CN101399717A - 接入网中的组播ip包发送控制方法及装置 - Google Patents
接入网中的组播ip包发送控制方法及装置 Download PDFInfo
- Publication number
- CN101399717A CN101399717A CNA2007100464383A CN200710046438A CN101399717A CN 101399717 A CN101399717 A CN 101399717A CN A2007100464383 A CNA2007100464383 A CN A2007100464383A CN 200710046438 A CN200710046438 A CN 200710046438A CN 101399717 A CN101399717 A CN 101399717A
- Authority
- CN
- China
- Prior art keywords
- bag
- multicast
- user terminal
- predefined type
- access network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2878—Access multiplexer, e.g. DSLAM
- H04L12/2879—Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
- H04L12/2881—IP/Ethernet DSLAM
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1863—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
- H04L12/1877—Measures taken prior to transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/189—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种在接入网的IP包传输领域中对源自用户终端的组播IP包的上行传输进行控制的方法。根据本发明的技术方案,接入设备接收来自用户终端的IP包,并对所述IP包进行检测,判断该IP包是否为允许接入的组播IP包。如果判断为允许接入的组播IP包,则将所述的组播IP包以组播方式进行发送。通过本发明,接入设备将允许上行的合法的组播IP包通过,优选地,对利用某些组播IP包所进行的恶意攻击进行判断并且做拦截处理,保证了DSL接入设备对移动IPv4的支持,使一个用户终端在不同的子网中移动时其业务不会中断。
Description
技术领域
本发明涉及接入网中的IP包传输领域,尤其涉及组播源为用户终端的组播IP包的上行传输控制。
背景技术
在现有的移动通信中,各移动代理(Mobile Agent,如,边缘路由器)在各自所处的子网内广播“代理公告”(Agent Advertisement,AA),从而将FACOA(Foreign Agent Care-of-Address,由移动代理分配并对应于该移动代理的一种转交地址)告知处于该子网内的各个用户终端,以支持必要的业务切换。但是,由于用户终端可能在进行业务传输的过程中由其所归属的子网(以下简称归属子网)移动到另一子网(以下称为外地子网)之中,如果被动地等待广播的AA,很可能由于等待时间过长而导致业务中断。
为此,用户终端通过主动发送代理请求消息(AS,其为一种ICMP路由器发现消息)来请求其当前所在的子网中的移动代理(对于该用户终端而言,其归属子网内的移动代理称为归属代理,简写为HA;而一外地子网中的移动代理称为外地代理,简写为FA)发送AA。并且,用户终端通过发送注册请求消息(RRQ,其为一种移动IP控制消息)来向其归属代理注册其所使用的转交地址(FACOA或COCOA)和用户终端的永久地址(如,HOA)之间的对应关系。这样,对端节点在与该用户终端通信时,将IP包先发送到该用户终端的HA,再由该HA通过网络层隧道技术(如,基于IP协议将该IP包进行封装)将该IP包发给相应的FA,接到该IP包后,FA对其进行相应的解封装,并根据该IP包内所携带的用户终端的地址,最终转发给用户终端。
一个子网通常包括多个移动代理,而当用户终端不知道其当前所处的子网中任一个FA的单播地址时,以单播包形式发送AS就不可行。为此,现有技术中为一个子网中的所有移动代理分配了一个特定的组播地址,当用户终端移动到任意一个子网时,只要其发出的AS中带有该组播地址,接入设备即能识别出其需发往该子网中的所有移动代理。
随着固定、移动网络融合的进一步深入,移动IPv4业务将会部署在固定接入网络中,然而,由于运营商从经济和安全的角度考虑而禁止固定接入网中的用户终端发送组播IP包,因此,以DSLAM为例的接入设备会丢弃所有组播源为用户终端的IP包,这样,当用户终端以组播IP包的形式发送AS时,该请求消息将无法到达其所处子网中的任一个移动代理,也就不能及时触发AA的发送,可能将导致业务的中断。同样,用户终端以组播IP包的形式发送的RRQ也同样不能到达任一个移动代理,也就无法及时完成注册。
发明内容
鉴于现有技术存在上述问题,本发明通过对通信网络中的接入设备进行改进,使其在接收到来自用户终端的组播IP包后,对其进行判断和筛选,允许符合条件的组播IP包通过,譬如,仅允许公告请求消息和注册请求消息的通过,使用户终端能够及时地接收到所在网络的转交地址并进行注册,保持业务的无中断的连接。
根据本发明的第一方面,提供了一种在接入网的接入设备处用于对来自用户终端的IP包进行控制的方法,其中,包括以下步骤,接收来自用户终端的IP包;对所述IP包进行检测,判断该IP包是否为允许接入的组播IP包。
