专利名称:一种加密组播数据的方法和系统的制作方法
技术领域:
本发明涉及通信技木,特别涉及组播通信技术,具体地讲是ー种加密组播数据的方法和系统。
背景技术:
在视频点播、电话会议、IPTV等业务中应用中需要组播协议的支持,比如PM组播协议等。PIM协议又可分为PIM DM协议(Protocol Independent Multicast-Dense Mode,协议无关组播一密集模式)和PIM SM协议(Protocol Independent Multicast-Sparse Mode,协议无关组播一稀疏模式)。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密是传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿,它用于保护通信节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。与链路加密类似的节点加密方法,是在节点处采用一个与节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受攻击的缺点。端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。端到端加密是在应用层完成的。为了实现组播数据的安全或者实现特殊业务的运营,一些组播业务组织者或者服务提供商会对指定业务加密,比如安全级别较高的电话或者视频会议,付费的点播电视节 目。对于运营商级别或者ー些大型运营企业来说,对于这些需要加密的服务一般都是通过在鉴权服务器上进行终端身份认证识别来获取访问权限,或者是在源端直接通过加密服务器对数据加密后再进行传输。而相对来说ー些中小型企业用户,正常情况可能不需要对业务进行加密,所以没必要在所有終端和传输节点处增加鉴权服务器或者加密服务器,这样会增加网络建设成本和运营维护成本。如果是非运营商网络或者大型企业网络,如果要进行一些涉及安全性的多方电话和视频会议,或者是其他重要性数据内容传输时,可能就需要对传输的语音和视频或者是数据进行加密。当前可能的几种解决方案如下I)在传输安全信息的源端増加加密服务器,对发送数据进行加密后再发送,然后在各接收端增加解密服务器对数据进行解密后再识别;2)需要參与安全性内容交互的用户终端增加身份鉴权服务器,对用户访问权限进行限制;3)在各节点增加加密服务器,进行链路加密,确保数据在各链路段间传输安全;上述的几种可能的解决方案存在如下几个问题问题I :都需要增加额外的服务器设备进行身份验证识别或者数据的加密和解密工作,需要增加网络建设成本和运营;问题2 :如果通过链路加密方式,不仅需要増加服务器,而且每个节点都需要进行解密和加密的过程,影响了数据的整体传输效率。
发明内容
有鉴于此,本发明提供ー种加密组播数据的方法和系统,在于不增加额外服务器的前提下,实现组播数据的加密/解密转发。为实现上述发明目的本发明提供了ー种加密组播数据的方法,其中指定路由器DR周期性发送特定组播组的加密请求信息至自举路由器BSR ;该BSR根据该加密请求信息确定需要加密的特定组播组,广播携帯特定组播组的加密密钥的更新状态的自举报文;协议无关组播PM路由器收到携帯特定组播组的加密密钥的更新状态自举报文, 记录特定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表;该DR收到组播数据且确定收到的组播数据属于特定组播组,则查询收到的组播组数据所属特定组播组的加密密钥,根据查询的加密密钥将收到的组播数据加密,将加密后的组播数据转发到下游的该PIM路由器;该PM路由器接收加密的组播数据,确定加密的组播数据所属的特定组播组存在接收者,则查询加密的组播数据所属的特定组播组的加密密钥并解密收到的组播数据,查找组播数据对应的出接ロ,复制并转发解密后的组播数据至接收者。为实现上述发明目的本发明还提供ー种加密组播数据的系统,该系统包括自举路由器BSR,指定路由器DR以及协议无关组播PIM路由,该DR,用于周期性发送特定组播组的加密请求信息至该BSR ;该BSR,用于根据该加密请求信息确定需要加密的特定组播组,广播携带特定组播组的加密密钥的更新状态的自举报文;该P頂路由器,用于收到携帯特定组播组的加密密钥的更新状态自举报文,记录特定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表;该DR,用于收到组播数据且确定收到的组播数据属于特定组播组,则查询收到的组播组数据所属特定组播组的加密密钥,根据查询的加密密钥将收到的组播数据加密,将加密后的组播数据转发到下游的该P頂路由器;该P頂路由器,用于接收加密的组播数据,确定加密的组播数据所属的特定组播组存在接收者,则查询加密的组播数据所属的特定组播组的加密密钥并解密收到的组播数据,查找组播数据对应的出接ロ,复制并转发解密后的组播数据至接收者。本发明的有益效果在于,仅在组播源入网络设备,即DR进行加密操作,只有用户出接ロ的PIM路由器才对组播数据解密,对于中间网络来说,无需任何加密和解密操作,只做普通数据的转发,不会有任何性能方面影响。
图I是本发明实施例提供的组播网络的示意图。图2是本发明实施例定义的BSR报文的示意图。图3是本发明实施例提供的DR设备启动组播组的加密请求的流程图。图4是本发明本实施例定义组播组加密申请消息报文的示意图;图5是BSR收到组播组加密申请报文的处理流程示意图;图6是PM路由器生成密钥列表的处理流程图;图7是DR路由器发送加密组播数据的流程图;图8是PM路由器处理加密的组播数据的流程示意图
具体实施例方式图I所示本发明实施例提供的加密组播数据的组播系统的示意图。如图I所示,该组播网络与已有的组播网络架构相同,本实施例中C-BSR的选举机制以及C-RP的选举机制与已有组播技术相同。本发明实施例在不改变已有组播网络架构的条件下,不增加任何服务器,实现对组播数据的加密/解密传输。需要说明的是,已有组播网络中所有路由器都是PIM(协议无关组播,Protocol Independent Multicast)路由器,而DR (指定路由器,Designated Router),,RP(汇集路由器,Rendezvous Point)以及 BSR(自举路由器,BootStrap Router等是PIM路由器中的对应状态角色名称。当图I所示系统组播网络中各C-BSR (候选BSR)之间完成BSR选举后,选举出的BSR会向所有PIM路由器发送初始化状态的自举BSR消息。本实施例在RFC2362定义的BSR自举报文基础上,定义三种BSR报文初始化状态的BSR报文,保持状态的BSR报文及更新状态的BSR报文
图2所示为本发明实施例定义的BSR报文的示意图;初始化状态的BSR报文中,Type字段后reserved字段值为O, Frag RP-Cnt-I字段后的reserved字段为默认空;保持状态的BSR报文中,Type字段后reserved字段值为I, Frag RP-Cnt-I字段后的reserved字段为加密密钥encrypt_key ;更新状态的BSR报文中,Type字段后reserved字段值为2,Frag RP-Cnt-I字段后的reserved字段加密key。其中,加密密钥是根据是通过需要加密的组播组的信息(组播组地址信息)和DR信息通过加密算法计算的内容。本实施例中,更新状态的BSR报文以及保持状态的BSR报文,每个组播组组的预留Reserved字段(例如,RPl-Priority字段后的Reserved字段)无需使用。图3所示为本发明实施例提供的DR设备启动组播组的加密请求的流程示意图,DR路由器收到BSR发出的初始化状态的BSR报文则启动组加密申请报文发送,为了避免网络中报文过多造成网络带宽浪费,这里DR的组加密申请消息报文仅周期性地向BSR单播发送,此时本地BSR和RP信息设置为临时表项。本实施例中,假设需要对组播地址为224. I. I. I组播组Gl加密时,在DR设备上下发对 Gl カロ密请求命令 multicast group encrypt224. I. I. I。本实施例中,提供了在DR上下发加密请求命令multicast groupencrypt [Group-address I Any],用于配置管理开启特定需要加密的组播组。Group-address參数表示指定需要加密的组播组,Any參数表示所有组加密。因此,本实施例可以在DR设备上下发对所有组播组加密请求的命令,可以在DR设备上下发对多个组播组加密请求的命令。图4所示为本发明本实施例定义组播组加密申请消息报文,用于DR设备通知BSR哪些特定组需要进行加密。本实施例利用RFC2362定义的空注册报文,定义Type字段值为10时为特定组加密申请报文,定义Type字段后的Reserved字段值为O时表示无特定组加密报文,定义Type字段后的Reserved字段值为I时表示特定组加密报文,定义Type字段后的Reserved字段值为2时表示所有组加密报文;第ニ个Reserved字段为需要加密的组播组个数;Multicast data packet字段通过TLV编码方式定义需要加密的组播组。当定义Type字段后的Reserved字段值为2时,第二个Reserved字段为O,Multicast data packet字段为空;即对所有组播组进行加密的条件下,无需指定需要加密的组播组的个数,也无需指定加密的特定组播组。图5所示,BSR收到组播组加密申请报文的处理流程示意图;BSR收到DR路由器的组加密申请消息报文后,根据消息报文中的组信息和DR信息生成加密的encrypt_key添加在BSR报文的Encoded-Group Address段的Reserved字段中,如图5所示,加密密钥添加在Encoded-Group Address-I段的Frag RP-Cnt-Ι字段后的Reserved字段中,用于区分组播组的密钥。因为本实施例是将相应的组播组进行加密传输,与RP信息无关,因而各RP段的Reserved字段无需使用。BSR将BSR报文Type字段后的Reserved字段值设置为2,生成更新状态的BSR消息,再广播给组播网络中的PIM路由器。BSR收到DR路由器的组加密申请消息报文后,判断需要的加密的组播组没有发生变化,则将BSR报文Type字段后的Reserved字段值为1,生成保持状态的BSR报文,广播给组播网络中的P頂路由器。本实施例中,BSR广播的保持状态的BSR报文是否携帯密钥要根据之前状态来确 定。如果BSR确定之前无需要加密的组播组,则广播不携带加密加密密钥的保持状态BSR报文;如果BSR确定之前有特定的组播组需要加密,则广播携带了加密密钥的保持状态的BSR报文,而这些加密密钥为之前需要加密的特定组播组的加密密钥。图6所示为PM路由器生成密钥列表的处理流程。当PM路由器收到BSR广播为初始化状态的BSR报文吋,生成临时的BSR列表和RP ;PIM路由器收到BSR广播的更新状态的BSR报文。当生成获取BSR信息中的对应的组播组encrypt_key字段,记录各组播组对应的加密密钥并生成正式的BSR列表和RP列表。本实施例中,PM路由器记录的加密密钥如表I所示
权利要求
1.ー种加密组播数据的方法,其特征在于,所述方法包括指定路由器DR周期性发送特定组播组的加密请求信息至自举路由器BSR ;所述BSR根据所述加密请求信息确定需要加密的特定组播组,广播携带特定组播组的加密密钥的更新状态的自举报文;协议无关组播PM路由器收到携帯特定组播组的加密密钥的更新状态自举报文,记录特定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表;所述DR收到组播数据且确定收到的组播数据属于特定组播组,则查询收到的组播组数据所属特定组播组的加密密钥,根据查询的加密密钥将收到的组播数据加密,将加密后的组播数据转发到下游的所述PM路由器;所述PM路由器接收加密的组播数据,确定加密的组播数据所属的特定组播组存在接收者,则查询加密密钥并解密收到的组播数据,查找解密后的组播数据对应的出接ロ,复制并转发解密后的组播数据至接收者。
2.根据权利要求I所述的方法,其特征在于,所述方法包括所述PIM路由器接收加密的组播数据,确定加密的组播数据所属的特定组播组不存在接收者,则根据组播路由转发加密的组播数据。
3.根据权利要求I所述的方法,其特征在于,所述方法包括所述DR发送所有组播组的加密请求信息至自举路由器BSR ;所述BSR根据所述加密请求信息确定需要加密的组播组,广播携带所有组播组的加密密钥的更新状态的自举报文;所述PIM路由器收到携帯特定组播组的加密密钥的更新状态自举报文,记录所有组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表。
4.根据权利要求I所述的方法,其特征在于,所述方法包括所述DR周期性发送特定组播组的加密请求信息至自举路由器BSR ;所述BSR根据所述加密请求信息确定需要加密的组播组未变化,广播保持状态的自举报文;所述PIM路由器接收所述保持状态的自举报文不更新已记录的特定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表。
5.根据权利要求I所述的方法,其特征在于,所述方法包括所述DR收到组播数据且确定收到的组播数据不属于需要加密的特定组播组,则将收到的组播数据转发到下游的所述PM路由器。
6.根据权利要求I所述的方法,其特征在于,所述指定路由器DR收到所述BSR广播的初始化状态的BSR报文,则周期性发送加密请求信息至自举路由器BSR ;所述PIM路由器接收所述BSR广播的初始化状态的BSR报文,则生成临时的BSR列表和RP列表。
7.ー种加密组播数据的系统,所述系统包括自举路由器BSR,指定路由器DR以及协议无关组播PM路由器,其特征在干,所述DR,用于周期性发送特定组播组的加密请求信息至所述BSR ;所述BSR,用于根据所述加密请求信息确定需要加密的特定组播组,广播携帯特定组播组的加密密钥的更新状态的自举报文;所述PIM路由器,用于接收携帯特定组播组的加密密钥的更新状态自举报文,记录特定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表;所述DR,用于 接收组播数据且确定收到的组播数据属于特定组播组,则查询加密密钥,根据查询的加密密钥加密收到的组播数据,将加密后的组播数据转发到下游的所述PM路由器;所述PIM路由器,用于接收加密的组播数据,确定加密的组播数据所属的特定组播组存在接收者,则查询加密密钥并将加密的组播数据解密,查找组播数据对应的出接ロ,复制并转发解密后的组播数据至接收者。
8.根据权利要求7所述的系统,其特征在干,所述PIM路由器,用于接收加密的组播数据,确定加密的组播数据所属的特定组播组不存在接收者,则根据组播路由转发加密的组播数据。
9.根据权利要求7所述的系统,其特征在于,所述方法包括所述DR,用于发送所有组播组的加密请求信息至自举路由器BSR ;所述BSR,用于根据所述加密请求信息确定需要加密的组播组,广播携帯所有组播组的加密密钥的更新状态的自举报文;所述PIM路由器,用于接收携帯特定组播组的加密密钥的更新状态自举报文,记录所有组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表。
10.根据权利要求7所述的系统,其特征在于,所述方法包括所述DR,用于周期性发送特定组播组的加密请求信息至自举路由器BSR ;所述BSR,用于根据所述加密请求信息确定需要加密的组播组未变化,则广播保持状态的自举报文;所述PIM路由器,用于收到保持状态的自举报文,确定不更新已记录的特定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表。
11.根据权利要求7所述的系统,其特征在于,所述方法包括所述DR,用于接收组播数据且确定收到的组播数据不属于需要加密的特定组播组,则将收到的组播数据转发到下游的所述PIM路由器。
12.根据权利要求7所述的系统,其特征在干,所述BSR,用于广播的初始化状态的BSR报文所述DR,用于接收所述初始化状态的BSR报文,且根据收到的所述初始化状态的BSR报文启动周期性发送加密请求信息至自举路由器BSR ; 所述PM路由器,用于接收所述初始化状态的BSR报文,且根据收到的所述初始化状态的BSR报文生成临时的BSR列表和RP列表。
全文摘要
本发明提供了一种加密组播数据的方法和系统,其中该方法包括指定路由器DR周期性发送特定组播组的加密请求信息至自举路由器BSR;BSR根据加密请求信息确定需要加密的特定组播组,广播更新状态的自举报文;PIM路由器收到更新状态的自举报文,记录特定组播组的密钥并生成正式的BSR和RP列表;DR收到组播数据且确定收到的组播数据属于特定组播组,则查询加密密钥,将收到的组播数据加密,将加密后的组播数据转发到下游的PIM路由器;PIM路由器接收加密的组播数据,确定存在接收者,则查询加密密钥并解密收到的组播数据,复制并转发解密后的组播数据至接收者。
文档编号H04L29/06GK102833230SQ20121027163
公开日2012年12月19日 申请日期2012年7月31日 优先权日2012年7月31日
发明者廖以顺, 林日锋 申请人:杭州华三通信技术有限公司