一种宽带接入网络组播控制方法、系统及装置的制作方法

专利名称：：一种宽带接入网络组播控制方法、系统及装置的制作方法
技术领域：
：本发明涉及通信
技术领域：
，尤其涉及一种宽带接入网络组播控制方法、系统及装置。
背景技术：
：随着网络逐步宽带化，新业务不断涌现，尤其IPTV(因特网电视)类业务得到大量应用。由于IPTV业务一般是组播(多播)应用模式，即同一份数据多人同时共享，如不同用户观看同一个电视频道/节目，这给网络的权限管理带来不小困难。在DSL(DigitalSubscriberLine,数字用户线)用户中，一般在网络边缘的组播鉴权装置中进行组播权限控制，组播鉴权装置包括接入节点(AccessNode,AN),—般在组播鉴权装置中设置用户的组播权限控制表，例如组播访问控制表(AccessControlList,ACL)。组播鉴权装置通过组插-权限控制表控制用户对组播频道的访问，由于DSL—般是点到点接入(即连接的路径是独占的)，通过组播权限控制表能够有效控制用户对组播频道的访问，但是对于广播式(共享介质)接入，组播流(连续传递的多个组播帧称之为组播流)是广播(多播)发送的，即一个用户请求了一份组播流，处于这个广播域中的用户都能收到该份组播流。广播式(共享介质)接入主要包括PON(PassiveOpticalNetwork,无源光网络)、WIMAX(WorldwideInteroperabilityforMicrowaveAccess,全球孩吏波互联:接入)等。例如一个PON接口下的一个用户观看一个节目频道，这个PON接口内的所有用户都能够收到这个节目的组播流，即这个PON内的所有用户都能够观看这个节目，由于组播的点对多点传递特性，组播成员共享组播流，所以不能采用点对点的加密。现有技术中通过广播电视系统的CA(条件接收)系统进行组播权限控制，主要应用在广播电视领域，如数字电视领域，广播电视系统的CA系统主要是在头端系统进行应用层加密，然后通过机顶盒(STB)进行条件接收。现有技术中，在头端进行集中控制授权，系统实现复杂，容易引起性能瓶颈；一般要求内嵌智能卡的机顶盒，不利于运营商之间媒体内容共享；且广播电一见系统的CA系统并不适合在宽带网络应用。
发明内容本发明实施例提供了一种宽带接入网络组播控制方法、系统及装置，合法的组播成员用户才能使用组播业务数据，防止非法用户使用组播业务。本发明实施例提供了一种宽带接入网络组播控制系统，包括接入控制子系统，用于生成组播加密关键字，将所述组播加密关键字发送给用户子系统，并在接收到用户子系统发送的订阅请求后，利用所述组播加密关键字对发往用户子系统的組播帧进行加密，将所述加密过的组播帧发送到所述用户子系统；用户子系统，用于向所述接入控制子系统发送订阅请求来请求组播帧，根据接收的接入控制子系统发送的组播加密关键字解密接收到的所述接入控制子系统加密过的组播帧。本发明实施例还提供了一种宽带接入网络组插-控制方法，包4舌以下步骤生成并分发组播加密关键字集合，所述组播加密关键字集合包括至少一个组纟番加密关键字及对应的组播流标识；接收到订阅请求后，利用所述组播加密关键字对组播帧进行加密；发送所述加密过的组播帧，所述加密过的组播帧能用所述组播加密关键字进行解密。本发明实施例一种接入控制装置，包括关键字生成单元，用于生成组播加密关键字集合，所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识；关键字分发单元，用于向用户子系统发送所述关键字生成单元生成的组播加密关键字；数据接收单元，用于接收来自组播源设备的组播帧以及来自用户子系统的组播订阅请求，并将所述组播帧发送到数据加密单元；数据加密单元，用于从组播订阅请求中解析出的组播流标识，根据所述组播流标识从所述关键字生成单元的组播加密关键字集合中获取组播加密关键字，并利用所述关键字生成单元生成的组播加密关键字及对应的加密算法对发往用户子系统的组播帧进行加密，并将加密过的组播帧发送到数据发送单元；数据发送单元，用于确定所述数据接收单元接收到用户子系统发送的订阅请求后，根据组播转发表向用户子系统发送所述数据加密单元加密过的组播帧。本发明的实施例中，在广播式(共享介质)接入应用中，授权用户才能使用组播业务数据，防止非法用户使用业务。加强了在共享介质4妻入的组播安全控制，杜绝了未授权或恶意访问，保护了运营商的投资。