專利名稱:一種組播業(yè)務(wù)認(rèn)證方法及其裝置、系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種組播業(yè)務(wù)認(rèn)證方法及其裝置、系統(tǒng)�。
背景技術(shù):
作為一種與單播和廣播并列的通信方式,組播技術(shù)有效地解決了單點發(fā)送 多點接收的問題�,能夠大量節(jié)約網(wǎng)絡(luò)帶寬,降低網(wǎng)絡(luò)負擔(dān)。更重要的是�,可以 利用網(wǎng)絡(luò)的組播特性方便地提供一些新的增值業(yè)務(wù),例如在線直播���、網(wǎng)絡(luò)電視�、 遠程教育��、遠程醫(yī)療�����、網(wǎng)絡(luò)電臺����、實時視頻會議等。
在標(biāo)準(zhǔn)的組播協(xié)議中���,沒有定義用戶認(rèn)證機制,對于組播使用者���,可以加入
任何其知道組地址的組播組而無需任何認(rèn)證。由此帶來很多的負面作用,例如: 如果不能對組播用戶身份合法性進行認(rèn)證���,無效的組播流量可能占用大量帶寬��, 造成網(wǎng)絡(luò)鏈路的擁塞和設(shè)備的轉(zhuǎn)發(fā)性能下降���,甚至影響單播數(shù)據(jù)的正常轉(zhuǎn)發(fā)��。 對于需要付費的和有安全要求的組播應(yīng)用��,顯然需要相應(yīng)的組播業(yè)務(wù)認(rèn)證
方法�����,在目前的網(wǎng)絡(luò)中�,對用戶的組播業(yè)務(wù)權(quán)限認(rèn)證一般通過以下方式來實現(xiàn)
組播業(yè)務(wù)權(quán)限在用戶開通相關(guān)組播業(yè)務(wù)(例如IPTV)的時候由網(wǎng)絡(luò)管理系統(tǒng)配 置到網(wǎng)絡(luò)接入設(shè)備中����,例如IPDSLAM (IP數(shù)字用戶線接入復(fù)用器)、或LAN SWITCH(局域網(wǎng)交換機)等����,網(wǎng)絡(luò)接入設(shè)備再根據(jù)用戶端設(shè)備的組播業(yè)務(wù)請求消 息(例如因特網(wǎng)組管理協(xié)議IGMP加入消息)中提供的用戶身份信息,對照所配置 的組播業(yè)務(wù)權(quán)限來實現(xiàn)組播流的轉(zhuǎn)發(fā)��。
但是�,上述組播業(yè)務(wù)認(rèn)證方式存在如下缺陷1)���、組播權(quán)限配置��、管理比 較分散��;2)����、組播業(yè)務(wù)請求響應(yīng)速度問題網(wǎng)絡(luò)接入設(shè)備由于保存了大量的用 戶組播業(yè)務(wù)權(quán)限信息,根據(jù)每個用戶的組播業(yè)務(wù)請求分析其對應(yīng)的權(quán)限�,對設(shè) 備內(nèi)存、處理速度要求高�,也影響組播請求響應(yīng)速度;3)�、網(wǎng)絡(luò)接入設(shè)備只能 以端口為單位進行組播權(quán)限的控制當(dāng)網(wǎng)絡(luò)接入設(shè)備一個端口下的任意一個用戶
終端通過接入認(rèn)證之后,從該端口下的其它用戶終端也可以發(fā)起組播業(yè)務(wù)加入 請求�、并導(dǎo)致對應(yīng)組播流的下發(fā)。
發(fā)明內(nèi)容
本發(fā)明的思想是將由認(rèn)證服務(wù)器將組播權(quán)限封裝成訪問令牌并下發(fā)給用戶 終端����,用戶終端在上行的組播業(yè)務(wù)請求消息中包含該訪問令牌,網(wǎng)絡(luò)接入設(shè)備在 接收到該請求消息時從訪問令牌中提取用戶組播權(quán)限�����,以確定是否對用戶組播 業(yè)務(wù)請求進行響應(yīng)����。
根據(jù)本發(fā)明的第一個方面���, 一種通信網(wǎng)絡(luò)系統(tǒng)中組播業(yè)務(wù)認(rèn)證方法,所述通 信網(wǎng)絡(luò)系統(tǒng)包括用戶終端���、網(wǎng)絡(luò)接入設(shè)備�����、認(rèn)證服務(wù)器����,所述組播業(yè)務(wù)認(rèn)證方 法包括步驟a)��、認(rèn)證服務(wù)器將用戶終端組播業(yè)務(wù)權(quán)限封裝成訪問令牌返回給用 戶終端����;b)、用戶終端在向網(wǎng)絡(luò)接入設(shè)備進行組播業(yè)務(wù)請求時提供所述訪問令牌��; c)�����、網(wǎng)絡(luò)接入設(shè)備根據(jù)所述訪問令牌對組播業(yè)務(wù)請求進行鑒權(quán)并決定是否響應(yīng)組
播業(yè)務(wù)請求�。
優(yōu)選地,本發(fā)明方法步驟a)中��,認(rèn)證服務(wù)器進一步對訪問令牌進行加密處理 后返回給用戶終端����,步驟c)網(wǎng)絡(luò)接入設(shè)備提取訪問令牌并進一步進行解密驗證 處理。
上述驗證處理包括如下步驟:cl)���、網(wǎng)絡(luò)接入設(shè)備向認(rèn)證服務(wù)器請求對訪問令 牌進行解密驗證��;c2)��、認(rèn)證服務(wù)器向網(wǎng)絡(luò)接入設(shè)備返回驗證結(jié)果���。
優(yōu)選地,本發(fā)明方法步驟a)中����,認(rèn)證服務(wù)器進一步將用戶終端信息封裝在所 述訪問令牌,步驟c)網(wǎng)絡(luò)接入設(shè)備進一步將發(fā)起組播業(yè)務(wù)請求的用戶終端信息 與訪問令牌中用戶終端信息對比��,以決定是否響應(yīng)組播業(yè)務(wù)請求�。
