WO2009043220A1

WO2009043220A1 - Procédé et dispositif permettant de commander l'accès d'un dispositif utilisateur à un service multidiffusion dans un réseau d'accès

Info

Publication number: WO2009043220A1
Application number: PCT/CN2008/000304
Authority: WO
Inventors: Fanxiang Bin; Songwei Ma; Haibo Wen; Jun Zheng; Renxiang Yan; Qingshan Zhang; Chunyan Yao
Original assignee: Alcatel Lucent
Priority date: 2007-09-29
Filing date: 2008-02-04
Publication date: 2009-04-09
Also published as: CN101399718A

Description

接入网络中控制用户设备接入组播业务的方法和装置技术领域

本发明涉及接入网络，尤其涉及接入网络中的网络接入设备和网络认证设备。背景技术

当前，计算机网絡事业迅速发展，相应的网络应用层出不穷，例如宽带接入、 V0D服务、视频会议、交互式多点广播等，网絡运营商和服务提供商在提供网络增值服务时，一般在用户终端通过数字用户线路（DSL )或其它接入网络配置宽带增值服务的时候，需要在网络接入级（network access )和服务级别（service level )上对用户设备进行认证，即对用户设备身份进行认证和确定用户设备接入网络业务的权限，并在认证成功的基础上为用户设备配置端口，以提供相应的服务。

例如, 对移动组播接收者 ( nomadic mul t icas t receivers ) 以及一些诸如非主流组播服务（如视频会议、朋友间视频共享等）的网络业务，网络接入设备需要根据服务认证 ( service authent icat ion ) 的结果来处理组播接入控制，这需要接入节点参与服务认证过程。但目前，还没有合适的认证解决方案来实现这个目标。

根据现有技术的两种实现方案具体如下：

第一种实现方案：基于 PPPoE (以太网上的点对点协议）认证的接入控制方法。

首先，用户设备发起 PPPoE认证请求， BRAS (宽带远程接入服务设备）从中提取出用户相关信息并将其发送到相应的网络认证设备以对该用户设备进行认证，如果认证成功，就为该用户设备设置一个私有 IP 地址，并将电子节目菜单（EPG )推送到该用户设备；其次，该用户设备将载于 PPPoE包中的 IGMP (互联网组播管理协议）请求消息发送到 BRAS, BRAS从 IGMP请求消息中提取出用户请求信息并将诸如 IP地址、 DSLAM线 ID、请求组播组地址等的认证信息传送给网络认证设备以进行认证；最后，网络认证设备返回认证结果，然后 BRAS将私有控制消息推送至网络接入设备，使网络接入设备将用户设备所请求的组播数据流传输到用户设备。

该实现方案的缺陷在于： 1 ) 由于使用 BRAS判定用户接入网络业务的权限，然后再将接入权限推送给网络接入设备，使得在频道变更时速度比较慢； 1 ) 需要扩展标准 Radius服务器（远程用户拨号网络认证设备）的功能，以基于从 IGMP联合消息中提取出的用户相关信息来对用户进行认证； 3 )使用私有控制消息将接入权限传送给网络接入设备。

第二种实现方案：首先，通过 802. lx、 PPPoE或 Web界面入口等方法，用户设备被网备认证设备认证，并获取相关的电子节目菜单（ EPG ); 其次，用户设备向网絡接入设备发送 IGMP请求消息（即网络业务请求消息）；然后，网络接入设备截取 IGMP请求消息，提取其中的用户设备相关信息（DSL端口号、 IP地址、 MAC地址、请求组播组地址）等，并将这些用户设备相关信息转发至网络认证设备；随后，网络认证设备对用户设备的请求进行认证，并将相关的接入权限推送至网络接入设备，该接入权限将存储在网络接入设备上；最后，网络接入设备基于所接收到的接入权限，允许或拒绝提供用户所申请的组播业务。

该实现方案的缺陷在于： 1 )存在两个分离的认证步骤，网络认证设备必须将来自 802. lx、 PPPoE或 Web界面入口认证的组播接入权限与 IGMP请求消息中所包含的用户相关信息（网络端口信息）相关联； 2 ) 需要扩展标准 Radius服务器的功能，以基于从 IGMP请求消息中提取出的用户相关信息来认证用户身份； 3 )采用私有消息将組播接入权限推送至网络接入设备，在用户终端发出 IGMP请求消息之后存在一个认证处理延时。

由上述可见，在现有技术中，都存在这样或那样的缺陷，例如，上述第一种实现方案中对于每次网絡服务请求，用户设备均需要通过网络认证设备进行认证，导致认证的速度比较慢；而对于第二种实现方案，网絡接入设备可以存储经过认证的用户设备接入权限，但其获取该用户设备接入权限的过程比较复杂，例如存在两个分离的认证步骤，这也不是一个合适的方案。发明内容

为解决现有技术中的上述缺点，本发明提出了一种在接入网络中用于控制用户设备接入组播业务的方法和装置。当用户设备申请某类組播业务时，只需进行一次用户设备身份认证即可，当该用户设备通过身份认证后，网络认证设备将与该用户设备相对应的组播业务接入权限发送至网络接入设备并存储于该网络接入设备。具体地，当该用户设备申请该类组播业务中的某项组播业务时，只需根据网络接入设备中保存的组播业务授权信息来判断该用户设备是否具有接入所述组播业务的权限即可。

根据本发明的第一个方面，提供了一种在接入网络的网络接入设备中用于控制用户设备接入组播业务的方法，其特征在于，包括以下步骤 a. 判断接收到的来自所述用户设备的消息类型； b. 如果所述接收到的来自所述用户设备的消息为服务认证请求消息，则向网络认证设备获取与所述用户设备相对应的组播业务授权信息，其中，所述服务认证请求消息用于所述用户设备申请某类组播业务； c. 如果所述接收到的来自所述用户设备的消息为组播业务请求消息，则根据保存的与所述用户设备相对应的组播业务授权信息判断所述用户设备是否有接入所述组播业务的权限，当所述用户设备有接入所述组播业务的权限时向所述用户设备提供所述组播业务，其中，所述组播业务请求消息用于所述用户设备申请某项组播业务。

根据本发明的第二个方面，提供了一种在接入网络的网络认证设备中用于控制用户设备接入組播业务的方法，其特征在于，包括以下步骤： i .接收经由网络接入设备转发的来自所述用户设备的服务认证请求消息； i i .根据所述服务认证请求消息，生成与所述用户设备相对应的组播业务授权信息； i i i .将所述组播业务授权信息发送至所述网絡接入设备。

