发明。
[0051]本发明实施例的解决方案主要是:通过向域名服务器发送DNS(Domain Nameservice,域名服务)请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,实现对组播业务流的有效控制,简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0052]如图1所示,本发明一实施例提出一种基于DNS的组播安全控制方法,包括:
[0053]步骤S101,向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0054]本实施例方法运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
[0055]其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
[0056]由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
[0057]具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
[0058]本实施例1PTV服务器的组播源DNS地址列表获取过程具体如下:
[0059]首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
[0060]在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
[0061]之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
[0062]所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0063]进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
[0064]具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
[0065]上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
[0066]步骤S102,在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0067]在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
[0068]其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
[0069]首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
[0070]之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
[0071]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0072]步骤S103,根据验证结果对所述组播数据报文进行转发控制。
[0073]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0074]本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0075]如图2所示,本发明另一实施例提出一种基于DNS的组播安全控制方法,在上述图1所述的实施例的基础上,在根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
[0076]步骤S104,接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
[0077]步骤S105,解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
[0078]步骤S106,若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0079]相比上述图1所示的实施例,本实施例还包括更新组播地址列表的方案。
[0080]具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器解析组播协议报文(判断该报文为加入报文或离开报文),进行组播业务流的发送或停止。
[0081]所述装置在接收到IPTV接收设备发送的组播协议报文后,将该组播协议报文转发至IPTV服务器,同时,装置会解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文。
[0082]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除,同时将更新后的组播地址列表更新配置到地址管理模块。
[0083]本实施例通过上述方案,保证了组播地址列表中信息的不断更新,以提高组播数据报文地址验证的效率。
[0084]相比现有技术,本实施例方案在设备上电后,首先进行IPTV服务器网址的配置,然后通过发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。将获取的组播源DNS列表信息配置到地址管理模块,当用户口收到组播协议报文后,添加地址信息,配置到地址管理模块,并将组播协议报文转发到上层IPTV接收设备。当本设备收到组播数据流时,可以检查报文的源IP地址和目的IP地