CN101610254A - 组播用户权限控制方法、组播认证服务器和接入设备 - Google Patents
组播用户权限控制方法、组播认证服务器和接入设备 Download PDFInfo
- Publication number
- CN101610254A CN101610254A CNA2009100875159A CN200910087515A CN101610254A CN 101610254 A CN101610254 A CN 101610254A CN A2009100875159 A CNA2009100875159 A CN A2009100875159A CN 200910087515 A CN200910087515 A CN 200910087515A CN 101610254 A CN101610254 A CN 101610254A
- Authority
- CN
- China
- Prior art keywords
- multicast
- authentication
- authentication server
- message
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种组播用户权限控制方法、一种组播认证服务器和一种接入设备。所述方法包括:组播认证服务器上配置有用户组播权限信息表;当组播认证服务器接收到来自用户终端设备的组播加入请求报文时,根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证;如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限。本发明的技术方案,能够实现基于用户的组播接收者权限控制。
Description
技术领域
本发明涉及网络通信技术领域,尤指一种组播用户权限控制方法和一种组播认证服务器。
背景技术
组播技术是因特网协议(IP)网络数据传输方式中的一种,与单播技术相比能够有效地节省带宽资源。
图1是现有技术中的单播数据传输方式的示意图。如图1所示,源主机向目标主机发送IP报文时,IP报文中的目标地址就是目标主机的地址。如果相同的报文内容需要发送至多个目标主机时,源主机必须复制相同数目的目标地址不同的IP报文,分别进行发送。
图2是现有技术中的组播数据传输方式的示意图。如图2所示,对于一份组播的流量,源主机只需要转发一份数据,而在传输链路上,也只在需要的链路上进行组播转发。
可见,组播技术避免了不必要的报文复制,能够有效地节省网络带宽。
图3是现有技术中的组播转发流程图。如图3所示,包括以下步骤:
步骤300,组播源开始向网络发送组播流,使用(S,G)来标识一条组播流,其中S表示组播源,G表示组播组。
步骤301,组播接收者A希望接收组播流(S,G),通过接入设备向本地子网内的DR设备,即因特网组管理协议(IGMP,Internet GroupManagement Protocol)/组播侦听发现(MLD,Multicast Listener Discovery)设备,发送IGMP或MLD组播加入请求报文。这里接入设备是与用户终端(如组播接收者A)直接连接的网络侧设备。
本步骤中,如果是IPv4网络,则所发送的组播加入请求报文是IGMP组播加入请求报文,如果是IPv6网络,则所发送的组播加入请求报文是MLD组播加入请求报文。
步骤302,DR收到IGMP/MLD组播加入请求报文后,向上游的组播转发设备,如PIM路由器等,发送PIM JION报文,建立组播分布树。
步骤303,PIM JION报文向组播源方向一跳一跳地被发送,最终发送到直连组播源的组播转发设备,即倒数第一跳的组播转发设备。
步骤304。直连组播源的组播转发设备建立(S,G)表项,将组播流延组播分布树发送。
步骤305,组播流延组播分布树被发送。
步骤306,组播流最终被转发给组播接收者A。
在上述组播转发的流程中,对组播源以及组播接收者都没有进行控制。但在实际应用中,由于组播流量交道,需要考虑到对组播进行控制,以防止组播泛滥。
在现有技术中已经提出了一些对组播源以及组播接收者进行控制的方案,其中,对组播接收者的控制使用基于端口的控制,即只有被许可的端口上的接入用户可以接收组播流。但是这种基于端口控制组播接收者的方案,不够灵活,当一个用户从被许可的端口切换都未被无可的端口时,不再能够接收组播流。
发明内容
本发明提供了一种组播用户权限控制方法,该方法能够实现基于用户的组播接收者权限控制。
本发明还提供了一种组播认证服务器,该组播认证服务器能够实现基于用户的组播接收者权限控制。
本发明还提供了一种接入设备,该接入设备能够实现基于用户的组播接收者权限控制。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明公开了一种组播用户权限控制方法,组播认证服务器上配置有用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系,该方法包括:
组播认证服务器接收来自用户终端设备的组播加入请求报文;
组播认证服务器根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证;
如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限。
本发明还公开了一种组播认证服务器,该组播认证服务器包括:存储模块、报文收发模块和查询模块,其中,
存储模块,用于存储用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系;
报文收发模块,接收来自用户终端设备的组播加入请求报文,并将该组播加入请求报文发送给查询模块;
查询模块,用于根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证;如果已经通过单播认证,则根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限。
本发明公开了一种接入设备,该接入设备包括:组播加入请求报文处理模块;
所述组播加入请求报文处理模块,用于接收用户终端设备发送的组播加入请求报文;用于将该组播加入请求报文发送给组播认证服务器进行认证,接收组播认证服务器返回的认证结果;用于在所述认证结果表示组播认证成功时,继续转发所述组播加入请求报文,反之,在所述认证结果表示组播认证失败时,丢弃所述组播加入请求报文;
其中,所述组播认证服务器上配置有用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系;所述组播认证服务器在接收到组播加入请求报文时,向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证;如果没有通过单播认证,则组播认证服务器向接入设备下发组播认证失败的认证结果;如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限,是则,组播认证服务器向接入设备下发组播认证成功的认证结果,否则,组播认证服务器向接入设备下发组播认证失败的认证结果。
由上述技术方案可见,本发明这种预先在组播认证服务器上配置用户组播权限信息表,当组播认证服务器接收来自用户终端设备的组播加入请求报文时,根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证,如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限的技术方案,能够实现基于用户的组播接收者权限控制。
附图说明
图1是现有技术中的单播数据传输方式的示意图;
图2是现有技术中的组播数据传输方式的示意图;
图3是现有技术中的组播转发流程图;
图4是本发明实施例一种组播用户权限控制方法的流程图;
图5是本发明实施例中组播认证服务器与单播认证服务器合并为一台设备时的组播用户权限控制方法的流程图;
图6是本发明实施例中组播认证服务器与单播认证服务器为相互独立的设备时的组播用户权限控制方法的流程图;
图7是现有技术中的RADIUS报文的26号属性字段的格式示意图;
图8是本发明实施例一种组播认证服务器的组成结构框图。
具体实施方式
本发明的核心思想是:在网络中部署组播认证服务器,该组播认证服务器上配置有用户组播权限信息表,当接入设备收到来自用户终端设备的组播加入请求报文时先转发至组播认证服务器,组播认证服务器根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证,然后,组播认证服务器结合单播认证结果以及用户组播权限信息表进行组播权限认征。
为使本发明的技术方案更加清楚明白,以下进行详细说明。
图4是本发明实施例一种组播用户权限控制方法的流程图。首先,组播认证服务器上配置有用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系,则如图4所示,该方法包括以下步骤:
步骤401,组播认证服务器接收由接入设备上报的来自用户终端设备的请求加入指定组播组的组播加入请求报文。
步骤402,组播认证服务器向单播认证服务器查询所述组播加入请求报文的源因特网协议IP地址和/或源媒质访问控制MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证,是则执行步骤404,否则执行步骤403。
本步骤中,组播认证服务器即可以根据源IP地址查询对应的用户名,也可以根据源MAC地址查询对应的用户名,或者,也可以根据源IP地址和源MAC地址查询对应的用户名。至于采用哪种方式根据具体情况而定。
这里,单播认证可以是802.1x认证、PORTAL认证、或者其他任意的单播认证。
步骤403,如果没有通过单播认证,则组播认证服务器向接入设备下发组播认证失败的认证结果,其中,接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入指定组播组。
步骤404,如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入所述指定组播组的权限;是则执行步骤405,否则执行步骤406。
步骤405,组播认证服务器向接入设备下发组播认证成功的认证结果;其中,接入设备在收到组播认证成功的认证结果时,继续转发所述组播加入请求报文,使得所述用户终端设备能够加入指定组播组。
步骤406,组播认证服务器向接入设备下发组播认证失败的认证结果;其中,接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入指定组播组。
图4所示的技术方案能够实现基于用户的组播接收者权限控制,与现有的基于端口控制组播接收者的方案相比,组播权限不再和固定的端口绑定,允许用户移动,即当具有组播接收用户权限的用户从任意端口接入网络时,都能够通过组播认证,并接收组播流,而没有组播接收权限的用户不管从哪个端口接入网络,都不能通过组播认证,也不能接收组播流。
在网络中部署组播认证服务器有两种方式,一种是组播认证服务器和单播认证服务器是合并在一起的一台设备,另一种是组播认证服务器和单播认证服务器是相互独立的两台设备。下面以这两种部署方式为例,分别对本发明的技术方案进行进一步的说明。
图5是本发明实施例中组播认证服务器与单播认证服务器合并为一台设备时的组播用户权限控制方法的流程图。如图5所示,包括以下步骤:
步骤501,在组播认证服务器上配置用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系。
本步骤中,用户组播权限信息表中的可以通过(S,G)或(*,G)表项表示相应用户能够加入的组播组,即对应的用户具有接收这些组播组的组播流的权限。一个用户能够加入某个组播组,就可以接收到该组播组的组播流。
步骤502,当用户需要接入网络时,通过用户终端设备向单播认证服务器发起单播认证,单播认证通过后用户的单播访问正常。
本步骤中,单播认证过程为现有技术,具体可以为802.1x认证或PORTAL认证等。在802.1x认证中,单播认证服务器要求用户终端设备上传IP地址,在PORTAL认证中,单播认证服务器要求用户终端设备上传媒质访问控制(MAC)地址。在单播认证过程中,用户终端设备还要向单播认证服务器上传用户名以及密码等信息用于完成认证算法。单播认证通过后,单播认证服务器会将用户名以及对应的IP地址和/或MAC地址等信息对应添加到单播认证结果信息中。
步骤503,当用户需要接收某个组播流时,通过用户终端设备发送组播加入请求报文到接入设备。该组播加入请求报文表示请求加入用户需要接收的组播流所对应的组播组。
步骤504,接入设备将来自用户终端设备的组播加入请求报文封装成RADIUS报文,上传到组播认证服务器。
本步骤中,由于在组播认证通过后还需要正常转发组播加入请求报文,因此接入设备还需要在本地保存所述组播加入请求报文。
步骤505,组播认证服务器直接查询单播认证服务器的用户单播认证结果信息,确定所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证;如果没有通过单播认证,则组播认证失败;如果已经通过单播认证,则组播认证服务器根据该用户名查询预先配置的用户组播权限信息表,确定该用户名所对应的用户是否具有加入所述指定组播组的权限,是则,组播认证成功,否则,组播认证失败。
本步骤中,由于组播认证服务器和单播认证服务器部署在同一台设备上,因此,组播认证服务器可以直接查询用户单播认证结果信息。
步骤506,组播认证服务器向接入设备下发组播认证结果,该组播认证结果为组播认证成功或组播认证失败。
本步骤中,组播认证服务器将组播认证结果封装在RADIUS报文中发送给接入设备。即接入设备与组播认证服务器之间采用RADIUS协议进行通信。
步骤507,接入设备在组播认证成功时继续转发所述组播加入请求报文,反之,在组播认证失败时丢弃所述组播加入请求报文。
图6是本发明实施例中组播认证服务器与单播认证服务器为相互独立的设备时的组播用户权限控制方法的流程图。如图6所示,包括以下步骤:
步骤601,在组播认证服务器上配置用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系。
步骤602,当用户需要接入网络时,通过用户终端设备向单播认证服务器发起单播认证,单播认证通过后用户的单播访问正常。
步骤603,组播认证服务器定时从单播认证服务器获取用户单播认证结果信息并保存。
步骤604,当用户需要接收某个组播流时,通过用户终端设备发送组播加入请求报文到接入设备。该组播加入请求报文表示请求加入用户需要接收的组播流所对应的组播组。
步骤605,接入设备将来自用户终端设备的组播加入请求报文封装成RADIUS报文,上传到组播认证服务器。
步骤606,组播认证服务器根据所保存的用户单播认证结果信息进行查询,查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证;如果没有通过单播认证,则组播认证失败;如果已经通过单播认证,则组播认证服务器根据该用户名查询预先配置的用户组播权限信息表,确定该用户名所对应的用户是否具有加入所述指定组播组的权限,是则,组播认证成功,否则,组播认证失败。
步骤607,如果组播认证服务器所保存的用户单播认证结果信息中不存在与所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,则组播认证服务器再向单播认证服务器进行查询,单播认证服务器根据自身的用户单播认证结果信息返回查询结果。
本步骤是针对组播认证服务器没能及时同步用户单播认证结果信息的情况,即当单播认证服务器上的用户单播认证结果信息已发生了改变,如有新用户通过了单播认证等,但组播认证服务器的定时更新时间还未到,因此导致组播认证服务器与单播认证服务器上的用户单播认证结果信息不一致的情况。
步骤608,组播认证服务器向接入设备下发组播认证结果,该组播认证结果为组播认证成功或组播认证失败。
步骤609,接入设备在组播认证成功时继续转发所述组播加入请求报文,反之,在组播认证失败时丢弃所述组播加入请求报文。
在图5和图6所示的流程中,接入设备和组播认证服务器之间采用RADIUS协议进行通信,具体可以采用如下方式:
1、接入设备将组播加入请求报文封装在RADIUS报文中发送给组播认证服务器;
2、组播认证服务器将认证结果封装在RADIUS报文中发送接入设备。
图7是现有技术中的RADIUS报文的26号属性字段的格式示意图。RADIUS报文的26号属性为“Vendor-Specific”属性,参见图7,在本发明实施例中,可以在RADIUS报文的26号“Vendor-Specific”属性的“String”字段中封装组播加入请求报文(IGMP/MLD组播加入请求报文),在封装时,封装二层开始的组播加入请求报文,即将组播加入请求报文的从以太网帧头开始的内容封装在“String”字段中。
同样,组播认证服务器在下发组播认证结果时,也可以将组播认证结果封装在RADIUS报文的26号“Vendor-Specific”属性的“String”字段中。此外,组播认证服务器还可以将组播加入请求报文与认证结果一起封装在一个RADIUS报文中发送给接入设备,这样,接入设备就不需要保存初始时从用户终端设备接收的组播加入请求报文。当然,在认证失败时由于接入设备不需要再继续转发组播加入请求报文,因此,此时组播认证服务器不需要将组播加入请求报文再下发给接入设备,即只将认证结果下发给接入设备即可。
基于上述实施例接下来给出本发明中的一种组播认证服务器和一种接入设备的组成结构。
图8是本发明实施例一种组播认证服务器的组成结构框图。如图8所示,该组播认证服务器包括:存储模块801、报文收发模块802和查询模块803,其中:
存储模块801,用于存储用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系;
报文收发模块802,用于接收来自用户终端设备的播加入请求报文,并将该组播加入请求报文发送给查询模块803;
查询模块803,用于根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证;如果已经通过单播认证,则根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限。
参见图8,所述报文收发模块802接收的来自用户终端设备的组播加入请求报文是由接入设备上报的。所述查询模块803,进一步用于在确定该用户名所对应的用户具有加入组播组的权限时,向报文收发模块802返回组播认证成功的认证结果;反之,在确定该用户名所对应的用户不具有加入组播组的权限时,向报文收发模块802返回组播认证失败的认证结果。所述报文收发模块802,用于将查询模块803返回的认证结果发送给接入设备。其中,接入设备在收到组播认证成功的认证结果时,继续转发所述组播加入请求报文,使得所述用户终端设备能够加入组播组;反之,接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入组播组。
参见图8,所述查询模块803,还进一步用于在确定在查询到该用户终端设备没有通过单播认证时,向报文收发模块802返回组播认证失败的认证结果。所述报文收发模块802,用于将查询模块803返回的认证结果发送给接入设备。其中,接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入组播组。
参见图8,所述地址标识为:因特网协议IP地址和/或源媒质访问控制MAC地址。所述查询模块803,用于向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证。
其中,当该组播认证服务器与单播认证服务器为合并在一起的一台设备时,所述查询模块803直接根据单播认证服务器的用户单播认证结果信息进行查询。当该组播认证服务器和单播认证服务器是独立的两台设备时,所述查询模块803定时从单播认证服务器获取用户单播认证结果信息并保存,根据所保存的用户单播认证结果信息进行查询;当所保存的用户单播认证结果信息中不存在与所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名时,所述查询模块803再向单播认证服务器进行查询。
参见图8,报文收发模块802,用于接收由接入设备上报的RADIUS报文,该RADIUS报文内封装了组播加入请求报文,用于将查询模块803返回的认证结果封装在RADIUS报文中发送给接入设备。
参见图8,报文发送模块802,进一步用于将组播加入请求报文与认证结果一起封装在一个RADIUS报文中发送给接入设备。这样,接入设备就不需要保存初始时收到的来自用户终端设备的组播加入请求报文。
本发明实施例中的一种接入设备包括:组播加入请求报文处理模块;
该组播加入请求报文处理模块,用于接收用户终端设备发送的请求加入指定组播组的组播加入请求报文;用于将该组播加入请求报文发送给组播认证服务器进行认证,接收组播认证服务器返回的认证结果;用于在所述认证结果表示组播认证成功时,继续转发所述组播加入请求报文,反之,在所述认证结果表示组播认证失败时,丢弃所述组播加入请求报文;
其中,所述组播认证服务器上配置有用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系;所述组播认证服务器在接收到组播加入请求报文时,向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证;如果没有通过单播认证,则组播认证服务器向接入设备下发组播认证失败的认证结果;如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入所述指定组播组的权限,是则,组播认证服务器向接入设备下发组播认证成功的认证结果,否则,组播认证服务器向接入设备下发组播认证失败的认证结果。
本发明实施例中的一种接入设备中的所述组播加入请求报文处理模块,用于将组播加入请求发报文封装成RADIUS报文后送给组播认证服务器进行认证;用于接收组播认证服务器返回的封装了认证结果的RADIUS报文。
综上所述,本发明这种预先在组播认证服务器上配置用户组播权限信息表,当接入设备收到来自用户终端设备的组播加入请求报文时先转发至组播认证服务器,由组播认证服务器先确认该用户终端设备是否已经通过了单播认证,在通过了单播认证的情况下再根据用户组播权限信息确定该用户终端设备是否具有接收组播的权限,并将结果下发给接入设备,接入设备根据下发的结果正常转发所述组播加入请求报文,使得用户终端设备能够接收组播流,或者接入设备根据下发的结果丢弃所述组播接入请求报文,使得用户终端设备不能接收到组播流的技术方案,能够实现基于用户的组播接收者权限控制。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (18)
1、一种组播用户权限控制方法,其特征在于,组播认证服务器上配置有用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系,该方法包括:
组播认证服务器接收来自用户终端设备的组播加入请求报文;
组播认证服务器根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证;
如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限。
2、如权利要求1所述的方法,其特征在于,组播认证服务器接收的来自用户终端设备的组播加入请求报文是由接入设备上报的,该方法进一步包括:
当组播认证服务器确定该用户名所对应的用户具有加入组播组的权限时,向接入设备下发组播认证成功的认证结果;反之,当组播认证服务器确定该用户名所对应的用户不具有加入组播组的权限时,向接入设备下发组播认证失败的认证结果;
接入设备在收到组播认证成功的认证结果时,继续转发所述组播加入请求报文,使得所述用户终端设备能够加入组播组;反之,接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入组播组。
3、如权利要求1所述的方法,其特征在于,组播认证服务器接收的来自用户终端设备的组播加入请求报文是由接入设备上报的,该方法进一步包括:
当组播认证服务器查询到该用户终端设备没有通过单播认证时,向接入设备下发组播认证失败的认证结果;
接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入组播组。
4、如权利要求1所述的方法,其特征在于,
所述地址标识为:因特网协议IP地址和/或源媒质访问控制MAC地址;
所述组播认证服务器根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证包括:
组播认证服务器向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证。
5、如权利要求4所述的方法,其特征在于,组播认证服务器向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证包括:
当组播认证服务器和单播认证服务器为合并在一起的一台设备时,组播认证服务器直接根据单播认证服务器的用户单播认证结果信息进行查询。
6、如权利要求4所述的方法,其特征在于,组播认证服务器向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证包括:
当组播认证服务器和单播认证服务器是独立的两台设备时,组播认证服务器定时从单播认证服务器获取用户单播认证结果信息并保存,根据所保存的用户单播认证结果信息进行查询;当所保存的用户单播认证结果信息中不存在与所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名时,组播认证服务器再向单播认证服务器进行查询。
7、如权利要求2所述的方法,其特征在于,
组播认证服务器接收由接入设备上报的组播加入请求报文包括:组播认证服务器接收由接入设备上报的RADIUS报文,该RADIUS报文内封装了组播加入请求报文;
组播认证服务器向接入设备下发认证结果包括:组播认证服务器将认证结果封装在RADIUS报文中发送给接入设备。
8、如权利要求7所述的方法,其特征在于,该方法进一步包括:组播认证服务器将组播加入请求报文与认证结果一起封装在一个RADIUS报文中发送给接入设备。
9、一种组播认证服务器,其特征在于,该组播认证服务器包括:存储模块、报文收发模块和查询模块,其中,
存储模块,用于存储用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系;
报文收发模块,接收来自用户终端设备的组播加入请求报文,并将该组播加入请求报文发送给查询模块;
查询模块,用于根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证;如果已经通过单播认证,则根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限。
10、如权利要求9所述的组播认证服务器,其特征在于,
所述报文收发模块接收的来自用户终端设备的组播加入请求报文是由接入设备上报的;
所述查询模块,进一步用于在确定该用户名所对应的用户具有加入组播组的权限时,向报文收发模块返回组播认证成功的认证结果;反之,在确定该用户名所对应的用户不具有加入组播组的权限时,向报文收发模块返回组播认证失败的认证结果;
所述报文收发模块,用于将查询模块返回的认证结果发送给接入设备;其中,接入设备在收到组播认证成功的认证结果时,继续转发所述组播加入请求报文,使得所述用户终端设备能够加入组播组;反之,接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入组播组。
11、如权利要求9所述的组播认证服务器,其特征在于,
所述报文收发模块接收的来自用户终端设备的组播加入请求报文是由接入设备上报的;
所述查询模块,进一步用于在确定在查询到该用户终端设备没有通过单播认证时,向报文收发模块返回组播认证失败的认证结果;
所述报文收发模块,用于将查询模块返回的认证结果发送给接入设备;其中,接入设备在收到组播认证失败的认证结果时,丢弃所述组播加入请求报文,使得所述用户终端设备不能加入组播组。
12、如权利要求9所述的组播认证服务器,其特征在于,
所述地址标识为:因特网协议IP地址和/或源媒质访问控制MAC地址;
所述查询模块,用于向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证。
13、如权利要求12所述的组播认证设备,其特征在于,
当组播认证服务器和单播认证服务器为合并在一起的一台设备时,所述查询模块直接根据单播认证服务器的用户单播认证结果信息进行查询。
14、如权利要求12所述的组播认证设备,其特征在于,
当组播认证服务器和单播认证服务器是独立的两台设备时,所述查询模块定时从单播认证服务器获取用户单播认证结果信息并保存,根据所保存的用户单播认证结果信息进行查询;当所保存的用户单播认证结果信息中不存在与所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名时,所述查询模块再向单播认证服务器进行查询。
15、如权利要求10所述的组播认证服务器,其特征在于,
所述报文收发模块,用于接收由接入设备上报的RADIUS报文,该RADIUS报文内封装了组播加入请求报文;用于将查询模块返回的认证结果封装在RADIUS报文中发送给接入设备。
16、如权利要求15所述的组播认证服务器,其特征在于,
所述报文发送模块,进一步用于将组播加入请求报文与认证结果一起封装在一个RADIUS报文中发送给接入设备。
17、一种接入设备,其特征在于,该接入设备包括:组播加入请求报文处理模块;
所述组播加入请求报文处理模块,用于接收用户终端设备发送的组播加入请求报文;用于将该组播加入请求报文发送给组播认证服务器进行认证,接收组播认证服务器返回的认证结果;用于在所述认证结果表示组播认证成功时,继续转发所述组播加入请求报文,反之,在所述认证结果表示组播认证失败时,丢弃所述组播加入请求报文;
其中,所述组播认证服务器上配置有用户组播权限信息表,该用户组播权限信息表中保存了用户名和组播权限信息的对应关系;所述组播认证服务器在接收到组播加入请求报文时,向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名,以及查询该用户名所对应的用户是否已经通过单播认证;如果没有通过单播认证,则组播认证服务器向接入设备下发组播认证失败的认证结果;如果已经通过单播认证,则组播认证服务器根据该用户名查询所述用户组播权限信息表,确定该用户名所对应的用户是否具有加入组播组的权限,是则,组播认证服务器向接入设备下发组播认证成功的认证结果,否则,组播认证服务器向接入设备下发组播认证失败的认证结果。
18、如权利要求17所述的接入设备,其特征在于,
所述组播加入请求报文处理模块,用于将组播加入请求发报文封装成RADIUS报文后送给组播认证服务器进行认证;用于接收组播认证服务器返回的封装了认证结果的RADIUS报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100875159A CN101610254B (zh) | 2009-06-23 | 2009-06-23 | 组播用户权限控制方法、组播认证服务器和接入设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100875159A CN101610254B (zh) | 2009-06-23 | 2009-06-23 | 组播用户权限控制方法、组播认证服务器和接入设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101610254A true CN101610254A (zh) | 2009-12-23 |
CN101610254B CN101610254B (zh) | 2012-07-04 |
Family
ID=41483836
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100875159A Expired - Fee Related CN101610254B (zh) | 2009-06-23 | 2009-06-23 | 组播用户权限控制方法、组播认证服务器和接入设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101610254B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102143033A (zh) * | 2010-02-02 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种组播流控制方法和设备 |
CN102685117A (zh) * | 2012-04-25 | 2012-09-19 | 浙江宇视科技有限公司 | 一种组播安全管理方法及装置 |
CN103684805A (zh) * | 2012-09-26 | 2014-03-26 | 深圳市腾讯计算机系统有限公司 | 数据链路层组播方法、系统及设备 |
CN105592064A (zh) * | 2015-10-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种组播点播方法和装置 |
CN106162637A (zh) * | 2015-04-10 | 2016-11-23 | 成都鼎桥通信技术有限公司 | Lte宽带集群多节点镜像组网的实现方法及装置 |
CN106227490A (zh) * | 2016-07-29 | 2016-12-14 | 中兴通讯股份有限公司 | 云桌面系统、云终端、及申请加入组播组的方法 |
CN111818521A (zh) * | 2020-06-14 | 2020-10-23 | 苏州浪潮智能科技有限公司 | 一种基于数据中心5g网络加密组播的权限认证方法与系统 |
CN115442294A (zh) * | 2022-07-29 | 2022-12-06 | 中盈优创资讯科技有限公司 | 一种基于bier和ipv 6组播的文件分发方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100346605C (zh) * | 2003-06-26 | 2007-10-31 | 华为技术有限公司 | 一种组播源控制的方法和系统 |
CN101114900A (zh) * | 2006-07-27 | 2008-01-30 | 上海贝尔阿尔卡特股份有限公司 | 一种组播业务认证方法及其装置、系统 |
CN100596059C (zh) * | 2006-10-27 | 2010-03-24 | 华为技术有限公司 | 一种组播认证方法、系统及应用 |
-
2009
- 2009-06-23 CN CN2009100875159A patent/CN101610254B/zh not_active Expired - Fee Related
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102143033A (zh) * | 2010-02-02 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种组播流控制方法和设备 |
CN102143033B (zh) * | 2010-02-02 | 2014-07-30 | 杭州华三通信技术有限公司 | 一种组播流控制方法和设备 |
CN102685117B (zh) * | 2012-04-25 | 2016-02-03 | 浙江宇视科技有限公司 | 一种组播安全管理方法及装置 |
CN102685117A (zh) * | 2012-04-25 | 2012-09-19 | 浙江宇视科技有限公司 | 一种组播安全管理方法及装置 |
CN103684805B (zh) * | 2012-09-26 | 2018-05-08 | 深圳市腾讯计算机系统有限公司 | 数据链路层组播方法、系统及设备 |
CN103684805A (zh) * | 2012-09-26 | 2014-03-26 | 深圳市腾讯计算机系统有限公司 | 数据链路层组播方法、系统及设备 |
CN106162637A (zh) * | 2015-04-10 | 2016-11-23 | 成都鼎桥通信技术有限公司 | Lte宽带集群多节点镜像组网的实现方法及装置 |
CN106162637B (zh) * | 2015-04-10 | 2019-10-25 | 成都鼎桥通信技术有限公司 | Lte宽带集群多节点镜像组网的实现方法及装置 |
CN105592064A (zh) * | 2015-10-30 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种组播点播方法和装置 |
CN105592064B (zh) * | 2015-10-30 | 2019-08-16 | 新华三技术有限公司 | 一种组播点播方法和装置 |
CN106227490A (zh) * | 2016-07-29 | 2016-12-14 | 中兴通讯股份有限公司 | 云桌面系统、云终端、及申请加入组播组的方法 |
CN111818521A (zh) * | 2020-06-14 | 2020-10-23 | 苏州浪潮智能科技有限公司 | 一种基于数据中心5g网络加密组播的权限认证方法与系统 |
CN111818521B (zh) * | 2020-06-14 | 2022-05-06 | 苏州浪潮智能科技有限公司 | 一种基于数据中心5g网络加密组播的权限认证方法与系统 |
US11659384B2 (en) | 2020-06-14 | 2023-05-23 | Inspur Suzhou Intelligent Technology Co., Ltd. | Data center 5G network encrypted multicast-based authority authentication method and system |
CN115442294A (zh) * | 2022-07-29 | 2022-12-06 | 中盈优创资讯科技有限公司 | 一种基于bier和ipv 6组播的文件分发方法及装置 |
CN115442294B (zh) * | 2022-07-29 | 2023-10-31 | 中盈优创资讯科技有限公司 | 一种基于bier和ipv 6组播的文件分发方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101610254B (zh) | 2012-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101610254B (zh) | 组播用户权限控制方法、组播认证服务器和接入设备 | |
US20050111474A1 (en) | IP multicast communication system | |
US7233987B2 (en) | System and method for converting requests between different multicast protocols in a communication network | |
JP4165196B2 (ja) | パケット中継装置 | |
KR101374577B1 (ko) | 멀티캐스트 패킷들을 송신 및 수신하는 방법 및 장치 | |
US6914907B1 (en) | Method and apparatus for providing multi-cast transmissions using a distributed router | |
US7936702B2 (en) | Interdomain bi-directional protocol independent multicast | |
US8184630B2 (en) | Method for managing multicast traffic in a data network and network equipment using said method | |
US20060106939A1 (en) | Method and system for transmitting and receiving data using multicasting | |
US20070127459A1 (en) | Network apparatus and method for forwarding multicast packets for the same | |
CN102546666B (zh) | 防止igmp欺骗和攻击的方法及装置 | |
CN1988507B (zh) | 转发组播数据的方法、系统及路由器 | |
CN104125244B (zh) | 一种分布式网络中转发信息的方法及系统 | |
JP5548696B2 (ja) | マルチキャストサービス品質モジュールおよび方法 | |
JP4543097B2 (ja) | セッションアウェア接続制御方法および装置 | |
CN101262419B (zh) | 组播业务转发的方法和组播业务转发设备 | |
CN102368707B (zh) | 一种组播控制的方法、设备及系统 | |
US20060029001A1 (en) | Multicast source discovery | |
CN101345641B (zh) | 一种组播接入设备及方法 | |
WO2008052475A1 (fr) | Procédé, système et dispositif pour une authentification de multidiffusion | |
Yan et al. | Novel branching-router-based multicast routing protocol with mobility support | |
CN101827037A (zh) | 组播数据流的发送方法、装置和二层交换设备 | |
CN100508467C (zh) | 一种转发层代理pim的方法及路由设备 | |
US20100135298A1 (en) | Method and system for providing source specific multicast service on ethernet network | |
JP4549782B2 (ja) | マルチキャスト制御方法、マルチキャスト制御装置、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20200623 |
|
CF01 | Termination of patent right due to non-payment of annual fee |