DE60309652T2 - Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe - Google Patents

Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe Download PDF

Info

Publication number
DE60309652T2
DE60309652T2 DE2003609652 DE60309652T DE60309652T2 DE 60309652 T2 DE60309652 T2 DE 60309652T2 DE 2003609652 DE2003609652 DE 2003609652 DE 60309652 T DE60309652 T DE 60309652T DE 60309652 T2 DE60309652 T2 DE 60309652T2
Authority
DE
Germany
Prior art keywords
subscriber
authentication
multicasting
multicast
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE2003609652
Other languages
English (en)
Other versions
DE60309652D1 (de
Inventor
Hanjun 518129 Longgang District Luo
Ruixin 518129 Longgang District Lu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of DE60309652D1 publication Critical patent/DE60309652D1/de
Publication of DE60309652T2 publication Critical patent/DE60309652T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Description

  • ERFINDUNGSGEBIET
  • Die vorliegende Erfindung betrifft ein Multicastingsteuerverfahren in Kommunikationsnetzen, insbesondere ein 802.1X-Protokoll-basiertes Multicastingsteuerverfahren.
  • Allgemeiner Stand der Technik
  • In Kommunikationsnetzen ist es für eine Datenweiterleiteinrichtung wie etwa eine Vermittlung oder einen Router zur Datensicherheit und Ausnutzung von Netzressourcen vorteilhaft, Netzdaten durch Teilnehmergruppen weiterzuleiten. Beispielsweise wird unter der Annahme, daß eine Multicast-Gruppe G in einem Kommunikationsnetz existiert, eine Anforderungsnachricht eine bestimmte Zeitperiode nach dem Weiterleiten der Daten durch den Router für die Multicast-Gruppe G geschickt, um zu verifizieren, ob irgendein Mitglied der Multicast-Gruppe G noch existiert, und Mitglieder in der Multicast-Gruppe G senden wieder IGPM-(Internet Group Management Protocol)-Nachrichten, um auf die Anforderungsnachricht zu antworten; falls in dem Netz kein Mitglied der Multicast-Gruppe existiert, erhält der Router keine Antwort und versucht dann, wieder abzufragen, und wenn er immer noch keine Nachricht erhält, geht er davon aus, daß in dem Netz kein Mitglied der Multicast-Gruppe G existiert und hört dann damit auf, Daten für die Multicast-Gruppe G weiterzuleiten. Wegen der Tatsache, daß die Datenweiterleitung mit dem Multicast-Gruppenmanagementverfahren im Vergleich zum Rundsendemodus spezifischer ist, sind Datensicherheit und Weiterleitungseffizienz höher.
  • Traditionelle LANs, die das IEEE 802.1x-Protokoll verwenden, können jedoch nur eine portbasierte Multicastingsteuerung implementieren, d.h., Teilnehmer zu Multicast-Gruppen hinzufügen durch das Hinzufügen von Ports zu jenen Multicast-Gruppen. Wenn eine Anforderung zum Beitreten zu einer Multicast-Gruppe von einem Teilnehmerendgerät gesendet wird, fügt die Netzvermittlungseinrichtung entsprechend dem Umstand die MAC-Adresse des Endgeräts zu der Multicast-Gruppe hinzu, damit der Teilnehmer zu der Multicast-Gruppe hinzugefügt wird. Ein derartiges Verfahren liefert nur Portnummer und MAC-Adresse des Teilnehmerendgeräts anstatt Teilnehmerinformationen, weshalb eine etwaige Steuerung hinsichtlich des Teilnehmers aufgrund eines Mangels an Teilnehmerinformationen nicht ausgeführt werden kann. Das Dokument D1 (WO 02 45334 A) offenbart ein Verfahren zum Bereitstellen eines sicheren Multicasting über ein lokales Netz, das eine Prozedur betrifft, während derer ein Teilnehmer einer Multicastgruppe beitritt. Obwohl das IEEE802.1X-Protokoll ein portbasiertes Netzzugangssteuerungsprotokoll ist, das das Teilnehmermanagement unterstützt und Mehrfach-Teilnehmer-Authentifizierung durch einen einzelnen Port akzeptiert, kann diese Fähigkeit nicht dazu genutzt werden, um das Hinzufügen von Teilnehmern zu einer Multicast-Gruppe zu steuern, was zu Unsteuerbarkeit beim Hinzufügen von Teilnehmern zu einer Multicast-Gruppe führt.
  • Kurze Darstellung der Erfindung
  • Die Aufgabe der Erfindung besteht in der Bereitstellung eines 802.1X-Protokoll-basierten Multicastingsteuerverfahrens zur Implementierung der Steuerbarkeit beim Hinzufügen eines Teilnehmers zu einer Multicast-Gruppe.
  • Zur Lösung der obigen Aufgabe wird ein Verfahren zur Multicastingkontrolle auf Basis des 802.1X-Protokolls bereitgestellt, welches folgende Schritte umfasst:
  • Schritt 1: Für einen Teilnehmer wird eine 802.1X-Authentifizierung durchgeführt, und Informationen (101) über den authentifizierten Teilnehmer werden gespeichert,
