组播安全控制方法、系统及传输节点的制作方法

专利名称：：组播安全控制方法、系统及传输节点的制作方法
技术领域：
：本发明涉及通信
技术领域：
，尤指一种用于局域网中组播数据流转发的组播安全控制方法、系统及传输节点。
背景技术：
：在因特网上，诸如视频会议和网络电视等单点发送多点接收的多媒体业务正在成为信息传送的重要组成部分。组播就是为了有效地解决单点发送多点接收的问题。当发送者向一组接收者发送数据时，只需将数据用一个预约的组地址发送，只有加入该组播组的接收者才可以收到组播数据，网络上的其它用户则不会收到该组播数据。这样发送者只需一次数据发送，就可以发送到所有接收者，大大减轻了网络的负载和发送者的负担。基于RFC1112的IP组播模型，组播流的发送者(组播源)发送以组播组地址为目的地址的组播流，组播流接收者必须加入组播组后才能接收该组播流。组播的发送和接收相互独立，没有必然的逻辑联系，各自独立进行，这种松散的结构存在以下安全性问题任意组播源可随意发送组播流，可能造成非法组播流的扩散，浪费传输节点(交换机或者路由器)CPU的处理能力，同时占用了大量的网络带宽。且由于传输节点的数据转发表项数量有限，而处理每一条组播流通常需要创建与之对应的数据转发表项，如果非法的组播流占用了大量转发表项资源，还将形成拒绝服务式攻击，使合法的组播服务陷于瘫痪。IGMPSnooping是一种在局域网内控制组播数据转发的技术。在启用了IGMPSnooping的传输节点上，当传输节点的某个端口接收到某个组播组G的加入消息时，就将该端口视为该组播组G的成员端口，并生成数据转发表。当收到组播流数据报文时，传输节点只会将数据报文发送给组播组G的成员端口。例如传输节点上生成了一个如下表1所示数据转发表，则当传输节点接收到组播组地址为G1的组播流数据报文时，会根据数据转发表将数据报文转发到下游端口P1、P2和P5;当传输节点接收到组播组地址为G2的组播流数据报文时，会根据数据转发表将数据报文转发到下游端口P2和P3。表1组播组地址下游端口列表GlP1、P2、P5G2P2、P3通过创建数据转发表，IGMPSnooping可以实现对局域网内组播数据报文的接收者进行一定程度的管理，但仍然无法对组播源和上游端口进行有效的管理和安全控制。[OOTO]现有技术中，也有一些解决上游端口安全的方案，例如申请号为200410070693，4名称为《一种安全组播管理系统及方法》的专利申请，公开了一种安全组播管理方法，通过对组播数据进行签名和加密的方式来保证组播数据的安全性，只有通过安全认证的组播数据才能被顺利接收，从而实现了对组播通信过程的实时监测和安全管理。但该方式组播源和所有组播组成员都需要参与，管理较复杂。且组播的传输数据量一般都比较大，传输速率较高。如果大量的数据需要发送前需加密，接收时解密，对整个系统而言，数据的加密和解密都将消耗不少资源，同时影响了发送的速度和效率。另外，现有技术中还通过在局域网内的传输节点上为每条组播流手工配置静态规则，以实现对上游端口的管理和安全控制。但是，随着局域网规模的扩大，传输节点数量的增加，以及组播流的数量越来越多，这些规则的数量将越来越多，配置工作越来越繁琐，后期维护也将相当困难。可见现有技术中的方案均不能很好的解决组播数据流上游端口的安全问题，不能有效地避免非法组播源对网络中传输节点的攻击。
发明内容本发明实施例提供一种组播安全控制方法、系统及传输节点，用以解决现有技术中存在的组播数据流的上游节点安全问题、防止非法组播源对网络中传输节点的攻击。—种组播安全控制方法，包括传输节点从上游端口接收组播流数据报文；根据所述数据报文中包含的组播地址信息和上游端口信息，查找是否存在预先建立的相匹配的上游端口表项；若存在，则根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文；若不存在，则判断所述上游端口是否是预先配置的合法上游端口，若是，则根据所述数据报文所属组播组的数据转发表转发所述数据报文；若否，则丢弃所述数据报文。—种实现组播安全控制的传输节点，包括接收模块、查找模块、判断模块和转发模块；所述接收模块，用于从上游端口接收组播流数据报文；所述查找模块，用于根据所述数据报文中包含的组播地址信息和上游端口信息，查找是否存在预先建立的相匹配的上游端口表项；若不存在，通知所述判断模块；若存在，通知所述转发模块；所述判断模块，用于判断所述上游端口是否是预先配置的合法上游端口，若是，通知转发模块；若否，丢弃所述数据报文；所述转发模块，用于根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文。—种组播安全控制系统，包括组播源、若干上述传输节点和接收端；所述组播源，用于提供组播流数据报文给所述传输节点；所述接收端，用于接收所述传输节点转发的所述组播流数据报文。本发明实施例提供的组播安全控制方法、系统及传输节点，通过在传输节点中建立上游端口表项，可以根据预先设置的合法上游端口和/或动态学习到的合法上游端口生成上游端口表项，采用上游端口表项实现只对与上游端口表项中包含的组播地址信息和上游端口信息相匹配的数据报文进行转发，从而对组播流数据报文上游端口的安全进行控制，有效的保证了组播流的上游节点安全，避免了非法组播源对传输节点的攻击，提高了网络的安全性。图1为本发明实施例中组播安全控制系统的结构示意图；图2为本发明实施例中组播安全控制方法的流程图；图3为本发明实施例中图1中组播安全控制系统的建立转发路径示例图；图4为本发明实施例中组播安全控制装置的结构示意图。具体实施例方式本发明实施例提供的组播安全控制系统，可以包括组播源、传输节点和接收端。其中，组播源用于提供组播流数据报文，发送给与自身连接的传输节点。传输节点用于传输接收到的组播流数据报文到下游节点或接收端。接收端则用于接收传输节点发送的组播流数据报文。如图1所示，即为组播安全控制系统的一个结构示例。图1中所示的组播源包括合法组播源Sl、非法组播源S2和S3等；传输节点包括传输节点A、B、C、D、E等；以及接收端包括接收端R1和R2等。组播源，用于提供组播流数据报文给传输节点。传输节点，用于从上游端口接收组播源或上游传输节点发送的组播流数据报文；根据数组播流据报文中包含的组播地址信息和上游端口信息，查找是否存在预先建立的包含组播地址信息和上游端口信息的相匹配的上游端口表项；若存在，则根据组播流数据报文所属组播组的数据转发表转发数据报文至下游节点或接收端；若不存在，则判断上游端口是否是预先配置的合法上游端口，若是，则根据接收到的组播流数据报文所属组播组的数据转发表转发组播流数据报文至下游传输节点或接收端；若否，则丢弃接收到的组播流数据报文。接收端，用于接收传输节点转发的组播流数据报文。较佳的，上述传输节点，还用于当判断出接收组播流数据报文的上游端口是预先配置的合法上游端口时，根据组播地址信息和上游端口信息创建新的上游端口表项；并构建上游端口安装消息并根据接收到的组播流数据报文所属组播组的转发路径的数据转发表发送给转发路径上的其他传输节点，指示其他传输节点创建上游端口表项；以及根据接收到的其他传输节点发送的上游端口安装消息，创建包含组播地址信息和上游端口信息的上游端口表项。较佳的，上述传输节点，还用于当查找到相匹配的上游端口表项时，更新查找到的上游端口表项的剩余有效时间；以及当剩余有效时间为零时，删除对应的上游端口表项。根据合法组播源的连接端口，为与合法组播源连接的传输节点预先配置合法上游端口。其中与合法组播源连接的端口可以直接连接和通过其他网络实体与合法组播源连接。6基于上述组播安全控制系统，在每个传输节点中实现组播安全控制方法，其流程图如图2所示，执行步骤如下步骤Sll:从上游端口接收组播流数据报文。传输节点可以从上游端口接收组播源和上游传输节点发送的组播流数据报文。步骤S12:提取接收到的数据报文中包含的组播地址信息和上游端口信息。其中，组播地址信息包括组播源地址和组播组地址；上游端口信息为上游端口号。从接收到的数据报文中提取出组播源地址S和组播组地址G，以及接收端口号P。组播源地址S和组播组地址G—般是指IP首部中的组播源IP地址和组播组IP地址。步骤S13:查找是否存在预先建立的相匹配的上游端口表项。每个传输节点上维护各自的上游端口表项，该上游端口表项一般包括组播地址信息和对应的上游端口信息。其中，组播地址信息包括组播源地址、组播组地址。对应的上游端口信息一般为该组播流的上游端口号，即该组播流合法的上游接收端口。传输节点接收到组播流数据报文后，会查找自身存储的预先建立的上游端口表项，当查找到的上游端口表项中包含的组播地址信息和上游端口信息与接收到的数据报文的组播地址信息和上游端口信息相匹配时，确定存在与接收到的组播流数据报文相匹配的上游端口表项，即匹配成功；否则，确定不存在与接收到的组播流数据报文相匹配的上游端口表项，即匹配失败。其中，组播地址信息和上游端口信息相匹配，具体为上游端口表项中包含组播源地址、组播组地址和对应的上游端口信息，与接收到的组播流数据报文的组播源地址、组播组地址和上游端口信息分别相同。若未查找到相匹配的上游端口表项，则执行步骤S14;若查找到相匹配的上游端口表项，则执行步骤S18。较佳的，上游端口表项中还可以设置该上游端口表项的剩余有效时间。每次查找到相匹配的上游端口表项时，更新查找到的上游端口表项的剩余有效时间；当一个上游端口表项的剩余有效时间为零时，删除该上游端口表项。步骤S14:判断接收组播流数据报文的上游端口是否是预先配置的合法上游端□。传输节点可以预先配置若干合法上游端口，例如根据自身是否直接与合法的组播源连接，将与合法组播源的直接连接端口配置为合法上游端口。当然也可以根据其他的原则配置确定某端口为合法上游端口时，即预先进行配置。该配置完成后，在后续接收到该上游端口的组播流数据报文时，若没查到预先建立的上游端口表项，则将触发上游端口表项的创建流程。当接收到组播流数据报文时，根据接收数据报文的上游端口，查找预先配置的合法上游端口中是否包含该接收数据报文的上游端口(根据提取的端口号P查找)，若是，则认为接收组播流数据报文的上游端口是预先配置的合法上游端口；否则，认为接收组播流数据报文的上游端口不是预先配置的合法上游端口。若是，执行步骤S15;若否，执行步骤S19。步骤S15:根据接收到的组播流数据报文的组播地址信息和上游端口信息创建新的上游端口表项。当确定接收数据报文的上游端口为预先配置的合法上游端口，而该组播流数据报文又没有匹配的上游端口表项时，则传输节点可以自动学习合法上游端口信息并创建上游端口表项。较佳的，在步骤S15之后，先执行步骤S16和S17之后，再执行步骤S18。步骤S16:构建上游端口安装消息。传输节点创建自身的上游端口表项后，还会构建一个包含接收到的数据报文的组播地址信息的上游端口安装消息，用于指令所接收到的组播流数据报文所属的组播组的转发路径上的其他传输节点(一般是下游传输节点)创建上游端口表项。构建的上游端口安装消息可以包括消息类型(上游安装)、组播源地址、组播组地址等，可以通过各种类型的消息帧或其他能够在传输节点之间传输信息的方式来承载。例如一个上游端口安装消息的具体帧格式可以如下表2所示。表2目的MAC(6字节)源MAC(6字节)保留(2字节)消息类型(1字节)保留(1字节)组播源地址(4字节)组播组地址(4字节)其中，目的MAC是为接收上游端口安装消息传输节点唯一指定的MAC地址；消息类型定义了该消息属于上游节点安装消息；两个保留字段可以留待以后消息扩展时使用；源MAC是发送上游端口安装消息传输节点唯一指定的MAC地址；组播源地址和组播组地址分别可以是组播源IPv4地址和组播组IPv4地址。步骤S17:发送上游端口安装消息给所属转发路径的其他传输节点。构建上游端口安装消息后，根据接收到的组播流数据报文所属组播组，查找对应的数据转发表，顺次将上游端口安装消息发送给该组播组的转发路径上的其他传输节点。其他传输节点可以根据接收到的上游端口安装消息，创建包含上游端口安装消息中包含组播地址信息和自身接收上游端口安装消息的上游端口信息的上游端口表项。发送上游端口安装消息后，执行步骤S18。步骤S18:根据接收到的组播流数据报文所属组播组的数据转发表转发接收到的数据报文。数据转发表由传输节点上运行的IGMPSnooping生成，针对各组播组，在转发路径中的各个传输节点上生成包含组播组地址和对应的下游端口列表的数据转发表。传输节点需要转发接收到组播流数据报文时，根据数据报文所属组播组的数据转发表转发接收到的数据报文，具体包括将接收到的数据报文通过数据转发表中包含的下游端口转发数据报文给下游传输节点或接收端。步骤S19:丢弃所接收到的数据报文。当没有查找到与接收到的数据报文匹配的上游端口表项，且接收数据报文的上游端口也不是预先配置的合法上游端口时，则丢弃接收到的数据报文。下面以图1所示的系统为例，对本发明实施例提供的组播安全控制方法进行具体说明。如图3所示，即为图1所示的系统建立了从一个合法组播源到两个接收端的转发路径(如图中的虚线所示)的具体示例。图中每个传输节点上均运行IGMPSnooping,传输节点A连接合法组播源S1，而传输节点B连接的组播源S2和传输节点C连接的组播源S3为非法组播源。合法组播源Sl向接收端Rl和R2发送组播流数据报文，则需要如图中虚线所示的两条合法转发路径一是由合法组播源经传输节点A的Al端口、A3端口，传输节点B的Bl、B2端口，传输节点D的Dl、D2端口至接收端Rl;二是由合法组播源经传输节点A的Al端口、A3端口，传输节点B的Bl、B3端口，传输节点E的El、E2端口至接收端R2。上述传输节点A的端口Al与合法组播源相连接，因此，在传输节点A中预先配置了合法上游端口A1。且合法组播源S1的组播组地址为G1。两条转发路径上的传输节点均加入了该组播组地址为G1的组播组。通过运行IGMPSnooping在各个传输节点中分别生成了如下表3所示的数据转发表，每个传输节点的数据转发表包含组播组地址和下游端口列表。表3传输节点A:传输节点B:传输节点D:<table>tableseeoriginaldocumentpage9</column></row><table>传输节点E:组播组地址下游端口列表GlE2当传输节点A从上游端口Al接收到来自合法组播源SI的第一个组播流数据报文时，从数据报文中提取组播源地址和组播组地址，即(S1，G1)。传输节点A查询预先建立的上游端口表项，由于是该转发路径的第一个数据报文，所以没有发现相匹配的上游端口表项，由于判断出接收数据报文的上游端口Al是预先设置的合法上有端口，此时就需要学习并创建上游端口表项。创建的上游端口表项如下表4所示。表4<table>tableseeoriginaldocumentpage10</column></row><table>传输节点A创建上游端口表项后，构建上游端口安装消息，指示该组播组的转发路径上的下游传输节点B、D、E创建相应的上游端口表项。传输节点B、D、E接收到上游端口安装消息后，创建的上游端口表项。其中，上游端口安装消息也是经转发路径上的各传输节点依次向下游节点转发的，即传输节点A根据数据转发表由下游端口A3发送构建的上游端口安装消息给传输节点B，传输节点B接收到该消息后，记录接收该上游端口安装消息的上游端口Bl、该上游端口安装消息中的组播源地址SI和组播组地址Gl，在本地创建上游端口表项如下表5所示。表5<table>tableseeoriginaldocumentpage10</column></row><table>然后，传输节点B根据该转发路径的数据转发表，将上游端口安装消息经下游端口B2和B3发送给下游传输节点D和E，传输节点D、E接收到上游端口安装消息后，分别记录接收该上游端口安装消息的上游端口Dl和El、该上游端口安装消息中的组播源地址SI和组播组地址Gl，在本地创建上游端口表项如下表6(传输节点D创建的上游端口表项)和表7(传输节点E创建的上游端口表项)所示。表6<table>tableseeoriginaldocumentpage10</column></row><table>表7<table>tableseeoriginaldocumentpage11</column></row><table>至此，该组播源相关的合法转发路径上的上游端口表项创建完毕。当合法组播源SI再发送组播流数据报文时，传输节点A、B、D、E就能够查找到相匹配的上游端口表项了，在查找到相匹配的上游端口表项后根据本地存储的该组播组的数据转发表正常转发数据报文。接收端Dl和D2就能够顺利接收合法组播源SI发送的组播流数据报文了。一般合法组播源停止发送组播流数据报文后，传输节点上的该组播流对应的上游端口表项将因剩余有效时间递减为零而被删除，而当非法组播源S2或S3以自身的组播源地址或伪造组播源SI的组播地址信息(Sl，Gl)向该系统中发送组播流时，由于其所连接的传输节点B或C的上游端口表项会查找失败，而且B4或C2也不是其所属传输节点中预先配置的合法上游端口，因此，这两个组播源所发送的组播流数据报文将被丢弃，从而不会对该网络系统中的各个传输节点造成攻击。用于实现上述组播安全控制的传输节点的结构，具体可以如图4所示，包括接收模块10、查找模块20、判断模块30和转发模块50。接收模块IO，用于从上游端口接收组播流数据报文。查找模块20，用于根据接收到的组播流数据报文中包含的组播地址信息和上游端口信息，查找是否存在预先建立的相匹配的上游端口表项；若不存在，通知判断模块30;若存在，通知转发模块50。判断模块30，用于判断接收组播流数据报文的上游端口是否是预先配置的合法上游端口，若是，通知转发模块50;若否，丢弃接收到数据报文。转发模块50，用于根据接收到的组播流数据报文所属组播组所对应的转发路径的数据转发表转发接收到的数据报文。较佳的，上述传输节点，还包括创建模块40，用于当判断模块30判断所述上游端口是预先配置的合法上游端口时，根据接收到的组播流数据报文中包含的组播地址信息和上游端口信息创建新的上游端口表项。较佳的，上述传输节点，还包括消息构建模块60，用于当判断模块30判断出接收数据报文的上游端口是预先配置的合法上游端口时，构建包含接收到的数据报文的组播地址信息的上游端口安装消息并根据接收到的数据报文所属组播组的转发路径的数据转发表发送给转发路径上的其他传输节点，指示其他传输节点创建上游端口表项。上述创建模块40，还用于根据接收到的其他传输节点发送的上游端口安装消息，创建包含上游端口安装消息中的组播地址信息和上游端口信息的上游端口表项。较佳的，上述传输节点包含的创建模块创建的自身接收上游端口安装消息的上游端口表项中，还包括上游端口表项的剩余有效时间。上数查找模块20，还用于当查找到相匹配的上游端口表项时，更新查找到的上游端口表项的剩余有效时间；以及当剩余有效时间为零时，通知创建模块40;上述创建模块40，还用于当剩余有效时间为零时，删除对应的上游端口表项。本发明实施例提供上述组播安全控制方法、系统及传输节点，主要应用于运行IGMPSnooping的传输节点(包括二层交换机和路由交换机)组成的网络。其既可以应用于支持IPv4的网络系统中，也可以应用于支持IPv6的网络系统中，且在IPv6组播网络中启用MLDSnooping。还可以根据IEEE802.lq进行扩展，应用于虚拟局域网(VLAN)系统中。本发明实施例提供上述组播安全控制方法、系统及传输节点，通过在传输节点中建立上游端口表项，可以根据预先设置的合法上游端口和/或动态学习到的合法上游端口生成上游端口表项，以及构建上游端口安装消息使所属转发路径的传输节点均能自动动态学习生成上游端口表项，从而实现对合法上游端口的管理和控制。传输节点根据上游端口表项和数据转发表来实现对组播数据流的接收和转发，通过上游端口表项实现了只对与上游端口表项中包含的组播地址信息和上游端口信息相匹配的数据报文进行转发。当传输节点在未授权端口上收到伪造合法组播源地址的非法组播流数据报文时，将丢弃这些数据报文，禁止了非法组播源地址发送的组播流在网络中的扩散。从而对组播流数据报文上游端口的安全进行了有效的控制，保证了组播流的上游节点安全，避免了非法组播源对传输节点的攻击和非法组播流对网络造成的其他不良影响，提高了网络的安全性。上述实现方式，只需在与合法组播源相连的传输节点上配置端口授权信息(即配置合法端口)，其余传输节点则可以动态学习获得授权信息，减少了网络管理的工作量和降低了网络维护的复杂程度。且组播流对应的上游端口表项是随着组播流动态生成的，当组播源的组播流发送完成后，还可以根据剩余有效时间变化而自动被删除，减少了存储空间的占用；与静态表项相比，扩大了传输节点实际能处理的组播流的数量。以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，可轻易想到的变化、替换或应用到其他类似的装置，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。1权利要求一种组播安全控制方法，其特征在于，包括传输节点从上游端口接收组播流数据报文；根据所述数据报文中包含的组播地址信息和上游端口信息，查找是否存在预先建立的相匹配的上游端口表项；若存在，则根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文；若不存在，则判断所述上游端口是否是预先配置的合法上游端口，若是，则根据所述数据报文所属组播组的数据转发表转发所述数据报文；若否，则丢弃所述数据报文。2.如权利要求1所述的方法，其特征在于，判断所述上游端口是预先配置的合法上游端口时，还包括根据所述组播地址信息和上游端口信息创建新的上游端口表项。3.如权利要求1所述的方法，其特征在于，判断所述上游端口是预先配置的合法上游端口时，还包括构建包含所述数据报文的组播地址信息的上游端口安装消息，并根据所述转发路径的数据转发表发送给转发路径上的其他传输节点，指示所述其他传输节点创建上游端口表项；所述转发路径上的其他传输节点根据接收到的上游端口安装消息，创建包含所述组播地址信息和自身接收所述上游端口安装消息的上游端口信息的上游端口表项。4.如权利要求1所述的方法，其特征在于，所述组播地址信息，包括组播源地址和组播组地址；所述上游端口信息为上游端口号。5.如权利要求1所述的方法，其特征在于，所述预先配置的合法上游端口根据合法组播源与所述传输节点的连接端口配置。6.如权利要求1所述的方法，其特征在于，所述数据转发表中包含组播组地址和对应的下游端口列表；所述根据所述数据报文所属组播组的数据转发表转发所述数据报文，具体包括将所述数据报文通过所述数据转发表中包含的下游端口转发所述数据报文给下游传输节点或接收端。7.如权利要求l-6任一所述的方法，其特征在于，所述上游端口表项中还包括所述上游端口表项的剩余有效时间；当查找到相匹配的上游端口表项时，更新所述查找到的上游端口表项的剩余有效时间；当所述剩余有效时间为零时，删除所述上游端口表项。8.—种实现组播安全控制的传输节点，其特征在于，包括接收模块、查找模块、判断模块和转发模块；所述接收模块，用于从上游端口接收组播流数据报文；所述查找模块，用于根据所述数据报文中包含的组播地址信息和上游端口信息，查找是否存在预先建立的相匹配的上游端口表项；若不存在，通知所述判断模块；若存在，通知所述转发模块；所述判断模块，用于判断所述上游端口是否是预先配置的合法上游端口，若是，通知转发模块；若否，丢弃所述数据报文；所述转发模块，用于根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文。9.如权利要求8所述的传输节点，其特征在于，还包括创建模块，用于当所述判断模块判断所述上游端口是预先配置的合法上游端口时，根据所述组播地址信息和上游端口信息创建新的上游端口表项。10.如权利要求8所述的传输节点，其特征在于，还包括消息构建模块，用于当所述判断模块判断出所述上游端口是预先配置的合法上游端口时，构建包含所述数据报文的组播地址信息的上游端口安装消息，并根据所述转发路径的数据转发表发送给转发路径上的其他传输节点，指示所述其他传输节点创建上游端口表项；所述创建模块，还用于根据接收到的其他传输节点发送的上游端口安装消息，创建包含所述组播地址信息和自身接收上游端口安装消息的上游端口信息的上游端口表项。11.如权利要求8-10所述的传输节点，其特征在于，所述创建模块创建的上游端口表项中，还包括所述上游端口表项的剩余有效时间；所述查找模块，还用于当查找到相匹配的上游端口表项时，更新所述查找到的上游端口表项的剩余有效时间；以及当所述剩余有效时间为零时，通知所述创建模块；所述创建模块，还用于当所述剩余有效时间为零时，删除对应的所述上游端口表项。12.—种组播安全控制系统，其特征在于，包括组播源、若干如权利要求8-11任一所述的传输节点和接收端；所述组播源，用于提供组播流数据报文给所述传输节点；所述接收端，用于接收所述传输节点转发的所述组播流数据报文。全文摘要本发明公开了一种组播安全控制方法、系统及传输节点，该方法包括传输节点从上游端口接收组播流数据报文；根据所述数据报文中包含的组播地址信息和上游端口信息，查找是否存在预先建立的包含所述组播地址信息和上游端口信息的相匹配的上游端口表项；若存在，则根据所述数据报文所属组播组的数据转发表转发所述数据报文；若不存在，则判断所述上游端口是否是预先配置的合法上游端口，若是，则根据所述组播地址信息和上游端口信息创建新的上游端口表项，并根据所述数据报文所属组播组所对应的转发路径的数据转发表转发所述数据报文；若否，则丢弃所述数据报文。有效的保证了组播流的上游节点安全，避免了非法组播源对传输节点的攻击。文档编号H04L12/18GK101795223SQ20091024969公开日2010年8月4日申请日期2009年12月14日优先权日2009年12月14日发明者倪宏申请人:福建星网锐捷网络有限公司