根据本发明的第三个方面，提供了一种在接入网络的网络接入设备中用于控制用户设备接入组播业务的控制装置，其特征在于，包括：第一判断装置，用于判断接收到的来自用户设备的消息类型；获取装置，用于如果所述接收到的来自所述用户设备的消息为服务认证请求消息，则向网络认证设备获取与所述用户设备相对应的组播业务授权信息，其中，所述服务认证请求消息用于所述用户设备申请某类組播业务；第二判断装置，用于如果所述接收到的来自所述用户设备的消息为组播业务请求消息，则根据保存的与所述用户设备相对应的所述组播业务授权信息判断所述用户设备是否有接入所述组播业务的权限，第一发送装置，用于当所述用户设备有接入所述组播业务的权限时向所述用户设备提供所述组播业务，其中，所述组播业务请求消息用于所述用户设备申请某项組播业务。

根据本发明的第四个方面，提供了一种在接入网络的网络认证设备中用于控制用户设备接入组播业务的辅助控制装置，其特征在于，包括：第三接收装置，用于接收经由网络接入设备转发的来自所述用户设备的服务认证请求消息；第一生成装置，用于根据所述服务认证请求消息，生成与所述用户设备相对应的组播业务授权信息；第三发送装置，用于将所述组播业务授权信息发送至所述网络接入设备。

根据本发明的第五个方面，提供了一种在接入网络中用于控制用户设备接入组播业务的组播接入系统，包括网络接入设备以及网络认证设备，其中，所述网络接入设备包括如权利要求 8至 12中任一项所述的用于控制用户设备接入组播业务的控制装置，所述网络认证设备包括如权利要求 13和 14中任一项所述的用于控制用户设备接入組播业务的辅助控制装置。

本发明中，对申请某类组播业务的用户设备来说，只需对该用户设备的身份进行一次认证，当该用户设备通过认证后，网络认证设备将与该用户设备相对应的組播业务接入权限发送至网络接入设备并存储于该网络接入设备，具体地，当该用户设备申请该类组播业务中的某项組播业务时，网络接入设备只需根据其中保存的组播业务授权信息来判断该用户设备是否具有接入所述组播业务的权限即可，而无需在用户设备申请该类中业务中的每项组播业务时都对该用户设备进行身份认证，从而可以减少认证次数，并且某项网络业务只需复制少数几份到相应的网络接入设备并由该网络接入设备转发给不同的用户设备，从而可以节约网络带宽。

由于本发明是基于现有的网络通信技术，可以方便地实现本发明的身份认证及业务认证，所以本发明可用于由网络业务提供商（NSP )和相关服务提供商（ASP )提供组播服务的场合；并且可以在跨 NSP域的范围内应用移动组播服务。附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图 1示出根据本发明的在接入网络中用于控制用户设备接入组播业务的系统示意图；

图 2示出根据本发明的一个具体实施方式的，在接入网络的网络接入设备中用于控制用户设备接入组播业务的方法的流程图；

图 3示出图 2中所述步骤 S12的一个具体实施方式，即向网络认证设备获取与所述用户设备相对应的组播业务授权信息的方法的流程图；

图 4示出根据本发明的一个具体实施方式的，在接入网络的网络接入设备中用于控制用户设备退出组播业务的方法的流程图；

图 5示出根据本发明的一个具体实施方式的，在接入网络的网络认证设备中用于控制用户设备接入组播业务的方法的流程图；

图 6示出根据本发明的一个具体实施方式的，在接入网络的网络接入设备中用于控制用户设备接入组播业务的控制装置的结构示意图；

图 7示出图 6中所述第一获取装置 12的一个具体实施方式，即用于向网络认证设备获取与所述用户设备相对应的组播业务授权信息的第一获取装置 12的结构示意图；图 8示出根据本发明的一个具体实施方式的，在接入网络的网络接入设备中用于控制用户设备退出组播业务的控制装置的结构示意图；以及

图 9示出根据本发明的一个具体实施方式的，在接入网络的网络认证设备中用于控制用户设备接入组播业务的辅助控制装置。具体实施方式

下面结合附图对本发明作进一步详细描述。

图 1示出根据本发明的在接入网络中用于控制用户设备接入组播业务的系统示意图。尽管图中只示出了一个用户设备 1 , 但在具体应用中可以有多个用户设备申请相同的某类组播业务中的相同或不同的某项组播业务。

具体地，某类组播业务可以包括 IPTV、上网、视频、语音等网络业务。在同一类业务中，用户设备 1也会发出多次请求，例如在被允许接入 IPTV业务后，用户设备 1会发出转换频道的请求，即停止继续接收频道 1的节目，而是发出接入频道 2的请求，待被允许接入频道 2后的某一个时刻后，又再次发出接入频道 N的请求，以此类推，因此，网络接入设备 2会一次次地对来自用户设备 1的接入一项网络业务的请求进行处理。

以下将针对一个用户设备 1向网络接入设备 2申请某类组播业务中的某项组播业务的情况对本发明做进一步的详细描述。

具体地，首先，用户设备 1发送一请求消息至网络接入设备 2, 网络接入设备 2接收到来自该用户设备 1的请求消息后，对该请求消息进行判断。

其次，当网络接入设备 2判断出来自用户设备 1的请求消息为用户设备 1用于请求某类组播业务而发送至网络认证设备 3 (该网络认证设备可以为一个认证服务器，具体的，可以为一个 AAA认证服务器）的服务认证请求消息（该认证请求消息包括用户标识信息以及用户身份认证信息）后，该网络接入设备 2在该服务认证请求消息中加入用户设备 1的网络标识信息（该网絡标识信息包括 IP地址， MAC 地址， DSL端口号），并将更新后的服务认证请求消息发送至网絡认证设备 3。

网絡认证设备 3接收到来自网络接入设备 2的更新后的服务认证请求消息后，从中提取用户标识信息（例如： xyz@IPTV service用于标识用户 xyz向 IPTV服务提供商申请 IPTV服务）以及用户身份认证信息，并根据该用户标识信息以及用户身份认证信息，对用户设备 1进行身份认证以生成认证结果，用以判断该用户设备 1是否为该类组播业务的合法用户。该用户身份认证信息可以包括用户设备 1与网络认证设备 3预先设置好的口令，或数字证书，也可以包括其他类型的身份认证信息，只要网络认证设备 3能够凭借该身份认证信息确定该用户设备 1的身份即可，这是本领域技术人员应能理解的，在此不作贅述。