優(yōu)選地�,本發(fā)明方法步驟a)中��,認(rèn)證服務(wù)器可以在該用戶終端進行接入認(rèn)證 時��,將所述訪問令牌返回給該用戶終端�。
上述接入認(rèn)證為DHCP認(rèn)證方式,認(rèn)證服務(wù)器將訪問令牌封裝在DHCP協(xié) 議廠商定義選項返回該用戶終端�。
上述接入認(rèn)證也可以為S02.1x認(rèn)證方式,認(rèn)證服務(wù)器將訪問令牌封裝在 EAPOL-Key消息中返回該用戶終端��。
優(yōu)選地����,本發(fā)明方法步驟b)中,用戶終端組播業(yè)務(wù)請求為IGMP加入或IGMP
離開消息�。
優(yōu)選地,本發(fā)明方法步驟C)中���,網(wǎng)絡(luò)接入設(shè)備在訪問令牌驗證成功后����,為所 述用戶終端復(fù)制被請求的組播數(shù)據(jù)流或進一步刪除組播業(yè)務(wù)請求所包含的訪問 令牌向網(wǎng)絡(luò)側(cè)轉(zhuǎn)發(fā)該請求����。
根據(jù)本發(fā)明的第二個方面�, 一種用于組播業(yè)務(wù)的用戶終端設(shè)備,包括:一個認(rèn)
證請求裝置��,用于發(fā)起認(rèn)證請求����、獲取表示該終端設(shè)備組播業(yè)務(wù)權(quán)限的訪問令 牌���; 一個組播業(yè)務(wù)請求裝置���,在其生成的組播業(yè)務(wù)請求消息中提供所述訪問令 牌。
優(yōu)選地�����,上述組播業(yè)務(wù)請求消息為IGMP加入消息或IGMP離開消息���。
根據(jù)本發(fā)明的第三個方面��, 一種認(rèn)證服務(wù)器�,包括認(rèn)證處理裝置對用戶
認(rèn)證請求消息進行認(rèn)證�����、并在認(rèn)證成功后進一步將該用戶的組播權(quán)限封裝成為
訪問令牌包含在認(rèn)證響應(yīng)消息中;
優(yōu)選地����,認(rèn)證處理裝置進一步將請求認(rèn)證的用戶終端信息封裝入訪問令牌。 優(yōu)選地��,認(rèn)證服務(wù)器還進一步包括一加密裝置�����,用于對訪問令牌進行加密處理�。
上述認(rèn)證服務(wù)器還可以進一步包括一解密裝置,對認(rèn)證處理裝置接收來自網(wǎng) 絡(luò)接入設(shè)備的訪問令牌驗證請求消息的訪問令牌進行解密處理��。
根據(jù)本發(fā)明的第四個方面���, 一種網(wǎng)絡(luò)接入設(shè)備,根據(jù)與其所連接的用戶終端 的組播業(yè)務(wù)請求提供相應(yīng)的組播業(yè)務(wù)數(shù)據(jù)流�,它包括:一個組播請求處理裝置: 提取所述組播業(yè)務(wù)請求中的表示所述用戶終端組播業(yè)務(wù)權(quán)限的訪問令牌�����,并根據(jù) 所述訪問令牌對所請求的組播組進行鑒權(quán)��; 一個組播響應(yīng)裝置:根據(jù)所述組播請 求處理裝置的鑒權(quán)結(jié)果決定是否響應(yīng)所述組播業(yè)務(wù)請求。
優(yōu)選地���,網(wǎng)絡(luò)接入設(shè)備進一步包括一解密裝置��,用于對組播請求處理裝置所 提取的訪問令牌進行解密處理�����。
優(yōu)選地,網(wǎng)絡(luò)接入設(shè)備進一步包括一遠程認(rèn)證客戶端�����,用于向其遠程認(rèn)證服 務(wù)器請求驗證訪問令牌并返回驗證結(jié)果���。
優(yōu)選地�,本發(fā)明網(wǎng)絡(luò)接入設(shè)備組播請求處理裝置進一步刪除所述組播業(yè)務(wù)請 求消息中訪問令牌并向上一級網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)����。
本發(fā)明所帶來的有益效果
首先,實現(xiàn)了組播權(quán)限由認(rèn)證服務(wù)器集中進行管理維護�����,認(rèn)證服務(wù)器可以 在用戶網(wǎng)絡(luò)終端進行接入認(rèn)證時,將其組播權(quán)限封裝在訪問令牌中返回給用戶終端��。
其次����,對網(wǎng)絡(luò)接入設(shè)備而言,本發(fā)明簡化了其組播業(yè)務(wù)管理的配置���,由于 表示用戶組播權(quán)限的訪問令牌被直接封裝在用戶組播業(yè)務(wù)請求消息中����,因此在 網(wǎng)絡(luò)接入設(shè)備本地不需要再配置���、保存用戶組播權(quán)限�;網(wǎng)絡(luò)接入設(shè)備只對攜帶 有效訪問令牌的用戶網(wǎng)絡(luò)終端設(shè)備組播業(yè)務(wù)請求進行鑒權(quán)處理�、對組播業(yè)務(wù)請 求響應(yīng)速度將獲得大大改善。
此外�,通過構(gòu)建不同的訪問令牌結(jié)構(gòu)方式,組播業(yè)務(wù)控制可以做到更加靈 活�����,網(wǎng)絡(luò)接入設(shè)備可進一步根據(jù)訪問令牌中攜帶的用戶終端信息等驗證組播請 求消息中的訪問令牌的合法性����,不再只以端口為單位進行組播權(quán)限的控制���。
圖1是一種典型的通信系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖2是本發(fā)明通信系統(tǒng)中組播業(yè)務(wù)認(rèn)證流程示意圖3是本發(fā)明提供的訪問令牌結(jié)構(gòu)形式;
圖4A是一種基于DHCP認(rèn)證方式下的訪問令牌返回方式�����;
