支持认证鉴权的流媒体系统NAT穿越装置及其实现方法

1.一种支持认证鉴权的流媒体系统NAT穿越装置，包括机顶盒终端和流媒体服务器，其特征在于，所述流媒体服务器包括：
信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到信令处理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒终端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息发送到所述机顶盒终端；
信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息，以完成所述机顶盒终端认证、节目查询、信道建立和节目播放，将相关消息的应答发送给所述机顶盒终端，向媒体流转发模块发送所述机顶盒终端的认证码，并指示所述机顶盒终端发送所述NAT穿越报文；
媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述认证码对所述NAT穿越报文进行认证，并根据所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，向所述目标IP和端口发送媒体流。
2.根据权利要求1所述的装置，其特征在于，所述信令消息包括认证消息、节目查询消息、信道建立消息和节目播放消息。
3.根据权利要求1所述的装置，其特征在于，所述信令处理模块还用于指示所述媒体流转发模块在一定时间内等待所述机顶盒终端发送的NAT穿越报文。
4.一种支持认证鉴权的流媒体系统NAT穿越实现方法，用于包括机顶盒终端和流媒体服务器的穿越装置，该方法包括：
A，所述机顶盒终端向所述流媒体服务器认证注册的步骤；
B，所述机顶盒终端向所述流媒体服务器查询节目的步骤；
C，所述机顶盒终端和所述流媒体服务器之间建立信道的步骤；
D，所述机顶盒终端向所述流媒体服务器请求播放节目的步骤；
E，所述流媒体服务器向所述机顶盒终端播放媒体流的步骤；
其特征在于，所述方法在步骤D之后还包括：
D1，信令处理步骤，用于将相关信令消息的应答发送给所述机顶盒终端，向媒体流转发模块发送所述机顶盒终端的认证码，并指示所述机顶盒终端发送NAT穿越报文；
D2，信令流转发步骤，用于将所述流媒体服务器指示所述机顶盒终端发送NAT穿越报文的消息发送到所述机顶盒终端；
D3，媒体流转发步骤，用于接收所述机顶盒终端的NAT穿越报文，根据所述认证码对所述NAT穿越报文进行认证，并根据所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，向所述目标IP和端口发送媒体流。
5.根据权利要求4所述的实现方法，其特征在于，所述信令消息包括认证消息、节目查询消息、信道建立消息和节目播放消息。
6.一种用于实现权利要求4或5所述实现方法的多媒体网络，包括一种支持认证鉴权的流媒体系统NAT穿越装置，所述装置包括机顶盒终端和流媒体服务器，其特征在于，所述流媒体服务器包括：
信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到所述信令处理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒终端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息发送到所述机顶盒终端；
信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息以完成所述机顶盒终端认证、节目查询、信道建立和节目播放，发送相关消息的应答给所述机顶盒终端，向媒体流转发模块发送所述机顶盒终端的认证码，并指示所述机顶盒终端发送所述NAT穿越报文；
媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述认证码对所述NAT穿越报文进行认证，并根据所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，向所述目标IP和端口发送媒体流。

技术领域\n本发明涉及多媒体通讯，尤其涉及一种支持认证鉴权的流媒体系统NAT穿越装置及其实现方法。\n背景技术\n由于公网IP地址已经成为稀缺资源，现有的企业级应用多采用组建自己的私有网络，企业内部的网络设备全部隐藏在私网后面。企业内部的网络采用私有编址并通过NAT/防火墙来控制与公共网络的通信。网络地址转换(NAT)/防火墙能够完成私有编址与公网编址的相互转换，并设置相应的包过滤规则，让不满足条件的IP包不能够穿透NAT/防火墙。NAT/防火墙对HTTP等端口固定的一般应用协议，只需要转换IP/TCP/UDP头，即可很好地实现穿透，但对于H.323/SIP/H.248/MGCP/RTSP应用来说，是在控制信息中动态地协商媒体流端口，信令协议里面的IP地址也是私有的，而私有IP地址在公网上是不能路由的，动态分配的端口为在NAT/防火墙上配置固定的包过滤策略带来了困难。