组播方法和组播系统以及组播设备的制作方法

专利名称：组播方法和组播系统以及组播设备的制作方法
技术领域：
本发明涉及无线通信中的数据传输技术，特别涉及组播方法和组播系统 以及组l番设备。
背景技术：
组播(Multicast)是介于单播和广播之间的一种数据传输方式，即数据 帧的目的地址为一个组播地址，且发送端只将数据帧传送给属于组播组的多 个接收端。无线通信中，组播与单播的区别在于，组播仅发送数据的一个副 本；与广播的区别在于，组播流量仅由属于组播组成员的监听设备进行接收 和处理。对于这种一对多的数据传输，组播要比单播和广播更为高效。现有无线局域网中的组播传输方式有两种以广播方式传输组播帧和以 单播方式传输组播帧。以无线局域网(Wireless Local Area Network, WLAN)进行组播为例， 当采用广播方式传输组播帧时，作为发送端的接入点(Access Point, AP) 使用基本服务集(BSS)域内的组临时密钥(Group Temporal Key, GTK ), 对来自网络侧的组播帧加密，再以广播的方式将组播帧发送到BSS域内的 站点(Station, STA),然后，STA再通过相同的GTK对组^喬帧解密并发 送给上层用户；当采用单播方式传输组播帧时，AP使用对临时密钥(Pairwise Transient Key, PTK)对组播帧加密，并将加密后的组播帧拷贝为多个，逐 一地发送到BSS域内的所有STA, STA再使用相同的PTK解密，并发送到 上层用户。上层用户在接收到组播帧后，判断自己是否属于该组播帧对应的 组播组，再决定是否接收该组播帧。然而，在采用上述广播方式和单播方式传输组播帧时，都存在以下问题STA所在BSS域内的所有STA接收到数据帧后，将组播地址和广播地址同 等对待，不作过滤，使用BSS域内的GTK解密后直接分发到上层。这样， 就增加了不属于该组播帧对应的组播组的STA的负担，且由于不属于该组 播组的STA也拥有BSS域内的相同GTK,可以对其解密，因此组播的安全 性较差。而且，在采用单播方式传输组播帧时，AP还需要将组播帧拷贝成多个， 并单独下发给每个STA，增加了系统的负担。可见，现有的组播技术不能有效地保证组播的安全性，且在传输组播帧 时，为系统增加了不必要的负担。发明内容有鉴于此，本发明的一个主要目的在于，提供一种组播方法，能够提高 组播的安全性。本发明的另一个主要目的在于，提供一种组播系统，能够提高組播的安 全性。本发明的再一个主要目的在于，提供一种组播设备，能够提高组播的安 全性，并降低系统负担。本发明的第四个主要目的在于，提供一种组播方法，能够提高组播的安 全性。本发明的第五个主要目的在于，提供一种组播系统，能够提高组播的安 全性。根据上述的一个主要目的，本发明提供了一种组播方法，包括以下步骤 为各组播组分配组内密钥和组播组标识；发送端接收来自外部的组播帧，确定该组播帧所属的组播组，利用该组 播组对应的組内密钥对该组播帧加密，并将加密后的組播帧发送到接收端；接收端根据组播组标识确定接收到的组播帧所属的组播组，并利用该组 播组对应的组内密钥，对接收到的组播帧解密。 所述为各组4番组分配组内密钥和组播组标识为发送端为各组播组生成组内密钥，并存储所生成的组内密钥；将组4务组 标识及其对应的所迷组内密钥发送给对应的组播组内的接收端；接收端接收 并存储来自发送端的组内密钥和组播组标识。所述发送端将组播组标识及其对应的组内密钥发送给接收端为接收端向发送端请求加入组播组，发送端根据内部存储的所述接收端的 组信息列表，确定接收端为所述组播组的合法成员后，将所述组播组的组播 组标识，及其对应的组内密钥发送给所述接收端。所述确定接收端为所述组播组的合法成员为在所述接收端的组信息列 表中，查询到接收端当前申请加入的组播组，确定所述接收端为所述组^膝组 的合法成员。所述接收端向发送端请求加入组播组之前，进一步包括接收端向签约 网络注册组播组，签约网络更新预先存储的所述接收端的组信息列表；所述接收端在注册了組播组之后，进一步包括接收端向发送端请求进 行接入认证，发送端根据所述接收端的请求，向认证服务器发送接入认i正请 求，然后接收来自签约网络的所述接收端的组信息列表，并存储所述组信息 列表。所述接收端向发送端请求加入组播组之前，进一步包括接收端向签约 网络注册组播组，签约网络更新内部存储的所述接收端的组信息列表；所述接收端在注册了组播组之前，进一步包括接收端向发送端请求进 行接入认证，发送端根据所述接收端的请求，向认证服务器发送接入认证请 求，然后接收来自签约网络的所述接收端的组信息列表，并存储所述组信息 列表。所述将所述组播组的组内密钥发送给所述接收端为 所述接收端的组信息列表中包括所述申请加入的组播组，发送端判断出 所述接收端为组播组的合法成员，将所述接收端当前申请的组播组对应的组内密钥以及组播组标识发送给所述接收端。
所述将所述组播组的组播组标识，及其对应的组内密钥发送给所述接收端为所述接收端的组信息列表中不包括所述申请加入的组播组，发送端向认 证服务器请求再次获取所述接收端的组信息列表，并接收来自签约网络的所 述接收端的组信息列表；所述再次获取的组信息列表中包括所述申请加入的组播组，发送端判断 出所述接收端为组播组的合法成员，将所述接收端当前申请的组播组对应的 组内密钥以及组播组标识发送给所述接收端。在所述发送端将加密后的组播帧发送到接收端的同时、或者之后、或者 之前，所述方法进一步包括組播组内的接收端向发送端发送退出所述组播组的请求，所述发送端接 收所述接收端的请求，更新内部存储的组播组信息，并重新生成所述组播组 的组内密钥；然后将重新生成的组内密钥和所述组播组的标识，根据更新后 的组播组信息，发送给所述组播组内的接收端。在所述发送端将加密后的组播帧发送到接收端的同时、或者之后、或者 之前，所述方法进一步包括发送端根据预先设定的时间周期，重新生成組内密钥，然后将重新生成 的组内密钥和所述组播组的标识，根据组播组信息，发送给所述組播组内的 接收端。所述将所述组播组的组播组标识，及其对应的组内密钥发送给所述接收 端为将组内密钥携带于行为ACTION帧中，发送到接收端；加入组请求携带于ACTION帧中，所述携带加入组请求的ACTION帧 为携带组标识的增加组成员GroupAdd消息、或者携带组标识的组成员离 开GroupLeave消息、或者携带组标识的组内密钥GROUPKEY消息。当所述接收端根据組播组标识确定接收到的组播帧所属的组播组之前 进一步包括所述接收端根据组播组标识判断出接收到的组播帧所属組播 组，不为所述接收端所属的组播组，删除该组播帧。
所述将所述组播组的组内密钥发送给所述接收端为通过单播方式，将 生成的组内密钥发送给对应的组播组内的接收端。所述组播帧包括组播地址；所述组内密钥与组播組的对应关系为组内密钥与组播地址的对应关系； 所述对接收到的组播帧解密为接收端根据组播帧的组播地址，选择对应的组内密钥，并利用选择的组 内密钥对接收到的组播帧解密。 所述组播帧包括组播地址；所述方法进一步包括接收端接收到组播帧，判断出所述组播帧的组播 地址不为所述接收端所属组播组的组播地址之后，过滤所述组播帧。所述接收端开机与所述接收端向发送端请求进行接入认证之间，所述方 法进一步包括接收端向发送端发送探测Probe或者关联消息时，携带表示 所述接收端能力的信息元素；发送端根据接收端上报的信息元素，确定接收端的组播能力，并统计各 组播组成员的组播能力，为各组播组制定并存储发送组播帧的策略，然后将 所述发送组播帧的策略发送给接收端。所述发送组播帧的策略为采用单播方式，单独将组播帧给不支持使用组内密钥解密的接收端，并 采用组播方式，向系统内的其他接收端发送组播帧；或者通过组播方式，将组播帧发送给所有接收端。所述发送端为接入点AP;所述接收端为站点STA;所述发送端接收来自外部的组播帧为AP接收来自网络侧的组播帧；所述组内密钥为用于将通过空口传输的组播帧进行加密的组内密钥。根据上述的另一个主要目的，本发明提供了一种组播系统，包括发送 端和接收端，其中，所述发送端，用于为各组播組生成组内密钥，并存储组内密钥；将组播 组标识及其对应的组内密钥发送给对应的组播组内的接收端；接收来自外部 的组播帧，确定该组播帧所属的组播组，并利用组播组对应的组内密钥对该组播帧加密；将加密后的组播帧发送到接收端；所述接收端，用于接收并存储来自发送端的组内密钥和组播组标识；接 收来自发送端的组播帧，根据组播组标识确定该组播帧所属的组播组，并利 用该组播组对应的组内密钥对组播帧解密。