專(zhuān)利名稱(chēng)：一種組播安全管理方法及組播邊界控制設(shè)備的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及組播管理技術(shù)，尤其涉及在視頻監(jiān)控的組網(wǎng)環(huán)境下的組播安全管理的技術(shù)。
背景技術(shù)：
隨著視音頻編解碼技術(shù)和網(wǎng)絡(luò)存儲(chǔ)技術(shù)的發(fā)展，將攝像機(jī)的圖像數(shù)據(jù)數(shù)字化，并在Internet網(wǎng)絡(luò)上傳輸、存儲(chǔ)形成了數(shù)字視頻監(jiān)控技術(shù)。 在IP視頻監(jiān)控系統(tǒng)中，主要由前端編碼設(shè)備、后端解碼設(shè)備、中心管理服務(wù)器和中心存儲(chǔ)設(shè)備組成。在當(dāng)前的系統(tǒng)中，實(shí)時(shí)視頻監(jiān)控?cái)?shù)據(jù)是通過(guò)單播發(fā)送給接收者的，因?yàn)榫幋a設(shè)備的能力有限，因此在存在多個(gè)接收者時(shí)，往往出現(xiàn)部分訪問(wèn)者無(wú)法接收到實(shí)時(shí)視頻數(shù)據(jù)。為了解決這一問(wèn)題，媒體處理設(shè)備應(yīng)運(yùn)而生，媒體處理設(shè)備主要完成單條實(shí)時(shí)視頻數(shù)據(jù)的接收，并復(fù)制多條單播流發(fā)送到接收者。在I :N (—個(gè)源端對(duì)應(yīng)多個(gè)接收端)的模式下，采用媒體處理設(shè)備的會(huì)導(dǎo)致單播數(shù)據(jù)在網(wǎng)絡(luò)中快速增長(zhǎng)，網(wǎng)絡(luò)設(shè)備帶寬不足，或者是媒體處理設(shè)備復(fù)制轉(zhuǎn)發(fā)性能不足從而無(wú)法滿(mǎn)足接收者需求。在視頻監(jiān)控系統(tǒng)中，為了節(jié)約網(wǎng)絡(luò)帶寬，經(jīng)常采用組播方式發(fā)送實(shí)時(shí)視頻數(shù)據(jù)，而接收者只需要加入相應(yīng)的組播組即可接收到視頻數(shù)據(jù)，組播的應(yīng)用節(jié)約了網(wǎng)絡(luò)的帶寬，但是，同時(shí)也帶來(lái)了安全管理問(wèn)題。如圖I所示的組網(wǎng)環(huán)境中，有很多VC，有些是合法的，但如果有一臺(tái)非法的VC接入網(wǎng)絡(luò)后，并且與授權(quán)用戶(hù)在同一個(gè)交換機(jī)的同一個(gè)VLAN下，那么此非法VC可以通過(guò)在自己的網(wǎng)口抓IGMP協(xié)議包的方法得到授權(quán)用戶(hù)正在接收的流量組播組地址，然后發(fā)送對(duì)應(yīng)的IGMP R印ort報(bào)文，進(jìn)行流量竊聽(tīng)；或者該非法用戶(hù)直接通過(guò)發(fā)送海量的IGMP Report報(bào)文，進(jìn)行組播組的掃描加入，將整網(wǎng)中的組播流都弓I到其接收端口上進(jìn)行竊聽(tīng)；甚至直接竊取某個(gè)合法用戶(hù)的IP地址，仿冒合法用戶(hù)進(jìn)行加入組播，獲取視頻監(jiān)控信息，上述做法均會(huì)給視頻監(jiān)控組網(wǎng)帶來(lái)安全隱患。

發(fā)明內(nèi)容
