实现组播认证的方法和装置的制作方法

专利名称：：实现组播认证的方法和装置的制作方法
技术领域：
：本发明涉及组播
技术领域：
，尤其涉及一种实现组播认证的方法和装置。
背景技术：
：随着IP组播技术的成熟，IP组播应用得越来越广泛，但是在IP模型中，任何一台主机都能够不受限制地加入到任何一个组播组，到目前为止，还没有一种方法能够有效地解决IP组播中的主机接入控制问题。在IP组播模型中，一个组播组由发送者和接收者组成，发送者到接收者之间由组播分布树连接。当发送者需要向接收者发送数据时，该发送者通过主机把数据发送到与其相连的路由器，该路由器将该数据通过组播分发树转发给接收者。该路由器不对发送数据的主机作任何限制。当一台主机想接收某个组播组的数据时，该主机根据IGMP(InternetGroupManagementProtocol,因特网组管理协议)向与其相连的路由器发送MemberReport(成员报告)报文，该路由器处理此报文之后，将相应的组播组数据转发给上述主机。同样，该路由器不会对想接收组播报文的主机作任何限制。随着IP组播应用的商业化，组播安全已经成为必须尽快解决的一个问题，而阻止未授权的接收者接收组播报文是实现組播安全的关健因素。实现组播安全主要存在以下三个问题。第一是认证问题；由于组播协议，如IGMP，不提供用户认证功能，用户可随意地加入或离开，导致不能对用户进行组播业务的接入控制，用户可以进行针对网络带宽的DoS(DenyofService，拒绝服务)攻击，从而浪费网络带宽。第二是计费问题；由于组播协议，如IGMP不涉及计费，导致组播源无法得知用户何时加入或离开组播组。第三是授权问题；由于组播协议，如IGMP不具备认证功能，所以运营商无法根据每个用户的需要有针对性的给每个用户以不同权限的授权。现有技术中一种实现组播安全的方法为在应用层对用户进行鉴权(如Web方式)，在应用层实现对用户的认证，在接入网层不对用户做权限设置。在实际应用中，可以在用户加入组播组时，在3各由器到主机之间的网络设备设立相应的用户权限；或者使用户通过网管方式下载相应的用户权限。还可以通过对组播数据进行加密并通过密钥管理来实现对用户的管理。在实现本发明的过程中，发明人发现上述现有技术的方法至少存在如下的问题该方法实现难度大，成本高。同时，该方法无法解决用户进行针对网络带宽的DoS攻击，浪费网络带宽的问题。
发明内容本发明提供了一种实现组播认证的方法和装置。从而可以实现在接入网中对用户进行组播认证，并对用户所接收的组播业务进行控制。本发明的目的是通过以下技术方案实现的一种实现组播认i正的方法，包括交换设备接收组播认证的认证结果，获取所述认证结果中包含的用户的权限信息；所述交换设备将所述权限信息进行保存，根据所述权限信息对需要发送给所述用户的组播流进行控制。一种实现组播认证的方法，包括当网络设备判断需要对用户终端进行组播认证后，所述网络设备向所述用户发送要求进行组播认证的消息；所述用户接收到所述要求进行组播认证的消息后，向所述网络设备发送组播认证请求。一种实现组播认证的方法，包括鉴权服务器接收用户通过第一协议发送的携带用户认证信息和组播组标识信息的组播iU正请求；所述鉴权服务器根据所述用户认证信息和组播组标识信息对所述用户进行认证，通过第二协议向所述用户对应的网络设备返回携带认证成功或失败信息的认证结果。一种交换设备，包括权限信息获取模块，用于接收其他网络设备发送的组播认证的认证结果，获取所述认证结果中包含的用户的权限信息；权限信息保存模块，用于根据用户权限信息获取模块所获取的权限信息，保存各个用户和用户权限信息之间的对应关系。一种网络侧设备，包括组播认证判断模块，用于当收到用户发送的组播认证请求后，根据所述组播认证请求中包含的组播地址和用户地址，判断是否需要对所述用户进行组播认证；组播认证触发模块，用于当组播认证判断模块判断需要对所述用户进行组播认证后，向所述用户发送要求进行组播认证的消息。由上述本发明提供的技术方案可以看出，本发明通过在交换设备中保存各个用户的权限信息，从而可以通过交换设备对用户进行组播业务的接收控制。本发明还可以在网络侧经过判断后，首先发起对用户的组播认证。本发明还可以实现其他认证协议和组播协议互相配合，来对用户进行组播认证。图1为本发明所述实施例1的处理流程示意图2为本发明所述采用IGMP/MLDR印ort消息的扩展方式的IGMP/MLDjoin消息；图3为本发明所述采用IGMP/MLD协议中定义的一个新的消息类型方式的IGMP/MLDjoin消息；图4为本发明所述交换设备根据组播转发表对用户进行组播流转发的示意图5为本发明所述实施例2的处理流程示意图；图6为本发明所述实施例3的处理流程示意图；图7为本发明所述实施例4的处理流程示意图；图8为本发明所述实施例4的另一种处理流程示意图；图9为本发明提供的交换设备的结构示意图10为本发明提供的网络侧设备的结构示意图。具体实施例方式本发明提供了一种对组播业务进行认证的方法和装置。在本发明提供的方案中，交换设备接收组播路由器发送的认证结果，该认证结果包含用户接收相应的组播业务的权限信息，交换设备根据接收到的认证结果形成组播转发表。当交换设备收到用户需要接收的组播业务后，查找上述组播转发表，判断该用户是否有权限接收该组播业务，如果是，则向该用户转发上述组播业务；否则，不向该用户转发上述组播业务。上述对组播业务进行认证的过程可以通过扩展现有的GMP(GroupManagementProtocol,组管理协议)协议，比如，IGIVIP，MLD(组播监听)协议，或扩展EAP(ExtensibleAuthenticationProtocol,扩展认证协议)协议来实现。在实际应用中，还可以通过设计专门的GMP协议来实现上述认证过程。还可以采用其他认证协议和组播协议互相配合的方式，来实现上述认证过程。上述对组播业务进行认证的过程可以首先由组播路由器进行触发。即由组播路由器产生一种触发机制来要求组播用户进行认证。为了更好地描述本发明，先对IGMP和EAP协议进行介绍。IGMP实现的功能是双向的一方面，用户通过IGMP通知本地组播路由器希望加入并接收某个特定组播组的信息；另一方面，组播路由器通过IGMP周期性地查询局域网内某个已知组成员是否处于活动状态(即检查该网段内是否仍有属于某个组播組的成员)，实现对该网段内组成员关系的收集与维护。目前IGMP主要有三个版本IGMPv1、IGMPv2和IGMPv3。IGMPv2的报文格式如下述表1所示。表1:<table>tableseeoriginaldocumentpage13</column></row><table>上述表1中的Type(类型)字段表示IGMPv2的报文类型，主要包括四种类型(1)0x11,该类型报文主要用于实现成员关系查询。IGMPv2的成员关系查询报文有两个子类型一般查询报文，用于了解在相邻的网络有哪些组播组的成员存在。特定组查询报文，用于了解在相邻的网络中指定的组是否有成员存在。一般查询报文和特定组查询报文由组地址字段进行区分一般查询消息的组地址字段为0，而特定组查询消息的组地址字段则为要查询的组播组的地址。(2)0x12,该类型报文主要用于实现IGMPv1成员报告。这是为了和IGMPv1兼容，在IGMPv2中增加的一个报文类别。(3)0x16,该类型报文主要用于实现IGMPv2成员报告。(4)0x17,该类型报文主要用于实现离开组报告。IGMPv3和IGMPv1的报文格式和上述IGMPv2的报文格式类似。EAP协议报文格式在RFC3748中有详细描述。EAP报文的封装格式如下述表2所示表2:<table>tableseeoriginaldocumentpage14</column></row><table>上述表2中的Code字段占1个字节，该字段指定EAP报文的类型。EAP的code值指定如下1表示Request报文类型；2表示Response报文类型；3表示Success类型；4表示Failure报文类型。EAPRequest和Response报文格式如下述表3所示。表3:OctNumberCode1Identifier2length3-4Type5Type-Data6-N上述表3中的Code字段、Identifier字段和Length字段的含义如上述表2所述。上述表3中的Type字段占1个字节，该字段值指定Request或Response的类型。在EAP的Request报文或Response才艮文中必须出现且仅出现一个Type。一般情况下，Response报文中的Type字段值和Request报文中的Type字段值相同。但是，Response报文可以有一个Nak类型，当Supplicant发送Nak类型的报文来响应Request时，表明Request中的Type不能被Supplicant接受，它可以暗示它所希望使用并且支持的认证类型。RFC2284中定义Type字段值对应类型有1表示ldentity类型；2表示Notification类型；3表示Nak(Responseonly)类型；4表示MD5-Challenge类型；5表示One-TimePassword(OTP)(RFC1938)类型；6表示GenericTokenCard类型。EAPSuccess和Failure报文才各式如下述表4所示。表4:OctNumber<image>imageseeoriginaldocumentpage16</image>上述表4中的Code字段、Identifier字段和Length字段的含义如上述表2所述。Success报文由Authenticator发送给Supplicant，当用户信息认证成功后，Authenticator发送一个Code字段值为3的EAP数据包(即Success)来表明认证成功；当用户信息认证失败，Authenticator发送一个Code字段值为4的EAP数据包(即Failure)来表明认证失败。EAPSuccess和Failure报文是无数据字段的固定长度的报文，长度为4字节。本发明的实施例1的处理流程示意图如图1所示。实施例1通过扩展IGMP/MLD协议来实现主机(用户)到组播路由器之间的组播消息交互。具体处理过程包括如下步骤步骤11、当用户需要加入到一个组播组中时，向组播路由器发送IGMP/MLDjoin消息，在该消息中携带需要加入的组播组的组地址和对用户进行鉴权认证所需的用户认证信息，如用户名，用户认证码等，该用户认证信息还可以包括客户端的IP地址、MAC地址、VLAN等。上述IGMP/MLDjoin消息的方式可以是如图2所示的IGMP/MLDReport消息的扩展方式，也可以是如图3所示的在IGMP/MLD协议中定义的一个新的消息类型，该新的消息类型是Type-0x36。在图2所示的IGMPReport消息的扩展方式中，使用Reserved中的一个比特位，例如为最后一位来标识是否为第一个Report消息，置"1"表示为第Report消息。上述用户认证信息可以放在新增类型lnformation中，新增类型ProtocolType表示鉴权类型，PAP，CHAP等，新增类型Length表示用户信息长度。步骤12、组播路由器接收到上述IGMP/MLDjoin消息后，获取消息中携带的用户认证信息和组播组的组地址信息。组播路由器还根据上述IGMP/MLDjoin消息的构造方法，判断该IGMP/MLDjoin消息是否为该用户发送给组播路由器的第一个report消息。当组播路由器判定接收到的IGMP/MLDjoin消息是该用户的第一个report消息(即IGMPjoin消息)后，则发送上述获取的用户认证信息和组播组的组地址信息给鉴权服务器。鉴权服务器收到上述用户认证信息和组播组的组地址信息后，对用户进行认证。步骤13、鉴权服务器对用户进行认证成功后，向组播路由器返回携带认证成功信息的认证结果。步骤14、组播路由器收到上述认证结果后，赋予上述用户相应的权限，允许上述用户加入到需要加入的组播组，允许上述用户接收相应的组播业务。组播路由器将携带用户的权限信息的认证结果传输给交换设备，该用户的权限信息中包括用户可以接收的组播业务信息。步骤15、交换设备收到上述认证结果后，将上述用户的权限信息加入到组播转发表中。该组播转发表中包含各个用户有权限接收的组播业务信息。之后，当交换设备收到用户需要接收的组播流后，查找上述组播转发表，判断该用户是否有权限接收该组播流，如果是，则向该用户转发上述组播流；否则，不向该用户转发上述组播流。步骤16、交换设备通知用户认证成功。步骤13'、鉴权服务器对用户进行认证失败后，向组播路由器返回携带认证失败信息的认证结果。步骤14'、组播路由器收到上述携带认证失败信息的认证结果后，将该认证结果传输给交换设备。步骤15'、交换设备收到上述携带认证失败信息的认证结果后，不把该用户加入到组播转发表。通知用户认证失败。当交换设备收到用户需要接收的组播流后，查找组播转发表，发现用户没权限接收该组播流，不向用户转发该组播流。在实际应用中，可以在上述交换设备中设置一个组播转发表，该组播转发表可以包括组播组MAC地址，用户MAC地址，以及用户所在的Port/VC等，还可以包括VLAN，用户IP地址及其它信息。当该交换设备收到组播流后，查找相应的组播转发表，把组播流的目的组播MAC地址分别替换成单播MAC地址向每个用户进行转发。交换设备根据组播转发表对用户进行组播流转发的示意图如图4所示。根据上述实施例1的处理流程，当用户实现组播认证后，形成有权限的用户组播转发表，这样网络就能够控制向有权限的组播用户转发组播流，而对于没有权限的用户，非法的用户无法收到组播流。上述交换设备包括但不限于二层交换机、三层交换机或数字用户线接入复用器等网络交换机。本发明的实施例2提供了扩展EAP协议以支持组播认证的方案。实施例2通过扩展EAP协议，使EAP协议可以针对某个用户的某个组播组进行认证。实施例2的处理流程示意图如图5所示，具体处理过程包括如下步骤步骤51、用户发送组播认证请求报文给组播路由器。步骤52、组播路由器收到上述组播认证请求报文后，发送经过扩展的EAP请求报文给用户，该经过扩展的EAP请求报文携带组播信息。根据上述描述，当EAP的Code类型为请求或者响应的时候，Type为1时表示的是用户标识。在本实施例中，对该类型进行扩展，用户标识不仅仅限于用户名，还在用户标识中携带用户想加入的组信息(组地址)。步骤53、用户收到上述经过扩展的EAP请求报文后，发送经过扩展的EAP响应报文给组播路由器。在上述经过扩展的EAP响应报文中的用户标识中携带对用户进行鉴权认证所需的用户认证信息，如用户名，用户认证码等，以及上述用户想加入的组信息。步骤54、下面以MD5这种EAP方法为例来介绍该认i正过程。组播路由器收到上述EAP响应报文后，发送正常的EAP挑战字请求报文给用户。在该EAP挑战字请求报文中的用户标识中携带挑战字。所谓挑战字就是一个随机数，在MD5加密算法中，组播路由器和用户拥有一个共享密钥，就是组播路由器和用户都知道的一个密钥。用户收到组播路由器发送的挑战字后，用共享密钥对挑战字进行加密后，把密文发送给组播路由器，组播路由器用共享密钥对该密文进行解密，获取密文中携带的挑战字，将该挑战字与以前发送给用户的挑战字进行比较，根据比较结果来判定共享密钥的正确性。步骤55、用户收到EAP挑战字请求报文后，用共享密钥对挑战字进行加密后，回应携带密文的EAP挑战字应答报文给组播路由器。步骤56、组播路由器用共享密钥对该密文进行解密，获取密文中携带的挑战字，将该挑战字与以前发送给用户的挑战字进行比较，当比较结果为一致后，将上述用户认证信息和用户想加入的组信息一起传输给鉴权服务器。步骤57、鉴权服务器收到上述信息后，判断该用户是否拥有加入到该组播组的权限，如果有，发送允许用户加入到该組播组的认证成功消息给组播路由器；否则，发送拒绝用户加入到该组播组的认证失败消息给组播路由器。步骤58、组播路由器接收到上述认证成功报文后，则添加上述用户到相应的组播组，重新建立上述组播组的组播树和组播出接口。同时保存该用户的相关信息到本地数据库，该相关信息包括上述组播组的组地址、用户的IP地址和MAC地址，用户具体的端口号信息等。组播路由器接收到上述认证失败报文后，则拒绝上述用户加入到上述组播组。本发明的实施例3提供了一种触发机制来要求组播用户进行认证，实施例3的处理流程示意图如图6所示，具体处理过程包括如下步骤步骤61、在用户获得网络的普通访问权限后，经过DHCP(DynamicHostConfiguratJonProtocol，动态主机配置协议)等协议获得了IP地址后，就可以进行正常的网络访问。当用户需要加入到一个组播组中时，用户发送IGMPjoin报文给组播路由器，该IGMPjoin报文中包含上述需要加入的组播组的组地址、用户的相关信息，该相关信息包括IP地址和MAC地址等。步骤62、组播路由器从接收到的IGMPjoin报文中提取用户的相关信息和组播组的组地址信息。此外，组播路由器还可以通过接收IGMPjoin报文的端口获得用户具体的端口号信息等。组播路由器还根据上述IGMPjoin报文的构造方法，判断该IGMPjoin报文是否为该用户发送给组播路由器的第一个report报文。当組播路由器判定接收到的r印ort报文是该用户的第一个r印ort报文(即IGMPjoin报文)后，则发送上述获取的用户的相关信息和组播组的组地址信息至鉴权服务器。步骤63、鉴权服务器对接收到的上述客户端的相关信息进行认证，判断上述用户需要加入的组播组是否为特定组，或上述用户是否为特权用户。鉴权服务器进行上述判断的原则可以为根据具体的需求来设置。例如，判断用户的源地址是否为特权地址，所谓特权地址可以理解为拥有特殊权限的地址，可以查看一切组内容的特殊地址。如果是，则判断上述用户为特权用户。判断用户申请加入的组地址是否为特定组，所谓特定组可以理解为某些开放性的组，比如说电视广告频道等，如果是，则判断上述用户需要加入的组播组为特定组。如果鉴权服务器判断上述用户需要加入的组播组为特定组，或上述用户为特权用户，则向组播路由器返回发送允许上述用户加入到该组播组的认证成功报文；否则，向组播路由器返回携带触发组播认证的认证失败报文。步骤64、组播路由器收到上述认证成功报文后，赋予上述用户相应的权限，允许上述用户加入到上述需要加入的组播组，允许上述用户接收该组播组的数据、查看该组播组的内容。組播路由器收到上述认证失败报文后，则发送组播认证触发报文给用户。该组播认证触发报文的实现形式可以是多种。比如，该组播认证触发报文可以为携带认证请求的IGMP查询报文。该报文采用单播形式来发送。下面以IGMPv3为例，来介绍如何扩展IGMP的查询报文来携带认证请求，即实现组播认证触发报文。正常的IGMPv3的查询报文如下述表5所示。表5:<table>tableseeoriginaldocumentpage22</column></row><table>步骤65、用户收到上述组播认证触发报文后，发送携带用户认证信息的IGMPjoin报文给组播路由器。之后，组播路由器、鉴权服务器和用户之间进行信息交互，实现对用户的组播iU正。本发明的实施例4提供了采用其它带外认证协议(如DHCP,PPPOE等)和组播协议相配合来实现对用户进行认证的过程。实施例4的处理流程示意图如图7所示，具体过程为用户通过其它带外认证协议，发送携带用户认证信息和用户需要加入的组播组的组地址的组播认证请求给鉴权服务器。鉴权服务器对用户进行认证后，通过组播协议(如IGMP等)将认证结果返回给组播路由器，组播路由器再通过组播协议(如IGMP等)将认证结果返回给用户。实施例4的另一种处理流程示意图如图8所示，该处理流程和图7所示的处理流程的区别是，组播路由器通过组播协议(如IGMP等)将认证结果返回交换设备，交换设备根据接收到的认证结果形成组播转发表，并根据该组播转发表对用户进行控制。上述各个实施例中的组播路由器还可以为NAS设备。本发明提供的交换设备的结构示意图如图9所示，包括如下模块权限信息获取模块，用于接收其他网络设备发送的对用户加入組播组的请求进行认证的认证结果，获取所述认证结果中包含的用户获取相应的组播业务的权限信息；权限信息保存模块，用于根据用户权限信息获取模块所获取的权限信息，保存各个用户和所述权限信息之间的对应关系；组播业务控制模块，用于当接收到需要发送给所述用户的组播业务后，查找所述权限信息保存模块保存的对应关系，判断所述用户是否有权限接收所述组播业务，如果是，则向所述用户转发所述组播业务；否则，不向所述用户转发所述组播业务。上述组播业务控制模块为可选的，可以内嵌在交换设备中，也可以为独立于交换设备而设置的一个模块。所述权限信息保存模块中还可以包括组播转发表，该组播转发表中包含组播地址和用户地址的对应关系。所述组播业务控制模块还可以包括单播流转发模块，用于当接收到需要转发的组播流后，查询所述组播转发表，获取所述组播流的地址对应的用户地址，将所述组播流复制成各个用户相应的单播流，并发送给所述用户。本发明提供的进行组播认证的网络侧设备的结构示意图如图10所示，包括如下模块组播认证判断模块，用于当收到用户发送的加入组播组的请求后，根据所述加入组播组的请求中包含的组播地址和用户地址，判断是否需要对所述用户进行组播认证后；组播认证触发模块，用于当组播认证判断模块判断需要对所述用户进行组播认证后，向所述用户发送组播认证触发消息。上述网络侧设备可以为NAS或组播路由器。综上所述，本发明实现了组播用户鉴权认证，解决了以前组播协议中的用户可以随意加入一个组播组，并可以任意离开一个重要问题，避免了没有权限的用户享受组播业务，实现基于组播的接入控制。同时该方案把组播认证的结果应用到交换设备，从而更进一步避免没有了组播流在交换设备中的泛滥问题。以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。权利要求1、一种实现组播认证的方法，其特征在于，包括交换设备接收组播认证的认证结果，获取所述认证结果中包含的用户的权限信息；所述交换设备将所述权限信息进行保存，根据所述权限信息对需要发送给所述用户的组播流进行控制。2、根据权利要求1所述的方法，其特征在于，所述交换设备接收组播认证的认证结果的过程，具体包括网络设备接收携带用户认证信息和组播组标识信息的组播认证请求，将所述用户认证信息和组播组标识信息发送给鉴权服务器；所述鉴权服务器根据所述用户认证信息和组播组标识信息对所述用户进行认证，向所述网络设备返回携带认证成功或失败信息的认证结果；所述网络设备接收到携带认证成功信息的认证结果后，赋予所述用户接收相应的组播业务的权限，将所述权限信息和认证成功信息发送给所述交换设备；所述网络设备接收到携带认证失败信息的认证结果后，拒绝向所述用户发送组播流。3、根据权利要求2所述的方法，其特征在于，所述网络设备接收携带用户认证信息和组播组标识信息的组播认证请求之前，还包括所述网络设备接收用户相关信息，所述网络设备将所述用户相关信息发送给鉴权服务器，所述用户相关信息包括组播地址和用户地址；所述鉴权服务器根据所述用户相关信息判断是否需要对所述用户进行组播认证，如果是，则向所述网络设备返回需要进行组播认证的信息；否则，向所述网络设备返回不需要进行组播认证的信息；所述网络设备接收到所述需要进行组播认证的信息后，向所述用户发送要求进行组播认证的消息。4、根据权利要求3所述的方法，其特征在于，所述鉴权服务器根据所述用户相关信息判断是否需要对所述用户进行组播认证的过程，具体包括当所述鉴权服务器根据接收到的组播地址信息判断所述组播组为允许所有用户加入的特定组播组时，或者，当所述鉴权服务器根据接收到的用户地址信息判断所述用户为能够加入所有组播组的特定客户端时，所述鉴权服务器判断不需要对所述用户进行组播认证；否则，判断需要对所述用户进行组播认证。5、根据权利要求1所述的方法，其特征在于，所述交换设备接收组播认证的认证结果的过程，具体包括鉴权服务器接收用户通过第一协议发送的携带用户认证信息和组播组标识信息的请求组播认证的请求；所述鉴权服务器根据所述用户认证信息和组播组标识信息对所述用户进行认证，通过第二协议向网络设备返回携带认证成功或失败信息的认证结果；所述网络设备接收到携带认证成功信息的认证结果后，允许所述用户加入到所述组播组，赋予所述用户接收相应的组播业务的权限，通过第二协议将所述权限信息和认证成功信息发送给所述交换设备；所述网络设备接收到携带认证失败信息的认证结果后，拒绝所述用户加入到所述组播组。6、根据权利要求2所述的方法，其特征在于，所述组播认证请求为所述用户向所述网络设备发送的第一个因特网组管理协议IGMP的report报文，并且通过所述IGMP的report报文的特定字节来标识所述第一个report报文。7、根据权利要求2所述的方法，其特征在于，所述组播认证请求使用可扩展认证协议EAP认证方式，对所述用户进4亍组插-i人证。8、根据权利要求1至7任一项所述的方法，其特征在于，所述交换设备将所述权限信息进行保存，根据所述权限信息对需要发送给用户的组播业务进行控制的过程，具体包括所述交换设备保存用户和用户权限信息之间的对应关系；当所述交换设备接收到需要发送给用户的组播业务后，查找所述保存的对应关系，判断所述用户是否有权限接收所述组播业务，如果是，则向所述用户转发所述组播业务；否则，不向所述用户转发所述组播业务。9、根据权利要求8所述的交换设备，其特征在于，所述交换设备向所述用户转发所述组播业务的过程，具体包括所述交换设备将所述组播流转化为单播流，并将该单播流发送给所述用户。10、根据权利要求1至7任一项所述的方法，其特征在于，所述交换设备包括二层交换机、三层交换机或数字用户线接入复用器DSLAM。11、一种实现组播认证的方法，其特征在于，包括当网络设备判断需要对用户终端进行组播认证后，所述网络设备向所述用户发送要求进行组播认证的消息；所述用户接收到所述要求进行组播认证的消息后，向所述网络设备发送组^"认证请求。12、根据权利要求11所述的方法，其特征在于，所述当网络设备判断需要对用户终端进行组播认证后，所述网络设备向所述用户发送要求进行组播认证的消息的过程，具体包括网络设备接收用户发送的用户相关信息，所述用户相关信息包括组播地址和用户地址；所述网络设备将所述用户相关信息发送给鉴权服务器；所述鉴权服务器根据所述用户相关信息判断是否需要对所述用户进行组播认证，如果是，则向所述网络设备返回需要进行组播认证的信息；否则，向所述网络设备返回不需要进行组播认证的信息；所述网络设备接收到所述需要进行组播认证的信息后，向所述用户发送要求进行组播认证的消息。13、根据权利要求12所述的方法，其特征在于，所述鉴权服务器根据所述用户相关信息判断是否需要对所述用户进行组播认证的过程，具体包括当所述鉴权服务器根据接收到的组播地址信息判断所述组播组为允许所有用户加入的特定组播组时，或者，当所述鉴权服务器根据接收到的用户地址信息判断所述用户为能够加入所有组播组的特定客户端时，则所述鉴权服务器判断不需要对所述用户进行组播认证；否则，判断需要对所述用户进行组播认证。14、根据权利要求11或12或13所述的方法，其特征在于，所述要求进行组播认证的消息为携带了认证请求的IGMP查询报文或者EAPSTART报文。15、一种实现组播认证的方法，其特征在于，包括鉴权服务器接收用户通过第一协议发送的携带用户认证信息和组播组标识信息的组插^人证-清求；所述鉴权服务器根据所述用户认证信息和组播组标识信息对所述用户进行认证，通过第二协议向所述用户对应的网络设备返回携带认证成功或失败信息的认证结果。16、根据权利要求15所述的实现组播认证的方法，其特征在于，所述方法还包括所述网络设备接收到携带认证成功信息的认证结果后，赋予所述用户接收相应的组播业务的权限，通过第二协议将所述权限信息和认证成功信息发送给所述交换设备，或者所述网络设备通过第二协议将所述权限信息发送给所述用户；所述网络设备接收到携带认证失败信息的认证结果后，拒绝向所述用户设备发送组播流。17、一种交换设备，其特征在于，包括权限信息获取模块，用于接收其他网络设备发送的组播认证的认证结果，获取所述认证结果中包含的用户的权限信息；权限信息保存模块，用于根据用户权限信息获取模块所获取的权限信息，保存各个用户和用户权限信息之间的对应关系。18、根据权利要求17所述的交换设备，其特征在于，所述交换设备还包括组播业务控制模块，用于当接收到需要发送给所述用户的组播业务后，查找所述权限信息保存模块保存的对应关系，判断所述用户是否有权限接收所述组播业务，如果是，则向所述用户转发所述组播业务；否则，不向所述用户转发所述组播业务。19、根据权利要求18所述的交换设备，其特征在于所述权限信息保存模块中包括组播转发表，该组播转发表中包含组播地址和用户i也址的对应关系。20、根据权利要求19所述的交换设备，其特征在于，所述组播业务控制模块包括单播流转发模块，用于当接收到需要转发的组播流后，查询所述组播转发表，获取所述组播流的地址对应的用户地址，将所述组播流复制成各个用户相应的单播流，并发送给所述用户。21、一种网络侧设备，其特征在于，包括组播认证判断模块，用于当收到用户发送的组播认证请求后，根据所述组播认证请求中包含的组播地址和用户地址，判断是否需要对所述用户进行组播认证；组播认证触发模块，用于当组播认证判断模块判断需要对所述用户进行组播认证后，向所述用户发送要求进行组播认证的消息。全文摘要本发明提供了实现组播认证的方法和装置。该方法主要包括交换设备接收组播认证的认证结果，获取所述认证结果中包含的用户的权限信息；所述交换设备将所述权限信息进行保存，根据所述权限信息对需要发送给所述用户的组播流进行控制。该装置主要包括交换设备，该交换设备包括权限信息获取模块，用于接收其他网络设备发送的组播认证的认证结果，获取所述认证结果中包含的用户的权限信息；权限信息保存模块，用于根据用户权限信息获取模块所获取的权限信息，保存各个用户和用户权限信息之间的对应关系。利用本发明，可以实现在接入网中对用户进行组播认证，并对用户所接收的组播业务进行控制。文档编号H04L9/32GK101394277SQ20071012189公开日2009年3月25日申请日期2007年9月17日优先权日2007年9月17日发明者吴国敏,杨佩林,赵宇萍申请人:华为技术有限公司