  • Schritt 2: Eine von dem per 802.1X authentifizierten Teilnehmer gesendete Anforderungsnachricht für den Beitritt in eine Multicastgruppe wird abgefangen,
  • Schritt 3: Die Portnummer (102), die MAC-Adresse (103) und die Multicast-IP-Adresse (104) des Teilnehmers werden aus der abgefangenen Nachricht erhalten,
  • Schritt 4: Anhand der Portnummer (102) und MAC-Adresse (103) werden in dem per 802.1X authentifizierten Ergebnis entsprechende Kontonummerinformationen (101) des Teilnehmers gesucht,
  • Schritt 5: Die Kontonummerinformationen (101) des Teilnehmers und die Multicast-IP-Adresse (104) werden authentifiziert, und anschließend wird der Teilnehmer in die Multicastgruppe aufgenommen, falls die Authentifizierung erfolgreich bestanden wurde; andernfalls wird die Anforderung des Teilnehmers zurückgewiesen.
  • In Schritt 5: Der Authentifizierungsserver am 802.1X-Authentifizierungsende wird verwendet, um die Kontonummerinformationen (101) des Teilnehmers und die Multicast-IP-Adresse (104) zu authentifizieren.
  • Die Authentifizierungen von Kontonummerinformationen und der Multicast-IP-Adresse (104) des Teilnehmers werden implementiert, indem verifiziert wird, ob die Multicast-IP-Adresse (102) authorisiert ist, die Kontonummerinformationen (101) zu empfangen.
  • Wenn die 802.1X-Authentifizierung portbasiert ist, wird, wenn ein an den Port angeschlossener Teilnehmer eine Anforderung stellt, einer Multicast-Gruppe beizutreten, zuerst die MAC-Adresse (103) des Teilnehmers gesucht; wenn die MAC-Adresse (103) gefunden ist, werden die Kontonummer informationen (101) des Teilnehmers entsprechend der MAC-Adresse (103) und der Portnummer (102) gesucht;
    wenn die 802.1X-Authentifizierung MAC-basiert ist, werden, wenn ein an den Port angeschlossener Teilnehmer eine Anforderung stellt, einer Multicast-Gruppe beizutreten, die Kontonummerinformationen (101) des Teilnehmers entsprechend der MAC-Adresse (103) und der Portnummer (102) direkt gesucht.
  • Der Teilnehmer tritt der Multicast-Gruppe durch das IGPM-Protokoll bei.
  • Wenn gemäß dem Verfahren der vorliegenden Erfindung ein durch das 802.1X-Protokoll authentifizierter Teilnehmer anfordert, einer Multicast-Gruppe beizutreten, wird die Anforderungsnachricht zum Beitritt zur Multicast-Gruppe zuerst abgefangen, und dann werden Portnummer, MAC-Adresse und Kontonummerinformationen des Teilnehmers der abgefangenen Nachricht entnommen, anstatt daß der Teilnehmer direkt zu der Multicast-Gruppe hinzugefügt wird, dann werden die entsprechenden Teilnehmerinformationen aus dem 802.1X-authentifizierten Ergebnis entsprechend der Portnummer und der MAC-Adreß-Informationen gesucht, und die Kontonummer und die Multicast-IP-Adresse des Teilnmehmers werden wieder authentifiziert, und dann wird der Teilnehmer zu der Multicast-Gruppe hinzugefügt, falls die Authentifizierung erfolgreich bestanden wurde, andernfalls wird die Anforderung des Teilnehmers zurückgewiesen. Die Lösung kann gesteuertes Multicasting, Authentifizierung der Legalität des Hinzufügens zum Multicasting und Abrechnung implementieren; außerdem erfordert das Verfahren keine Modifikation an Multicasting-Client-Software oder Server-Software, stattdessen ist nur eine einfache Konfiguration am 802.1X-Geräteende und Authentifizierungsserver am Authentifizierungsende erforderlich, ist es vorteilhaft für den Schutz existieren der Investitionen und Kompatibilität an existierender Software.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt die Architektur des 802.1X-Protokolls;
  • 2 zeigt die Architektur des 802.1X-Authentifizierungs-basierten gesteuerten Multicasting;
  • 3 zeigt den Authentifizierungsprozeß des 802.1X-Authentifizierungs-basierten gesteuerten Multicasting;
  • 4 ist das Flußdiagramm einer Ausführungsform des Verfahrens gemäß der vorliegenden Erfindung.
  • Ausführliche Beschreibung der Ausführungsform
  • Die vorliegende Erfindung wird unter Bezugnahme auf die Zeichnungen näher beschrieben.
