专利名称:一种实现组播安全的控制方法
技术领域:
本发明涉及一种在网络设备中,根据策略允许或者禁止转发组播源数据流或者加入用户数据流的方法,具体是一种实现组播安全的控制方法。
本发明适用各种支持组播转发的设备,包括路由器和交换机等。
背景技术:
组播是解决点到多点传播并且不会增加额外带宽的最佳方案。随着网络的普及,以及带宽的增加,很多特色服务,尤其是收费服务(如网络电视、网络点播等)都依赖它完成,这些业务都是以后运营商的利润增长点。可以预见在不久的将来,组播的运用将会更加广泛。
目前,制约组播运用的一个关键原因就是安全问题。网络协议对组播源或者用户是没有任何约束的,一个组播源或者用户可能在任何地点任何时间加入到网络中,而组播具有更快的覆盖速度,对于稳定网络来说,这是一个很大的安全隐患。这个问题使得各运营商不能放心或者灵活地使用组播,严重制约了组播的应用。
发明内容
本发明的目的在于克服上述现有技术不足,提供一种对组播源转发或者用户加入的新的数据流进行控制的方法,具体是一种实现组播安全的控制方法,使得只有合法的组播源数据流才能被转发,合法的用户才能被加入。这样的处理使得整个组播的转发行为都在控制之中,可以极大地提高网络的安全性。
一种实现组播安全的控制方法,包括如下处理步骤在支持组播转发的设备上,创建由数据流信息构成的组播源数据库;对于新的组播源数据流,在创建组播源数据库的数据流信息中进行查询,如果合法,则被正常进行处理,如果非法,则被丢弃。
所述创建组播源数据库中的数据流信息包括组播源转发信息和用户加入信息;所述创建组播源数据库中的数据流信息,可以通过管理台配置,或者通过网络协议,从相邻的支持转发设备交互中得到。
所述支持组播转发设备创建的组播源数据库中,由已经注册的合法组播源转发信息和在运营商注册登记的合法用户加入信息构成的数据库被保留。
所述支持组播转发设备创建的组播源数据库中,由没有注册的非法组播源转发信息和在运营商没有注册登记的非法用户加入信息构成的数据库被直接丢弃。
所述支持组播转发的设备以IP地址为创建的组播源数据库中数据流信息和新的组播源数据流的主要标识,进行是否合法与非法的查询处理。
所述新的组播源数据流包括新的组播源转发信息和新的用户加入信息。
对于新的组播源转发信息,查询与创建的组播源数据库是否合法,是,转发,否,丢弃。
对于新的用户加入信息,查询与创建的组播源数据库是否合法,是,受理,否,不作处理。
所述支持组播转发的设备包括交换机和路由器。
所述创建组播源数据库发生更新变化时,支持组播转发的设备根据更新变化,检索当前组播情况,将变化后成为非法数据流信息截断。
与现有技术相比,通过本发明所述方法,运营商可以完全控制组播的转发,这对于诸如IPTV这类服务的开展有着极大的推动作用。
图1是组播源控制流程图;图2是用户加入控制流程图。
具体实施例方式
以下结合附图对本发明作进一步说明本发明所述方法分为组播源控制和用户控制。
一、组播源控制交换机以地址为主要标识,保留每个已经注册的合法组播源信息,也同时保留非法组播源信息。当交换机收到一个新的组播数据流时,首先判断该数据流是否合法,只有合法的数据流才能被正常转发,否则将丢弃。对于已知非法组播流信息,可以静态配置为丢弃。
关键点是1、交换机保留一个合法组播源信息数据库,只有该数据库内存在的组播源数据才被转发。
2、交换机保留一个已知的非法组播源信息数据库,该数据库内组播源数据是被丢弃的,如果没有明确的非法组播源,则这个库可以为空。
3、数据库信息可以通过管理台配置,也可以通过协议从相邻交换机交互中学习到的。
二、用户加入控制合法的用户都需要事先在运营商注册登记。交换机将保留每一个合法用户的信息,当收到加入新的报文时,首先检查该用户是否合法,只有合法用户才能加入组,否则对该加入报文丢弃。
关键点是1、交换机保留用户信息数据库。
2、当收到加入请求后,交换机首先在数据库内查询该用户是否为合法。如果通过,则将用户加入,否则将不处理加入请求。
3、数据库信息可以通过管理台配置,也可以通过协议从相邻交换机交互中学习到的。
图1和图2给出的实施流程对应以下步骤1、交换机创建一个合法组播源数据库和非法组播源数据库;2、交换机创建一个合法用户数据库;3、对于非法组播源,交换机直接丢弃;4、对于新的组播源数据流,交换机首先在组播源数据库中查询该组播源是否合法,只有合法的组播源数据才被转发,否则丢弃;5、对于新的用户加入请求,交换机首先在用户数据库中查询,只有合法的用户请求才被受理,否则对请求不作处理。
6、当组播源数据库或者用户数据库发生更新变化后,交换机都将根据变化检索当前的组播转发或者用户加入情况,把变化后成为非法组播源或者成为非法用户的数据流截断。
权利要求
1.一种实现组播安全的控制方法,其特征在于,包括如下处理步骤在支持组播转发的设备上,创建由数据流信息构成的组播源数据库;对于新的组播源数据流,在创建组播源数据库的数据流信息中进行查询,如果合法,则被正常进行处理,如果非法,则被丢弃。
2.如权利要求1所述的实现组播安全的控制方法,其特征在于所述创建组播源数据库中的数据流信息包括组播源转发信息和用户加入信息;所述创建组播源数据库中的数据流信息,可以通过管理台配置,或者通过网络协议,从相邻的支持转发设备交互中得到。
3.如权利要求1所述的实现组播安全的控制方法,其特征在于所述支持组播转发设备创建的组播源数据库中,由已经注册的合法组播源转发信息和在运营商注册登记的合法用户加入信息构成的数据库被保留。
4.如权利要求1所述的实现组播安全的控制方法,其特征在于所述支持组播转发设备创建的组播源数据库中,由没有注册的非法组播源转发信息和在运营商没有注册登记的非法用户加入信息构成的数据库被直接丢弃。
5.如权利要求1或2或3或4所述的实现组播安全的控制方法,其特征在于所述支持组播转发的设备以IP地址为创建的组播源数据库中数据流信息和新的组播源数据流的主要标识,进行是否合法与非法的查询处理。
6.如权利要求5所述的实现组播安全的控制方法,其特征在于所述新的组播源数据流包括新的组播源转发信息和新的用户加入信息。
7.如权利要求6所述的实现组播安全的控制方法,其特征在于对于新的组播源转发信息,查询与创建的组播源数据库是否合法,是,转发,否,丢弃。
8.如权利要求6所述的实现组播安全的控制方法,其特征在于对于新的用户加入信息,查询与创建的组播源数据库是否合法,是,受理,否,不作处理。
9.如权利要求1或2或3或4所述的实现组播安全的控制方法,其特征在于所述支持组播转发的设备包括交换机和路由器。
10.如权利要求1或2或3或3或4所述的实现组播安全的控制方法,其特征在于所述创建组播源数据库发生更新变化时,支持组播转发的设备根据更新变化,检索当前组播情况,将变化后成为非法数据流信息截断。
全文摘要
本发明涉及一种在网络设备中,根据策略允许或者禁止转发组播源或者加入用户数据流的方法,具体是一种实现组播安全的控制方法。包括如下处理步骤在支持组播转发的设备上,创建由数据流信息构成的组播源数据库;对于新的组播源数据流,在创建组播源数据库的数据流信息中进行查询,如果合法,则被正常进行处理,如果非法,则被丢弃。与现有技术相比,通过本发明所述方法,运营商可以完全控制组播的转发,这对于诸如IPTV这类服务的开展有着极大的推动作用。
文档编号H04L12/56GK1960321SQ20051011684
公开日2007年5月9日 申请日期2005年10月31日 优先权日2005年10月31日
发明者范力涵, 陈晓 申请人:中兴通讯股份有限公司