组播用户权限控制方法、组播认证服务器和接入设备的制作方法

专利名称：组播用户权限控制方法、组播认证服务器和接入设备的制作方法
技术领域：
本发明涉及网络通信技术领域，尤指一种组播用户权限控制方法和一种 组播认证服务器。
背景技术：
组播技术是因特网协议(IP)网络数据传输方式中的一种，与单播技术 相比能够有效地节省带宽资源。
图1是现有技术中的单播数据传输方式的示意图。如图l所示，源主机 向目标主机发送IP才艮文时，IP报文中的目标地址就是目标主才几的地址。如 果相同的报文内容需要发送至多个目标主机时，源主机必须复制相同数目的 目标地址不同的IPl艮文，分别进行发送。
图2是现有技术中的组播数据传输方式的示意图。如图2所示，对于一 份组播的流量，源主机只需要转发一份数据，而在传输链路上，也只在需要 的链路上进行组播转发。
可见，组播技术避免了不必要的报文复制，能够有效地节省网络带宽。 图3是现有技术中的组播转发流程图。如图3所示，包括以下步骤 步骤300，组播源开始向网络发送组播流，使用(S， G)来标识一条组 播流，其中S表示组播源，G表示组播组。
步骤301,组播接收者A希望接收组播流(S， G),通过接入设备向 本地子网内的DR设备，即因特网组管理协议(IGMP， Internet Group Management Protocol) /组播侦听发现(MLD， Multicast Listener Discovery) 设备，发送IGMP或MLD组播加入请求报文。这里接入设备是与用户终端 (如组播接收者A)直接连接的网络侧设备。
7本步骤中，如果是IPv4网络，则所发送的组播加入请求报文是IGMP 组播加入请求报文，如果是IPv6网络，则所发送的组播加入请求报文是MLD 组播加入请求报文。
步骤302, DR收到IGMP/MLD组播加入请求报文后，向上游的组播转 发设备，如PIM路由器等，发送PIMJION报文，建立组播分布树。
步骤303, PIM JION报文向组播源方向一跳一跳地被发送，最终发送 到直连组播源的组播转发设备，即倒数第一跳的组播转发设备。
步骤304。直连组播源的组播转发设备建立(S， Gl表项，将组播流延 组播分布树发送。
步骤305，组播流延组播分布树被发送。
步骤306，组播流最终被转发给组播接收者A。
在上述组播转发的流程中，对组播源以及组播接收者都没有进行控制。 但在实际应用中，由于组播流量交道，需要考虑到对组播进行控制，以防止 组播泛滥。
在现有技术中已经提出了一些对组播源以及组播接收者进行控制的方 案，其中，对组播接收者的控制使用基于端口的控制，即只有被许可的端口 上的接入用户可以接收组播流。但是这种基于端口控制组播接收者的方案， 不够灵活，当一个用户从被许可的端口切换都未被无可的端口时，不再能够 ，接收组4番流。

发明内容
本发明提供了 一种组播用户权限控制方法，该方法能够实现基于用户的 组播接收者权限控制。
本发明还提供了 一种组播认证服务器，该组播认证服务器能够实现基于 用户的组播接收者权限控制。
本发明还提供了 一种接入设备，该接入设备能够实现基于用户的组播接 收者权限控制。为达到上述目的，本发明的技术方案具体是这样实现的
本发明公开了 一种组播用户权限控制方法，组播认证服务器上配置有用 户组播权限信息表，该用户组播权限信息表中保存了用户名和组播权限信息 的对应关系，该方法包括
组播认证服务器接收来自用户终端设备的组播加入请求报文；
组播认证服务器根据所述用户终端设备的地址标识和用户名查询该用 户终端设备是否通过单播认证；
如果已经通过单播认证，则组播认证服务器根据该用户名查询所述用户 组播权限信息表，确定该用户名所对应的用户是否具有加入组播组的权限。
本发明还公开了一种组播认证服务器，该组播认证服务器包括存储模 块、报文收发模块和查询模块，其中，
存储模块，用于存储用户组播权限信息表，该用户组播权限信息表中保 存了用户名和组播权限信息的对应关系；
报文收发模块，接收来自用户终端设备的组播加入请求报文，并将该组 播加入请求报文发送给查询模块；
查询模块，用于根据所述用户终端设备的地址标识和用户名查询该用户 终端设备是否通过单播认证；如果已经通过单播认证，则根据该用户名查询 所述用户组播权限信息表，确定该用户名所对应的用户是否具有加入组播组 的权限。
本发明公开了一种接入设备，该接入设备包括组播加入请求报文处理 模块；
所述组播加入请求报文处理模块，用于接收用户终端设备发送的组播加 入请求报文；用于将该组播加入请求报文发送给组播认证服务器进行认证， 接收组播认证服务器返回的认证结果；用于在所述认证结果表示组播认证成 功时，继续转发所述组播加入请求报文，反之，在所述认证结果表示组播认 证失败时，丢弃所述组播加入请求纟艮文；
其中，所述组播认证服务器上配置有用户组播权限信息表，该用户组播权限信息表中保存了用户名和组播权限信息的对应关系；所述组播认证服务 器在接收到组播加入请求报文时，向单播认证服务器查询所述组播加入请求 才艮文的源IP地址和/或源MAC :l也址所对应的用户名，以及查询该用户名所 对应的用户是否已经通过单播认证；如果没有通过单播认证，则组播认证服 务器向接入设备下发组播认证失败的认证结果；如果已经通过单播认证，则 组播认证服务器根据该用户名查询所述用户组播权限信息表，确定该用户名 所对应的用户是否具有加入组播组的权限，是则，组播认证服务器向接入设 备下发组播认证成功的认证结果，否则，组播认证服务器向接入设备下发组 播认证失败的认证结果。
由上述技术方案可见，本发明这种预先在组播认证服务器上配置用户组 播权限信息表，当组播认证服务器接收来自用户终端设备的组播加入请求报 文时，根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否 通过单播认证，如果已经通过单播认证，则组播认证服务器根据该用户名查 询所述用户组播权限信息表，确定该用户名所对应的用户是否具有加入组播 组的权限的技术方案，能够实现基于用户的组播接收者权限控制。


图l是现有技术中的单播数据传输方式的示意图2是现有技术中的组播数据传输方式的示意图3是现有技术中的组播转发流程图4是本发明实施例一种组播用户权限控制方法的流程图5是本发明实施例中组播认证服务器与单播认证服务器合并为一台 设备时的组播用户权限控制方法的流程图6是本发明实施例中组播认证服务器与单播认证服务器为相互独立 的设备时的组播用户权限控制方法的流程图7是现有技术中的RADIUS报文的26号属性字段的格式示意图8是本发明实施例一种组播认证服务器的组成结构框图。
具体实施例方式
本发明的核心思想是在网络中部署组播认证服务器，该组播认证服务 器上配置有用户組播权限信息表，当接入设备收到来自用户终端设备的组播 加入请求报文时先转发至组播认证服务器，组播认证服务器根据所述用户终 端设备的地址标识和用户名查询该用户终端设备是否通过单播认证，然后， 组播认证服务器结合单播认证结果以及用户组播权限信息表进行组播权限 认证》
为使本发明的技术方案更加清楚明白，以下进行详细说明。
图4是本发明实施例一种组播用户权限控制方法的流程图。首先，组播 认证服务器上配置有用户组播权限信息表，该用户组播权限信息表中保存了 用户名和组播权限信息的对应关系，则如图4所示，该方法包括以下步骤
步骤401，组播认证服务器接收由接入设备上报的来自用户终端设备的 请求加入指定组播组的组播加入请求报文。
步骤402,组播认证服务器向单播认证服务器查询所述组播加入请求报 文的源因特网协议IP地址和/或源媒质访问控制MAC地址所对应的用户名， 以及查询该用户名所对应的用户是否已经通过单播认证，是则执行步骤404， 否则执行步骤403。
本步骤中，组播认证服务器即可以根据源IP地址查询对应的用户名， 也可以根据源MAC地址查询对应的用户名，或者，也可以4艮据源IP地址和 源MAC地址查询对应的用户名。至于采用哪种方式根据具体情况而定。
这里，单播认证可以是802.1x认证、PORTAL认证、或者其他任意的 单播认证。
步骤403，如果没有通过单播认证，则组播认证服务器向接入设备下发 组播认证失败的认证结果，其中，接入设备在收到组播认证失败的认证结果 时，丢弃所述组播加入请求报文，使得所述用户终端设备不能加入指定组播 组。步骤404，如果已经通过单播认证，则组播认证服务器根据该用户名查 询所述用户组播权限信息表，确定该用户名所对应的用户是否具有加入所述 指定组播组的权限；是则执行步骤405，否则执行步骤406。
步骤405，组播认证服务器向接入设备下发组播认证成功的认证结果； 其中，接入设备在收到组播认证成功的认证结果时，继续转发所述组播加入 请求报文，使得所述用户终端设备能够加入指定组播组。
步骤406，组播认证服务器向接入设备下发组播认证失败的认i正结果； 其中，接入设备在收到组播认证失败的认证结果时，丢弃所述组播加入请求 报文，使得所述用户终端设备不能加入指定组播组。
图4所示的技术方案能够实现基于用户的组播接收者权限控制，与现有 的基于端口控制组播接收者的方案相比，组播权限不再和固定的端口绑定， 允许用户移动，即当具有组播接收用户权限的用户从任意端口接入网络时， 都能够通过组播认证，并接收组播流，而没有组播接收权限的用户不管从哪 个端口接入网络，都不能通过组播认证，也不能接收组播流。
在网络中部署组播认证服务器有两种方式， 一种是组播认证服务器和单 播认证服务器是合并在一起的一台设备，另 一种是组播认证服务器和单播认 证服务器是相互独立的两台设备。下面以这两种部署方式为例，分别对本发 明的技术方案进行进一步的说明。
图5是本发明实施例中组播认证服务器与单播认证服务器合并为一台设 备时的组播用户权限控制方法的流程图。如图5所示，包括以下步骤
步骤5(H,在组播认证服务器上配置用户组播权限信息表，该用户组播 权限信息表中保存了用户名和组播权限信息的对应关系。
本步骤中，用户组播权限信息表中的可以通过(S， G)或(*， G)表 项表示相应用户能够加入的組播组，即对应的用户具有接收这些组播组的组 播流的权限。 一个用户能够加入某个组播组，就可以接收到该组播组的组播
流o
步骤502，当用户需要接入网络时，通过用户终端设备向单播认证服务器发起单播认证，单播认证通过后用户的单播访问正常。
本步骤中，单播认证过程为现有技术，具体可以为802.1x认证或PORTAL 认证等。在802.1x认证中，单播认证服务器要求用户终端设备上传IP地址， 在PORTAL认证中，单播认证服务器要求用户终端设备上传媒质访问控制 (MAC)地址。在单播认证过程中，用户终端设备还要向单播认证服务器 上传用户名以及密码等信息用于完成认证算法。单播认证通过后，单播认证 服务器会将用户名以及对应的IP地址和/或MAC地址等信息对应添加到单播 认证结果信息中。
步骤503,当用户需要接收某个组播流时，通过用户终端设备发送组播 加入请求报文到接入设备。该组播加入请求报文表示请求加入用户需要接收 的组l番流所对应的组播组。
步骤504,接入设备将来自用户终端设备的组播加入请求报文封装成 RADIUS报文，上传到组播认证服务器。
本步骤中，由于在组播认证通过后还需要正常转发组播加入请求报文， 因此接入设备还需要在本地保存所述组播加入请求报文。
步骤505，组播认证服务器直接查询单播认证服务器的用户单播认证结 果信息，确定所述组播加入请求报文的源IP地址和/或源MAC地址所对应 的用户名，以及查询该用户名所对应的用户是否已经通过单播认证；如果没 有通过单播认证，则组播认证失败；如果已经通过单播认证，则组播认证服 务器根据该用户名查询预先配置的用户组播权限信息表，确定该用户名所对 应的用户是否具有加入所述指定组播组的权限，是则，组播认证成功，否则， 组4番认证失败。
本步骤中，由于组播认证服务器和单播认证服务器部署在同 一 台设备 上，因此，'组播认证服务器可以直接查询用户单播认证结果信息。
步骤506，组播认证服务器向接入设备下发组播认证结果，该组播认证 结果为组播认证成功或组播认证失败。
本步骤中，组播认证服务器将组播认证结果封装在RADIUS报文中发送给接入设备。即接入设备与组播认证服务器之间采用RADIUS协议进4亍通信。
步骤507，接入设备在组播认证成功时继续转发所述组播加入请求报文， 反之，在组播认证失败时丢弃所述组播加入请求报文。
图6是本发明实施例中组播认证服务器与单播认证服务器为相互独立的 设备时的组播用户权限控制方法的流程图。如图6所示，包括以下步骤
步骤601,在组播认证服务器上配置用户组播权限信息表，该用户组播 权限信息表中保存了用户名和组播权限信息的对应关系。
步骤602，当用户需要接入网络时，通过用户终端设备向单播认证服务 器发起单播认证，单播认证通过后用户的单播访问正常。
步骤603,组播认证服务器定时从单播认证服务器获取用户单播认证结 果信息并保存。
步骤604,当用户需要接收某个组播流时，通过用户终端设备发送组播 加入请求报文到接入设备。该组播加入请求报文表示请求加入用户需要接收 的纽j番流所^t应的组4番组。
步骤605，接入设备将来自用户终端设备的纽播加入请求报文封装成 RADIUS报文，上传到组播认证服务器。
步骤606，组播认证服务器根据所保存的用户单播认证结果信息进行查 询，查询所述组，燔加入请求^艮文的源IP地址和/或源MAC地址所对应的用 户名，以及查询该用户名所对应的用户是否已经通过单播认证；如果没有通 过单播认证，則组播认证失败；如果已经通过单播认证，则组播认证月良务器 根据该用户名查询预先配置的用户组播权限信息表，确定该用户名所对应的 用户是否具有加入所述指定组播组的权限，是则，组播认证成功，否则，组 播认证失败。
步骤607,如果组播认证服务器所保存的用户单播认证结果信息中不存 在与所述组播加入请求4艮文的源IP地址和/或源MAC地址所对应的用户名， 则组播认证服务器再向单播认证服务器进行查询，单播认证服务器根据自身 的用户单播认证结果信息返回查询结果。本步骤是针对组播认证服务器没能及时同步用户单播认证结果信息的 情况，即当单播认证服务器上的用户单播认证结果信息已发生了改变，如有 新用户通过了单播认证等，但组播认证服务器的定时更新时间还未到，因此 导致组播认证服务器与单播认证服务器上的用户单播认证结果信息不 一致 的情况。
步骤608,组播认证服务器向接入设备下发组播认证结果，该组播认证 结果为组插^人i正成功或组插^人证失败。
步骤609,接入设备在组播认证成功时继续转发所述组播加入请求报文， 反之，在组播认证失败时丢弃所述组播加入请求4艮文。
在图5和图6所示的流程中，接入设备和组播认证服务器之间采用 RADIUS协议进行通信，具体可以采用如下方式
1 、接入设备将组播加入请求报文封装在RADIUS报文中发送给组播认证 服务器；
2、组播认证服务器将认证结果封装在RADIUS报文中发送接入设备。 图7是现有技术中的RADIUS报文的26号属性字段的格式示意图。 RADIUS报文的26号属性为"Vendor-Specific"属性，参见图7，在本发明实 施例中，可以在RADIUS报文的26号"Vendor-Specific"属性的"String"字 段中封装组播加入请求报文(IGMP/MLD组播加入请求报文)，在封装时， 封装二层开始的组播加入请求净艮文，即将组播加入请求报文的从以太网帧头 开始的内容封装在"String"字段中。
同样，组播认证服务器在下发组播认证结果时，也可以将组播认证结果 封装在RADIUS报文的26号"Vendor-Specific"属性的"String"字段中。 此外，组播认证服务器还可以将组播加入请求报文与认证结果一起封装在一 个RADIUS报文中发送给接入设备，这样，接入设备就不需要保存初始时从 用户终端设备接收的组播加入请求报文。当然，在认证失败时由于接入设备 不需要再继续转发组播加入请求报文，因此，此时组播认证服务器不需要将 组播加入请求报文再下发给接入设备，即只将认证结果下发给接入设备即可。.
基于上述实施例接下来给出本发明中的一种组播认证服务器和一种接
入"i殳备的组成结构。
图8是本发明实施例一种组播认证服务器的组成结构框图。如图8所示， 该组播认证服务器包括存储模块801、报文收发模块802和查询模块803， 其中
存储模块801,用于存储用户组播权限信息表，该用户组播权限信息表 中保存了用户名和组播权限信息的对应关系；
报文收发模块802，用于接收来自用户终端设备的播加入请求报文，并 将该组播加入请求报文发送给查询模块803;
查询模块803,用于根据所述用户终端设备的地址标识和用户名查询该 用户终端设备是否通过单播认证；如果已经通过单播认证，则根据该用户名 查询所述用户组播权限信息表，确定该用户名所对应的用户是否具有加入组 播组的权限。
参见图8,所述报文收发模块802接收的来自用户终端设备的组播加入 请求报文是由接入设备上报的。所述查询模块803，进一步用于在确定该用 户名所对应的用户具有加入组播组的权限时，向报文收发模块802返回組播 认证成功的认证结果；反之，在确定该用户名所对应的用户不具有加入组播 组的权限时，向报文收发模块802返回组播认证失败的认证结果。所述报文 收发模块802，用于将查询模块803返回的认证结果发送给接入设备。其中， 接入设备在收到组播认证成功的认证结果时，继续转发所述组播加入请求报 文，使得所述用户终端设备能够加入组播组；反之，接入设备在收到组播认 证失败的认证结果时，丟弃所述组播加入请求4艮文，使得所述用户终端i殳备 不能加入组播组。
参见图8，所述查询模块803，还进一步用于在确定在查询到该用户终 端设备没有通过单播认证时，向报文收发模块802返回组播认证失败的认证 结果。所述报文收发模块802，用于将查询模块803返回的认证结果发送给接入设备。其中，接入设备在收到组播认证失败的"i人证结果时，丢弃所述组 播加入请求报文，使得所述用户终端设备不能加入组播组。
参见图8,所述地址标识为因特网协议IP地址和/或源媒质访问控制 MAC地址。所述查询模块803，用于向单播认证服务器查询所述组纟番加入 -清求才艮文的源IP地址和/或源MAC :l也址所对应的用户名，以及查询该用户 名所对应的用户是否已经通过单播认证。
其中，当该组播认证服务器与单播认证服务器为合并在一起的一台设备 时，所述查询模块803直接根据单播认证服务器的用户单播认证结果信息进 行查询。当该组播i人证服务器和单播认证服务器是独立的两台设备时，所述 查询模块803定时从单播认证服务器获取用户单播认证结果信息并保存，根 据所保存的用户单播认证结果信息进行查询；当所保存的用户单播认证结果 信息中不存在与所述组4番加入请求报文的源IP i也址和/或源MAC地址所对 应的用户名时，所述查询模块803再向单播认证服务器进行查询。
参见图8，报文收发模块802，用于接收由接入设备上报的RADIUS报 文，该RADIUS报文内封装了组播加入请求报文，用于将查询模块803返回 的认证结果封装在RADIUS报文中发送给接入设备。
参见图8，报文发送模块802，进一步用于将组播加入请求报文与认证结 果一起封装在一个RADIUS报文中发送给接入设备。这样，接入设备就不需 要保存初始时收到的来自用户终端设备的组播加入请求报文。
本发明实施例中的一种接入设备包括組播加入请求报文处理模块；
该组播加入请求报文处理模块，用于接收用户终端设备发送的请求加入 指定组播組的组播加入请求报文；用于将该组播加入请求报文发送给组播认 证服务器进行认证，接收组播认证服务器返回的认证结果；用于在所述认证 结果表示组播认证成功时，继续转发所述组播加入请求报文，反之，在所述 认证结果表示组〗番认证失败时，丢弃所述组播加入请求4艮文；
其中，所述组播认证服务器上配置有用户组播权限信息表，该用户组播 权限信息表中保存了用户名和组播权限信息的对应关系；所述组播认证服务器在接收到组播加入请求报文时，向单播认证服务器查询所述组播加入请求
寺艮文的源IP地址和/或源MAC地址所对应的用户名，以及查询该用户名所 对应的用户是否已经通过单播认证；如果没有通过单播认证，则组播认证服 务器向接入设备下发组播认证失败的认证结果；如果已经通过单播认证，则 组播认证服务器根据该用户名查询所述用户组播权限信息表，确定该用户名 所对应的用户是否具有加入所述指定组播组的权限，是则，组播认证服务器 向接入设备下发组播认证成功的认证结果，否则，组播认证服务器向接入设 备下发组播认证失败的认证结果。
本发明实施例中的一种接入设备中的所述组播加入请求报文处理模块， 用于将组播加入请求发报文封装成RADIUS报文后送给组播认证服务器进行 认证；用于接收组播认证服务器返回的封装了i人证结果的RADIUS报文。
综上所述，本发明这种预先在组播认证服务器上配置用户组播权限信息 表，当接入设备收到来自用户终端设备的组播加入请求报文时先转发至组播 认证服务器，由组播认证服务器先确认该用户终端设备是否已经通过了单播 认证，在通过了单播认证的情况下再根据用户组播权限信息确定该用户终端 设备是否具有接收组播的权限，并将结果下发给接入设备，接入设备根据下 发的结果正常转发所述组播加入请求报文，使得用户终端设备能够接收组播 流，或者接入设备根据下发的结果丢弃所述组播接入请求报文，使得用户终 端设备不能接收到组播流的技术方案，能够实现基于用户的组播接收者权限 控制。
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护 范围，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等， 均应包含在本发明的保护范围之内。
权利要求
1、一种组播用户权限控制方法，其特征在于，组播认证服务器上配置有用户组播权限信息表，该用户组播权限信息表中保存了用户名和组播权限信息的对应关系，该方法包括组播认证服务器接收来自用户终端设备的组播加入请求报文；组播认证服务器根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证；如果已经通过单播认证，则组播认证服务器根据该用户名查询所述用户组播权限信息表，确定该用户名所对应的用户是否具有加入组播组的权限。
2、 如权利要求1所述的方法，其特征在于，组播认证服务器接收的来 自用户终端设备的组播加入请求报文是由接入设备上报的，该方法进一步包 括当组播认证服务器确定该用户名所对应的用户具有加入组播组的权限 时，向接入设备下发组播认证成功的认证结果；反之，当组播认证服务器确 定该用户名所对应的用户不具有加入组播组的权限时，向接入设备下发组播 i人i正失败的i人证结果；接入设备在收到组播认证成功的认证结果时，继续转发所述组播加入请 求报文，使得所述用户终端设备能够加入组播组；反之，接入设备在收到组 播认证失败的认证结果时，丢弃所述组播加入请求报文，使得所述用户终端 设备不能加入组播组。
3、 如权利要求1所述的方法，其特征在于，组播认证服务器接收的来 自用户终端设备的组播加入请求报文是由接入设备上报的，该方法进一步包括当组播认证服务器查询到该用户终端设备没有通过单播认证时，向接入 设备下发组播认证失败的认证结果；接入设备在收到组播认证失败的认证结果时，丢弃所述组播加入请求才艮文，使得所述用户终端设备不能加入组播组。
4、 如权利要求l所述的方法，其特征在于，所述地址标识为因特网协议IP地址和/或源媒质访问控制MAC地址； 所述组播认证服务器根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证包括组播认证服务器向单播认证服务器查询所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名，以及查询该用户名所对应的用户是否已经通过单播认证。
5、 如权利要求4所述的方法，其特征在于，组播认证服务器向单播认 证月良务器查询所述组4番加入请求报文的源IP地址和/或源MAC地址所对应的月户名，以及查询该用户名所对应的，,是否e^经通过单播认证包括当組播认证服务器和单播认证服务器为合并在一起的一台设备时，组播 认证服务器直接根据单播认证服务器的用户单播认证结果信息进行查询。
6、 如权利要求4所述的方法，其特征在于，组播认证服务器向单播认 证月良务器查询所述组4番加入请求报文的源IP地址和/或源MAC地址所对应 的用户名，以及查询该用户名所对应的用户是否已经通过单播认证包括当组播认证服务器和单播认证服务器是独立的两台设备时，组播认证服 务器定时从单播认证服务器获取用户单播认证结果信息并保存，根据所保存 的用户单播认证结果信息进行查询；当所保存的用户单播认证结果信息中不 存在与所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户 名时，组播认证服务器再向单播认证服务器进行查询。
7、 如权利要求2所述的方法，其特征在于，组播认证服务器接收由接入设备上报的组播加入请求报文包括组播认 证服务器接收由接入设备上报的RADIUS报文，该RADIUS报文内封装了 组播加入请求报文；组播认证服务器向接入设备下发认证结果包括组播认证服务器将认证 结果封装在RADIUS报文中发送给接入设备。
8、 如权利要求7所述的方法，其特征在于，该方法进一步包括组播 认证服务器将组播加入请求报文与认证结果一起封装在一个RADIUS报文 中发送给接入设备。
9、 一种组播认证服务器，其特征在于，该组播认证服务器包括存储 模块、报文收发模块和查询模块，其中，存储模块，用于存储用户组播权限信息表，该用户组播权限信息表中保 存了用户名和组播权限信息的对应关系；报文收发模块，接收来自用户终端设备的组播加入请求报文，并将该组 播加入请求报文发送给查询模块；查询模块，用于根据所述用户终端设备的地址标识和用户名查询该用户 终端设备是否通过单播认证；如果已经通过单播认证，则根据该用户名查询 所述用户组播权限信息表，确定该用户名所对应的用户是否具有加入组播组 的权限。
10、 如权利要求9所述的组播认证服务器，其特征在于， 所述报文收发模块接收的来自用户终端设备的组播加入请求报文是由接入设备上报的；所述查询模块，进一步用于在确定该用户名所对应的用户具有加入组播 组的权限时，向报文收发模块返回组播认证成功的认证结果；反之，在确定 该用户名所对应的用户不具有加入组播组的权限时，向报文收发模块返回组 播认证失败的认证结果；所述报文收发模块，用于将查询模块返回的认证结果发送给接入设备； 其中，接入设备在收到组播认证成功的认证结果时，继续转发所述组播加入 请求报文，使得所述用户终端设备能够加入组播组；反之，接入设备在收到 组播认证失败的认证结果时，丢弃所述组播加入请求报文，使得所述用户终 端设备不能加入组播组。
11、 如权利要求9所述的组播认证服务器，其特征在于， 所述报文收发模块接收的来自用户终端设备的组播加入请求报文是由接入设备上报的；所述查询模块，进一步用于在确定在查询到该用户终端设备没有通过单 播认证时，向报文收发模块返回组播认证失败的认证结果；所述报文收发模块，用于将查询模块返回的认证结果发送给接入设备； 其中，接入设备在收到组播认证失败的认证结果时，丢弃所述组播加入请求 报文，使得所述用户终端设备不能加入组播组。
12、 如权利要求9所述的组播认证服务器，其特征在于， 所述地址标识为因特网协议IP地址和/或源媒质访问控制MAC地址； 所述查询^i块，用于向单播认证服务器查询所述组播加入请求报文的源IP ;l也址和/或源MAC ;l也址所对应的用户名，以及查询该用户名所对应的用户 是否已经通过单播认证。
13、 如权利要求12所述的组播认证设备，其特征在于， 当组播认证服务器和单播认证服务器为合并在一起的一台设备时，所述查询模块直接根据单播认证服务器的用户单播认证结果信息进行查询。
14、 如权利要求12所述的组播认证设备，其特征在于， 当组播认证服务器和单播认证服务器是独立的两台设备时，所述查询模块定时从单播认证服务器获取用户单播认证结果信息并保存，根据所^存的 用户单播认证结果信息进行查询；当所保存的用户单播认证结果信息中不存 在与所述组播加入请求报文的源IP地址和/或源MAC地址所对应的用户名 时，所述查询模块再向单播认证服务器进行查询。
15、 如权利要求IO所述的组播认证服务器，其特征在于， 所述报文收发模块，用于接收由接入设备上报的RADIUS报文，该RADIUS报文内封装了组播加入请求报文；用于将查询模块返回的认证结果 封装在RADIUS报文中发送给接入设备。
16、 如权利要求15所述的组播认证服务器，其特征在于， 所述报文发送模块，进一步用于将组播加入请求报文与认证结果一起封装在一个RADIUS报文中发送给接入设备。
17、 一种接入设备，其特征在于，该接入设备包括组播加入请求报文 处理模块；所述组播加入请求报文处理模块，用于接收用户终端设备发送的组播加 入请求报文；用于将该组播加入请求报文发送给组播认证服务器进行认证， 接收组播认证服务器返回的认证结果；用于在所述认证结果表示组播认证成 功时，继续转发所述组播加入请求报文，反之，在所述认证结果表示组播认 证失败时，丢弃所述组4番加入请求报文；其中，所述组播认证服务器上配置有用户组播权限信息表，该用户组播 权限信息表中保存了用户名和组播权限信息的对应关系；所述组播认证服务 器在接收到组播加入请求报文时，向单播认证服务器查询所述组播加入请求 才艮文的源IP地址和/或源MAC地址所对应的用户名，以及查询该用户名所 对应的用户是否已经通过单播认证；如果没有通过单播i人证，则组播认证服 务器向接入设备下发组播认证失败的认证结果；如果已经通过单播认证，则 组播认证服务器根据该用户名查询所述用户组播权限信息表，确定该用户名 所对应的用户是否具有加入组播组的权限，是则，组播认证服务器向接入设 备下发组播认证成功的认证结果，否则，组播认证服务器向接入设备下发组 播认证失败的认证结果。
18、 如权利要求17所述的接入设备，其特征在于， 所述组播加入请求报文处理模块，用于将组播加入请求发报文封装成RADIUS报文后送给组播认证服务器进行认证；用于接收组播认证服务器返 回的封装了认证结果的RADIUS报文。
全文摘要
本发明公开了一种组播用户权限控制方法、一种组播认证服务器和一种接入设备。所述方法包括组播认证服务器上配置有用户组播权限信息表；当组播认证服务器接收到来自用户终端设备的组播加入请求报文时，根据所述用户终端设备的地址标识和用户名查询该用户终端设备是否通过单播认证；如果已经通过单播认证，则组播认证服务器根据该用户名查询所述用户组播权限信息表，确定该用户名所对应的用户是否具有加入组播组的权限。本发明的技术方案，能够实现基于用户的组播接收者权限控制。
文档编号H04L12/18GK101610254SQ20091008751
公开日2009年12月23日 申请日期2009年6月23日 优先权日2009年6月23日
发明者乔肖桉 申请人:杭州华三通信技术有限公司