  • Unter Bezugnahme auf 1, in der das in 1 gezeigte IEEE802.1X-Protokoll ein portbasiertes Netzzugangssteuerprotokoll ist und zum Authentifizieren und Steuern des Client-Zugangs auf einer physikalischen Ebene von Netzgeräten verwendet wird. Es gibt in 1 drei Entitäten: 802.1X-Client-Ende, 802.1X-Geräteende und Authentifizierungsende. Authentifizierungsinformationen werden durch das EAP (extensible authentication protocol) zwischen Authentifizierungs-Servern des Authentifizierungsendes und 802.1X-Geräteende ausgetauscht. EAPOL dient als das Authentifizierungsprotokoll zwischen 802.1X-Client-Ende und 802.1X-Geräteende. Üblicherweise ist das 802.1X-Geräteende auf der Zugangsebene des Netzes implementiert; das 802.1X-Client-Ende ist im PC des Teilnehmers installiert; das 802.1X-Authentifizierungs- Serversystem befindet sich üblicherweise im AAA-Center (Accounting, Authentication, and Authorization). Innerhalb des 802.1X-Geräteendes gibt es gesteuerte Ports und ungesteuerte Ports. Die ungesteuerten Ports befinden sich immer in einem unverbundenen Zwei-Wege-Zustand und werden hauptsächlich zum Übertragen von EAPOL-Frames verwendet; deshalb können EAPOL-Frames jederzeit über die ungesteuerten Ports empfangen und gesendet werden. Die gesteuerten Ports werden nur dann geöffnet, wenn die Authentifizierung bestanden ist, um Netzressourcen und Dienste zu übertragen. Entsprechend der Anwendungsumgebung können die gesteuerten Ports als gesteuerte Zwei-Wege-Ports oder gesteuerte Ein-Wege-Ports konfiguriert sein. Wenn mit der obigen Architektur das 802.1X-Geräteende mit einer Ethernet-Schalter- oder Breitbandzugangseinrichtung implementiert ist, kann jede mit Ports mit einer Ethernet-Schalter- oder Breitbandzugangseinrichtung verbundene Teilnehmereinrichtung des Client-Endes auf interne Netzressourcen zugreifen, wenn sie die Authentifizierung bestanden hat; ansonsten kann nicht sie auf interne Netzressourcen zugreifen. Die obigen Ports physische oder logische sein, beispielsweise besteht eine typische Anwendung darin, einen Client-PC mit einem physischen Port des Ethernet-Schalters zu verbinden.
  • Gegenwärtig kann das Radius-Protokoll auch zwischen dem 802.1X-Geräteende und dem Authentifizierungsserver in der in 1 gezeigten Architektur arbeiten; somit ist der Authentifizierungsserver ein Radius-Server, und das 802.1X-Geräteende kann als ein mit dem Radius-Server verbundender Client angesehen werden.
  • Von oben betrachtet wird in der in 1 gezeigten Architektur das 802.1X-Protokoll ausgelöst, um den Teilnehmer zu authentifizieren, wenn der Ethernet-Schalter die von einem 802.1X-Client-Ende geschickte EAPOL-Start-Nachricht zu dem 802.1X-Geräteende überträgt. Nachdem der Authentifizierungsserver am Authentifizierungsende den Teilnehmer erfolgreich authentifiziert, werden gesteuerte Ports des 802.1X-Geräteendes geöffnet, um Netzressourcen und Dienste für den Teilnehmer zu übertragen. Somit ist der Teilnehmer online. Wenn der Host eines online-Teilnehmers zu einer Multicast-Gruppe hinzufügen möchte, sendet der Host eine IGMP-Nachricht (unter der Annahme, daß das IGMP-Protokoll verwendet wird, tatsächlich ist es nicht auf das Protokoll beschränkt) an den Ethernet-Schalter (Geräteende) durch Multicasting-Client-Software, um den Beitritt zu der Multicast-Gruppe anzuzeigen, weshalb der Ethernet-Schalter damit beginnt, die Daten der Multicast-Gruppe an den Host des Teilnehmers weiterzuleiten.
  • Infolgedessen wird eine Netzverbindung zu dem Teilnehmer durch das 802.1X-Protokoll hergestellt, solange der Teilnehmer die 802.1X-Protokoll-basierte Authentifizierung besteht. Wenn der Teilnehmer auf dieser Grundlage den Beitritt zu einer Multicast-Gruppe anfordert, können die MAC-Adresse und die Portnummer des Hosts des Teilnehmers aus der durch die Verbindung übertragenen Nachricht oder Anforderung des Teilnehmers erhalten werden. Auf diese Weise können detaillierte Informationen des Teilnehmers aus den authentifizierten Daten des Teilnehmers gemäß der MAC-Adresse und der Portnummer erhalten werden, um die Steuerung der Multicasting-Hinzufügung zu implementieren und das Unsteuerbarkeitsproblem der Multicasting-Hinzufügung gemäß traditioneller Verfahren zu lösen.
  • Das Grundprinzip der vorliegenden Erfindung ist in 2 gezeigt. Der in 2 gezeigte Ethernet-Schalter ist so ausgelegt, daß er das in 1 gezeigte Client-Ende anschließt und das in 1 gezeigte Geräteende implementiert. Deshalb wird das Ethernet-Schalter verwendet, um das Ein-/Ausschalten des Netzanschlusses zum Client zu steuern. Weil die Ports am Ethernet-Schalter für nicht authentifizierte Teilnehmer nicht zur Verfügung stehen, aber automatisch und dynamisch konfiguriert und zum Zugriff auf Netzressourcen für authentifizierte Teil nehmer verwendet werden können, liefert der in 2 gezeigte 802.1X-Protokoll-basierte Ethernet-Schalter dem Betreiber Betriebsmerkmale. Der Ethernet-Schalter als 802.1X-Geräteende in 2 verwendet ein Radius-Protokollmodul zum Übertragen von Authentifizierungsinformationen zu