所述系统进一步包括认证服务器，用于根据来自发送端的请求，从所 述发送端获取所述接收端的认证信息，并对接收端进行4矣入认证；在接入认 证通过后，从外部签约网络获取所述接收端的组信息列表；向发送端发送所 述接收端组信息列表；所述发送端进一步用于根据来自接收端的请求，向认证服务器请求对所 述接收端进行接入认证；将来自接收端的认证信息发送给认证服务器；接收 并存储来自认证服务器的所述接收端的组信息列表；根据来自接收端的请 求，在经过查询确定所述接收端的组信息列表中存在当前请求加入的组#"組 时，将对应的组内密钥和组播组标识发送给所述接收端；所述接收端进一步用于向发送端请求接入；将认证信息提供给发送端； 向发送端请求加入组。所述发送端包括主控单元和密钥单元，其中，所述主控单元，用于从密钥单元获取组播组标识及其对应的组内密钥； 将組播组标识及其对应的组内密钥发送给对应的组播组内的接收端；接收来 自外部的组播帧，确定该组播帧所属的组播组，并利用该组播组对应的组内 密钥对该组播帧加密；将加密后的组播帧发送到接收端；密钥单元，用于为各组播组生成组内密钥，并存储生成的组内密钥；将 组播组标识及其对应的组内密钥提供给主控单元。根据上述的再一个主要目的，本发明提供了一种组播设备，包括主控 单元和密钥单元，其中，主控单元，用于从密钥单元获取组播组标识及其对应的组内密钥；将组 播組标识及其对应的组内密钥发送到外部；接收来自外部的组播帧，确定该
组播帧所属的组播组，并利用该组播组对应的组内密钥对该组播帧加密；将 加密后的組播帧发送到外部；密钥单元，用于为各组播组生成组内密钥，并存储生成的组内密钥；将 组播组标识及其对应的组内密钥提供给主控单元。所述设备进一步包括认证单元，用于根据来自主控单元的请求，向外 部发送接入认证请求；接收并存储来自外部的组信息列表；根据来自主控单 元的加入组请求，查询所述组信息列表中是否存在当前请求加入的组播组， 如果存在，则更新组播组信息，并将更新后的组播组信息发送给密钥单元， 向主控单元发送加入组成功消息；根据来自主控单元的退出组请求，更新组 播组信息中的成员列表，并将更新指示和退出组请求中的组播组标识发送给 密钥单元；所述主控单元进一步用于向认证单元发送接入认证请求；将来自外部的 加入组请求和退出组请求发送给认证单元；来自认证单元的更新指示，从密 钥单元获取组内密钥和组内密钥与组播组的对应关系，并组播组信息，将获 取到的组内密钥和组内密钥与组播组的对应关系发送到外部；所述密钥单元进一步用于接收来自认证单元的组播组信息，并更新内部 存储的组播组信息；在接收到来自认证单元的更新后的组播组信息之后，生 成组内密钥。根据上述的第四个主要目的，本发明提供了一种组播方法，包括以下步 骤为各组播组分配组播标识；发送端将接收到的組播帧发送到接收端；接收端接收内部存储的组播组 标识对应的组播帧。所述为各组播组分配组播标识为发送端将组播组标识发送给接收端。所述将组播组标识发送给接收端之前进一步包括接收端向发送端请求 加入组播组，发送端根据内部存储的所述接收端的组信息列表，确定接收端 为所述组播组的合法成员后，将所述组播组的组播组标识发送给所述接收 端。 所述发送端将组播组标识发送给接收端进一步包括发送端为各组4务组 生成组内密钥，发送端将组播组标识对应的组内密钥发送到接收端。 所述接收端向发送端请求加入组播组之前，进一步包括 接收端向签约网络注册组播組，签约网络更新预先存储的所述接收端的 组信息列表；所述接收端在注册了组播组之前或者之后，进一步包括认证服务器对 接收端的接入进行认证，并向发送端来自签约网络的所述接收端的组信息列 表，发送端存储所述组信息列表。根据上述的第五个主要目的，本发明提供了一种组播系统，包括发送 端和接收端，其中，所述发送端，用于将组播组标识发送给接收端；将来自外部的组播帧发 送给接收端；所述接收端，用于接收并存储来自发送端的组播组标识；接收内部存储 的组^"组标识对应的组#"帧。所述系统进一步包括认证服务器，用于根据来自发送端的请求，从所述 发送端获取所述接收端的认证信息，并对接收端进行接入认证；在接入认证 通过后，从外部签约网络获取所述接收端的组信息列表；向发送端发送所述 接收端组信息列表；所述发送端进一步用于根据来自接收端的请求，向认证服务器请求对所 述接收端进行接入认证；将来自接收端的认证信息发送给认证服务器；接收 并存储来自认证服务器的所述接收端的组信息列表；根据来自接收端的请 求，在经过查询确定所述接收端的组信息列表中存在当前请求加入的组播组 时，将对应的组播组标识发送给所述接收端；所述接收端进一步用于向发送端请求接入；将认证信息提供给发送端； 向发送端请求加入组。由上述技术方案可见，本发明由发送端使用组内密钥对组播帧加密，组 播组内的接收端根据组播标识，使用相同的组内密钥对接收到的组播帧解
密，提高了组播的安全性，降低了系统负担；本发明中还通过接收端根据组 播组标识对组播帧进行过滤，提高了组播的安全性，降低了系统负担。而且，本发明通过接收端上报能力信息，由发送端制定不同的组播帧发 送策略，提高了系统的兼容性。


图1为本发明组播设备的示例性结构图。图2为本发明中一种组播方法的示例性流程图。图3为本发明中另一种组播方法的示例性流程图。图4为本发明中组播帧的帧头的结构图。图5为本发明实施例一中组播系统的结构图。图6为本发明实施例一中组播方法的基本流程图。图7为本发明实施例一中组播方法1的流程图。图8为本发明实施例一中组播方法2的流程图。图9为本发明实施例一中组播方法3的流程图。图IO为本发明实施例二中组播系统的结构图。图11为本发明实施例二中组播方法的流程图。
具体实施方式
为使发明的目的、技术方案及优点更加清楚明白，以下参照附图并举 实施例，对本发明进一步详细说明。本发明的基本思想是发送端使用组内密钥对组播帧加密，并将组内密 钥和组播组标识发送给对应的组播组内的接收端，组播组内的接收端根据组 播組标识，使用相同的组内密钥对接收到的组播帧解密；或者发送端将组播 组标识发送给接收端，接收端根据组播组标识过滤属于其他组播组的组播 帧。其中，组播组标识可以为组播地址、或者组播组编号以及其他预先约定的用于标识组播组的任意代码；发送端可以通过生成随机数的方法获得组内 密钥，也可以通过802.11i协议中生成PTK或者GTK的方式获得；在接收 端加入组播组之后，发送端将组内密钥发送给接收端；当接收端退出当前组 播组之后，发送端重新生成组内密钥，并发送给仍处于组播组内的其他接收 端；发送端也可以周期性地更新组内密钥，并发送给处于组播组内的其他接 收端； 一个发送端可以维护多个组播组， 一个接收端也可以属于多个组播组。本发明可以通过过滤不属于组播组的组播帧，或者通过组内密钥加密的 方式来增强组播的安全性。本发明中，实现组内密钥加密来提高組播安全性的组播系统包括发送 端和接收端。发送端，用于为各组播组生成组内密钥，并存储组内密钥；将组播组标 识及其对应的组内密钥发送给对应的组播组内的接收端；接收来自外部的组 播帧，确定该组播帧所属的组播组，并利用组播组对应的组内密钥对该组播 帧加密；将加密后的组播帧发送到接收端；接收端，用于接收并存储来自发送端的组内密钥和组播组标识；接收来 自发送端的组播帧，根据组播组标识确定该组播帧所属的组播组，并利用该 组播組对应的组内密钥对组播帧解密。其中，发送端生成组内密钥的方法，可以与WLAN的AP生成PTK或 者GTK的方法相同。当不属于组播组的其他设备接收到该组播组的组播帧时，由于没有组内 密钥，因而无法对组播帧解密。图1为本发明组播设备的示例性结构图。如图1所示，本发明的上述組 播系统中，作为发送端的组播设备包括主控单元101和密钥单元102。主控单元101,用于从密钥单元102获取组播组标识及其对应的组内密 钥；将组播组标识及其对应的组内密钥发送给外部对应的组播组内的接收 端；接收来自外部的组播帧，确定该组播帧所属的组播组，并利用该组播组 对应的组内密钥对该组播帧加密；将加密后的组播帧发送到外部接收端； 密钥单元102，用于为各组播组生成组内密钥，并存储生成的组内密钥； 将组播组标识及其对应的组内密钥提供给主控单元101。其中，每一个组播组对应一个组内密钥；发送端和接收端存储每一个组 播组对应的组播组信息，包括多个组播组标识、组播策略以及组播组的成 员列表等信息；组内密钥与组播组的对应关系可以为组内密钥与组播组标识 的映射关系表，也可以为组内密钥与所有组播组信息的映射关系表。图2为本发明中一种组播方法的示例性流程图。如图2所示，本发明的 组，牆方法包4舌以下步骤步骤201 ，为各组播组分配组内密钥和组播组标识；步骤202，发送端接收来自外部的组播帧，并确定该组播帧所属的组播 组，并利用该组播组对应的组内密钥对该组播帧加密，将加密后的组播帧发 送到接收端；步骤203，接收端根据组播组标识，确定接收到的组播帧所属的组播组， 并利用该组播组对应的组内密钥，对接收到的组播帧解密。其中，在202~步骤203之前、之后、或者执行过程中，还可以更新组 播组对应的组内密钥，例如，当组播组内的接收端退出该组播组后，发送端 需要重新生成组内密钥，但在生成新密钥之前，仍然釆用现有组内密钥对组 播帧加密。上述组播系统、组播设备和组播方法中，接收端预先注册组播组、并加 入注册的组纟番组。由于接收端可能注册并加入了多个组播组，需要维护多个组内密钥。 因此，在本发明中，发送端在发送组内密钥时，还可以携带一个组播组标识 来表明该组内密钥属于哪个组播组；接收端在接收到组播组标识之后，存储 组内密钥与组播组标识的对应关系，并在接收到组播帧之后，能够使用该组 播帧对应的组内密钥对该组播帧解密。本发明中，实现接收端过滤不属于组播组的组播帧的组播系统包括发 送端和接收端。
