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行以上任一所述的nat穿越方法。

45、第四方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行以上任一所述的nat穿越方法。

46、本公开实施例提供的一种nat穿越方法及装置，能够使nat设备完成系统间的身份认证，获取到需要的身份信息，满足信令认证和视频加密密钥vkek信息的转发需求，可以完成系统间认证信令的转换和认证信令转换后的再次签名和转发，可以完成系统间的视频加密密钥vkek信息的解密和再加密后的传递，满足视频请求侧加密视频和解密视频的需求。

47、上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。