\n流媒体服务器和STB(Set Top Box，机顶盒)终端通过RTSP协议进行信令交互，进行资源的协商，如图1所示，流程如下：\n步骤S110，STB终端向流媒体服务器发送携带认证码的Option命令，向流媒体服务器注册；\n步骤S120，流媒体服务器向STB终端发送注册成功应答消息；\n步骤S130，STB终端向流媒体服务器发送Decrible命令，查询节目信息；\n步骤S140，流媒体服务器向STB终端返回查询应答消息；\n步骤S150，STB终端向流媒体服务器发送Setup命令，携带STB终端希望建立的媒体流的本地IP和PORT，请求建立媒体流通道；\n步骤S160，流媒体服务器向STB终端应答媒体流通道建立消息；\n步骤S170，STB终端向流媒体服务器发送PLAY命令，请求播放节目；\n步骤S180，流媒体服务器向STB终端应答播放消息；\n步骤S190，流媒体服务器向STB终端播放媒体流。\n采用传统的交互模式，在流媒体服务器收到STB的PLAY消息，并正确应答后，则根据SETUP消息交互中得到的STB远端IP和端口，向远端发送流媒体报文。但是在存在NAT设备的情况下，STB可能隐藏在私有网络的后面，流媒体发送的STB的私有网络IP在公网上无法正确路由，导致媒体包不能发到STB上。如图2所示，在多媒体网络200中，STB终端210通过NAT设备220接入到公网230，流媒体服务器240发送的私网IP在公网230上不能正确路由，因此不能发送媒体包到STB终端210上。\n发明内容\n本发明旨在解决现有技术中STB终端在NAT设备后面时，通过信令协商的媒体端口发送的媒体无法到达STB终端的问题，提供了一种支持认证鉴权的流媒体系统NAT穿越装置及其实现方法，使流媒体服务器能够将媒体包发送到NAT设备后面的STB终端。\n为了实现上述目的，本发明提供了一种支持认证鉴权的流媒体系统NAT穿越装置，包括机顶盒终端和流媒体服务器，所述流媒体服务器包括：\n信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到信令处理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒终端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息发送到所述机顶盒终端；\n信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息，以完成所述机顶盒终端认证、节目查询、信道建立和节目播放，将相关消息的应答发送给所述机顶盒终端，并指示所述机顶盒终端发送所述NAT穿越报文；\n媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，并向所述目标IP和端口发送媒体流。\n上述的装置，其特点在于，所述信令消息包括认证消息、节目查询消息、信道建立消息和节目播放消息。\n上述的装置，其特点在于，所述信令处理模块还用于向所述媒体流转发模块发送所述机顶盒终端的认证码。\n上述的装置，其特点在于，所述媒体流转发模块还用于在接收所述机顶盒终端的NAT穿越报文后，根据所述认证码对所述NAT穿越报文进行认证。\n上述的装置，其特点在于，所述信令处理模块还用于指示所述媒体流转发模块在一定时间内等待所述机顶盒终端发送的NAT穿越报文。\n为了更好地实现上述目的，本发明又提供了一种支持认证鉴权的流媒体系统NAT穿越实现方法，用于包括机顶盒终端和流媒体服务器的穿越装置，该方法包括：\nA，所述机顶盒终端向所述流媒体服务器认证注册的步骤；\nB，所述机顶盒终端向所述流媒体服务器查询节目的步骤；\nC，所述机顶盒终端和所述流媒体服务器之间建立信道的步骤；\nD，所述机顶盒终端向所述流媒体服务器请求播放媒体流的步骤；\nE，所述流媒体服务器向所述机顶盒终端播放媒体流的步骤；\n其特点在于，所述方法在步骤D之后还包括：\nD1，信令处理步骤，将相关信令消息的应答发送给所述机顶盒终端，并指示所述机顶盒终端发送NAT穿越报文；\nD2，信令流转发步骤，将所述流媒体服务器指示所述机顶盒终端发送NAT穿越报文的消息发送到所述机顶盒终端；\nD3，媒体流转发步骤，接收所述机顶盒终端的NAT穿越报文，根据所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，并向所述目标IP和端口发送媒体流。\n上述的实现方法，其特点在于，所述信令消息包括认证消息、节目查询消息、信道建立消息和节目播放消息。\n上述的实现方法，其特点在于，所述D1还包括发送所述机顶盒终端的认证码的步骤。\n上述的实现方法，其特点在于，所述D3还包括在接收所述机顶盒终端的NAT穿越报文后，根据所述认证码对所述NAT穿越报文进行认证的步骤。\n为了更好地实现上述目的，本发明还提供了一种用于实现上述实现方法的多媒体网络，包括一种支持认证鉴权的流媒体系统NAT穿越装置，所述装置包括机顶盒终端和流媒体服务器，所述流媒体服务器包括：\n信令流转发模块，用于将从所述机顶盒终端接收的信令消息转发到所述信令处理模块，以及所述信令消息经所述信令处理模块处理后发送到所述机顶盒终端，并将所述信令处理模块指示所述机顶盒终端发送NAT穿越报文的消息发送到所述机顶盒终端；\n信令处理模块，用于处理从所述机顶盒终端接收的所述信令消息以完成所述机顶盒终端认证、节目查询、信道建立和节目播放，发送相关消息的应答给所述机顶盒终端，并指示所述机顶盒终端发送所述NAT穿越报文；\n媒体流转发模块，用于接收所述机顶盒终端的NAT穿越报文，根据所述NAT穿越报文携带的NAT转换后的IP和端口信息确定目标IP和端口，并向所述目标IP和端口发送媒体流。\n本发明提供的装置和方法，将NAT穿越包携带的远端IP和PORT替代信令协商的STB终端的IP和PORT，从而使流媒体服务器能够将媒体包发送到NAT设备后面的STB终端，并且通过在穿越报文中携带鉴权码，可以防止非法用户获取媒体信息。\n附图说明\n图1是现有技术中流媒体服务器和STB终端信令交互流程图；\n图2是现有技术中多媒体网络结构框图；\n图3是本发明中多媒体网络结构框图；\n图4是本发明中装置结构框图；\n图5是本发明中流媒体服务器和STB终端信令交互流程图。\n具体实施方式\n图3所示为本发明中多媒体网络结构框图，其中多媒体网络300包括STB终端310、NAT设备320、公共网络330和流媒体服务器340，流媒体服务器又包括用于指示所述STB终端发送NAT穿越报文(或者穿越包)的信令处理模块343、用于将所述信令处理模块指示所述STB终端发送NAT穿越报文的消息发送到所述STB终端的信令流转发模块341、用于接收所述STB终端的NAT穿越报文并根据所述NAT穿越报文携带的NAT转换后的IP和PORT信息发送媒体流的媒体流转发模块342以及定时器模块344。其中本发明的装置400包括STB终端310和流媒体服务器340，如图4所示，流媒体服务器340又包括用于指示所述STB终端发送NAT穿越报文的信令处理模块343、用于将所述信令处理模块指示所述STB终端发送NAT穿越报文的消息发送到所述STB终端的信令流转发模块341、用于接收所述STB终端的NAT穿越报文并根据所述NAT穿越报文携带的NAT转换后的IP和PORT信息发送媒体流的媒体流转发模块342以及定时器模块344。\n如图5所示，本发明中流媒体服务器和STB终端信令交互流程如下：\n步骤S501，STB终端向流媒体服务器发送携带认证码的Option消息，向流媒体服务器注册；\n步骤S502，信令流转发模块接收到STB携带认证码的注册消息后将其转发给信令处理模块；\n步骤S503，信令处理模块在认证成功后，通过信令流转发模块向STB终端发送注册成功应答消息；\n步骤S504，信令处理模块将认证成功的注册码发送给媒体转发模块，为后续NAT认证做准备；\n步骤S505，STB终端向流媒体服务器发送Describle命令，查询节目信息；\n步骤S506，信令流转发模块接收到STB终端的节目查询消息后将其转发给信令处理模块；\n步骤S507，信令处理模块在查询成功后，通过信令流转发模块向STB终端返回查询应答消息；\n步骤S508，STB终端向流媒体服务器发送Setup命令，携带STB终端希望建立的媒体流的IP和PORT，请求建立媒体流通道；\n步骤S509，信令流转发模块接收到STB终端的媒体流通道建立消息后将其转发给信令处理模块；\n步骤S510，信令处理模块在内部媒体通道准备成功后，通过信令流转发模块向STB终端应答媒体流通道建立成功消息；\n步骤S511，STB终端向流媒体服务器发送PLAY命令，请求播放节目；\n步骤S512，信令流转发模块接收到STB终端的节目消息后将其转发给信令处理模块；\n步骤S513，信令处理模块通过信令流转发模块向STB终端应答播放消息，在消息中指示STB终端发送携带认证码的NAT穿越报文，此时流媒体服务器不再立即按照信令协议中协商的端口和IP直接发送媒体流，而是设置定时器，等待STB终端的NAT穿越报文；\n步骤S514，STB终端在接收到要求发送NAT穿越报文的应答后，发送携带鉴权信息的NAT穿越报文到流媒体服务器；\n步骤S515，媒体流转发模块接收到STB终端的NAT穿越报文后，根据携带的认证消息进行鉴权认证；\n步骤S516，媒体流转发模块在认证通过后，根据穿越报文中携带的NAT转换后的IP和PORT信息确定目标IP和PORT，也就是根据NAT穿越报文中携带的源IP和PORT重新确定STB终端在NAT穿越后的IP和PORT，并通过该目标IP和PORT向STB终端播放媒体流。\n当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的普通技术人员当可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。