发送端，用于将组播组标识发送给接收端；将来自外部的组播帧发送给 接收端；接收端，用于接收并存储来自发送端的组播组标识；接收内部存储的组4番组标识对应的组纟番帧。图3为本发明中另一种组播方法的示例性流程图。如图3所示，基于上述系统，本发明的组播方法主要包括以下步骤 步骤301,为各组播组分配组播标识； 步骤302,发送端将接收到的组播帧发送到接收端； 步骤302，接收端接收端接收内部存储的组播组标识对应的组播帧。 上述流程中，也可以在步骤301之后的任意时刻，接收端更新组播组标识。其中，本发明中的组播组标识可以为任何具有唯一性的标识，例如组播 地址、或者组播组编号以及其他预先约定的用于标识组播組的任意代码等标 识。当本发明的技术方案用于不同的无线环境时，组播地址为不同类型的地 址，例如，当本发明的技术方案应用于数据链路层，即网络层第二层时，组 播地址可以为媒体接入控制(Medium Access Control ， MAC )地址；当本发 明的技术方案应用于互联网协议(Internet Protocol, IP)层时，组播地址可 以为IP地址；也可以预先为组播组设定代码，作为组播组标识。而组:燔帧 中也携带相同类型的组播组标识，接收端可以以此来选择对应的组内密钥。本发明的组播帧可以包括一个帧头，例如MAC帧头，使得接收端在接 收到组播帧之后，能够识别出该组播帧的相关信息，从而判断自己是否为该 组播帧对应的组播组的成员，如果不是，则直接过滤该组播帧，减少了自身 的负担。图4为本发明中组播帧的帧头的结构图。如图4所示，组播帧的帧头包 括用于表明组播帧目的信息的组播地址401、用于表示系统中转发组播帧 的设备的地址信息的发送地址402、以及用于表示发送端地址的源地址403。如图4所示的组播帧的帧头中，还可以包括用于标识组播组的组标识
404。接收端在接收到组播帧后，根据组播组标识，即组播地址401或者组标 识404选择接收或者过滤该组播帧；也可以在组播帧为加密后的组播帧时， 不进行过滤，而是通过相应的组内密钥解密；还可以先根据組播组标识选择 接收或者过滤该组播帧，再选择正确的组内密钥对加密的组播帧解密。本发明的组播帧的帧头中，也可以不包括组播地址401,此时，就需要 用包括其4也标识的组标识404作为组播组标识。下面，结合具体实施例，对本发明的组播系统、组播设备和组播方法进 行详细说明。 实施例一本实施例中的组播系统和组播方法，能够实现发送端与接收端分别使用 对应的组内密钥对组播帧加密和解密，提高了组播安全性。图5为本发明实施例一中组播系统的结构图。如图5所示，本发明的组 播系统包括发送端501、接收端502和认证服务器503。发送端501,用于在组播组中加入第一个组成员时，生成组内密钥，并 存储生成的组内密钥及组内密钥与组播组的对应关系；在接收端502进入发 送端所属区域后，向接收端502请求申请接入认证；根据来自接收端502的 响应，向认证服务器503请求对接收端502进行接入认证，并请求获取组信 息列表；与接收端502和认证服务器进行信息交互，将接收端502的认证信 息提供给认证服务器503;接收来自认证服务器503的，包括接收端502组 信息列表的响应，存储接收端502的组信息列表，确认接收端502成功接入， 并向接收端502发送成功接入消息；根据来自接收端502的加入组请求，查 询接收端502的組信息列表中是否存在当前请求加入的組播组，如果存在， 则判断接收端502为该组播组的合法组成员，将接收端502加入该组播组， 更新预先生成的組播组信息，如果不存在，则判断接收端502为该组播組的 非法组成员，不向接收端502发送组内密钥；在接收端502成功加入其申请 加入的组播组之后，根据组内密钥与组播组的对应关系，将组内密钥和对应
的组播组标识发送给接收端502;接收来自组播组内所有接收端的组内密钥 响应；接收来自外部的组播帧，并利用組播帧所属組播組对应的組内密钥对该组播帧加密；将加密后的组播帧发送到包括接收端502在内的所有接收接收端502，用于根据发送端501的请求，向发送端501申请接入认i正； 与发送端501进行信息交互，将认证信息通过发送端501提供给认证服务器 503;接收来自发送端501的认证成功消息；向发送端501发送包括组，膝组 标识的加入组请求；接收来自发送端501的组内密钥和组播组标识，存储组 内密钥以及组内密钥与组播组标识的对应关系；根据组播组标识存储组内密 钥；向发送端501发送组内密钥响应消息；接收来自发送端501的组播帧， 判断该组播帧是否为接收端502所属组播组的组播帧，如果是，则利用该组 播帧对应的组内密钥，对组播帧解密，如果不是，则删除该组播帧。认证服务器503，用于根据来自发送端501的请求，与发送端501进行 信息交互，获取接收端502的认证信息，并对接收端502进行接入认证；在 接入认证通过后，从外部签约网络获取接收端502的组信息列表，向发送端 501发送包括接收端502组信息列表的响应。实际应用中，发送端501还可以用于在查询到接收端502的组信息列表 中不存在当前请求加入的组播组之后，向认证服务器503请求获取接收端 502的组信息列表，此时请求获取的组信息列表可能是更新后的组信息列表； 发送端501还可以直接从签约网络或者其他网络设备获取组信息列表。当接收端502退出当前组播组时，可以向发送端501发送包括组播组标 识的退出组请求。在这种情况下，发送端501还可以根据来自接收端502的退出组请求， 更新组播组信息中的成员列表，并重新生成组内密钥；并存储重新生成的组 内密钥及组内密钥与组播组的对应关系；根据重新生成的组内密钥与组播组 的对应关系，将组内密钥和组播组标识发送给仍为该组播组成员的其他接收 端；认证服务器503也可以为其它与签约网络连接或者签约网络中的，并能
够从签约网络获取接收端502组信息列表的网元；发送端501也可以直接或 者通过其他网元，从外部签约网络获取接收端502的组信息列表；接收端 502也可以先根据组播组标识，判断该组播帧是否属于接收端502所属組播 组的组播帧，即是否接收来自发送端501的组播帧。具体来说，发送端501,即组播设备，包括主控单元511、密钥单元 512和认证单元513。主控单元511，用于在接收端502进入发送端所属区域后，请求接收端 502申请接入认证；根据来自接收端502的响应，向认证单元513发送接入 认证请求；将来自认证单元513的认证成功消息发送给接收端502;将来自 接收端502的，包括组播组标识的加入组请求和退出组请求发送给认证单元 513;从密钥单元512获取组内密钥以及组内密钥与组播组的对应关系；根 据来自密钥单元512的组内密钥与组播组的对应关系，将组内密钥发送给外 部对应的组播组内的接收端；接收来自外部組播组内所有接收端的组内密钥 响应；接收来自外部的组播帧，并利用该组播帧所属组播组对应的组内密钥 对该组播帧加密；根据组播组信息将加密后的组播帧发送到外部接收端；在 查询到接收端502的组信息列表中不存在当前请求加入的组播组之后，向认 证单元513发送接入认证请求；根据来自认证单元513的更新指示，从密钥 单元512获取组内密钥和组内密钥与组播组的对应关系，并组播组信息，将 获取到的组内密钥和组内密钥与组播组的对应关系发送到该组播组内的所 有接收端。密钥单元512,用于在组播组中加入第一个组成员时，生成组内密钥， 并存储生成的组内密钥及组内密钥与组播组的对应关系；在接收到来自认证 单元513的更新指示和组播组标识之后，生成该组播组标识对应的组播组的 组内密钥，并存储生成的组内密钥及组内密钥与该组播组的对应关系；将组 内密钥和组内密钥与组播组的对应关系提供给主控单元511。认证单元513，用于根据来自主控单元511的请求，向认证服务器503 请求对接收端502进行接入认证，并请求获取组信息列表；接收来自认证服