图l是本发明实施例中宽带接入网络组播控制系统；图2是本发明实施例中在PON系统中的应用示意图3是本发明实施例中组播业务控制流程图4是本发明实施例中PON系统的关键字刷新或切换流程图5是本发明实施例中常用共享介质系统的应用流程图6是本发明实施例中加密前的明文组播帧示意图7是本发明实施例中加密后的组播帧示意图8是本发明实施例中吉比特无源光网络帧结构；图9是本发明实施例中吉比特无源光网络关键字消息结构；图10是本发明实施例中以太网无源光网络关键字消息结构。具体实施例方式本发明实施例中提供了一种宽带接入网络组播控制系统，可应用于PON或常用共享介质等系统中，如图1所示，包括接入控制子系统100和用户子系统101、102、103。其中，接入控制子系统100包括关键字生成单元(KeyGeneratorUnit,KGU)AlOl、关键字分发单元(KeyDistributionUnit,KDU)A102、控制授权单元(ControlAuthorizationUnit,CAU)A103、数据力口密单元(DataEncryptionUnit,DEU)A104、数据发送单元(DataSendingUnit,DSU)A105、订阅管理单元(SubscriptionControlUnit、SCU)A106、数据接收单元(DataReceivingUnit,DRU)A107;用户子系统分别包括终端订阅单元(ClientSubscriptionUnit,CSU)B101、终端解密单元(ClientDecryptionUnit,CDU)B102、终端关键字单元(ClientKeyUnit,CKU)B103。接入控制子系统IOO可以实现在一台设备中，所述的设备包括DSLAM(DigitalSubscriberLineAccessMultiplexer,凄t字用户线才妻入复4妄器)、NAS(NetworkAccessServer,网络访问服务器)、边》彖路由器、基站等，也可以是多台设备组成(不同的单元分布在不同的设备上)；CSUB101与CDUB102和CKUB103可以分布在不同用户终端中，CDUB102和CKUB103—般集成在一个设备中。其中，KGUA101，用于生成组播加密关键字集合(MulticastEncryptionKey,MEK),该集合中包括一个或多个组播加密关键字，这些组播加密关键字与组播流标识相对应，MEK用于对组播帧进行加密或解密。组纟番帧的加密和解密关键字一般使用对称关键字，关键字(或称之为密钥)长度和类型根据具体实现决定，DEUA104用MEK对组播帧进4亍加密，用户子系统的CDUB102用MEK对加密后的组播帧进行解密，KGUA101—般通过伪随机函数(pseudo-randomfiinction，PRF)产生一个随机数，再根据此随机凄t生成MEK。KDUA102，用于管理MEK,包括维护MEK的状态、向用户子系统分发MEK、通知用户子系统刷新或切换MEK等，例如KDUA102向用户子系统的CKUB103分发MEK或KDUA102通知用户子系统的CKUB103进行MEK切换。分发MEK以及刷新切换MEK通知消息的实现协议可以根据具体实现决定，可以包4舌OMCI、IGMP、MLD、CAPWAP、MPCP(Multi-PointControlProtocol,多点控制协议)、OAM(OperationsAdministrationandMaintenance,操作维护管理)等，MEK可以使用接入控制子系统和用户子系统事先协商的点对点关键字加密后分发，所述的事先协商的点对点关键字包括预先共享(pre-shared)的点对点关键字、用户子系统通知给接入控制子系统的公用点对点关键字(public-key)等。在组播(或称多播)应用中，一个或者多个组播流共享一个MEK，所有合法的用户子系统(即组播成员)使用MEK解密组播帧。KDUA102管理维护的MEK如表1所示表1MEK状态表组播流标识MEK值MEK切换周期225.1.100.1MEK15分钟226.1.100.1MEK210分钟227.100,1.1/240x01-00-5E-00-01-10MEK36分钟其中227.100.1.0/24表示范围，表示227.100.1.0到227.100.1.255的所有组4番流标识。