有鑒于此，本發(fā)明提供一種組播安全管理方法，包括A MBC向視頻管理服務(wù)器VM發(fā)起注冊(cè)，接收并記錄來(lái)自VM下發(fā)的用戶(hù)組播權(quán)限分級(jí)列表，其中，所述用戶(hù)權(quán)限分級(jí)列表是VM預(yù)先對(duì)管轄內(nèi)的用戶(hù)預(yù)先進(jìn)行規(guī)劃而建立的用戶(hù)權(quán)限和組播地址接收范圍的對(duì)應(yīng)關(guān)系表；B MBC獲取并記錄用戶(hù)權(quán)限信息；并在MBC收到用戶(hù)報(bào)文后，根據(jù)所述報(bào)文的來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用戶(hù)的權(quán)限信息建立用戶(hù)端口組播控制表;C當(dāng)MBC收到用戶(hù)的組播點(diǎn)播請(qǐng)求時(shí)，根據(jù)所述用戶(hù)端口組播控制表判斷用戶(hù)是否具有接收所述組播數(shù)據(jù)的權(quán)限，如果是，則轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求，如果否，則禁止轉(zhuǎn)發(fā)所述點(diǎn)播請(qǐng)求。
基于同樣的發(fā)明構(gòu)思，本發(fā)明還提供一種MBC，應(yīng)用于運(yùn)行組播的視頻監(jiān)控網(wǎng)絡(luò)中，所述MBC包括 注冊(cè)模塊，用于在MBC啟動(dòng)時(shí)，使用MBC的管理IP地址作為源地址向VM發(fā)送注冊(cè)消息；記錄模塊，接收并記錄VM下發(fā)的管轄范圍內(nèi)的用戶(hù)組播權(quán)限分級(jí)列表，獲取并記錄用戶(hù)的用戶(hù)權(quán)限信息，記錄收到用戶(hù)報(bào)文的來(lái)源端口 ；控制模塊，用于在MBC收到用戶(hù)報(bào)文后，根據(jù)所述報(bào)文的來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用戶(hù)的權(quán)限信息建立用戶(hù)端口組播控制表，并用于在收到用戶(hù)的點(diǎn)播請(qǐng)求時(shí)，根據(jù)所述用戶(hù)端口組播控制表判斷用戶(hù)是否具有接收所述組播數(shù)據(jù)的權(quán)限，如果是，則轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求，如果否，則禁止轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求。本發(fā)明通過(guò)上述方法和裝置實(shí)現(xiàn)了對(duì)監(jiān)控組網(wǎng)環(huán)境內(nèi)的用戶(hù)組播的控制，保證了組播視頻數(shù)據(jù)流的接收安全可控，同時(shí)，實(shí)現(xiàn)了能夠靈活配置組播接收權(quán)限，配置簡(jiǎn)單，改動(dòng)小，適用性良好。


圖I是本發(fā)明提供的一種應(yīng)用組網(wǎng)示意圖。圖2是本發(fā)明的方法流程示意圖。圖3是本發(fā)明的裝置模塊示意圖。
具體實(shí)施例方式視頻管理服務(wù)器VM(Video Management)是指包含以下一種或幾種功能的設(shè)備可以集中管理控制監(jiān)控系統(tǒng)中的設(shè)備；可以調(diào)度各種視頻監(jiān)控業(yè)務(wù)；可以管理分配監(jiān)控用戶(hù)權(quán)限。MBC :組播邊緣控制設(shè)備(Multicast Boundary Control Device),啟動(dòng)了動(dòng)態(tài)組播邊界特性的網(wǎng)絡(luò)設(shè)備。本發(fā)明方法主要包括下面的步驟MBC向VM發(fā)起注冊(cè)，接收并記錄來(lái)自VM下發(fā)的用戶(hù)組播權(quán)限分級(jí)列表，其中，所述用戶(hù)組播權(quán)限分級(jí)列表是VM預(yù)先對(duì)管轄內(nèi)的用戶(hù)進(jìn)行規(guī)劃而建立的用戶(hù)權(quán)限和組播地址接收范圍的對(duì)應(yīng)關(guān)系表。