当用户设备 1通过身份认证后，网络认证设备 3根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限，当该网络认证设备 3查找到用户设备 1所请求的某类组播业务的接入权限后，根据用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号）形成该用户设备 1的网络端口信息（DSL端口号）与该用户设备 1所请求的某类组播业务接入权限的映射关系，以生成与该用户设备 1相对应的组播业务授权信息。进一步地， DSL端口号用于指示网絡接入设备 2通过该 DSL端口向用户设备 1提供其所申请的某类组播业务中的某项組播业务。当生成组播业务授权信息后，网络认证设备 3将与用户设备 1相对应的组播业务授权信息以及认证结果一同发送至网络接入设备 2。

网络接入设备 2接收到来自网絡认证设备 3发送的组播业务授权信息和认证结果后，以网络端口信息（ DSL端口号）以及认证会话标识信息为索引，存储与用户设备 1相对应的组播业务接入权限并将认证结果转发至用户设备 1。该认证会话标识信息可以包括 EAP ID或 Session ID, 也可以包括其他类型的会话标识信息，关键取决于认证会话所采用的协议，这是本领域技术人员应能理解，在此不作赘述。进一步地， EAP协议在通信领域是一种常用的认证方式。 EAP 是 IETF定义的一个协议，为 RFC3748, 提供认证时双方交互的消息格式，每个 EAP会话有个标识，让会话双方理解所认证的处理是属于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识信息可以在用户设备 1要求取消某类组播业务时，根据该认证会话标识信息有针对性地取消认证的服务。

再次，当网络接入设备 2判断出来自用户设备 1的消息为用户设备 1用于请求某类组播业务中的某项组播业务而发送的组播业务请求消息（该组播业务请求消息包括用户设备 1的网络标识信息以及用户设备 1所请求的某项组播业务标识信息）后，网络接入设备 2从该组播业务请求消息中提取出该用户设备 1的网络标识信息，并根据该网络标识信息查找与该用户设备 1相对应的组播业务授权信息，并根据保存于该网络接入设备 2的与该用户设备 1相对应的组播业务授权信息判断用户设备 1是否有接入其所请求的该项组播业务的权限，当用户设备 1有接入该项组播业务的权限时向用户设备 1提供该项组播业务，当用户设备 1没有接入该项组播业务的权限时拒绝向用户设备 1 提供该项组播业务。

进一步地，该网络接入设备 2可以通过两种方式向用户设备 1提供该项组播业务。

第一种方式，如果用户设备 1所申请的组播业务的组播流已到达网路接入设备 1 , 则该网络接入设备 2复制用户设备 1所申请的该类组播业务的组 "流，并将其通过相应的网络端口（DSL端口）发送至用户设备 1。

第二种方式，如果用户设备 1所申请的组播业务的组播流没有到达网络接入设备 2, 则该网络接入设备 2将向上一级网络转发用户设备 1的组播业务请求消息，即 IGMP请求消息，同时上一级网络不再检查这个组播业务请求的权限，直到该组播业务的组播流传送到该网络接入设备 2, 并经由该网络接入设备 2转发该組播流给用户设备 1。进一步地，为了避免网絡接入设备 2的存储负担过重，当用户设备 1需要删除存储于网络接入设备 2中的对应于先前所申请的某类网络业务的接入权限时，用户设备 1向网络接入设备 2发送一组播业务取消请求消息（该组播业务取消请求消息包括用户设备 1申请该类组播业务而向网络认证设备 3请求身份认证时所产生的认证会话标识信息以及用户设备 1的网络标识信息），网络接入设备 2接收到来自用户设备发送的组播业务取消请求消息后，从中提取出该用户设备 1 申请该类组播业务而向网络认证设备 3请求身份认证时所产生的认证会话标识信息，并根据该认证会话标识信息查找用户设备 1所请求删除的该类网络业务的接入权限，当网络接入设备 2查找到用户设备 1所请求删除的该类网络业务的接入权限后将其删除。

图 2示出根据本发明的一个具体实施方式的，在接入网络的网络接入设备中用于控制用户设备接入组播业务的方法的流程图。

在本具体实施方式中，首先，执行步骤 S11 , 判断接收到的来自所述用户设备的消息类型；

如果接收到的来自所述用户设备的消息为服务认证请求消息，则执行步骤 S12, 向网络认证设备获取与所述用户设备相对应的组播业务授权信息；

如果接收到的来自所述用户设备的消息为组播业务请求消息，则执行步骤 S 13 , 根据保存的与所述用户设备相对应的组播业务授权信息判断所述用户设备是否有接入所述组播业务的权限，

当所述用户设备有接入所述组播业务的权限时，则执行步驟 S 14 , 向所述用户设备提供所述组播业务。

具体地，在步骤 S 11中，当网络接入设备 2接收到来自该用户设备 1的请求消息后，对该请求消息的类型进行判断。如果网络接入设备 2判断出该请求消息为用户设备 1用于请求某类组播业务而发送至网络认证设备 3 (该网络认证设备可以为一个认证服务器，具体的，可以为一个 AAA认证服务器）的服务认证请求消息（该认证请求消息包括用户标识信息以及用户身份认证信息）后，在步驟 S12中，该网络接入设备 2在该服务认证请求消息中加入用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号），并将更新后的服务认证请求消息发送至网络认证设备 3用于向网络认证设备 3获取与用户设备 1相对应的組播业务授权信息。进一步地，网络接入设备 2接收到来自用户设备 1的服务认证请求消息后，首先对其中的用户标识信息进行检测，以判断用户设备 1所请求的服务认证的类型，然后，网络接入设备 2查找合适的网络认证设备并将该服务认证请求消息发送至正确的服务提供商。

网络认证设备 3接收到来自网络接入设备 2的更新后的服务认证请求消息后，从中提取用户标识信息（例如： xyz@IPTV service用于标识用户 xyz向 IPTV服务提供商申请 IPTV服务）以及用户身份认证信息，并根据该用户标识信息以及用户身份认证信息，对用户设备 1进行身份认证以生成认证结果，用以判断该用户设备 1是否为该类组播业务的合法用户。该用户身份认证信息可以包括用户设备 1与网络认证设备 3预先设置好的口令，或数字证书，也可以包括其他类型的身份认证信息，只要网络认证设备 3能够凭借该身份认证信息确定该用户设备 1的身份即可，这是本领域技术人应能理解的，在此不作赘述。

当用户设备 1通过身份认证后，网络认证设备 3根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限，当该网络认证设备 3查找到用户设备 1所请求的某类组播业务的接入权限后，根据用户设备 1的网絡标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号）形成该用户设备 1的网络端口信息（DSL端口号）与该用户设备 1所请求的某类组播业务接入权限的映射关系，以生成与该用户设备 1相对应的组播业务授权信息。进一步地， DSL端口号用于指示网络接入设备 2通过该 DSL端口向用户设备 1提供其所申请的某类组播业务中的某项组播业务。当生成组播业务授权信息后，网络认证设备 3将与用户设备 1相对应的组播业务授权信息以及认证结果一同发送至网络接入设备 2。当网络接入设备 2接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，以网络端口信息（ DSL端口号）以及认证会话标识信息为索引，存储与用户设备 1相对应的组播业务接入权限并将认证结果转发至用户设备 1。该认证会话标识信息可以包括 EAP ID 或 Session ID, 也可以包括其他类型的会话标识信息，关键取决于认证会话所采用的协议，这是本领域技术人员应能理解，在此不作赘述。