CAUA103,用于对用户子系统的订阅请求进行鉴权，例如通过组播权限控制表对用的组播请求进行控制，组播权限控制表2所示:表2组播权限控制表用户标识组播组权限用户A225.1.100.1允许224.100.1.1/24拒绝239.1.1.1，10.1.1.1允许用户BFF05:0:0:0:0:0:0:2拒绝组播权限控制表一般预先配置，通过组播权限控制表可以确定一个用户访问一个组播流或多个组播流的权限。DEUA104,用于加密组播帧，所述的组播帧指发往用户子系统的组播帧，DEUA104采用的加密方法(算法)可以根据具体的实现而定，如使用IPSec力口密、IEEE(InstituteofElectricalandElectronicsEngineers，电气和电子工禾呈师学会)802.1ae的MACSec加密、PON层加密、无线空口加密、SRTP(SecureReal-timeTransportProtocol,安全实时流传输协i义)力卩密等。DSUA105,用于发送数据，包括DEUA104加密后的组播帧、MEK分发或切换消息等。SCUA106，用于处理组播订阅请求，如处理用户子系统的CSUB101发送的IGMP或MLD报告(Report)消息，SCUAl06具体可以是一个IGMP/MLD探测(snooping)或代理(Proxy)。DRUA107,用于接收数据，包括接收来自组播源设备的组播帧、来自用户子系统的组播订阅请求等。本发明实施例在PON系统中的应用如图2所示PON由安装于中心控制站的光线踏4冬端(OpticalLineTerminals,OLT)、光配线网(OpticalDistributionNetwork,ODN)和安装在用户场所的光网络单元(OpticalNetworkUnit,ONU)三部分组成。在下行方向采用广播的方式传输数据帧，上行方向采用复用方式完成多个ONU的接入。接入控制子系统100为OLT设备，用户子系统IOI、102、103为ONU(ONT)设备和/或主机。CDUB102和CKUB103位于ONT中，CSUB101可以实现在ONT或主机中。KGUA101、KDUA102、CAUA103、DEUA104、DSUA105、SCUA106、DRUA107实现在OLT中。下面描述接入控制子系统100和用户子系统的处理。接入控制子系统100的处理包括控制面处理和数据面处理，其中数据面处理包括4矣入控制子系统1004妄收到组4番源发送的组l番流(MulticastFlow,MCFlow)，将组播数据流进行加密，然后将加密后的组播流转发至用户子系统，需要说明的是，对于一个PON接口，接入控制子系统100发送一份或者多份组播流，由于PON是广播发送的，因此所有的用户子系统都可以收到接入控制子系统发送的组播流。具体实现可以是DRUA107接收到组播源发送的组播流中的组播帧后，DRUA107将组播帧交给DEUA104进行力。密，DEUA104根据组播帧的组播流标识获取组播帧加密的MEK,然后按照对应的加密算法和MEK对组4番帧进行加密，DEUA104将加密后的组播帧交给DSUA105,DSUA105再根据组播转发表将组播帧转发出去，组播转发表一般由SCUA106建立和删除，组l番转发表包括流标识以及转发出口(例如端口)，所述的流标识可以从组播帧的IP或以太网首部的目的(即组播)地址字段中获取。接入控制子系统1OO的控制面处理包括接入控制子系统1OO接收到组播订阅请求，解析所述的订阅请求获取组播流标识等订阅参#:以及用户标识信息，然后才艮据所述的组纟番流标识获取该组播流标识对应的MEK,然后将该MEK分发到发起该订阅请求的用户子系统，同时建立组播转发表以及将用户子系统作为组播成员并记录其状态。优选的，接入控制子系统1OO接收到订阅请求后还包括对该订阅请求进行鉴^又处理，如果鉴权失败，则不分发MEK。具体实现可以是DRUA107接收到订阅请求消息后，DRUA107将该消息交给SCUA106处理，SCUA106解析该消息，获取订阅参数和用户标识信息，CAUA103根据SCUA106提供的订阅参数和用户标识信息进行鉴权处理，SCUA106通知KDUA102分发MEK。KDUA102首先才全查组纟番流标识的MEK是否已经存在，如果不存在则i青求KGUA101生成一个新的MEK。接入控制子系统100接收到组播订阅撤离，接入控制子系统100可以刷新或切换该订阅招t离包括的组播流标识对应的MEK。