专利名称:一种实现组播成员认证的方法及系统的制作方法
技术领域:
本发明涉及组播技术,特别涉及一种实现组播成员认证的方法及系统。
背景技术:
随着视频会议、远程教学、视频点播等应用在因特网上的开展,组播技 术的优势和重要性逐渐显现出来。采用组播技术后,主机可以动态地加入或 离开某一个组,发送源只需将一个报文发送到一个组地址,网络中的路由器 就会将这个报文转发给每一个组成员。组播既不向广播那样产生大量的广播 报文,也不像单播那样需要发送者给每一个接收者都传送一次报文。因此,组 播技术能够有效地降低某些应用的网络带宽。在网络中为了支持组播技术,
前提条件有两个①所有的主机和路由器需要运行因特网组管理协议;②所 有路由器至少要支持一种组播路由协议。因特网组管理协议的主要功能是在 一个子网内,为主机和路由器提供必要的信息交互,以帮助主机动态地加入 和离开某个特定的组播组。在IPv4网络中使用的组管理协议是IGMP。
下面先介绍IGMPvl,虽然目前大多数设备都支持IGMPv2,但是仍有许 多设备在使用IGMPvl。 IGMPvl的工作原理是路由器定期向子网内广播查 询报文,探察子网内是否有组成员,主机如果想加入某个组播组,就向路由 器发送报告报文;主机如果想离开某个组播组,就对路由器的查询保持沉默, 经过一定时间,路由器便知道子网内没有组成员了。 IGMP报文利用IP协议 发送。在IP数据报文中,将协议字段置为2,表示承载的是IGMP报文;同 时,将TTL字段置为1,表示IGMP报文只能在本子网内传送。
而针对IGMPvl的主要缺点,离开延迟过大和选择查询路由器需要依赖 组播路由协议进行,IGMPv2做了相关的改进。在IGMPv2中,增加了离开 组的报文格式,当主机想要离开时,只需向路由器发送离开报文即可,这样
4可以有效地缩短离开延迟。另外在IGMPv2中,还明确了查询路由器的选举 机制。除此之外,IGMPv2的工作原理与IGMPvl基本一致。
而IGMPv3的提出,主要是为了配合源特定组播的实现。源特定组播 (Source Specific Multicast, SSM)是一种区别于传统组4番的新的业务才莫型, 它使用组,燔组地址和组播源地址同时来标志一个组"t番会话,而不是向传统的 组播服务那样只使用组播组地址来标志一个组播会话。
IGMPv3的报文类型有以下几种
0xl 1 ,成员关系查询才艮文(Membership Query);
0x22,片反本3成员关系才艮告l艮文(version 3 Membership Report);
0x12,版本1成员关系才艮告才艮文(version 1 Membership Report);
0x16 ,版本2成员关系报告才艮文(version 2 Membership Report);
0x17,版本2离开报文(version 2 Leave Group)。
报文类型的值填写在报文中的类型字段。在IGMPv3中,查询报文和报告 报文格式有较大差异,需要分别描述。
图1为查询"t艮文的格式,其中
类型字段,8bits。置为Oxll,代表该报文为查询报文。
最大响应时间字段,8bits。指明了主机发出响应报告的最长时间。
组地址字l殳,32bits。功能与v2—样,可以用于通用查询和组特定查询。
S字段,lbit。置为1时,其他路由器不对该报文进行处理。
QRV字段,3bits。查询路由器的健壮值(Querier,s Robustness Variable),该 值影响计时器和重试次数的取值。
QQIC字I殳,8bits。查询i 各由器的查询间隔码(Querier,s Query Interval Code),该值影响查询路由器的查询间隔时间,非查询路由器按照此值更 新自己的缺省值。
