CN101120537A - 用于控制对组播ip流的访问的方法和系统 - Google Patents
用于控制对组播ip流的访问的方法和系统 Download PDFInfo
- Publication number
- CN101120537A CN101120537A CN200680004832.4A CN200680004832A CN101120537A CN 101120537 A CN101120537 A CN 101120537A CN 200680004832 A CN200680004832 A CN 200680004832A CN 101120537 A CN101120537 A CN 101120537A
- Authority
- CN
- China
- Prior art keywords
- multicast
- message
- gathering
- access
- filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000013475 authorization Methods 0.000 claims abstract description 81
- 238000001914 filtration Methods 0.000 claims description 49
- 230000008859 change Effects 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 18
- 230000006870 function Effects 0.000 claims description 15
- 238000012217 deletion Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 4
- 238000012795 verification Methods 0.000 abstract 2
- 230000037430 deletion Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 6
- 101150012579 ADSL gene Proteins 0.000 description 3
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 3
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000002950 deficient Effects 0.000 description 2
- 235000012364 Peperomia pellucida Nutrition 0.000 description 1
- 240000007711 Peperomia pellucida Species 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及控制对组播IP流的访问。在用户终端连接到收集装置(CE)之后,本方法包括:从所述收集装置(CE)向访问控制服务器(ACS)发送(2)访问授权请求消息(AAD);以及在成功验证(3)用户访问权利之后,从服务器(ACS)向收集装置(CE)发送包括至少一个组播过滤器的访问授权接受消息(AAA),或者在没有成功验证(3’)的情况下,从服务器(ACS)向收集装置(CE)发送(4’)访问拒绝消息(AAR),以禁止用户终端的连接。本发明适用于IP、因特网和/或公司网上的组播广播。
Description
本发明涉及电信领域,尤其涉及对组播IP流的访问的控制。
在组播IP广播技术中,使用被称为组播地址的特殊的接收IP地址对组播IP数据包进行传播。
组播流由其源地址S和其群地址G表征,因此每个组播流都可由唯一对(S,G)表示。因此,两个不同的组播流可具有相同的源地址S或相同的群地址G。
组播IP流的特殊特征在于,根据请求终端设备(例如音频-视频解码器)通过IP网络发送的请求,将支持组播IP流的数据发送到请求终端设备。
根据IGMP协议或MLD协议,请求接收或停止接收组播流,IGMP协议表示由因特网工程任务(IETF)组根据建议RFC 1112、RFC2236和RFC3376定义的因特网组管理协议(Internet Group ManagementProtocol),MLD协议表示根据建议RFC2710、RFC3810定义的组播侦听发现(Multicast Listener Discovery)。
接收到用于规定期望的广播源地址的接收请求消息(“成员报告”类型的消息)之后,能解释该请求消息的IP网络电信设备的第一项任务就是将相应的组播数据流发送到发出该请求消息的位置。
广播请求消息的组播流还可属于给定群G的一组源,这样组播流被指定为(*,G),并对应于由不同源发送到该群的流的总和。
在组播流广播和本申请的上下文中,收集装置表示处理用户的IGMP/MLD请求消息、从而向用户发送相应的组播数据流的网络装置。
