CN101114900A - 一种组播业务认证方法及其装置、系统 - Google Patents
一种组播业务认证方法及其装置、系统 Download PDFInfo
- Publication number
- CN101114900A CN101114900A CNA2006100294250A CN200610029425A CN101114900A CN 101114900 A CN101114900 A CN 101114900A CN A2006100294250 A CNA2006100294250 A CN A2006100294250A CN 200610029425 A CN200610029425 A CN 200610029425A CN 101114900 A CN101114900 A CN 101114900A
- Authority
- CN
- China
- Prior art keywords
- access token
- authentication
- user terminal
- multicast service
- multicast
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种组播业务认证方法及其系统,该通信网络系统包括用户终端、网络接入设备、认证服务器,组播业务认证方法包括步骤:a)认证服务器将用户终端组播业务权限封装成访问令牌返回给用户终端;b)用户终端在向网络接入设备进行组播业务请求时提供所述访问令牌;c)网络接入设备根据所述访问令牌对组播业务请求进行鉴权并决定是否响应组播业务请求。基于本发明,实现了组播权限由认证服务器集中进行管理维护,简化了网络接入设备对组播业务管理的配置和组播业务请求响应速度。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种组播业务认证方法及其装置、系统。
背景技术
作为一种与单播和广播并列的通信方式,组播技术有效地解决了单点发送多点接收的问题,能够大量节约网络带宽,降低网络负担。更重要的是,可以利用网络的组播特性方便地提供一些新的增值业务,例如在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等。
在标准的组播协议中,没有定义用户认证机制,对于组播使用者,可以加入任何其知道组地址的组播组而无需任何认证。由此带来很多的负面作用,例如:如果不能对组播用户身份合法性进行认证,无效的组播流量可能占用大量带宽,造成网络链路的拥塞和设备的转发性能下降,甚至影响单播数据的正常转发。
对于需要付费的和有安全要求的组播应用,显然需要相应的组播业务认证方法,在目前的网络中,对用户的组播业务权限认证一般通过以下方式来实现:组播业务权限在用户开通相关组播业务(例如IPTV)的时候由网络管理系统配置到网络接入设备中,例如IPDSLAM(IP数字用户线接入复用器)、或LANSWITCH(局域网交换机)等,网络接入设备再根据用户端设备的组播业务请求消息(例如因特网组管理协议IGMP加入消息)中提供的用户身份信息,对照所配置的组播业务权限来实现组播流的转发。
但是,上述组播业务认证方式存在如下缺陷:1)、组播权限配置、管理比较分散;2)、组播业务请求响应速度问题:网络接入设备由于保存了大量的用户组播业务权限信息,根据每个用户的组播业务请求分析其对应的权限,对设备内存、处理速度要求高,也影响组播请求响应速度;3)、网络接入设备只能以端口为单位进行组播权限的控制:当网络接入设备一个端口下的任意一个用户终端通过接入认证之后,从该端口下的其它用户终端也可以发起组播业务加入请求、并导致对应组播流的下发。
发明内容
本发明的思想是将由认证服务器将组播权限封装成访问令牌并下发给用户终端,用户终端在上行的组播业务请求消息中包含该访问令牌,网络接入设备在接收到该请求消息时从访问令牌中提取用户组播权限,以确定是否对用户组播业务请求进行响应。
根据本发明的第一个方面,一种通信网络系统中组播业务认证方法,所述通信网络系统包括用户终端、网络接入设备、认证服务器,所述组播业务认证方法包括步骤:a)、认证服务器将用户终端组播业务权限封装成访问令牌返回给用户终端;b)、用户终端在向网络接入设备进行组播业务请求时提供所述访问令牌;c)、网络接入设备根据所述访问令牌对组播业务请求进行鉴权并决定是否响应组播业务请求。
优选地,本发明方法步骤a)中,认证服务器进一步对访问令牌进行加密处理后返回给用户终端,步骤c)网络接入设备提取访问令牌并进一步进行解密验证处理。
上述验证处理包括如下步骤:c1)、网络接入设备向认证服务器请求对访问令牌进行解密验证;c2)、认证服务器向网络接入设备返回验证结果。
优选地,本发明方法步骤a)中,认证服务器进一步将用户终端信息封装在所述访问令牌,步骤c)网络接入设备进一步将发起组播业务请求的用户终端信息与访问令牌中用户终端信息对比,以决定是否响应组播业务请求。
优选地,本发明方法步骤a)中,认证服务器可以在该用户终端进行接入认证时,将所述访问令牌返回给该用户终端。
上述接入认证为DHCP认证方式,认证服务器将访问令牌封装在DHCP协议厂商定义选项返回该用户终端。
上述接入认证也可以为802.1x认证方式,认证服务器将访问令牌封装在EAPOL-Key消息中返回该用户终端。
优选地,本发明方法步骤b)中,用户终端组播业务请求为IGMP加入或IGMP离开消息。
优选地,本发明方法步骤c)中,网络接入设备在访问令牌验证成功后,为所述用户终端复制被请求的组播数据流或进一步删除组播业务请求所包含的访问令牌向网络侧转发该请求。
根据本发明的第二个方面,一种用于组播业务的用户终端设备,包括:一个认证请求装置,用于发起认证请求、获取表示该终端设备组播业务权限的访问令牌;一个组播业务请求装置,在其生成的组播业务请求消息中提供所述访问令牌。
优选地,上述组播业务请求消息为IGMP加入消息或IGMP离开消息。
根据本发明的第三个方面,一种认证服务器,包括:认证处理装置:对用户认证请求消息进行认证、并在认证成功后进一步将该用户的组播权限封装成为访问令牌包含在认证响应消息中;
优选地,认证处理装置进一步将请求认证的用户终端信息封装入访问令牌。
优选地,认证服务器还进一步包括一加密装置,用于对访问令牌进行加密处理。
上述认证服务器还可以进一步包括一解密装置,对认证处理装置接收来自网络接入设备的访问令牌验证请求消息的访问令牌进行解密处理。
根据本发明的第四个方面,一种网络接入设备,根据与其所连接的用户终端的组播业务请求提供相应的组播业务数据流,它包括:一个组播请求处理装置:提取所述组播业务请求中的表示所述用户终端组播业务权限的访问令牌,并根据所述访问令牌对所请求的组播组进行鉴权;一个组播响应装置:根据所述组播请求处理装置的鉴权结果决定是否响应所述组播业务请求。
优选地,网络接入设备进一步包括一解密装置,用于对组播请求处理装置所提取的访问令牌进行解密处理。
优选地,网络接入设备进一步包括一远程认证客户端,用于向其远程认证服务器请求验证访问令牌并返回验证结果。
优选地,本发明网络接入设备组播请求处理装置进一步删除所述组播业务请求消息中访问令牌并向上一级网络设备转发。
本发明所带来的有益效果:
首先,实现了组播权限由认证服务器集中进行管理维护,认证服务器可以在用户网络终端进行接入认证时,将其组播权限封装在访问令牌中返回给用户终端。
其次,对网络接入设备而言,本发明简化了其组播业务管理的配置,由于表示用户组播权限的访问令牌被直接封装在用户组播业务请求消息中,因此在网络接入设备本地不需要再配置、保存用户组播权限;网络接入设备只对携带有效访问令牌的用户网络终端设备组播业务请求进行鉴权处理、对组播业务请求响应速度将获得大大改善。
此外,通过构建不同的访问令牌结构方式,组播业务控制可以做到更加灵活,网络接入设备可进一步根据访问令牌中携带的用户终端信息等验证组播请求消息中的访问令牌的合法性,不再只以端口为单位进行组播权限的控制。
附图说明
图1是一种典型的通信系统网络结构示意图;
图2是本发明通信系统中组播业务认证流程示意图;
图3是本发明提供的访问令牌结构形式;
图4A是一种基于DHCP认证方式下的访问令牌返回方式;
图4B是一种基于802.1x认证方式下的访问令牌返回方式;
图5A是访问令牌在IGMP第一版协议消息中的封装格式;
图5B是访问令牌在IGMP第二版协议消息中的封装格式;
图6是本发明用户终端功能结构示意图;
图7是本发明认证服务器功能结构示意图;
图8是本发明网络接入设备功能结构示意图。
具体实施方式
下面结合附图,对本发明的优选实施方式进行详细的说明。
图1是一种典型的通信系统网络结构示意图,该系统至少包括网络接入设备11、与之相连的若干用户终端12、以及一认证服务器13。
用户终端12,典型地例如电视机顶盒、计算机、移动手机等,以有线或无线方式与网络接入设备11相连,用户终端使用组成员关系协议,例如IPV4环境下典型的IGMP(因特网组管理协议)协议、IPV6环境下典型的MLD(组播监听发现)协议等,来告诉图例中本地组播路由器14,希望加入并接收某个特定组播组数据流,后面的实施例说明将以IGMP协议为例进行说明。
网络接入设备11,典型地例如DSLAM、LAN SWITCH等之类的网络接入设备,位于组播路由器14与用户终端12之间,它将网络侧组播路由器下行的视频数据流复制给多个用户终端。它可以通过实现IGMP/MLD Proxy(IGMP/MLD代理)等组播协议功能,对其所连接的用户终端设备的组播请求进行处理、并根据处理结果对组播请求进行响应:当用户终端所请求的某组播业务数据流已经存在,网络接入设备将该组播组数据流被复制给该用户;否则网络接入设备会向其网络侧转发该组播业务请求。
认证服务器13,作为网络运营商对数据、用户进行控制和管理的重要设备,它集中保存了用户信息、权限配置(包括单播、组播权限)、并提供多种接入认证协议方式,例如支持DHCP(动态主机配置协议)、802.1x、WEB/PORTAL(门户站点)、等多种用户接入认证方式。
下面我们进一步结合图2揭示本发明通信系统中组播业务认证流程:
步骤S20,用户终端12在向网络接入设备11请求组播业务之前需要从认证服务器13取得用于表示组播权限的访问令牌。
首先,结合图3对访问令牌格式做进一步说明,访问令牌可以简单地由用户组播权限30来表示,最简单的方式,它包括图例中组播权限300,它可以是该用户终端所具有组播权限的组播组地址集合。
前述用户组播权限30中可以进一步包含一端口信息301选项,用于表示该用户终端所对应在网络接入设备上的接入端口信息,网络接入设备可根据访问令牌中的端口信息与实际接收的组播请求消息的端口对比判断组播请求消息是否合法。
前述用户组播权限30中进一步可以包含一用户终端信息302选项,例如用户终端的MAC地址,网络接入设备可根据访问令牌中的用户终端的MAC地址与实际接收到的组播请求消息的用户终端的MAC地址进行对比,以判断组播请求消息是否合法。这里,使用MAC地址标识用户终端,即使在网络接入设备和用户终端之间存在NAT(网络地址翻译)装置,它也能唯一地标识该用户终端为该访问令牌的合法拥有者。
前述用户组播权限30中进一步包括一UserID 303选项,用于表示用户身份信息,以方便组播业务提供设备进行计费、管理等。
另外,为访问令牌安全性、防止用户端对访问令牌的修改,可进一步利用加密技术对前述用户组播权限30进行加密处理,典型的安全性加密技术如基于SHA、MD5的HAMC(基于散列函数的消息认证码)等,这里我们以HAMC加密算法为例:它可以由应用服务提供商(ASP)根据自己的授权密钥,按照以下方式计算出来一个HAMC验证码31、并与前述用户组播权限30一起构成访问令牌:
HAMC验证码=[MD5(ASP授权密钥‖用户组播权限‖ASP授权密钥)]64
其中,[….]64表示取MD5消息摘要的128比特中的前64比特,‖表示字符串连接。
基于前述令牌安全性考虑,不同ASP可能使用不同的授权密钥对组播业务权限进行加密处理,本发明建议访问令牌中进一步包括一个ASPID 32选项,用于标记应用服务提供商身份,获得该访问令牌的网络接入设备可以基于该ASPID选项选择相应的解密方式进行解密处理。
接下来,我们对本发明访问令牌返回方式进行说明:
一种优选的实施方式,认证服务器13可以选择在该用户终端11进行单播接入认证请求时,将该用户终端的访问令牌返回给该用户终端11。基于用户终端的接入认证方式不同、访问令牌的返回方式需具体考虑:
1)、在用户终端11使用动态主机配置协议(DHCP)进行单播认证的情形下,假设网络接入设备12集成了DHCP Server功能,下面结合图4A揭示访问令牌的返回过程作简单说明:步骤S201、用户终端11向网络接入设备12发送DHCP请求,请示中包含用户名和密码;步骤S202、网络接入设备12向认证服务器13进行用户认证请求。步骤S203、认证服务器13通过用户认证,返回认证成功信息和本发明定义的访问令牌给网络接入设备12;这里为简明起见,对中间步骤不再累述,其详细认证规范可参考互联网工程任务组(IETF)制定的请求评论RFC2131“动态主机配置协议”和RFC2865“拨号接入服务远程认证协议”,最后,步骤S209、完成DHCP和认证过程,用户终端11获得合法的IP地址和访问令牌,访问令牌将通过DHCP ACK消息中的Vendor-Specific-Option(厂商定义选项)发放到用户终端。
2)、在用户终端11使用802.1x协议进行单播认证的情形下,这里,网络接入设备12实现802.1x的认证系统部分,802.1x的客户端一般安装在用户终端中,802.1x的认证服务器系统一般驻留在认证服务器13,网络接入设备通过不受控端口与用户终端进行通信,二者之间运行EAPoL(基于局域网的扩展验证协议)协议,而网络接入设备与认证服务器之间运行Radius协议及其扩展,详细可参考RFC 2865“RADIUS”和RFC2869“RADIUS扩展”。下面结合图4B揭示访问令牌的返回过程作简单说明:步骤S301,用户终端11向网络接入设备12发送一个EAPoL-Start报文,开始802.1x认证接入;步骤S302,网络接入设备12向用户终端11发送EAP-Request/Identity报文,要求用户终端11将用户名送上来;步骤S303,用户终端11回应一个EAP-Response/Identity给网络接入设备12的请求,其中包括用户名;步骤S304,网络接入设备12将用户名封装到Access-Request报文中,发送给认证服务器13;这里为简明起见,对中间步骤不再累述,其详细认证规范可参考IEEE 802.1X“基于端口的访问控制”;步骤S309,如果认证服务器13根据该用户终端提供的信息认证成功,它生成Access-Accept报文中,发送给网络接入设备12,该报文携带协商参数、用户的相关业务属性、及本发明定义的访问令牌;步骤S310,网络接入设备12向用户终端11发送认证成功消息;步骤S311,网络接入设备12可以将访问令牌通过EAPOL-Key(密钥信息帧)消息发放到用户终端11。
3)、在用户终端11使用WEB/PORTAL认证方式进行单播认证的情形下,访问令牌可采用HTTP Cookie的方式发放到用户终端11。
上面结合用户终端在进行接入认证时,访问令牌通过相关接入认证协议方式返回给用户终端,当然,用户终端11也可以采用其他合适时机、方式向认证服务器13请求访问令牌。
接下来,本发明方法步骤S21,用户终端11在向网络接入设备12请求组播业务时提供所获得的访问令牌。
用户终端11可以通过IGMP组成员报告消息对组播业务进行相关请求,IGMP协议消息通过IP数据包进行传输,以IP数据包首部中协议字段值为2来指明。下面结合图例5A、5B进一步说明本发明访问令牌在IGMP协议消息中的封装:
图5A是访问令牌在IGMP第一版协议消息中的封装格式,IGMP第一版中定义了基本的组成员查询和报告过程,图例中,版本号51字段为1指示IGMP协议版本号,类型52字段为2说明是用户终端发出的报告报文,校验和53字段用于信息差错校验,组播组地址54指示该报告报文中用户终端要参加的32位组地址,其详细细节可参考互联网工程任务组(IETF)制定的请求评论RFC1112,根据本发明思想,该报告消息进一步包含访问令牌55。
图5B是访问令牌在IGMP第二版协议消息中的封装格式;IGMP第二版在原基础上添加了组成员快速离开的机制,当要加入组播组时,用户终端不必等待查询消息,主动发送报告消息;当要离开组播组时,主机发送离开组消息,图例中,类型51’字段指示协议消息,最大响应时间52’一般只用于组成员查询消息,校验和53’字段用于信息差错校验,组播组地址54’指示该报告报文中用户终端要加入或离开的32位组地址,其详细细节可参考IETF制定的RFC2236,根据本发明思想,该报告消息进一步包含访问令牌55’。
尽管前述以IGMP第一版、第二版协议为例示意了其在组播业务请求时候携带访问令牌,但本发明同样适用于其他组成员关系协议,这里不再一一累述。
接下来,本发明方法步骤S22,网络接入设备12根据所述访问令牌对组播业务请求进行鉴权并决定是否响应组播业务请求。
当访问令牌为未经加密处理,网络接入设备12接收到来自用户终端11的组播请求消息,根据其承载的访问令牌中的组播业务权限信息并与所请求的组播组比较鉴权。
基于前述访问令牌结构之一,当访问令牌中进一步包含有相关用户终端信息302,例如用户终端的MAC地址,网络接入设备12可以根据访问令牌中的携带的用户终端MAC地址与IGMP报告消息中的以太网源MAC地址进行比较以进一步验证该组播业务请求消息的合法性。
基于前述访问令牌结构之一,当访问令牌中进一步包含有端口信息301,网络接入设备12可以根据所述端口信息与实际接收该IGMP报告消息的端口进行比较以进一步验证该组播业务请求消息的合法性。
基于前述访问令牌结构之一,当访问令牌是经过加密处理,对应前述HAMC加密算法,在图1所示意网络配置下,认证服务器13产生访问令牌的加密密钥可以预先配置到网络接入设备11中,由网络接入设备11完成对访问令牌的解密处理以验证其有效性。或者,如图例中步骤S22A、S22B所示意,网络接入设备11也可以通过RADIUS协议远程访问认证服务器13请求对访问令牌进行解密处理以验证其有效性,在该种网络配置下,认证服务器13产生访问令牌的HAMC密钥不需要配置到DSLAM中,DSLAM中仅仅需要具备远程认证客户端以完成对认证服务器13的远程访问。
前述经过加密处理的访问令牌,基于访问令牌中的ASPID选项,网络接入设备11或认证服务器13可以选择相应解密方式对访问令牌进行处理。
通过前述鉴权处理结果、以及进一步结合访问令牌中携带的其他信息对组播业务请求消息的合法性验证,如果上述鉴权、验证成功,网络接入设备12对组播业务请求进行如下响应:如果对应的组播组数据流已经存在,该组播组数据流被复制给该用户(步骤S23B);或网络接入设备12进一步向其网络侧转发该组播业务请求(步骤S23A),值得说明的是,网络接入设备12在选择向网络侧转发组播业务请求消息之前,可以从该消息中删除访问令牌,如果网络侧有需要标识用户信息,也可以在向网络侧转发IGMP消息的时候不删除访问令牌。如果鉴权、或验证失败,网络接入设备12拒绝来自用户终端11的组播业务请求。
下面,我们进一步结合图6、7、8对本发明思想下的用户终端、认证服务器、网络接入设备做进一步说明:
图6是本发明用户终端功能结构示意图,该用户终端会包含一个认证请求装置111,典型的例如PC上的用户拨号程序,它通过用户名称、密码等方式请求网络接入认证。
根据本发明思想,用户终端在执行网络接入认证时,根据所采用的不同认证方式,它可以在认证通过后从认证服务器获得一个表示其组播访问权限的访问令牌。
以DHCP认证方式为例,它可以在认证通过后通过DHCP ACK消息中的Vendor-Specific-Option(厂商定义选项)获得。
以802.1x认证方式为例,访问令牌可以通过认证系统返回的EAPOL-Key(密钥信息帧)消息中获得。
无论哪种认证方式,我们首先需要在用户终端与认证服务器、以及可能的其它涉及认证的设备之间进行约定从而知道在什么消息中获得访问令牌。
该用户终端还包括一组播业务请求装置112,典型的如PC中的组播应用程序,可以通过IGMP组成员报告消息对组播业务进行相关请求,本发明中,我们对IGMP协议消息做一定的扩充,在其组播业务消息中携带前述认证请求装置111所获得的访问令牌,前面已有说明。
图7所示认证服务器,作为网络运营商对数据、用户进行控制和管理的重要设备,它包括一个数据库单元131集中保存了用户信息、权限配置(包括单播、组播权限)、并通过网络接口装置130提供多种用户接入认证协议方式,例如支持DHCP、802.1x、WEB/PORTAL、等多种用户接入认证方式;以及提供Radius协议接口支持远程认证客户端的访问请求。认证处理装置132基于上述认证、访问请求中提供的参数信息,与数据库131中的用户信息、权限信息进行对比,返回相关认证、访问结果。
本发明中,认证处理装置132在接收到来自用户终端的认证请求消息时,它在认证成功后进一步将表示该用户终端的组播权限封装成为访问令牌包含在返回的认证响应消息中,基于用户终端的接入认证方式不同、访问令牌的返回方式需具体考虑,前面已有说明。
对于访问令牌的格式,前面也有详细说明,如前所述的一种访问令牌的结构形式,为增强访问令牌的安全性,认证服务器还可以进一步包含一个加/解密装置133,它可以对认证处理装置132产生的访问令牌进一步进行加密处理(值得说明的是,在保证认证服务器和网络接入设备之间的网络安全性的前提下,上述访问令牌的加密也可以在网络接入设备上实现,即在认证服务器完成用户接入认证后,网络接入设备对其返回的访问令牌进一步进行加密处理后再转发给用户终端,此处不再赘述)。针对不同ASP可能使用不同的加密方式对访问令牌进行加密处理,本发明建议访问令牌中进一步包括ASPID 301,用于标记应用服务提供商身份,获得该令牌的网络接入设备可以基于该ASPID选择相应的解密处理方式以验证其有效性。
加/解密装置133也可以进一步对来自网络接入设备12的访问令牌验证请求进行解密以验证访问令牌的有效性,验证结果可通过网络接口装置130返回给网络接入设备由其执行相关鉴权、以及进一步结合访问令牌中携带的其他信息对组播业务请求消息的合法性验证。
结合图8是本发明网络接入设备结构示意图,它包括组播请求处理装置121、通过实现IGMP/MLD Proxy等组播协议功能,对其所连接的用户终端设备的组播请求进行处理;这里,来自用户侧的用户终端设备发出的组播请求消息中携带有表示组播权限的访问令牌。
当访问令牌为未经加密处理,组播请求处理装置121接收到来自用户终端的组播请求消息,根据其承载的访问令牌中的组播业务权限信息并与所请求的组播组比较鉴权。
基于前述访问令牌结构实施例之一,当访问令牌中进一步包含有相关用户终端信息,例如MAC地址,组播请求处理装置121可以根据访问令牌中的携带的MAC地址与包含在IGMP报文中的以太帧源MAC地址进行比较以进一步验证组播业务请求消息的合法性。
基于前述访问令牌结构实施例之一,当访问令牌中进一步包含有端口信息,组播请求处理装置121可以根据访问令牌中的携带的端口信息与接收该IGMP请求报文的端口进行比较以进一步验证组播业务请求消息的合法性。
基于前述访问令牌结构实施例之一,当访问令牌是经过加密处理,对应前述HAMC加密算法,在图1所示意网络配置下,认证服务器13产生访问令牌的加密密钥可以预先配置到DSLAM中的解密装置122中,组播请求处理装置121根据解密装置122来进行解密处理确认访问令牌的有效性,再根据访问令牌完成上述鉴权、以及进一步验证组播业务请求消息的合法性。或者,网络接入设备11也可以通过远程认证客户端123以RADIUS协议远程访问认证服务器13请求验证访问令牌有效性。
前述经过加密处理的访问令牌,基于访问令牌中的ASPID选项,网络接入设备或认证服务器13可以选择相应解密处理方式对访问令牌进行解密处理。
网络接入设备还包括组播响应装置124,根据前述组播请求处理装置121鉴权处理结果、以及进一步结合访问令牌中携带的其他信息对组播业务请求消息合法性验证,如果鉴权、验证成功,对应的组播组数据流已经存在,组播响应装置124将该组播组数据流被复制给该用户终端,如果鉴权、或验证失败,网络接入设备12拒绝来自用户终端11的组播业务请求。
尽管上述说明为本发明提供了一些实施例,并非用来限定本发明的保护范围,本技术领域的专业人员可以在不脱离本发明的范围和精神的前提下,对实施例进行各种修改,这种修改均属于本发明的范围内。
Claims (19)
1.一种通信网络系统中组播业务认证方法,所述通信网络系统包括用户终端、网络接入设备、认证服务器,所述组播业务认证方法包括步骤:
a)、认证服务器将用户终端组播业务权限封装成访问令牌返回给用户终端;
b)、用户终端在向网络接入设备进行组播业务请求时提供所述访问令牌;
c)、网络接入设备根据所提供的访问令牌对组播业务请求进行鉴权并决定是否响应组播业务请求。
2.如权利要求1所述的方法,其特征在于所述步骤a)中,认证服务器进一步对访问令牌进行加密处理后返回给用户终端,步骤c)网络接入设备提取访问令牌并进一步进行解密验证处理。
3.如权利要求2所述的方法,其特征在于所述验证处理包括如下步骤:
c1)、网络接入设备向认证服务器请求对访问令牌进行解密验证;
c2)、认证服务器向网络接入设备返回验证结果。
4.如权利要求1所述的方法,其特征在于所述步骤a)中,认证服务器进一步将用户终端信息封装在所述访问令牌,步骤c)网络接入设备进一步将发起组播业务请求的用户终端信息与访问令牌中用户终端信息对比,以决定是否响应组播业务请求。
5.如权利要求1或2所述的方法,其特征在于所述步骤a)中,认证服务器可以在该用户终端进行接入认证时,将所述访问令牌返回给该用户终端。
6.如权利要求3所述的方法,其特征在于所述接入认证为动态主机配置协议(DHCP)认证方式,认证服务器将访问令牌封装在DHCP协议厂商定义选项返回该用户终端。
7.如权利要求3所述的方法,其特征在于所述接入认证为802.1x认证方式,认证服务器将访问令牌封装在密钥信息帧(EAPOL-Key)消息中返回该用户终端。
8.如权利要求1所述的方法,其特征在于所述步骤b)中,用户终端组播业务请求为因特网组管理协议(IGMP)加入或IGMP离开消息。
9.如权利要求1所述的方法,其特征在于所述步骤c)中,网络接入设备在访问令牌验证成功后,为所述用户终端复制被请求的组播数据流或进一步删除组播业务请求所包含的访问令牌向网络侧转发该请求。
10.一种用于组播业务的用户终端设备,包括:
一个认证请求装置,用于发起认证请求、获取表示该终端设备组播业务权限的访问令牌;
一个组播业务请求装置,在其生成的组播业务请求消息中提供所述访问令牌。
11.如权利要求10所述的网络终端设备,其特征在于所述组播业务请求消息为IGMP加入消息或IGMP离开消息。
12.一种认证服务器,包括:
认证处理装置:对用户认证请求消息进行认证、并在认证成功后进一步将该用户的组播权限封装成为访问令牌包含在认证响应消息中。
13.如权利要求12所述的认证服务器,其特征在于所述认证处理装置进一步将请求认证的用户终端信息封装入访问令牌。
14.如权利要求12或13所述的认证服务器,其特征在于其进一步包括一加密装置,用于对访问令牌进行加密处理。
15.如权利要求14所述的认证服务器,其特征在于其进一步包括一解密装置,对认证处理装置接收来自网络接入设备的访问令牌验证请求消息的访问令牌进行解密处理。
16.一种网络接入设备,根据与其所连接的用户终端的组播业务请求提供相应的组播业务数据流,其特征在于它包括:
一个组播请求处理装置:提取所述组播业务请求中的表示所述用户终端组播业务权限的访问令牌,并根据所述访问令牌对所请求的组播组进行鉴权;
一个组播响应装置:根据所述组播请求处理装置的鉴权结果决定是否响应所述组播业务请求。
17.如权利要求16所述的网络接入设备,其特征在于其进一步包括一解密装置,用于对组播请求处理装置所提取的访问令牌进行解密处理。
18.如权利要求16所述的网络接入设备,其特征在于进一步包括一远程认证客户端,用于向其远程认证服务器请求验证访问令牌并返回验证结果。
19.如权利要求16至18所述的网络接入设备,其特征在于所述组播请求处理装置进一步删除所述组播业务请求消息中访问令牌并向上一级网络设备转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100294250A CN101114900A (zh) | 2006-07-27 | 2006-07-27 | 一种组播业务认证方法及其装置、系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100294250A CN101114900A (zh) | 2006-07-27 | 2006-07-27 | 一种组播业务认证方法及其装置、系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101114900A true CN101114900A (zh) | 2008-01-30 |
Family
ID=39023041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100294250A Pending CN101114900A (zh) | 2006-07-27 | 2006-07-27 | 一种组播业务认证方法及其装置、系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101114900A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795279A (zh) * | 2010-01-25 | 2010-08-04 | 青岛海信电器股份有限公司 | 网络电视机的管理方法和系统及网络电视机 |
| CN101917280A (zh) * | 2010-08-19 | 2010-12-15 | 中兴通讯股份有限公司 | 一种集团用户使用组播业务的认证及计费方法和系统 |
| CN101998405A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| CN102045176A (zh) * | 2009-10-12 | 2011-05-04 | 杭州华三通信技术有限公司 | 一种组播计费的方法和系统 |
| CN101707522B (zh) * | 2009-09-29 | 2012-02-22 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
| CN101610254B (zh) * | 2009-06-23 | 2012-07-04 | 杭州华三通信技术有限公司 | 组播用户权限控制方法、组播认证服务器和接入设备 |
| CN102571693A (zh) * | 2010-12-07 | 2012-07-11 | 中国移动通信集团公司 | 能力安全调用方法、装置及系统 |
| CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
| CN103095585A (zh) * | 2011-11-02 | 2013-05-08 | 中兴通讯股份有限公司 | 一种IPv4和IPv6之间组播控制流信息互通的方法和系统 |
| CN103685267A (zh) * | 2013-12-10 | 2014-03-26 | 小米科技有限责任公司 | 数据访问方法及装置 |
| CN103686724A (zh) * | 2012-09-25 | 2014-03-26 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
| WO2014173361A1 (zh) * | 2013-07-31 | 2014-10-30 | 中兴通讯股份有限公司 | 一种对智能家居终端进行鉴权的方法及相应装置 |
| CN105187389A (zh) * | 2015-08-07 | 2015-12-23 | 北京思特奇信息技术股份有限公司 | 一种基于数字混淆加密的网页访问方法及系统 |
| CN105591928A (zh) * | 2015-09-15 | 2016-05-18 | 中国银联股份有限公司 | 用于云平台网络的安全控制方法 |
| CN105657474A (zh) * | 2016-02-19 | 2016-06-08 | 微鲸科技有限公司 | 在视频应用中使用基于身份签名体制的防盗链方法及系统 |
| CN106411567A (zh) * | 2016-08-30 | 2017-02-15 | 福建星网视易信息系统有限公司 | 一种服务器自动控制可负载客户端数量的方法及装置 |
| CN110087105A (zh) * | 2018-01-25 | 2019-08-02 | 华为技术有限公司 | 一种iptv组播转单播的切换方法及装置 |
| CN110912578A (zh) * | 2019-11-28 | 2020-03-24 | 耒阳市旗心电子科技有限公司 | 一种便携式通信设备的通讯方法 |
| CN111131911A (zh) * | 2019-12-26 | 2020-05-08 | 视联动力信息技术股份有限公司 | 一种组播方法和装置 |
| CN114095263A (zh) * | 2021-11-24 | 2022-02-25 | 上海派拉软件股份有限公司 | 一种通信方法、装置及系统 |
| CN114785553A (zh) * | 2022-03-25 | 2022-07-22 | 中国建设银行股份有限公司 | 权限认证方法、装置、计算机设备和存储介质 |
| WO2023148807A1 (ja) * | 2022-02-01 | 2023-08-10 | 三菱電機株式会社 | 通信機器、通信システム、通信方法及びプログラム |
-
2006
- 2006-07-27 CN CNA2006100294250A patent/CN101114900A/zh active Pending
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610254B (zh) * | 2009-06-23 | 2012-07-04 | 杭州华三通信技术有限公司 | 组播用户权限控制方法、组播认证服务器和接入设备 |
| CN101998405A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| CN101998405B (zh) * | 2009-08-31 | 2013-08-14 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| CN101707522B (zh) * | 2009-09-29 | 2012-02-22 | 北京星网锐捷网络技术有限公司 | 一种认证对接方法和系统 |
| CN102045176A (zh) * | 2009-10-12 | 2011-05-04 | 杭州华三通信技术有限公司 | 一种组播计费的方法和系统 |
| CN101795279A (zh) * | 2010-01-25 | 2010-08-04 | 青岛海信电器股份有限公司 | 网络电视机的管理方法和系统及网络电视机 |
| CN101917280A (zh) * | 2010-08-19 | 2010-12-15 | 中兴通讯股份有限公司 | 一种集团用户使用组播业务的认证及计费方法和系统 |
| CN102571693A (zh) * | 2010-12-07 | 2012-07-11 | 中国移动通信集团公司 | 能力安全调用方法、装置及系统 |
| CN102685086A (zh) * | 2011-04-14 | 2012-09-19 | 天脉聚源(北京)传媒科技有限公司 | 一种文件访问方法和系统 |
| CN103095585A (zh) * | 2011-11-02 | 2013-05-08 | 中兴通讯股份有限公司 | 一种IPv4和IPv6之间组播控制流信息互通的方法和系统 |
| CN103686724B (zh) * | 2012-09-25 | 2016-12-21 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
| CN103686724A (zh) * | 2012-09-25 | 2014-03-26 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
| WO2014173361A1 (zh) * | 2013-07-31 | 2014-10-30 | 中兴通讯股份有限公司 | 一种对智能家居终端进行鉴权的方法及相应装置 |
| CN103685267A (zh) * | 2013-12-10 | 2014-03-26 | 小米科技有限责任公司 | 数据访问方法及装置 |
| CN103685267B (zh) * | 2013-12-10 | 2017-04-12 | 小米科技有限责任公司 | 数据访问方法及装置 |
| CN105187389A (zh) * | 2015-08-07 | 2015-12-23 | 北京思特奇信息技术股份有限公司 | 一种基于数字混淆加密的网页访问方法及系统 |
| CN105187389B (zh) * | 2015-08-07 | 2019-01-04 | 北京思特奇信息技术股份有限公司 | 一种基于数字混淆加密的网页访问方法及系统 |
| CN105591928B (zh) * | 2015-09-15 | 2018-09-21 | 中国银联股份有限公司 | 用于云平台网络的安全控制方法 |
| CN105591928A (zh) * | 2015-09-15 | 2016-05-18 | 中国银联股份有限公司 | 用于云平台网络的安全控制方法 |
| CN105657474B (zh) * | 2016-02-19 | 2019-04-26 | 微鲸科技有限公司 | 在视频应用中使用基于身份签名体制的防盗链方法及系统 |
| CN105657474A (zh) * | 2016-02-19 | 2016-06-08 | 微鲸科技有限公司 | 在视频应用中使用基于身份签名体制的防盗链方法及系统 |
| CN106411567A (zh) * | 2016-08-30 | 2017-02-15 | 福建星网视易信息系统有限公司 | 一种服务器自动控制可负载客户端数量的方法及装置 |
| CN110087105A (zh) * | 2018-01-25 | 2019-08-02 | 华为技术有限公司 | 一种iptv组播转单播的切换方法及装置 |
| CN110087105B (zh) * | 2018-01-25 | 2020-12-25 | 华为技术有限公司 | 一种iptv组播转单播的切换方法及装置 |
| CN110912578A (zh) * | 2019-11-28 | 2020-03-24 | 耒阳市旗心电子科技有限公司 | 一种便携式通信设备的通讯方法 |
| CN111131911A (zh) * | 2019-12-26 | 2020-05-08 | 视联动力信息技术股份有限公司 | 一种组播方法和装置 |
| CN111131911B (zh) * | 2019-12-26 | 2022-11-08 | 视联动力信息技术股份有限公司 | 一种组播方法和装置 |
| CN114095263A (zh) * | 2021-11-24 | 2022-02-25 | 上海派拉软件股份有限公司 | 一种通信方法、装置及系统 |
| WO2023148807A1 (ja) * | 2022-02-01 | 2023-08-10 | 三菱電機株式会社 | 通信機器、通信システム、通信方法及びプログラム |
| JP7546796B2 (ja) | 2022-02-01 | 2024-09-06 | 三菱電機株式会社 | 通信機器、通信システム、通信方法及びプログラム |
| CN114785553A (zh) * | 2022-03-25 | 2022-07-22 | 中国建设银行股份有限公司 | 权限认证方法、装置、计算机设备和存储介质 |
| CN114785553B (zh) * | 2022-03-25 | 2024-04-30 | 中国建设银行股份有限公司 | 权限认证方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101114900A (zh) | 一种组播业务认证方法及其装置、系统 | |
| US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| JP3863852B2 (ja) | 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 | |
| US7298847B2 (en) | Secure key distribution protocol in AAA for mobile IP | |
| US8762707B2 (en) | Authorization, authentication and accounting protocols in multicast content distribution networks | |
| US9148421B2 (en) | Method and system for encryption of messages in land mobile radio systems | |
| Judge et al. | Gothic: A group access control architecture for secure multicast and anycast | |
| US7627755B2 (en) | Secure broadcast/multicast service | |
| JP4002380B2 (ja) | マルチキャストシステム、認証サーバ端末、マルチキャスト受信者端末管理方法、並びに記録媒体 | |
| US20040203783A1 (en) | Wireless network handoff key | |
| JP5364796B2 (ja) | 暗号情報送信端末 | |
| US6725276B1 (en) | Apparatus and method for authenticating messages transmitted across different multicast domains | |
| KR101253352B1 (ko) | 무선 분산 시스템의 단말 인증 방법 | |
| KR20070102722A (ko) | 통신 시스템에서 사용자 인증 및 권한 부여 | |
| CN111050322A (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
| KR20050004173A (ko) | 일군의 관련 스트리밍 프로토콜들을 위한 보안파라미터들의 관계 | |
| WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| CN101309157B (zh) | 一种组播业务管理方法及其装置 | |
| CN108769988A (zh) | 一种基于802.1x的证书认证安全机制的本地mesh无线网络 | |
| CN101232369B (zh) | 动态主机配置协议中密钥分发方法和系统 | |
| WO2011131002A1 (zh) | 身份管理方法及系统 | |
| JP4694240B2 (ja) | 暗号キー配信装置及びそのプログラム | |
| GB2423435A (en) | Access control for mobile multicast | |
| JP2006191429A (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
| Islam et al. | Multicast receiver access control using PANA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20080130 |