MBC接收包含用戶(hù)權(quán)限信息的報(bào)文，記錄用戶(hù)的權(quán)限信息；MBC收到用戶(hù)報(bào)文后，根據(jù)所述報(bào)文的來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用戶(hù)的權(quán)限信息建立用戶(hù)端口組播控制表；MBC收到用戶(hù)的組播點(diǎn)播請(qǐng)求，根據(jù)所述用戶(hù)端口組播控制表判斷用戶(hù)是否具有接收所述組播數(shù)據(jù)的權(quán)限，如果是，則轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求，如果否，則禁止轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求。其中，MBC接收的包含用戶(hù)權(quán)限信息的報(bào)文可能來(lái)自用戶(hù)，也可能來(lái)自VM。當(dāng)所述報(bào)文來(lái)自用戶(hù)時(shí)，MBC根據(jù)報(bào)文的來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用戶(hù)的權(quán)限信息建立用戶(hù)端口組播控制表。當(dāng)所述報(bào)文來(lái)自VM時(shí)，MBC記錄用戶(hù)權(quán)限信息；當(dāng)MBC收到對(duì)應(yīng)用戶(hù)的報(bào)文后，根據(jù)報(bào)文來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用、戶(hù)的權(quán)限信息，MBC建立用戶(hù)端口組播控制表。下面根據(jù)具體的實(shí)例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。步驟1，由VM設(shè)備對(duì)管理范圍內(nèi)的用戶(hù)的權(quán)限進(jìn)行規(guī)劃，并且對(duì)用戶(hù)權(quán)限對(duì)應(yīng)的組播地址接收范圍進(jìn)行規(guī)劃建立用戶(hù)組播權(quán)限分級(jí)列表。如圖I所示的視頻監(jiān)控組網(wǎng)，MBCl部署在網(wǎng)絡(luò)接入邊緣，其下連接有兩個(gè)用戶(hù)，視頻客戶(hù)端VCl和VC2，VM部署在中心區(qū)域，VM對(duì)全局用戶(hù)進(jìn)行用戶(hù)權(quán)限的劃分，比如將VCl規(guī)劃為高權(quán)限用戶(hù)，將VC2規(guī)劃為低權(quán)限用戶(hù)；VM還對(duì)用戶(hù)權(quán)限與組播組地址接收范圍進(jìn)行對(duì)應(yīng)，如表I所示，這里以分為四級(jí)為示例，在實(shí)際使用中，用戶(hù)可以根據(jù)實(shí)際情況設(shè)置用戶(hù)權(quán)限分級(jí)，同時(shí)，這里的Gl、G2、G3表示連續(xù)的組播組地址范圍，G1+G2+G3組成全部的
組播地址范圍，當(dāng)然在實(shí)際使用中，用戶(hù)可以根據(jù)實(shí)際使用需要將可支配的組播地址按照自定義的某一規(guī)則進(jìn)行分組來(lái)表示用戶(hù)的可以接收組播組的地址范圍。
權(quán)利要求
1.一種組播安全管理方法，應(yīng)用于組播邊界控制設(shè)備MBC上，其特征在于，所述方法包括 A、MBC向視頻管理服務(wù)器VM發(fā)起注冊(cè)，接收并記錄來(lái)自VM下發(fā)的用戶(hù)組播權(quán)限分級(jí)列表，其中，所述用戶(hù)組播權(quán)限分級(jí)列表是VM預(yù)先對(duì)管轄內(nèi)的用戶(hù)進(jìn)行規(guī)劃而建立的用戶(hù)權(quán)限和組播地址接收范圍的對(duì)應(yīng)關(guān)系表； B、MBC獲取并記錄用戶(hù)權(quán)限信息；在180收到用戶(hù)報(bào)文后，根據(jù)所述報(bào)文的來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用戶(hù)的權(quán)限信息建立用戶(hù)端口組播控制表； C、當(dāng)MBC收到用戶(hù)的組播點(diǎn)播請(qǐng)求時(shí)，根據(jù)所述用戶(hù)端口組播控制表判斷用戶(hù)是否具有接收所述組播數(shù)據(jù)的權(quán)限，如果是，則轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求，如果否，則禁止轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求。