务器503的，包括接收端502组信息列表的响应，存储接收端502的组4言息 列表，确认接收端502成功接入，并向主控单元511发送成功接入消息；根 据来自主控单元5U的加入组请求，查询接收端502的组信息列表中是否存 在当前请求加入的组播组，如果存在，则判断接收端502为该组播组的合法 组成员，将接收端502加入该组播组，更新预先存储的组播组信息，并将更 新后的组播组信息发送给密钥单元512,向主控单元511发送加入组成功消 息；如果不存在，则判断接收端502为该组播组的非法组成员，拒绝加入该 组播组，向主控单元511发送加入组失败消息；根据来自主控单元511的包 括组播组标识的退出组请求，更新组播组信息中的成员列表，并向密钥单元 512发送更新指示和退出组请求中的组播组标识，向主控单元511发送更新 指示和组播组信息。密钥单元512还可以生成群密钥，用于对广播帧加密，保证发送端将广 播帧发送到其所属区域内的接收端的安全性。本发明实施例中的认证服务器503，还可以为签约网络中的网元。下面，对基于上述系统和设备的组播方法进行说明。图6为本发明实施例一中组播方法的基本流程图。如图6所示，本发明 的组4番方法包括以下步骤步骤601,接收端向认证服务器签约注册组播組。步骤602,接收端请求加入已注册的组播组。步骤603,发送端确认接收端的合法身份，并在确认了接收端为合法组 成员之后，执行步骤604。步骤604,发送端向接收端发送组内密钥。步骤605，发送端利用组内密钥对组播帧加密，接收端接收组播帧，并 利用该组播帧对应的组内密钥对接收到的组播帧解密。本步骤中，接收端也可以先过滤不属于自身所述组播组的组播帧后，再 接收自身所属组播组的组播帧，并进行解密；发送端也可以不对组播帧加密， 此时，接收端只需过滤掉不属于自身所属组播组的組播帧，不需再对组播帧解密。步骤606，接收端退出组播组，并可以返回步骤602,再次加入已退出 的组播组或者其他已注册的组播组。上述流程的步骤601中，接收端可以注册多个组播组，因此，注册了多 个组播组的接收端可以同时加入多个组播组，即同时执行多个如步骤602~ 步骤606的流程。下面，再以组播系统为WLAN、 AP作为发送端、STA作为接收端、AS 作为认证服务器为例，基于图6所示的基本流程，对本发明的组播方法进行 详细说明。本实施例的组播方法包括方法1、方法2和方法3。其中，方法l为 STA先向AS申请签约注册一个组播组，再向AP申请加入该组播组，AP 在判断出STA的组信息列表中不包括当前申请加入的组播组之后，不向该 STA发送组内密钥；方法2为AP在判断出STA的组信息列表中不包括当 前申请加入的组播组之后，再次通过AS向签约网络申请获取该STA的組信 息列表，更新当前列表，并通过更新后的组信息列表对该STA再次认证； 方法3为AP在判断出STA的组信息列表中不包括当前申请加入的组播组 之后，直接向签约网络申请获取该STA的组信息列表，更新当前列表，并 通过更新后的组信息列表对该STA再次认证。图7为本发明实施例一中组播方法1的流程图。如图7所示，本发明的 组播方法包括以下步骤步骤701， STA的用户通过AS在签约网络签约注册一个或者多个組播组。上述步骤701为STA的用户开户新业务、注册组播组的过程，也可以 在后续步骤之后执行，或者与后续步骤同时执行；本步骤为方法l的一个前 提条件，可以在任意时刻来执行。步骤702, STA希望接入AP所属的网络，因此，AP向STA发送身份 认证请求，请求STA申请接入认证。
本方法中，身份认证请求可以为802.1X协议的可扩展身份认证十办议 (Extensible Authentication Protocol, EAP )请求(802.IX EAP Request); AP也可以不向STA发送该请求，而是由STA直接向AP发送接入认证请求， 即直接执行步骤703。步骤703, STA根据AP的请求，向AP发送身份认证响应，请求进行 接入认证。本方法中，身份认证响应可以为802.1X协议的EAP响应(802.IX EAP Response )。步骤704, AP根据STA发送的身份认证响应，向AS发送接入认i正请 求，请求对接入网络的STA进行认证。本方法中，接入认证请求可以为EAP Request; EAP Request也可以携 带于远端用户拨入鉴权(Remote Authentication Dial In User Service, RADIUS)协议的接入请求(Access Request)中，发送到STA。步骤705, AS通过AP与STA进行信息交互，获取STA的认证鉴片又信 息，对STA进行认证。步骤706 步骤707，在认证成功后，AS向签约网络发送组信息列表请 求，请求获取通过认证的STA的组信息列表，并接收来自签约网络的，STA 的组信息列表。步骤708, AS向AP发送包括该STA的组信息列表的接入认证响应。 步骤709， AP接收到接入认证响应后，保存该STA的组信息列表，并 向STA发送认证成功消息。本方法中，认证成功消息可以为EAP成功(802.1XEAP Success)消息。 上述步骤702~步骤709为AP通过802.1X认证流程获取STA组信息列STA的组信息列表；AP还可以直接从签约网络获取STA的組信息列表。步骤710，在需要加入组4番组时，STA向AP发送加入组请求，请求加 入AP所属BSS域内的一个组播组。 本步骤中，STA向AP发送的加入组请求可以为基于互联网群管理协议 (Internet Group Management Protocol, IGMP )协议的IGMP Report消息， 也可以为基于MLD协议的请求消息，还可以为ACTION帧。步骤711， AP根据STA的请求，查询内部存储的该STA的组信息列表， 如果组信息列表中包括该STA当前申请加入的组播组，则批准该STA的 请求，更新该组播组的组播组信息，即更新该组播组的组成员列表，并执 行步骤712。本步骤中，如果组信息列表中不包括该STA当前申请加入的组播組， 则判定该STA为非法组成员，不向STA下发組内密钥。步骤712， AP将该组播组对应的组内密钥和组播组标识，携带于組密 钥消息中发送给STA。本方法中，发送携带组内密钥和组播组标识的组密钥消息，可以是通过 单4番方式发送；组密钥消息可以为EAPOL-Key消息，也可以为行为 (ACTION)帧；组4番组标识可以为组4番地址。其中，ACTION帧可以按照如下方式定义增加组成员GroupAdd消息中，携带组标识，即GroupAdd ( group id ); 组成员离开GroupLeave消息中，携带组标识，即GroupLeave ( group id);组内密钥GROUPKEY消息中，携带组标识，即GROUPKEY ( group id; key)。本步骤中，组播组标识可以为该组播组的组播組地址；在本步骤之前、 之后或者与在本步骤中，AP生成组内密钥，并存储组内密钥和组播组信息， 以及组内密钥和组播组的映射关系；组内密钥和组播组的映射关系可以为 组内密钥和组播地址的映射关系；在生成密钥之后，AP将该组播组对应的 组内密钥和组^番组标识，发送给该组播组内的其他STA; AP向STA发送 组内密钥和组播组标识可以通过单播的方式逐一发送。步骤713， STA接收并存储组内密钥和组播组标识，并向AP发送组内
