基于dns的组播安全控制方法及装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种基于DNS的组播安全控制方法及装置。
【背景技术】
[0002]组播作为IPTV业务的核心,安全问题是个很重要的议题。从目前宽带接入设备的实现上看,并未有很好的解决方案。其中,一个关键的问题是对组播源的认证。现有技术协议,如IGMPV3协议的源过滤功能,由于实现复杂,目前在用户终端设备(如STB)或局端设备并未实现或支持,导致任意的组播服务器都能将组播流发送到终端设备,由此造成安全隐患。因此,现有技术对组播源无法控制或无法实现动态控制。
【发明内容】
[0003]本发明的主要目的在于提供一种基于DNS的组播安全控制的方法和装置,旨在解决现有组播实现技术对组播源没有控制或无法实现动态控制的问题。
[0004]为了达到上述目的,本发明提出一种基于DNS的组播安全控制方法,包括:
[0005]向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0006]在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0007]根据验证结果对所述组播数据报文进行转发控制。
[0008]优选地,所述向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表信息的步骤包括:
[0009]配置IPTV服务器的域名地址信息;
[0010]向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0011]接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0012]解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0013]优选地,所述在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤包括:
[0014]在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0015]将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0016]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0017]优选地,所述根据验证结果对所述组播数据报文进行转发控制的步骤包括:
[0018]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0019]优选地,所述根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
[0020]接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
[0021]解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
[0022]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0023]优选地,所述组播源DNS地址列表信息包括所述域名服务器下发的地址更新时间,所述获取IPTV服务器的组播源DNS地址列表的步骤之后还包括:
[0024]按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
[0025]本发明实施例还提出一种基于DNS的组播安全控制装置,包括:
[0026]获取模块,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0027]验证模块,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0028]控制模块,用于根据验证结果对所述组播数据报文进行转发控制。
[0029]优选地,所述获取模块包括:
[0030]配置单元,用于配置IPTV服务器的域名地址信息;
[0031]发送单元,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0032]接收单元,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0033]获取单元,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0034]优选地,所述验证模块包括:
[0035]解析单元,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0036]匹配单元,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0037]判断单元,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
[0038]优选地,所述控制模块,还用于当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0039]优选地,该装置还包括:
[0040]组播地址更新模块,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0041]优选地,所述获取模块,还用于按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
[0042]本发明实施例提出的一种基于DNS的组播安全控制的方法和装置,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
【附图说明】
[0043]图1是本发明基于DNS的组播安全控制方法一实施例的流程示意图;
[0044]图2是本发明基于DNS的组播安全控制方法另一实施例的流程示意图;
[0045]图3是本发明基于DNS的组播安全控制装置一实施例的功能模块示意图;
[0046]图4是本发明实施例中获取模块的结构示意图;
[0047]图5是本发明实施例中验证模块的结构示意图;
[0048]图6是本发明基于DNS的组播安全控制装置另一实施例的功能模块示意图。
[0049]为了使本发明的技术方案更加清楚、明了,下面将结合附图作进一步详述。
【具体实施方式】
[0050]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本