根据本发明的第二方面,提供了一种在接入网的接入设备处用于对来自用户终端的IP包进行控制的控制装置,其中包括:接收装置,用于接收来自用户终端的IP包;第一判断装置,用于对所述IP包进行检测,判断该IP包是否为允许接入的组播IP包;组播发送装置,用于将所述的允许接入的组播IP包以组播方式进行发送。
采用本发明提供的技术方案,接入设备将允许合法的组播IP包(如,公告请求消息和注册请求消息)通过,优选地,对利用某些组播IP包所进行的恶意攻击进行判断并且做拦截处理,保证了DSL接入设备对移动IPv4的支持,使一个用户终端在不同的子网中移动时其业务不会中断。
附图说明
通过参照附图阅读以下所作的对非限制性实施例的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1为一个采用DSL接入技术的通信网络示意图;
图2为根据本发明的一个具体实施方式的在图1所示通信网络中用于组播IP包发送控制的系统方法流程图;
图3为根据本发明的一个具体实施方式的在接入网的接入设备处用于对来自用户终端的IP包进行控制的方法流程图;
图4为根据本发明的一个具体实施方式的在接入网的接入设备处用于对来自用户终端的IP包进行控制的控制装置的框图。
其中,相同或相似的附图标记代表相同或相似的装置(模块)或步骤。
具体实施方式
下面结合图1、图2并以基于IP协议的通信网络为例从系统角度对本发明进行描述,本领域技术人员理解,本发明应不限于基于IP协议的通信网络。
为方便描述,对本文中出现的概念简要介绍如下:
对端节点:两个正在通信的用户终端互为对方的对端节点。
用户终端的永久地址:由运营商分配给各个用户终端的具有全局唯一性的网络地址,在通信时,一个用户终端所发出的IP包的目的地址也即其对端节点的永久地址。
转交地址:一个用户终端移动到外地子网后,为使其归属代理能够准确地转发来自其对端节点的IP包,该用户终端需要将其当前所用的转交地址在其归属代理处进行注册,注册之后,发往该用户终端的IP包将在所述归属代理处进行封装,所加的IP包头中的目的地址即为所述转交地址。
假设用户终端a、b均归属于子网A,且用户终端a位于子网A中,而用户终端b移动至另一子网B中。图1中,为简明起见,图中未示出作为用户终端a或b的对端节点c与网关之间的网络设备和相关链路,而以虚线代替,本领域技术人员理解上述省略不对本发明产生任何影响。
本发明中,用户终端可通过以下方式之一判断出其是否由一个子网移动到另一子网中:
判断方式1:用户终端通过AA的生存时间来进行判断。具体地,用户终端记录前次从各个移动代理处接收到AA后所分别经历的时间,如果直到一个AA的生存时间过期,用户终端仍没有接收到来自同一个代理的另一个AA,用户终端将认定其与该移动代理失去联系,也即离开了该移动代理所在的子网。
判断方式2:用户终端利用AA消息中源地址的网络前缀来进行判断,此方式适用于AA消息中带有“前缀长度扩展”(Prefix-LengthsExtension)的情形。具体地,用户终端接收到一个移动代理发出的AA后,将该AA的源地址网络前缀来与此前接收到的AA的源地址网络前缀进行比较,如果不同(通常,一个子网中的各个移动代理有相同的网络前缀,而不同子网中的移动代理的网络前缀不同),则判断该用户终端已由前一子网移动到了另一子网。
基于上述判断方式,用户终端a得以确定自身仍处于归属子网(子网A)中,而用户终端b则确定自身移动到了一个外地子网中。
对于用户终端a,由于其未移至外地子网,因此,只需固网中一般的IP路由协议运作,即用户终端a所发出的IP包将经由DSLAM1发送至归属代理(HA,如图1中的移动代理I),再由归属代理根据路由协议将该IP包转发给对端节点c。
由于用户终端b移动到了一个外地子网,为进行业务切换,其需要通过DHCP(动态主机配置协议)服务器或者所述外地子网中的AA来获取一个转发地址,以向其归属代理(HA,如图1中的移动代理I)进行注册。针对不同的转交地址对本发明讨论如下:
-用户终端b请求DHCP服务器为其分配一个COCOA,获得COCOA后,用户终端b可直接向移动代理I发送RRQ消息进行注册,于是,移动代理I处将生成用户终端b的永久地址与其当前COCOA的映射关系。此后,当对端节点c发来的IP包到达移动代理I后,移动代理I将根据该IP包所含的目的地址(即用户终端b的永久地址,如162.105.203.16)来由注册信息中查得用户终端b的COCOA。于是,在基于网络层隧道技术对该IP包进行封装后,将得到以该COCOA为目的地址的新的IP包。此后,所述新的IP包将被发往该COCOA所指示的网络设备。
-用户终端b请求DHCP服务器为其分配一个COCOA,获取COCOA后,用户终端b又在子网b的外地代理(FA,如图1中所示的移动代理II或移动代理III或移动代理IV)处收到了AA消息,且AA消息中的“R”(Registration Required需要注册,表示即使使用了COCOA地址,仍需要向该移动代理注册)比特置位,则表示仍需要通过该移动代理II(或III或IV)向其HA(移动代理I)进行注册。
除由DHCP服务器处获得COCOA之外,用户终端b也可以从子网B中的移动代理处获得FACOA,以向移动代理I进行注册。具体如下:
如果用户终端b此前接收到的来自移动代理I的AA的生存期已过期且未接收到来自子网B中任一移动代理的AA,用户终端b需要发现可以注册的移动代理,进入步骤A:
在步骤A中,用户终端b通过发送代理请求消息(AS)来向其当前所在的子网中的所有移动代理(II、III、IV)请求发送AA,以获得FACOA。该AS的IP源地址有以下情形:
-若移动终端b已获得COCOA而仍发送AS,则所述IP源地址为该COCOA;
-若移动终端b未获得COCOA,则所述IP源地址为移动终端b的永久地址;
-移动终端b未获得COCOA且没有永久地址时,所述IP源地址为0.0.0.0。
由于移动终端b不知道移动终端II、III、IV中任一者的单播地址,因此,该AS消息的目的地址为能够指向子网B中所有移动代理的统一组播地址(例如,224.0.0.11),此外,也可以是单播地址。