密钥响应。本步骤中，STA存储组内密钥和组播组标识，还存储两者的映射关系， 以便区分多个组播组的组内密钥；STA是根据AP发送的组密钥消息中的 响应标识，来向AP发送组内密钥响应的；当组密钥消息中不包括响应标 识时，则不执行本步骤。上述步骤710 步骤713为STA获取组内密钥和组播组标识的过程，AP 和STA之间的交互的消息可以是基于IGMP协议、MLD等协议的消息； AP也可以不将组内密钥发送给STA，并在后续流程中不对组播帧加密。步骤714 步骤715， AP接收到来自网络侧的组播帧后，选择其对应的 组内密钥对该组播帧加密，并将加密后的组播帧发送给STA。上述步骤714中，AP可以根据组播帧的组播地址与组内密钥的映射关 系来选择组内密钥；AP也可以不对组^"帧加密。上述步骤715中，AP将加密后的组播帧发送给BSS域内的所有STA。步骤716, STA在接收到加密后的组播帧之后，根据组播帧的帧头判断 该组播帧是否为STA所属组播组的组播帧，如果是，则根据帧头中的组播 地址选择对应的组内密钥对该组播帧解密；如果不是，则过滤该组播帧， 将其删除。本步骤中，如果AP未对组播帧加密，则STA在过滤了不属于该STA 所属组播组的组播帧之后，直接接收组播帧，并对该组播帧进行解析等后 续处理。上述步骤714 步骤716为AP向组播帧对应的组播组内的所有STA, 发送组播帧的过程，该过程可以为多个，同时或者连续地执行步骤714 步 骤716，即不断地接收并发送不同组播组的组播帧。步骤717，在STA希望退出一个组播组时，向AP发送退出組请求。 步骤718， AP根据该STA的请求，更新組播组信息中的组成员列表， 并重新生成组内密钥，存储重新生成的组内密钥以及组内密钥和组播组标 识的映射关系，再将重新生成的组内密钥以及与其对应的组播组标识，发
送给该组播组内的其他STA。本步骤中，将组内密钥以及其对应的組播组标识发送给组播组内的其他 STA，可以是通过单播方式逐一发送；在STA退出当前组播组之后，如果 该组播组内没有其他的STA,则可以不重新生成组内密钥；出于安全性考 虑，AP也可以周期性更新组内密钥，并在下发组内密钥时，携带表明此组 内密钥的生命周期，AP将在此生命周期内更新组内密钥，使得AP和組成 员可以在新的周期到来时使用新的组内密钥进行加解密。至此，本流程结束。在上述流程中，步骤718之后，STA也可以向AS注销其注册的组播组； STA也可以在任何时刻执行步骤701,注册新的组播组；在AP重新生成组 内密钥并发送给该组播组的其他STA之后，可以继续执行步骤714至步骤 716,使得其他STA在安全性较高的状态下，接收组播帧。以上是对本发明实施例一中的组播方法1的说明，下面，对本发明实施 例一中的组播方法2进行详细说明。方法2中，AP在判断出STA的组信息 列表中不包括当前申请加入的组播组之后，再次通过AS向签约网络申请获 取该STA的组信息列表，更新当前列表，并通过更新后的组信息列表对该 STA再次认证。图8为本发明实施例一中组播方法2的流程图。如图8所示，本发明的 组播方法包括以下步骤步骤801， STA希望接入AP所属的网络，因此，向AP发送身份认证 响应，请求进行接入认证。本方法中，也可以由AP先向STA发送请求，请求STA申请接入认证。步骤802， AP根据STA发送的身份认证响应，向AS发送接入认证请 求，请求对接入网络的STA进行认证。本方法中，接入认证请求可以为EAP Request; EAP Request也可以携 带于远端用户拨入鉴权(Remote Authentication Dial In User Service, RADIUS)协议的接入请求(Access R叫uest)中，发送到STA。步骤803， AS通过AP与STA进行信息交互，获取STA的认证鉴4又信 息，对STA进行认证。步骤804 步骤805，在认证成功后，AS向签约网络发送组信息列表请 求，请求获取通过认证的STA的组信息列表，并接收来自签约网络的，STA 的组信息列表。步骤806~步骤807， AS向AP发送包括该STA的组信息列表的接入认 证响应；AP接收到接入认证响应后，保存该STA的组信息列表，并向STA 发送iU正成功消息。本方法中，认证成功消息可以为EAP Success消息。上述步骤801 步骤807为AP通过802.1X认证流程获取STA组信息列 表的过程，AP也可以通过其他认证流程或者通过其他网元从签约网络获取 STA的组信息列表；AP还可以直接从签约网络获取STA的组信息列表。步骤808, STA的用户通过AS在签约网络签约注册一个或者多个组播组。上述步骤808为STA的用户开户新业务、注册组播组的过程，可以在 任何时刻执行。步骤809，在需要加入组播组时，STA向AP发送加入组请求，请求加 入AP所属网络的 一个组4番组。本步骤中，STA向AP发送的加入组请求可以为基于IGMP协议的IGMP Report消息，也可以为基于MLD协议的请求消息，还可以为基于RADIUS 等协议的请求消息。步骤810, AP根据STA的请求，查询内部存储的该STA的组信息列表， 如果组信息列表中包括该STA当前申请加入的组播组，则批准该STA的请 求，更新该组播组的组播组信息，即更新该组播组的组成员列表，并执行步 骤816;如果组信息列表中不包括该STA当前申请加入的组播组，则执行步 骤811。步骤811~步骤814， AP向AS再次发送接入认证请求，请求获取STA 的组信息列表，AS向签约网络发送组信息列表请求，请求获取通过认证的 STA的组信息列表，并接收来自签约网络的STA的组信息列表，再将STA 的组信息列表发送给AP, AP接收AS发送的该STA的组信息列表，并更新 当前的该STA的組信息列表，保存更新后的组信息列表。上述步骤811~步骤814中，在AP通过802.1X认证流程获取STA组信 息列表的情况下，获取STA组信息列表的请求可以作为EAP R叫uest信息 的DATA域承栽，也可直接使用Attributes域承载；同样，AS也可以将组 信息列表作为EAP Response的DATA域承载，或者使用Attributes域承载； AP也可以通过其他网元或者直接从签约网络获取组信息列表。本方法中，STA也可以在接入AP之前，预先在AS注册了其他组播纟JL， 例如组4番组1和组:!番组2,在步骤809,其请求加入的组播组为组^"组3， 并在步骤808注册了组播组3。但此时，AP存储的该STA的组信息列表中 不包括组播组3，因此，向AS请求更新改STA的组信息列表，并根据更新 后的组信息列表对申请加入组播组的STA再次认证。步骤815， AP使用更新后的组信息列表，对该STA的加入进行认证， 如果更新后的组信息列表中包括该STA当前申请加入的组播组，则批准该 STA的请求，更新该组播组的组播组信息，即更新该组播组的组成员列表， 并执行步骤816;如果组信息列表中仍然不包括该STA当前申请加入的组播 组，则判定该STA为非法组成员，不向STA下法组内密钥。步骤816 步骤817， AP将该组播组对应的组内密钥和组播组标识，携 带于组密钥消息中发送给STA; STA接收并存储组内密钥和组播组标识， 并向AP发送组内密钥响应。上述步骤816 步骤817为STA获取组内密钥和组播组标识的过程，可 以与本实施例方法1中的步骤712 步骤713的操作过程相同。步骤818 步骤820, AP接收到来自网络侧的组播帧后，选择其对应的 组内密钥对该组播帧加密，并将加密后的组播帧发送给STA; STA在接收 到加密后的组播帧之后，根据组播帧的帧头判断该组播帧是否为STA所属 组播组的组播帧，如果是，则根据帧头中的组播地址选择对应的组内密钥对该組播帧解密；如果不是，则过滤该组播帧，将其删除。上述步骤818 步骤820为AP向组播帧对应的BSS域内的所有STA， 发送组播帧的过程，该过程可以为多个，同时或者连续地执行步骤818 步 骤820，即不断地接收并发送不同组播组的组播帧，可以与本实施例方法l 中的步骤714~步骤716的操作过程相同。步骤821 步骤822，在STA希望退出一个組播组时，向AP发送退出 组请求；AP根据该STA的请求，更新组播组信息中的组成员列表，并重 新生成组内密钥，存储重新生成的组内密钥以及组内密钥和组播组标识的 映射关系，再将重新生成的组内密钥以及与其对应的组播组标识，发送给 该纽j番组内的其4也STA。在上述步骤822中，将组内密钥以及其对应的组播组标识发送给组，潘组 内的其他STA，可以是通过单播方式逐一发送；在STA退出当前组播组之 后，如果该组播组内没有其他的STA，则可以不重新生成组内密钥；出于 安全性考虑，AP也可以周期性更新组内密钥，并在下发组内密钥时，携带 表明此组内密钥的生命周期，AP将在此生命周期内更新组内密钥，使得 AP和组成员可以在新的周期到来时使用新的组内密钥进行加解密。至此，本流程结束。在上述流程中，步骤822之后，STA也可以向AS注销其注册的组播组； STA也可以在任何时刻执行步骤808，注册新的组播组；在AP重新生成组 内密钥并发送给该组播组的其他STA之后，可以继续执行步骤818至步骤 820,使得其他STA在安全性较高的状态下，接收组播帧。