进一步地， EAP协议在通信领域是一种常用的认证方式。 EAP是 IETF定义的一个协议，为 RFC3748, 提供认证时双方交互的消息格式，每个 EAP会话有个标识，让会话双方理解所认证的处理是属于哪次会话，也即授权的结果是与哪次认证有关。釆用认证会话标识信息可以在用户设备 1要求取消某类组播业务时，根据该认证会话标识信息有针对性地取消认证的服务。

在一个优选的实施例中，网络认证设备 3在根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限的同时，也可以在其组播业务接入权限表中查找与该类組播业务相关联的某类网络业务的接入权限，并将与用户设备 1所请求的某类组播业务相关联的一类或多类网络业务的接入权限与用户设备 1所请求的某类组播业务的接入权限一同发送至网絡接入设备 2并存储于网络接入设备 2中。

在一种变化例中，网络认证设备 3也可以不将认证结果发送至网络接入设备 2，而仅仅将组播业务授权信息发送至网络接入设备 2, 因为网络接入设备 2仅仅凭借接收到组播业务授权信息就可以知晓该用户设备 1 已通过身份认证，而用户设备 1仅凭其在预定的某一段时间内未收到认证结果来判断其通过身份认证。当然，在这种情况下，当用户设备 1没有通过身份认证时，网络认证设备 3会发送其未通过身份认证的认证结果至网络接入设备 2 , 并经由网络接入设备 2将未通过身份认证的认证结果发送至用户设备 1 , 因此，在这种情况下，用户设备 1仅凭其在预定的某一段时间内是否收到认证结果来判断其是否通过身份认证即可。具体地，在步骤 S13中，如果网絡接入设备 2判断出来自用户设备 1的消息为用户设备 1用于请求某类组播业务中的某项组播业务而发送的组播业务请求消息（该组播业务请求消息包括用户设备 1的网络标识信息以及用户设备 1所请求的某项组播业务标识信息）后，网络接入设备 2从该组播业务请求消息中提取出该用户设备 1的网络标识信息，并根据该网絡标识信息查找与该用户设备 1相对应的組播业务授权信息，并根据保存于该网络接入设备 2的与该用户设备 1相对应的组播业务授权信息判断用户设备 1是否有接入其所请求的该项组播业务的权限，当用户设备 1有接入该项组播业务的权限时向用户设备 1提供该项组播业务，当用户设备 1没有接入该项组播业务的权限时拒绝向用户设备 1提供该项组播业务。

第一种方式，如果用户设备 1所申请的组播业务的组播流已到达网路接入设备 1，则该网络接入设备 2复制用户设备 1所申请的该类组播业务的组播流，并将其通过相应的网络端口（DSL端口）发送至用户设备 1。

第二种方式，如果用户设备 1所申请的组播业务的组播流没有到达网络接入设备 2, 则该网络接入设备 2将向上一级网络转发用户设备 1的组播业务请求消息，即 IGMP请求消息，同时上一级网络不再检查这个组播业务请求的权限，直到该组播业务的组播流传送到该网络接入设备 2, 并经由该网络接入设备 2转发该组播流给用户设备 1。

图 3示出图 2中所述步骤 S12的一个具体实施方式，即向网络认证设备获取与所述用户设备相对应的组播业务授权信息的方法的流程图。

在本具体实施方式中，首先，执行步骤 S121 , 发送所述服务认证请求消息至所述网络认证设备；

其次，执行步骤 S122, 接收来自所迷网络认证设备的与所述用户设备相对应的所述组播业务授权信息；最后，执行步骤 S123，存储与所述用设备相对应的所述组播业务授权信息。

当网络接入设备 2判断出该请求消息为用户设备 1用于请求某类組播业务而发送至网络认证设备 3的服务认证请求消息（该认证请求消息包括用户标识信息以及用户身份认证信息）后，具体地，在步骤 S121中，该网络接入设备 2在该服务认证请求消息中加入用户设备 1 的网络标识信息（该网络标识信息包括 IP地址 , MAC地址， DSL端口号），并将更新后的服务认证请求消息发送至网络认证设备 3。进一步地，网络接入设备 2接收到来自用户设备 1的服务认证请求消息后，首先对其中的用户标识信息进行检测，以判断用户设备 1所请求的服务认证的类型，然后，网络接入设备 2查找合适的网络认证设备并将该服务认证请求消息发送至正确的服务提供商。

网络认证设备 3接收到来自网络接入设备 2的更新后的服务认证请求消息后，根据该服务认证请求消息，生成与所述用户设备相对应的组播业务授权信息并将该组播业务授权信息发送至所述网络接入设备 2。

具体地，在步骤 S122和步骤 S123中，网络接入设备 2接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，以网络端口信息（DSL端口号）以及认证会话标识信息为索引，存储与用户设备 1相对应的组播业务接入权限并将认证结果转发至用户设备 1。该认证会话标识信息可以包括 EAP ID或 Session ID,也可以包括其他类型的会话标识信息，关键取决于认证会话所采用的协议，这是本领域技术人员应能理解，在此不作赘述。

进一步地， EAP协议在通信领域是一种常用的认证方式。 EAP 是 IETF定义的一个协议，为 RFC3748, 提供认证时双方交互的消息格式，每个 EAP会话有个标识，让会话双方理解所认证的处理是属于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识信息可以在用户设备 1要求取消某类组播业务时，根据该认证会话标识信息有针对性地取消认证的服务。图 4示出根据本发明的另一个具体实施方式的，在接入网络的网络接入设备中用于控制用户设备退出组播业务的方法的流程图。

在本具体实施方式中，首先，执行步骤 S21 , 接收来自所述用户设备的组播业务取消请求消息；

其次，执行步骤 S22, 从所述组播业务取消请求消息中提取所述认证会话标识信息；

最后，执行步骤 S23, 根据所述认证会话标识信息，删除与该认证会话标识信息相对应的所述组播业务的接入权限。

具体地，为了避免网络接入设备 2的存储负担过重，当用户设备 1需要删除存储于网络接入设备 2中的对应于先前所申请的某类网络业务的接入权限时，用户设备 1向网络接入设备 2发送一组播业务取消请求消息（该组播业务取消请求消息包括用户设备 1申请该类組播业务而向网络认证设备 3请求身份认证时所产生的认证会话标识信息以及用户设备 1的网络标识信息），网络接入设备 2接收到来自用户设备发送的组播业务取消请求消息后，从中提取出该用户设备 1 申请该类组播业务而向网络认证设备 3请求身份认证时所产生的认证会话标识信息，并根据该认证会话标识信息查找用户设备 1所请求删除的该类网络业务的接入权限，当网络接入设备 2查找到用户设备 1所请求删除的该类网络业务的接入权限后将其删除。

