CN101547086A - 一种宽带接入网络组播控制方法、系统及装置 - Google Patents
一种宽带接入网络组播控制方法、系统及装置 Download PDFInfo
- Publication number
- CN101547086A CN101547086A CN200810085794A CN200810085794A CN101547086A CN 101547086 A CN101547086 A CN 101547086A CN 200810085794 A CN200810085794 A CN 200810085794A CN 200810085794 A CN200810085794 A CN 200810085794A CN 101547086 A CN101547086 A CN 101547086A
- Authority
- CN
- China
- Prior art keywords
- multicast
- subsystem
- key word
- cryptography key
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种宽带接入网络组播控制系统、方法及设备,该系统包括:接入控制子系统,用于生成组播加密关键字,将所述组播加密关键字发送给用户子系统,并在接收到用户子系统发送的订阅请求后,利用所述组播加密关键字对发往用户子系统的组播帧进行加密,将所述加密过的组播帧发送到所述用户子系统;用户子系统,用于向所述接入控制子系统发送订阅请求来请求组播帧,根据接收的接入控制子系统发送的组播加密关键字解密接收到的所述接入控制子系统加密过的组播帧。本发明在广播式(共享介质)接入应用中,授权用户才能使用组播业务数据,防止非法用户使用组播业务,增强了组播权限控制的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种宽带接入网络组播控制方法、系统及装置。
背景技术
随着网络逐步宽带化,新业务不断涌现,尤其IPTV(因特网电视)类业务得到大量应用。由于IPTV业务一般是组播(多播)应用模式,即同一份数据多人同时共享,如不同用户观看同一个电视频道/节目,这给网络的权限管理带来不小困难。
在DSL(Digital Subscriber Line,数字用户线)用户中,一般在网络边缘的组播鉴权装置中进行组播权限控制,组播鉴权装置包括接入节点(AccessNode,AN),一般在组播鉴权装置中设置用户的组播权限控制表,例如:组播访问控制表(Access Control List,ACL)。组播鉴权装置通过组播权限控制表控制用户对组播频道的访问,由于DSL一般是点到点接入(即:连接的路径是独占的),通过组播权限控制表能够有效控制用户对组播频道的访问,但是对于广播式(共享介质)接入,组播流(连续传递的多个组播帧称之为组播流)是广播(多播)发送的,即一个用户请求了一份组播流,处于这个广播域中的用户都能收到该份组播流。
广播式(共享介质)接入主要包括PON(Passive Optical Network,无源光网络)、WIMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入)等。例如:一个PON接口下的一个用户观看一个节目频道,这个PON接口内的所有用户都能够收到这个节目的组播流,即这个PON内的所有用户都能够观看这个节目,由于组播的点对多点传递特性,组播成员共享组播流,所以不能采用点对点的加密。
现有技术中通过广播电视系统的CA(条件接收)系统进行组播权限控制,主要应用在广播电视领域,如数字电视领域,广播电视系统的CA系统主要是在头端系统进行应用层加密,然后通过机顶盒(STB)进行条件接收。
现有技术中,在头端进行集中控制授权,系统实现复杂,容易引起性能瓶颈;一般要求内嵌智能卡的机顶盒,不利于运营商之间媒体内容共享;且广播电视系统的CA系统并不适合在宽带网络应用。
发明内容
本发明实施例提供了一种宽带接入网络组播控制方法、系统及装置,合法的组播成员用户才能使用组播业务数据,防止非法用户使用组播业务。
本发明实施例提供了一种宽带接入网络组播控制系统,包括:
接入控制子系统,用于生成组播加密关键字,将所述组播加密关键字发送给用户子系统,并在接收到用户子系统发送的订阅请求后,利用所述组播加密关键字对发往用户子系统的组播帧进行加密,将所述加密过的组播帧发送到所述用户子系统;
用户子系统,用于向所述接入控制子系统发送订阅请求来请求组播帧,根据接收的接入控制子系统发送的组播加密关键字解密接收到的所述接入控制子系统加密过的组播帧。
本发明实施例还提供了一种宽带接入网络组播控制方法,包括以下步骤:
生成并分发组播加密关键字集合,所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识;
接收到订阅请求后,利用所述组播加密关键字对组播帧进行加密;
发送所述加密过的组播帧,所述加密过的组播帧能用所述组播加密关键字进行解密。
本发明实施例一种接入控制装置,包括:
关键字生成单元,用于生成组播加密关键字集合,所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识;
关键字分发单元,用于向用户子系统发送所述关键字生成单元生成的组播加密关键字;
数据接收单元,用于接收来自组播源设备的组播帧以及来自用户子系统的组播订阅请求,并将所述组播帧发送到数据加密单元;
数据加密单元,用于从组播订阅请求中解析出的组播流标识,根据所述组播流标识从所述关键字生成单元的组播加密关键字集合中获取组播加密关键字,并利用所述关键字生成单元生成的组播加密关键字及对应的加密算法对发往用户子系统的组播帧进行加密,并将加密过的组播帧发送到数据发送单元;
数据发送单元,用于确定所述数据接收单元接收到用户子系统发送的订阅请求后,根据组播转发表向用户子系统发送所述数据加密单元加密过的组播帧。
本发明的实施例中,在广播式(共享介质)接入应用中,授权用户才能使用组播业务数据,防止非法用户使用业务。加强了在共享介质接入的组播安全控制,杜绝了未授权或恶意访问,保护了运营商的投资。
附图说明
图1是本发明实施例中宽带接入网络组播控制系统;
图2是本发明实施例中在PON系统中的应用示意图;
图3是本发明实施例中组播业务控制流程图;
图4是本发明实施例中PON系统的关键字刷新或切换流程图;
图5是本发明实施例中常用共享介质系统的应用流程图;
图6是本发明实施例中加密前的明文组播帧示意图;
图7是本发明实施例中加密后的组播帧示意图;
图8是本发明实施例中吉比特无源光网络帧结构;
图9是本发明实施例中吉比特无源光网络关键字消息结构;
图10是本发明实施例中以太网无源光网络关键字消息结构。
具体实施方式
本发明实施例中提供了一种宽带接入网络组播控制系统,可应用于PON或常用共享介质等系统中,如图1所示,包括:接入控制子系统100和用户子系统101、102、103。其中,
接入控制子系统100包括:关键字生成单元(Key Generator Unit,KGU)A101、关键字分发单元(Key Distribution Unit,KDU)A102、控制授权单元(Control Authorization Unit,CAU)A103、数据加密单元(Data Encryption Unit,DEU)A104、数据发送单元(Data Sending Unit,DSU)A105、订阅管理单元(Subscription Control Unit、SCU)A106、数据接收单元(Data Receiving Unit,DRU)A107;
用户子系统分别包括:终端订阅单元(Client Subscription Unit,CSU)B101、终端解密单元(Client Decryption Unit,CDU)B102、终端关键字单元(ClientKey Unit,CKU)B103。
接入控制子系统100可以实现在一台设备中,所述的设备包括:DSLAM(Digital Subscriber Line Access Multiplexer,数字用户线接入复接器)、NAS(Network Access Server,网络访问服务器)、边缘路由器、基站等,也可以是多台设备组成(不同的单元分布在不同的设备上);CSU B101与CDU B102和CKU B103可以分布在不同用户终端中,CDU B102和CKU B103一般集成在一个设备中。
其中,KGU A101,用于生成组播加密关键字集合(Multicast EncryptionKey,MEK),该集合中包括一个或多个组播加密关键字,这些组播加密关键字与组播流标识相对应,MEK用于对组播帧进行加密或解密。组播帧的加密和解密关键字一般使用对称关键字,关键字(或称之为密钥)长度和类型根据具体实现决定,DEU A104用MEK对组播帧进行加密,用户子系统的CDUB102用MEK对加密后的组播帧进行解密,KGU A101一般通过伪随机函数(pseudo-random function,PRF)产生一个随机数,再根据此随机数生成MEK。
KDU A102,用于管理MEK,包括维护MEK的状态、向用户子系统分发MEK、通知用户子系统刷新或切换MEK等,例如:KDU A102向用户子系统的CKU B103分发MEK或KDU A102通知用户子系统的CKU B103进行MEK切换。分发MEK以及刷新切换MEK通知消息的实现协议可以根据具体实现决定,可以包括:OMCI、IGMP、MLD、CAPWAP、MPCP(Multi-Point ControlProtocol,多点控制协议)、OAM(Operations Administration and Maintenance,操作维护管理)等,MEK可以使用接入控制子系统和用户子系统事先协商的点对点关键字加密后分发,所述的事先协商的点对点关键字包括:预先共享(pre-shared)的点对点关键字、用户子系统通知给接入控制子系统的公用点对点关键字(public-key)等。在组播(或称多播)应用中,一个或者多个组播流共享一个MEK,所有合法的用户子系统(即组播成员)使用MEK解密组播帧。KDU A102管理维护的MEK如表1所示:
表1 MEK状态表
其中227.100.1.0/24表示范围,表示227.100.1.0到227.100.1.255的所有组播流标识。
CAU A103,用于对用户子系统的订阅请求进行鉴权,例如:通过组播权限控制表对用的组播请求进行控制,组播权限控制表2所示:
表2 组播权限控制表
组播权限控制表一般预先配置,通过组播权限控制表可以确定一个用户访问一个组播流或多个组播流的权限。
DEUA104,用于加密组播帧,所述的组播帧指发往用户子系统的组播帧,DEU A104采用的加密方法(算法)可以根据具体的实现而定,如使用IPSec加密、IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)802.1ae的MACSec加密、PON层加密、无线空口加密、SRTP(SecureReal-time Transport Protocol,安全实时流传输协议)加密等。
DSU A105,用于发送数据,包括DEU A104加密后的组播帧、MEK分发或切换消息等。
SCU A106,用于处理组播订阅请求,如处理用户子系统的CSU B101发送的IGMP或MLD报告(Report)消息,SCU A106具体可以是一个IGMP/MLD探测(snooping)或代理(Proxy)。
DRU A107,用于接收数据,包括接收来自组播源设备的组播帧、来自用户子系统的组播订阅请求等。
本发明实施例在PON系统中的应用如图2所示:PON由安装于中心控制站的光线路终端(Optical Line Terminals,OLT)、光配线网(Optical DistributionNetwork,ODN)和安装在用户场所的光网络单元(Optical Network Unit,ONU)三部分组成。在下行方向采用广播的方式传输数据帧,上行方向采用复用方式完成多个ONU的接入。接入控制子系统100为OLT设备,用户子系统101、102、103为ONU(ONT)设备和/或主机。CDU B102和CKU B103位于ONT中,CSU B101可以实现在ONT或主机中。KGU A101、KDU A102、CAU A103、DEU A104、DSU A105、SCU A106、DRU A107实现在OLT中。下面描述接入控制子系统100和用户子系统的处理。
接入控制子系统100的处理包括控制面处理和数据面处理,其中数据面处理包括:
接入控制子系统100接收到组播源发送的组播流(Multicast Flow,MCFlow),将组播数据流进行加密,然后将加密后的组播流转发至用户子系统,需要说明的是,对于一个PON接口,接入控制子系统100发送一份或者多份组播流,由于PON是广播发送的,因此所有的用户子系统都可以收到接入控制子系统发送的组播流。具体实现可以是:DRU A107接收到组播源发送的组播流中的组播帧后,DRU A107将组播帧交给DEU A104进行加密,DEU A104根据组播帧的组播流标识获取组播帧加密的MEK,然后按照对应的加密算法和MEK对组播帧进行加密,DEU A104将加密后的组播帧交给DSU A105,DSUA105再根据组播转发表将组播帧转发出去,组播转发表一般由SCU A106建立和删除,组播转发表包括流标识以及转发出口(例如:端口),所述的流标识可以从组播帧的IP或以太网首部的目的(即组播)地址字段中获取。
接入控制子系统100的控制面处理包括:
接入控制子系统100接收到组播订阅请求,解析所述的订阅请求获取组播流标识等订阅参数以及用户标识信息,然后根据所述的组播流标识获取该组播流标识对应的MEK,然后将该MEK分发到发起该订阅请求的用户子系统,同时建立组播转发表以及将用户子系统作为组播成员并记录其状态。优选的,接入控制子系统100接收到订阅请求后还包括对该订阅请求进行鉴权处理,如果鉴权失败,则不分发MEK。具体实现可以是:DRU A107接收到订阅请求消息后,DRU A107将该消息交给SCU A106处理,SCU A106解析该消息,获取订阅参数和用户标识信息,CAU A103根据SCU A106提供的订阅参数和用户标识信息进行鉴权处理,SCU A106通知KDU A102分发MEK。KDU A102首先检查组播流标识的MEK是否已经存在,如果不存在则请求KGU A101生成一个新的MEK。
接入控制子系统100接收到组播订阅撤离,接入控制子系统100可以刷新或切换该订阅撤离包括的组播流标识对应的MEK。接入控制子系统100可以支持周期性的刷新MEK。刷新MEK具体可以是KDU A102请求KGU A101生成一个新的MEK,然后将MEK保存起来,同时将MEK通过MEK分发协议消息发送到用户子系统。
用户子系统的处理包括控制面处理和数据面处理,其中数据面处理包括:
用户子系统接收到接入控制子系统100发送的加密后的组播帧,根据所述的组播帧的组播流标识获取对应的MEK,然后使用MEK解密所述加密后的组播帧,具体实现可以是用户子系统的CDU B102根据组播流标识,从CKU B103中获取MEK。
用户子系统的控制面处理包括:
用户子系统接收到接入控制子系统100发送的MEK分发消息或切换消息,CKU B103根据该消息保存MEK或进行MEK切换。用户子系统可以支持根据组播流中的组播帧的切换标识进行MEK切换,也可以根据时间定时切换。
用户子系统向接入控制子系统100发送订阅请求或撤离消息,通知接入控制子系统100进行订阅或撤离处理。
本发明实施例在PON系统中的处理如图3所示,接入控制子系统100为OLT设备,用户子系统为ONU(ONT)设备和/或主机,主要包括以下步骤:
S301,用户子系统开始组播订阅请求,例如:主机发送加入(Join)请求,具体如:主机的CSU B101发送IGMP或MLD报告(REPORT)消息,订阅请求可以包含订阅参数、用户标识信息等,用户标识信息具体包括主机的IP地址、MAC地址、终端标识等。订阅参数包括组播流标识,例如:组播组地址。
S302,接入控制子系统进行订阅请求处理。OLT的DRU A107接收到加入请求消息,交由SCU A106处理订阅请求,如解析IGMP或MLD报告消息,获取订阅参数和用户标识信息,用户标识信息还可以包括OLT接收到所述的加入请求消息的OLT设备端口,CSU B101通知CAU A103对用户子系统的订阅请求进行鉴权,如果鉴权成功,则通知KDU A102给用户终端分发MEK,同时SCU A106配置组播转发表,将用户子系统的用户标识作为组播成员增加到组播成员状态记录中。CAU A103的鉴权具体包括:CAU A103根据用户的订阅参数和用户标识信息,查验用户的组播权限控制表,如组播ACL表,用户订阅的组播流标识对应的权限为允许,则鉴权成功。
S303,OLT分发MEK。OLT的KDU A102根据用户标识信息获取发送该订阅请求的用户子系统对应的CKU B103所在设备的标识,如ONU标识(ID)或GEM PORT信息或ONU的MAC地址或LLID(逻辑链路标识),OLT的KDU A102将MEK通过MEK分发协议消息发送到用户子系统。OLT可以通过点对点关键字对MEK或MEK分发协议消息进行加密。MEK分发协议消息可以包括组播流标识、加密算法,进一步可以包括时间戳(timestamp)。例如:OLT采取OMCI分发MEK,KDU A102将MEK作为OMCI的ME(ManageEntity,管理实体)封装到OMCI消息中,发送OMCI设置(Set)消息(OMCI消息中的消息类型编码为8)到指定的ONU,具体可以是在OMCI定义一个多播关键字ME(Multicast key info),多播关键字ME对应一个类型编号(classvalue,对应于Message Identifier前两位),多播关键字ME包括组播流标识、MEK值、加密类型。组播流标识对应组播帧的标识,可以是一个组播地址或一个时间戳或端口标识(PORTID)。
S304,用户子系统受理MEK。ONU接收到MEK分发协议消息,解析该消息获取MEK,然后存储MEK以及对应的信息,例如:组播流标识、加密类型,时间戳等。
S305,接入控制子系统加密组播流。OLT的DEU A104加密DRU A107接收到的组播帧,DRU A107接收上行设备(例如:IP边缘设备)发送的组播帧,获取的组播帧的组播流标识,根据组播流标识获取MEK,DEU A104加密算法(类型)可以协定,本实施例中,DEU A104实现PON的AES等算法加密ATM或GEM帧或以太网帧的数据载荷(payload)部分。
S306,接入控制子系统转发组播帧。OLT的DSU A105将加密后的组播帧向用户子系统发送出去,DSU A105根据SCU A106配置的组播转发表转发加密后的组播帧,即DSU A105只将组播帧发往已经存在用户子系统(组播成员)的PON端口。
S307,用户子系统解密组播帧。ONU的CDU B102根据CKU B103的MEK解密接收到的组播帧,然后将解密后的组播帧发往主机。
本发明实施例二中,PON系统的MEK刷新或切换应用图,接入控制子系统100为OLT设备,用户子系统101、102、103为ONU(ONT设备和/或主机,OLT设备使用MEK分发或切换协议消息通知ONU/ONT。流程如图4所示,主要包括以下步骤:
S401,接入控制子系统检测MEK刷新或切换事件,触发MEK刷新或切换。OLT的KDU A102检测MEK切换事件,MEK刷新或切换事件包括定时(period)触发刷新或切换事件、接入控制子系统100接收到订阅撤离(例如:组播成员离开)触发(如SCU A106收到用户的IGMP离开消息)。
S402,接入控制子系统进行MEK刷新或切换。OLT的KDU A102检测到MEK刷新或切换事件,开始MEK刷新或切换、OLT的KDU A102一次可以刷新或切换一个或多个组播流的MEK,OLT的KDU A102通知KGU A101生成一个或多个MEK,然后KDU A102获取KGU A101生成的MEK,OLT的KDU A102向SCU A106查询待刷新或切换MEK的组播成员状态记录,KDU A102将新的MEK以及组播流标识或切换标记封装到MEK分发或切换协议消息,然后使用MEK分发或切换协议消息向组播成员记录中的用户子系统成员通知新的MEK或切换MEK。所述的切换标记包括时间或帧标记,用于指示用户子系统的CDU B102启用新的MEK进行解密组播帧,例如:GPON系统中的超帧(Ident)中的复帧计数器值。
S403,用户子系统进行MEK切换或刷新处理。ONU接收到MEK分发或切换协议消息(例如:OAM消息),解析该消息,获取新的MEK或切换MEK的切换标记,然后存储新的MEK或切换MEK的切换标记。
S404,接入控制子系统使用新的MEK加密组播帧。OLT的DEU A104切换到新的MEK加密组播帧,例如:在约定时间使用新的MEK加密DRUA107接收到的组播帧。
S405,接入控制子系统转发加密后的组播帧。OLT的DSU A105将加密后的组播帧向用户子系统发送出去。
S406,用户子系统使用新的MEK解密组播帧。例如:ONU的CDU B102在约定时间使用CKU B103中新的MEK解密接收到的组播帧,然后将解密后的组播帧发往主机。
本发明实施例三,常用共享介质系统的应用图,接入控制子系统100为接入设备,如DSLAM或IP边缘设备,用户子系统101、102、103为RG和/或主机,DSLAM或IP边缘设备以及RG支持IPSec加密或MACSec加密或SRTP,组播流实现IPSec加密或MACSec加密或SRTP加密,IPSec加密时可以只需要使用ESP,MEK分发或切换消息的实现协议不限,例如:SNMP协议或CAPWAP(Control And Provisioning of Wireless Access Points,无线访问点控制和部署协议)或TR-069或IKE。流程如图5所示,包括以下步骤:
S501,IP边缘设备或DSLAM的DSU A105收到订阅请求,开始处理订阅请求(例如:通知KDU A102给用户终端分发MEK,同时SCU A106配置组播转发表,记录组播成员状态)。所述的订阅请求可能来源于应用服务器(例如:AAA服务器或策略控制器或网管服务器)中转的,IP边缘设备或DSLAM的DSU A105收到的订阅请求由于经过应用服务器中转的,所以可以不需要继续对订阅请求进行鉴权,订阅请求可以包括发放的组播流标识和用户标识信息,组播流标识包括组播组地址,用户标识信息包括端口、终端或主机的地址等。此时IP边缘设备或DSLAM可以没有CAU A103和不具备鉴权功能。
S502,IP边缘设备或DSLAM的KDU A102分发MEK,即将MEK通知给用户子系统,IP边缘设备或DSLAM的KDU A102将MEK或组播流标识等信息封装到MEK分发消息中,发送该消息到用户子系统。组播流标识包括组播组IP地址、组播MAC地址、SPI等,KDU A102分发MEK一般采取安全通道,即KDU A102使用点对点关键字加密MEK或MEK分法消息后才发送出去。
S503,受理MEK。RG接收到IP边缘设备或DSLAM的KDU A102的MEK分法消息,获取MEK交由CKU B103处理,例如:保存MEK信息。
S504,IP边缘设备或DSLAM的DEU A104加密组播组帧,例如:IP边缘设备或DSLAM的DEU A104可以使用IPSec的ESP加密,也可以使用MACSec加密,优选的使用IPSec的ESP加密,加密组播帧的MEK根据组播流标识从KDU A102获取。
S505,IP边缘设备或DSLAM的DSU A105将加密后的组播帧向用户子系统发送出去。
S506,RG的CDU B102根据CKU B103的MEK解密接收到的组播帧,然后将解密后的组播数据帧发往主机。
S507,IP边缘设备或DSLAM的KDU A102检测MEK刷新或切换事件,MEK刷新或切换事件包括定时触发切换事件、订阅撤离触发、管理操作指令触发。需要说明的是,如果是订阅撤离触发,IP边缘设备或DSLAM会将用户子系统作为组播成员从组播成员状态记录中删除。
S508,IP边缘设备或DSLAM的KDU A102检测到MEK刷新或切换事件,开始MEK刷新或切换、发送MEK刷新或切换消息,通知该组播组的所有用户子系统新的MEK或切换标记,A102KDU需要根据DSU A105保存的该组播成员状态记录逐一通知,一般的,一个组播组的成员对应一个用户子系统。
S509,RG接收到IP边缘设备或DSLAM的KDU A102的MEK刷新或切换消息,获取新的MEK或切换标记交由CKU B103处理(例如:保存)。
S510,启用新的MEK加密组播帧。例如:IP边缘设备或DSLAM的DEUA104在约定时间使用新的MEK加密DRU A107接收到的组播帧,DEU A104可以在加密的组播帧中设置MEK切换标记。
S511,IP边缘设备或DSLAM的DSU A105将加密后的组播帧向用户子系统发送出去。
S512,用户子系统使用新的MEK解密组播帧。例如:RG的CDU B102在约定时间或根据加密组播帧的切换标记使用B103CKU中新的MEK解密接收到的组播帧,然后将解密后的组播帧发往主机。
本发明实施例四详细描述采用IPSec ESP加密和解密组播帧的方法,加密组播帧指将明文组播帧经过数据计算后转换成密文组播帧,解密组播帧指将密文组播帧经过数据计算后还原成明文组播帧。在本实施例中,接入控制子系统接收到的组播源发送的组播帧为明文组播帧,组播帧一般包括IP载荷603和IP首部602,如图6所示,IP载荷603包括的是组播业务数据604,IP首部602包括目的IP(Destination Address)602A和源IP(Source Address)602B,目的IP602A一般是一个组播组地址,源IP(Source Address)602B是发送组播帧的源设备的IP地址。IP首部602之前还可以包括链路层首部601,如以太网首部。
IPSec加密组播帧可以使用隧道模式和透明模式,优选使用透明模式,如图7所示,使用IPSec透明模式加密后的组播帧包括包括IP载荷703和IP首部702以及ESP首部705,IP首部702之前还可以包括链路层首部701,如以太网首部。IP载荷703包括的是密文的组播业务数据704。ESP首部705包括SPI(Security Parameters Index,全参数索引)705A和/或序列号(SequenceNumber)705B。
接入控制子系统的DEU A104加密组播帧具体包括:
1、接收到组播帧,例如DRU A107接收到如图6所示的组播帧交给DEUA104,DEU A104解析组播帧,获取IP载荷部分保护的组播业务数据以及IP首部;
2、DEU A104根据IP首部的目的IP和/或源IP作为组播流标识,获取该流标识对应的MEK,使用指定的算法将组播业务数据和MEK进行计算得到密文组播业务数据;
3、创建ESP首部,包括生成SPI以及序列号域等,SPI以及序列号可以作为MEK切换标记,A104DEU可以通过改变SPI或序列号值指示MEK切换;
4、将明文组播帧的IP首部、新创建的ESP首部、密文组播业务数据按照标准的格式重组成组播帧,如图7所示的格式,详细重组格式请参见RFC标准,例如RFC 2406,链路层首部可以是明文组播帧的链路层首部,也可以是重新构造的链路层首部。
用户子系统的CDU B102解密组播帧具体包括:
1、接收到密文组播帧,例如ONU接收到如图7所示的组播帧,解析组播帧以及获取IP载荷包含的密文组播业务数据、ESP首部以及IP首部;
2、根据IP首部和/或ESP首部获取组播流标识,根据组播流标识获取解密的MEK,然后将MEK和密文组播业务数据计算得到还原的明文组播业务数据,B102CDU可以根据IP首部的IP地址或SPI或序列号值或时间戳获取MEK;
3、将从密文组播帧得到的IP首部和明文组播数据等生成明文组播帧,链路层首部可以是密文组播帧的链路层首部,也可以是重新构造的链路层首部。
本发明实施例五详细描述采用吉比特的无源光网络(GPON)加密和解密组播帧的方法,如图8所示。在GPON应用中,OLT可以加密吉比特的无源光网络封装(GEM)载荷或以太网载荷。GPON组播帧包括物理层控制块(PCBd)和GPON的帧净荷。物理层控制块(PCBd)进一步包括物理层同步(Psync)和超帧指示(Ident),GPON帧净荷包括GEM首部和GEM载荷,GEM首部包括端口标识(PortID)和载荷指示(PTI),GEM载荷包括以太网首部和以太网载荷,以太网首部包括目的地址和源地址,以太网载荷还进步一步可以包括IP首部和IP载荷。GPON组播帧的流标识可以由下列参数中的至少一个组成:GEM首部的端口标识(PortID)、以太网首部的目的地址、以太网首部的源地址、IP首部的目的地址、IP首部的源地址等。超帧指示(Ident)包括了帧计数器,超帧指示可以用于帧的MEK切换标记。
本发明实施例六详细描述采用吉比特的无源光网络(GPON)使用OAM消息分发和切换MEK的消息,如图9所示,OAM的帧结构,其包括:ONU标识(ONU-ID)、消息标识(Message-ID)、数据(data)及循环冗余码(CyclicRedundancy Code,CRC)。MEK分发消息格式见表3:
表3 MEK分发消息格式
MEK切换消息格式见表4:
表4 MEK切换消息格式
| 字节编号 | 内容 | 描述 |
| 1 | ONU-ID或11111111 | 向指定ID对应的ONU发送的消息或者所有ONU发送的消息。向所有ONU广播的消息时,ONU-ID=0xFF。 |
| 2 | YY | 表明消息为MEK切换消息 |
| 3-12 | 切换标记 | MEK切换标记(如super frame number)和/或组播流标识。 |
本发明实施例七详细描述采用以太网的无源光网络(EPON)使用OAM消息分发和切换MEK的消息,如图10所示,EPON采用OAM实现MEK分发或切换消息的帧结构,包括:目的地址、源地址、消息类型、组播流标识、MEK。目的地址为用户子系统的ONU地址,源地址为OLT地址、消息类型用于识别MEK分发或切换消息、组播流标识包括组播地址、LLD等。
本发明的实施例中,在广播式(共享介质)接入应用中,授权用户才能使用组播业务数据,防止非法用户使用组播业务。加强了在共享介质接入的组播安全控制,杜绝了未授权或恶意访问,保护了运营商的投资。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (13)
1、一种宽带接入网络组播控制系统,其特征在于,包括:
接入控制子系统,用于生成组播加密关键字,将所述组播加密关键字发送给用户子系统,并在接收到用户子系统发送的订阅请求后,利用所述组播加密关键字对发往用户子系统的组播帧进行加密,将所述加密过的组播帧发送到所述用户子系统;
用户子系统,用于向所述接入控制子系统发送订阅请求来请求组播帧,根据接收的接入控制子系统发送的组播加密关键字解密接收到的所述接入控制子系统加密过的组播帧。
2、如权利要求1所述宽带接入网络组播控制系统,其特征在于,所述接入控制子系统包括:
关键字生成单元,用于生成组播加密关键字集合,所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识;
关键字分发单元,用于向用户子系统发送所述关键字生成单元生成的组播加密关键字;
数据接收单元,用于接收来自组播源设备的组播帧以及来自用户子系统的组播订阅请求,并将所述组播帧发送到数据加密单元;
数据加密单元,用于从组播订阅请求中解析出的组播流标识,根据所述组播流标识从所述关键字生成单元的组播加密关键字集合中获取组播加密关键字,并利用所述关键字生成单元生成的组播加密关键字及对应的加密算法对发往用户子系统的组播帧进行加密,并将加密过的组播帧发送到数据发送单元;
数据发送单元,用于确定所述数据接收单元接收到用户子系统发送的订阅请求后,根据组播转发表向用户子系统发送所述数据加密单元加密过的组播帧。
3、如权利要求2所述宽带接入网络组播控制系统,其特征在于,所述接入控制子系统还包括:
订阅管理单元,用于接收所述数据接收单元的用户子系统的组播订阅请求后建立所述组播转发表,接收到用户子系统的撤离请求时,删除所述组播转发表。
4、如权利要求2所述宽带接入网络组播控制系统,其特征在于,所述关键字分发单元还用于:
检测到关键字刷新或切换事件,通知所述关键字生成单元生成一个或多个组播加密关键字,将新的组播加密关键字通知用户子系统。
5、如权利要求4所述宽带接入网络组播控制系统,其特征在于,
所述刷新或切换事件包括定时触发、或接收到所述接入控制子系统发送的订阅撤离请求。
6、如权利要求2所述宽带接入网络组播控制系统,其特征在于,所述接入控制子系统还包括:
控制授权单元,用于根据组播订阅请求中的订阅参数和用户标识信息对发送所述订阅请求的用户子系统进行鉴权,确定所述用户子系统访问组播流的权限。
7、如权利要求1至4中任一项所述宽带接入网络组播控制系统,其特征在于,所述接入控制子系统为光线路终端OLT,所述用户子系统为光网络单元ONU或主机;或
所述接入控制子系统为IP边缘设备或数字用户线接入复用器DSLAM;所述用户子系统为RG或主机。
8、一种宽带接入网络组播控制方法,其特征在于,包括以下步骤:
生成并分发组播加密关键字集合,所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识;
接收到订阅请求后,利用所述组播加密关键字对组播帧进行加密;
发送所述加密过的组播帧,所述加密过的组播帧能用所述组播加密关键字进行解密。
9、如权利要求8所述宽带接入网络组播控制方法,其特征在于,所述利用所述组播加密关键字对组播帧进行加密具体包括:
从组播订阅请求中解析出组播流标识;
根据所述组播流标识从所述组播加密关键字集合中获取组播加密关键字;
利用所述组播加密关键字及对应的加密算法对组播帧进行加密。
10、如权利要求8所述宽带接入网络组播控制方法,其特征在于,所述生成并分发组播加密关键字之后还包括:
检测到关键字刷新或切换事件,更新所述组播加密关键字。
11、如权利要求10所述宽带接入网络组播控制方法,其特征在于,
所述刷新或切换事件包括定时触发、或接收到订阅撤离请求。
12、一种接入控制装置,其特征在于,包括:
关键字生成单元,用于生成组播加密关键字集合,所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识;
关键字分发单元,用于向用户子系统发送所述关键字生成单元生成的组播加密关键字;
数据接收单元,用于接收来自组播源设备的组播帧以及来自用户子系统的组播订阅请求,并将所述组播帧发送到数据加密单元;
数据加密单元,用于从组播订阅请求中解析出的组播流标识,根据所述组播流标识从所述关键字生成单元的组播加密关键字集合中获取组播加密关键字,并利用所述关键字生成单元生成的组播加密关键字及对应的加密算法对发往用户子系统的组播帧进行加密,并将加密过的组播帧发送到数据发送单元;
数据发送单元,用于确定所述数据接收单元接收到用户子系统发送的订阅请求后,根据组播转发表向用户子系统发送所述数据加密单元加密过的组播帧。
13、如权利要求12所述接入控制装置,其特征在于,所述接入控制子系统还包括:
订阅管理单元,用于接收所述数据接收单元的用户子系统的组播订阅请求后建立所述组播转发表,接收到撤离请求时,删除所述组播转发表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810085794A CN101547086A (zh) | 2008-03-24 | 2008-03-24 | 一种宽带接入网络组播控制方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810085794A CN101547086A (zh) | 2008-03-24 | 2008-03-24 | 一种宽带接入网络组播控制方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101547086A true CN101547086A (zh) | 2009-09-30 |
Family
ID=41194002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810085794A Pending CN101547086A (zh) | 2008-03-24 | 2008-03-24 | 一种宽带接入网络组播控制方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101547086A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2439871A4 (en) * | 2010-01-25 | 2013-05-01 | Zte Corp | METHOD AND DEVICE FOR ENCRYPTING A MULTICAST SERVICE IN A PASSIVE OPTICAL NETWORK SYSTEM |
| CN103200470A (zh) * | 2013-04-07 | 2013-07-10 | 潍坊学院 | 一种吉比特无源光网络系统组播业务的分发装置及方法 |
| CN106031089A (zh) * | 2014-02-28 | 2016-10-12 | 阿尔卡特朗讯公司 | 经由公共WiFi网络的互联网协议电视 |
| CN107852364A (zh) * | 2015-08-10 | 2018-03-27 | 高通股份有限公司 | 多个宽带订阅共享 |
-
2008
- 2008-03-24 CN CN200810085794A patent/CN101547086A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2439871A4 (en) * | 2010-01-25 | 2013-05-01 | Zte Corp | METHOD AND DEVICE FOR ENCRYPTING A MULTICAST SERVICE IN A PASSIVE OPTICAL NETWORK SYSTEM |
| US8942378B2 (en) | 2010-01-25 | 2015-01-27 | Zte Corporation | Method and device for encrypting multicast service in passive optical network system |
| CN103200470A (zh) * | 2013-04-07 | 2013-07-10 | 潍坊学院 | 一种吉比特无源光网络系统组播业务的分发装置及方法 |
| CN103200470B (zh) * | 2013-04-07 | 2016-06-22 | 潍坊学院 | 一种吉比特无源光网络系统组播业务的分发装置及方法 |
| CN106031089A (zh) * | 2014-02-28 | 2016-10-12 | 阿尔卡特朗讯公司 | 经由公共WiFi网络的互联网协议电视 |
| CN106031089B (zh) * | 2014-02-28 | 2019-05-10 | 阿尔卡特朗讯公司 | 用于接收组播频道的方法和装置 |
| CN107852364A (zh) * | 2015-08-10 | 2018-03-27 | 高通股份有限公司 | 多个宽带订阅共享 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8335316B2 (en) | Method and apparatus for data privacy in passive optical networks | |
| CA2769226C (en) | Optical network terminal management control interface-based passive optical network security enhancement | |
| Choi et al. | Efficient secure group communications for SCADA | |
| CN101102152B (zh) | 无源光网络中保证数据安全的方法 | |
| CN107040378A (zh) | 一种基于多用户远程通信的密钥分配系统与方法 | |
| US20090292914A1 (en) | Nodes and systems and methods for distributing group key control message | |
| US7450719B2 (en) | Gigabit Ethernet-based passive optical network and data encryption method | |
| CN105610590B (zh) | 一种组播报文传输方法和装置 | |
| US8942378B2 (en) | Method and device for encrypting multicast service in passive optical network system | |
| CN101547086A (zh) | 一种宽带接入网络组播控制方法、系统及装置 | |
| CN102905199A (zh) | 一种组播业务实现方法及其设备 | |
| CN101282177B (zh) | 一种数据传输方法和终端 | |
| KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
| JP2004260556A (ja) | 局側装置、加入者側装置、通信システムおよび暗号鍵通知方法 | |
| JPWO2001050686A1 (ja) | 情報送受信装置 | |
| CN102055583B (zh) | 一种组播密钥的安全分发方法、系统及设备 | |
| CN100391202C (zh) | 在共享媒体网络中实现组播的方法和设备 | |
| WO2023221856A1 (zh) | 量子保密通信方法和设备、量子密码服务网络和通信系统 | |
| JP2006245778A (ja) | 通信装置、通信方法、およびプログラム | |
| Pinto et al. | Smiz-secure multicast iptv with efficient support for video channel zapping | |
| Wang et al. | Design of EPON system data encryption based on time function and service level | |
| Hu et al. | NIS03-3: RC4-based security in Ethernet passive optical networks | |
| Singaravelan | PERFORMANCE ANALYSIS OF KEY GROUP MANAGEMENT STRUCTURE IN WSN FROM NODE TO NODE | |
| JP2013072965A (ja) | 共通鍵暗号通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090930 |