接入控制子系统100可以支持周期性的刷新MEK。刷新MEK具体可以是KDUA102请求KGUA101生成一个新的MEK，然后将MEK保存起来，同时将MEK通过MEK分发协议消息发送到用户子系统。用户子系统的处理包括控制面处理和数据面处理，其中数据面处理包括用户子系统接收到接入控制子系统100发送的加密后的组播帧，根据所述的组播帧的组播流标识获取对应的MEK，然后使用MEK解密所述加密后的组播帧，具体实现可以是用户子系统的CDUB102根据组播流标识，从CKUB103中获取MEK。用户子系统的控制面处理包括用户子系统接收到接入控制子系统100发送的MEK分发消息或切换消息，CKUB103根据该消息保存MEK或进行MEK切换。用户子系统可以支持才艮据组4番流中的组播帧的切换标识进行MEK切换，也可以根据时间定时切换。用户子系统向接入控制子系统100发送订阅请求或撤离消息，通知接入控制子系统100进行订阅或撤离处理。本发明实施例在PON系统中的处理如图3所示，4妄入控制子系统100为OLT设备，用户子系统为ONU(ONT)设备和/或主机，主要包括以下步骤S301，用户子系统开始组播订阅请求，例如主机发送加入(Join)请求，具体如主机的CSUB101发送IGMP或MLD报告(REPORT)消息，订阅请求可以包含订阅参数、用户标识信息等，用户标识信息具体包括主机的IP地址、MAC地址、终端标识等。订阅参数包括组播流标识，例如组播组地址。5302,接入控制子系统进行订阅请求处理。OLT的DRUA107接收到加入请求消息，交由SCUA106处理订阅请求，如解析IGMP或MLD报告消息，获取订阅参数和用户标识信息，用户标识信息还可以包括OLT接收到所述的加入请求消息的OLT设备端口，CSUB101通知CAUA103对用户子系统的订阅请求进行鉴权，如果鉴权成功，则通知KDUA102给用户终端分发MEK,同时SCUA106配置组播转发表，将用户子系统的用户标识作为组播成员增加到组播成员状态记录中。CAUA103的鉴权具体包括CAUA103才艮据用户的订阅参数和用户标识信息，查验用户的组播权限控制表，如组播ACL表，用户订阅的组纟番流标识对应的权限为允许，则鉴—又成功。5303,OLT分发MEK。OLT的KDUA102根据用户标识信息获耳又发送该订阅请求的用户子系统对应的CKUB103所在设备的标识，如ONU标识(ID)或GEMPORT信息或ONU的MAC地址或LLID(逻辑链^各标识)，OLT的KDUAl02将MEK通过MEK分发协i义消息发送到用户子系统。OLT可以通过点对点关键字对MEK或MEK分发协议消息进行加密。MEK分发协议消息可以包括组播流标识、加密算法，进一步可以包括时间戳(timestamp)。例如OLT采取OMCI分发MEK,KDUA102将MEK作为OMCI的ME(ManageEntity,管理实体)封装到OMCI消息中，发送OMCI设置(Set)消息(OMCI消息中的消息类型编码为8)到指定的ONU，具体可以是在OMCI定义一个多4番关4建字ME(Multicastkeyinfo),多4番关4建字ME对应一个类型编号(classvalue，对应于MessageIdentifier前两位)，多4番关4建字ME包括:纟Ji番流标识、MEK值、加密类型。组纟番流标识对应组纟番帧的标识，可以是一个组插-地址或一个时间戳或端口标识(PORTID)。5304,用户子系统受理MEK。ONU接收到MEK分发协议消息，解析该消息获取MEK,然后存储MEK以及对应的信息，例如组播流标识、加密类型，时间戳等。5305,4妄入控制子系统加密组4番流。OLT的DEUA104加密DRUA107接收到的组播帧，DRUA107接收上行设备(例如IP边缘设备)发送的组播帧，获取的组播帧的组播流标识，根据组播流标识获取MEK,DEUA104加密算法(类型)可以协定，本实施例中，DEUA104实现PON的AES等算法加密ATM或GEM帧或以太网帧的凄t据载荷(payload)部分。5306,接入控制子系统转发组播帧。OLT的DSUA105将加密后的组播帧向用户子系统发送出去，DSUA105根据SCUA106配置的组播转发表转发加密后的组播帧，即DSUA105只将组播帧发往已经存在用户子系统(组播成员)的PON端口。5307,用户子系统解密组^番帧。ONU的CDUB102根据CKUB103的MEK解密接收到的组播帧，然后将解密后的组播帧发往主机。本发明实施例二中，PON系统的MEK刷新或切换应用图，接入控制子系统100为OLT设备，用户子系统101、102、103为ONU(ONT设备和/或主机，OLT设备使用MEK分发或切换协议消息通知ONU/ONT。流程如图4所示，主14要包括以下步骤S401，接入控制子系统;险测MEK刷新或切换事件，触发MEK刷新或切换。OLT的KDUA102检测MEK切换事件，MEK刷新或切换事件包括定时(period)触发刷新或切换事件、接入控制子系统100接收到订阅撤离(例如组播成员离开)触发(如SCUA106收到用户的IGMP离开消息)。S402,接入控制子系统进行MEK刷新或切换。OLT的KDUA102检测到MEK刷新或切换事件，开始MEK刷新或切换、OLT的KDUA102—次可以刷新或切换一个或多个组^番流的MEK,OLT的KDUA102通知KGUA101生成一个或多个MEK,然后KDUA102获取KGUA101生成的MEK，OLT的KDUA102向SCUA106查询待刷新或切换MEK的组播成员状态记录，KDUA102将新的MEK以及组播流标识或切换标记封装到MEK分发或切换协议消息，然后使用MEK分发或切换协议消息向组播成员记录中的用户子系统成员通知新的MEK或切换MEK。所述的切换标记包括时间或帧标记，用于指示用户子系统的CDUB102启用新的MEK进行解密组播帧，例如GPON系统中的超帧(Ident)中的复帧计数器值。S403，用户子系统进行MEK切换或刷新处理。ONU接收到MEK分发或切换协议消息(例如OAM消息)，解析该消息，获:又新的MEK或切换MEK的切换标记，然后存储新的MEK或切换MEK的切换标记。S404，接入控制子系统使用新的MEK加密组播帧。OLT的DEUA104切才灸到新的MEK加密组〗番帧，例如在约定时间-使用新的MEK加密DRUA107接收到的组播帧。5405,接入控制子系统转发加密后的组播帧。OLT的DSUA105将加密后的组播帧向用户子系统发送出去。5406,用户子系统使用新的MEK解密组播帧。例如ONU的CDUB102在约定时间使用CKUB103中新的MEK解密接收到的组播帧，然后将解密后的组播帧发往主机。本发明实施例三，常用共享介质系统的应用图，接入控制子系统100为接入设备，如DSLAM或IP边缘设备，用户子系统101、102、103为RG和/或主机，DSLAM或IP边缘设备以及RG支持IPSec加密或MACSec加密或SRTP,组播流实现IPSec加密或MACSec加密或SRTP力。密，IPSec加密时可以只需要使用ESP,MEK分发或切换消息的实现协议不限，例如SNMP协议或CAPWAP(ControlAndProvisioningofWirelessAccessPoints,无线i方问点4空制和部署协议)或TR-069或IKE。流程如图5所示，包括以下步骤S501,IP边缘设备或DSLAM的DSUA105收到订阅请求，开始处理订阅请求(例如通知KDUA102给用户终端分发MEK,同时SCUA106配置组播转发表，记录组播成员状态)。所述的订阅请求可能来源于应用服务器(例如AAA服务器或策略控制器或网管服务器)中转的，IP边缘设备或DSLAM的DSUA105收到的订阅请求由于经过应用服务器中转的，所以可以不需要继续对订阅请求进行鉴权，订阅请求可以包括发放的组播流标识和用户标识信息，组播流标识包括组纟番组地址，用户标识信息包括端口、终端或主才几的地址等。此时IP边缘设备或DSLAM可以没有CAUA103和不具备鉴一又功能。S502，IP边缘设备或DSLAM的KDUA102分发MEK,即将MEK通知给用户子系统，IP边缘设备或DSLAM的KDUA102将MEK或组播流标识等信息封装到MEK分发消息中，发送该消息到用户子系统。组播流标识包括组4番组IP地址、组I番MAC地址、SPI等，KDUA102分发MEK—般采耳又安全通道，即KDUA102使用点对点关键字加密MEK或MEK分法消息后才发送出去。5503,受理MEK。RG接收到IP边缘设备或DSLAM的KDUA102的MEK分法消息，获取MEK交由CKUB103处理，例如保存MEK信息。5504,IP边缘设备或DSLAM的DEUA104加密组播组帧，例如IP边缘设备或DSLAM的DEUA104可以使用IPSec的ESP加密，也可以使用MACSec加密，优选的使用IPSec的ESP加密，加密组播帧的MEK根据组播流标识/人KDUA102获耳又。5505,IP边桑彖i殳备或DSLAM的DSUA105将加密后的组纟番帧向用户子系统发送出去。5506,RG的CDUB102根据CKUB103的MEK解密接收到的组播帧，然后将解密后的组播数据帧发往主机。5507,IP边缘设备或DSLAM的KDUA102检测MEK刷新或切换事件，MEK刷新或切换事件包括定时触发切换事件、订阅撤离触发、管理操作指令触发。需要说明的是，如果是订阅撤离触发，IP边缘设备或DSLAM会将用户子系统作为组播成员从组播成员状态记录中删除。5508,IP边缘设备或DSLAM的KDUA102检测到MEK刷新或切换事件，开始MEK刷新或切换、发送MEK刷新或切换消息，通知该组纟番组的所有用户子系统新的MEK或切换标记，A102KDU需要4艮据DSUA105保存的该组4番成员状态记录逐一通知，一4殳的，一个组播组的成员对应一个用户子系统。5509,RG4妄收到IP边纟彖i殳备或DSLAM的KDUA102的MEK刷新或切换消息，获取新的MEK或切换标记交由CKUB103处理(例如保存)。S510，启用新的MEK加密组播帧。例如IP边缘设备或DSLAM的DEUA104在约定时间使用新的MEK加密DRUA107接收到的组播帧，DEUA104可以在加密的组播帧中设置MEK切换标记。S511，IP边缘设备或DSLAM的DSUA105将加密后的组播帧向用户子系统发送出去。S512，用户子系统使用新的MEK解密组纟番帧。例如RG的CDUB102在约定时间或才艮据加密组播帧的切换标记使用B103CKU中新的MEK解密才妻收到的组播帧，然后将解密后的组播帧发往主机。本发明实施例四详细描述采用IPSecESP加密和解密组纟番帧的方法，加密组播帧指将明文组播帧经过数据计算后转换成密文组播帧，解密组播帧指将密文组^"帧经过数据计算后还原成明文组播帧。在本实施例中，4妄入控制子系统接收到的组播源发送的组播帧为明文组播帧，组播帧一般包括IP载荷603和IP首部602,如图6所示，IP载荷603包括的是组播业务凄史据604，IP首部602包括目的IP(DestinationAddress)602A和源IP(SourceAddress)602B,目的IP602A—般是一个组4番组地址，源IP(SourceAddress)602B17是发送组播帧的源设备的IP地址。IP首部602之前还可以包括链路层首部601,如以太网首部。IPSec加密组播帧可以使用隧道模式和透明模式，优选使用透明模式，如图7所示，使用IPSec透明模式加密后的组播帧包括包括IP载荷703和IP首部702以及ESP首部705,IP首部702之前还可以包括链i各层首部701，如以太网首部。IP载荷703包括的是密文的组播业务凄t据704。ESP首部705包括SPI(SecurityParametersIndex,全参数索^1)705A和/或序列号(SequenceNumber)705B。接入控制子系统的DEUA104加密组播帧具体包括1、接收到组播帧，例如DRUA107接收到如图6所示的组播帧交给DEUA104,DEUA104解析组播帧，获取IP载荷部分保护的组播业务数据以及IP首部；2、DEUA104根据IP首部的目的IP和/或源IP作为组播流标识，获取该流标识对应的MEK,使用指定的算法将组播业务数据和MEK进行计算得到密文组播业务数据；3、创建ESP首部，包括生成SPI以及序列号域等，SPI以及序列号可以作为MEK切换标记，A104DEU可以通过改变SPI或序列号4直指示MEK切换；4、将明文组播帧的IP首部、新创建的ESP首部、密文组播业务数据按照标准的格式重组成组播帧，如图7所示的格式，详细重组才各式请参见RFC标准，例如RFC2406,链^各层首部可以是明文组播帧的链路层首部，也可以是重新构造的链路层首部。用户子系统的CDUB102解密组播帧具体包括1、接收到密文组播帧，例如ONU接收到如图7所示的组播帧，解析组播帧以及获取IP载荷包含的密文组播业务数据、ESP首部以及IP首部；2、根据IP首部和/或ESP首部获取组播流标识，根据组4番流标识获取解密的MEK，然后将MEK和密文组播业务数据计算得到还原的明文组纟番业务数据，B102CDU可以根据IP首部的IP地址或SPI或序列号值或时间戳获取MEK;3、将从密文组播帧得到的IP首部和明文组播数据等生成明文组播帧，链路层首部可以是密文组播帧的链路层首部，也可以是重新构造的链路层首部。本发明实施例五详细描述采用吉比特的无源光网络(GPON)加密和解密组4番帧的方法，如图8所示。在GPON应用中，OLT可以加密吉比特的无源光网络封装(GEM)载荷或以太网载荷。GPON组播顿包括物理层控制块(PCBd)和GPON的帧净荷。物理层控制块(PCBd)进一步包括物理层同步(Psync)和超帧指示(Ident),GPON帧净荷包括GEM首部和GEM载荷，GEM首部包括端口标识(PortID)和载荷指示(PTI),GEM载荷包括以太网首部和以太网载荷，以太网首部包4舌目的i也址和源i也址，以太网载荷还进步一歹口J"巴3吝丄P—自哪，化取何。LrFUJN組箭恢的》1L孑不识口J"田卜歹'J参#1中的至少一个组成GEM首部的端口标识(PortID)、以太网首部的目的地址、以太网首部的源地址、IP首部的目的地址、IP首部的源地址等。超帧指示(Ident)包括了帧计数器，超帧指示可以用于帧的MEK切换标记。本发明实施例六详细描述采用吉比特的无源光网络(GPON)使用OAM消息分发和切换MEK的消息，如图9所示，OAM的帧结构，其包括ONU标识(ONU-ID)、消息标识(Message-ID)、数据(data)及循环冗余码(CyclicRedundancyCode，CRC)。MEK分发消息格式见表3:表3MEK分发消息格式<table>tableseeoriginaldocumentpage19</column></row><table>MEK信息具体封装格式视具体实现而定，MEK信息可以<吏用多个OAM消息携带。MEK切换消息才各式见表4:表4MEK切换消息格式<table>tableseeoriginaldocumentpage20</column></row><table>本发明实施例七详细描述采用以太网的无源光网络(EPON)使用OAM消息分发和切换MEK的消息，如图10所示，EPON采用OAM实现MEK分发或切换消息的帧结构，包括目的地址、源地址、消息类型、组播流标识、MEK。目的地址为用户子系统的ONU地址，源地址为OLT地址、消息类型用于识别MEK分发或切换消息、组纟番流标识包括组纟番地址、LLD等。本发明的实施例中，在广播式(共享介质)接入应用中，授权用户才能爿使用组播业务数据，防止非法用户使用组播业务。加强了在共享介质4妄入的组播安全控制，杜绝了未授权或恶意访问，保护了运营商的投资。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬_件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求1、一种宽带接入网络组播控制系统，其特征在于，包括接入控制子系统，用于生成组播加密关键字，将所述组播加密关键字发送给用户子系统，并在接收到用户子系统发送的订阅请求后，利用所述组播加密关键字对发往用户子系统的组播帧进行加密，将所述加密过的组播帧发送到所述用户子系统；用户子系统，用于向所述接入控制子系统发送订阅请求来请求组播帧，根据接收的接入控制子系统发送的组播加密关键字解密接收到的所述接入控制子系统加密过的组播帧。2、如权利要求l所述宽带接入网络组播控制系统，其特征在于，所述接入控制子系统包括关键字生成单元，用于生成组播加密关键字集合，所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识；关键字分发单元，用于向用户子系统发送所述关键字生成单元生成的组播加密关键字；数据接收单元，用于接收来自组播源设备的组播帧以及来自用户子系统的组播订阅请求，并将所述组播帧发送到数据加密单元；数据加密单元，用于从组播订阅请求中解析出的组播流标识，根据所述组播流标识从所述关键字生成单元的组播加密关键字集合中获取组播加密关键字，并利用所述关键字生成单元生成的组播加密关键字及对应的加密算法对发往用户子系统的组播帧进行加密，并将加密过的组播帧发送到数据发送单元；数据发送单元，用于确定所述数据接收单元接收到用户子系统发送的订阅请求后，根据组播转发表向用户子系统发送所述数据加密单元加密过的组播帧。3、如权利要求2所述宽带接入网络组播控制系统，其特征在于，所述接入控制子系统还包括订阅管理单元，用于接收所述数据接收单元的用户子系统的组播订阅请求后建立所述组播转发表，接收到用户子系统的撤离请求时，删除所述组播转发表。4、如权利要求2所述宽带接入网络组播控制系统，其特征在于，所述关一睫字分发单元还用于检测到关键字刷新或切换事件，通知所述关键字生成单元生成一个或多个组播加密关键字，将新的组播加密关键字通知用户子系统。5、如权利要求4所述宽带接入网络组播控制系统，其特征在于，所述刷新或切换事件包括定时触发、或接收到所述接入控制子系统发送的订阅撤离请求。6、如权利要求2所述宽带接入网络组播控制系统，其特征在于，所述接入控制子系统还包括控制授权单元，用于根据组播订阅请求中的订阅参数和用户标识信息对发送所述订阅请求的用户子系统进行鉴权，确定所述用户子系统访问组播流的斗又限。7、如权利要求1至4中任一项所述宽带接入网络组播控制系统，其特征在于，所述接入控制子系统为光线路终端OLT,所述用户子系统为光网络单元ONU或主4几；或所述接入控制子系统为IP边缘设备或数字用户线接入复用器DSLAM;所述用户子系统为RG或主机。8、一种宽带接入网络组播控制方法，其特征在于，包括以下步骤生成并分发组播加密关键字集合，所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识；接收到订阅请求后，利用所述组播加密关4建字对组播帧进行加密；发送所述加密过的组播帧，所述加密过的组播帧能用所述组播加密关键字进行解密。9、如权利要求8所述宽带接入网络组播控制方法，其特征在于，所述利用所述组播加密关键字对组播帧进行加密具体包括从组播订阅请求中解析出组播流标识；根据所述组播流标识从所述组播加密关键字集合中获取组播加密关键字；利用所述组播加密关键字及对应的加密算法对组播帧进行加密。10、如权利要求8所述宽带接入网络组播控制方法，其特征在于，所述生成并分发组播加密关键字之后还包括冲企测到关键字刷新或切换事件，更新所述组播加密关键字。11、如权利要求10所述宽带接入网络组播控制方法，其特征在于，所述刷新或切换事件包括定时触发、或接收到订阅撤离请求。12、一种接入控制装置，其特征在于，包括关键字生成单元，用于生成组播加密关键字集合，所述组播加密关键字集合包括至少一个组播加密关键字及对应的组播流标识；关键字分发单元，用于向用户子系统发送所述关键字生成单元生成的组播加密关键字；数据接收单元，用于接收来自组播源设备的组播帧以及来自用户子系统的组播订阅请求，并将所述组播帧发送到数据加密单元；数据加密单元，用于从组播订阅请求中解析出的组播流标识，根据所述组播流标识从所述关键字生成单元的组播加密关键字集合中获取组播加密关键字，并利用所述关键字生成单元生成的组播加密关键字及对应的加密算法对发往用户子系统的组播帧进行加密，并将加密过的组播帧发送到数据发送单元；数据发送单元，用于确定所述数据接收单元接收到用户子系统发送的订阅请求后，根据组播转发表向用户子系统发送所述数据加密单元加密过的组播帧。13、如权利要求12所述接入控制装置，其特征在于，所述接入控制子系统还包才舌订阅管理单元，用于接收所述数据接收单元的用户子系统的组播订阅请求后建立所述组播转发表，接收到撤离请求时，删除所述组播转发表(全文摘要本发明实施例公开了一种宽带接入网络组播控制系统、方法及设备，该系统包括接入控制子系统，用于生成组播加密关键字，将所述组播加密关键字发送给用户子系统，并在接收到用户子系统发送的订阅请求后，利用所述组播加密关键字对发往用户子系统的组播帧进行加密，将所述加密过的组播帧发送到所述用户子系统；用户子系统，用于向所述接入控制子系统发送订阅请求来请求组播帧，根据接收的接入控制子系统发送的组播加密关键字解密接收到的所述接入控制子系统加密过的组播帧。本发明在广播式(共享介质)接入应用中，授权用户才能使用组播业务数据，防止非法用户使用组播业务，增强了组播权限控制的安全性。文档编号H04L9/00GK101547086SQ20081008579公开日2009年9月30日申请日期2008年3月24日优先权日2008年3月24日发明者阳振庭申请人:华为技术有限公司