以上是对本发明实施例一中的组播方法2的说明，下面，对本发明实施 例一中的组播方法3进行详细说明。方法3中，AP在判断出STA的组信息 列表中不包括当前申请加入的組播组之后，直接向签约网络申请获取该STA 的组信息列表，更新当前列表，并通过更新后的组信息列表对该STA再次认证o 图9为本发明实施例一中组播方法3的流程图。如图9所示，本发明的 组播方法包括以下步骤步骤901 步骤905, STA希望接入AP所属的网络，因此，向AP发送 身份认证响应，请求进行接入认证；AP根据STA发送的身份认证响应，向 AS发送接入认证请求，请求对接入网络的STA进行认证；AS通过AP与 STA进行信息交互，获取STA的认证筌权信息，对STA进行认证，并在认 证成功后，AS向签约网络发送组信息列表请求，请求获取通过认证的STA 的组信息列表，再接收来自签约网络的STA的组信息列表。步骤906 步骤907, AS向AP发送包括该STA的组信息列表的接入认 证响应；AP接收到接入认证响应后，保存该STA的组信息列表，并向STA 发送认证成功消息。上述步骤901~步骤卯7为AP通过802.1Xi^证流程获取STA组信息列 表的过程，与本实施例方法2中的步骤801 步骤807的操作过程相同。步骤908, STA的用户通过AS在签约网络签约注册一个或者多个组播组。上述步骤808为STA的用户开户新业务、注册组播组的过程，可以在 任何时刻执行。步骤909,在需要加入组播组时，STA向AP发送加入组请求，请求加 入AP所属网络的一个组播組。本步骤中，STA向AP发送的加入组请求可以为基于IGMP协议的IGMP Report消息，也可以为基于MLD协议的请求消息，还可以为基于RADIUS 等协议的请求消息。步骤910, AP根据STA的请求，查询内部存储的该STA的组信息列表， 如果组信息列表中包括该STA当前申请加入的组播组，则批准该STA的请 求，更新该组播组的组播组信息，即更新该组播组的组成员列表，并执行步 骤914;如果组信息列表中不包括该STA当前申请加入的组播组，则执行步 骤911。 步骤911 步骤912, AP直接向签约网络发送组信息列表请求，请求获 取STA的组信息列表，并接收来自签约网络的STA的组信息列表，然后更新当前的该STA的组信息列表，保存更新后的组信息列表。上述步骤911 步骤912中，AP也可以通过802.1X认证流程获取STA 组信息列表，并将获取STA组信息列表的请求作为EAP Request信息的 DATA域承载，也可直接使用Attributes域承载；同样，AS也可以将组信息 列表作为EAP Response的DATA域承载，或者使用Attributes域承载。本方法中，STA也可以在接入AP之前，预先在AS注册了其他组播组， 例如组播组1和组播组2,在步骤卯9,其请求加入的组播组为组播组3， 并在步骤908注册了组播组3。但此时，AP存储的该STA的组信息列表中 不包括组播组3，因此，向AS请求更新改STA的组信息列表，并根据更新 后的组信息列表对申请加入组播组的STA再次认证。步骤913, AP使用更新后的组信息列表，对该STA的加入进行认证， 如果更新后的组信息列表中包括该STA当前申请加入的组播组，则批准该 STA的请求，更新该组播组的组播组信息，即更新该组播组的组成员列表， 并执行步骤914;如果组信息列表中仍然不包括该STA当前申请加入的组播 组，则判定该STA为非法组成员，不向STA下法组内密钥。步骤914 步骤915, AP将该组播组对应的组内密钥和组播组标识，携 带于组密钥消息中发送给STA; STA接收并存储组内密钥和组播组标识， 并向AP发送组内密钥响应。上述步骤914 步骤915为STA获取组内密钥和组播组标识的过程，可 以与本实施例方法1中的步骤712 步骤713的操作过程相同。步骤916 步骤918, AP接收到来自网络侧的组播帧后，选择其对应的 组内密钥对该組播帧加密，并将加密后的组播帧发送给STA; STA在接收 到加密后的组播帧之后，根据组播帧的帧头判断该组播帧是否为STA所属 组播组的组播帧，如果是，则根据帧头中的组播地址选择对应的组内密钥 对该组播帧解密；如果不是，则过滤该组播帧，将其删除。 上述步骤916~步骤918为AP向组播帧对应的BSS域内的所有STA, 发送组播帧的过程，该过程可以为多个，同时或者连续地执行步骤916 步 骤918，即不断地接收并发送不同组播组的组播帧，可以与本实施例方法l 中的步骤714~步骤716的操作过程相同。步骤919~步骤920，在STA希望退出一个组播组时，向AP发送退出 组请求；AP根据该STA的请求，更新组播组信息中的组成员列表，并重 新生成组内密钥，存储重新生成的组内密钥以及组内密钥和组播组标识的 映射关系，再将重新生成的组内密钥以及与其对应的组播组标识，发送给 该组#番组内的其他STA。上述步骤919 步骤920与本实施例方法2的步骤821 步骤822的操作 过程相同。至此，本流程结束。本实施例的组播方法是以在WLAN中AP与STA之间的网络层第二层 进行组播为例，组内密钥为二层密钥；本发明实施例中的组播方法，也可以 用于WiMAX, 802.15等网络中，即适用于802系列的网络；此时的组内密 钥用于将通过空口传输的组播帧进行加密，保证无线信道的安全性。当本发明的组播方法用于IP层或者是其他无线环境中，只需替换具体 消息或消息格式，而基本流程相同。考虑到本发明技术方案在实际应用中的兼容性，本发明还可以在接收端 开机后，向发送端发送探测(Probe)或者关联等消息时，携带一个信息元 素(Information Element, IE )。其中，当IE为1时，表示该接收端支持采 用组内密钥方式的组播，当IE为0时，表示接收端为传统设备，不支持采 用组内密钥方式的组播。发送端可以根据接收端上报的IE,确定接收端的组 播能力，并统计各组播组成员的组播能力，为各组播组选择最合适的方式发 送组播帧，即制定并存储组播策略。例如，如果组播组内的传统接收端较少，可以采用单播方式，单独将组 播帧给传统接收端，并釆用组内密钥的方案向其他接收端发送组播帧。如果
传统接收端较多，则可以使传统组播方法，将组播帧发送给所有接收端。当 发送端在决定使用某种发送策略之后，可以通知组播组内的所有接收端，并 存储该组播策略、以及该组播策略与组内密钥、其他组播信息的对应关系。 实施例二本实施例中的组播系统和组播方法，能够实现接收端仅接收属于自身所 属组播组的组播帧，提高了组播的安全性。图IO为本发明实施例二中组播系统的结构图。如图IO所示，本发明的 组播系统包括发送端1001、接收端1002和认证服务器1003。发送端IOOI，用于在接收端1002进入发送端所属区域后，向接收端1002 请求申请接入认证；根据来自接收端1002的响应，向认证服务器1003 ^清求 对接收端1002进行接入认证，并请求获取组信息列表；与接收端1002和认 证服务器进行信息交互，将接收端1002的认证信息提供给认证服务器1003; 接收来自认证服务器1003的，包括接收端1002组信息列表的响应，存储接 收端1002的组信息列表，确认接收端1002成功接入，并向接收端1002发 送成功接入消息；根据来自接收端1002的加入组请求，查询接收端1002的 组信息列表中是否存在当前请求加入的组播组，如果存在，则判断接收端 1002为该组播组的合法组成员，将接收端1002加入该组播组，更新预先生 成的组播组信息；在接收端1002成功加入其申请加入的组播组之后，将该 组播组的组播组标识发送给接收端1002;将来自外部的组播帧发送到包括 接收端1002在内的所有接收端。接收端1002,用于4艮据发送端1001的请求，向发送端1001申请接入 认证；与发送端1001进行信息交互，将认证信息通过发送端1001提供给认 证服务器1003;接收来自发送端1001的认证成功消息；向发送端1001发 送包括组播组标识的加入组请求；接收并存储来自发送端1001的组播组标 识；接收来自发送端1001的组播帧，判断该组播帧是否为接收端1002所属 组播组的组播帧，如果是，则对该组播帧进行后续处理，如果不是，则删除 该组4番帧。
认证服务器1003，用于根据来自发送端1001的请求，与发送端1001 进行信息交互，获取接收端502的认证信息，并对接收端1002进行接入认证；在接入认证通过后，从外部签约网络获取接收端1002的组信息列表， 向发送端1001发送包括接收端1002组信息列表的响应。实际应用中，发送端1001还可以用于在查询到接收端1002的组信息列 表中不存在当前请求加入的组播组之后，向认证服务器1003请求获取4奏收 端1002的组信息列表，此时请求获取的组信息列表可能是更新后的组信息 列表；发送端1001还可以直接从签约网络或者其他网络设备获取组信息列 表。当接收端1002退出当前组播组时，可以向发送端1001发送包括组^番组 标识的退出组请求。在这种情况下，发送端IOOI还可以根据来自接收端1002的退出组请求， 更新组播组信息中的成员列表；认证服务器1003也可以为其它与签约网络 连接或者签约网络中的，并能够从签约网络获取接收端1002组信息列表的 网元；发送端1001也可以直接或者通过其他网元，从外部签约网络获取接 收端1002的组信息列表；接收端1002也可以先存储组播组标识。图11为本发明实施例二中组播方法的流程图。如图7所示，本发明的 组播方法包括以下步骤步骤1101， STA的用户通过AS在签约网络签约注册一个或者多个组播组。上述步骤1101为STA的用户开户新业务、注册组播组的过程，也可以 在后续步骤之后执行，或者与后续步骤同时执行。步骤1102~步骤1105， STA希望接入AP所属的网络，因此，AP向STA 发送身份认证请求，请求STA申请接入认证；STA根据AP的请求，向AP 发送身份认证响应，请求进行接入认证；AP根据STA发送的身份认证响应， 向AS发送接入认证请求，请求对接入网络的STA进行认证；AS通过AP 与STA进行信息交互，获取STA的认证鉴权信息，对STA进行认证。
上述步骤1102~步骤1105与实施例一中方法1的步骤702~步骤705的 操作过程相同。步骤1106~步骤1109，在认证成功后，AS向签约网络发送组信息列表 请求，请求获取通过认证的STA的组信息列表，并接收来自签约网络的， STA的组信息列表；AS向AP发送包括该STA的组信息列表的接入认i正响 应；AP接收到接入认证响应后，保存该STA的组信息列表，并向STA发 送认证成功消息。上述步骤1106 步骤1109与实施例一中方法1的步骤706~步骤709的 操作过程相同。步骤1110,在需要加入组播组时，STA向AP发送加入组请求，请求加 入AP所属BSS域内的一个组4番组。本步骤中，STA向AP发送的加入组请求可以为基于互联网群管理协议 (Internet Group Management Protocol, IGMP )协i义的IGMP Report消息， 也可以为基于MLD协议的请求消息，还可以为ACTION帧。步骤llll, AP根据STA的请求，查询内部存储的该STA的组信息列 表，如果组信息列表中包括该STA当前申请加入的组播组，则批准该STA 的请求，更新该组播組的組4番组信息，即更新该組碌番組的组成员列表，并 执行步骤1112。本步骤中，如果组信息列表中不包括该STA当前申请加入的组播组， 则判定该STA为非法组成员；AP也可以在组信息列表中不包括该STA当 前申请加入的组播组时，向签约网络重新获取STA的组信息列表，并再次 查询更新后的组信息列表中是否包括该STA当前申请加入的组播组。 步骤1112， AP将该组播组对应的组播组标识发送给STA。 本步骤中，可以将组播组标识携带于ACTION帧中，发送到STA。 步骤1113~步骤1114, AP接收到来自网络侧的组播帧后，将组播帧发 送给STA。上述步骤1113-步骤1114中，AP也可以对组播帧加密。
步骤1115, STA在接收到加密后的组播帧之后，根据组播帧的帧头判 断该组播帧是否为STA所属组播组的组播帧，如果是，则对该组播帧进行 后续处理；如果不是，则过滤该组播帧，将其删除。步骤1115,在STA希望退出一个组播组时，向AP发送退出组请求。步骤1116, AP根据该STA的请求，更新組播组信息中的組成员列表。至此，本流程结束。在上述流程中，也可以不执行步骤1112, STA可以在签约注册组4条组 时，就获取了组播组标识；步骤1117之后，STA也可以向AS注销其注册 的组播组；STA也可以在任何时刻执行步骤1101，注册新的组播组。以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范 围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等， 均应包含在本发明的保护范围之内。
权利要求
1、 一种组播方法，其特征在于，所述方法包括以下步骤 为各组播组分配组内密钥和组播组标识；发送端接收来自外部的组播帧，确定该组播帧所属的组播组，利用该组 播组对应的组内密钥对该组播帧加密，并将加密后的组播帧发送到接收端；接收端根据组播组标识确定接收到的组播帧所属的组播组，并利用该组 播组对应的组内密钥，对接收到的组播帧解密。
2、 如权利要求1所述的方法，其特征在于，所述为各组播组分配组内 密钥和组#~组标识为发送端为各组播组生成组内密钥，并存储所生成的组内密钥；将组#"组 标识及其对应的所述组内密钥发送给对应的组播组内的接收端；接收端接收 并存储来自发送端的组内密钥和组播组标识。
3、 如权利要求2所述的方法，其特征在于，所述发送端将组播组标识及 其对应的组内密钥发送给接收端为接收端向发送端请求加入组播组，发送端根据内部存储的所述接收端的 组信息列表，确定接收端为所述组播组的合法成员后，将所述组播组的组播 组标识，及其对应的组内密钥发送给所述接收端。
4、 如权利要求3所述的方法，其特征在于，所述确定接收端为所述组 播组的合法成员为在所述接收端的组信息列表中，查询到接收端当前申请 加入的组播组，确定所述接收端为所述组播组的合法成员。
5、 如权利要求4所述的方法，其特征在于，所述接收端向发送端请求 加入组播组之前，进一步包括接收端向签约网络注册组播組，签约网络更 新预先存储的所述接收端的组信息列表；所述接收端在注册了组播组之后，进一步包括接收端向发送端请求进 行接入认证，发送端才艮据所述接收端的请求，向认证服务器发送接入认证请 求，然后接收来自签约网络的所述接收端的组信息列表，并存储所述组信息列表。
6、 如权利要求4所述的方法，其特征在于，所述接收端向发送端请求 加入组播组之前，进一步包括接收端向签约网络注册组播组，签约网络更 新内部存储的所述接收端的组信息列表；所述接收端在注册了组播组之前，进一步包括接收端向发送端请求进 行接入认证，发送端根据所述接收端的请求，向认证服务器发送接入认证请 求，然后接收来自签约网络的所述接收端的組信息列表，并存储所述组信息 列表。
7、 如权利要求5所述的方法，其特征在于，所述将所述组播组的組内 密钥发送给所述接收端为所述接收端的组信息列表中包括所述申请加入的组播组，发送端判断出 所述接收端为组播组的合法成员，将所述接收端当前申请的组播组对应的組 内密钥以及組播组标识发送给所述接收端。
8、 如权利要求6所述的方法，其特征在于，所述将所述组播组的組播 组标识，及其对应的组内密钥发送给所述接收端为所述接收端的组信息列表中不包括所述申请加入的组播组，发送端向认 证服务器请求再次获取所述接收端的组信息列表，并接收来自签约网络的所 述接收端的组信息列表；所述再次获取的组信息列表中包括所述申请加入的组播组，发送端判断 出所述接收端为组播组的合法成员，将所述接收端当前申请的组播组对应的 组内密钥以及组4番组标识发送给所述接收端。
9、 如权利要求l所述的方法，其特征在于，在所述发送端将加密后的 组播帧发送到接收端的同时，或者之后、或者之前，所述方法进一步包括组播组内的接收端向发送端发送退出所述组播组的请求，所述发送端接 收所述接收端的请求，更新内部存储的组播组信息，并重新生成所述组播组 的组内密钥；然后将重新生成的组内密钥和所述组播组的标识，根据更新后 的组播组信息，发送给所迷组播组内的接收端。
10、 如权利要求l所述的方法，其特征在于，在所述发送端将加密后的 组播帧发送到接收端的同时、或者之后、或者之前，所述方法进一步包括发送端根据预先设定的时间周期，重新生成组内密钥，然后将重新生成 的组内密钥和所述组播组的标识，根据组播组信息，发送给所述组播组内的 接收端。
11、 如权利要求2所述的方法，其特征在于，所述将所述组播组的组播 组标识，及其对应的组内密钥发送给所述接收端为将组内密钥携带于行为 ACTION帧中，发送到接收端；加入组请求携带于ACTION帧中，所述携带加入组请求的ACTION帧 为携带组标识的增加组成员GroupAdd消息、或者携带组标识的组成员离 开GroupLeave消息、或者携带组标识的组内密钥GROUPKEY消息。