圖4B是一種基于802.1x認(rèn)證方式下的訪問令牌返回方式��;
圖5A是訪問令牌在IGMP第一版協(xié)議消息中的封裝格式��;
圖5B是訪問令牌在IGMP第二版協(xié)議消息中的封裝格式����;
圖6是本發(fā)明用戶終端功能結(jié)構(gòu)示意圖7是本發(fā)明認(rèn)證服務(wù)器功能結(jié)構(gòu)示意圖8是本發(fā)明網(wǎng)絡(luò)接入設(shè)備功能結(jié)構(gòu)示意圖���。
具體實施例方式
下面結(jié)合附圖����,對本發(fā)明的優(yōu)選實施方式進行詳細的說明����。 圖1是一種典型的通信系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖�,該系統(tǒng)至少包括網(wǎng)絡(luò)接入設(shè) 備ll���、與之相連的若干用戶終端12��、以及一認(rèn)證服務(wù)器13����。
用戶終端12�����,典型地例如電視機頂盒��、計算機���、移動手機等���,以有線或無線
方式與網(wǎng)絡(luò)接入設(shè)備11相連,用戶終端使用組成員關(guān)系協(xié)議��,例如IPV4環(huán)境 下典型的IGMP(因特網(wǎng)組管理協(xié)議)協(xié)議����、IPV6環(huán)境下典型的MLD(組播監(jiān)聽發(fā) 現(xiàn))協(xié)議等���,來告訴圖例中本地組播路由器14,希望加入并接收某個特定組播組 數(shù)據(jù)流���,后面的實施例說明將以IGMP協(xié)議為例進行說明�����。
網(wǎng)絡(luò)接入設(shè)備ll���,典型地例如DSLAM、 LAN SWITCH等之類的網(wǎng)絡(luò)接入 設(shè)備�,位于組播路由器14與用戶終端12之間,它將網(wǎng)絡(luò)側(cè)組播路由器下行的 視頻數(shù)據(jù)流復(fù)制給多個用戶終端�����。它可以通過實現(xiàn)IGMP/MLD Proxy (IGMP/MLD代理)等組播協(xié)議功能�����,對其所連接的用戶終端設(shè)備的組播請求 進行處理��、并根據(jù)處理結(jié)果對組播請求進行響應(yīng)當(dāng)用戶終端所請求的某組播 業(yè)務(wù)數(shù)據(jù)流已經(jīng)存在����,網(wǎng)絡(luò)接入設(shè)備將該組播組數(shù)據(jù)流被復(fù)制給該用戶;否則 網(wǎng)絡(luò)接入設(shè)備會向其網(wǎng)絡(luò)側(cè)轉(zhuǎn)發(fā)該組播業(yè)務(wù)請求�。
認(rèn)證服務(wù)器13,作為網(wǎng)絡(luò)運營商對數(shù)據(jù)��、用戶進行控制和管理的重要設(shè)備�����, 它集中保存了用戶信息���、權(quán)限配置(包括單播�、組播權(quán)限)����、并提供多種接入認(rèn)證 協(xié)議方式,例如支持DHCP (動態(tài)主機配置協(xié)議)��、802.1x�、 WEB/PORTAL (門 戶站點)、等多種用戶接入認(rèn)證方式����。
下面我們進一步結(jié)合圖2揭示本發(fā)明通信系統(tǒng)中組播業(yè)務(wù)認(rèn)證流程
步驟S20�����,用戶終端12在向網(wǎng)絡(luò)接入設(shè)備11請求組播業(yè)務(wù)之前需要從認(rèn)證 服務(wù)器13取得用于表示組播權(quán)限的訪問令牌�����。
首先����,結(jié)合圖3對訪問令牌格式做進一步說明�,訪問令牌可以簡單地由用 戶組播權(quán)限30來表示,最簡單的方式��,它包括圖例中組播權(quán)限300,它可以是該用 戶終端所具有組播權(quán)限的組播組地址集合��。
前述用戶組播權(quán)限30中可以進一步包含一端口信息301選項�,用于表示該
用戶終端所對應(yīng)在網(wǎng)絡(luò)接入設(shè)備上的接入端口信息,網(wǎng)絡(luò)接入設(shè)備可根據(jù)訪問 令牌中的端口信息與實際接收的組播請求消息的端口對比判斷組播請求消息是
否合法�。
前述用戶組播權(quán)限30中進一步可以包含一用戶終端信息302選項,例如用 戶終端的MAC地址�����,網(wǎng)絡(luò)接入設(shè)備可根據(jù)訪問令牌中的用戶終端的MAC地址 與實際接收到的組播請求消息的用戶終端的MAC地址進行對比�,以判斷組播請 求消息是否合法。這里���,使用MAC地址標(biāo)識用戶終端�����,即使在網(wǎng)絡(luò)接入設(shè)備和
用戶終端之間存在NAT(網(wǎng)絡(luò)地址翻譯)裝置��,它也能唯一地標(biāo)識該用戶終端為該
訪問令牌的合法擁有者�����。
前述用戶組播權(quán)限30中進一步包括一 UserID 303選項�����,用于表示用戶身份 信息��,以方便組播業(yè)務(wù)提供設(shè)備進行計費��、管理等�����。
另外����,為訪問令牌安全性、防止用戶端對訪問令牌的修改����,可進一步利用 加密技術(shù)對前述用戶組播權(quán)限30進行加密處理,典型的安全性加密技術(shù)如基于 SHA���、 MD5的HAMC (基于散列函數(shù)的消息認(rèn)證碼)等�����,這里我們以HAMC加 密算法為例它可以由應(yīng)用服務(wù)提供商(ASP)根據(jù)自己的授權(quán)密鑰�����,按照以下 方式計算出來一個HAMC驗證碼31���、并與前述用戶組播權(quán)限30 —起構(gòu)成訪問 令牌
HAMC驗證碼-[MD5(ASP授權(quán)密鑰||用戶組播權(quán)限HASP授權(quán)密鑰)]64 其中,[….]64表示取MD5消息摘要的128比特中的前64比特�,||表示字符 串連接。
基于前述令牌安全性考慮�,不同ASP可能使用不同的授權(quán)密鑰對組播業(yè)務(wù) 權(quán)限進行加密處理���,本發(fā)明建議訪問令牌中進一步包括一個ASPID32選項���,用 于標(biāo)記應(yīng)用服務(wù)提供商身份�����,獲得該訪問令牌的網(wǎng)絡(luò)接入設(shè)備可以基于該 ASPID選項選擇相應(yīng)的解密方式進行解密處理��。
接下來�����,我們對本發(fā)明訪問令牌返回方式進行說明
一種優(yōu)選的實施方式��,認(rèn)證服務(wù)器13可以選擇在該用戶終端11進行單播 接入認(rèn)證請求時���,將該用戶終端的訪問令牌返回給該用戶終端11?;谟脩艚K 端的接入認(rèn)證方式不同、訪問令牌的返回方式需具體考慮
1)�、在用戶終端11使用動態(tài)主機配置協(xié)議(DHCP)進行單播認(rèn)證的情 形下,假設(shè)網(wǎng)絡(luò)接入設(shè)備12集成了 DHCP Server功能�,下面結(jié)合圖4A揭示訪 問令牌的返回過程作簡單說明步驟S201��、用戶終端11向網(wǎng)絡(luò)接入設(shè)備12發(fā) 送DHCP請求��,請示中包含用戶名和密碼�;步驟S202�����、網(wǎng)絡(luò)接入設(shè)備12向認(rèn) 證服務(wù)器13進行用戶認(rèn)證請求�����。步驟S203����、認(rèn)證服務(wù)器13通過用戶認(rèn)證,返 回認(rèn)證成功信息和本發(fā)明定義的訪問令牌給網(wǎng)絡(luò)接入設(shè)備12;這里為簡明起見�����, 對中間步驟不再累述�����,其詳細認(rèn)證規(guī)范可參考互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定 的請求評論RFC2131 "動態(tài)主機配置協(xié)議"和RFC2865 "撥號接入服務(wù)遠程認(rèn)
證協(xié)議"��,最后,步驟S209�、完成DHCP和認(rèn)證過程,用戶終端ll獲得合法的 IP地址和訪問令牌���,訪問令牌將通過DHCP ACK消息中的 Vendor-Specific-Option (廠商定義選項)發(fā)放到用戶終端。
2) �、在用戶終端11使用802.1x協(xié)議進行單播認(rèn)證的情形下,這里���,網(wǎng)絡(luò) 接入設(shè)備12實現(xiàn)S02.1x的認(rèn)證系統(tǒng)部分���,S02.1x的客戶端一般安裝在用戶終端 中,S02.1x的認(rèn)證服務(wù)器系統(tǒng)一般駐留在認(rèn)證服務(wù)器13�,網(wǎng)絡(luò)接入設(shè)備通過不 受控端口與用戶終端進行通信,二者之間運行EAPoL (基于局域網(wǎng)的擴展驗證 協(xié)議)協(xié)議�����,而網(wǎng)絡(luò)接入設(shè)備與認(rèn)證服務(wù)器之間運行Radius協(xié)議及其擴展�����,詳 細可參考RFC 2865 "RADIUS"和RFC2869 "RADIUS擴展"���。下面結(jié)合圖 4B揭示訪問令牌的返回過程作簡單說明步驟S301�����,用戶終端ll向網(wǎng)絡(luò)接入 設(shè)備12發(fā)送一個EAPoL-Start報文����,開始802.1x認(rèn)證接入;步驟S302��,網(wǎng)絡(luò)接 入設(shè)備12向用戶終端11發(fā)送EAP-Request/Identity報文�����,要求用戶終端11將用 戶名送上來��;步驟S303���, 用戶終端11回應(yīng)一個EAP-Response/Identity給網(wǎng)絡(luò) 接入設(shè)備12的請求��,其中包括用戶名���;步驟S304,網(wǎng)絡(luò)接入設(shè)備12將用戶名 封裝到Access-Request報文中���,發(fā)送給認(rèn)證服務(wù)器13;這里為簡明起見����,對中 間步驟不再累述,其詳細認(rèn)證規(guī)范可參考IEEE 802.1X"基于端口的訪問控制"��; 步驟S309���,如果認(rèn)證服務(wù)器13根據(jù)該用戶終端提供的信息認(rèn)證成功,它生成 Access-Accept報文中�����,發(fā)送給網(wǎng)絡(luò)接入設(shè)備12�����,該報文攜帶協(xié)商參數(shù)����、用戶的 相關(guān)業(yè)務(wù)屬性、及本發(fā)明定義的訪問令牌����;步驟S310�,網(wǎng)絡(luò)接入設(shè)備12向用戶 終端11發(fā)送認(rèn)證成功消息��;步驟S311����,網(wǎng)絡(luò)接入設(shè)備12可以將訪問令牌通過 EAPOL-Key (密鑰信息幀)消息發(fā)放到用戶終端11。
3) ����、在用戶終端11使用WEB/PORTAL認(rèn)證方式進行單播認(rèn)證的情形下, 訪問令牌可采用HTTP Cookie的方式發(fā)放到用戶終端11 ���。
上面結(jié)合用戶終端在進行接入認(rèn)證時��,訪問令牌通過相關(guān)接入認(rèn)證協(xié)議方 式返回給用戶終端�,當(dāng)然�����,用戶終端11也可以采用其他合適時機�����、方式向認(rèn)證 服務(wù)器13請求訪問令牌。
接下來�����,本發(fā)明方法步驟S21����,用戶終端11在向網(wǎng)絡(luò)接入設(shè)備12請求組播 業(yè)務(wù)時提供所獲得的訪問令牌。
用戶終端11可以通過IGMP組成員報告消息對組播業(yè)務(wù)進行相關(guān)請求����,
IGMP協(xié)議消息通過IP數(shù)據(jù)包進行傳輸,以IP數(shù)據(jù)包首部中協(xié)議字段值為2來 指明���。下面結(jié)合圖例5A、 5B進一步說明本發(fā)明訪問令牌在IGMP協(xié)議消息中的 封裝
圖5A是訪問令牌在IGMP第一版協(xié)議消息中的封裝格式���,IGMP第一版中 定義了基本的組成員查詢和報告過程���,圖例中,版本號51字段為1指示IGMP 協(xié)議版本號���,類型52字段為2說明是用戶終端發(fā)出的報告報文���,校驗和53字段 用于信息差錯校驗�,組播組地址54指示該報告報文中用戶終端要參加的32位 組地址�,其詳細細節(jié)可參考互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定的請求評論RFC1112, 根據(jù)本發(fā)明思想���,該報告消息進一步包含訪問令牌55���。
圖5B是訪問令牌在IGMP第二版協(xié)議消息中的封裝格式;IGMP第二版在 原基礎(chǔ)上添加了組成員快速離開的機制��,當(dāng)要加入組播組時��,用戶終端不必等 待查詢消息�����,主動發(fā)送報告消息��;當(dāng)要離開組播組時�,主機發(fā)送離開組消息, 圖例中�,類型51'字段指示協(xié)議消息,最大響應(yīng)時間52' —般只用于組成員查 詢消息�����,校驗和53'字段用于信息差錯校驗,組播組地址54'指示該報告報文 中用戶終端要加入或離開的32位組地址,其詳細細節(jié)可參考IETF制定的 RFC2236���,根據(jù)本發(fā)明思想����,該報告消息進一步包含訪問令牌55��,�����。
盡管前述以IGMP第一版����、第二版協(xié)議為例示意了其在組播業(yè)務(wù)請求時候 攜帶訪問令牌,但本發(fā)明同樣適用于其他組成員關(guān)系協(xié)議���,這里不再一一累述。
接下來���,本發(fā)明方法步驟S22��,網(wǎng)絡(luò)接入設(shè)備12根據(jù)所述訪問令牌對組播 業(yè)務(wù)請求進行鑒權(quán)并決定是否響應(yīng)組播業(yè)務(wù)請求�����。
當(dāng)訪問令牌為未經(jīng)加密處理����,網(wǎng)絡(luò)接入設(shè)備12接收到來自用戶終端11的 組播請求消息,根據(jù)其承載的訪問令牌中的組播業(yè)務(wù)權(quán)限信息并與所請求的組 播組比較鑒權(quán)�。
基于前述訪問令牌結(jié)構(gòu)之一,當(dāng)訪問令牌中進一步包含有相關(guān)用戶終端信 息302���,例如用戶終端的MAC地址���,網(wǎng)絡(luò)接入設(shè)備12可以根據(jù)訪問令牌中的 攜帶的用戶終端MAC地址與IGMP報告消息中的以太網(wǎng)源MAC地址進行比較 以進一步驗證該組播業(yè)務(wù)請求消息的合法性。
基于前述訪問令牌結(jié)構(gòu)之一����,當(dāng)訪問令牌中進一步包含有端口信息301,網(wǎng) 絡(luò)接入設(shè)備12可以根據(jù)所述端口信息與實際接收該IGMP報告消息的端口進行
比較以進一步驗證該組播業(yè)務(wù)請求消息的合法性�����。
基于前述訪問令牌結(jié)構(gòu)之一���,當(dāng)訪問令牌是經(jīng)過加密處理�,對應(yīng)前述HAMC 加密算法,在圖l所示意網(wǎng)絡(luò)配置下�,認(rèn)證服務(wù)器13產(chǎn)生訪問令牌的加密密鑰 可以預(yù)先配置到網(wǎng)絡(luò)接入設(shè)備11中,由網(wǎng)絡(luò)接入設(shè)備11完成對訪問令牌的解 密處理以驗證其有效性���?���;蛘?,如圖例中步驟S22A、 S22B所示意�����,網(wǎng)絡(luò)接入 設(shè)備11也可以通過RADIUS協(xié)議遠程訪問認(rèn)證服務(wù)器13請求對訪問令牌進行 解密處理以驗證其有效性��,在該種網(wǎng)絡(luò)配置下��,認(rèn)證服務(wù)器13產(chǎn)生訪問令牌的 HAMC密鑰不需要配置到DSLAM中���,DSLAM中僅僅需要具備遠程認(rèn)證客戶 端以完成對認(rèn)證服務(wù)器13的遠程訪問�����。
前述經(jīng)過加密處理的訪問令牌���,基于訪問令牌中的ASPID選項,網(wǎng)絡(luò)接入 設(shè)備11或認(rèn)證服務(wù)器13可以選擇相應(yīng)解密方式對訪問令牌進行處理��。
通過前述鑒權(quán)處理結(jié)果���、以及進一步結(jié)合訪問令牌中攜帶的其他信息對組 播業(yè)務(wù)請求消息的合法性驗證�����,如果上述鑒權(quán)�����、驗證成功����,網(wǎng)絡(luò)接入設(shè)備12對 組播業(yè)務(wù)請求進行如下響應(yīng)如果對應(yīng)的組播組數(shù)據(jù)流已經(jīng)存在�����,該組播組數(shù) 據(jù)流被復(fù)制給該用戶(步驟S23B);或網(wǎng)絡(luò)接入設(shè)備12進一步向其網(wǎng)絡(luò)側(cè)轉(zhuǎn) 發(fā)該組播業(yè)務(wù)請求(步驟S23A)�,值得說明的是���,網(wǎng)絡(luò)接入設(shè)備12在選擇向 網(wǎng)絡(luò)側(cè)轉(zhuǎn)發(fā)組播業(yè)務(wù)請求消息之前,可以從該消息中刪除訪問令牌����,如果網(wǎng)絡(luò) 側(cè)有需要標(biāo)識用戶信息,也可以在向網(wǎng)絡(luò)側(cè)轉(zhuǎn)發(fā)IGMP消息的時候不刪除訪問 令牌��。如果鑒權(quán)�、或驗證失敗,網(wǎng)絡(luò)接入設(shè)備12拒絕來自用戶終端11的組播 業(yè)務(wù)請求����。
下面,我們進一步結(jié)合圖6����、 7、 8對本發(fā)明思想下的用戶終端��、認(rèn)證服務(wù) 器���、網(wǎng)絡(luò)接入設(shè)備做進一步說明
圖6是本發(fā)明用戶終端功能結(jié)構(gòu)示意圖��,該用戶終端會包含一個認(rèn)證請求 裝置lll�,典型的例如PC上的用戶撥號程序,它通過用戶名稱���、密碼等方式請 求網(wǎng)絡(luò)接入認(rèn)證。
根據(jù)本發(fā)明思想�,用戶終端在執(zhí)行網(wǎng)絡(luò)接入認(rèn)證時,根據(jù)所采用的不同認(rèn) 證方式���,它可以在認(rèn)證通過后從認(rèn)證服務(wù)器獲得一個表示其組播訪問權(quán)限的訪 問令牌����。
以DHCP認(rèn)證方式為例����,它可以在認(rèn)證通過后通過DHCP ACK消息中的
Vendor-Specific-Option (廠商定義選項)獲得。
以802.1x認(rèn)證方式為例��,訪問令牌可以通過認(rèn)證系統(tǒng)返回的EAPOL-Key(密
鑰信息幀)消息中獲得�����。
無論哪種認(rèn)證方式�,我們首先需要在用戶終端與認(rèn)證服務(wù)器、以及可能的 其它涉及認(rèn)證的設(shè)備之間進行約定從而知道在什么消息中獲得訪問令牌���。
該用戶終端還包括一組播業(yè)務(wù)請求裝置112�,典型的如PC中的組播應(yīng)用程 序,可以通過IGMP組成員報告消息對組播業(yè)務(wù)進行相關(guān)請求���,本發(fā)明中���,我 們對IGMP協(xié)議消息做一定的擴充,在其組播業(yè)務(wù)消息中攜帶前述認(rèn)證請求裝 置111所獲得的訪問令牌�����,前面已有說明���。
圖7所示認(rèn)證服務(wù)器����,作為網(wǎng)絡(luò)運營商對數(shù)據(jù)�、用戶進行控制和管理的重 要設(shè)備,它包括一個數(shù)據(jù)庫單元131集中保存了用戶信息��、權(quán)限配置(包括單播����、 組播權(quán)限)�����、并通過網(wǎng)絡(luò)接口裝置130提供多種用戶接入認(rèn)證協(xié)議方式����,例如支 持DHCP�、 802.1x����、 WEB/PORTAL、等多種用戶接入認(rèn)證方式��;以及提供Radius 協(xié)議接口支持遠程認(rèn)證客戶端的訪問請求�����。認(rèn)證處理裝置132基于上述認(rèn)證�、 訪問請求中提供的參數(shù)信息,與數(shù)據(jù)庫131中的用戶信息�����、權(quán)限信息進行對比, 返回相關(guān)認(rèn)證�����、訪問結(jié)果�。
本發(fā)明中,認(rèn)證處理裝置132在接收到來自用戶終端的認(rèn)證請求消息時����,它 在認(rèn)證成功后進一步將表示該用戶終端的組播權(quán)限封裝成為訪問令牌包含在返 回的認(rèn)證響應(yīng)消息中,基于用戶終端的接入認(rèn)證方式不同��、訪問令牌的返回方 式需具體考慮�,前面已有說明。
對于訪問令牌的格式��,前面也有詳細說明����,如前所述的一種訪問令牌的結(jié)構(gòu) 形式,為增強訪問令牌的安全性�,認(rèn)證服務(wù)器還可以進一步包含一個加/解密裝 置133,它可以對認(rèn)證處理裝置132產(chǎn)生的訪問令牌進一步進行加密處理(值得 說明的是�,在保證認(rèn)證服務(wù)器和網(wǎng)絡(luò)接入設(shè)備之間的網(wǎng)絡(luò)安全性的前提下,上 述訪問令牌的加密也可以在網(wǎng)絡(luò)接入設(shè)備上實現(xiàn)��,即在認(rèn)證服務(wù)器完成用戶接
入認(rèn)證后,網(wǎng)絡(luò)接入設(shè)備對其返回的訪問令牌進一步進行加密處理后再轉(zhuǎn)發(fā)給 用戶終端�,此處不再贅述)。針對不同ASP可能使用不同的加密方式對訪問令 牌進行加密處理��,本發(fā)明建議訪問令牌中進一步包括ASPID301��,用于標(biāo)記應(yīng)用 服務(wù)提供商身份�����,獲得該令牌的網(wǎng)絡(luò)接入設(shè)備可以基于該ASPID選擇相應(yīng)的解
密處理方式以驗證其有效性�����。
加/解密裝置133也可以進一步對來自網(wǎng)絡(luò)接入設(shè)備12的訪問令牌驗證請求 進行解密以驗證訪問令牌的有效性��,驗證結(jié)果可通過網(wǎng)絡(luò)接口裝置130返回給 網(wǎng)絡(luò)接入設(shè)備由其執(zhí)行相關(guān)鑒權(quán)����、以及進一步結(jié)合訪問令牌中攜帶的其他信息 對組播業(yè)務(wù)請求消息的合法性驗證���。
結(jié)合圖8是本發(fā)明網(wǎng)絡(luò)接入設(shè)備結(jié)構(gòu)示意圖��,它包括組播請求處理裝置 121�����、通過實現(xiàn)IGMP/MLD Proxy等組播協(xié)議功能���,對其所連接的用戶終端設(shè)備 的組播請求進行處理����;這里��,來自用戶側(cè)的用戶終端設(shè)備發(fā)出的組播請求消息 中攜帶有表示組播權(quán)限的訪問令牌��。
當(dāng)訪問令牌為未經(jīng)加密處理�,組播請求處理裝置121接收到來自用戶終端 的組播請求消息,根據(jù)其承載的訪問令牌中的組播業(yè)務(wù)權(quán)限信息并與所請求的 組播組比較鑒權(quán)�����。
基于前述訪問令牌結(jié)構(gòu)實施例之一���,當(dāng)訪問令牌中進一步包含有相關(guān)用戶 終端信息���,例如MAC地址,組播請求處理裝置121可以根據(jù)訪問令牌中的攜帶 的MAC地址與包含在IGMP報文中的以太幀源MAC地址進行比較以進一步驗 證組播業(yè)務(wù)請求消息的合法性����。
基于前述訪問令牌結(jié)構(gòu)實施例之一���,當(dāng)訪問令牌中進一步包含有端口信息, 組播請求處理裝置121可以根據(jù)訪問令牌中的攜帶的端口信息與接收該IGMP 請求報文的端口進行比較以進一步驗證組播業(yè)務(wù)請求消息的合法性����。
基于前述訪問令牌結(jié)構(gòu)實施例之一,當(dāng)訪問令牌是經(jīng)過加密處理��,對應(yīng)前 述HAMC加密算法����,在圖1所示意網(wǎng)絡(luò)配置下,認(rèn)證服務(wù)器13產(chǎn)生訪問令牌 的加密密鑰可以預(yù)先配置到DSLAM中的解密裝置122中��,組播請求處理裝置 121根據(jù)解密裝置122來進行解密處理確認(rèn)訪問令牌的有效性���,再根據(jù)訪問令牌 完成上述鑒權(quán)、以及進一步驗證組播業(yè)務(wù)請求消息的合法性����。或者���,網(wǎng)絡(luò)接入 設(shè)備11也可以通過遠程認(rèn)證客戶端123以RADIUS協(xié)議遠程訪問認(rèn)證服務(wù)器 13請求驗證訪問令牌有效性���。
前述經(jīng)過加密處理的訪問令牌�����,基于訪問令牌中的ASPID選項�,網(wǎng)絡(luò)接入 設(shè)備或認(rèn)證服務(wù)器13可以選擇相應(yīng)解密處理方式對訪問令牌進行解密處理���。
網(wǎng)絡(luò)接入設(shè)備還包括組播響應(yīng)裝置124�����,根據(jù)前述組播請求處理裝置121
鑒權(quán)處理結(jié)果��、以及進一步結(jié)合訪問令牌中攜帶的其他信息對組播業(yè)務(wù)請求消 息合法性驗證��,如果鑒權(quán)���、驗證成功,對應(yīng)的組播組數(shù)據(jù)流已經(jīng)存在��,組播響 應(yīng)裝置124將該組播組數(shù)據(jù)流被復(fù)制給該用戶終端����,如果鑒權(quán)�、或驗證失敗�����,
網(wǎng)絡(luò)接入設(shè)備12拒絕來自用戶終端11的組播業(yè)務(wù)請求��。
盡管上述說明為本發(fā)明提供了一些實施例����,并非用來限定本發(fā)明的保護范 圍,本技術(shù)領(lǐng)域的專業(yè)人員可以在不脫離本發(fā)明的范圍和精神的前提下����,對實 施例進行各種修改,這種修改均屬于本發(fā)明的范圍內(nèi)���。
權(quán)利要求
1���、一種通信網(wǎng)絡(luò)系統(tǒng)中組播業(yè)務(wù)認(rèn)證方法���,所述通信網(wǎng)絡(luò)系統(tǒng)包括用戶終端����、網(wǎng)絡(luò)接入設(shè)備、認(rèn)證服務(wù)器��,所述組播業(yè)務(wù)認(rèn)證方法包括步驟a)�����、認(rèn)證服務(wù)器將用戶終端組播業(yè)務(wù)權(quán)限封裝成訪問令牌返回給用戶終端�����;b)�����、用戶終端在向網(wǎng)絡(luò)接入設(shè)備進行組播業(yè)務(wù)請求時提供所述訪問令牌���;c)�、網(wǎng)絡(luò)接入設(shè)備根據(jù)所提供的訪問令牌對組播業(yè)務(wù)請求進行鑒權(quán)并決定是否響應(yīng)組播業(yè)務(wù)請求�����。
2�、 如權(quán)利要求1所述的方法��,其特征在于所述步驟a)中�,認(rèn)證服務(wù)器 進一步對訪問令牌進行加密處理后返回給用戶終端��,步驟c)網(wǎng)絡(luò)接入設(shè)備提 取訪問令牌并進一步進行解密驗證處理����。
3、 如權(quán)利要求2所述的方法�����,其特征在于所述驗證處理包括如下步驟: cl)��、網(wǎng)絡(luò)接入設(shè)備向認(rèn)證服務(wù)器請求對訪問令牌進行解密驗證�����;c2)�����、認(rèn)證服務(wù)器向網(wǎng)絡(luò)接入設(shè)備返回驗證結(jié)果��。
4����、 如權(quán)利要求1所述的方法,其特征在于所述步驟a)中�,認(rèn)證服務(wù)器 進一步將用戶終端信息封裝在所述訪問令牌,步驟c)網(wǎng)絡(luò)接入設(shè)備進一步將 發(fā)起組播業(yè)務(wù)請求的用戶終端信息與訪問令牌中用戶終端信息對比�,以決定是 否響應(yīng)組播業(yè)務(wù)請求。
5��、 如權(quán)利要求1或2所述的方法�,其特征在于所述步驟a)中,認(rèn)證服 務(wù)器可以在該用戶終端進行接入認(rèn)證時�,將所述訪問令牌返回給該用戶終端。
6����、 如權(quán)利要求3所述的方法,其特征在于所述接入認(rèn)證為動態(tài)主機配 置協(xié)議(DHCP)認(rèn)證方式�����,認(rèn)證服務(wù)器將訪問令牌封裝在DHCP協(xié)議廠商定 義選項返回該用戶終端���。
7��、 如權(quán)利要求3所述的方法����,其特征在于所述接入認(rèn)證為S02.1x認(rèn)證 方式,認(rèn)證服務(wù)器將訪問令牌封裝在密鑰信息幀(EAPOL-Key)消息中返回該 用戶終端�。
8、 如權(quán)利要求l所述的方法��,其特征在于所述步驟b)中�,用戶終端組 播業(yè)務(wù)請求為因特網(wǎng)組管理協(xié)議(IGMP)加入或IGMP離開消息。
9��、 如權(quán)利要求1所述的方法�����,其特征在于所述步驟c)中�,網(wǎng)絡(luò)接入設(shè) 備在訪問令牌驗證成功后,為所述用戶終端復(fù)制被請求的組播數(shù)據(jù)流或進一步 刪除組播業(yè)務(wù)請求所包含的訪問令牌向網(wǎng)絡(luò)側(cè)轉(zhuǎn)發(fā)該請求��。
10�����、 一種用于組播業(yè)務(wù)的用戶終端設(shè)備�,包括一個認(rèn)證請求裝置�,用于發(fā)起認(rèn)證請求�����、獲取表示該終端設(shè)備組播業(yè)務(wù)權(quán) 限的訪問令牌��;一個組播業(yè)務(wù)請求裝置����,在其生成的組播業(yè)務(wù)請求消息中提供所述訪問令牌����。
11、 如權(quán)利要求10所述的網(wǎng)絡(luò)終端設(shè)備,其特征在于所述組播業(yè)務(wù)請求 消息為IGMP加入消息或IGMP離開消息��。
12����、 一種認(rèn)證服務(wù)器,包括認(rèn)證處理裝置對用戶認(rèn)證請求消息進行認(rèn)證��、并在認(rèn)證成功后進一步將該用戶的組播權(quán)限封裝成為訪問令牌包含在認(rèn)證響應(yīng)消息中》
13�、 如權(quán)利要求12所述的認(rèn)證服務(wù)器,其特征在于所述認(rèn)證處理裝置進 一步將請求認(rèn)證的用戶終端信息封裝入訪問令牌����。
14�、 如權(quán)利要求12或13所述的認(rèn)證服務(wù)器���,其特征在于其進一步包括 一加密裝置��,用于對訪問令牌進行加密處理�。
15��、 如權(quán)利要求14所述的認(rèn)證服務(wù)器��,其特征在于其進一步包括一解密 裝置��,對認(rèn)證處理裝置接收來自網(wǎng)絡(luò)接入設(shè)備的訪問令牌驗證請求消息的訪問 令牌進行解密處理��。
16�、 一種網(wǎng)絡(luò)接入設(shè)備,根據(jù)與其所連接的用戶終端的組播業(yè)務(wù)請求提供 相應(yīng)的組播業(yè)務(wù)數(shù)據(jù)流���,其特征在于它包括-.一個組播請求處理裝置:提取所述組播業(yè)務(wù)請求中的表示所述用戶終端組 播業(yè)務(wù)權(quán)限的訪問令牌����,并根據(jù)所述訪問令牌對所請求的組播組進行鑒權(quán)�;一個組播響應(yīng)裝置:根據(jù)所述組播請求處理裝置的鑒權(quán)結(jié)果決定是否響應(yīng) 所述組播業(yè)務(wù)請求����。
17��、 如權(quán)利要求16所述的網(wǎng)絡(luò)接入設(shè)備�,其特征在于其進一步包括一解 密裝置,用于對組播請求處理裝置所提取的訪問令牌進行解密處理�。
18、 如權(quán)利要求16所述的網(wǎng)絡(luò)接入設(shè)備,其特征在于進一步包括一遠程 認(rèn)證客戶端���,用于向其遠程認(rèn)證服務(wù)器請求驗證訪問令牌并返回驗證結(jié)果。
19��、如權(quán)利要求16至18所述的網(wǎng)絡(luò)接入設(shè)備�,其特征在于所述組播請求 處理裝置進一步刪除所述組播業(yè)務(wù)請求消息中訪問令牌并向上一級網(wǎng)絡(luò)設(shè)備 轉(zhuǎn)發(fā)。
全文摘要
本發(fā)明提供了一種組播業(yè)務(wù)認(rèn)證方法及其系統(tǒng)����,該通信網(wǎng)絡(luò)系統(tǒng)包括用戶終端、網(wǎng)絡(luò)接入設(shè)備����、認(rèn)證服務(wù)器,組播業(yè)務(wù)認(rèn)證方法包括步驟a)認(rèn)證服務(wù)器將用戶終端組播業(yè)務(wù)權(quán)限封裝成訪問令牌返回給用戶終端�����;b)用戶終端在向網(wǎng)絡(luò)接入設(shè)備進行組播業(yè)務(wù)請求時提供所述訪問令牌;c)網(wǎng)絡(luò)接入設(shè)備根據(jù)所述訪問令牌對組播業(yè)務(wù)請求進行鑒權(quán)并決定是否響應(yīng)組播業(yè)務(wù)請求���?����;诒景l(fā)明��,實現(xiàn)了組播權(quán)限由認(rèn)證服務(wù)器集中進行管理維護�����,簡化了網(wǎng)絡(luò)接入設(shè)備對組播業(yè)務(wù)管理的配置和組播業(yè)務(wù)請求響應(yīng)速度����。
文檔編號H04L12/18GK101114900SQ20061002942
公開日2008年1月30日 申請日期2006年7月27日 優(yōu)先權(quán)日2006年7月27日
發(fā)明者姚亦峰, 靜 張, 朱建華, 繆應(yīng)忠 申請人:上海貝爾阿爾卡特股份有限公司