目前,IGMP类型的组播广播请求消息传输协议没有定义任何机制对请求用户进行评估或授权,以请求联网组播流传输。
为此,在IETF中提出了尝试,建议修改上述请求消息,以将评估信息中继至评估/授权平台。成功的评估和授权允许收集装置考虑请求用户的请求消息。
上述最终搁置的提议存在以下问题:
-因为在网络接入设备和用户终端设备上附加了评估层,因而对现有组播流管理协议产生较大影响;
-需要使用用户发送的每个组播流请求消息访问授权平台,当例如在ADSL类型的高速线路中组播广播电视节目时,可感知地增加组播流接收时间。
还提出了另一种授权方法。根据该方法,为了确定用户对确定的组播流进行请求广播的权利,请求用户的终端从连接到IP网络的特定授权平台寻求授权。接收到授权请求之后,授权平台根据用户接收被请求的组播流的权利,返回对授权的接受或拒绝。接收到已接受的授权后,用户终端则向网络发送IGMP请求类型的组播广播请求消息,以接收相应的组播流。
这一方案具有以下缺陷:
-需要使用组播流中每个消息请求广播来访问授权平台,以及如上所述,当电视节目在ADSL类型的高速线路中组播广播时,可感知到地增加组播流的接收时间;
-在没有事先向授权平台请求权利的情况下,当修改用户终端以将IGMP类型的组播广播请求消息发送给IP网络时存在安全问题。
本发明的目的在于通过实现用于控制对组播IP流的访问的本地方法和系统克服现有技术中存在的全部缺陷。
特别地,通过在任何收集装置的层上开发用于接受或拒绝组播IP广播请求消息的具体的本地功能实现这一目的。
此外,本发明的另一个目的在于实现用于控制对组播IP流的访问的方法和装置。根据该方法和装置,不用改变IGMP或MLD组播IP广播请求消息传输协议,因此可保证本发明主题的方法和系统与现有的用户终端硬件之间的兼容性。
此外,本发明的另一个目的在于实现用于控制对组播IP流的访问的本地方法与系统,其中与负责接受或拒绝请求访问授权的授权实体的协议交换量显著减少。
本发明的主题是控制从连接到IP网络的组播IP流广播请求消息的收集装置到由用户终端请求的组播IP流的访问的方法,其中值得注意的是,将用户终端连接到收集装置之后,收集装置至少执行从该收集装置向连接到IP网络的访问控制服务器发送访问授权请求消息。访问控制服务器对用户终端的访问权利进行成功授权和/或识别和检验之后,包括从该访问控制服务器向收集装置发送包括至少一个组播过滤器的访问授权接受消息。否则,在访问控制服务器未能对用户终端的访问权利进行成功授权和/或识别和检验之后,从该访问控制服务器向收集装置发送访问授权拒绝消息,以禁止该用户终端的连接。
作为本发明主题的控制对组播IP流的访问的方法提供了在IP网络、本地公司网和/或因特网上广播组播流的控制和管理的应用、以及多媒体应用和/或服务的分布应用,该应用和/或服务例如通过上述组播IP流在ADSL类型的电视线上传送的多媒体应用。
在参照附图和下面的描述后,可以更好地理解本发明的方法以及实现该方法的装置:
图1示例性地示出了用于实现本发明的方法的基本步骤的时空图(spatio-temporal chat);
图2a示例性地示出了在为具体用户终端提议的访问授权改变阶段的、本发明的方法的不同实现;
图2b示例性地示出了在为具体用户终端提议的访问授权更新阶段的、本发明的方法的不同实现;
图3a示例性地示出了实现本发明的方法的组播过滤器的结构;
图3b示例性地示出了实现用于存储本发明的方法的组播过滤器的具体架构;
图4a示例性地示出了根据本发明的访问控制服务器;以及
图4b示例性地示出了根据本发明的收集装置。
下面参照图1和其它附图,详细描述对用户终端从连接到IP网络的收集装置请求的组播IP流的访问进行控制的方法。
通常,假设用户终端UT(图1中未示出)连接到IP网络。上述用户终端可以完全常规的方式向收集装置CE发送连接请求和组播IP流广播消息。
组播IP流广播请求消息例如对应于根据上文中提到的IGMP协议或MLD协议发送的请求消息。
参照图1,本发明的方法至少包括从收集装置CE向连接到IP网络的访问控制服务器ACS发送图1中记为AAD的访问授权请求消息。
图1中步骤1准备数据访问授权请求消息AAD,步骤2将上述消息AAD正确传送到访问控制服务器ACS。
步骤2之后,在访问控制服务器层执行步骤3,包括对用户终端进行授权和/或识别,以及对用户终端UT的访问权利进行验证。步骤3由访问控制服务器ACS实现并可表示为符号关系式:
步骤3:
用于实现对访问权利进行授权和验证的标准和过程可为传统的标准和结构,因此将不详细介绍。
在步骤3中对访问权利成功授权和/或识别和验证之后,本方法然后在步骤4中从访问控制服务器ACS向收集装置CE发送访问授权接受消息AAA。该消息包括至少一个组播过滤器。
步骤4之后,在收集装置CE层执行步骤5,包括允许用户终端UT连接到收集装置CE,以及用于将步骤4中传送的组播过滤器安装到收集装置CE上。
与此相反,如果没有对用户终端进行成功授权和/或识别,以及对用户终端UT的访问权利的验证失败时,在授权服务器ACS层执行步骤3’,并可用符号关系式表示为:
步骤3’:
本发明的方法继续执行步骤4’,包括从访问控制服务器ACS向收集装置CE发送访问授权拒绝消息AAR。步骤4’中发送的消息使得步骤5’中禁止在收集装置CE层将用户终端连接到收集装置。
然而,根据实现本发明方法的非限制性的优选模式,访问授权接受消息AAA有益地包括至少一套组播过滤器,其当然趋向于在步骤4传送组播过滤器之后,根据对收集装置CE对消息AAA的接收,进行访问控制。
特别地,根据本发明的方法的值得注意的方面,根据对发送组播IP广播请求消息的接受或拒绝,每个组播过滤器包括至少一个过滤器的类型值。该组播IP广播请求例如由地址对S、G定义,其中S为组播广播的源,G为考虑的群。
如图1所示,为了在步骤4中将访问接受授权消息AAA与记为(MFj)1 N(j例如指定过滤器标号)的整套过滤器一起发送,在图1中的步骤3中,恢复用户对组播流的权利,以根据一套组播IP过滤器翻译整套上述权利。
为此,除了包括根据对发送组播IP广播请求消息的接受或拒绝的过滤器的类型值的字段外,每个过滤器还可有益地至少包括组播IP流广播源的地址IP(S)、组播广播的接收组播群的地址IP(G)、增加或删除现有组播IP过滤器的功能更新值(其作用将在下文中介绍)、以及组播IP过滤器识别号(该过滤器识别号依赖于上述的索引j)。
因此,在图1中,访问授权接受消息表示为关系式:
AAA(MFj)1 N。
结合图1所述的本发明的方法可有益地根据用于传送代表鉴别(Authentication)、授权(Authorization)、核算(Accounting)的消息AAA的协议族实现,在这种情况下,访问控制服务器ACS为与更特别地执行被称为RADIUS协议的AAA服务器类型相同的服务器。
本发明的方法还可根据DIAMETER协议实现。在这种情况下,收集装置CE和访问控制服务器ACS之间的消息交换根据该协议实现,访问控制服务器本身为更特别地执行DIAMETER协议的AAA服务器类型的服务器。
特别地,参照图1描述的本发明的方法还可在请求连接用户终端UT的期间、或在任何请求将用户终端连接到收集装置的任何情况下实现。
本发明的方法还可实现不同的特殊变体,其事实上可执行例如改变访问授权的操作。当例如用户的权利仍然有效、但这些权利分别根据对确定的用户的权利的更新,需要改变以进行访问发起修改等时,则上述权利虽然仍然有效但其绝对必须为可更新的。对访问授权的改变或更新通过根据访问控制服务器ACS的单独授权,而执行的操作实现。
现在结合图2a给出本发明主题的方法在改变访问授权的应用中的不同的实现。可特别地认识到,在这种情况下,在下文所述的条件下,根据访问控制服务器ACS的单独授权,可实现所述更新。
例如之前在图1中所述,在发送授权接受消息之后,认为用户终端已连接,根据图2a的变体中的本发明主题的方法例如包括:在访问控制服务器ACS的控制下,从上述访问控制服务器向收集装置CE发送访问授权改变消息AC。
优选地,如图2a所示,上述访问授权改变消息包括组播过滤器的发送,其使得可在收集装置CE实现改变。
图2a中,将上述发送授权改变消息的步骤记为2a。
接下来在收集装置CE层执行步骤3a,其包括验证被提议的授权改变,以及在收集装置的权限内接受和实现上述访问改变。
步骤3a之后,执行步骤4a,包括从收集装置CE向访问控制服务器ACS发送消息,以通知收集装置接受和执行了访问授权改变,该消息记为NOT(AC)。
否则,在收集装置CE层拒绝或未执行访问授权的改变后(该拒绝步骤在图2a中记为3a’),如图2所示的本发明改变访问授权的方法包括由收集装置CE从其向访问控制服务器ACS发送拒绝或不执行访问授权改变的消息。在图2a中,拒绝或不执行访问授权改变的消息记为
上述步骤4a’之后,可在访问控制服务器层执行步骤5a’,包括循环访问授权过程。
可理解,特别地,在图2a所示的访问授权的改变的架构中,访问授权改变消息使得可传送一个或多个组播IP过滤器,其功能值是用于通过增加组播IP过滤器或删除现有的组播IP过滤器进行更新的功能值。
现在将结合图2b更详细地介绍本发明主题的方法在为确定的用户更新访问授权的情况下的不同的实现。
如图2b所示,在更新访问授权的情况下,或在发送新的访问授权的任何情况下,只要相应的用户终端UT与IP网络相连,本发明主题的方法就可由访问控制服务器ACS主动实现。
参照图2b,在访问服务器ACS的控制下,本发明主题的方法相对于访问控制服务器ACS而言可包括,为相应用户UT确定新的访问授权,并建立用户对于组播流的新权利,然后可如上所述将这些新的权利翻译为组播过滤器。
上述步骤1b之后,执行步骤2b,包括从访问控制服务器ACS向收集装置CE发送访问授权更新消息,在图2b中该消息记为AR。
步骤2b之后,由收集装置CE执行步骤3b,例如包括考虑由访问控制服务器ACS发送的更新请求。
步骤3b之后,执行步骤4b,包括从收集装置CE向访问控制服务器ACS发送消息,以通知收集装置对该更新请求的考虑。
步骤4b之后,在访问控制服务器ACS层执行步骤5b,该步骤包括为用户UT将对访问授权更新请求的考虑进行归档。
收集装置CE执行步骤6b,其例如与图1中的步骤1类似,然后在步骤7b中通过消息ADD传送访问授权请求,该请求在步骤8b中由访问控制服务器ACS考虑。
存储并归档了步骤4b中发送的对再次授权访问的考虑通知,以及在步骤5中对请求归档后,访问控制服务器在步骤8b中执行对用户终端UT的访问权利的验证,以及在步骤9b中通过发送访问授权接受消息发送新的权利或更新的访问授权,该新的权利或更新的访问授权还包括对应于更新的授权的架构中的新的组播权利的多个组播过滤器MFj。
步骤9b之后,在收集装置CE层执行步骤10b,步骤10b与例如图1中的步骤5相似。
如图2b所示,在步骤8b’中不能由访问控制服务器ACS验证权利的情况下,步骤8b’之后,执行步骤9b’,发送访问授权拒绝消息AAR,与图1中的步骤4’类似。
步骤9b’之后,由收集装置CE执行步骤10b’,以与图1中步骤5’类似的方式考虑对访问授权的拒绝,然而并不禁止用户终端UT到收集装置CE的连接。
最后,通常可表明,从收集装置CE发送任何访问授权或再授权请求到访问控制服务器ACS之后,由上述访问控制服务器ACS执行验证发出请求的用户终端的访问权利的步骤。
现在结合图3a和图3b更详细地介绍上述访问授权接受消息AAA中的组播IP过滤器及其表达式。
图3a示出了可实现本发明主题的方法的组播IP过滤器的结构。这样的过滤器,尤其是当其合并到访问授权接受消息中时,如图3a所示,有益地包括过滤器的类型值,用于表示对由地址对定义的组播IP广播请求消息的授权或拒绝。图3a中,指定类型值为Ty,并分别根据传送组播IP广播请求消息的授权拒绝,假定其可为两个任意值0或1。
如图所示,组播IP过滤器还包括组播IP流广播的源地址IP(S)、将要从地址S的源接收相应组播广播的组播的群地址IP(G)、以及通过增加组播IP过滤器或删除现有的组播IP过滤器用于更新的功能值FV。图3a中,假定功能值FV可为两个不同的任意值0、1,每个值对应于用于增加组播IP过滤器或删除现有的组播IP过滤器的功能。对于值0例如代表增加功能,值1可对应于在已安装的特定的过滤器中置换源S和/或群G的地址值、以及类型值Ty。
最后,每个组播过滤器包括组播IP过滤器识别号,例如记为结构头IDMF。
因此,整套上述消息使得可传送多个组播过滤器,以代表每个用户终端UT的整套组播访问权利。
特别地,上述消息交换可通过AAA协议族实现,AAA协议族例如根据表1的、在上文中提到过的RADIUS和DIAMETER协议。
表1:RADIUS和DIAMETER协议的应用
| 消息AAA | RADIUS等同物(RFC 2865+RFC3576) | DIAMETER等同物(RFC 3588+NASREQ) |
| 访问授权请求 | Access-Request | AA-Request |
| 授权请求 | Access-Request并且Service-type=“Authorize-Only” | AA-Request并且属性Auth-Request-type=“Authorize-Only” |
| 接受的授权 | Access-Accept | AA-Answer+Result-Code Success(2xxx) |
| 拒绝授权 | Access-Reject | AA-Answer+Result-Code Failure(3xxx或4xxx) |
| 授权改变 | CoA-Request | 没有等同物 |
| 改变成功 | CoA-ACK | Re-Auth-Answer+Success Code(2xxx) |
| 改变不成功 | CoA-NAK | Re-Auth-Answer+Failure code(3xxx或4xxx) |
| 请求对用户重新授权 | CoA-Request并且属性Service-type=“Authorize-Only” | Re-Auth-Request并且属性Auth-Request-type=“Authorize-Only” |
| 通知考虑(重新授权请求) | CoA-Request并且属性Error-Cause=“Request Initiated”,“Authorize-Only” | Re-Auth-Answer+Success code(2xxx)+Auth-Request-Type=“Authorize-Only” |
| 接受授权+发送组播过滤器 | Access-Accept传送滤波器的属性(VSA属性或标准化的属性) | AA-Answer+Result-Code Success(2xxx)传送滤波器的 |
| 属性(VSA属性或标准化的属性) | ||
| 改变授权+发送组播过滤器 | CoA-Request传送滤波器的属性(VSA属性或标准化的属性) | 没有等同物 |
参照上表,组播过滤器的传送因此通过由确保访问控制的实体分配的专用属性实现,尤其通过访问控制服务器实现。
该属性可由VSA类型的属性实现,VSA代表厂商专用属性(Vender Special Attribute).
在上表中:
-第一列指定消息AAA,也就是之前在图1、2a、2b中描述过的发送的消息;
-第二列指定模式,用于执行根据IETF(Internet Engineering TaskForce,因特网工程任务组)的建议RFC 2865和RFC 3576的RADIUS协议的架构中的上述消息;
-第三列指定用于执行根据DIAMETER RFC 3588+NASREQ协议的上述消息的模式。NASREQ是当前引用的提案draft-ietf-aaa-diameter-nasreq-17.txt,其目的是RFC一样发展。
在表中的上述列中,用斜体字表示的第二和第三列指根据分别用于RADIUS和DIAMETER协议的相应建议的正式标记。
特别将注意到,例如结合图2a所述的授权的改变只能通过RADIUS协议实现,因为DIAMETER协议目前不允许使用具体的消息用于这类操作。
每个消息发送的组播过滤器的数量依赖于协议授权的消息的最大容量。其还依赖于由该协议授权的用于传送属性的最大容量。在相同的消息中可多次发送相同的属性。用于对组播过滤器编号的系统,也就是IDMF识别号的分配,还可通过重复几次上述交换将上述过滤器置于适当的位置。
发送的组播过滤器的形式可例如通过对类型分组来优化:
-根据执行的增加或删除操作,对过滤器类型(分别为授权还是拒绝)相同的过滤器分组;
-对增加或删除操作分组;
-对用于特定用户群的、被过滤的源分组;
-对用于特定源的、被过滤的群分组。
接收到访问授权接受消息、图1和2b中的消息AAA、以及图2a中的消息AC、尤其是上述包括用于用户终端UT的组播过滤器的消息之后,收集装置CE则执行以下操作:
-确定用于安装过滤器的相关用户连接的环境,如图3b所示的这一操作可包括辨别图3中记为UID1到UIDi的用户标识符以及相应的环境信息;
-选取通过AAA协议类型的协议接收的合适的过滤器,该选取包括读取每个过滤器的不同的字段,如图3a所示;
-评估作为安装候选的组播过滤器的内容。
在这种操作中,然后允许接收的用于删除操作的过滤器基于例如过滤器号码(也就是相应的IDMF号码),删除现有的过滤器,过滤器例如与其用户环境和其IDMF过滤器标识符(在图3b中分别示为MFI1到MFM1和MF1i到MFNi)一起存储。还可基于三元组S、G、类型(也就是变量Ty),删除过滤器。在三元组S、G、Ty和过滤器号码之间存在不一致性的情况下,则不删除对应的过滤器。在不存在不一致性的情况下,则当然可以删除作为删除候选的组播过滤器。
接收的用于增加操作的过滤器安装于收集装置CE的、由过滤器号码指定的位置,或根据一对一的关系安装。
当例如没有指示过滤器号码时,收集装置CE则以对接收到的过滤器进行评估的顺序,通过分配大于用户环境的现有号码的内部号,将上述过滤器安装在专用于用户环境的过滤器的列表之后。
如果相反地,指定的过滤器号码涉及已经安装的不同过滤器,则安装新的过滤器替代已存在的过滤器。
参照图3b,从图中可以看出,存储MFI1到MFM1或MF1i到MFNi的每个过滤器,并保留以下字段时:
-用户环境中呈现的组播过滤器列表中的过滤器的序列号,也就是IDMF识别号;
-相关组播过滤器的源IP地址IP(S)或全部可能的源地址的标志(“*”或可表示为IP地址0.0.0.0);
-相关组播群G的IP地址或全部可能的群地址(“*”或可表示为IP地址0.0.0.0);
-过滤器类型,也就是由变量Ty授权或拒绝,其使得可确定在评估请求期间由过滤器所作的解释。
因此,收集装置CE存储的信息等同于由访问授权接受消息AAA传送的信息,尽管存储形式可表现为与传送形式不同。
只可删除与由收集装置CE执行的增加或删除操作相关的信息,如图3b所示,过滤器在收集装置CE层连续存储并保存在存储器中。
至于收集装置CE对组播IP流广播请求消息、IGMP或MLD请求的评估,可由以下方式实现:
-确定该请求的起始地址,使得可获得相关用户的环境,并将该请求分切成用于单独的流的应用:如果该应用请求接收流S1、S2、S3、G1,也就是源S1、S2、S3为群G1广播的流,则通过在群上分配源得到请求,也就是单独地评估请求S1G1、S2G2、S3G1;
-考虑过滤器的序列号之前,首先根据以下过滤器评估请求:
a)不论群是什么,完全禁止源,即,(S,*);
b)不论源是什么,完全禁止群,即,(*,G)。
-以由过滤器号码指定的顺序,根据每个过滤器评估请求,直到该请求的组播流的描述与相关过滤器相对应;
-第一动作,许可或拒绝,停止对过滤器列表中的请求进行评估;
-在没有与用户环境中的过滤器相对应的请求的情况下,默认为拒绝请求。但是特别地,可认为缺少任何过滤器,对用户来说意味着缺少任何过滤的期望,这种情况下,接受任何请求;
-为了默认地接受,评估结束时的请求需要出现许可类型的过滤器,其具有的S和/或G值为0.0.0.0,并且其序列号将该过滤器置于评估列表的最后;
-如果接受请求,则组播流请求以对控制和授权过程透明的形式继续。如果拒绝请求,则不采取任何动作用于与被拒绝的请求对应的组播流请求。
现在结合图4a,更详细地介绍根据本发明主题的、用于控制对组播流的访问的服务器。
从图4a可以看出,除了中央处理器CPU、RAM工作存储单元、以及允许将访问控制服务器ACS连接到因特网的I/O输入输出单元(如图4a所示)外,ACS包括用于生成访问授权消息和图1和2b中的消息AAA、以及图2a中的消息AC的至少一个模块,该模块在图4a中记为MA1。特别地,该生成模块可包括程序模块MA1,其存储在访问控制服务器ACS中,并存储在ACS的程序存储区域PROGA中。当然可以理解,接受消息至少包括例如结合图3a所述的一个组播过滤器,并特别地包括表示对发送组播IP广播请求消息(通过一对地址限定)的授权或拒绝的至少一个过滤器类型值。当然,本发明的访问控制服务器ACS还包括记为MAX的其它消息生成模块,以及通过CPU调用RAM存储器,执行对应于参照图1、2a、2b描述的方法。
现在参照图4b更详细地介绍根据本发明主题的、用于组播IP广播请求消息的收集装置CE。
参照图4b,除了中央处理器CPU、工作存储器、RAM以及允许访问收集装置CE连接到因特网的I/O输入输出装置之外,CE还包括至少一个用于生成访问授权请求(也就是图1、2a、2b中消息AAD)的模块。该生成模块可对应于例如收集装置CE的程序存储区域PROGC中存储的程序模块MC1,并由中央处理器调用至所述装置的工作存储器中,用于执行相应的操作。同样,收集装置CE包括用于存储访问授权接受消息(也就是消息AAA和其中的组播过滤器)的模块,该模块在图4b中记为MC2。收集装置CE还包括如上所述地安装滤波器的模块,该模块在图4b中记为MC3。模块MC2和MC3还对应于存储在收集装置CE的程序存储器PROGC中的程序模块。为了执行这些程序,CPU将其调用到RAM工作存储器,执行过程与上述参照图1、2a、2b描述的方法一致。可认识到,在上述程序存储区域可存在其它功能模块MCX。特别地,可以认识到存在用于分析与安装的组播过滤器相关的组播IP广播请求的模块MC4。
至于安装模块MC3,对于接收到的每个组播过滤器,执行以下操作,包括:基于组播IP广播请求消息区分发出请求的用户终端的资料;从组播IP广播授权接受消息中提取每个组播过滤器;如上文所述评估作为安装候选的组播过滤器的内容;以及基于对删除功能值的评估,删除相应现有的组播过滤器,然后安装作为安装候选的组播过滤器。否则,基于对用于增加或更新作为安装候选的过滤器的评估,安装作为安装候选的组播过滤器,如上所述。
本发明进一步包括记录在存储媒质上的计算机程序,包括由计算机或专用设备执行的一系列指令,该专用设备例如上文中结合图4a所述的用于控制到组播IP流的访问的服务器。值得注意的是,在执行期间,指令系列允许实现以下步骤:授权和/或识别和/或验证用户终端的访问权利,以及从访问控制服务器ACS向收集装置CE发送本发明方法中的访问接受或接受拒绝消息,以控制对用户终端请求的组播IP流的访问,如上文中参照图1、2a、2b、3a和3b所述。
本发明最后包括记录在存储媒质上的计算机程序,包括用于由计算机或专用设备执行的一系列指令,所述专用设备例如用于收集由用户终端发送的组播IP广播请求消息的装置,如上文中结合图4b所述。值得注意的是,在执行期间,指令序列允许实现以下步骤:从收集装置向访问控制服务器发送本发明方法中的访问授权请求消息,以控制对用户终端请求的组播IP流的访问,如上文中结合图1、2a、2b、3a和3b所述。
Claims (15)
1.一种控制访问组播IP流的方法,所述组播IP流由用户终端从组播IP流广播请求消息的收集装置请求,所述收集装置连接于IP网络,其特征在于,所述用户终端连接到所述收集装置之后,所述收集装置至少执行以下步骤:
-从所述收集装置向连接到所述IP网络的访问控制服务器发送访问授权请求消息;以及在由所述访问控制服务器对所述用户终端的访问权利进行成功的授权和/或识别和验证时,
-从所述访问控制服务器向所述收集装置发送访问授权接受消息,所述访问授权接受消息至少包括一套组播过滤器;否则,在所述访问控制服务器未能对所述用户终端的所述访问权利进行成功的授权和/或识别和验证时,
-从所述访问控制服务器向所述收集装置发送访问授权拒绝消息,以禁止所述终端到所述收集装置的连接。
2.如权利要求1所述的方法,其特征在于,每个组播过滤器至少包括一个过滤器的类型值,用于表示对发送组播IP广播请求消息的授权或拒绝,所述组播IP广播请求消息由至少一个群地址限定。
3.如权利要求2所述的方法,其特征在于,除了包括类型值的字段外,每个组播过滤器至少包括:
-组播IP流广播源的地址IP(S);
-组播群的地址IP(G);
-功能值,用于通过增加组播IP过滤器或删除现有的组播IP过滤器进行更新;
-组播IP过滤器识别号。
4.如权利要求1到3中任一项所述的方法,其特征在于,发送所述访问授权接受消息之后,在所述访问服务器的控制下,所述方法进一步包括:
-从所述访问控制服务器向所述收集装置发送访问授权改变消息;以及所述收集装置接受并执行访问授权的改变之后,
-从所述收集装置向所述访问控制服务器发送消息,通知所述收集装置接受并执行了访问授权的改变;否则,在拒绝或没有执行访问授权的改变时,
-从所述收集装置向所述访问控制服务器发送所述收集装置拒绝或不执行访问授权的改变的消息。
5.如权利要求4所述的方法,其特征在于,所述访问授权改变消息至少包括一个组播IP过滤器,其功能值为用于通过增加或删除至少一个现有的组播IP过滤器进行更新的功能值。
6.如权利要求1到3中任一项所述的方法,其特征在于,在所述访问控制服务器的控制下,进一步包括:
-从所述访问控制服务器向所述收集装置发送访问授权更新消息;以及所述收集装置考虑所述访问授权更新时,
-从所述收集装置向所述访问控制服务器发送消息,通知所述收集装置对所述访问授权更新的考虑;否则,在所述收集装置没有考虑所述访问授权更新时,
-从所述收集装置向所述访问控制服务器发送消息,通知缺少对对所述访问授权更新的考虑。
7.如权利要求6所述的方法,其特征在于,所述访问授权更新消息至少包括一个组播IP过滤器,其功能值为用于通过删除现有的组播IP过滤器进行更新的功能值。
8.如权利要求1到7中任一项所述的方法,其特征在于,从所述收集装置向所述访问控制服务器发送的任何访问授权或再授权请求之后,所述访问控制服务器验证发出请求的用户终端的访问权利。
9.用于对到组播IP广播的访问进行授权、改变访问授权或更新授权的消息,其特征在于,所述消息至少包括一个组播IP过滤器,根据对发送组播IP广播消息的授权或拒绝,每一个组播IP广播过滤器至少包括一个过滤器的类型值,所述组播IP广播消息由至少一个群地址限定。
10.用于控制到组播IP流的访问的服务器,其特征在于,至少包括一个生成访问授权消息的模块,每个访问授权消息至少包括一个组播过滤器;根据对发送组播IP广播请求消息的授权或拒绝,每个组播过滤器至少包括一个过滤器的类型值,所述组播IP广播请求消息由地址对限定。
11.用于收集组播IP广播请求消息的装置,其特征在于,其至少包括生成到访问控制服务器的访问授权请求消息的装置,所述访问控制服务器连接于IP网络。
12.如权利要求11所述的收集装置,其特征在于,其包括用于存储由访问控制服务器发送的访问授权接受消息、以及用于安装多个组播过滤器的装置。
13.如权利要求12所述的收集装置,其特征在于,用于安装多个组播过滤器的所述装置执行用于安装组播过滤器的过程,对于接收到的每个组播过滤器,所述过程至少包括:
-从所述组播IP广播授权接受消息中提取每个组播过滤器;
-评估作为安装候选的组播过滤器的内容;以及评估到删除功能值时,
-删除相应的现有的组播过滤器,然后安装作为安装候选的组播过滤器;否则,评估到用于作为安装候选的过滤器的增加或更新功能值时,
-安装所述作为安装候选的组播过滤器。
14.记录在存储媒质的计算机程序,包括用于由计算机或专用设备执行的一系列指令,所述专用设备例如用于控制到组播IP流的访问的服务器,其特征在于,在所述执行期间,所述一系列指令允许执行以下步骤:授权和/或识别和验证用户终端的所述访问权利,以及从所述访问控制服务向所述收集装置发送所述方法中的组播IP流访问接受或接受拒绝消息,所述方法控制所述用户终端请求的到组播IP流的访问,如权利要求1到8中任一项所述。
15.记录在存储媒质上的计算机程序,包括用于由计算机或专用设备执行的一系列指令,所述专用设备例如用于收集用户终端发送的组播IP广播请求消息的装置,其特征在于,在所述执行期间,所述一系列指令允许执行从所述收集装置向访问控制服务器发送根据权利要求1到8中任一项所述的方法中的访问授权请求消息的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0501704 | 2005-02-18 | ||
| FR0501704 | 2005-02-18 | ||
| PCT/FR2006/000352 WO2006087472A1 (fr) | 2005-02-18 | 2006-02-15 | Procede et equipements de controle d'acces a des flux ip multicast |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101120537A true CN101120537A (zh) | 2008-02-06 |
| CN101120537B CN101120537B (zh) | 2014-10-15 |
Family
ID=35058986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680004832.4A Active CN101120537B (zh) | 2005-02-18 | 2006-02-15 | 用于控制对组播ip流的访问的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8386777B2 (zh) |
| EP (1) | EP1849257B1 (zh) |
| JP (1) | JP4681620B2 (zh) |
| CN (1) | CN101120537B (zh) |
| ES (1) | ES2388928T3 (zh) |
| WO (1) | WO2006087472A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102057594A (zh) * | 2008-06-05 | 2011-05-11 | 艾利森电话股份有限公司 | 用于提供针对iptv的单播准备的方法和设备 |
| CN105871489A (zh) * | 2015-10-14 | 2016-08-17 | 深圳市飞图视讯有限公司 | 校园广播系统 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8116312B2 (en) * | 2006-02-08 | 2012-02-14 | Solarflare Communications, Inc. | Method and apparatus for multicast packet reception |
| CN101150405B (zh) * | 2006-09-22 | 2010-10-27 | 华为技术有限公司 | 多播广播业务认证鉴权的方法及系统 |
| DE102006055684B4 (de) * | 2006-11-23 | 2021-03-11 | Nokia Siemens Networks Gmbh & Co. Kg | Verfahren zur Bearbeitung einer Netzwerkdienstanforderung sowie Netzwerkelement mit Mittel zur Bearbeitung der Anforderung |
| CN101237383A (zh) * | 2007-01-31 | 2008-08-06 | 华为技术有限公司 | 一种传输组播信息及授权组播业务的方法和系统 |
| CN106302188A (zh) * | 2015-05-18 | 2017-01-04 | 中兴通讯股份有限公司 | 一种交换机设备的组播报文转发控制方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6275859B1 (en) * | 1999-10-28 | 2001-08-14 | Sun Microsystems, Inc. | Tree-based reliable multicast system where sessions are established by repair nodes that authenticate receiver nodes presenting participation certificates granted by a central authority |
| US20020091926A1 (en) * | 2001-01-10 | 2002-07-11 | The Furukawa Electric Co., Ltd. | Multicast authentication method, multicast authentication server, network interconnection apparatus and multicast authentication system |
| US7305010B2 (en) * | 2002-01-11 | 2007-12-04 | Nippon Telegraph And Telephone Corporation | Multicast communication system |
| CN1192574C (zh) * | 2002-01-30 | 2005-03-09 | 华为技术有限公司 | 受控组播的系统及其实现方法 |