进一步地，用户管理系统也可以根据用户标识信息删除存储于网络接入设备 2的对应于用户设备 1的组播业务接入权限。

图 5示出根据本发明的又一个具体实施方式的，在接入网络的网络认证设备中用于控制用户设备接入组播业务的方法的流程图。

在本具体实施方式中，首先，执行步骤 S31 , 接收经由网络接入设备转发的来自所述用户设备的服务认证请求消息；

其次，执行步骤 S32, 从所述服务认证请求消息中提取用户身份认证信息，用户标识信息以及所述用户设备的网络标识信息；

再次，执行步骤 S33，根据所述用户身份认证信息以及所述用户标识信息，对所述用户设备进行身份认证；然后，执行步骤 S34, 当所述用户设备通过身份认证，则根据所述用户标识信息，查找所述用户设备的接入权限；

随后，执行步骤 S35 , 根据所述用户设备的网絡标识信息以及所述用户设备的接入权限，生成与所述用户设备相对应的所述组播业务授权信息；

最后，执行步骤 S36, 将所述组播业务授权信息发送至所述网络接入设备。

具体地，当网络接入设备 2判断出来自用户设备 1的请求消息为用户设备 1用于请求某类组播业务而发送至网络认证设备 3的服务认证请求消息（该认证请求消息包括用户标识信息以及用户身份认证信息）后，该网络接入设备 2在该服务认证请求消息中加入用户设备 1 的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号），并将更新后的服务认证请求消息发送至网絡认证设备 3用于向网络认证设备 3获取与用户设备 1相对应的组播业务授权信息。

网络认证设备 3接收到来自网络接入设备 2的更新后的服务认证请求消息后，从中提取用户标识信息以及用户身份认证信息，并根据该用户标识信息以及用户身份认证信息，对用户设备 1进行身份认证以生成认证结果，用以判断该用户设备 1是否为该类组播业务的合法用户。

具体地，在步骤 S34和步骤 S35中，当用户设备 1通过身份认证后，网络认证设备 3根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限，当该网络认证设备 3查找到用户设备 1所请求的某类组播业务的接入权限后，根据用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号）形成该用户设备 1的网络端口信息（DSL端口号）与该用户设备 1所请求的某类组播业务接入权限的映射关系，以生成与该用户设备 1相对应的组播业务授权信息。进一步地， DSL端口号用于指示网络接入设备 2通过该 DSL端口向用户设备 1提供其所申请的某类组播业务中的某项组播业务。当生成组播业务授权信息后，网络认证设备 3将与用户设备 1相对应的组播业务授权信息以及认证结果一同发送至网络接入设备 2。

网络接入设备 2接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，以网络端口信息（DSL端口号）以及认证会话标识信息为索引，存储与用户设备 1相对应的组播业务接入权限并将认证结果转发至用户设备 1。

在一个优选的实施例中，网络认证设备 3在根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限的同时，也可以在其组播业务接入权限表中查找与该类组播业务相关联的某类网络业务的接入权限，并将与用户设备 1所请求的某类組播业务相关联的一类或多类网絡业务的接入权限与用户设备 1所请求的某类组播业务的接入权限一同发送至网络接入设备 2并存储于网络接入设备 2中。

在一种变化例中，网络认证设备 3也可以不将认证结果发送至网络接入设备 2, 而仅仅将组播业务授权信息发送至网络接入设备 2, 因为网络接入设备 2仅仅凭借接收到组播业务授权信息就可以知晓该用户设备 1 已通过身份认证，而用户设备 1仅凭其在预定的某一段时间内未收到认证结果来判断其通过身份认证。当然，在这种情况下，当用户设备 1没有通过身份认证时，网络认证设备 3会发送其未通过身份认证的认证结果至网络接入设备 2, 并经由网络接入设备 2将未通过身份认证的认证结果发送至用户设备 1 , 因此，在这种情况下，用户设备 1仅凭其在预定的某一段时间内是否收到认证结果来判断其是否通过身份认证即可。

图 6示出根据本发明的一个具体实施方式的，在接入网絡的网络接入设备中用于控制用户设备接入组播业务的控制装置的结构示意图。该控制装置 1包括第一判断装置 11 , 获取装置 12，第二判断装置 13以及第一发送装置 14。

在本具体实施方式中，首先，第一判断装置 11，判断接收到的来自所述用户设备的消息类型；如果接收到的来自所述用户设备的消息为服务认证请求消息，则获取装置 12,向网络认证设备获取与所述用户设备相对应的组播业务授权信息；

如果接收到的来自所述用户设备的消息为组播业务请求消息，则第二判断装置 13 ,根据保存的与所述用户设备相对应的组播业务授权信息判断所述用户设备是否有接入所述组播业务的权限，

当所述用户设备有接入所述组播业务的权限时，则第一发送装置 14, 向所述用户设备提供所述组播业务。

以下结合图 7至图 9对图 6做进一步的详细描述：

具体地，当网络接入设备 2中的接收装置（为简明起见，图 6中未示出）接收到来自该用户设备 1的请求消息后，控制装置 1中的第一判断装置 11对该请求消息的类型进行判断。如果第一判断装置 11 判断出该请求消息为用户设备 1用于请求某类组播业务而发送至网络认证设备 3 (该网络认证设备可以为一个认证服务器，具体的，可以为一个 AAA认证服务器）的服务认证请求消息（该认证请求消息包括用户标识信息以及用户身份认证信息）后，该网络接入设备 2在该服务认证请求消息中加入用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号），并通过获取装置 12中的第二发送装置 121将更新后的服务认证请求消息发送至网络认证设备 3用于向网络认证设备 3获取与用户设备 1相对应的组播业务授权信息。进一步地，网絡接入设备 2中的接收装置接收到来自用户设备 1 的服务认证请求消息后，首先判断装置对其中的用户标识信息进行检测，以判断用户设备 1所请求的服务认证的类型，然后，网絡接入设备 2中的查找装置查找合适的网络认证设备并将该服务认证请求消息发送至正确的服务提供商。

网络认证设备 3中的第三接收装置 31接收到来自网络接入设备 2 的更新后的服务认证请求消息后，第二提取装置 32从中提取出用户标识信息（例如： xyz@IPTV service用于标识用户 xyz向 IPTV服务提供商申请 IPTV服务）以及用户身份认证信息，认证装置 33根据该用户标识信息以及用户身份认证信息，对用户设备 1进行身份认证以生成认证结果，用以判断该用户设备 1是否为该类组播业务的合法用户。该用户身份认证信息可以包括用户设备 1与网络认证设备 3预先设置好的口令，或数字证书，也可以包括其他类型的身份认证信息，只要网络认证设备 3能够凭借该身份认证信息确定该用户设备 1的身份即可，这是本领域技术人员应能理解的，在此不作赘述。

当用户设备 1通过身份认证后，网络认证设备 3中的查找装置 34 根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限，当该网络认证设备 3查找到用户设备 1 所请求的某类组播业务的接入权限后，第二生成装置 35根据用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL 端口号）形成该用户设备 1的网络端口信息（DSL端口号）与该用户设备 1所请求的某类组播业务接入权限的映射关系，以生成与该用户设备 1相对应的组播业务授权信息。进一步地， DSL端口号用于指示网络接入设备 2通过该 DSL端口向用户设备 1提供其所申请的某类组播业务中的某项组播业务。当生成组播业务授权信息后，网络认证设备 3中的第三发送装置 36将与用户设备 1相对应的组播业务授权信息以及认证结果一同发送至网络接入设备 2。

网络接入设备 2中的第一接收装置 122接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，存储装置 123以网络端口信息（DSL端口号）以及认证会话标识信息为索引，存储与用户设备 1相对应的组播业务接入权限并将认证结果转发至用户设备 1。该认证会话标识信息可以包括 EAP ID或 Session ID,也可以包括其他类型的会话标识信息，关键取决于认证会话所采用的协议，这是本领域技术人员应能理解，在此不作赘述。

进一步地， EAP协议在通信领域是一种常用的认证方式。 EAP 是 IETF定义的一个协议，为 RFC3748, 提供认证时双方交互的消息格式，每个 EAP会话有个标识，让会话双方理解所认证的处理是属于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识信息可以在用户设备 1要求取消某类組播业务时，根据该认证会话标识信息有针对性地取消认证的服务。

在一个优选的实施例中，网络认证设备 3中的查找装置 34在根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限的同时，也可以在其组播业务接入权限表中查找与该类組播业务相关联的某类网络业务的接入权限，并通过第三发送装置 36将与用户设备 1所请求的某类组播业务相关联的一类或多类网络业务的接入权限与用户设备 1所请求的某类组播业务的接入权限一同发送至网络接入设备 2并存储于网络接入设备 2中。

在一种变化例中，网络认证设备 3中的第三发送装置 36也可以不将认证结果发送至网络接入设备 2, 而仅仅将組播业务授权信息发送至网络接入设备 2, 因为网络接入设备 2仅仅凭借接收到组播业务授权信息就可以知晓该用户设备 1 已通过身份认证，而用户设备 1仅凭其在预定的某一段时间内未收到认证结果来判断其通过身份认证。当然，在这种情况下，当用户设备 1没有通过身份认证时，网络认证设备 3中的第三发送装置 36会发送其未通过身份认证的认证结果至网络接入设备 2, 并经由网络接入设备 2将未通过身份认证的认证结果发送至用户设备 1，因此，在这种情况下，用户设备 1仅凭其在预定的某一段时间内是否收到认证结果来判断其是否通过身份认证即可。

如果控制装置 1中的第一判断装置 11判断出来自用户设备 1的请求消息为用户设备 1用于请求某类组播业务中的某项组播业务而发送的组播业务请求消息（该组播业务请求消息包括用户设备 1的网络标识信息以及用户设备 1所请求的某项组播业务标识信息）后，网络接入设备 2中的提取装置（为筒明起见，图 6中未示出）从该組播业务请求消息中提取出该用户设备 1的网络标识信息，查找装置（为简明起见，图 6中未示出）根据该网络标识信息查找与该用户设备 1相对应的组播业务授权信息，第二判断装置 13根据保存于该网络接入设备 2的与该用户设备 1相对应的组播业务授权信息判断用户设备 1 是否有接入其所请求的该项组播业务的权限，当用户设备 1有接入该项组播业务的权限时第一发送装置 14向用户设备 1提供该项组播业务，当用户设备 1没有接入该项组播业务的权限时拒绝向用户设备 1 提供该项组播业务。

第一种方式，如果用户设备 1所申请的组播业务的组播流已到达网路接入设备 1 , 则该网络接入设备 2复制用户设备 1所申请的该类组播业务的组播流，并将其通过相应的网络端口（DSL端口）发送至用户设备 1。

第二种方式，如果用户设备 1所申请的组播业务的组播流没有到达网络接入设备 2, 则该网絡接入设备 2将向上一级网络转发用户设备 1的组播业务请求消息，即 IGMP请求消息，同时上一级网络不再检查这个组播业务请求的权限，直到该组播业务的组播流传送到该网络接入设备 2, 并经由该网络接入设备 2转发该组播流给用户设备 1。

图 7示出图 6中所述第一获取装置 12的一个具体实施方式，即用于向网络认证设备获取与所述用户设备相对应的组播业务授权信息的第一获取装置 12的结构示意图。该第一获取装置 12包括第二发送装置 121 , 第一接收装置 122以及存储装置 123。

首先，第二发送装置 121，用于发送所述服务认证请求消息至所述网络认证设备；

其次，第一接收装置 122, 用于接收来自所述网络认证设备的与所述用户设备相对应的所述组播业务授权信息；

最后，存储装置 123 , 用于存储与所述用户设备相对应的所述组播业务授权信息。

具体地，当网络接入设备 2中的第一判断装置 11判断出来自用户设备 1的请求消息为用户设备 1用于请求某类组播业务而发送至网络认证设备 3的服务认证请求消息（该认证请求消息包括用户标识信息以及用户身份认证信息）后，该网络接入设备 2在该服务认证请求消息中加入用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号），获取装置 12中的第二发送装置 121 将更新后的服务认证请求消息发送至网络认证设备 3用于向网络认证设备 3获取与用户设备 1相对应的组播业务授权信息。进一步地，网络接入设备 2中的接收装置接收到来自用户设备 1的服务认证请求消息后，首先判断装置对其中的用户标识信息进行检测，以判断用户设备 1所请求的服务认证的类型，然后，网络接入设备 2中的查找装置查找合适的网络认证设备并将该服务认证请求消息发送至正确的服务提供商。

网络认证设备 3中的第三接收装置 31接收到来自网络接入设备 2 的更新后的服务认证请求消息后，第一生成装置根据该服务认证请求消息，生成与所述用户设备相对应的组播业务授权信息，第三发送装置 36将该组播业务授权信息发送至所述网络接入设备 2。

第一获取装置 12中的第一接收装置 122接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，存储装置 123以网络端口信息（ DSL端口号）以及认证会话标识信息为索引，存储与用户设认证会话标识信息可以包括 EAP ID或 Session ID,也可以包括其他类型的会话标识信息，关键取决于认证会话所采用的协议，这是本领域技术人员应能理解，在此不作赘述。

进一步地， EAP协议在通信领域是一种常用的认证方式。 EAP 是 IETF定义的一个协议，为 RFC3748, 提供认证时双方交互的消息格式，每个 EAP会话有个标识，让会话双方理解所认证的处理是属于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识信息可以在用户设备 1要求取消某类组播业务时，根据该认证会话标识信息有针对性地取消认证的服务。

图 8示出根据本发明的另一个具体实施方式的，在接入网络的网络接入设备中用于控制用户设备退出组播业务的控制装置的结构示意图。该控制装置 2包括第二接收装置 21 , 第一提取装置 22以及第二删除装置 23。

在本具体实施方式中，首先，第二接收装置 21 , 接收来自用户设备的组播业务取消请求消息；

第一提取装置 22,从所述组播业务取消请求消息中提取认证会话标识信息；

第二删除装置 23 ,根据所述认证会话标识信息，删除与该认证会话标识信息相对应的所述组播业务的接入权限。

具体地，为了避免网络接入设备 2的存储负担过重，当用户设备 1需要删除存储于网络接入设备 2中的对应于先前所申请的某类网络业务的接入权限时，用户设备 1 中的发送装置向网络接入设备 2发送一组播业务取消请求消息（该组播业务取消请求消息包括用户设备 1 申请该类组播业务而向网络认证设备 3请求身份认证时所产生的认证会话标识信息以及用户设备 1的网络标识信息），控制装置 2中的第二接收装置 21接收到来自用户设备发送的組播业务取消请求消息后，第一提取装置 22从中提取出该用户设备 1申请该类組播业务而向网络认证设备 3请求身份认证时所产生的认证会话标识信息，查找装置 (为简明起见，图 8中未示出）根据该认证会话标识信息查找用户设备 1所请求删除的该类网络业务的接入权限，当网络接入设备 2查找到用户设备 1所请求删除的该类网络业务的接入权限后，第二删除装置 23将存储于网络接入设备 2中的用户设备 1所请求删除的该类网络业务的接入权限删除。

图 9示出居本发明的又一个具体实施方式的，在接入网络的网络认证设备中用于控制用户设备接入组播业务的辅助控制装置。该控制装置 3包括第三接收装置 31 , 第二提取装置 32，认证装置 33 , 查找装置 34, 第二生成装置 35以及第三发送装置 36。

在本具体实施方式中，首先，第三接收装置 31 , 接收经由网络接入设备转发的来自所述用户设备的服务认证请求消息；其次，第二提取装置 32, 从所述服务认证请求消息中提取用户身份认证信息，用户标识信息以及所述用户设备的网络标识信息；

再次，认证装置 33 , 根据所述用户身份认证信息以及所述用户标识信息，对所述用户进行身份认证；

然后，查找装置 34, 当所述用户设备通过身份认证，则根据所述用户标识信息，查找所述用户设备的接入权限；

随后，第二生成装置 35，用于根据所述用户设备的网络标识信息以及所述用户设备的接入权限，生成与所述用户设备相对应的所述组播业务授权信息。

最后，第三发送装置 36, 将所述组播业务授权信息发送至所述网络接入设备。

具体地，当网络接入设备 2中的第一判断装置 11判断出来自用户设备 1的请求消息为用户设备 1用于请求某类组播业务而发送至网络认证设备 3的服务认证请求消息（该认证请求消息包括用户标识信息以及用户身份认证信息）后，该网络接入设备 2在该服务认证请求消息中加入用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号），第一获取装置 12中的第二发送装置 121 将更新后的服务认证请求消息发送至网络认证设备 3用于向网络认证设备 3获取与用户设备 1相对应的组播业务授权信息。

控制装置 3中的第三接收装置 31接收到来自网络接入设备 2的更新后的服务认证请求消息后，第二提取装置 32从中提取用户标识信息以及用户身份认证信息，认证装置 33根据该用户标识信息以及用户身份认证信息，对用户设备 1进行身份认证以生成认证结果，用以判断该用户设备 1是否为该类组播业务的合法用户。

当用户设备 1通过身份认证后，查找装置 34根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限，当该网络认证设备 3查找到用户设备 1所请求的某类組播业务的接入权限后，第二生成装置 35根据用户设备 1的网络标识信息（该网络标识信息包括 IP地址， MAC地址， DSL端口号）形成该用户设备 1的网络端口信息（DSL端口号）与该用户设备 1所请求的某类组播业务接入权限的映射关系，以生成与该用户设备 1相对应的组播业务授权信息。进一步地， DSL端口号用于指示网络接入设备 2 通过该 DSL端口向用户设备 1提供其所申请的某类组播业务中的某项組播业务。当生成组播业务授权信息后，第三发送装置 36将与用户设备 1相对应的组播业务授权信息以及认证结果一同发送至网络接入设备 2。

网络接入设备 2中的第一接收装置 122接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，存储装置 123以网络端口信息（DSL端口号）以及认证会话标识信息为索引，存储与用户设备 1相对应的組播业务接入权限并将认证结果转发至用户设备 1。

在一个优选的实施例中，网络认证设备 3中的查找装置 34在根据用户标识信息在其组播业务接入权限表中查找用户设备 1所请求的某类组播业务的接入权限的同时，也可以在其组播业务接入权限表中查找与该类组播业务相关联的某类网络业务的接入权限，并通过第三发送装置 36将与用户设备 1所请求的某类组播业务相关联的一类或多类网絡业务的接入权限与用户设备 1所请求的某类组播业务的接入在一种变化例中，控制装置中的第三发送装置 36也可以不将认证结果发送至网络接入设备 2, 而仅仅将组播业务授权信息发送至网络接入设备 2, 因为网络接入设备 2仅仅凭借接收到组播业务授权信息就可以知晓该用户设备 1 已通过身份认证，而用户设备 1仅凭其在预定的某一段时间内未收到认证结果来判断其通过身份认证。当然，在这种情况下，当用户设备 1没有通过身份认证时，第三发送装置 36 会发送其未通过身份认证的认证结果至网络接入设备 2，并经由网络接入设备 2将未通过身份认证的认证结果发送至用户设备 1 , 因此，在这种情况下，用户设备 1仅凭其在预定的某一段时间内是否收到认证结果来判断其是否通过身份认证即可。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在所附权利要求的范围内做出各种变形或修改。

Claims

权利要求

1.一种在接入网络的网络接入设备中用于控制用户设备接入组播业务的方法，其特征在于，包括以下步骤：

a. 判断接收到的来自所述用户设备的消息；

b. 如果所述接收到的来自所述用户设备的消息为服务认证请求消息，则向网络认证设备获取与所述用户设备相对应的组播业务授权信息，其中，所述服务认证请求消息用于所述用户设备申请某类组播业务；

c 如果所述接收到的来自所述用户设备的消息为组播业务请求消息，则根据保存的与所述用户设备相对应的组播业务授权信息判断所述用户设备是否有接入所述組播业务的权限，

- 当所述用户设备有接入所述组播业务的权限时向所述用户设备提供所述組播业务，其中，所述组播业务请求消息用于所述用户设备申请某项組播业务。

2. 根据权利要求 1所述的方法，其特征在于，所述步骤 b中所述向网络认证设备获取与所述用户设备相对应的组播业务授权信息，还包括以下步驟：

bl . 发送所述服务认证请求消息至所述网络认证设备；

b2. 接收来自所述网络认证设备的与所述用户设备相对应的所述组播业务授权信息；

b3. 存储与所述用户设备相对应的所述组播业务授权信息。

3. 根据权利要求 1或 2所述的方法，其特征在于，所述步骤 b3 还包括：以用户端口标识信息以及认证会话标识信息为索引，存储与所述用户设备相对应的组播业务接入权限。

4. 根据权利要求 1至 3中任一项所述的方法，其特征在于，还包括以下步骤：

A. 接收来自所述用户设备的组播业务取消请求消息；

B. 根据所述组播业务取消请求消息，删除存储于所迷网络接入设备中的所述用户设备所请求删除的所述组播业务的接入权限。

5. 根据权利要求 4所述的方法，其特征在于，所述步骤 B还包括以下步骤：

B 1. 从所述組播业务取消请求消息中提取所述认证会话标识信

'¾· ,

B2. 根据所述认证会话标识信息，删除与该认证会话标识信息相对应的所述组播业务的接入权限。

6.一种在接入网络的网络认证设备中用于控制用户设备接入组播业务的方法，其特征在于，包括以下步骤：

i. 接收经由网络接入设备转发的来自所述用户设备的服务认证请求消息；

ii. 根据所述服务认证请求消息，生成与所述用户设备相对应的组播业务授权信息。

in. 将所述组播业务授权信息发送至所述网絡接入设备。

7. 根据权利要求 6所述的方法，其特征在于，所述步骤 ii还包括以下步骤：

iil . 从所述服务认证请求消息中提取用户身份认证信息，用户标识信息以及所述用户设备的网络标识信息；

H2. 根据所述用户身份认证信息以及所述用户标识信息，对所述用户设备进行身份认证；

113. 当所述用户设备通过身份认证，则根据所述用户标识信息，查找所述用户设备的接入权限；

114. 根据所述用户设备的网络标识信息以及所述用户设备的接入权限，生成与所述用户设备相对应的所述组播业务授权信息。

8.一种在接入网络的网络接入设备中用于控制用户设备接入組播业务的控制装置，其特征在于，包括：

第一判断装置，用于判断接收到的来自用户设备的消息；获取装置，用于如果所述接收到的来自所述用户设备的消息为服务认证请求消息，则向网络认证设备获取与所述用户设备相对应的组播业务授权信息，其中，所述服务认证请求消息用于所述用户设备申请某类组播业务；

第二判断装置，用于如果所述接收到的来自所述用户设备的消息为组播业务请求消息，则根据保存的与所述用户设备相对应的所述组播业务授权信息判断所述用户设备是否有接入所述组播业务的权限，第一发送装置，用于当所述用户设备有接入所述组播业务的权限时向所述用户设备提供所述组播业务，其中，所述组播业务请求消息用于所述用户设备申请某项组播业务。

9. 根据权利要求 8所述的控制装置，其特征在于，所述获取装置还包括：

第二发送装置，用于发送所述服务认证请求消息至所述网络认证设备；

第一接收装置，用于接收来自所述网络认证设备的与所述用户设备相对应的所述组播业务授权信息；

存储装置，用于存储与所述用户设备相对应的所述组播业务授权信息。

10. 根据权利要求 8或 9所述的控制装置，其特征在于，所述存储装置用于以用户端口标识信息以及认证会话标识信息为索引，存储与所述用户设备相对应的组播业务接入权限。

1 1. 根据权利要求 8至 10中任一项所述的控制装置，其特征在于，还包括：

第二接收装置，用于接收来自用户设备的组播业务取消请求消息；第一删除装置，用于根据所述组播业务取消请求消息，删除存储于所述网络接入设备中的所述用户设备所请求删除的所述组播业务的接入权限。

12. 根据权利要求 11所述的控制装置，其特征在于，所述第一删除装置还包括：

第一提取装置，用于从所述组播业务取消请求消息中提取认证会话标识信息；第二删除装置，用于根据所述认证会话标识信息，删除与该认证会话标识信息相对应的所述组播业务的接入权限。

13. 一种在接入网络的网络认证设备中用于控制用户设备接入组播业务的辅助控制装置，其特征在于，包括：

第三接收装置，用于接收经由网络接入设备转发的来自所述用户设备的服务认证请求消息；

第一生成装置，用于根据所述服务认证请求消息，生成与所述用户设备相对应的组播业务授权信息。

第三发送装置，用于将所述组播业务授权信息发送至所述网络接入设备。

14. 根据权利要求 13所述的辅助控制装置，其特征在于，所述第一生成装置还包括：

第二提取装置，用于从所述服务认证请求消息中提取用户身份认证信息，用户标识信息以及所述用户设备的网络标识信息；

认证装置，用于根据所述用户身份认证信息以及所述用户标识信息，对所述用户进行身份认证；

查找装置，用于当所述用户设备通过身份认证，则根据所述用户标识信息，查找所述用户设备的接入权限；

第二生成装置，用于根据所述用户设备的网络标识信息以及所述用户设备的接入权限，生成与所述用户设备相对应的所述组播业务授权信息。

15. 一种在接入网络中用于控制用户设备接入组播业务的组播接入系统，包括网络接入设备以及网络认证设备，其中，所述网络接入设备包括如权利要求 8至 12中任一项所述的用于控制用户设备接入组播业务的控制装置，所述网络认证设备包括如权利要求 13和 14中任一项所述的用于控制用户设备接入组播业务的辅助控制装置。