根据本发明,当DSLAM2接收到用户终端发来的IP包后,并非简单地允许通过,而需执行以下操作:
对接收到的IP包进行甄别,以确定该IP包为单播IP包还是组播IP包。如果接收到用户终端发来的单播IP包,则直接允许通过,而如果接收到的IP包为组播IP包,则需要对其进行选择性过滤,所依赖的策略包括但不限于以下方式:
(一)根据组播IP包的组播地址进行IP包的过滤
具体地,访问网络中的接入设备(如图1中的DSLAM2)处预先或动态地配置有合法组播地址列表,当接收到来自用户终端的组播IP包后,DSLAM2由其中解析出组播地址,并与所述组播地址列表进行比对,如果该IP包的组播地址位于该组播地址列表中,则说明该组播地址属于合法的组播地址,DSLAM2将允许该组播IP包通过,并将其转发至该组播地址。如果DSLAM2在所述组播地址列表中找不到该组播IP包的组播地址,则丢弃该组播IP包。
上述根据组播IP包的组播地址进行过滤的方式适用于包括无线接入网中的基站、固定接入网中的DSLAM等各种接入设备。
特别地,针对DSLAM,本发明提供如下优选方案:
在DSLAM2处配置多个合法组播地址列表,每个合法组播地址列表对应于DSLAM2的一个或多个用户侧端口,当用户终端经由DSLAM2的一个用户侧端口发来组播IP包后,DSLAM2在与该用户侧端口相对应的合法组播地址列表中查找,仅当将该组播IP包的组播地址存在于所述合法组播地址列表中时,DSLAM2才允许该组播IP包通过。否则,丢弃该组播IP包。
由于AS、RRQ均发往对应于该子网内所有移动代理的统一的组播地址(例如,224.0.0.11),因此,在本例中,在DSLAM2处将对应于该子网内所有移动代理的统一的组播地址(例如,224.0.0.11)作为合法组播地址即可使以组播形式发送的AS和RRQ顺利通过。
除AS、RRQ外,若还需允许发往其它组播地址的组播IP包(譬如,承载上行组播业务的组播业务IP包)通过,可在DSLAM2处将相应的组播地址配置为合法组播地址。
(二)根据组播IP包的类型进行IP包的过滤
以移动IPv4协议为例,IP包的包头部分的协议域的值指示IP包所承载的协议类型,譬如,当IPv4包协议域值为17,指示IPv4包头承载的是UDP报文,当UDP包头中的目的端口域值为434时,表示为RRQ消息。
于是,可在DSLAM2处配置允许通过的组播IP包类型列表,并在来自用户侧的组播IP包到来后,对其协议域进行检测(如,获取包头中的标识信息),再与所述类型列表进行比对,以确定是否允许该组播IP包通过。
本例中,如果单独根据组播IP包协议域来执行上述过滤,为使得AS和RRQ能够顺利通过而阻隔其它来自用户侧的组播IP包,可在DSLAM2处配置仅允许AS、RRQ通过,如,在接到来自用户侧的组播IP包时,对其包头进行解析,具体说明如下:
-AS消息通常按照以下形式封装:IPv4+ICMP+AS,即ICMP消息被封装在IPv4包中,而AS消息是多种ICMP消息中的一种。具体地:当IPv4包头的协议域值为1时,指示该IPv4包数据部分包含ICMP消息,当ICMP消息中的type域为10且code域为0时,指示ICMP消息是AS消息;
-RRQ消息通常按照以下形式封装:IPv4+UDP+RRQ,即,UDP报文被封装在IPv4I包中,UDP头后面紧跟着移动IPv4控制消息,当这个控制消息的type域为1时,表示是RRQ消息。具体地,当IPv4包头的协议域值为17时,指示数据部分包含UDP包,当UDP包头中的端口号为434且移动IPv4控制消息的type域为1时,即可判断出为RRQ消息。
当判断出到来的组播IP包为AS消息或者RRQ消息时,DSLAM2即允许该组播IP包通过,否则,将其丢弃。
在一个变化的实施例中,DSLAM2可以不必具体地判断出该IP包是AS或RRQ消息,而是根据IP包中的一些字段(或者称为域)值来判断是否允许该IP包通过,例如,当DSLAM2发现IPv4的包头的协议域值为17或者发现IPv4的包头的协议域值为17且UDP包头的端口号为434时,即可判断为允许通过的IP包;或者当发现IPv4包头的协议域值为1时,或者当发现IPv4包头的协议域值为1且ICMP消息中的type域为10即可判断为允许通过的IP包。这样的限制条件比判断出具体为AS或RRQ消息的限制条件少,可能会使一些满足上述条件的非AS且非RRQ的消息通过,但是仍在系统的容错范围内,且极大地降低了系统实现的复杂度。此外,可以结合下文所述的一个优选实施例,即DSLAM2根据特定类型的组播IP包的发送频率来防御恶意用户的攻击一起使用。
本领域技术人员理解,上述两种IP包的过滤方式可联合使用,即根据组播IP包的组播地址和类型进行IP包的过滤。譬如,仅当IPv4包头协议域值为17或UDP头中端口号为434或UDP包中包含RRQ消息时,或当IPv4包头协议域值为1或ICMP消息的type域为10或code域为0时,如果该组播IP包的组播地址为对应于该子网内所有移动代理的统一的组播地址(例如,224.0.0.11),则允许该组播IP包通过,否则,将该组播IP包丢弃。不再赘述。
根据本发明的一个优选实施例,DSLAM2根据特定类型的组播IP包的发送频率来防御恶意用户的攻击,以AS消息为例说明如下:
本领域技术人员理解,DSLAM的一个用户侧端口经由物理链路连接到一个用户网络。基于此,DSLAM2可以检测在预定时间长度内经由用户侧端口i(连向用户终端b此时所处的用户网络)接收到的AS消息的个数,在该预定时间长度内接收到的AS消息个数超过一个第二预定阈值时,在该预定时间长度内拒绝此后的来自该端口的AS消息的接入。
对于DSLAM或无线网络中的接入设备如基站等,还可以检测某一个用户终端在另一预定时间长度内发来的AS消息的个数,当在该另一预定时间长度内接收到的来自该用户终端的AS消息个数超出第一预定阈值后,在该另一预定时间长度内拒绝此后的来自该用户终端的AS消息的接入。