源地址数目字段,16bits。该值代表在这个报文中包含了多少个源地址。 当进行通用查询(General Query)或者组特定查询(Group-specific Query)时,该值置为0;当进行组-源特定查询(Group-Source-specific Query,用于 PIM-SSM)时,该值为源特定地址的数目。
源地址地段,每个源地址占用4个字节,32bits。
IGMPv3报告报文的格式较为复杂,如图2所示。其主要内容有
类型字段,8bits。置为0x22,表示该报文为IGMPv3报告报文。
组记录数目字段,16bits。表示此报文中包含的组记录数目。
组记录字段,包含若干个组记录,每个组记录长度不固定,其内容如图 2所示。
组记录类型字段,8bits。表示该组记录中包含的数据的类型,目前定义 了六种类型,分别是
MODE—ISJNCLUDE,表示该主机的过滤模式为INCLUDE,也就是说, 后面列出的地址都是主机想要接收的组播源地址。
MODE—IS—EXCLUDE,表示该主才几的过滤才莫式为EXCLUDE,也就是i兌, 后面列出的地址都是主机想要拒绝的组播源地址。
CHANGE—TO—INCLUDE—MODE,表示该主才几的过滤才莫式从EXCLUDE 切换为INCLUDE模式。
CHANGE—TO—EXCLUDE—MODE,表示该主机的过滤模式从INCLUDE 切换为EXCLUDE模式。
ALLOW—NEW—SOURCES,表示该主才几中新增的想要4妄收的源地址。
BLOCK—OLD—SOURCES,表示从该主才几中删除的不想接收的源地址。
② 辅助数据长度字段,8bits。在组记录的最后,可以增加以4字节为单 位的辅助数据,如果没有辅助数据,则置为0。
③ 源地址数目字段,8bits。表示该记录中包含了多少个组播源地址。
④ 组地址字段,32bits。与源地址共同表示源特定组播。
⑤ 源地址字段,每个长度为32bits。标志源地址,数目由源地址数目字 段表示。⑥辅助数据字段,为将来的应用预留,在IGMPv3中并不需要。
IGMPv3除了支持原特定组播外,其工作原理与IGMPv2相比,并没有 本质的改变,只是在某些地方做了改进和优化。以下列出了 IGMPv3的主要 特点和改进支持源特定组播SSM;向后兼容IGMPvl和IGMPv2;主机可 以定义要接收的组播源地址;非查询路由器可以与查询路由器保持参数值同 步;最大响应时间从25.5s增加到53min,适合于较大的网络;辅助数据字段 为将来的应用预留了空间;关系成员报告报文发送给目的地址224. 0. 0. 22, 可以帮助二层交换机更有效地实现IGMP监听(IGMP Snooping)功能;报 告报文中可以包含多个组记录,可以有效地减少网络通信量;在IGMPv3中, 取消了前面版本中的响应抑制功能。在查询报文中,增加了S标志位,可以 提高系统的健壮性。
但是,在当前的IP组播通信模型中,任何主机都可以加入组播组从而接 收组播数据,任何主机都可以向组播组发送组播数据。其中没有任何组播组 成员认证、访问控制机制,这样容易导致拒绝服务(DoS)攻击和重放攻击 (有人可以在认证信息在网络中传输的时候对它进行复制,即使这些信息经 过了加密,然后在以后进行重放,从而获得不正当的访问)。
发明内容
本发明所要解决的技术问题是,提供一种实现组播成员认证的方法及系统。
为了解决上述问题,本发明公开了一种实现组播成员认证的方法,包括
主机向路由器发送组管理协议IGMPv3才艮文以请求加入组,播组,其中, 所述IGMPv3报文中携带有组播成员认证信息;
所述路由器收到所述IGMPv3报文后,获取其中的组播成员认证信息, 根据所述组播成员认证信息对所述主机客户进行认证,并将认证成功或者失 败的信息返回给所述主机。
进一步地,上述方法中,所述主机向所述路由器发送的组管理协议 IGMPv3报文为IGMPv3报告报文,其中,所述IGMPv3报告报文的源地址字段中携带有所述组播成员认证信息。
进一步地,上述方法中,所述路由器通过IGMPv3查询报文将认证成功 或者失败的信息返回给所述主机,其中,所述IGMPv3查询报文的Resv字段 中携带认证成功或者失败的信息。
其中,所述主机通过Kerberos认证服务获取所述组播成员认证信息,其 中,所述组播成员认证信息包括加密的认证列表以及服务票据。
所述路由器收到携带所述组播成员认证信息的IGMPv3报文后,对所述 组播成员认证信息中的认证列表以及服务票据分别进行解密,若解密后的服 务票据中的列表信息与解密后的认证列表信息相一致,则所述路由器将认证
成功的信息返回给所述主机。
本发明还公开了一种实现组播成员认证的系统,包括主机和路由器,其
中
所述主机,用于向所述路由器发送组管理协议IGMPv3报文以请求加入 组播组,其中,所述IGMPv3报文中携带有组播成员认证信息;
所述路由器,用于接收所述IGMPv3报文,从中获取组播成员认证信息, 根据所述组播成员认证信息对所述主机客户进行认证,以及用于将认证成功 或者失败的信息返回给所述主机。
进一步地,上述系统中,所述主机向所述路由器发送的组管理协议 IGMPv3报文为IGMPv3报告报文,其中,所述IGMPv3报告报文的源地址 字段中携带所述组播成员认证信息。
进一步地,上述系统中,所述路由器通过IGMPv3查询报文将认证成功 或者失败的信息返回给所述主机,其中,所述IGMPv3查询报文的Resv字段 中携带认证成功或者失败的信息。
其中,该系统还包括Kerberos认证服务器,所述Kerberos认i正服务器, 用于向所述主机提供所述组播成员认证信息,其中,所述组播成员认证信息 包括加密的认证列表以及服务票据。
8所述路由器,从所述IGMPv3报文中获取组播成员认证信息后,对所述
组播成员认证信息中的认证列表以及服务票据分别进行解密,若解密后的服 务票据中的列表信息与解密后的认证列表信息相一致,则所述3各由器将认证
成功的信息返回给所述主机。
本发明技术方案,使得组播的安全性有了很大保证,结合了当前广泛流 行的IGMP协议在管理组播成员的同时既实现了对特定组播成员的认证又可 以防止DoS和重方丈攻击,而且还可以降低网络流量。
图1为现有IGMPv3查询报文格式示意图; 图2为现有IGMPv3报告报文格式示意图; 图3为Kerberos认证协议流程图; 图4为本实施例中组播成员认证系统结构示意图; 图5为本实施例的方法流程图6为本实施例中扩展的IGMPv3报告报文格式示意图; 图7为本实施例中扩展的IGMPv3查询报文格式示意图。
具体实施例
本发明的主要构思是,可以利用IGMPv3的辅助数据字段传输Kerberos 认证信息,即在每个第一次加入的组播报文中添加得到的用会话密钥加密票 据信息,而路由器得到第一次加入请求解密认证信息,实现成员认证。并在 发送给组播成员的查询信息中加入成功或者失败认证信息。
其中,Kerberos认证是一种在开放式网络环境下进行身份认证的方法, 其采用的加密体制是对称密钥体制,其动作过程如图3所示
①客户请求Kerberos认证服务器发给接入Kerberos TGS(门票分配服务 器)的门票。查找客户机,如果存在则产生一个会话密
钥,Kerberos使用客户的密钥对此会话密钥进行加密;然后生成一个TGT(门 票分配许可证),该许可证包括客户实体名、地址、TGS名、时间印记、时限、 会话密钥等信息;并用TGS的秘密密钥(此密钥只有认证服务器和TGS知道) 对TGT进行加密;认证服务器把这两个加密报文发还给客户。
③ 客户将第一个报文解密得到会话密钥,然后生成一个认证列表,包括客 户实体名、地址及时间印记,并用会话密钥对认证列表进行加密。然后,向 TGS发出请求,申请接入某一 目标服务器的门票。此请求包括目标服务名称、 收到Kerberos发来的加过密的TGT以及加密的认证列表。
④ TGS用其密钥对TGT进行解密,使用TGT中的会话密钥对认证列表 进行解密。然后将认证列表中的信息与TGT中的信息进行比较。此时,TGS 产生新的会话密钥供客户实体与目标服务器使用,利用客户实体和TGS用的 会话密钥将新的会话密钥加密;还将新的会话密钥加入客户向该服务器提交 的有效门票之中,门票中还包括客户实体名、网络地址、服务器名、时间印记、 时限等,并用目标服务器的密钥将此门票加密;然后将这两个报文发送给客 户。
⑤ 客户将接收到的报文解密后,获得与目标服务器共用的会话密钥。这时, 客户制作一个新的认证列表,并用获得的会话密钥对该认证列表进行加密。 当请求进入访问目标服务器时,将加密的认证列表和从TGS收到的门票一并 发送给目标服务器。由于此认证列表有会话密钥加密的明文信息,从而证明发 信人知道该密钥。
目标服务器对门票和认证列表进行解密检查,包括地址、时间印记、时 限等。如果一切都核对无误,服务器则知道了客户实体的身份,并与之共享一个 可用于他们之间秘密通信的加密密钥。
下面结合附图及具体实施例对本发明技术方案作进一步详细说明。
一种实现安全组播成员认证的系统,如图4所示,包括主机HOST、路 由器,以及Kerberos认证服务器,其中,Kerberos认证服务器进一步包括KDC( Key Distribution Center,密钥分配中心)和TGS( Ticket-Granting Server, 票据授权服务器)。下面介绍各部分的功能。
HOST,用于在加入组播之前,根据当前的用户名、密钥和IP地址用TCP 连接发送票据请求给KDC,获得TGS票据,并在成功获得TGS票据后继续 用TCP连接发送用户名、密钥和TGS票据给TGS获得SERVER票据;如果 获得TGS票据不成功则直接按照正常IGMPv3协议运行,即发送无认证信息 的IGMPv3 report报文,如果成功获得SERVER票据,则通过IGMPv3报告 报文将组播成员认证信息(即用户本身信息组成的认证列表以及SERVER票 据)发送给路由器;
其中,HOST成功获得SERVER票据后,先4全查当前加入组播的方式是 否包括源地址,即是否有IN或EX的地址信息,如果有则将源地址先加入源 地址字段,后面加入组播成员认证信息,设置类型并将列表信息长度设为源 地址数+认证信息长度。
HOST必须运行TCP/IP协议栈;协议栈实现的IGMP为第三版本;并且 要有协议栈的源代码。本实施例中,修改IGMPv3的协议格式,包括辅助字 段设为1,即使用最后4个字节。在辅助字段设置为认证类型(8位)、源地 址数目(16位)和认证数据长度(8位);其中认证类型为设置为3种分别 为
① EXCLUDE—WITHOUT—SRC
在第一次加入组播的报告报文中没有需要排除的源地址,即可以接收任 何源地址发送给该组的数据。
② EXCLUDE—WITH—SRC
在第 一次加入组播的报告报文中有需要排除的源地址,即不接收源地址 列表中的源地址发送给改组的数据,可以接收其他源地址发送给该组的数据。
③ INCLUDE—WITH—SRC
在第一次加入组播的报告报文中指定了接收哪些源地址发送的数据,即 只接收源地址列表中的源地址发送给该组的数据。在第 一次加入组播的报告报文中有需要排除的源地址,即不接收排除列 表中源地址发送给改组的数据,可以接收其他源地址发送给该组的数据。
路由器,用于管理组播成员,发送IGMPv3查询报文,负责转发组播报 文等,当其收到用户的加入组播的report报文,首先检查是否有Kerberos认 证信息,如果有再检查是否有源地址要包括或排除,如果有按照源地址数目 找到认证信息,如果没有可以直接取出组播成员认证信息;以及用于使用user 和Server的会话密钥解密整个组^番成员iU正信息,用server密钥解密 SERVER票据;检查用户的信息;通过时间戳来检查票据的有效性;通过已 有的票据来判断该票据是否重用。如果验证成功则对该组发送组播查询报文, 在查询报文中加入认证成功信息,并将该票据存储,用来保证后面的票据重 用。如果验证失败则在查询才艮文中加入失败信息。并且对成功加入的组l番组 定时发送组播查询报文。
在其他实施例中,如果路由器没有发现Kerberos认证信息,检查该用户 是否已经加入到组播中,如果已经加入则继续维护该用户;如果没有则直接 发送组播查询信息,在查询报文中加入失败信息。
Kerberos认证服务器中KDC和TGS可以用任何形式实现,既可以运行 在主机上、服务器上或者任何可以实现socket程序的平台上。且这两个服务 器均采取TCP服务器端设计来保证数据传输的可靠性,支持多线程的运行, 保证可以多个TCP连接。整个KDC和TGS服务器里保存有各个用户的信息, 包括用于Kerberos认i正的用户名、密钥、IP地址、时间戳等。由于Kerberos 认证协议是基于堆成密钥提出的,因此要保证KDC中保存有用户密钥和TGS 密钥;TGS中保存有TGS密钥和SERVER密钥。
其中,KDC,主要用于向HOST返回TGS票据,具体地,KDC收到HOST 发送的成员信息后,在数据库中查找该用户,如果该用户存在,则产生第一 会话密钥,并使用该用户的客户密钥对第一会话密钥进行加密,然后生成一 个TGT,该TGT包括客户实体名、地址、TGS名、时间印记、时限、会话
12密钥等信息,再用TGS密钥对所述TGT进行加密,并将对加密的会话密钥 以及加密的TGT返回给HOST。
TGS,主要用于向HOST返回SERVER票据,具体地,TGS收到HOST 的SERVER票据请求后,TGS根据自己的TGS密钥对加密的TGT进行解密, 使用第一会话密钥对加密的认证列表进行解密,然后将解密后的认证列表中 的各种信息与TGT中的认证列表的各种信息进行比较,如果比较后发现两者 一致,TGS则产生第二会话密钥供客户实体与目标服务器使用,并使用第 一会话密钥对第二会话密钥进行加密;TGS还根据客户实体名、网络地址、 服务器名、时间印记、时限等信息生成SERVER票据,并用路由器密钥将 SERVER票据加密,之后,TGS将加密后的第二会话密钥以及加密后的 SERVER票据一起返回给HOST。
在其他实施例中,上述系统也可以采用除Kerberos认证以外的其他认证 方式来给主机提供组播成员认证信息,而路由器则根据主机发送的播成员认 证信息进行认证处理即可。
下面介绍上述系统实现组播成员认证的具体过程,如图5所示,包括以 下步骤
步骤501: HOST向KDC发送成员信息,请求接入Kerberos TGS的门
票;
步骤502: KDC收到HOST发送的成员信息后,在数据库中查找该用户, 如果该用户存在,则产生第一会话密钥,并使用该用户的客户密钥对第一会 话密钥进行加密,然后生成一个TGT,该TGT包括客户实体名、地址、TGS 名、时间印记、时限、会话密钥等信息,再用TGS密钥对所述TGT进行加 密,并将对加密的会话密钥以及力口密的TGT返回给HOST;
步骤503: HOST收到加密的第一会话密钥以及力口密的TGT后,根据自 己的客户密钥对加密的第一会话密钥解密得到第一会话密钥,然后生成一个 认证列表,该认证列表包括客户实体名、地址及时间印记信息,然后使用第一会话密钥对生成的认证列表进行加密,并向TGS发出请求以申请接入某一 目标服务器的门票(即SERVER票据),该请求中包括目标服务器信息(如 服务器名称及网络地址等)、加密的TGT以及加密的认证列表;
步骤504: TGS收到上述请求后,TGS根据自己的TGS密钥对加密的 TGT进行解密,使用第一会话密钥对加密的认证列表进行解密,然后将解密 后的认证列表中的各种信息与TGT中的认证列表的各种信息进行比较,如果 比较后发现两者一致,TGS则产生第二会话密钥供客户实体与目标服务器 使用,并使用第一会话密钥对第二会话密钥进行加密;TGS还根据客户实体 名、网络地址、服务器名、时间印记、时限等信息生成SERVER票据,并用 路由器密钥将SERVER票据加密,之后,TGS将加密后的第二会话密钥以及 加密后的SERVER票据一起返回给HOST;
步骤505: HOST收到加密后的第二会话密钥以及力口密后的SERVER票 据后,使用第 一会话密钥对加密的第二会话密钥进行解密以得到第二会话密 钥,然后,HOST制作一个新的认证列表,并用第二会活密钥对新的认证列 表进行加密,将加密后的新的认证列表以及收到的SERVER票据一起作为组 播成员认证信息,通过IGMPv3报告报文发送给路由器;
该步骤中,HOST通过对IGMPv3协议字段的扩展以组播成员认证信息, IGMPv3报告报文的扩展如图6,其中
辅助数据长度设置为l,即用辅助数据来配置扩展字段信息。
列表信息长度源地址数目+认证数据长度。
认证数据长度即获得的组播成员认证信息和用户信息加密后的长度。 源地址数目即IN或EX的地址数目。
认证类型在第一次加入组播的时候,每个网口对于新建组播组的初始 状态均为MODE—IS_INCLUDE{NULL};这样对于用户加入设定组播组便有 3种方式 CHANGE—TO—EXCLUDE—MODE:直接加入组播组,没有IN 或EX地址报;②CHANGE—TO—EXCLUDE—MODE:加入组播组并且不接收 EX内的地址发来的报文③CHANGE—TO—INCLUDE—MODE:加入组播组并 且只接收IN内地址发来的报文。
14步骤506:路由器收到上述IGMPv3报告报文后,从中获取组播成员认 证信息,根据组播成员认证信息对该HOST进行认证,并将认证成功或者失 败的信息通过IGMPv3查询报文返回给HOST,在本实施例中,路由器通过 IGMPv3查询报文的Resv字段表示认证成功或者失败的信息,如图7所示, 具体地,当认证成功时,路由器将Resv字段置为0,当认证失败时,路由器 将Resv字段置为1;
该步骤中,路由器从IGMPv3报告报文中获取力口密后的新的认证列表以 及收到的SERVER票据,根据第二会话密钥解密新的认证列表,根据自身的 路由器密钥解密SERVER票据,若解密后的新的认证列表的信息与解密后的 SERVER票据中的用户信息相一致,则认为该HOST通过认证,则在IGMPv3 查询报文中添加认证成功的信息,若解密后的新的认证列表的信息与解密后 的SERVER票据中的用户信息不一致,则认为该HOST未通过认证,则在 IGMPv3查询报文中添加认证失败的信息。
在其他实施例中,路由器端还对扩展的IGMPv3报告报文中的组播成员 认证信息进行检查,如果收到的组播报告报文中没有需要排除/包括的地址 数目,则可以直接取出里面的组播成员认证信息进行验证,包括SERVER票 据的有效性,用户的合法性等。如果收到的组播报告中有需要排除/包括的地 址数目,则需要先按照地址数目提出这些地址后取出组播成员认证信息进行 验证。
从上述实施例可以看出,本发明技术方案利用目前研究和应用都很广泛 的Kerberos认证协议来扩展IGMPv3未使用的辅助字段,达到既兼容IGMP 的组播管理功能,又扩展实现组播成员认证,在组播的安全性上做了很大的 提高。并且,本发明技术方案属于安全组播和组播用户管理的研究领域,可 以广泛应用在视频会议、远程教学、视频点播等应用领域。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本 领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明所附的 权利要求的保护范围之内。
权利要求
1、一种实现组播成员认证的方法,其特征在于,包括主机向路由器发送组管理协议IGMPv3报文以请求加入组播组,其中,所述IGMPv3报文中携带有组播成员认证信息;所述路由器收到所述IGMPv3报文后,获取其中的组播成员认证信息,根据所述组播成员认证信息对所述主机客户进行认证,并将认证成功或者失败的信息返回给所述主机。
2、 如权利要求1所述的方法,其特征在于,所述主机向所述路由器发送的组管理协议IGMPv3报文为IGMPv3报告 报文,其中,所述IGMPv3报告报文的源地址字段中携带有所述组播成员认 证信息。
3、 如权利要求l所述的方法,其特征在于,所述路由器通过IGMPv3查询报文将认证成功或者失败的信息返回给所 述主机,其中,所述IGMPv3查询报文的Resv字段中携带认证成功或者失败 的信息。
4、 如权利要求l、 2或3所述的方法,其特征在于,所述主机通过Kerberos认证服务获取所述组播成员认证信息,其中,所 述组播成员认证信息包括加密的认证列表以及服务票据。
5、 如权利要求4所述的方法,其特征在于,所述路由器收到携带所述组播成员认证信息的IGMPv3报文后,对所述 组播成员认证信息中的认证列表以及服务票据分别进行解密,若解密后的服 务票据中的列表信息与解密后的认证列表信息相一致,则所述路由器将认证 成功的信息返回给所述主机。
6、 一种实现组播成员认证的系统,其特征在于,包括主机和路由器, 其中所述主机,用于向所述路由器发送组管理协议IGMPv3报文以请求加入 组播组,其中,所述IGMPv3报文中携带有组播成员认证信息;所述路由器,用于接收所述IGMPv3报文,从中获取组播成员认证信息, 根据所述组播成员认证信息对所述主机客户进行认证,以及用于将认证成功 或者失败的信息返回给所述主机。
7、 如权利要求6所述的系统,其特征在于,报文,其中,所述IGMPv3报告报文的源地址字段中携带所述组播成员认证信息。
8、 如权利要求6所述的系统,其特征在于,所述路由器通过IGMPv3查询才艮文将认证成功或者失败的信息返回给所 述主机,其中,所述IGMPv3查询报文的Resv字段中携带认证成功或者失败 的信息。
9、 如权利要求6、 7或8所述的系统,其特征在于,该系统还包括Kerberos认证服务器,所述Kerberos认证服务器,用于向 所述主机提供所述组播成员认证信息,其中,所述组播成员认证信息包括加 密的认证列表以及服务票据。
10、 如权利要求9所述的系统,其特征在于,所述路由器,从所述IGMPv3报文中获取组播成员认证信息后,对所述组播成员认证信息中的认证列表以及服务票据分别进行解密,若解密后的服 务票据中的列表信息与解密后的认证列表信息相一致,则所述路由器将认证成功的信息返回给所述主机。
全文摘要
本发明涉及一种实现组播成员认证的方法及系统,属于组播技术。本发明方法包括主机向路由器发送组管理协议IGMPv3报文以请求加入组播组,其中,所述IGMPv3报文中携带有组播成员认证信息;所述路由器收到所述IGMPv3报文后,获取其中的组播成员认证信息,根据所述组播成员认证信息对所述主机客户进行认证,并将认证成功或者失败的信息返回给所述主机。本发明技术方案,使得组播的安全性有了很大保证,结合了当前广泛流行的IGMP协议在管理组播成员的同时既实现了对特定组播成员的认证又可以防止DoS和重放攻击,而且还可以降低网络流量。
文档编号H04L29/06GK101635724SQ20091015980
公开日2010年1月27日 申请日期2009年6月30日 优先权日2009年6月30日
发明者姚爱娣, 超 童, 军 苗, 笑 谭, 邓红平, 研 闫 申请人:中兴通讯股份有限公司