实现组播认证及计费的方法和设备的制作方法

专利名称：实现组播认证及计费的方法和设备的制作方法
技术领域：
本发明涉及通信领域，更具体地说，本发明涉及在接入网中实现组播认证及在此基础上实现计费的方法和设备。
背景技术：
作为一种与单播和广播并列的通信方式，组播技术有效地解决了单点发送多点接收的问题，能够大量节约网络带宽，降低网络负担。更重要的是，可以利用网络的组播特性方便地提供一些新的增值业务，例如在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等。
但是，目前组播的运营还存在一定的困难，主要是缺乏有效的用户管理功能，主要包括认证问题由于组播协议，如互联网组管理协议(Internet GroupManagement Protocol，IGMP)，不提供用户认证功能，用户可随意地加入或离开，导致不能对用户进行组播业务的接入控制，用户可以进行针对网络带宽的拒绝服务(Denial Of Service，DoS)攻击，从而浪费网络带宽；计费问题IGMP不涉及计费，因为组播源无法得知用户何时加入或离开组播组。
虽然可以在上层，例如应用层实现计费，例如对组播数据进行加密并通过密钥管理来实现对用户的管理，但这种方式实现难度大，成本高。同时，使用这种计费方案，无法解决用户进行针对网络带宽的DoS攻击，浪费网络带宽的问题。
目前定义的用于组播控制的协议有针对IGMP第二版的扩展互联网组成员认证协议(Internet Group Authentication protocol，IGAP)，其特点是用户主机在和指定路由器进行IGMP通信时，提供附加的认证信息，由路由器转发到认证服务器进行认证，认证通过则可以加入组播组，反之，其加入申请被忽略；以及针对IGMP第3版的扩展，其特点是用户首先需要获取一个组播组的访问令牌(Access Token)，在接收到用户需要加入一个组播组的请求后，通过扩展的IGMP消息从用户获取访问令牌，从而对用户实现接入认证。
但是，由于上述两种组播接入控制技术对IGMP协议进行了扩展，因此需要对例如路由器和终端等IGMP相关设备中的IGMP协议软件进行修改，进行升级，这导致成本很高。并且，如果这些设备扩展了IGMP协议软件，还存在与其它设备是否兼容和互通的问题。

发明内容
本发明的目的是提供一种简单的方法和装置来实现在接入网中对组播业务的认证及计费。
为了实现上述目的，本发明提出了一种在接入网中实现组播业务认证及计费的方法，该接入网包括接入设备和用户的终端，该方法包括如下步骤建立会话步骤，用于在用户的终端与接入设备之间建立会话；重新认证步骤，用于当接入设备从用户的终端收到加入组播组的请求后，通过上述建立会话步骤中建立的会话，在用户的终端与接入设备之间进行重新认证，从而获得用户的认证信息；组播业务认证步骤，用于根据重新认证步骤获得的用户的认证信息，对用户是否可以加入组播组进行认证。
本发明还提出了一种能够进行组播业务认证及计费的接入设备，包括组播管理装置，用于管理用户的组播业务；辅助组播认证装置，用于与用户的终端建立会话，以及当组播管理装置从用户的终端收到加入组播组的请求后，根据组播管理装置的请求，与用户的终端进行重新认证，从而获得用户终端的认证信息，并将该认证信息发送给组播管理装置；以及认证装置，用于根据组播管理装置发送的认证信息，对用户是否具有加入组播组的资格进行认证。
本发明还提出了一种能够进行组播业务认证及计费的接入设备，包括组播管理装置，用于管理用户的组播业务；辅助组播认证装置，用于与用户的终端建立会话，以及当组播管理装置从用户的终端收到加入组播组的请求后，根据组播管理装置的请求，与用户的终端进行重新认证，从而获得用户终端的认证信息，并将该认证信息发送给组播管理装置；以及远程认证计费客户端装置，组播管理装置通过该远程认证计费客户端装置，向远程认证服务器发送组播业务认证请求，通过远程认证服务器对用户是否具有加入组播组的资格进行认证。
根据本发明，可以在接入设备上实现针对组播业务的用户认证、授权和计费，阻止恶意用户进行针对网络带宽的拒绝服务攻击。接入设备还可以将用户的接入端口信息和用户认证信息结合在一起对用户进行认证，实现用户帐号和端口的绑定，从而阻止接入用户进行帐号共享和帐号盗用等攻击。


下面将参考附图来描述本发明的优选实施方式，其中图1是方框图，示出了根据本发明的能进行组播认证以及计费的系统；图2是流程图，示出了根据本发明的一个实施方式，组播认证成功，并对组播业务进行了计费的过程。
具体实施例方式
图1是方框图，示出了根据本发明的一个实施方式，能进行组播认证以及计费的系统。
如图1所述，该系统10包括例如基于互联网的数字用户线接入复用器(Internet Protocol Digital Subscriber Line AccessMultiplexer，IP-DSLAM)等之类的接入设备11，用户的终端12以及网络13。
接入设备11包括组播管理装置111。该组播管理装置111具有IGMP代理(Proxy)或侦听(Snoop)功能，或者在其处终结IGMP。
IGMP协议运行于例如PC之类的用户的终端12与该终端的组播路由器之间，终端通过此协议告诉该组播路由器希望加入并接受某个特定组组播的信息，同时路由器通过此协议周期性地查询局域网内某个已知组的成员是否处于活动状态，实现所连网络组成员的收集与维护。
IGMP SNOOP协议的基本原理是交换机，例如接入设备11，通过侦听用户的终端12发向路由器的IGMP成员报告消息的方式，形成例如用户的终端的媒体接入控制层(MAC)地址和组播IP地址的对应关系；交换机根据该对应关系将收到组播数据包只转给组成员。
IGMP Proxy协议实现与IGMP SNOOP协议相同功能，但机理不同IGMP SNOOP只是通过侦听IGMP的消息来获取有关信息，而IGMPProxy则拦截了用户的终端的IGMP请求并进行相关处理后，再将它转发给路由器。
接入设备11还包括辅助组播认证装置113。根据本发明，在用户希望接入组播业务之前，通过其终端12先和接入设备11的辅助组播认证装置113建立会话。当然，也可以通过复用已经存在的会话来实现组播的认证，此时，就不必再和辅助组播认证装置113建立会话。当接入设备11的组播管理装置111监听到用户加入某一特定组播组的请求时，该组播管理装置111通知辅助组播认证装置113发起对用户的重新认证。
上述先建立的会话也可以用作其它用途，例如单播业务，也可以专门用来支持组播业务的认证。更具体地说，先和接入设备11的辅助组播认证装置113建立会话时的认证和组播认证看成是独立的两次认证。
辅助组播认证装置113通过重新认证，从用户的终端12处获取认证信息，例如用户名和密码等信息，并将得到的认证信息返回给组播管理装置111。
组播管理装置111或者将认证信息提供给本地认证装置114(此时实现本地认证)，或者将认证信息通过远程认证计费客户端装置112发送给远程认证服务器，例如远程身份验证拨入用户服务(Remote Authentication Dial-In User Service，RADIUS)服务器(图中未示出)，由RADIUS服务器完成组播认证。本地认证装置114或者远程认证服务器通过远程认证计费客户端装置112将认证结果返回到组播管理装置111。然后，组播管理装置111将组播业务认证结果返回给辅助组播认证装置113。
如果通过对用户的组播业务认证，则组播管理装置111将用户加入该组播组的用户列表，否则，忽略用户的组播请求。
辅助组播认证装置113将组播管理装置111返回的认证结果发送给用户的终端12。为了保证上述开始建立的会话不断开，即使组播认证失败，辅助组播认证装置113还是发送认证成功消息，但是，可以在该消息中包含组播认证失败的信息。
当认证通过时，组播管理装置111或者通知本地计费装置115(此时实现本地计费)，或者通过远程认证计费客户端装置112，通知远程计费服务器，例如RADIUS服务器(图中未示出)开始对用户的组播业务进行计费。
当然，上述本地认证装置114和计费装置115可以位于同一设备内。相应地，上述远程认证服务器和远程计费服务器也可以位于同一设备内。
组播管理装置111可以通过检测用户的终端12是否发出IGMP离开(Leave)报文来确定用户是否希望退出组播组(当用户的终端12和组播管理装置支持IGMP第二版或者第三版时)。
组播管理装置111也可以通过定时向用户的终端12发送IGMP询问(Query)消息，根据用户的终端12是否响应该消息来确定用户是否已经离开组播组。当用户的终端12响应该消息时，则确定用户还没有退出组播组，当用户的终端12连续几次，例如5次，不响应该消息时，则确定用户已经离开组播组。
当组播管理装置111确定用户已经离开组播组时，或者通知本地计费装置115，或者通过远程认证计费客户端装置112，通知远程计费服务器，例如RADIUS服务器(图中未示出)停止对用户的组播业务进行计费。
应当注意，申请组播业务的用户的终端和与辅助认证装置113进行通信，以完成认证的用户的终端，例如上述和辅助认证装置113首先建立会话的终端，可以是不同的终端。
还应当注意，上述的辅助认证装置113和组播管理装置111在同一物理设备中。当然，它们也可以不在同一物理设备中，此时，需要提供两者之间的通信机制，例如提供RADIUS代理器等。
在本发明的一个实施方式中，上述用户的终端12是支持点到点(Point to Point，PPP)/在以太网上的点到点(Point to Point overEthernet，PPPoE)协议和PPP/PPPoE认证的终端。相应地，上述辅助组播认证装置113支持PPP/PPPoE会话终结功能和PPP/PPPoE认证。
下面将参考图2，详细描述针对当用户的终端12是支持PPP/PPPoE协议和PPP/PPPoE认证的终端，以及相应地，上述辅助组播认证装置113支持PPP/PPPoE会话终结功能和PPP/PPPoE认证时，在用户的终端12和接入设备11之间进行组播业务认证以及计费的过程。
首先，如在图2中所示，在步骤201，在用户的终端12和接入设备的辅助认证装置113之间先建立一个PPP/PPPoE会话，该会话可以用作其它用途，例如单播业务，也可以专门用来支持组播业务的认证。
其次，在步骤202，用户的终端12向组播管理装置111发送加入某个特定组播组的消息，例如IGMP加入(Join)消息。
接下来，在步骤203，当组播管理装置111探测到用户的终端12发送的加入某个特定组播组的消息后，向辅助组播认证装置113发送请求对用户的终端12进行重新认证的消息，以确定其是否具有参加某个特定组播组的资格。
接下来，在步骤204，辅助组播认证装置113和用户的终端12之间进行重新认证。
在根据本发明的一个实施方式中，在用户的终端12和辅助组播认证装置113之间采用PPP挑战握手认证协议(Challenge HandshakeAuthentication Protocol，CHAP)进行认证。
关于CHAP协议的详细细节，可以参考由互联网工程任务组(IETF)制定的请求评论(RFC)1994。为了简洁的目的，这里不对该协议进行详细的描述。
当采用CHAP协议时，辅助组播认证装置113和用户的终端12之间的重新认证过程是这样的。
首先，辅助组播认证装置113向用户的终端12发送CHAP认证的CHALLENGE消息。在CHALLENGE消息，根据CHAP认证的规定可以在NAME字段中传送空的字符串或者系统标识符。根据本发明，辅助组播认证装置113可以使用该字段或者不使用该字段来传递组播认证的信息，如用户需要加入的组播组的信息等，以便用户可以选择正确的帐号进行后续的认证。在组播认证和接入认证使用不同的帐号的时候，辅助组播认证装置113最好可以通过CHALLENGE消息中的NAME字段来标识用户应该选择的帐号。
用户的终端12接收到CHALLENGE消息之后，以RESPONSE消息对该认证请求进行应答。如果CHALLENGE消息中包含NAME字段，则用户的终端12应该根据NAME字段选择合适的帐号以便作出正确的应答以完成整个认证过程。
这样就完成了重新认证过程。
在根据本发明的另一个实施方式中，在用户的终端12和辅助组播认证装置113之间采用PPP扩展认证协议(ExtensibleAuthentication Protocol，EAP)进行认证。
关于EAP协议的详细细节，可以参考由互联网工程任务组(IETF)制定的请求评论(RFC)2284。为了简洁的目的，这里不对该协议进行详细的描述。
当采用EAP协议时，辅助组播认证装置113和用户的终端12之间的重新认证过程是这样的。
辅助组播认证装置113最好首先向用户的终端12发送EAP-NOTIFICATION消息，通知用户目前正在进行的是组播认证。该通知信息在EAP-NOTIFICATION的数据字段传送。
接下来，辅助组播认证装置113向用户的终端12发送EAP认证的EAP-REQUEST消息。
接下来，用户的终端12接收到EAP-REQUEST消息之后，以RESPONSE消息对认证请求进行应答。在认证过程中可以含有多个EAP-REQUEST以及EAP-RESPONSE。
这样就完成了重新认证过程。
返回图2，接下来，在步骤205，辅助组播认证装置113将接收到的认证信息传递给组播管理装置111。
组播管理装置111可以通过本地认证装置114来完成组播的认证，也可以通过远程认证计费客户端装置112，由远程认证服务器，例如RADIUS服务器(图中未示出)，完成组播认证。
在图2所示的实施方式中，组播管理装置111通过远程认证计费客户端装置112，由远程认证服务器，例如RADIUS服务器(图中未示出)，完成组播认证。
即在步骤206，组播管理装置111通过远程认证计费客户端装置112，向例如网络13中的例如RADIUS服务器等之类的远程认证服务器(图1中未示出)发送接入请求消息，该接入请求消息包括例如组播的组地址、上述重新认证过程得到的认证信息等。
组播管理装置111还可以向例如RADIUS服务器提供用户的终端的端口信息，通过在认证过程中提供端口信息，可以实现用户帐号和端口的绑定，阻止用户进行帐号共享和帐号盗用等恶意攻击。
接下来，在步骤207，组播管理装置111通过远程认证计费客户端装置112，接收来自远程认证服务器的组播认证结果，可能是接入请求被拒绝或者接入请求被接受。
不管接入请求是被拒绝还是被接受，在步骤208，组播管理装置111将接收到的组播认证结果传送给辅助组播认证装置113。
当接入请求被接受时，在步骤209，当采用如上所述PPP CHAP协议时，辅助组播认证装置113发送认证结果，即发送PPP CHAP认证的SUCCESS消息给用户的终端12，以使得PPP会话保持认证前的状态，并且，可选地，辅助组播认证装置113可以同时在SUCCESS消息的MESSAGE字段通知用户的终端12组播认证成功，加入了需要接入的组播组；当采用如上所述的PPP EAP协议时，辅助组播认证装置113发送认证结果，即发送PPP EAP-SUCCESS消息给用户的终端12，以使得PPP会话保持认证前的状态，并且，可选地，发送PPPEAP-NOTIFICATION消息给用户的终端12，通知用户已经成功地通过了加入某一组播组的认证，其中该通知信息在EAP-NOTIFICATION消息的数据字段传递。
当接入请求被拒绝时，在步骤209，当采用如上所述PPP CHAP协议时，辅助组播认证装置113发送认证结果，即发送PPP CHAP认证的SUCCESS消息给用户的终端12，以使得PPP会话保持认证前的状态，可选地，辅助组播认证装置113可以同时在SUCCESS消息的MESSAGE字段通知用户的终端12组播认证拒绝用户加入需要接入的组播组，也可以同时通知IGMP认证失败的原因；当采用如上所述的PPP EAP协议时，辅助组播认证装置113发送认证结果，即发送PPPEAP-SUCCESS消息给用户的终端12，以使得PPP会话保持认证前的状态，并且，可选地，辅助组播认证装置113发送EAP-NOTIFICATION消息给用户的终端12，通知用户没有通过加入某一组播组的认证以及组播认证失败的原因，该通知信息在EAP-NOTIFICATION消息的数据字段传递。
本领域的技术人员应当明白，图2中所示的流程图是针对组播认证成功的情况下，用户的终端12和接入设备11之间的交互过程，当在步骤207，返回的是接入请求拒绝消息时，以下将描述的步骤当然不再发生。
当认证通过后，在步骤210，组播管理装置111向例如网络13中的路由器(图1中未示出)发送IGMP Join消息。
应当注意，此步骤只有在用户请求接入的组播组还没有到达接入设备11时才需要，如果组播流已经到达接入设备11则不需要，如在步骤203之前已经有用户终端在接收该组播流，此时，在认证通过之后，直接向授权的用户终端转发请求的组播数据流。
接下来，在步骤211，路由器向组播管理装置111发送组播流。应当理解，路由器可以在该步骤之前已经将组播流发送给组播管理装置，这里所描述的步骤只是一种情况。
接下来，在步骤212，组播管理装置111向用户的终端12转发从路由器收到的组播流。
接下来，在步骤213，组播管理装置111通过远程认证计费客户端装置112，向远程计费服务器，例如RADIUS服务器发送计费开始请求。
当然，本领域的技术人员应当理解，这只是一种实施方式，组播管理装置111也可以向本地计费装置115发送计费开始请求。
当然，发送计费请求的前提是用户过组播认证，如果没有通过组播认证，则组播管理装置111不应向计费装置发送计费请求。
接下来，在步骤214，远程计费服务器，例如RADIUS服务器，向组播管理装置111发送计费开始响应消息，确认计费服务器已经接收到计费请求并且已经开始向用户计费。
在组播业务的传输过程中，组播管理装置111根据配置，定期向有组播业务接收的用户的终端12发送IGMP Query消息。
用户的终端12在接收到IGMP Query消息之后，根据IGMP协议的要求，会发送响应消息IGMP Report，因为Query消息会定期发送，所以该响应消息也会定期发送。
为了简洁的目的，在图2中只是示出了一次IGMP Query发送过程，如步骤215所示，以及相应地一次IGMP Report发送过程，如步骤216所示。
根据本发明的一个实施方式，组播管理装置111通过定时向用户的终端12发送IGMP Query消息，根据用户的终端12是否响应该消息来确定用户是否已经离开组播组。当用户的终端12响应该消息时，则确定用户还没有退出组播组，当用户的终端12连续几次，例如5次，不响应该消息时，则确定用户的终端12已经离开组播组。
作为选择，对于当用户的终端12和组播管理装置支持IGMP第二版或者IGMP第三版时，组播管理装置111可以通过检测用户的终端12是否发出IGMP离开(Leave)报文来确定用户是否希望退出组播组，如步骤217所示。
当然，对于支持IGMP第二版或IGMP第三版的用户的终端12在离开组播组的时候也可以不发送IGMP LEAVE消息。
当组播管理装置111检测到组播业务接收者已经下线时，例如，用户的终端12已经向组播管理装置发送了IGMPG LEAVE消息，或者用户的终端12已经连续几次，例如5次，没有对组播管理装置111的IGMP Query消息做出响应，组播管理装置111通过远程认证计费客户端装置112，向远程计费服务器，例如RADIUS服务器发送计费停止请求消息，停止对用户的计费，如步骤218所示。
当收到上述停止计费请求消息后，远程计费服务器，例如RADIUS服务器，向组播管理装置111发送计费停止响应消息，确认计费服务器已经接收到计费停止请求并且已经停止向用户计费。
在本发明的另一个实施方式中，上述用户的终端12是支持802.1x协议和802.1x认证的终端。相应地，上述辅助组播认证装置113支持802.1x终结和802.1x认证。
应当注意，由国际电气与电子工程师学会(The Institute ofElectrical and Electronic Engineers，IEEE)制定的802.1x协议不支持CHAP认证和口令认证协议(Password Authentication Protocol，PAP)认证，只是支持EAP认证。然而，在本发明中，采用的是EAP的扩展协议，从而使802.1x也支持采用CHAP和PAP进行认证。
关于PAP的详细细节，可以参考由IETF制定的RFC 1334，为了简洁的目的，这里不对其进行详细描述。
802.1x认证的特点是仅仅关注端口的打开与关闭，对于合法用户(根据账号和密码等)接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变。
针对当用户的终端12是支持802.1x会话和802.1x认证的终端，以及相应地，上述辅助组播认证装置113支持802.1x会话终结功能和802.1x认证时，在用户的终端12和接入设备11之间进行组播业务认证以及计费的过程和参考图2描述的，针对当用户的终端12是支持PPP/PPPoE协议和PPP/PPPoE认证的终端，以及相应地，上述辅助组播认证装置113支持PPP/PPPoE会话终结功能和PPP/PPPoE认证时，在用户的终端12和接入设备11之间进行组播业务认证以及计费的过程基本上是相同的，除了在步骤201建立的是802.1x会话，在重新认证步骤204中进行的是802.1x认证，以及在步骤209，根据采用的协议的不同，通知认证成功或失败的所采用的消息或者方式有所不同。
例如，在重新认证步骤204中进行的重新认证过程是这样的。
首先，辅助组播认证装置113最好向用户的终端12发送EAP-NOTIFICATION消息(通过对局域网上的EAP(EAPOL)封装，以下相同)，通知用户的终端12目前正在进行的是组播认证，其中该通知的信息在EAP-NOTIFICATION的数据字段传送。
然后，辅助组播认证装置113向用户的终端12发送EAP认证的EAP-REQUEST消息。
用户的终端12接收到EAP-REQUEST消息之后，以RESPONSE消息对认证请求进行应答。
当然，根据不同的认证协议，在认证过程中可以含有多个EAP-REQUEST以及EAP-RESPONSE。
这样就完成了重新认证。
在步骤209，当组播认证成功时，辅助组播认证装置113发送认证结果，即发送EAPOL-SUCCESS消息给用户的终端12，以使得802.1x会话保持认证前的状态，并且，可选地，辅助组播认证装置113发送EAP-NOTIFICATION消息给用户的终端12，通知用户已经成功了通过了加入某一组播组的认证，该通知信息在EAP-NOTIFICATION消息的数据字段传递；当组播认证失败时，辅助组播认证装置113发送认证结果，即发送EAPOL-SUCCESS消息给用户的终端12，以使得802.1x会话保持认证前的状态，并且，可选地，辅助组播认证装置113发送EAP-NOTIFICATION消息给用户的终端12，通知用户没有通过加入某一组播组的认证以及组播认证失败的原因，该通知信息在EAP-NOTIFICATION消息的数据字段传递。
在本发明的另一个实施方式中，用户的终端12是支持环球网(WEB)浏览器和WEB认证的终端，相应地，上述辅助组播认证装置113支持WEB认证。
WEB认证是用户通过使用WEB浏览器，例如微软的视窗(Windows)操作系统自带的互联网探测者(Internet Explorer，IE)，或者网景(Netscape)等，进行身份认证。其特点是，对于用户来说比较容易接受并且维护简单，无需安装额外的软件；对于运行商来说则大大减小了他们的维护工作量。
针对当用户的终端12是支持环球网(WEB)浏览器和WEB认证的终端，以及相应地，上述辅助组播认证装置113支持WEB认证时，在用户的终端12和接入设备11之间进行组播业务认证以及计费的过程和参考图2描述的，针对当用户的终端12是支持PPP/PPPoE协议和PPP/PPPoE认证的终端，以及相应地，上述辅助组播认证装置113支持PPP/PPPoE会话终结功能和PPP/PPPoE认证时，在用户的终端12和接入设备11之间进行组播业务认证以及计费的过程基本上是相同的，除了在步骤201建立的是WEB会话，在重新认证步骤204中进行的是WEB认证，以及在步骤209，通知认证成功或失败的所采用的消息或者方式有所不同。
例如，当采用WEB认证时，在重新认证步骤204中进行的重新认证过程是这样的。
首先，辅助组播认证装置113向用户的终端12发送WEB认证页面并通知用户的终端12目前正在进行的是IGMP认证。
然后，用户的终端12在WEB页填写相关的认证信息并提交给辅助组播认证装置113。
这样就完成了重新认证。
在步骤209，当组播认证成功时，辅助组播认证装置113发送认证结果WEB页面给用户的终端12，通知用户已经成功了通过了加入某一组播组的认证；当组播认证失败时，辅助组播认证装置113发送认证结果WEB页面给用户终端12，通知用户没有通过加入某一组播组的认证以及IGMP认证失败的原因。
不脱离本发明的构思和范围可以做出许多其它改变和改型。应当理解，本发明不限于特定的实施方式，本发明的范围由所附权利要求限定。
权利要求
1.一种在接入网中实现组播业务认证及计费的方法，该接入网包括接入设备和用户的终端，该方法包括如下步骤建立会话步骤，用于在用户的终端与接入设备之间建立会话；重新认证步骤，用于当接入设备从用户的终端收到加入组播组的请求后，通过上述建立会话步骤中建立的会话，在用户的终端与接入设备之间进行重新认证，从而获得用户的认证信息；组播业务认证步骤，用于根据重新认证步骤获得的用户的认证信息，对用户是否可以加入组播组进行认证。
2.根据权利要求1所述的方法，还包括开始计费步骤，用于当在组播业务认证步骤中通过对用户的认证，从而用户可以加入组播组时，开始对用户的组播业务进行计费。
3.根据权利要求2所述的方法，还包括停止计费步骤，用于当用户退出组播组时，停止对用户的组播业务进行计费。
4.根据权利要求1所述的方法，其中在组播业务认证步骤，根据重新认证步骤获得的用户的认证信息和其终端的接入端口信息对用户是否可以加入组播组进行认证。
5.根据权利要求1-4中任一项所述的方法，其中建立会话步骤中建立的是点到点或在以太网上的点到点会话，重新认证步骤中进行的是点到点或在以太网上的点到点认证。
6.根据权利要求1-4中任一项所述的方法，其中建立会话步骤中建立的是802.1x会话，重新认证步骤中进行的是802.1x认证。
7.根据权利要求1-4中任一项所述的方法，其中建立会话步骤中建立的是WEB会话，重新认证步骤中进行的是WEB认证。
8.根据权利要求5所述的方法，其中重新认证步骤中采用挑战握手认证协议(CHAP)，接入设备通过使用或者不使用挑战消息中的名称字段来传递组播认证的信息，并且当用户的终端接收到该挑战消息后，以响应消息对认证请求进行应答。
9.根据权利要求8所述的方法，其中当组播认证成功时，接入设备向用户的终端发送挑战握手认证协议的成功消息，以使建立会话步骤建立的会话保持认证前的状态，当组播认证失败时，接入设备向用户的终端发送挑战握手认证协议的成功消息，以使建立会话步骤建立的会话保持认证前的状态。
10.根据权利要求9所述的方法，其中还包括，当组播认证成功时，接入设备通过成功消息的消息字段通知用户的终端组播认证成功，加入了需要接入的组播组；当组播认证失败时，接入设备通过成功消息的消息字段通知用户的终端组播认证拒绝用户加入需要接入的组播组，并通知组播认证失败的原因。
11.根据权利要求5所述的方法，其中重新认证步骤中采用扩展认证协议，包括如下步骤接入设备向用户的终端发送扩展认证协议请求消息；用户的终端接收到该扩展认证协议请求消息后，向接入设备应答扩展认证协议响应消息，从而完成重新认证过程。
12.根据权利要求11所述的方法，在所述接入设备向用户的终端发送扩展认证协议请求消息步骤之前，还包括接入设备向用户的终端发送扩展认证协议的通知消息，通知用户的终端目前正在进行的是组播认证。
13.根据权利要求11所述的方法，其中当组播认证成功时，接入设备向用户的终端发送扩展认证协议成功消息，以使建立会话步骤建立的会话保持认证前的状态，当组播认证失败时，接入设备向用户的终端发送扩展认证协议成功消息，以使建立会话步骤建立的会话保持认证前的状态。
14.根据权利要求13所述的方法，当组播认证成功时，接入设备通过扩展认证协议通知消息通知用户的终端组播认证成功，加入了需要接入的组播组；当组播认证失败时，接入设备通过扩展认证协议通知消息通知用户的终端组播认证拒绝用户加入需要接入的组播组，并通知组播认证失败的原因。
15.根据权利要求6所述的方法，其中重新认证步骤中采用扩展认证协议，包括如下步骤接入设备向用户的终端发送扩展认证协议请求消息；用户的终端接收到该扩展认证协议请求消息后，向接入设备应答扩展认证协议响应消息，从而完成重新认证过程。
16.根据权利要求15所述的方法，在所述接入设备向用户的终端发送扩展认证协议请求消息步骤之前，还包括接入设备向用户的终端发送扩展认证协议的通知消息，通知用户的终端目前正在进行的是组播认证。
17.根据权利要求15所述的方法，其中当组播认证成功时，接入设备向用户的终端发送在局域网上扩展认证协议成功消息，以使建立会话步骤建立的会话保持认证前的状态，当组播认证失败时，接入设备向用户的终端发送在局域网上扩展认证协议成功消息，以使建立会话步骤建立的会话保持认证前的状态。
18.根据权利要求17所述的方法，当组播认证成功时，接入设备通过扩展认证协议通知消息通知用户的终端组播认证成功，加入了需要接入的组播组；当组播认证失败时，接入设备通过扩展认证协议通知消息通知用户的终端组播认证拒绝用户加入需要接入的组播组，并通知组播认证失败的原因。
19.根据权利要求7所述的方法，其中重新认证步骤包括如下步骤接入设备向用户的终端发送WEB认证页面，通知用户的终端目前正在进行的是组播认证；用户的终端在WEB页面填写相关的认证信息，并将该WEB页面提交给接入设备。
20.根据权利要求19所述的方法，其中当组播认证成功时，接入设备发送认证结果WEB页面给用户的终端，通知用户已经成功地通过了加入组播组的认证；当组播认证失败时，接入设备发送认证结果WEB页面给用户的终端，通知用户没有通过加入组播组的认证，并且通知用户组播认证失败的原因。
21.根据权利要求1所述的方法，其中申请组播业务的用户的终端和在建立会话步骤中与接入设备建立会话的用户的终端是不同的终端。
22.一种能够进行组播业务认证及计费的接入设备，包括组播管理装置，用于管理用户的组播业务；辅助组播认证装置，用于与用户的终端建立会话，以及当组播管理装置从用户的终端收到加入组播组的请求后，根据组播管理装置的请求，与用户的终端进行重新认证，从而获得用户终端的认证信息，并将该认证信息发送给组播管理装置；以及认证装置，用于根据组播管理装置发送的认证信息，对用户是否具有加入组播组的资格进行认证。
23.根据权利要求22所述的接入设备，还包括计费装置，用于根据组播管理装置的请求，当通过对用户的认证，从而用户的终端加入组播组时，实现开始对用户终端的组播业务进行计费，以及当用户的终端退出组播组时，实现停止对用户的组播业务进行计费。
24.根据权利要求23所述的接入设备，其中认证装置和计费装置位于同一设备内。
25.一种能够进行组播业务认证及计费的接入设备，包括组播管理装置，用于管理用户的组播业务；辅助组播认证装置，用于与用户的终端建立会话，以及当组播管理装置从用户的终端收到加入组播组的请求后，根据组播管理装置的请求，与用户的终端进行重新认证，从而获得用户终端的认证信息，并将该认证信息发送给组播管理装置；以及远程认证计费客户端装置，组播管理装置通过该远程认证计费客户端装置，向远程认证服务器发送组播业务认证请求，通过远程认证服务器对用户是否具有加入组播组的资格进行认证。
26.根据权利要求25的接入设备，其中组播管理装置还通过远程认证计费客户端装置，向远程计费服务器发送请求，使得当通过对用户的认证，从而用户的终端加入组播组时，实现开始对用户的组播业务进行计费，以及当用户的终端退出组播组时，实现停止对用户的组播业务进行计费。
27.根据权利要求22-26中任一项所述的接入设备，其中辅助组播认证装置和组播管理装置不在同一物理设备内，它们之间通过代理装置通信。
28.根据权利要求22-26中任一项所述的接入设备，其中辅助组播认证装置支持点到点/在以太网上点到点会话终结功能和点到点/在以太网上点到点认证。
29.根据权利要求22-26中任一项所述的接入设备，其中辅助组播认证装置支持WEB终结和WEB认证。
30.根据权利要求22-26中任一项所述的接入设备，其中辅助组播认证装置支持802.1x终结和802.1x认证。
全文摘要
本发明公开了一种在接入网中实现组播业务认证及计费的方法，该接入网包括接入设备和用户的终端，该方法包括如下步骤建立会话步骤，用于在用户的终端与接入设备之间建立会话；重新认证步骤，用于当接入设备从用户的终端收到加入组播组的请求后，通过上述建立会话步骤中建立的会话，在用户的终端与接入设备之间进行重新认证，从而获得用户的认证信息；组播业务认证步骤，用于根据重新认证步骤获得的用户的认证信息，对用户是否可以加入组播组进行认证。根据本发明，可以在接入设备上实现针对组播业务的用户认证、授权和计费，阻止恶意用户进行针对网络带宽的拒绝服务攻击。
文档编号H04L12/14GK1798024SQ200410093289
公开日2006年7月5日 申请日期2004年12月20日 优先权日2004年12月20日
发明者姚亦峰, 鲁林丽, 于洪斌, 张西利 申请人:上海贝尔阿尔卡特股份有限公司