dem Radius-Server als Authentifizierungsende. Das 802.1X-Authentifizierungsmodul wird verwendet, um von dem Teilnehmer von dem entsprechenden Port an dem Ethernet-Schalter gesendete 802.1X-Protokoll-basierte Authentifizierungsinformationen zu übertragen, und überträgt die Authentifizierungsinformationen (die detaillierte Informationen des Teilnehmers enthalten, wie etwa Benutzername und Paßwort usw.) an den Authentifizierungsserver am Authentifizierungsende zur Authentifizierung durch das Radius-Authentifizierungsmodul. Wenn der Teilnehmer die Authentifizierung besteht, enthalten die authentifizierten Informationen detaillierte Informationen des Teilnehmers, und das 802.1X-Authentifizierungsmodul startet einen Portdienstkanal (was dem Anschließen an den Schalter K1 in 2 entspricht) für den Teilnehmer. Auf diese Weise kann der Teilnehmer auf Netzressourcen durch diesen Portdienstkanal zugreifen, d.h., eine 802.1X-Protokollbasierte Netzverbindung wird für den Teilnehmer hergestellt. Wenn der Teilnehmer auf der Basis der obigen 802.1X-Verbindung durch den Portdienstkanal eine Anforderungsnachricht sendet (unter der Annahme, das es eine IGMP-basierte Nachricht ist), einer Multicast-Gruppe beizutreten, kann das Multicastingsteuermodul in dem Ethernet-Schalter so konfiguriert sein, daß es die IGMP-Nachricht abfängt, um so die MAC-Adresse und die Portnummer des Teilnehmers in der IGMP-Nachricht zu erhalten und gleichzeitig eine Multicast-IP-Adresse zu erhalten, und erhält dann die Kontonummerinformationen des Teilnehmers (Benutzername, Paßwort usw.) durch die 802.1X-Verbindung für den Teilnehmer entsprechend der MAC-Adresse und Portnummer, als nächstes wird eine gesteuerte Multicastingverbindung entsprechend den Teilnehmerinformationen und der Multicast-IP-Adresse hergestellt, d.h., das Multicastingsteuermodul steuert soweit erforderlich das Ein-/Ausschalten des Multicastingschalters K2. Dadurch erhält man durch die Kombination aus Multicasting und 802.1X-authentifizierten Port und MAC-Adresse des Teilnehmers eine Steuerbarkeit bei Multicasting-Hinzufügung. Was den Fall in 2 anbetrifft, steuert das 802.1X-Authentifizierungsmodul den Schalter K1 des Portdienstkanals, und das Multicastingsteuermodul steuert den Multicastingschalter K2 des Portdienstkanals.
  • 4 ist das Flußdiagramm einer Ausführungsform des Verfahrens gemäß der vorliegenden Erfindung. Wegen des in 4 beschriebenen 802.1X-Authentifizierungsbasierten gesteuerten Multicasting-Authentifizierungsprozesses wird bitte auf 3 verwiesen. Es sei angemerkt, daß bei der in 4 gezeigten Ausführungsform davon ausgegangen wird, daß zum Hinzufügen eines Teilnehmers zu der Multicast-Gruppe das IGMP-Protokoll verwendet wird und daß das Multicastingsteuermodul in dem Ethernet-Schalter im voraus konfiguriert ist, die von dem Teilnehmer gesendete IGMP-Nachricht abzufangen. Wie in 4 gezeigt, sendet in Schritt 1 der Teilnehmer eine EAPOL-Nachricht, um die 802.1X-Protokoll-Authentifizierung am 802.1X-Geräteende zu Beginn von online auszulösen, d.h., die EAPOL-Nachricht wird zu dem 802.1X-Authentifizierungsmodul in dem Ethernet-Schalter (Geräteende) übertragen; in Schritt 2 sendet das 802.1X-Authentifizierungsmodul die Authentifizierungsinformationen des Teilnehmers an den Radius-Server am Authentifizierungsende zur Authentifizierung über das Radius-Modul. Wenn die Authentifizierung erfolgreich bestanden ist, werden die authentifizierten Teilnehmerinformationen im Ethernet-Schalter gespeichert (z.B. in dem 802.1X-Authentifizierungsmodul). Diese beiden Schritte sind in erster Linie ausgelegt, um einen Teilnehmerauthentifizierungsprozeß zu absolvieren und den Teilnehmer online zu bringen. Wenn der authenti fizierte Teilnehmer in Schritt 3 eine IGMP-Nachricht sendet, um den Beitritt zu einer Multicast-Gruppe anzufordern, fängt das Multicastingsteuermodul in Schritt 4 die IGMP-Nachricht ab; hier fügt das Multicastingsteuermodul diesen Teilnehmer der Multicast-Gruppe nicht direkt hinzu, stattdessen sendet es die aus der IGMP-Nachricht erhaltenen Portnummer- and MAC-Adreßinformationen des Teilnehmers an das 802.1X Authentifizierungsmodul, und eine Multicast-IP-Adresse wird gleichzeitig aus der IGMP-Nachricht erhalten, das 802.1X-Authentifizierungsmodul sucht nach entsprechenden Kontonummerinformationen des Teilnehmers in dem 802.1X-authentifizierten Ergebnis entsprechend Port- und MAC-Adreßinformationen und liefert dann die Kontonummerinformationen des Teilnehmers zurück