址是否符合条件,符合条件则按照学习的组地址进行转发,如不符合条件则丢弃该报文。通过本发明的实现,简化了组播源过滤复杂处理流程,不要求本装置的上层或下层设备支持源过滤,工程实现和部署简单,对于组播安全技术的提高有一定的指导和推广价值。
[0085]需要说明的是,本发明方案不限于上述几种实施例,还可有其他多种实施例,如不论IPV4协议或IPV6组播应用场景,都可以用此方法进行控制。
[0086]如图3所示,本发明一实施例提出一种基于DNS的组播安全控制装置,包括:获取模块201、验证模块202及控制模块203,其中:
[0087]获取模块201,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0088]验证模块202,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0089]控制模块203,用于根据验证结果对所述组播数据报文进行转发控制。
[0090]具体地,本实施例方案运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
[0091]其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
[0092]由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
[0093]具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
[0094]本实施例1PTV服务器的组播源DNS地址列表获取过程具体如下:
[0095]首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
[0096]在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
[0097]之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
[0098]所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0099]进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
[0100]具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
[0101]上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
[0102]在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
[0103]其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
[0104]首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
[0105]之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
[0106]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0107]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0108]本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0109]进一步地,在一优选实施例中,如图4所示,所述获取模块201包括:配置单元2011、发送单元2012、接收单元2013及获取单元2014,其中:
[0110]配置单元2011,用于配置IPTV服务器的域名地址信息;
[0111]发送单元2012,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0112]接收单元2013,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0113]获取单元2014,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0114]如图5所示,所述验证模块202包括:解析单元2021、匹配单元2022、判断单元2023,其中:
[0115]解析单元2021,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0116]匹配单元2022,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0117]判断单元2023,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
[0118]如图6所示,本发明另一实施例提出一种基于DNS的组播安全控制装置,在上述图3所示的实施例的基础上,还包括:
[0119]组播地址更新模块204,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0120]相比上述图3所示的实施例,本实施例还包括更新组播地址列表的方案。
[0121]具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器