所述预定时间和另一预定时间以及第一、第二预定阈值可以人为地基于经验数据或运营商的需求来确定,这里本领域的技术人员应能理解,在此不做赘述。
当判定用户终端b发来的AS消息合法后,DSLAM2在步骤B中允许其通过,并将其发往该子网内的各移动代理。
各个移动代理在接收到AS后,该方法进入步骤C,移动代理II、III、IV均发送AA消息作为应答。
在步骤D中,用户终端b发送RRQ消息至DSLAM2。基于上文中所作说明,本领域技术人员能够理解,如果该RRQ消息以组播方式发送,DSLAM2处将基于本发明对其进行相应的检查,以确定是否允许通过。DSLAM对RRQ消息的检测过程与上述对AS的检测过程除了IP包封装格式不同,其他均相同,在此不再赘述。
以下对移动IPv4中的注册方式作简要说明,并请参照RFC1256以及RFC3344协议(http://www.ietf.org/rfc/rfc1256.txt;http://www.ietf.org/rfc/rfc3344.txt,在此引用作为参考),其中,RFC3344定义了2种不同的注册程序,其一是用户终端经由外地代理来向其归属代理进行注册(用户终端将RRQ消息发给外地代理,由外地代理转发至归属代理);其二是直接由用户终端向其归属代理进行注册(用户终端直接将RRQ消息发送至其归属代理)。系统可以基于以下规则来确定对一个用户终端应用何种注册方式:
-如有一个用户终端需要向其归属代理注册外地代理所分配的FACOA,则该用户终端要经由该外地代理注册;
-如果一个用户终端使用COCOA向其归属代理进行注册,并且,该用户终端由其当前所在子网中的一个外地代理处接收到了AA消息,且该AA消息中的R比特置位,则该用户终端应通过该外地代理(或者其当前所在子网中的其他外地代理)来注册;
-如果用户终端返回到其所归属子网,并且需要向其归属代理重新进行注册,则该用户终端必须直接向其归属代理注册。
以下结合图1简要介绍注册完成后的业务数据转发过程。
注册完成后,对端节点c发往用户终端b的IP包将先到达归属代理(HA,如图1中的移动代理I),此后,归属代理再基于网络层隧道技术(IP-in-IP)转发该IP包。所述网络层隧道的入口是归属代理,而出口有2种情形:当用户终端b直接向归属代理注册其COCOA时,该网络层隧道的出口为用户终端b;当用户终端b经由子网B中的某一外地代理间接向归属代理注册时,该网络层隧道的出口为该外地代理。
以下,参照图3并结合图1对根据本发明第一方面的在接入网的接入设备处用于对来自用户终端的IP包进行控制的方法进行描述,其中,图2及其相关描述在此一并作为参考。
在步骤S10中,接入设备(DSLAM2)接收来自用户终端b的IP包。该IP包可能是组播IP包,也可能是单播IP包。
此后,DSLAM2需要对该IP包进行分析,以确定是否允许其通过,具体地,在步骤S11中,DSLAM2判断该IP包是否为允许接入的组播IP包。当然,如果IP包为单播IP包,则可允许接入;如果其为组播IP包,则在满足以下两种情况的任一项或任多项时,可允许其接入,并以组播IP包的形式将其转发:
i)所述组播IP包的目的组播地址属于预先设定的合法的组播地址。本例中,DSLAM2中维护了一张组播访问控制列表(MulticastAccess Control List,MACL),如果该组播IP包的目的组播地址即为MACL中预存的地址(例如,对应于该子网内所有移动代理的统一组播地址(例如,224.0.0.11)),则当默认DSLAM2被发往该组播地址的组播IP包攻击的概率很低时,可以允许所有发往该地址的组播IP包接入。
ii)所述组播IP包为预定类型的组播IP包,如,以组播方式发送的代理请求消息或注册请求消息等。则当默认上述类型的组播消息均发往对应子网内所有外地代理的统一的组播地址(例如,224.0.0.11)时,可无需再针对组播地址进行筛选,而仅在识别出该IP包的类型后,即对其进行组播或将其丢弃。
本领域技术人员可以根据本申请文件的教导不经创造性劳动地知晓将i)、ii)联合用于组播IP包接入控制的情形,不再赘述。
根据本发明的一个优选实施例,为了防止恶意用户利用组播消息进行攻击的情形,在步骤S11中,在允许组播IP包接入之前,还需要进一步判断,分为2种情形,讨论如下:
-当所接收的来自一个用户设备的IP包为预定类型的组播IP包时,判断由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数是否超过第一预定数值;当由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数未超过第一预定数值时,将该IP包作为允许接入的组播IP包。所述周期可以长至无限长,可以短至一个时间单位(小时/分/秒)。
-当所述接入网为固定接入网,则当由一个用户侧端口所接收的IP包为预定类型的组播IP包时,判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数是否超过第二预定数值;当由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数未超过第二预定数值时,将该IP包作为允许接入的组播IP包。
所述第一、第二预定周期以及第一、第二预定数值可以人为地基于经验数据或运营商的需求来确定,这是本领域的技术人员应能理解的,在此不做赘述。
如果判断出用户终端发来的IP包为允许接入的组播IP包,则进入步骤S12,并在其中将该组播IP包以组播形式发送出去。
如果判断出该IP包为不允许接入的组播IP包,则进入步骤S12’,并在其中将该组播IP包丢弃。
如果该IP包为单播IP包,则DSLAM2将在步骤S12”中将该单播IP包转发。
以下,参照图4并结合图1对根据本发明第二方面的在接入网的接入设备处用于对来自用户终端的IP包进行控制的控制装置的各个具体实施例进行详细描述,其中,对图2、图3所作说明在此一并作为参考。图4所示的控制装置10位于以图1所示DSLAM2为例的各个接入设备中,其中,包括:接收装置100、第一判断装置101、发送装置102。具体地,所述第一判断装置101包括:第二判断装置1010、第三判断装置1011、第四判断装置1012和第五判断装置1013。