an das Multicastingsteuermodul; in Schritt 6, sendet das Multicastingsteuermodul die Kontonummerinformationen und Multicast-IP-Adresse des Teilnehmers an den Radius-Server am Authentifizierungsende wieder zur Authentifizierung über das Radius-Module, d.h., der Radius-Server authentifiziert den Teilnehmer entsprechend den Kontonummerinformationen und der Multicast-IP-Adresse des Teilnehmers durch Verifizieren, ob die Multicast-IP-Adresse authorisiert ist, die Kontonummer zu empfangen; wenn die Authentifizierung erfolgreich bestanden ist, wird der Teilnehmer in Schritt zu der Multicast-Gruppe hinzugefügt; ansonsten wird die Aufforderung des Teilnehmers zurückgewiesen. Nachdem der Teilnehmer zu der Multicast-Gruppe hinzugefügt worden ist, behält das Multicastingsteuermodul die Multicastingverbindung bei, bis die Teilnehmeranforderung austritt.
  • Es sei angemerkt, daß, weil die 802.1X-Protokollbasierte Authentifizierung an existierenden Ethernet-Schaltern portbasiert oder MAC-Adreß-basiert sein kann, die beiden Fälle getrennt behandelt werden sollten. Bei einem portbasierten Authentifizierungsmodus steuert das 802.1X-Modul für jeden Port nur einen einzelnen authenti fizierten Teilnehmer und hält dadurch nur eine 802.1X-Verbindung aufrecht; wenn jedoch die 802.1-Authentifizierung bestanden wird, kann der Port mit mehreren Client-PCs verbunden werden. Wenn irgendeiner der an diesen Port angeschlossenen Client-PCs anfordert, einer Multicast-Gruppe beizutreten, wird infolgedessen das MAC-Substitutionsverfahren verwendet, d.h., der Ethernet-Schalter weist das 802.1X-Modul an zu verifizieren, ob die MAC-Adresse des Teilnehmers existiert; wenn ja, dann zeigt das an, daß der Teilnehmer die Authentifizierung bestanden hat, das 802.1X-Modul schickt die MAC-Adresse des authentifizierten Teilnehmers an den Ethernet-Schalter zurück. Das Multicastingsteuermodul sucht dann nach den Kontonummerinformationen des Teilnehmers entsprechend der zurückgeschickten MAC-Adresse und Portnummer.
  • Im MAC-Adreß-basierten Authentifizierungsmodus hat das 802.1X-Modul jeden an den Port angeschlossenen PC authentifiziert und entsprechende Verbindungen stehen zur Verfügung. Wenn ein an den Port, angeschlossener Teilnehmer anfordert, einer Multicast-Gruppe beizutreten, fragt der Ethernet-Schalter deshalb die MAC-Adresse des Teilnehmers direkt im 802.1X-Modul ab; wenn das 802.1X-Modul die MAC-Adresse zurückschickt, sucht der Ethernet-Schalter deshalb nach den Kontonummerinformationen des Teilnehmers gemäß der MAC-Adresse und Portnummer. Deshalb kann jeder Teilnehmer einen entsprechenden 802.1X-Anschluß gemäß der jeweiligen MAC-Adresse und Portnummer finden, d.h., die Kontonummerinformationen des Teilnehmers können erhalten werden.
  • Die in 4 gezeigte Ausführungsform verwendet einen Radius-Server zur Verwaltung der Informationen des Teilnehmers. Deshalb verwendet die Ausführungsform auch den Radius-Server zum Steuern des Hinzufügens eines Teilnehmers zum Multicasting. Genauer gesagt wird dies implementiert, indem ein gesteuerter Multicasting- Eigenschaftspunkt in dem Radius-Server hinzugefügt wird, d.h., die Kontonummer des Teilnehmers wird auf dem Radius-Server konfiguriert, und dann wird der Multicasting-Mehrwertdienst zu der Kontonummer hinzugefügt. Mit diesem Eigenschaftspunkt können eine oder mehrere Multicast-Adressen für den Teilnehmer hinzugefügt werden. Wenn der Radius-Server eine Authentifizierungsanforderung erhält, die die Kontonummerinformationen und Multicast-IP-Adresse des Teilnehmers enthält, wird, wenn die gesteuerte Multicasting-Eigenschaft zur Verfügung steht, der Radius-Server verifizieren, ob die Multicast-IP-Adresse authorisiert ist; wenn sie nicht authorisiert ist, gibt der Radius-Server eine Nachricht "Authentifizierung bestanden" zurück, ansonsten gibt der Radius-Server eine Nachricht "Authentifizierung nicht bestanden" zurück.
  • Infolgedessen kann der Multicasting-Eigenschaftspunkt an das Konto des Teilnehmers als eine Mehrwertdiensteigenschaft angehängt werden, d.h., der Teilnehmer wird zuerst hinzugefügt, und dann wird ein Multicastingkanal für den Teilnehmer gestartet. Auf diese Weise kann der Multicasting-Mehrwertdienst für Betreiber gemäß der vorliegenden Erfindung implementiert werden, um die Multicasting-Mehrwertdienstabrechnung von der elementaren 802.1X-Zugangs-Authentifizierungsverbindungsabrechnung zu trennen, damit die Verrechnung zwischen verschiedenen Service Providers vereinfacht wird.

Claims (5)

  1. Verfahren zur Multicastingkontrolle auf Basis des 802.1X-Protokolls, welches folgende Schritte umfasst: Schritt 1: Für einen Teilnehmer wird eine 802.1X-Authentifizierung durchgeführt, und Informationen über den authentifizierten Teilnehmer werden gespeichert, Schritt 2: Eine von dem per 802.1X authentifizierten Teilnehmer gesendete Anforderungsnachricht für den Beitritt in eine Multicastgruppe wird abgefangen, Schritt 3: Die Portnummer (102), die MAC-Adresse (103) und die Multicast-IP-Adresse (104) des Teilnehmers werden aus der abgefangenen Nachricht erhalten, Schritt 4: Anhand der Portnummer (102) und MAC-Adresse (103) werden in den Informationen über den per 802.1X authentifizierten Teilnehmer entsprechende Kontonummerinformationen des Teilnehmers gesucht, Schritt 5: Die Kontonummerinformationen (101) des Teilnehmers und die Multicast-IP-Adresse (104) werden authentifiziert, und anschließend wird der Teilnehmer in die Multicastgruppe aufgenommen, falls die Authentifizierung erfolgreich bestanden wurde; andernfalls wird die Anforderung des Teilnehmers zurückgewiesen.
  2. Verfahren zur Multicastingkontrolle auf Basis des 802.1X-Protokolls nach Anspruch 1, wobei in Schritt 5 der Authentifizierungsserver auf der 802.1X-Authentifizierungsseite benutzt wird, um die Kontonummerinformationen (101) des Teilnehmers und die Multicast-IP-Adresse (104) zu authentifizieren.
  3. Verfahren zur Multicastingkontrolle auf Basis des 802.1X-Protokolls nach Anspruch 1, wobei in Schritt 5 die Authentifizierungen der Kontonummerinformationen (101) des Teilnehmers und der Multicast-IP-Adresse (104) implementiert werden, indem geprüft wird, ob die Multicast-IP-Adresse (104) zum Empfangen der Kontonummerinformationen (101) autorisiert ist.
  4. Verfahren zur Multicastingkontrolle auf Basis des 802.1X-Protokolls nach Anspruch 1, wobei, falls die Authentifizierung per 802.1X portbasiert ist, zuerst die MAC-Adresse (103) des Teilnehmers gesucht wird, wenn ein an den Port angeschlossener Teilnehmer eine Anforderung zum Beitritt in eine Multicastgruppe stellt, und falls die MAC-Adresse (103) gefunden wird, anhand der MAC-Adresse (103) und der Portnummer (102) die Kontonummerinformationen (101) des Teilnehmers gesucht werden; falls die Authentifizierung per 802.1X MAC-basiert ist, die Kontonummerinformationen (101) des Teilnehmers direkt anhand der MAC-Adresse (103) des Teilnehmers und der Portnummer (102) gesucht werden, wenn ein an den Port angeschlossener Teilnehmer eine Anforderung zum Beitritt in eine Multicastgruppe stellt.
  5. Verfahren zur Multicastingkontrolle auf Basis des 802.1X-Protokolls nach Anspruch 1, 2, 3 oder 4, wobei der Teilnehmer der Multicastgruppe über IGMP-Protokoll beitritt.
DE2003609652 2002-11-26 2003-10-23 Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe Expired - Lifetime DE60309652T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN02154612 2002-11-26
CNB021546126A CN100341305C (zh) 2002-11-26 2002-11-26 基于802.1x协议的组播控制方法

Publications (2)

Publication Number Publication Date
DE60309652D1 DE60309652D1 (de) 2006-12-28
DE60309652T2 true DE60309652T2 (de) 2007-09-20

Family

ID=4752498

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2003609652 Expired - Lifetime DE60309652T2 (de) 2002-11-26 2003-10-23 Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe

Country Status (7)

Country Link
US (1) US7502926B2 (de)
EP (1) EP1424807B1 (de)
JP (1) JP3864312B2 (de)
CN (1) CN100341305C (de)
AT (1) ATE345623T1 (de)
AU (1) AU2003262486B2 (de)
DE (1) DE60309652T2 (de)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7562390B1 (en) 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
CN100346605C (zh) * 2003-06-26 2007-10-31 华为技术有限公司 一种组播源控制的方法和系统
US7876772B2 (en) 2003-08-01 2011-01-25 Foundry Networks, Llc System, method and apparatus for providing multiple access modes in a data communications network
US7774833B1 (en) 2003-09-23 2010-08-10 Foundry Networks, Inc. System and method for protecting CPU against remote access attacks
US20050080901A1 (en) * 2003-10-14 2005-04-14 Reader Scot A. Method and apparatus for controlling access to multicast data streams
US7624431B2 (en) * 2003-12-04 2009-11-24 Cisco Technology, Inc. 802.1X authentication technique for shared media
US8528071B1 (en) * 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
US7457288B2 (en) * 2003-12-26 2008-11-25 Electronics And Telecommunications Research Institute Relay multicast system and method for providing efficient group communication service
CN1272943C (zh) * 2004-03-24 2006-08-30 华为技术有限公司 一种组播业务的实现方法
CN100393034C (zh) * 2004-04-30 2008-06-04 北京航空航天大学 一种应用于组播通信系统中的源认证方法
US7715310B1 (en) 2004-05-28 2010-05-11 Cisco Technology, Inc. L2VPN redundancy with ethernet access domain
US7681229B1 (en) * 2004-06-22 2010-03-16 Novell, Inc. Proxy authentication
US7643409B2 (en) * 2004-08-25 2010-01-05 Cisco Technology, Inc. Computer network with point-to-point pseudowire redundancy
CN100355299C (zh) * 2004-11-16 2007-12-12 华为技术有限公司 一种接收组播广播业务的方法
WO2006074853A1 (de) * 2005-01-14 2006-07-20 Siemens Aktiengesellschaft Verfahren und anordnung zum verwerfen eintreffender nachrichten mit nicht übereinstimmender identifizierungsinformation im anschluss an portbezogene zugangskontrolle
CN1655504B (zh) * 2005-02-21 2010-05-05 西安西电捷通无线网络通信有限公司 基于端口的对等访问控制方法
FR2882939B1 (fr) * 2005-03-11 2007-06-08 Centre Nat Rech Scient Dispositif de separation fluidique
US8102846B2 (en) * 2005-03-31 2012-01-24 Alcatel Lucent Method and apparatus for managing a multicast tree using a multicast tree manager and a content server
JP4498968B2 (ja) * 2005-04-06 2010-07-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 認証ゲートウェイ装置及びそのプログラム
CN1848728B (zh) * 2005-04-14 2010-09-01 中国科学院声学研究所 一种基于ip网络的组播数据受控方法
CN1855812B (zh) 2005-04-25 2010-04-28 华为技术有限公司 防止mac地址仿冒的实现方法和设备
US8213435B2 (en) * 2005-04-28 2012-07-03 Cisco Technology, Inc. Comprehensive model for VPLS
US9088669B2 (en) * 2005-04-28 2015-07-21 Cisco Technology, Inc. Scalable system and method for DSL subscriber traffic over an Ethernet network
US8194656B2 (en) * 2005-04-28 2012-06-05 Cisco Technology, Inc. Metro ethernet network with scaled broadcast and service instance domains
US7835370B2 (en) * 2005-04-28 2010-11-16 Cisco Technology, Inc. System and method for DSL subscriber identification over ethernet network
US8094663B2 (en) * 2005-05-31 2012-01-10 Cisco Technology, Inc. System and method for authentication of SP ethernet aggregation networks
US8175078B2 (en) * 2005-07-11 2012-05-08 Cisco Technology, Inc. Redundant pseudowires between Ethernet access domains
US7889754B2 (en) * 2005-07-12 2011-02-15 Cisco Technology, Inc. Address resolution mechanism for ethernet maintenance endpoints
US8169924B2 (en) * 2005-08-01 2012-05-01 Cisco Technology, Inc. Optimal bridging over MPLS/IP through alignment of multicast and unicast paths
US7855950B2 (en) * 2005-08-01 2010-12-21 Cisco Technology, Inc. Congruent forwarding paths for unicast and multicast traffic
CN100466606C (zh) * 2005-08-24 2009-03-04 杭州华三通信技术有限公司 未知组播报文的处理方法
US9088619B2 (en) * 2005-09-14 2015-07-21 Cisco Technology, Inc. Quality of service based on logical port identifier for broadband aggregation networks
CN100450113C (zh) * 2005-10-31 2009-01-07 华为技术有限公司 一种多媒体广播/组播业务的注册方法
KR100808188B1 (ko) * 2006-03-23 2008-03-03 엘지전자 주식회사 멀티캐스팅 기능을 가진 이동통신 단말기 및 이를 이용한멀티캐스팅 방법
US7886343B2 (en) * 2006-04-07 2011-02-08 Dell Products L.P. Authentication service for facilitating access to services
US9680880B2 (en) * 2006-07-11 2017-06-13 Alcatel-Lucent Usa Inc. Method and apparatus for supporting IP multicast
US7971247B2 (en) * 2006-07-21 2011-06-28 Agere Systems Inc. Methods and apparatus for prevention of excessive control message traffic in a digital networking system
US8607058B2 (en) * 2006-09-29 2013-12-10 Intel Corporation Port access control in a shared link environment
CN100466832C (zh) * 2006-09-30 2009-03-04 中兴通讯股份有限公司 一种无线局域网ip组播帧传输的组播成员管理方法
US8804534B2 (en) * 2007-05-19 2014-08-12 Cisco Technology, Inc. Interworking between MPLS/IP and Ethernet OAM mechanisms
US8531941B2 (en) * 2007-07-13 2013-09-10 Cisco Technology, Inc. Intra-domain and inter-domain bridging over MPLS using MAC distribution via border gateway protocol
US8077709B2 (en) 2007-09-19 2011-12-13 Cisco Technology, Inc. Redundancy at a virtual provider edge node that faces a tunneling protocol core network for virtual private local area network (LAN) service (VPLS)
CN101217575B (zh) * 2008-01-18 2010-07-28 杭州华三通信技术有限公司 一种在用户终端认证过程中分配ip地址的方法及装置
US8484705B2 (en) * 2008-04-25 2013-07-09 Hewlett-Packard Development Company, L.P. System and method for installing authentication credentials on a remote network device
US20090271852A1 (en) * 2008-04-25 2009-10-29 Matt Torres System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
US9218469B2 (en) 2008-04-25 2015-12-22 Hewlett Packard Enterprise Development Lp System and method for installing authentication credentials on a network device
WO2009140983A1 (en) * 2008-05-21 2009-11-26 Telefonaktiebolaget L M Ericsson (Publ) Access control for an ip access network to multicast traffic
CN101635724A (zh) * 2009-06-30 2010-01-27 中兴通讯股份有限公司 一种实现组播成员认证的方法及系统
KR101276798B1 (ko) * 2009-12-10 2013-06-19 한국전자통신연구원 분배망에서 통신 사업자 선택 서비스를 제공하기 위한 시스템 및 방법
CN102480460B (zh) * 2010-11-22 2016-08-31 上海宝信软件股份有限公司 实现交换设备端口级接入认证的方法
US8650285B1 (en) 2011-03-22 2014-02-11 Cisco Technology, Inc. Prevention of looping and duplicate frame delivery in a network environment
CN102271133B (zh) * 2011-08-11 2014-11-26 北京星网锐捷网络技术有限公司 认证方法、装置和系统
CN102523098B (zh) * 2011-11-21 2014-12-10 华为技术有限公司 一种业务接入的方法、装置及系统
US9558043B2 (en) 2013-01-25 2017-01-31 Cisco Technology Inc. System and method for abstracting and orchestrating mobile data networks in a network environment
US9712634B2 (en) * 2013-03-15 2017-07-18 Cisco Technology, Inc. Orchestrating mobile data networks in a network environment
US10863387B2 (en) 2013-10-02 2020-12-08 Cisco Technology, Inc. System and method for orchestrating policy in a mobile environment
US9414215B2 (en) 2013-10-04 2016-08-09 Cisco Technology, Inc. System and method for orchestrating mobile data networks in a machine-to-machine environment
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security
CN108076459B (zh) * 2016-11-08 2021-02-12 北京华为数字技术有限公司 网络接入控制方法、相关设备及系统
CN110769482B (zh) * 2019-09-16 2022-03-01 浙江大华技术股份有限公司 无线设备进行网络连接的方法、装置和无线路由器设备
CN115499712B (zh) * 2021-06-17 2024-03-08 浙江宇视科技有限公司 一种组播流的显示方法、装置、介质及电子设备

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US6216167B1 (en) * 1997-10-31 2001-04-10 Nortel Networks Limited Efficient path based forwarding and multicast forwarding
US6188691B1 (en) * 1998-03-16 2001-02-13 3Com Corporation Multicast domain virtual local area network
JP4080599B2 (ja) * 1998-06-17 2008-04-23 富士通株式会社 通信制御装置およびマルチキャスト対応lanに適用される通信制御方法
US6577642B1 (en) * 1999-01-15 2003-06-10 3Com Corporation Method and system for virtual network administration with a data-over cable system
US6324575B1 (en) * 1999-01-29 2001-11-27 3Com Corporation Intelligent selection of multicast filtering modes for switch ports
US6614787B1 (en) * 1999-03-30 2003-09-02 3Com Corporation System and method for efficiently handling multicast packets by aggregating VLAN context
US6263435B1 (en) * 1999-07-06 2001-07-17 Matsushita Electric Industrial Co., Ltd. Dual encryption protocol for scalable secure group communication
JP4002380B2 (ja) * 2000-03-15 2007-10-31 日本電気株式会社 マルチキャストシステム、認証サーバ端末、マルチキャスト受信者端末管理方法、並びに記録媒体
US7000012B2 (en) * 2000-04-24 2006-02-14 Microsoft Corporation Systems and methods for uniquely identifying networks by correlating each network name with the application programming interfaces of transport protocols supported by the network
US7031288B2 (en) * 2000-09-12 2006-04-18 Sri International Reduced-overhead protocol for discovering new neighbor nodes and detecting the loss of existing neighbor nodes in a network
US7698463B2 (en) * 2000-09-12 2010-04-13 Sri International System and method for disseminating topology and link-state information to routing nodes in a mobile ad hoc network
US6970461B2 (en) * 2000-11-29 2005-11-29 Nortel Networks Limited Access control enhancements for delivery of video and other services
US20020091926A1 (en) * 2001-01-10 2002-07-11 The Furukawa Electric Co., Ltd. Multicast authentication method, multicast authentication server, network interconnection apparatus and multicast authentication system
US7116661B2 (en) * 2001-05-15 2006-10-03 Sri International Combining multi-hop and multicast wireless networking in classroom-like settings
US7181530B1 (en) * 2001-07-27 2007-02-20 Cisco Technology, Inc. Rogue AP detection
US7307963B2 (en) * 2001-08-03 2007-12-11 At&T Corp. Architecture and method for using IEEE 802.11-like wireless LAN system to emulate private land mobile radio system (PLMRS) radio service
US7082200B2 (en) * 2001-09-06 2006-07-25 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
IL161389A0 (en) * 2001-10-15 2004-09-27 Semandex Networks Inc Dynamic content based multicast routing in mobile networks
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol
US20040019786A1 (en) * 2001-12-14 2004-01-29 Zorn Glen W. Lightweight extensible authentication protocol password preprocessing
US6973309B1 (en) * 2002-03-14 2005-12-06 Utstarcom, Inc. Method and system for re-direction and handoff for pre-paid mobile services in third generation networks
CN100413277C (zh) * 2002-11-18 2008-08-20 武汉烽火网络有限责任公司 用于弹性分组环上的多业务支路的传输装置和方法
US7212506B2 (en) * 2002-11-18 2007-05-01 Lucent Technologies Inc. System for the secure distribution of priority call access codes to provide guaranteed wireless communication service to priority wireless communication subscribers

Also Published As

Publication number Publication date
AU2003262486A1 (en) 2004-06-10
JP2004180316A (ja) 2004-06-24
JP3864312B2 (ja) 2006-12-27
EP1424807B1 (de) 2006-11-15
US7502926B2 (en) 2009-03-10
CN100341305C (zh) 2007-10-03
DE60309652D1 (de) 2006-12-28
CN1419363A (zh) 2003-05-21
US20040172559A1 (en) 2004-09-02
AU2003262486B2 (en) 2008-10-09
EP1424807A1 (de) 2004-06-02
ATE345623T1 (de) 2006-12-15

Similar Documents

Publication Publication Date Title
DE60309652T2 (de) Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE60311079T2 (de) Digitales Teilnehmernanschlussleitungszugangsnetz mit verbesserter Authentifizierungs-, Berechtigungs-, Abrechnungs- und Konfigurationssteuerung für Multicast-Dienste
DE69833605T2 (de) Sichere virtuelle LANS
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE60203099T2 (de) Eine Methode, ein Netzwerkszugangsserver, ein Authentifizierungs-, Berechtigungs- und Abrechnungsserver, ein Computerprogram mit Proxyfunktion für Benutzer-Authentifizierung, Berechtigung und Abrechnungsmeldungen über einen Netzwerkszugangsserver
EP1529374B1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
DE60313910T2 (de) Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE60130042T2 (de) Verteilte server-funktionalität für ein emuliertes lan
EP1779637B1 (de) Verfahren zur vermittlung von ip-paketen zwischen kundennetzen und ip-provider-netzen über ein zugangsnetz
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE69837748T2 (de) Verfahren und Vorrichtung zur Authentifizierung für gesichterte Übertragungen zwischen einem mobilen ATM Endgerät und einem ATM Zugriffsknoten in einem drahtlosen ATM Funkkommunikationsnetzwerk
DE602004003568T2 (de) Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät
DE112012002729T5 (de) Zero-Sign-On-Authentifizierung
EP1241847A1 (de) Übermittlung von Informationen mit einer verifizierten QoS in einem Kommunikationsnetz
DE60203312T2 (de) Verfahren und Vorrichtung zur Authentifizierung eines Benutzers
DE602004002950T2 (de) Verfahren und Vorrichtung zur Zugriffssteuerung
WO2006034935A1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
CN100414933C (zh) 基于ppp协议的组播业务的实现方法及装置

Legal Events

Date Code Title Description
8364 No opposition during term of opposition