| DE60311079T2 (de) * | 2003-06-24 | 2007-11-08 | Alcatel Lucent | Digitales Teilnehmernanschlussleitungszugangsnetz mit verbesserter Authentifizierungs-, Berechtigungs-, Abrechnungs- und Konfigurationssteuerung für Multicast-Dienste |
-
2006
- 2006-02-15 JP JP2007555664A patent/JP4681620B2/ja active Active
- 2006-02-15 CN CN200680004832.4A patent/CN101120537B/zh active Active
- 2006-02-15 US US11/884,244 patent/US8386777B2/en active Active
- 2006-02-15 EP EP06709327A patent/EP1849257B1/fr active Active
- 2006-02-15 ES ES06709327T patent/ES2388928T3/es active Active
- 2006-02-15 WO PCT/FR2006/000352 patent/WO2006087472A1/fr active Application Filing
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102057594A (zh) * | 2008-06-05 | 2011-05-11 | 艾利森电话股份有限公司 | 用于提供针对iptv的单播准备的方法和设备 |
| CN105871489A (zh) * | 2015-10-14 | 2016-08-17 | 深圳市飞图视讯有限公司 | 校园广播系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080289008A1 (en) | 2008-11-20 |
| EP1849257B1 (fr) | 2012-06-06 |
| CN101120537B (zh) | 2014-10-15 |
| US8386777B2 (en) | 2013-02-26 |
| EP1849257A1 (fr) | 2007-10-31 |
| WO2006087472A1 (fr) | 2006-08-24 |
| JP4681620B2 (ja) | 2011-05-11 |
| ES2388928T3 (es) | 2012-10-19 |
| JP2008530932A (ja) | 2008-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7653933B2 (en) | System and method of network authentication, authorization and accounting | |
| CN101120537B (zh) | 用于控制对组播ip流的访问的方法和系统 | |
| CN102754409B (zh) | 用于直径协议协调的方法、系统和计算机可读介质 | |
| US20070142039A1 (en) | Content access control system for a mobile communication network | |
| US9071505B2 (en) | Method and system for dynamically allocating services for subscribers data traffic | |
| CN1647451B (zh) | 用于在网络环境中监视信息的装置、方法和系统 | |
| CN105682069A (zh) | 一种配置网络资源的方法、装置及系统 | |
| US7793352B2 (en) | Sharing network access capacities across internet service providers | |
| CN104518873A (zh) | 匿名登录方法和装置 | |
| CN103607410A (zh) | 一种内容访问方法和设备 | |
| CN110289971B (zh) | 共享业务管理方法及系统 | |
| CN103888415B (zh) | Ims用户的游牧控制方法及装置 | |
| CN101026493A (zh) | 一种用户权限控制方法及xml文档管理服务器 | |
| CN103051626B (zh) | 一种认证方法及网络设备 | |
| US7480371B2 (en) | Method and system for billing network access capacities shared between internet service providers | |
| CN105392112A (zh) | Mtc设备信息的保护方法、设备及系统 | |
| WO2009006770A1 (fr) | Procédé de gestion de nœud p2p | |
| CN101562613B (zh) | 一种控制组播源的方法和一种网络接入服务器 | |
| CN101272259B (zh) | 媒体流信息访问计费方法及系统 | |
| US20160309044A1 (en) | Affiliated service provision method | |
| CN100355313C (zh) | 一种防止终端用户非法漫游的方法 | |
| CN106487776A (zh) | 一种保护机器类通信设备的方法、网络实体及系统 | |
| US20070243861A1 (en) | Method and Module for Software Updating of a Gateway Between a Network Operator and a Local Area Network | |
| CN107172097B (zh) | 一种高效的消息发送方法及系统 | |
| CN101478791A (zh) | 在sae融合架构下的服务质量管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |