组播服务节点的受控认证方法

专利名称：组播服务节点的受控认证方法
技术领域：
本发明涉及网络通信技术，特别涉及一种在网络组播通信中对组播服务节点进行受控认证的方法。
背景技术：
传统的互联网应用都是用点对点的IP传输(单播技术)，而点对多点的IP传输(广播技术)只限于局域网内部应用，组播技术则在广域网内实现点至多点的IP传输技术。
20世纪80年代，斯坦福大学的博士生Steve Deering开始了三层组播技术的研究并与1991年12月发表了其博士论文----《在一种数据报文网络里的组播》，在该论文中描述了组播组管理IGMP协议和组播路由DVMRP协议的基础，成功的把组播技术推进到IP层。关于IP组播技术的探索一直在进行，人们在此基础上完成了PIM(协议无关组播协议)等组播路由协议，从而将组播协议推向整个互联网。组播路由技术的基本思路是在离接收者最近的地方才复制组播数据，所以可以节省大量重复数据传输时的网络带宽。在今后的宽带互联网应用中，组播技术将成为多媒体数据通信的主要路由协议之一。
请参阅图1，其为一种组播网络示意图。当组播数据接收者(如用户、路由器)发起加入请求被允许后，组播源S经过路由器A、路由器B、路由器C/路由器D将数据发送至组播数据接收者。当路由器A接收到组播源S的组播数据后，向加入该组连接本路由器的所有下游接收者(如路由器B)发送组播数据报文，同样，路由器A向加入该组的连接本路由器的所有下游接收者(如路由器C、路由器D)发送组播数据报文，路由器C和路由器D分别向加入该组的连接本路由器的所有接收者发送组播数据报文。本发明把路由器A、路由器B、路由器C和路由器D等具有向下游接收者转发组播数据报文能力的节点称之为组播服务节点。
当网络规模较大时，需要将网络划分为多个组播域。请参阅图2，其为另一种组播网络示意图。假设利用MSDP(Multicast Source Discovery Protocol，组播源发现协议)建立MSDP域(域A、域B和域C)。一个域中的组播路由器和另一个域中的组播路由器设置MSDP邻居关系，该些组播路由器即为MSDP的节点，如域A中的路由器R1、域B中的R2和域C中的R3。组播源可以将组播数据通过域A中的R1发送至域B中的R2、域C中的R3，由R2、R3向所有下游接收者(如路由器、用户、下游域的节点)发送组播数据。同样，本发明把域A中的R1等具有向下游域的节点(如域B中的R2、域C中的R3)发送组播数据报文能力的节点(如域A中的R1)称之为组播服务节点。
在现有技术中，组播服务节点只要下游路由器或下游域中的节点按照标准的报文格式发送了正确的加入报文，则组播服务节点就会将下游路由器或下游域中的节点作为接收成员而将组播数据发送给它，从而存在无法控制组播数据的流向的缺陷。
华为技术有限公司在申请号为“01133235.2”中公开了一种业务节点受控组播方法，它是在一个由多播服务器经业务节点向用户进行组播的系统中，设置一个业务控制平台。请参阅图3，其为申请号为01133235.2的业务节点受控组播系统的结构示意图。图3中的接入设备是指局域网二层交换机、不对称数字用户线、高速数据用户线、混合光纤同轴等。而业务节点是指向连接本节点的所有用户发送组播数据报文的组播服务节点。其中，业务控制平台用于对发起加入请求的用户进行认证，对业务节点的内容播放进行控制，并将业务控制平台与业务节点之间的远程认证拨号用户服务协议进行适应认证和计费要求的扩展。当用户向业务节点请求加入组播后，业务节点到业务控制平台认证，认证成功后向用户复制播送内容，认证失败则不复制播送内容；向用户复制播送内容后业务节点向业务控制平台请求计费；用户结束观看，由业务节点向业务控制平台请求停止计费，并停止向用户发送组播数据。
上述认证方法只能在接入侧对用户进行权限控制，无法对组播网络中的组播路由器进行权限控制，因此上述认证方法存在以下缺陷第一当加入某一组中的用户数量非常多时，业务控制平台不仅要完成认证，而且还需要对其进行计费，将会占用大量的网络资源。特别是，当来自某一网段的用户不允许加入某一组时，业务控制平台只能对每个发起加入请求的用户依次判断所述用户是否是来自该受限网段，不仅认证效率低而且将占用大量的网络资源，容易引起网络故障；第二由于上述方法只能针对用户进行权限认证，它不能对组播路由器进行权限控制，因此组播网络中的组播服务节点接收到任何一个按照标准报文格式发送正确的加入报文的组播路由器都能允许加入，使其能接收组播信息，从而存在难以控制组播数据流向的问题。还是以如图1为例，若存在路由器E向路由器B发送加入报文，路由器B判断所述加入报文具有合法性后，路由器E作为路由器B的下游路由器接收组播数据。即使路由器E未经注册不合法，但路由器E依然能正常接收组播数据，造成无法控制组播数据的流向，以致无法做到给组播数据计费等后果；第三在现有的组播网络中规定某一网段M只能接收A组的组播数据，另一网段N只能接收B组的组播数据。但是，采用上述认证方式只对用户进行认证，只要下游路由器或下游域中的节点按照标准的报文格式发送了正确的加入报文，则组播服务节点就会将下游路由器或下游域中的节点作为接收成员而将组播数据发送给它，而不能控制来自受限网段的下游路由器或下游域中的节点只能接收某一组的组播数据。

发明内容
本发明的目的在于提供一种组播服务节点的受控认证方法，以解决现有技术中存在无法控制组播数据流向的技术问题。
为解决上述问题，本发明一种组播服务节点的受控认证方法，包括(1)组播服务节点接收下游节点发送的加入报文，加入报文中包含所述下游节点预加入的组信息；(2)组播服务节点将本节点作为一个认证客户端向预先设置的认证服务器发出认证请求，若认证通过，则组播服务节点允许所述下游节点加入所述组。
步骤(2)中组播服务节点通过将本服务节点的设备名和认证密码组成认证请求报文向认证服务器发出认证请求，并且，认证服务器通过对设备名和对应的认证密码合法性的检测进行组播服务节点的受控认证。
步骤(2)中组播服务节点通过将本服务节点的设备名、认证密码、预加入的组信息组成认证请求报文向认证服务器发出认证请求。步骤(2)认证服务器对组播服务节点的受控认证包括(a1)认证服务器对设备名和对应的认证密码合法性进行认证，认证通过则进行步骤(a2)，否则返回认证失败报文至所述组播服务节点；(a2)认证服务器对所述组播服务节点是否具有加入所述组的权限进行认证，认证通过则返回认证成功报文至所述组播服务节点，否则返回认证失败报文至所述组播服务节点。
本发明还包括组播服务节点保存认证服务器发送的不能访问的组信息，从接收到的下游节点发送的加入报文中获得下游节点预加入的组信息，所述组信息与保存的不能访问的组信息进行比对，若有相同，则不处理所述加入报文。
认证服务器为RADIUS认证服务器。步骤(1)之前还包括远程认证拨号用户服务协议认证服务器进行适应认证的扩展，为远程认证拨号用户服务协议中的Access_Request报文和Access_Response报文新开辟一个多播组参数，表明组播服务节点的下游节点预加入的组地址。
一种对组播服务节点进行受控认证的系统，包括组播网络以及和组播网络连接的认证服务器，组播网络中包含若干组播服务节点，其中组播服务节点用于接收下游节点发送的加入报文，并将本节点作为一个认证客户端向所述认证服务器发出认证请求，接收到认证服务器返回的认证通过信息后，允许所述下游节点加入所述组；认证服务器用于认证组播服务节点发送的认证请求，返回认证结果至所述组播服务节点。
所述组播服务节点为路由器、域内的节点，所述下游节点包括所述组播服务节点的下游路由器、组播服务节点所在域的下游域内的节点、用户。
一种组播服务节点的受控认证方法，包括(1)组播服务节点接收下游节点发送的要求所述组播服务节点发送本节点所在域的组播流信息或本节点的组播流信息，所述组播流信息包括所述域或所述节点允许加入的所有组信息；(2)组播服务节点将本节点作为一个认证客户端向预先设置的认证服务器发出认证请求，若认证通过，则组播服务节点允许所述组播流信息发送至下游节点或允许部分组播流信息发送至下游节点。
优化地方式为步骤(2)中组播服务节点通过将本服务节点的设备名、认证密码、下游节点或下游节点所在域信息组成认证请求报文向认证服务器发出认证请求；步骤(2)中认证服务器对组播服务节点的受控认证包括(b1)认证服务器对设备名和对应的认证密码合法性进行认证，认证通过则进行步骤(b2)，否则返回认证失败报文至所述组播服务节点；(b2)认证服务器对下游节点或下游节点所在域是否具有获得所述组播流信息的权限进行认证，认证通过则返回认证成功报文至所述组播服务节点，否则返回认证失败报文至所述组播服务节点。
一种对组播服务节点进行受控认证的系统，包括组播网络以及和组播网络连接的认证服务器，组播网络中包含若干组播服务节点，其中组播服务节点用于接收组播服务节点接收下游节点发送的要求所述组播服务节点发送本节点所在域的组播流信息或本节点的组播流信息，并将本节点作为一个认证客户端向所述认证服务器发出认证请求，接收到认证服务器返回的认证通过信息后，允许所述下游节点接收所述组播流信息；认证服务器用于认证组播服务节点发送的认证请求，返回认证结果至所述组播服务节点。
也就是说，本发明提供了一种组播网络中的组播服务节点，该节点用于认证该节点是否具有下发组播流的权限，所述认证请求包括该组播服务节点的设备名、认证密码、下游节点上报的预加入组信息或者下游节点允许加入的组信息。所述节点是通过认证服务器发认证该节点是否具有下发给播流的权限，所述认证服务器认证组播服务节点发送的认证请求，返回是否具有下发权限的认证结果至所述组播服务节点。
与现有技术相比，本发明具有以下优点第一本发明的组播服务节点接收到下游节点发送的加入报文，先将本节点作为一个客户端向认证服务器发送认证请求，若通过，则允许所述下游节点加入所述组，否则不处理所述加入报文。通过上述方法，本发明能够有效地控制组播数据的流向及组播服务节点的接收权限，加强了组播网络的安全控制。
第二通过在认证服务器上动态地改变组播服务节点的访问权限，达到集中且有效管理组播网络的效果。如某一网段M只能接收A组的组播数据，另一网段N只能接收B组的组播数据，通过在认证服务器上设置相应网段上的组播服务节点的不能访问的组信息，完成对组播网络地有效控制。
第三本发明还可以通过下游节点发送的要求所述组播服务节点发送本节点所在域的组播流信息或本节点的组播流信息，将其进行认证，判断所述下游节点是否能够获得所述组播流信息，若能，将组播流信息发送至所述下游节点，否则拒绝所述组播流发送至所述下游节点。这样在后续的下游节点发送加入请求时，根据之前的认证结果决定是否让其加入，同样也能对组播网络的数据流向进行有效地控制。


图1是现有的一种组播网络示意图；图2是现有的第二种组播网络示意图；图3是申请号为01133235.2的业务节点受控组播系统的结构示意图；图4为一种对组播服务节点进行受控认证的系统示意图；图5为第二种对组播服务节点进行受控认证的系统示意图；图6为本发明的一种组播服务节点的受控认证方法的流程图；图7为基于PIM-SM的一种组播服务节点的受控认证系统；图8为本发明的第二种组播服务节点的受控认证流程图。
具体实施例方式
以下结合附图，具体说明本发明。
本发明设置一用于对组播服务节点进行受控认证的认证服务器，所述认证服务器与组播网络相连，即认证服务器通过因特网或其它网络与组播网络内的某一节点进行连接。
请参阅图4，其为一种对组播服务节点进行受控认证的系统示意图。假设路由器A连接组播源S。当路由器B向路由器A发送要求加入该组的加入报文时，路由器A作为一个认证客户端向认证服务器发出认证请求，只有认证通过后，路由器B才允许加入该组，接收组播源S发送的组播数据。同样，当路由器C向路由器B发送要求加入该组的加入报文后，路由器B作为一个认证客户端向认证服务器发出认证请求，只有认证通过后，路由器C才允许加入该组，否则路由器B不处理路由器C的加入报文。当某一用户向路由器C发送要求加入该组的加入报文时，路由器C作为一个认证客户端向认证服务器发出认证请求，只有认证通过后，用户才允许加入该组，接收组播源S发送的组播数据。
预先在认证服务器上保存每一组允许加入的路由器信息(路由器设备名及对应的认证密码)，并且，在认证服务器和路由器之间预先设定双方能够识别的认证请求报文和认证结果报文。所述认证结果报文包括认证成功报文和认证失败报文。
请参阅图5，其为第二种对组播服务节点进行受控认证的系统示意图。域B想加入组(即加入组播源为组播源M的组)，则域B中的路由器R2向域A中的路由器R1发出加入报文，域A中的路由器R1作为一个认证客户端向认证服务器发出认证请求，只有认证通过后，域B中的路由器R2才允许加入该组。
在认证服务器上可预先保存每一组允许加入的域内的节点信息(域内节点的设备名称和对应的认证密码)。并且，在认证服务器和域内的节点之间预先设定双方能够识别的认证请求报文和认证结果报文。所述认证结果报文包括认证成功报文和认证失败报文。
上述图4中的路由器及图5中域内的节点都是组播服务节点。组播服务节点的下游路由器、组播服务节点所在域的下游域内的节点、用户等，本发明将之称为下游节点。即，本发明公开了一种对组播服务节点进行受控认证的系统，包括组播网络以及和组播网络连接的认证服务器，组播网络中包含若干组播服务节点，其中
组播服务节点用于接收下游节点发送的加入报文，并将本节点作为一个认证客户端向所述认证服务器发出认证请求，接收到认证服务器返回的认证通过信息后，允许所述下游节点加入所述组；认证服务器用于认证组播服务节点发送的认证请求，返回认证结果至所述组播服务节点。
在上述公开的系统基础上，本发明提供了一种组播服务节点的受控认证方法。请参阅图6，其为本发明的一种组播服务节点的受控认证方法的流程图。它包括S110组播服务节点接收下游节点发送的加入报文，加入报文中包含所述下游节点预加入的组信息；S120组播服务节点将本节点作为一个认证客户端向预先设置的认证服务器发出认证请求，若认证通过，则组播服务节点允许所述下游节点加入所述组。
组播服务节点可以只将本服务节点的设备名、本节点预先保存的认证密码组包成认证请求报文发送至认证服务器，那么认证服务器只需对组播服务节点的设备名、对应的认证密码和预先保存的设备名列表一一作对比，若在所述设备名列表中找到相同的设备名及对应的认证密码，表明所述组播服务节点的认证成功，允许下游节点加入，否则表明所述组播服务节点的认证失败，不允许下游节点加入。通过上述认证方法，有效地控制了组播流的流向。并且，认证服务器可以动态的修改设备名列表，便于集中管理组播流的流向。
并且，考虑到不可能只存在一个组，因此，本发明还可以设置每个组播服务节点的加入权限。组播服务节点将本服务节点的设备名、认证密码、预加入的组信息组成认证请求报文向认证服务器发出认证请求。
认证服务器对组播服务节点的受控认证包括
(a1)认证服务器对设备名和对应的认证密码合法性进行认证，认证通过则进行步骤(a2)，否则返回认证失败报文至所述组播服务节点；(a2)认证服务器对所述组播服务节点是否具有加入所述组的权限进行认证，认证通过则返回认证成功报文至所述组播服务节点，否则返回认证失败报文至所述组播服务节点。
上述流程能有效地控制下游节点的接收权限，加强了组播服务节点的安全权限管理。还有，在认证失败报文中可以携带失败的原因组播服务节点不具有组播权限还是组播服务节点不具有组播某一组信息的权限。当组播服务节点不具有组播某一组信息的权限，可以在组播服务节点上将本节点不具有组播权限的组信息保存在不具有组播权限的组列表中。当下游节点发出加入请求时，将下游节点预加入的组与预先保存的不具有组播权限的组列表进行比对，若存在相同，则组播服务节点不处理所述加入请求，以此提高认证效率。但是，考虑到认证服务器可以动态地修改组播服务节点的访问权限，因此，认证服务器可以在修改组播服务节点的访问权限后，向修改访问权限的组播服务节点发送本节点的不能访问的组信息，以便所述节点修改对应的不具有组播权限的组列表。
认证服务器可以采用RADIUS认证服务器。RADIUS认证服务器可以采用原有协议中的报文完成本发明的认证。也可以对RADIUS认证服务器进行适应认证的扩展，为远程认证拨号用户服务协议中的Access Request报文和Access Response报文新开辟一个多播组参数，表明组播服务节点的下游节点预加入的组地址。
以下举个实施例，具体说明本发明的上述方法。
实施例一PIM-SM(Protocol Independent Multicast-Sparse Mode，协议独立组播-稀疏模式)是一种与单播路由选择协议无关的组播路由协议。它不依赖于特定的单播路由协议，是一种稀疏模式的组播路由协议，比较适合应用于接收站点分布稀疏的网络，是目前应用最为广泛的组播路由协议。
请参阅图7，其为基于PIM-SM的一种组播服务节点的受控认证系统，其具体的认证过程为1、当上游PIM-SM路由器(图7中的R2)收到下游PIM路由器(图7中的R1)的加入请示报文，预先检查加入报文的合法性。比如，通过PIM-HELLO协议预先在上游PIM-SM路由器和下游PIM-SM路由器进行过握手协议，则所述加入报文是合法，否则，所述加入报文是不合法的。如果不合法则不处理加入报文，如果合法，则取出加入报文的相关信息，比如下游PIM-SM路由器加入组的地址信息。
2、上游PIM-SM路由器构造向认证服务器发送的认证报文，并发起认证请求上游PIM-SM路由器将本路由器的设备名作为客户端用户名，将其认证密码作为对应的客户端的用户密码，并且，将组地址作为客户端的一个权限扩展参数组入请求认证报文。
上游PIM-SM路由器通过预先保存认证服务器的地址将请求认证报文发送至认证服务器。并且，若采用远程认证拔号用户服务协议，则可向认证服务器发送扩展的Access Request报文，所述报文中至少包括客户端用户名、用户密码、组地址。
3、认证服务器处理认证请求认证服务器首先取出认证请求中的用户名和密码，检查其合法性，如果不合法则发送认证失败报文给请求发送者，如果合法，取出认证报文中的组地址进行权限检查。判断所述上游PIM-SM路由器是否具有访问所述组地址的权限，若有，则发送认证成功报文至所述发送者，否则，发送认证失败报文至发送者。
考虑到网络阻塞、网络故障等事件可能发生，上游PIM-SM服务器在预先设定的时间内没有收到返回的认证结果报文，则同样不处理加入报文。
上述方案较好地解决了组播网络中PIM-SM路由器的组播数据处理权限的问题，有效地控制组播数据的流向及下游PIM-SM路由器的接收权限，同时加强对PIM-SM路由器节点的安全认证。并且，在认证服务器上可以动态地改变PIM-SM路由器的访问权限，便于集中管理和维护。
考虑到域内的节点之间通过会话后先建立对等体关系，然后下游域内的节点会要求上游域内的节点发送上游域所支持的组播流信息，如所述上游域支持的所有组信息等，以便下游域内的节点后续发送的加入请求。为此，本发明还提供了第二种组播服务节点的受控认证方法。请参阅图8，其为本发明的第二种组播服务节点的受控认证流程图。它包括S210组播服务节点接收下游节点发送的要求所述组播服务节点发送本节点所在域的组播流信息或本节点的组播流信息，所述组播流信息包括所述域或所述节点允许加入的所有组信息；S220组播服务节点将本节点作为一个认证客户端向预先设置的认证服务器发出认证请求，若认证通过，则组播服务节点允许所述组播流信息发送至下游节点或允许部分组播流信息发送至下游节点。
步骤S220中组播服务节点通过将本服务节点的设备名、认证密码、下游节点或下游节点所在域信息组成认证请求报文向认证服务器发出认证请求。并且，步骤S230中认证服务器对组播服务节点的受控认证包括(b1)认证服务器对设备名和对应的认证密码合法性进行认证，认证通过则进行步骤(b2)，否则返回认证失败报文至所述组播服务节点；(b2)认证服务器对下游节点或下游节点所在域是否具有获得所述组播流信息的权限进行认证，认证通过则返回认证成功报文至所述组播服务节点，否则返回认证失败报文至所述组播服务节点。认证成功报文包括所述下游节点或下游节点所在域具有获得所有组播流信息的权限，也包括述下游节点或下游节点所在域具有获得部分组播流信息的权限。
若组播服务节点预先保存本节点或本节点所在域的所有支持的组信息(如组地址)，则可以通过本方案控制组播流的流向。并且，后续下游节点发起加入请求时，根据前述的认证结果控制该认证。比如，下游节点只能获得部分组播流信息的权限，若要求加入的组落在具有权限的组播流中，则允许其加入，否则，不允许其加入。
相应地，本发明还公开了对应的一种对组播服务节点进行受控认证的系统，包括组播网络以及和组播网络连接的认证服务器，组播网络中包含若干组播服务节点，其中组播服务节点用于接收组播服务节点接收下游节点发送的要求所述组播服务节点发送本节点所在域的组播流信息或本节点的组播流信息，并将本节点作为一个认证客户端向所述认证服务器发出认证请求，接收到认证服务器返回的认证通过信息后，允许所述下游节点接收所述组播流信息或允许所述下游节点接收部分组播流信息；认证服务器用于认证组播服务节点发送的认证请求，返回认证结果至所述组播服务节点。
以下就以MSDP域为例说明本方案。
实例二MSDP是一种域间组播协议，它与PIM-SM协议结合使用，通过多个PIM-SM域间建立对等体，并利用SA(Source Actice，源存在消息)通告本域内的源存在消息，将多个PIM-SM域连在一起，使一个PIM-SM域内的组播路由器依靠本域内的汇聚点而不必去依靠其它域的汇聚点来建立转发树。所述MSDP对等体是指一个PIM-SM域中的组播路由器和另一个PIM-SM域中的组播路由器设置的MSDP邻居关系，所述PIM域中的组播路由器即为MSDP对等体。
现有技术利用MSDP进行域间组播没有一个权限认证机制，只要建立起MSDP对等体的域，都可以获得其它域的组播源的信息从而接收相关的组播数据。但对于域间组播，很难对其它域屏蔽相关的组播源信息。为此，利用本发明来控制域间组播流的流向和域间组播节点的权限。
其具体步骤如下1、上游域的MSDP节点与下游域MSDP节点建立对等体关系，并保存MSDP对等体的相关信息，如MSDP对等体的地址等。
2、上游域的MSDP节点将本域的组播源组信息构造后向认证服务器发起认证请求上游域的MSDP节点把本域中的节点的设备名信息、认证密码和下游域中的MSDP节点的地址写入认证请求报文，向认证服务器发起认证请求。
3、认证服务器进行认证，返回认证结果认证服务器进行权限认证(密码信息及加入权限的认证)，返回认证结果。上游域MSDP节点若收到认证失败报文，则不将该组播源组信息放入到SA报文中，如果是认证成功报文，则将组播源组的信息放入到SA报文中，发送至所述下游域的MSDP节点。
通过上述方法解决组播域中组播流处理权限的问题，有效地控制组播流的流向及下游MSDP域的接收权限。
也就是说，本发明提供了一种组播网络中的组播服务节点，该节点用于认证该节点是否具有下发组播流的权限，所述认证请求包括该组播服务节点的设备名、认证密码、下游节点上报的预加入组信息或者下游节点允许加入的组信息。所述节点是通过认证服务器发认证该节点是否具有下发给播流的权限，所述认证服务器认证组播服务节点发送的认证请求，返回是否具有下发权限的认证结果至所述组播服务节点。
以上公开的仅为本发明的几个具体实施例，但本发明并非局限于此，任何本领域的技术人员能思之的变化，都应落在本发明的保护范围内。
权利要求
1.一种组播服务节点的受控认证方法，其特征在于，包括(1)组播服务节点接收下游节点发送的加入报文，加入报文中包含所述下游节点预加入的组信息；(2)组播服务节点将本节点作为一个认证客户端向预先设置的认证服务器发出认证请求，若认证通过，则组播服务节点允许所述下游节点加入所述组。
2.如权利要求1所述的组播服务节点的受控认证方法，其特征在于，步骤(2)中组播服务节点通过将本服务节点的设备名、认证密码、预加入的组信息组成认证请求报文向认证服务器发出认证请求。
3.如权利要求2所述的组播服务节点的受控认证方法，其特征在于，步骤(2)认证服务器对组播服务节点的受控认证包括(a1)认证服务器对设备名和对应的认证密码合法性进行认证，认证通过则进行步骤(a2)，否则返回认证失败报文至所述组播服务节点；(a2)认证服务器对所述组播服务节点是否具有加入所述组的权限进行认证，认证通过则返回认证成功报文至所述组播服务节点，否则返回认证失败报文至所述组播服务节点。
4.如权利要求1或3所述的组播服务节点的受控认证方法，其特征在于，还包括组播服务节点保存认证服务器发送的不能访问的组信息，从接收到的下游节点发送的加入报文中获得下游节点预加入的组信息，所述组信息与保存的不能访问的组信息进行比对，若有相同，则不处理所述加入报文。
5.如权利要求1或2所述的组播服务节点的受控认证方法，其特征在于，步骤(1)之前还包括远程认证拨号用户服务协议认证服务器进行适应认证的扩展，为远程认证拨号用户服务协议中的Access_Request报文和Access_Response报文新开辟一个多播组参数，表明组播服务节点的下游节点预加入的组地址，所述认证服务器为RADIUS认证服务器。
6.一种组播服务节点的受控认证方法，其特征在于，包括(1)组播服务节点接收下游节点发送的要求所述组播服务节点发送本节点所在域的组播流信息或本节点的组播流信息，所述组播流信息包括所述域或所述节点允许加入的所有组信息；(2)组播服务节点将本节点作为一个认证客户端向预先设置的认证服务器发出认证请求，若认证通过，则组播服务节点允许所述组播流信息发送至下游节点或允许部分组播流信息发送至下游节点。
7.如权利要求6所述的组播服务节点的受控认证方法，其特征在于，步骤(2)中组播服务节点通过将本服务节点的设备名、认证密码、下游节点所在域信息组成认证请求报文向认证服务器发出认证请求；步骤(2)中认证服务器对组播服务节点的受控认证包括(b1)认证服务器对设备名和对应的认证密码合法性进行认证，认证通过则进行步骤(b2)，否则返回认证失败报文至所述组播服务节点；(b2)认证服务器对下游节点或下游节点所在域是否具有获得所述组播流信息的权限进行认证，认证通过则返回认证成功报文至所述组播服务节点，否则返回认证失败报文至所述组播服务节点。
8.一种组播网络中的组播服务节点，其特征在于，该节点用于认证该节点是否具有下发组播流的权限，所述认证请求包括该组播服务节点的设备名、认证密码、下游节点上报的预加入组信息或者下游节点允许加入的组信息。
9.如权利要求8所述的组播服务节点，其特征在于，所述节点是通过认证服务器发认证该节点是否具有下发给播流的权限，所述认证服务器认证组播服务节点发送的认证请求，返回是否具有下发权限的认证结果至所述组播服务节点。
全文摘要
一种组播服务节点的受控认证方法，包括(1)组播服务节点接收下游节点发送的加入报文，加入报文中包含所述下游节点预加入的组信息；(2)组播服务节点将本节点作为一个认证客户端向预先设置的认证服务器发出认证请求，若认证通过，则组播服务节点允许所述下游节点加入所述组，否则，组播服务节点不处理下游节点发送的所述加入报文。本发明很好地解决了组播网络中组播数据流向的问题，有效地控制下游路由器/下游域内节点的接收权限，加强了组播网络中的安全。
文档编号H04L9/32GK1741450SQ200510103058
公开日2006年3月1日 申请日期2005年9月19日 优先权日2005年9月19日
发明者孙广新 申请人:杭州华为三康技术有限公司