12、 如权利要求l所述的方法，其特征在于，当所述接收端根据组播组 标识确定接收到的组播帧所属的组播组之前进一步包括所述接收端根据组 播组标识判断出接收到的组播帧所属组播组，不为所述接收端所属的组播 组，删除该组l番帧。
13、 如权利要求1至12中任意一项所述的方法，其特征在于，所述将 所述组播组的组内密钥发送给所述接收端为通过单播方式，将生成的组内 密钥发送给对应的组播组内的接收端。
14、 如权利要求1所述的方法，其特征在于，所述组播帧包括组播地址； 所述组内密钥与组播组的对应关系为组内密钥与组播地址的对应关系； 所述对接收到的组播帧解密为接收端根据组播帧的组播地址，选择对应的组内密钥，并利用选择的组 内密钥对接收到的组播帧解密。
15、 如权利要求1所述的方法，其特征在于，所述组播帧包括组播地址； 所述方法进一步包括接收端接收到组播帧，判断出所述组播帧的组播地址不为所述接收端所属组播组的组播地址之后，过滤所述组播帧。
16、 如权利要求5或6所述的方法，其特征在于，所述接收端开机与所述接收端向发送端请求进行接入认证之间，所述方法进一步包括接收端向 发送端发送探测Probe或者关联消息时，携带表示所述接收端能力的信息元 素；发送端根据接收端上报的信息元素，确定接收端的组播能力，并统计各 組播组成员的组播能力，为各组播组制定并存储发送组播帧的策略，然后将 所述发送组播帧的策略发送给接收端。
17、 如权利要求16所述的方法，其特征在于，所述发送组播帧的策略为采用单播方式，单独将组播帧给不支持使用组内密钥解密的接收端，并 采用组播方式，向系统内的其他接收端发送组播帧； 或者通过组播方式，将组播帧发送给所有接收端。
18、 如权利要求l所述的方法，其特征在于，所述发送端为接入点AP; 所述接收端为站点STA;所述发送端接收来自外部的组播帧为AP接收来自网络侧的组播帧； 所述组内密钥为用于将通过空口传输的组播帧进行加密的组内密钥。
19、 一种组播系统，其特征在于，所述系统包括发送端和接收端，其中，所述发送端，用于为各组播组生成组内密钥，并存储组内密钥；将组播 组标识及其对应的组内密钥发送给对应的組播组内的接收端；接收来自外部 的组，潘帧，确定该组播帧所属的组播组，并利用组播组对应的组内密钥对该 组播帧加密；将加密后的组播帧发送到接收端；所述接收端，用于接收并存储来自发送端的组内密钥和组播组标识；接 收来自发送端的组播帧，根据组播组标识确定该组播帧所属的组播组，并利 用该组播组对应的组内密钥对组播帧解密。
20、 如权利要求19所述的系统，其特征在于，所述系统进一步包括 认证服务器，用于根据来自发送端的请求，从所述发送端获取所述接收端的 i人证信息，并对接收端进行接入认证；在接入认证通过后，从外部签约网络获取所述接收端的组信息列表；向发送端发送所述接收端组信息列表；所述发送端进一步用于根据来自接收端的请求，向认证服务器请求对所 述接收端进行接入认证；将来自接收端的认证信息发送给认证服务器；接收 并存储来自认证服务器的所述接收端的组信息列表；根据来自接收端的请 求，在经过查询确定所述接收端的组信息列表中存在当前请求加入的组播组 时，将对应的組内密钥和组播组标识发送给所述接收端；所述接收端进一步用于向发送端请求接入；将认证信息提供给发送端； 向发送端请求加入组。
21、 如权利要求19所述的系统，其特征在于，所述发送端包括主控 单元和密钥单元，其中，所述主控单元，用于从密钥单元获取组播组标识及其对应的組内密钥； 将组^"组标识及其对应的组内密钥发送给对应的组播组内的接收端；接收来 自外部的组播帧，确定该组播帧所属的组播组，并利用该组播组对应的组内 密钥对该组播帧加密；将加密后的组播帧发送到接收端；密钥单元，用于为各组播组生成组内密钥，并存储生成的组内密钥；将 组播组标识及其对应的组内密钥提供给主控单元。
22、 一种组播设备，其特征在于，所述设备包括主控单元和密钥单元， 其中，主控单元，用于从密钥单元获取组播组标识及其对应的组内密钥；将组 播组标识及其对应的组内密钥发送到外部；接收来自外部的组播帧，确定该 组播帧所属的组播组，并利用该组播组对应的组内密钥对该组播帧加密；将 加密后的组播帧发送到外部；密钥单元，用于为各组播组生成组内密钥，并存储生成的组内密钥；将 组^"组标识及其对应的组内密钥提供给主控单元。
23、 如权利要求22所述的设备，其特征在于，所述设备进一步包括 认证单元，用于根据来自主控单元的请求，向外部发送接入认证请求；接收 并存储来自外部的组信息列表；根据来自主控单元的加入组请求，查询所述组信息列表中是否存在当前请求加入的组播组，如果存在，则更新组播组信 息，并将更新后的组播组信息发送给密钥单元，向主控单元发送加入组成功消息；根据来自主控单元的退出组请求，更新组播组信息中的成员列表，并 将更新指示和退出组请求中的組播组标识发送给密钥单元；所述主控单元进一步用于向认证单元发送接入认证请求；将来自外部的 加入组请求和退出组请求发送给认证单元；来自认证单元的更新指示，从密 钥单元获取組内密钥和组内密钥与组播组的对应关系，并组播组信息，将获 取到的组内密钥和组内密钥与组播组的对应关系发送到外部；所述密钥单元进一步用于接收来自认证单元的组播组信息，并更新内部 存储的组播组信息；在接收到来自认证单元的更新后的组播组信息之后，生 成組内密钥。
24、 一种组播方法，其特征在于，所述方法包括以下步骤 为各组播组分配组播标识；发送端将接收到的组播帧发送到接收端；接收端接收内部存储的组播组 标识对应的组播帧。
25、 如权利要求24所述的方法，其特征在于，所述为各组播组分配组 播标识为发送端将组播组标识发送给接收端。
26、 如权利要求25所述的方法，其特征在于，所述将组播组标识发送 给接收端之前进一步包括接收端向发送端请求加入组播组，发送端才艮才居内 部存储的所述接收端的组信息列表，确定接收端为所述组播组的合法成员 后，将所述组播组的组播组标识发送给所述接收端。
27、 如权利要求26所述的方法，其特征在于，所述发送端将组播组标 识发送给接收端进一步包括发送端为各组播组生成组内密钥，发送端将组 播组标识对应的组内密钥发送到接收端。
28、 如权利要求26或27所述的方法，其特征在于，所述接收端向发送 端请求加入组播组之前，进一步包括接收端向签约网络注册组播组，签约网络更新预先存储的所述接收端的 组信息列表；所述接收端在注册了组播组之前或者之后，进一步包括认证服务器对 接收端的接入进行认证，并向发送端来自签约网络的所述接收端的组信息列 表，发送端存储所述组信息列表。
29、 一种组播系统，其特征在于，所述系统包括发送端和接收端，其中，所述发送端，用于将组播组标识发送给接收端；将来自外部的组播帧发 送给接收端；所述接收端，用于接收并存储来自发送端的组播组标识；接收内部存储 的组4番组标识对应的纽j番帧。
30、 如权利要求29所述的方法，其特征在于，所述系统进一步包括认 证服务器，用于根据来自发送端的请求，从所述发送端获取所述接收端的认 i正信息，并对接收端进行接入认证；在接入认证通过后，从外部签约网症各获 取所述接收端的组信息列表；向发送端发送所述接收端组信息列表；所述发送端进一步用于根据来自接收端的请求，向认证服务器请求对所 述接收端进行接入认证；将来自接收端的认证信息发送给认证服务器；接收 并存储来自认证服务器的所述接收端的组信息列表；根据来自接收端的请 求，在经过查询确定所述接收端的组信息列表中存在当前请求加入的组播组 时，将对应的组播组标识发送给所述接收端；所述接收端进一步用于向发送端请求接入；将认证信息提供给发送端； 向发送端请求加入组。
全文摘要
本发明公开了一种组播方法，包括以下步骤为各组播组分配组内密钥和组播组标识；发送端接收来自外部的组播帧，确定该组播帧所属的组播组，利用该组播组对应的组内密钥对该组播帧加密，并将加密后的组播帧发送到接收端；接收端根据组播组标识确定接收到的组播帧所属的组播组，并利用该组播组对应的组内密钥，对接收到的组播帧解密。本发明还公开了一种组播系统、一种组播设备、另一种组播方法和另一种组播设备。本发明的技术方案提高了组播的安全性，降低了系统负担。
文档编号H04L9/00GK101145900SQ20061015417
公开日2008年3月19日 申请日期2006年9月15日 优先权日2006年9月15日
发明者张慧敏, 易剑锋 申请人:华为技术有限公司