CN100596068C - 基于会话初始化协议的安全组播方法 - Google Patents

Abstract

基于会话初始化协议的安全组播方法是第一个提出使用会话初始化协议实施安全组播业务的方法。该方法提出了解决组播安全的一整套方案，包括组播源访问控制、组播接收者访问控制、组密钥管理、组播源鉴别以及业务统计与计费能力。该方法选择网络中的路由器对组播数据进行加密，来保证对业务的访问控制和安全通信；采用两阶段的组播源认证方法；IGMP/MLD适配器层使部署该方法时，传统的组播路由系统的工作方式不必发生改变；提供了区域组播控制服务器集群、区域物理分割和区域逻辑分割三种扩展技术，其扩展性可适用于大规模网络环境、众多用户同时使用的要求。该方法在核心网边缘和用户接入网内进行组播安全控制，核心网不必发生任何变化。

Description

基于会话初始化协议的安全组播方法

技术领域

本发明是一种在大规模网络环境中进行安全组播(MSSIP)的方法。主要用于解决大规模组播网络的安全问题，属于计算机网络技术应用的技术领域。

背景技术

会话初始化协议(Session Initiation Protocol，SIP)是由IETF组织于1999年提出的一个在基于IP的网络中，特别是在Internet这样一种结构的网络环境中，实现实时通信应用的一种信令协议。而所谓的会话，就是指用户之间的数据交换。在基于SIP协议的应用中，每一个会话可以是各种不同的数据，可以是普通的文本数据，也可以是经过数字化处理的音频、视频数据，还可以是诸如游戏等应用的数据，应用具有巨大的灵活性。作为一个IETF提出的标准，SIP协议在很大程度上借鉴了其它广泛存在的Internet协议，如HTTP、SMTP等。和这些协议一样，SIP也采用基于文本的编码方式，这也是SIP协议同视频通信领域其它现有协议相比最大的特点之一。SIP被描述为用来生成、修改和终止一个或多个参与者之间的会话。SIP支持会话描述，允许参与者在一组兼容媒体类型上达成一致，它同时通过代理和重定向请求到用户当前位置来支持用户移动性。

IP组播是一种受到广泛重视的网络技术，在一对多和多对多的网络通信中，组播技术可以使只在需要的时候才复制数据包，因此可以有效节省网络带宽。但是目前IP组播技术并没有在Internet上得到广泛应用。阻碍IP组播技术部署的原因是组播技术在保持简单性和开放性的同时缺少必要的安全控制，用户可以随意地加入组播组和随意地向组播组发送信息，这种随意性使得IP组播很难在商业应用中有所作为。因此，安全组播是组播技术的一个研究热点。目前，提出的大多数安全组播系统都是针对组播中的某个安全问题进行研究，给出解决方案，不能从整体上解决提供组播服务所需的全部安全需求。而且，这些方案都不能适应大规模网络环境下的复杂网络环境和扩展性要求。基于SIP的安全组播是第一个提出使用SIP协议实施安全组播业务的方法，而且提出了解决组播安全的一整套方案，包括组播源访问控制、组播接收者访问控制、组密钥管理、组播源鉴别以及业务统计与计费能力。MSSIP特别针对大规模网络环境、众多用户同时使用时的扩展性提供了多种扩展技术。

发明内容

技术问题：本发明的目的是提供一种在大规模网络环境下基于会话初始化协议的安全组播方法，该方法具有实用性强、安全程度高、运行稳定、扩展性好的优点，并能够在IPv4和IPv6两种网络环境下运行。

技术方案：本发明提出了解决组播安全的一整套方案，包括组播源访问控制、组播接收者访问控制、组密钥管理、组播源鉴别以及业务统计与计费能力。MSSIP特别针对大规模网络环境、众多用户同时使用时的扩展性提供了多种扩展技术。本发明所采用的方法是采取分布式处理的策略，根据现代网络的特点划分区域，将每个用户接入网作为单个区域，核心网将这些区域连接起来。在用户接入网和核心网之间部署组播控制服务器(Multicast Control Server，MCS)完成组播业务的控制功能。这些服务器(MCS)控制组播源向核心网发送组播数据，控制用户加入组播组，并提供组播源的身份验证能力。为完成这些控制功能，并且为保证组播数据的安全传输，MCS也是区域的密钥管理服务器。组播源以及接收者在使用组播业务之前必须通过SIP协议与MCS通讯，从MCS获得访问业务的授权和组密钥。当区域内某组播组有成员关系变化时，MCS同时控制组密钥的变更。在大规模网络中，将每个用户接入网作为一个单独的区域，每个区域有独立的MCS，负责该区域的安全组播管理，实现组播网络安全管理任务的分布。对于大型区域，系统提出三种扩展性方法：区域MCS集群、区域物理分割和区域逻辑分割。

一、体系结构

MSSIP对每个区域独立进行安全组播控制，是一种分布的体系结构。源从开始发送数据至结束发送，以及接收者从发送因特网组管理协议/组播接收者发现协议(IGMP/MLD)报文加入组播组，到发送IGMP/MLD报文离开组播组均可视为一个会话，使用SIP建立会话支持用户身份验证，并可在建立会话的过程中交换参数信息例如加密/解密媒体的组密钥以及源认证信息。为提供安全组播业务，MSSIP需要对传统的组播路由器进行改造，使其具备安全组播特性。MSSIP称这种具有安全组播特性的路由器为安全组播路由器。本发明所述的基于SIP的安全组播方法体系结构包括组播源及接收者端系统、MCS和安全组播路由器。端系统负责代表用户通过SIP协议向MCS发起访问请求；管理MCS通告的本地密钥；接受并处理上层应用交付的欲传输组播数据(对于组播源)，或者处理接收到的组播数据并交付给上层应用(对于接收者)。MCS接受用户的组播服务请求，验证用户的身份，这是通过SIP协议完成的；为用户分配组密钥和源鉴别信息；并控制安全组播路由器。安全组播路由器接受MCS的控制。部署在安全组播路由器上的防火墙在默认情况下阻断所有的组播流，在MCS的控制下，能够为合法的组播源在防火墙上打开通道允许其组播流通过。为防止非授权用户接收组播流，在安全组播路由器上为组播流进行加密，加密密钥由MCS提供。最后，安全组播路由器不从子网上接收IGMP/MLD报文，为不改变其上的组播路由系统的工作方式，IGMP/MLD适配器模块提供了一个适配层，为路由器上的组播路由系统提供其赖以工作的IGMP/MLD报文。IGMP/MLD适配器所需的信息由MCS提供。

二、方法流程

本发明的基于会话初始化协议的安全组播方法由组播源及接收者访问控制及组密钥管理、因特网组管理协议/组播接收者发现协议适配器使用、区域组播控制服务器部署三部分构成，其中：组播源及接收者访问控制及组密钥管理，使用会话初始化协议建立会话支持用户身份验证，并可在建立会话的过程中交换加密/解密媒体的组密钥以及源认证等参数信息；因特网组管理协议/组播接收者发现协议适配器提供了一个适配层，为路由器上的组播路由系统提供其赖以工作的因特网组管理协议/组播接收者发现协议报文；区域组播控制服务器部署，用以适应大规模网络中的管理需求。

所述的组播源及接收者访问控制及组密钥管理的方法为：安全组播源认证根据网络的层次特点采用两阶段方案，在核心网部分采用散列消息鉴别码的认证方式；而用户接入网具有高速、低丢包率的特点，采用报文链等组播源认证方式，具体有以下步骤：

1)组播源发起身份验证过程：在提供组播服务之前，组播源通过向组播控制服务器发送SIP请求消息发起身份验证过程，SIP消息的消息体部分包含了组播组地址，并使用安全多功能因特网邮件扩展协议封装进行加密和签名；

2)组播控制服务器发出验证要求：组播控制服务器向组播源返回未验证代码401消息，要求对组播源身份进行验证；401消息的鉴别标题头携带了验证的方法和参数；组播源收到此消息后，向组播控制服务器发送一个确认应答；

3)组播源发送回应值：组播源计算回应值，放入下一个请求的验证标题头中发送给组播控制服务器；

4)组播控制服务器计算回应值并和收到信息中的回应值对比：验证正确后，使用请求者的数字证书验证安全多功能因特网邮件扩展协议签名的正确性，然后使用组播控制服务器的私钥解密消息体，得到组播源所请求加入的组播组；之后逐条确认组播策略库中的每条相关策略以决定是否接受源发送数据；若拒绝，则返回禁止代码403消息，并在该消息体中包含一个说明拒绝原因的短语；若接受源的访问请求，则向源返回确认代码200消息，并在后面的步骤中通过配置离该源最近一跳的安全组播路由器上的防火墙允许该源的数据流通过这种操作对源进行授权；确认代码200消息的消息体中封装了源所请求组播组的组密钥，组播源使用组密钥加密组播流然后再发送到网络上；收到该消息后，组播源向组播控制服务器发送一个确认应答消息；

5)安全组播路由器上部署防火墙和密码模块：通过预建立的网络安全通道，组播控制服务器将防火墙控制信息发送给离源最近一跳的安全组播路由器，允许该源的数据流通过；同时，组播控制服务器将组密钥通告给与核心网相连的安全组播路由器，当组播流通过该路由器要转发进入核心网时，使用组密钥解密组播流；

6)组播源开始向网络发送加密的组播数据流；

7)组播源结束发送：发送结束后，组播源向组播控制服务器发送结束消息结束会话，组播控制服务器以确认代码200应答该请求，并控制路由器关闭在防火墙上为源打开的通道和删除先前通告的组密钥；

8)接收者加入组播组的第一步是将因特网组管理协议/组播接收者发现协议加入消息放入SIP请求消息体部分发送给组播控制服务器，并且该消息体经过了加密和签名；组播控制服务器向接收者返回未验证代码401消息，要求对其身份进行验证；除了消息体中封装的是因特网组管理协议/组播接收者发现协议加入消息外，接收者与组播控制服务器交互的前四个消息与源访问控制中组播源与组播控制服务器交互的前四个消息相同；

9)组播控制服务器根据策略验证的结果决定对用户授权，或者返回禁止代码403消息并在消息体中包含一个说明拒绝原因的短语；若接受接收者的访问请求，则向接收者返回确认代码200，并在消息的消息体部分包含了一个用于解密该组组播数据的密钥，即组密钥，消息体通过安全多功能因特网邮件扩展协议保护；所述的用户授权即将组密钥通告给接收者，权限收回即将变更后的组密钥通告给组中其它接收者，没有被通告新的组密钥的成员将不能解密组播数据而被隔离出了组外；为保证加解密效率，MSSIP使用三重数据加密标准对称加密方式，因此确认代码200的消息体中封装的是接收者所请求组的三重数据加密标准密钥；

10)通过预建立的网络安全通道，组播控制服务器将由不活跃变为活跃的组以及由活跃变为不活跃的组关系信息通告给离该接收者最近一跳的安全组播路由器，并将组密钥通告给与核心网相连的安全组播路由器；这里，安全组播路由器上的防火墙阻止接收者直接发送因特网组管理协议/组播接收者发现协议加入组，而只从组播控制服务器获得活动组信息；

11)离该接收者最近一跳的安全组播路由器通过正常的组播路由系统加入组播树；位于核心网边界的安全组播路由器用从组播控制服务器获得的组密钥加密组播数据流并向接入网内转发；接收者用会话建立期间从组播控制服务器获得的组密钥解密组播数据；

12)接收者向组播控制服务器发送结束消息来结束会话，结束消息的消息体部分携带了加密和签名的因特网组管理协议/组播接收者发现协议离开消息，组播控制服务器生成新的组密钥，并通告给组中其它成员和核心网边界安全组播路由器，若组播组由活跃状态转为非活跃状态，则路由器停止转发组播流。

所述的因特网组管理协议/组播接收者发现协议适配器使用的方法为：在MSSIP系统中，组播接收者通过向组播控制服务器发送SIP请求加入组播组而不是直接向路由器发送因特网组管理协议/组播接收者发现协议报文，但因特网组管理协议/组播接收者发现协议对于组播路由器的操作是至关重要的，组播路由器需要通过因特网组管理协议/组播接收者发现协议了解其直接连接的子网上是否有组播组处于活动状态；为了避免过多地改动组播路由器的操作，MSSIP引入了因特网组管理协议/组播接收者发现协议适配器模块，其流程如下：

1)组播控制服务器保存有区域中所有安全组播路由器的接口地址信息，当收到用户加入/离开组请求时，组播控制服务器判断是否组状态发生变化，即组从非活跃状态变为活跃状态，或从活跃状态变为非活跃状态；若组状态发生了变化，则组播控制服务器将变化信息通告给离用户最近一跳的安全组播路由器上的因特网组管理协议/组播接收者发现协议适配器模块；

2)因特网组管理协议/组播接收者发现协议适配器模块接收组播控制服务器发来的组关系信息并在本地维护一个活动组地址列表，当从组播控制服务器了解到活动组有变化时，因特网组管理协议/组播接收者发现协议适配器模块主动产生因特网组管理协议/组播接收者发现协议报告报文发给所在的路由器；当路由器组播路由系统向子网发送因特网组管理协议/组播接收者发现协议组播侦听查询报文时，该模块截获查询报文，并根据活动组地址列表代为产生一个因特网组管理协议/组播接收者发现协议组播侦听报告给组播路由系统，安全组播路由器上的防火墙阻塞从网络接口接收到的因特网组管理协议/组播接收者发现协议报文；

3)组播控制服务器上不仅保存有活动组的信息，还有组的详细成员列表，但只有当活动组发生变化时才需要向因特网组管理协议/组播接收者发现协议适配器模块通告；当收到加入组请求时，组播控制服务器查询本地数据库，若组是活动的，说明路由器已经开始向接入网转发该组的组播数据流了，则路由器上的组关系不必改变，只需要通告新的组密钥即可；若组不存在，则在本地数据库中添加组关系和成员列表，并向路由器通告组信息和组密钥；当收到离开组请求时，组播控制服务器查询本地数据库，若是该组的最后一台主机，则向路由器通告组信息，并删除本地该组的所有信息；否则组播控制服务器只把该成员从本地数据库该组中删除，并只向路由器通告新的组密钥，这时路由器上的组信息没有变化；

4)安全组播路由器：因特网组管理协议/组播接收者发现协议适配器模块接收组播控制服务器发来的组关系信息并在本地维护一个活动组地址列表；MSSIP为每个区域配置了一台组播控制服务器，负责该区域的组播业务安全控制；通常情况下区域内都不止一台路由器，只在核心网的边界路由器上进行访问控制和加密是不够的，为此MSSIP定义了两种安全组播路由器角色：连接核心网和某区域的组播边界路由器，以及只在区域内有接口并且有主机直接连接的组播区域路由器；组播控制服务器需要与本区域所有这些组播边界路由器和组播区域路由器建立网络安全连接，并在本地保存它们的相关信息；主机加入组播组不是通过直接发送因特网组管理协议/组播接收者发现协议报文，而是向组播控制服务器发送访问请求，因此组播边界路由器和组播区域路由器就需要某种途径获得其直连子网上的组关系；这是通过在其上部署因特网组管理协议/组播接收者发现协议适配器模块实现的：当主机加入某组播组的请求获得组播控制服务器认可后，组播控制服务器通过检查主机发出请求的网络地址以及保存在组播控制服务器上的路由器信息，可以确定主机所接入的路由器以及连接的接口；通过网络安全通道，组播控制服务器指示该路由器上的因特网组管理协议/组播接收者发现协议适配器模块向路由器的组播路由系统发送因特网组管理协议/组播接收者发现协议组播侦听报告报文，向路由器报告有新组转为活动状态，则该路由器通过组播路由协议加入组播分布树，开始转发组播流。

所述的区域组播控制服务器部署方法为：针对大规模网络，MSSIP提供了三种系统扩展性方法，步骤分别如下：

1)区域组播控制服务器集群：使用SIP代理服务器可以创建由多个组播控制服务器组成的集群。假设区域university.edu.cn有一个处理进入邀请的代理服务器，当接收者尝试地址“SIP:mcs@university.edu.cn”时，它将首先到达“university.edu.cn”区域的代理服务器；这个服务器将迅速代表接收者的用户代理尝试地址“SIP:mcs@university.edu.cn”；在集群的情况下，区域有一个由两台组播控制服务器即组播控制服务器-1和组播控制服务器-2组成的集群，代理服务器首先尝试与组播控制服务器-1联系，如组播控制服务器-1上已经达到了所请求组的预配置最大数量，组播控制服务器-1将以“抱歉，服务已满”作为答复；收到此答复后，代理继续尝试与组播控制服务器-2联系，组播控制服务器-2正好有空，它以“好，我有空”作为应答，最终接收者的请求由组播控制服务器-2负责处理；通过改变请求到达时代理服务器联系组播控制服务器的顺序，可以在各组播控制服务器之间进行负载均衡；

2)区域物理分割：当区域过度膨胀，通过增加组播控制服务器也不能解决问题时，可以对区域进行分割；所述的物理分割就像细胞分裂一样，一个大的区域分裂为两个小的区域，每个小区域有自己独立的组播控制服务器，单独处理各自区域内的组成员变化，区域有独立的组密钥；区域物理分割对用户是不透明的，当发生物理分割时，用户可能需要重配置他们的计算机；

3)区域逻辑分割：当加入组请求到达组播控制服务器，组播控制服务器跟踪组的所有成员知道组的当前规模，当组规模达到一个配置的阈值，分割动态地发生：组播控制服务器从欲配置的组播地址池中选取一个未使用的局部组地址，并建立映射关系；组播控制服务器向请求组播服务的接收者发送服务不可用代码503消息，在消息体中包含一个组映射指示和站点局部组地址，要求接收者重新向局部组地址发起加入请求，同时组播控制服务器指示核心网边界处的安全组播路由器将原始组的数据复制一份到映射组，并分别用各自组的组密钥加密；逻辑分割操作对用户是透明的。

以下为本发明中的名词解释：

会话初始化协议                        Session Initiation Protocol，SIP

基于会话初始化协议的安全组播方法      MSSIP

因特网                                Internet

因特网工程任务组                      Internet Engineering Task Force，IETF

因特网协议                            IP

因特网协议第4版、第6版                IPv4、IPv6

超文本传输协议                        Hypertext Transfer Protocol，HTTP

简单邮件传输协议                      Simple Message Transfer Protocol，SMTP

组播控制服务器                        Multicast Control Server，MCS

因特网组管理协议/组播接收者发现协议   IGMP/MLD

散列消息鉴别码                        HMAC

SIP请求                               SIP INVITE

安全多功能因特网邮件扩展协议          S/MIME

未验证代码401                         401Unauthorized

确认                      ACK

回应值                    response

验证                      Authorization

禁止代码                  403403Forbidden

确认代码                  200200OK

结束                      BYE

三重数据加密标准          Triple Data Encryption Standard，3DES

服务不可用代码            503503Service Unavailable

组播边界路由器            Multicast Border Router，MBR

组播区域路由器            Multicast Internal Router，MIR

统一资源标识符            Uniform Resource Identifier，URI

有益效果：本发明所述的基于SIP的安全组播方法MSSIP提出了解决组播安全的一整套方案，包括组播源访问控制、组播接收者访问控制、组密钥管理、组播源鉴别以及业务统计与计费能力。该方法在每个用户接入网中部署组播控制服务，各区域相对独立自治，实现最大限度的分布计算和高扩展性。具体来说，本发明所述的方法具有如下的有益效果：

1)将SIP协议用于组播安全控制，给出了一个一体化的安全组播系统架构。借助于SIP协议的安全机制和参数协商能力，很好地解决了组播安全中的访问控制、组密钥管理和源认证要求；以及商业应用所需的统计计费能力。

2)提出了IGMP/MLD适配器层，隔离了MSSIP和组播路由系统的界限，使组播路由系统不必改变即可被MSSIP使用。而且IGMP/MLD适配器部署在安全组播路由器中，消除了网络中周期性的IGMP/MLD查询报文，提高了网络效率。

3)系统部署在网络的边缘，各用户接入网成为单独的区域，有自己的控制服务器和组密钥，系统扩展性很高。而且由于核心网不必发生变化，系统实际应用价值很高。

4)根据网络特点，提出了在网络的不同部分使用不同的源认证方式的两阶段方案。在核心网关注性能和效率，包丢失无关性；在接入网关注最终用户的认证需求。使整个认证方案安全有效。

5)支持大规模组播业务应用的能力，系统可以采用多种密钥管理方法，例如集中式的或基于树的。

6)系统组密钥重分配有很高的扩展性，通过使用SIP代理服务器，提出了MCS集群的概念，并有负载均衡的能力。

7)创造性地提出了系统扩展的物理分割和逻辑分割方法，以及全局组播地址到局部组播地址的映射，使系统扩展性有了更进一步的提高。

8)易于与其它服务集成。SIP已得到大量设备的支持，包括桌面计算机、手持移动设备等。使用SIP实现业务，MSSIP系统只需要最小的成本就可在这些设备上使用。

9)与SIP共同发展。SIP是一个得到广泛应用并不断发展的协议，随着SIP协议的发展，新的安全认证方法能够被容易地应用到MSSIP系统中来。

附图说明

图1是基于SIP的安全组播方法部署示意图。

图2是组播源访问控制及组密钥管理流程。

图3是组播接收者访问控制及组密钥管理流程。

具体实施方式

本发明方案由组播源及接收者访问控制及组密钥管理、因特网组管理协议/组播接收者发现协议(IGMP/MLD)适配器使用、区域MCS部署三部分构成，具体如下：

1、组播源及接收者访问控制及组密钥管理

MSSIP源认证根据网络的层次特点采用两阶段方案。由于核心网通常为广域网，流量大、地域范围广，虽然最近建设的核心网链路带宽已达到10G，但网络上仍然大量存在包丢失，而且包丢失影响的范围更大。因此MSSIP在核心网部分采用HMAC的认证方式；而用户接入网具有高速、低丢包率的特点，可采用报文链等组播源认证方式。具体有以下步骤：

1)组播源发起身份验证过程。在提供组播服务之前，组播源通过向MCS发送SIP INVITE消息发起身份验证过程，SIP消息的消息体部分包含了组播组地址，并使用安全多功能因特网邮件扩展协议(S/MIME)封装进行加密和签名。

2)组播控制服务器MCS发出验证要求。MCS向组播源返回未验证代码401(401Unauthorized)消息，要求对组播源身份进行验证。401消息的WWW-Authenticate标题头携带了验证的方法和参数。组播源收到此消息后，向MCS发送一个确认(ACK)应答。

3)组播源发送回应值(response)。组播源计算response，放入下一个INVITE请求的验证(Authorization)标题头中发送给MCS。

4)MCS计算response并和收到信息中的response对比。验证正确后，使用请求者的数字证书验证S/MIME签名的正确性，然后使用MCS的私钥解密消息体，得到源请求加入的组播组。之后逐条确认组播策略库中的每条相关策略以决定是否接受源发送数据。若拒绝，则返回禁止代码403(403Forbidden)消息，并在该消息体中包含一个说明拒绝原因的短语。若接受源的访问请求，则向源返回确认代码200(200OK)消息，并在后面的步骤中通过配置离该源最近一跳的安全组播路由器上的防火墙允许该源的数据流通过这种操作对源进行授权。200OK消息的消息体中封装了源所请求组播组的组密钥，源使用组密钥加密组播流然后再发送到网络上。收到该消息后，源向MCS发送一个ACK应答消息。

5)安全组播路由器上部署防火墙和密码模块。通过预建立的网络安全通道，MCS将防火墙控制信息发送给离源最近一跳的安全组播路由器，允许该源的数据流通过。同时，MCS将组密钥通告给与核心网相连的安全组播路由器，当组播流通过该路由器要转发进入核心网时，使用组密钥解密组播流。

6)组播源开始向网络发送加密的组播数据流。

7)组播源结束发送。发送结束后，组播源向MCS发送结束(SIP BYE)消息结束会话，MCS以200OK应答该请求，并控制路由器关闭在防火墙上为源打开的通道和删除先前通告的组密钥。

8)接收者加入组播组的第一步是将IGMP/MLD加入消息放入SIP INVITE消息体部分发送给MCS，并且该消息体经过了加密和签名。MCS向接收者返回401Unauthorized消息，要求对其身份进行验证。除了消息体中封装的是IGMP/MLD加入消息外，接收者与MCS交互的前四个消息与源访问控制中源与MCS交互的前四个消息相同。

9)MCS根据策略验证的结果决定对用户授权，或者返回403Forbidden消息并在消息体中包含一个说明拒绝原因的短语。若接受接收者的访问请求，则向接收者返回200OK，并在消息的消息体部分包含了一个用于解密该组组播数据的密钥(即组密钥)，消息体通过S/MIME保护。所述的用户授权即将组密钥通告给接收者，权限收回即将变更后的组密钥通告给组中其它接收者，没有被通告新的组密钥的成员将不能解密组播数据而被隔离出了组外。为保证加解密效率，MSSIP使用三重数据加密标准(3DES)对称加密方式，因此200OK的消息体中封装的是接收者所请求组的3DES密钥。

10)通过预建立的网络安全通道，MCS将组关系信息(由不活跃变为活跃的组以及由活跃变为不活跃的组)通告给离该接收者最近一跳的安全组播路由器，并将组密钥通告给与核心网相连的安全组播路由器。这里，安全组播路由器上的防火墙阻止接收者直接发送IGMP/MLD加入组，而只从MCS获得活动组信息。

11)离该接收者最近一跳的安全组播路由器通过正常的组播路由系统加入组播树。位于核心网边界的安全组播路由器用从MCS获得的组密钥加密组播数据流并向接入网内转发。接收者用会话建立期间从MCS获得的组密钥解密组播数据。

12)接收者向MCS发送SIP BYE消息结束会话，BYE消息的消息体部分携带了加密和签名的IGMP/MLD离开消息。MCS生成新的组密钥，并通告给组中其它成员和核心网边界安全组播路由器。若组播组由活跃状态转为非活跃状态，则路由器停止转发组播流。

2、IGMP/MLD适配器

在MSSIP系统中，组播接收者通过向MCS发送SIP INVITE加入组播组而不是直接向路由器发送IGMP/MLD报文，但IGMP/MLD对于组播路由器的操作是至关重要的，组播路由器需要通过IGMP/MLD了解其直接连接的子网上是否有组播组处于活动状态。为了避免过多地改动组播路由器的操作，MSSIP引入了IGMP/MLD适配器模块，其流程如下：

1)MCS保存有区域中所有安全组播路由器的接口地址信息，当收到用户加入/离开组请求时，MCS判断是否组状态发生变化，即组从非活跃状态变为活跃状态，或从活跃状态变为非活跃状态。若组状态发生了变化，则MCS将变化信息通告给离用户最近一跳的安全组播路由器上的IGMP/MLD适配器模块。

2)IGMP/MLD适配器模块接收MCS发来的组关系信息并在本地维护一个活动组地址列表。当从MCS了解到活动组有变化时，IGMP/MLD适配器模块主动产生IGMP/MLD报告报文发给所在的路由器；当路由器组播路由系统向子网发送IGMP/MLD组播侦听查询报文时，该模块截获查询报文，并根据活动组地址列表代为产生一个IGMP/MLD组播侦听报告给组播路由系统。安全组播路由器上的防火墙阻塞从网络接口接收到的IGMP/MLD报文。

3)MCS上不仅保存有活动组的信息，还有组的详细成员列表，但只有当活动组发生变化时才需要向IGMP/MLD适配器模块通告。当收到加入组请求时，MCS查询本地数据库，若组是活动的，说明路由器已经开始向接入网转发该组的组播数据流了，则路由器上的组关系不必改变，只需要通告新的组密钥即可。若组不存在，则在本地数据库中添加组关系和成员列表，并向路由器通告组信息和组密钥。当收到离开组请求时，MCS查询本地数据库，若是该组的最后一台主机，则向路由器通告组信息，并删除本地该组的所有信息；否则MCS只把该成员从本地数据库该组中删除，并只向路由器通告新的组密钥，这时路由器上的组信息没有变化。

4)安全组播路由器。IGMP/MLD适配器模块接收MCS发来的组关系信息并在本地维护一个活动组地址列表。MSSIP为每个区域配置了一台MCS，负责该区域的组播业务安全控制。通常情况下区域内都不止一台路由器，只在核心网的边界路由器上进行访问控制和加密是不够的，为此MSSIP定义了两种安全组播路由器角色：连接核心网和某区域的组播边界路由器(MulticastBorder Router，MBR)，以及只在区域内有接口并且有主机直接连接的组播区域路由器(Multicast Internal Router，MIR)。MCS需要与本区域所有这些MBR和MIR建立网络安全连接，并在本地保存它们的相关信息，例如路由器的接口地址等。主机加入组播组不是通过直接发送IGMP/MLD报文，而是向MCS发送访问请求，因此MBR和MIR就需要某种途径获得其直连子网上的组关系。这是通过在其上部署IGMP/MLD适配器模块实现的：当主机加入某组播组的请求获得MCS认可后，MCS通过检查主机发出请求的IP地址以及保存在MCS上的路由器信息，可以确定主机所接入的路由器以及连接的接口。通过网络安全通道，MCS指示该路由器上的IGMP/MLD适配器模块向路由器的组播路由系统发送IGMP/MLD组播侦听报告报文，向路由器报告有新组转为活动状态，则该路由器通过组播路由协议加入组播分布树，开始转发组播流。

3、区域MCS部署

针对大规模网络，MSSIP提供了三种系统扩展性方法，步骤分别如下：

1)区域MCS集群。使用SIP代理服务器可以创建由多个MCS组成的集群。假设区域university.edu.cn有一个处理进入邀请的代理服务器，当接收者尝试地址SIP:mcs@university.edu.cn时，它将首先到达university.edu.cn区域的代理服务器。这个服务器将迅速代表接收者的用户代理尝试地址SIP:mcs@university.edu.cn。在集群的情况下，例如区域有一个由两台MCS(MCS-1和MCS-2)组成的集群。代理服务器首先尝试与MCS-1联系。假设MCS-1上已经达到了所请求组的预配置最大数量，MCS-1将以“抱歉，服务已满”作为答复。收到此答复后，代理继续尝试与MCS-2联系，MCS-2正好有空，所以它以“好，我有空”作为应答。最终接收者的请求由MCS-2负责处理。通过改变请求到达时代理服务器联系MCS的顺序，可以在各MCS之间进行负载均衡。区域MCS集群的操作对用户是透明的，当需要时能够透明地增加MCS的数量，而用户不会感觉到这种变化。

2)区域物理分割。当区域过度膨胀，通过增加MCS也不能解决问题时，可以对区域进行分割。所述的物理分割就像细胞分裂一样，一个大的区域分裂为两个小的区域，每个小区域有自己独立的MCS，单独处理各自区域内的组成员变化，区域有独立的组密钥。区域物理分割对用户是不透明的，当发生物理分割时，用户可能需要重配置其计算机。

3)区域逻辑分割：

当加入组请求到达MCS，因为MCS跟踪组的所有成员，所以它知道组的当前规模。当组规模达到一个配置的阈值，分割动态地发生：MCS从欲配置的组播地址池中选取一个未使用的局部组地址，并建立映射关系；MCS向请求组播服务的接收者发送服务不可用代码503(503Service Unavailable)消息，在消息体中包含一个组映射指示和站点局部组地址，要求接收者重新向局部组地址发起加入请求。同时MCS指示核心网边界处的安全组播路由器将原始组的数据复制一份到映射组，并分别用各自组的组密钥加密。逻辑分割操作对用户是透明的。

下面对本发明作更详细的描述。

一、IGMP/MLD适配器的部署

在MSSIP系统中，组播接收者通过向MCS发送SIP INVITE加入组播组而不是直接向路由器发送IGMP/MLD报文，但IGMP/MLD对于组播路由器的操作是至关重要的：组播路由器需要通过IGMP/MLD了解其直接连接的子网上是否有组播组处于活动状态。为了避免过多地改动组播路由器的操作，MSSIP引入了IGMP/MLD适配器模块。

1)MCS保存有区域中所有安全组播路由器的接口地址信息，当收到用户加入/离开组请求时，MCS判断是否组状态发生变化，即组从非活跃状态变为活跃状态，或从活跃状态变为非活跃状态。若组状态发生了变化，则MCS将变化信息通告给离用户最近一跳的安全组播路由器上的IGMP/MLD适配器模块。

2)IGMP/MLD适配器模块接收MCS发来的组关系信息并在本地维护一个活动组地址列表。当从MCS了解到活动组有变化时，IGMP/MLD适配器模块主动产生IGMP/MLD报告报文发给所在的路由器；当路由器组播路由系统向子网发送IGMP/MLD组播侦听查询报文时，该模块截获查询报文，并根据活动组地址列表代为产生一个IGMP/MLD组播侦听报告给组播路由系统。安全组播路由器上的防火墙阻塞从网络接口接收到的IGMP/MLD报文。

MCS上不仅保存有活动组的信息，还有组的详细成员列表，但只有当活动组发生变化时才需要向IGMP/MLD适配器模块通告：

1)当收到加入组请求时，MCS查询本地数据库，若组是活动的，则说明路由器已经开始向接入网转发该组的组播数据流了。则路由器上的组关系不必改变，只需要通告新的组密钥即可。若组不存在，则在本地数据库中添加组关系和成员列表，并向路由器通告组信息和组密钥。

2)当收到离开组请求时，MCS查询本地数据库，若是该组的最后一台主机，则向路由器通告组信息，并删除本地该组的所有信息；否则MCS只把该成员从本地数据库该组中删除，并只向路由器通告新的组密钥，这时路由器上的组信息没有变化。

二、安全组播路由器角色

IGMP/MLD适配器模块接收MCS发来的组关系信息并在本地维护一个活动组地址列表。MSSIP为每个区域配置了一台MCS，负责该区域的组播业务安全控制。通常情况下区域内都不止一台路由器，只在核心网的边界路由器上进行访问控制和加密是不够的，为此MSSIP定义了两种安全组播路由器角色：连接核心网和某区域的组播边界路由器MBR，以及只在区域内有接口并且有主机直接连接的组播区域路由器MIR。MCS需要与本区域所有这些MBR和MIR建立网络安全连接，并在本地保存它们的相关信息，例如路由器的接口地址等。主机加入组播组不是通过直接发送IGMP/MLD报文，而是向MCS发送访问请求，因此MBR和MIR就需要某种途径获得其直连子网上的组关系。这是通过在其上部署IGMP/MLD适配器模块实现的：当主机加入某组播组的请求获得MCS认可后，MCS通过检查主机发出请求的IP地址以及保存在MCS上的路由器信息，可以确定主机所接入的路由器以及连接的接口。通过网络安全通道，MCS指示该路由器上的IGMP/MLD适配器模块向路由器的组播路由系统发送IGMP/MLD组播侦听报告报文，向路由器报告有新组转为活动状态，则该路由器通过组播路由协议加入组播分布树，开始转发组播流。注意，若MBR上没有直连主机，则MBR上不必部署IGMP/MLD适配器模块。对于没有部署IGMP/MLD适配器模块的路由器(也即没有直连主机的路由器)，为安全起见应关闭其上的IGMP/MLD功能。

三、组播源所在区域的MBR操作

组播源所在区域的MBR和区域内不存在源的MBR的操作稍有不同。MBR必须根据组播流的流向采取不同的动作，分两种情况：

1)组播流从区域内流向核心网。这说明本区域内有活动组的源，并且其它区域有该组的接收者。由于源使用本区域组密钥加密了组播流，当流到达MBR要转发出本区域时，需要在MBR上解密。

2)组播流从核心网流向区域内。这种情况需要在MBR上用本区域组密钥加密，然后再将组播流引入区域。

四、用户请求加入组或离开组时的处理

当用户请求加入组或离开组时，MCS分别进行处理。用户请求加入组时，MCS为用户分配一个与用户共享的3DES密钥，称为用户密钥。同时为了防止用户解密加入前的组播数据和防止用户解密离开组后的组播数据，当组成员发生变化时(有用户加入或退出)，需要重新分配组密钥。重分配密钥时，MCS使用每个用户的用户密钥加密组密钥传输给各用户。组密钥重分配的效率是评价一个组密钥管理系统的主要指标。MSSIP通过将网络拆分为相对独立的区域，将密钥重分配的范围大大缩小了。在单个区域内，MSSIP使用集中式的密钥重分配方法，即重分配由区域MCS针对组中每个成员以单播的方式进行。

五、区域MCS集群的创建

使用SIP代理服务器可以创建由多个MCS组成的集群。假设区域university.edu.cn有一个处理进入邀请的代理服务器，当接收者尝试地址SIP:mcs@university.edu.cn时，它将首先到达university.edu.cn区域的代理服务器。这个服务器将迅速代表接收者的用户代理尝试地址SIP:mcs@university.edu.cn。如果只有一台MCS，并且其SIP URI是SIP:mcs@university.edu.cn的话，那么最终接收者的请求到达该MCS。

更有用的是，代理服务器能够为用户尝试多于一个的地址，这称为派生代理。派生代理可以按照它的配置处理并行或顺序的搜索。一个并行搜索是同时尝试搜索所有可能的位置，而一个顺序搜索是每次单独地尝试搜索一个位置。这就为创建MCS集群创造了条件。派生代理接收到一个目的地址为SIP:mcs@university.edu.cn的邀请，它将首先尝试与MCS-1联系。因为MCS-1上已经达到了所请求组的预配置最大数量，所以MCS-1以“抱歉，服务已满”作为答复。收到此答复后，派生代理继续尝试与MCS-2联系，MCS-2正好有空，所以它以“好，我有空”作为应答。最终接收者的请求由MCS-2负责处理。若派生代理联系了所有的MCS未找到可以提供服务的MCS，则只好以失败告终，告诉接收者“服务已满，请稍候再试”。这样也同时提供了一个控制本区域组内最大成员数量的方法，而且消除了单个MCS带来的性能瓶颈和单故障点。区域的SIP代理服务器只需要路由用户发往MCS的第一个SIP报文，MCS服务器通过使用SIP的联系(Contact)标题头，能够使SIP代理服务器不再需要存在于后续的信令路径中。通过改变请求到达时代理服务器联系MCS的顺序，可以在各MCS之间进行负载均衡。一个配置的例子是轮转法。配置区域的SIP代理服务器，使到达的请求首先尝试联系的MCS在各个MCS之间轮转：第一个到达的请求首先尝试发给MCS-1，第二个到达的请求首先尝试发给MCS-2，第三个到达的请求首先尝试发给MCS-1处理，依次轮转。这样，就获得了负载均衡的能力，不至出现一台MCS非常繁忙，另一台MCS却无事可做的情况出现。

六、区域物理分割与逻辑分割

区域物理分割是通过对区域的重新规划，在核心网上增加一个接入点，将大区域分割为两个小区域实现的。每个小区域都部署了各自独立的MBR和MCS。根据MSSIP的特点，各区域单独处理各自区域内的组成员变化，区域有独立的组密钥。因此物理分割能够提高系统的可扩展性。

区域逻辑分割：

逻辑分割需要引入组映射的概念，即把一个组播组地址映射为另一个不同的组地址，映射发生在区域MCS处。对于一个全局组播地址，可以在区域内将其映射为多个站点局部组播地址。例如对于IPv6全局组播地址FF1E::1，将其映射为FF15::1和FF15::2，站点地址FF15::1和FF15::2只在本区域有效。这样，一个大的组播组就被分割为两个小的组播组，它们都接收相同的组内容，但它们在逻辑上是不同的组，因此有不同的组密钥。通过这种分割，组成员变化的影响被限制在了更小的局部组范围内，例如FF15::1的组成员变化不会引起FF15::2的组密钥重分配。

逻辑分割即组映射发生在接收者发送INVITE请求加入组播组的时候，在MCS上需要配置局部组地址的地址池。当请求到达MCS，因为MCS跟踪组的所有成员，所以它知道组的当前规模。当组规模很小的时候，组映射不必发生，原始的组地址被直接使用；当规模达到一个配置的阈值，映射动态地发生：MCS从地址池中选取一个未使用的局部组地址，并建立映射关系；MCS向请求组播服务的接收者发送503Service Unavailable消息，在消息体中包含一个组映射指示和站点局部组地址，要求接收者重新向局部组地址发起加入请求。

Claims (3)

1.一种基于会话初始化协议的安全组播方法，其特征在于该方法由组播源及接收者访问控制及组密钥管理、因特网组管理协议/组播接收者发现协议适配器使用、区域组播控制服务器部署三部分构成，其中：组播源及接收者访问控制及组密钥管理，使用会话初始化协议建立会话支持用户身份验证，并可在建立会话的过程中交换加密/解密媒体的组密钥以及源认证等参数信息；因特网组管理协议/组播接收者发现协议适配器提供了一个适配层，为路由器上的组播路由系统提供其赖以工作的因特网组管理协议/组播接收者发现协议报文；区域组播控制服务器部署，用以适应大规模网络中的管理需求；

所述的区域组播控制服务器部署方法为：针对大规模网络，MSSIP提供了三种系统扩展性方法，分别如下：

1)区域组播控制服务器集群：使用SIP代理服务器可以创建由多个组播控制服务器组成的集群，假设区域university.edu.cn有一个处理进入邀请的代理服务器，当接收者尝试地址“SIP:mcs@university.edu.cn”时，它将首先到达“university.edu.cn”区域的代理服务器；这个服务器将迅速代表接收者的用户代理尝试地址“SIP:mcs@university.edu.cn”；在集群的情况下，区域有一个由两台组播控制服务器即组播控制服务器-1和组播控制服务器-2组成的集群，代理服务器首先尝试与组播控制服务器-1联系，如组播控制服务器-1上已经达到了所请求组的预配置最大数量，组播控制服务器-1将以“抱歉，服务已满”作为答复；收到此答复后，代理继续尝试与组播控制服务器-2联系，组播控制服务器-2正好有空，它以“好，我有空”作为应答，最终接收者的请求由组播控制服务器-2负责处理；通过改变请求到达时代理服务器联系组播控制服务器的顺序，可以在各组播控制服务器之间进行负载均衡；

2)区域物理分割：当区域过度膨胀，通过增加组播控制服务器也不能解决问题时，可以对区域进行分割；所述的物理分割就像细胞分裂一样，一个大的区域分裂为两个小的区域，每个小区域有自己独立的组播控制服务器，单独处理各自区域内的组成员变化，区域有独立的组密钥；区域物理分割对用户是不透明的，当发生物理分割时，用户可能需要重配置他们的计算机；

3)区域逻辑分割：当加入组请求到达组播控制服务器，组播控制服务器跟踪组的所有成员知道组的当前规模，当组规模达到一个配置的阈值，分割动态地发生：组播控制服务器从欲配置的组播地址池中选取一个未使用的局部组地址，并建立映射关系；组播控制服务器向请求组播服务的接收者发送服务不可用代码503消息，在消息体中包含一个组映射指示和站点局部组地址，要求接收者重新向局部组地址发起加入请求，同时组播控制服务器指示核心网边界处的安全组播路由器将原始组的数据复制一份到映射组，并分别用各自组的组密钥加密；逻辑分割操作对用户是透明的。

2.根据权利要求1所述的基于会话初始化协议的安全组播方法，其特征在于所述的组播源及接收者访问控制及组密钥管理的方法为：安全组播源认证根据网络的层次特点采用两阶段方案，在核心网部分采用散列消息鉴别码的认证方式；而用户接入网具有高速、低丢包率的特点，采用报文链组播源认证方式，具体有以下步骤：

1)组播源发起身份验证过程：在提供组播服务之前，组播源通过向组播控制服务器发送SIP请求消息发起身份验证过程，SIP消息的消息体部分包含了组播组地址，并使用安全多功能因特网邮件扩展协议封装进行加密和签名；

2)组播控制服务器发出验证要求：组播控制服务器向组播源返回未验证代码401消息，要求对组播源身份进行验证；401消息的鉴别标题头携带了验证的方法和参数；组播源收到此消息后，向组播控制服务器发送一个确认应答；

3)组播源发送回应值：组播源计算回应值，放入下一个请求的验证标题头中发送给组播控制服务器；

4)组播控制服务器计算回应值并和收到信息中的回应值对比：验证正确后，使用请求者的数字证书验证安全多功能因特网邮件扩展协议签名的正确性，然后使用组播控制服务器的私钥解密消息体，得到组播源所请求加入的组播组；之后逐条确认组播策略库中的每条相关策略以决定是否接受源发送数据；若拒绝，则返回禁止代码403消息，并在该消息体中包含一个说明拒绝原因的短语；若接受源的访问请求，则向源返回确认代码200消息，并在后面的步骤中通过配置离该源最近一跳的安全组播路由器上的防火墙允许该源的数据流通过这种操作对源进行授权；确认代码200消息的消息体中封装了源所请求组播组的组密钥，组播源使用组密钥加密组播流然后再发送到网络上；收到该消息后，组播源向组播控制服务器发送一个确认应答消息；

5)安全组播路由器上部署防火墙和密码模块：通过预建立的网络安全通道，组播控制服务器将防火墙控制信息发送给离组播源最近一跳的安全组播路由器，允许该组播源的数据流通过；同时，组播控制服务器将组密钥通告给与核心网相连的安全组播路由器，当组播流通过该路由器要转发进入核心网时，使用组密钥解密组播流；

6)组播源开始向网络发送加密的组播数据流；

7)组播源结束发送：发送结束后，组播源向组播控制服务器发送结束消息结束会话，组播控制服务器以确认代码200应答该请求，并控制路由器关闭在防火墙上为源打开的通道和删除先前通告的组密钥；

8)接收者加入组播组的第一步是将因特网组管理协议/组播接收者发现协议加入消息放入SIP请求消息体部分发送给组播控制服务器，并且该消息体经过了加密和签名；组播控制服务器向接收者返回未验证代码401消息，要求对其身份进行验证；除了消息体中封装的是因特网组管理协议/组播接收者发现协议加入消息外，接收者与组播控制服务器交互的前四个消息与源访问控制中组播源与组播控制服务器交互的前四个消息相同；

9)组播控制服务器根据策略验证的结果决定对用户授权，或者返回禁止代码403消息并在消息体中包含一个说明拒绝原因的短语；若接受接收者的访问请求，则向接收者返回确认代码200，并在消息的消息体部分包含了一个用于解密该组组播数据的密钥，即组密钥，消息体通过安全多功能因特网邮件扩展协议保护；所述的用户授权即将组密钥通告给接收者，权限收回即将变更后的组密钥通告给组中其它接收者，没有被通告新的组密钥的成员将不能解密组播数据而被隔离出了组外；为保证加解密效率，MSSIP使用三重数据加密标准对称加密方式，因此确认代码200的消息体中封装的是接收者所请求组的三重数据加密标准密钥；

10)通过预建立的网络安全通道，组播控制服务器将由不活跃变为活跃的组以及由活跃变为不活跃的组关系信息通告给离该接收者最近一跳的安全组播路由器，并将组密钥通告给与核心网相连的安全组播路由器；这里，安全组播路由器上的防火墙阻止接收者直接发送因特网组管理协议/组播接收者发现协议加入组，而只从组播控制服务器获得活动组信息；

11)离该接收者最近一跳的安全组播路由器通过正常的组播路由系统加入组播树；位于核心网边界的安全组播路由器用从组播控制服务器获得的组密钥加密组播数据流并向接入网内转发；接收者用会话建立期间从组播控制服务器获得的组密钥解密组播数据；

12)接收者向组播控制服务器发送结束消息来结束会话，结束消息的消息体部分携带了加密和签名的因特网组管理协议/组播接收者发现协议离开消息，组播控制服务器生成新的组密钥，并通告给组中其它成员和核心网边界安全组播路由器，若组播组由活跃状态转为非活跃状态，则路由器停止转发组播流。

3.根据权利要求1所述的基于会话初始化协议的安全组播方法，其特征在于所述的因特网组管理协议/组播接收者发现协议适配器使用的方法为：在MSSIP系统中，组播接收者通过向组播控制服务器发送SIP请求加入组播组而不是直接向路由器发送因特网组管理协议/组播接收者发现协议报文，但因特网组管理协议/组播接收者发现协议对于组播路由器的操作是至关重要的，组播路由器需要通过因特网组管理协议/组播接收者发现协议了解其直接连接的子网上是否有组播组处于活动状态；为了避免过多地改动组播路由器的操作，MSSIP引入了因特网组管理协议/组播接收者发现协议适配器模块，其流程如下：

1)组播控制服务器保存有区域中所有安全组播路由器的接口地址信息，当收到用户加入/离开组请求时，组播控制服务器判断是否组状态发生变化，即组从非活跃状态变为活跃状态，或从活跃状态变为非活跃状态；若组状态发生了变化，则组播控制服务器将变化信息通告给离用户最近一跳的安全组播路由器上的因特网组管理协议/组播接收者发现协议适配器模块；

2)因特网组管理协议/组播接收者发现协议适配器模块接收组播控制服务器发来的组关系信息并在本地维护一个活动组地址列表，当从组播控制服务器了解到活动组有变化时，因特网组管理协议/组播接收者发现协议适配器模块主动产生因特网组管理协议/组播接收者发现协议报告报文发给所在的路由器；当路由器组播路由系统向子网发送因特网组管理协议/组播接收者发现协议组播侦听查询报文时，该模块截获查询报文，并根据活动组地址列表代为产生一个因特网组管理协议/组播接收者发现协议组播侦听报告报文给组播路由系统，安全组播路由器上的防火墙阻塞从网络接口接收到的因特网组管理协议/组播接收者发现协议报文；

3)组播控制服务器上不仅保存有活动组的信息，还有组的详细成员列表，但只有当活动组发生变化时才需要向因特网组管理协议/组播接收者发现协议适配器模块通告；当收到加入组请求时，组播控制服务器查询本地数据库，若组是活动的，说明路由器已经开始向接入网转发该组的组播数据流了，则路由器上的组关系不必改变，只需要通告新的组密钥即可；若组不存在，则在本地数据库中添加组关系和成员列表，并向路由器通告组信息和组密钥；当收到离开组请求时，组播控制服务器查询本地数据库，若是该组的最后一台主机，则向路由器通告组信息，并删除本地该组的所有信息；否则组播控制服务器只把该成员从本地数据库该组中删除，并只向路由器通告新的组密钥，这时路由器上的组信息没有变化；

4)安全组播路由器：因特网组管理协议/组播接收者发现协议适配器模块接收组播控制服务器发来的组关系信息并在本地维护一个活动组地址列表；MSSIP为每个区域配置了一台组播控制服务器，负责该区域的组播业务安全控制；通常情况下区域内都不止一台路由器，只在核心网的边界路由器上进行访问控制和加密是不够的，为此MSSIP定义了两种安全组播路由器角色：连接核心网和某区域的组播边界路由器，以及只在区域内有接口并且有主机直接连接的组播区域路由器；组播控制服务器需要与本区域所有这些组播边界路由器和组播区域路由器建立网络安全连接，并在本地保存它们的相关信息；主机加入组播组不是通过直接发送因特网组管理协议/组播接收者发现协议报文，而是向组播控制服务器发送访问请求，因此组播边界路由器和组播区域路由器就需要某种途径获得其直连子网上的组关系；这是通过在其上部署因特网组管理协议/组播接收者发现协议适配器模块实现的：当主机加入某组播组的请求获得组播控制服务器认可后，组播控制服务器通过检查主机发出请求的网络地址以及保存在组播控制服务器上的路由器信息，可以确定主机所接入的路由器以及连接的接口；通过网络安全通道，组播控制服务器指示该路由器上的因特网组管理协议/组播接收者发现协议适配器模块向路由器的组播路由系统发送因特网组管理协议/组播接收者发现协议组播侦听报告报文，向路由器报告有新组转为活动状态，则该路由器通过组播路由协议加入组播分布树，开始转发组播流。

Images