所述接收装置100负责接收来自用户终端b的IP包;该IP包可能是组播IP包,也可能是单播IP包。
接入设备的第一判断装置101对所述IP包进行检测,判断该IP包是否为允许接入的组播IP包。如果IP包为单播IP包,则允许接入;如果IP包为组播IP包,则在满足以下两种情况的任一项或任多项时,允许其接入:
i)所述组播IP包的目的组播地址属于预先设定的合法的组播地址。本例中,DSLAM2中维护了一张组播访问控制列表,如果该组播IP包的目的组播地址即为MACL中预存的地址(如,对应于该子网内所有移动代理的统一的组播地址(例如,224.0.0.11)),则当默认该DSLAM2被发往该组播地址的组播IP包攻击的概率很低时,可以允许所有发往该地址的组播IP包接入。
ii)所述组播IP包为预定类型的组播IP包,如,以组播方式发送的代理请求消息或注册请求消息等。则当默认上述类型的消息均发往对应该子网内所有移动代理的统一的组播地址(例如,224.0.0.11)时,可无需再针对组播地址进行筛选,而仅在识别出该IP包的类型后,即对其进行组播或将其丢弃。
本领域技术人员可以根据本申请文件的教导不经创造性劳动地知晓将i)、ii)联合用于组播IP包接入控制的情形,不再赘述。
根据本发明的一个优选实施例,为了防止恶意用户利用组播消息进行攻击,第一判断装置101优选地还包括以下2个子装置:
第二判断装置1010,用于当所接收的来自一个用户设备的IP包为预定类型的组播IP包时,判断由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数是否超过第一预定数值。
第三判断装置1011,用于当由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数未超过第一预定数值时,将该IP包作为允许接入的组播IP包。所述周期可以长至无限长,也可短至一个时间单位(小时/分/秒)。
当所述控制装置10位于固定接入网中的接入设备(如,DSLAM2)中时,所述第一判断装置101优选地可包括以下子装置:
第四判断装置1012,用于当由一个用户侧端口所接收的IP包为预定类型的组播IP包时,判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数是否超过第二预定数值。
第五判断装置1013当由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数未超过第二预定数值时,将该IP包作为允许接入的组播IP包。
DSLAM2中的发送装置102负责将被允许接入的组播IP包和单播IP包分别进行发送。
以上对本发明的实施例进行了描述,但是本发明并不局限于特定的系统、设备和具体协议,本领域内技术人员可以在所附权利要求的范围内做出各种变形或修改。
Claims (15)
1.一种在接入网的接入设备处用于对来自用户终端的IP包进行控制的方法,包括:
a.接收来自用户终端的IP包;
b.对所述IP包进行检测,判断该IP包是否为允许接入的组播IP包;
c.将所述的允许接入的组播IP包以组播方式进行发送。
2.根据权利要求1所述的方法,其特征在于,所述步骤b包括:
当所述IP包为组播IP包,且满足以下各项条件中的任一项或任多项时,则将该组播IP包作为允许接入的组播IP包:
-所述组播IP包的组播地址属于预先设定的合法的组播地址;
-所述组播IP包为预定类型的组播IP包。
3.根据权利要求2所述的方法,其特征在于,所述步骤b之后且在步骤c之前还包括:
-当所接收的来自一个用户设备的IP包为预定类型的组播IP包时,判断由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数是否超过第一预定数值;
-当由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数未超过第一预定数值时,将该IP包作为允许接入的组播IP包。
4.根据权利要求2或3所述的方法,其特征在于,所述接入网为固定接入网,其中,所述步骤b之后且在步骤c之前还包括:
-当由一个用户侧端口所接收的IP包为预定类型的组播IP包时,判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数是否超过第二预定数值;
-当由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数未超过第二预定数值时,将该IP包作为允许接入的组播IP包。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述接入网为基于移动IPv4协议的接入网,其中,所述预定类型的组播IP包包括组播IP控制包。
6.根据权利要求5所述的方法,其特征在于,所述组播IP控制包包括移动IP控制消息和/或ICMP路由器发现消息。
7.根据权利要求6所属的方法,其特征在于,所述移动IP控制消息包括注册请求消息,所述ICMP路由器发现消息包括代理请求消息。
8.一种在接入网的接入设备处用于对来自用户终端的IP包进行控制的控制装置,包括:
接收装置,用于接收来自用户终端的IP包;
第一判断装置,用于对所述IP包进行检测,判断该IP包是否为允许接入的组播IP包;
发送装置,用于将所述的允许接入的组播IP包以组播方式进行发送。
9.根据权利要求8所述的控制装置,其特征在于,所述第一判断装置还用于,当所述IP包为组播IP包,满足以下各项条件中的任一项或任多项时,则将该组播IP包作为允许接入的组播IP包:
-所述组播IP包的组播地址属于预先设定的合法的组播地址;
-所述组播IP包为预定类型的组播IP包。
10.根据权利要求9所述的控制装置,其特征在于,还包括:
第二判断装置,用于当所接收的来自一个用户设备的IP包为预定类型的组播IP包时,判断由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数是否超过第一预定数值;
第三判断装置,用于当由该用户设备在第一预定周期内所发送的该预定类型的组播IP包的次数未超过第一预定数值时,将该IP包作为允许接入的组播IP包。
11.根据权利要求9或10所述的控制装置,其特征在于,所述接入网为固定接入网,其中,
第四判断装置,用于当由一个用户侧端口所接收的IP包为预定类型的组播IP包时,判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数是否超过第二预定数值;
第五判断装置,用于当由该用户侧端口在第二预定周期内所接收的该预定类型的组播IP包的次数未超过第二预定数值时,将该IP包作为允许接入的组播IP包。
12.根据权利要求8至11中任一项所述的控制装置,其特征在于,所述接入网为基于移动IPv4协议的接入网,其中,所述预定类型的组播IP包包括组播IP控制包。
13.根据权利要求12所述的控制装置,其特征在于,所述组播IP控制包包括移动IP控制消息和/或ICMP路由器发现消息。
14.根据权利要求13所述的控制装置,其特征在于,所述移动IP控制消息包括注册请求消息,所述ICMP路由器发现消息包括代理请求消息。
15.一种在接入网中的接入设备,其特征在于,包括根据权利要求8至14中任一项所述的用于对来自用户终端的IP包进行控制的控制装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710046438.3A CN101399717B (zh) | 2007-09-26 | 2007-09-26 | 接入网中的组播ip包发送控制方法及装置 |
| PCT/CN2008/001624 WO2009046622A1 (fr) | 2007-09-26 | 2008-09-19 | Procédé et appareil de commande de paquets ip multidiffusion dans un réseau d'accès |
| EP08800617.6A EP2197161B1 (en) | 2007-09-26 | 2008-09-19 | Method and apparatus for controlling multicast ip packets in access network |
| KR1020107008922A KR101503677B1 (ko) | 2007-09-26 | 2008-09-19 | 액세스 네트워크에서 멀티캐스트 ip 패킷들을 제어하기 위한 방법 및 장치 |
| US12/733,703 US8923181B2 (en) | 2007-09-26 | 2008-09-19 | Method and apparatus for controlling multicast IP packets in access network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710046438.3A CN101399717B (zh) | 2007-09-26 | 2007-09-26 | 接入网中的组播ip包发送控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101399717A true CN101399717A (zh) | 2009-04-01 |
| CN101399717B CN101399717B (zh) | 2014-03-12 |
Family
ID=40517991
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710046438.3A Active CN101399717B (zh) | 2007-09-26 | 2007-09-26 | 接入网中的组播ip包发送控制方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8923181B2 (zh) |
| EP (1) | EP2197161B1 (zh) |
| KR (1) | KR101503677B1 (zh) |
| CN (1) | CN101399717B (zh) |
| WO (1) | WO2009046622A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016161636A1 (zh) * | 2015-04-10 | 2016-10-13 | 华为技术有限公司 | 数据包处理方法和相关设备 |
| CN106993279A (zh) * | 2017-06-13 | 2017-07-28 | 深圳市伊特利网络科技有限公司 | 终端组播组的建立方法及系统 |
| CN107181971A (zh) * | 2017-05-22 | 2017-09-19 | 华为软件技术有限公司 | 一种iptv终端的升级方法及相关设备 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102118254A (zh) * | 2010-01-05 | 2011-07-06 | 上海贝尔股份有限公司 | 一种上行组播控制方法及其装置 |
| JP5048105B2 (ja) * | 2010-06-29 | 2012-10-17 | レノボ・シンガポール・プライベート・リミテッド | コンピュータへのアクセス方法およびコンピュータ |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US10305879B2 (en) * | 2017-04-29 | 2019-05-28 | Cisco Technology, Inc. | Restricting fake multicast service announcements |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7079499B1 (en) | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
| US6988146B1 (en) | 2000-07-13 | 2006-01-17 | Alcatel | Simple multicast extension for mobile IP SMM |
| US7346053B1 (en) * | 2002-05-07 | 2008-03-18 | Cisco Technology, Inc. | Methods and apparatus for supporting IP multicast for a mobile router |
| JP3890061B2 (ja) | 2002-07-31 | 2007-03-07 | ケイティーフリーテル カンパニー リミテッド | 明示的マルチキャストの受信性試験及び到達性試験のための方法及び装置 |
| JP2004260317A (ja) | 2003-02-24 | 2004-09-16 | Nippon Telegr & Teleph Corp <Ntt> | MobileIPマルチキャスト方法、ホームエージェント、モビリティアンカーポイント、およびMobileIPマルチキャストプログラム |
| US7493652B2 (en) * | 2003-08-06 | 2009-02-17 | Microsoft Corporation | Verifying location of a mobile node |
| KR100523490B1 (ko) * | 2003-12-17 | 2005-10-24 | 한국전자통신연구원 | 이더넷 기반 수동형 광가입자망에서의 멀티캐스트 서비스지원 방법 |
| CN100454888C (zh) | 2004-03-06 | 2009-01-21 | 鸿富锦精密工业(深圳)有限公司 | 组播流量控制管理方法 |
| FI20040444A0 (fi) * | 2004-03-23 | 2004-03-23 | Nokia Corp | Verkkoliitäntäkokonaisuuden valitseminen viestintäjärjestelmässä |
| US8031672B2 (en) | 2004-12-28 | 2011-10-04 | Samsung Electronics Co., Ltd | System and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network |
| KR100636273B1 (ko) * | 2005-01-11 | 2006-10-19 | 삼성전자주식회사 | 이더넷을 통한 mpls 멀티캐스트 패킷 전송 장치 및 방법 |
| KR101210340B1 (ko) | 2005-10-13 | 2012-12-10 | 삼성전자주식회사 | 무선 통신 시스템에서 멀티캐스트/브로드캐스트를 지원하기위한 방법 및 장치 |
| CN1960321B (zh) * | 2005-10-31 | 2011-03-16 | 中兴通讯股份有限公司 | 一种实现组播安全的控制方法 |
| EP1798900A1 (en) | 2005-12-15 | 2007-06-20 | Alcatel Lucent | Access multiplexer |
| CN101414919B (zh) | 2007-10-19 | 2012-11-28 | 上海贝尔阿尔卡特股份有限公司 | 上行组播业务的控制方法及装置 |
-
2007
- 2007-09-26 CN CN200710046438.3A patent/CN101399717B/zh active Active
-
2008
- 2008-09-19 EP EP08800617.6A patent/EP2197161B1/en active Active
- 2008-09-19 KR KR1020107008922A patent/KR101503677B1/ko active IP Right Grant
- 2008-09-19 WO PCT/CN2008/001624 patent/WO2009046622A1/zh active Application Filing
- 2008-09-19 US US12/733,703 patent/US8923181B2/en not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016161636A1 (zh) * | 2015-04-10 | 2016-10-13 | 华为技术有限公司 | 数据包处理方法和相关设备 |
| US10321395B2 (en) | 2015-04-10 | 2019-06-11 | Huawei Technologies Co., Ltd. | Data packet processing method and related device |
| CN111866853A (zh) * | 2015-04-10 | 2020-10-30 | 华为技术有限公司 | 数据包处理方法和相关设备 |
| CN107181971A (zh) * | 2017-05-22 | 2017-09-19 | 华为软件技术有限公司 | 一种iptv终端的升级方法及相关设备 |
| CN106993279A (zh) * | 2017-06-13 | 2017-07-28 | 深圳市伊特利网络科技有限公司 | 终端组播组的建立方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8923181B2 (en) | 2014-12-30 |
| CN101399717B (zh) | 2014-03-12 |
| KR20100087124A (ko) | 2010-08-03 |
| KR101503677B1 (ko) | 2015-03-24 |
| EP2197161A4 (en) | 2012-04-25 |
| US20100290463A1 (en) | 2010-11-18 |
| EP2197161A1 (en) | 2010-06-16 |
| WO2009046622A1 (fr) | 2009-04-16 |
| EP2197161B1 (en) | 2019-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101399717B (zh) | 接入网中的组播ip包发送控制方法及装置 | |
| FI109950B (fi) | Osoitteen saanti | |
| CA2800236C (en) | Methods and apparatus for securing proxy mobile ip background of the invention | |
| Perkins | Mobile ip | |
| US7688792B2 (en) | Method and apparatus for supporting wireless data services on a TE2 device using an IP-based interface | |
| US7949110B2 (en) | Distributed architecture for IP-based telemetry services | |
| NZ553712A (en) | Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain | |
| US20100232306A1 (en) | METHODS FOR SUPPORTING IPv6 USING BRIDGE EXTENSION IN WIRELESS COMMUNICATION SYSTEM | |
| CN101480015A (zh) | 移动代理的拓扑隐藏 | |
| EP1883205A1 (en) | Bridge-based radio access station backbone network system and signal processing method therefor | |
| CN105873052B (zh) | 一种wifi设备入网的方法及装置 | |
| US8311552B1 (en) | Dynamic allocation of host IP addresses | |
| CN101330453A (zh) | 用于无线网络的家乡代理地址获取方法 | |
| WO2003069872A1 (en) | Discovery of an agent or a server in an ip network | |
| CA2288347A1 (en) | System and method for mapping packet data functional entities to elements in a communication network | |
| KR100735321B1 (ko) | 무선 패킷 네트워크에서의 착신 패킷 필터링 장치 및 방법 | |
| CN101399744A (zh) | 一种移动IPv4数据包处理方法、装置及其系统 | |
| CN101426240A (zh) | 控制移动节点在异构接入网之间切换的方法及装置 | |
| US20070177557A1 (en) | Method to dynamically provide link specific information to mobile clients | |
| CN107707685A (zh) | 一种无线路由器访问控制方法 | |
| Malinen | Using private addresses with hierarchical Mobile IPv4 | |
| CN102333295A (zh) | 一种路径建立方法以及漫游宽带远程接入服务器 | |
| Patel | MIPv6 Route Optimization Evaluation and Its Effects on Video Traffic in IPv6 Network | |
| KR20090014626A (ko) | 이종의 네트워크를 갖는 와이브로 네트워크 시스템에서사용자 그룹 기반의 서비스 제공 시스템 및 그 제어방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHANGHAI ALCATEL-LUCENT CO., LTD. Free format text: FORMER NAME: BEIER AERKATE CO., LTD., SHANGHAI |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai Alcatel-Lucent Co., Ltd. Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Beier Aerkate Co., Ltd., Shanghai |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |