[发明专利]一种分布式互联网接入方法

说明书

技术领域

本发明涉及网络通信领域技术，具体涉及一种基于口令双向认证的分布式互联网接入方法。

背景技术

互联网技术的广泛普及导致公网IP地址出现紧缺，尤其是C类地址的紧缺。目前IP地址的分配主要包含两种方式：一种就是拨号上网的方式，家庭终端使用ADSL拨号上网时，电信为此类终端动态地分配公网IP地址；第二种方式是通过分配固定的公网IP地址，这种方式主要运行在企业中。但是无论哪种方式，有限的C类公网IP地址资源都无法满足终端的需求。因此，为了解决这个问题，对现有的网络地址进行转换成为必然。

网络地址转换(NAT，Network Address Translation)是一种私网内的终端与具有公网地址的终端进行通信时，当IP数据包通过路由器或防火墙时重新改写该数据包的IP源地址或目的IP地址的技术。这种技术被普遍使用于私有网路中的多台主机与具有公网IP地址的通信中。NAT设备实现了公网IP地址和私网IP地址之间的一种映射关系。

尽管NAT技术能够很好解决公网终端与私网终端之间的通信，然而，同时也阻止了两个私网内的终端进行直接通信。因为两个私网下的终端无法知道彼此之间在NAT上的映射关系。目前已有用于解决私网下终端之间进行通信的技术，主要是基于UDP协议的NAT穿越技术，如名称为一种将私网用户接入公网的方法的中国专利申请：200410006287.5。其解决方案是在公网中架设一台地址映射服务器，私网内终端注册到该服务器上并通过该服务器访问到其他私网内终端的NAT公网出口地址及端口。

上述现有技术存在以下缺陷：

1集中在一台服务器上查询会浪费大量带宽，增大服务器负担，使得NAT中映射表项增多，降低查询效率；

2如主服务器遭遇网络中断将导致整个查询服务失效；

3查询服务器容易遭受非法终端的攻击。

发明内容

本发明的目的是提出一种基于口令双向认证的分布式互联网接入方法。

本发明提出的技术方案是使用多台服务器检测终端当前所处网络的NAT(网络地址转换)类型，然后向代理服务器请求查询服务器列表，最后向查询服务器发送注册请求，注册成功后获取其他已在当前查询服务器注册了的终端的公网IP及端口，从而完成接入过程。

本发明提出的分布式互联网接入方法包括下列步骤：

步骤1：判断网络地址转换(NAT)类型，终端向网络协议(STUN)服务器发送请求，要求得到自身经NAT映射后的地址，如果收不到服务器回复，则认为终端NAT类型为阻断(Blocked)；如果收到服务器回复，对比本地地址，如果相同，则认为无NAT设置，进入步骤5，否则认为有NAT设置，进入步骤2；

步骤2：终端向STUN服务器发送请求，要求服务器从其他IP和出口向终端回复，如收不到服务器从其他IP地址的回复，认为请求被前置NAT设置为阻断，转入步骤3，如收到，则认为网络的NAT类型为全克隆(Full Cone)，转入步骤5；

步骤3：终端向STUN服务器的另外一个IP地址发送请求，要求得到自身经NAT映射后的地址，并进行对比，如地址不相同，则网络NAT类型为对称式NAT(Symmetric NAT)，转入步骤4；如相同，则认为是已注册类型(Restricted NAT)，转入步骤5；

步骤4：终端使用端口预测算法向STUN服务器的2个IP(IP1，IP2)发送两次STUN请求，并根据STUN服务器的响应消息来预测NAT后的对应公网地址和端口，之后，转入步骤5；

步骤5：终端向代理服务器发起获取服务器列表的请求，所述服务器列表指分布于互联网中具有公网IP地址的服务器群，代理服务器处理请求后返回该服务器列表；

步骤6：终端根据返回的服务器列表完成与某个私网内的其他终端之间的通信。

在步骤5和步骤6之间还可以包括口令双方认证的步骤：

步骤51：终端查询服务器列表并对目标服务器发起认证请求，目标服务器根据终端提交的口令及ID信息对终端进行验证，并返回身份验证结果；

步骤52：如果验证通过，目标服务器处理终端查询其负责的区域私网内所有NAT出口IP地址与端口的请求；如果验证失败，目标服务器拒绝为终端提供后续服务。

所述终端对目标服务器发起双向认证的流程包括下列步骤：

步骤511：终端向目标服务器发送注册请求，并携带自身终端身份IDc；

步骤512：目标服务器响应终端注册请求，产生一个随机数Rs，然后发送自己身份IDs和随机数Rs；