2.根據(jù)權(quán)利要求I所述的方法，其特征在于，步驟B進(jìn)一步包括所述用戶(hù)權(quán)限信息是VM或者用戶(hù)通過(guò)控制報(bào)文發(fā)送的。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于，步驟B具體為MBC接收來(lái)自VM的包含用戶(hù)權(quán)限信息的報(bào)文，記錄用戶(hù)權(quán)限信息；當(dāng)MBC收到用戶(hù)報(bào)文后，根據(jù)報(bào)文來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用戶(hù)的權(quán)限信息建立用戶(hù)端口組播控制表。
4.根據(jù)權(quán)利要求I至3任一所述的方法，其特征在于，所述方法進(jìn)一步包括所述MBC定期通過(guò)控制報(bào)文獲取用戶(hù)權(quán)限信息，并相應(yīng)更新所述用戶(hù)報(bào)文的來(lái)源端口狀態(tài)；當(dāng)所述MBC在超時(shí)后沒(méi)有收到所述包括用戶(hù)權(quán)限信息的控制報(bào)文，則將用戶(hù)端口組播控制表端口的狀態(tài)更新為初始狀態(tài)。
5.根據(jù)權(quán)利要求I所述的方法，其特征在于，所述MBC向VM發(fā)起注冊(cè)的報(bào)文中攜帶有自身直連的網(wǎng)段信息，以使VM知曉所述MBC管轄的用戶(hù)的地址范圍用以確認(rèn)用戶(hù)的歸屬M(fèi)BC。
6.一種MBC，應(yīng)用于運(yùn)行組播的視頻監(jiān)控網(wǎng)絡(luò)中，其特征在于，所述MBC包括 注冊(cè)模塊，用于在MBC啟動(dòng)時(shí)，使用MBC的管理IP地址作為源地址向VM發(fā)送注冊(cè)消息； 記錄模塊，接收并記錄VM下發(fā)的管轄范圍內(nèi)的用戶(hù)組播權(quán)限分級(jí)列表，獲取并記錄用戶(hù)的用戶(hù)權(quán)限信息，記錄收到用戶(hù)報(bào)文的來(lái)源端口 ； 控制模塊，用于在MBC收到用戶(hù)報(bào)文后，根據(jù)所述報(bào)文的來(lái)源端口、記錄的用戶(hù)組播權(quán)限分級(jí)列表以及所述用戶(hù)的權(quán)限信息建立用戶(hù)端口組播控制表，并用于在收到用戶(hù)的點(diǎn)播請(qǐng)求時(shí)，根據(jù)所述用戶(hù)端口組播控制表判斷用戶(hù)是否具有接收所述組播數(shù)據(jù)的權(quán)限，如果是，則轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求，如果否，則禁止轉(zhuǎn)發(fā)所述組播點(diǎn)播請(qǐng)求。
7.根據(jù)權(quán)利要求6所述的MBC，其特征在于，其中所述用戶(hù)權(quán)限信息是VM或者用戶(hù)通過(guò)控制報(bào)文發(fā)送的。
8.根據(jù)權(quán)利要求6所述的MBC，其特征在于，所述注冊(cè)模塊進(jìn)一步包括 攜帶所述MBC自身直連的網(wǎng)段信息向VM發(fā)起注冊(cè)，以使所述VM知曉所述MBC管轄的用戶(hù)的地址范圍以確認(rèn)用戶(hù)的歸屬M(fèi)BC。
9.根據(jù)權(quán)利要求6所述的MBC，其特征在于，所述MBC進(jìn)一步包括 更新模塊，周期性的接收包括用戶(hù)權(quán)限信息的控制報(bào)文，根據(jù)所述報(bào)文的來(lái)源端口，更新所述端口狀態(tài)，當(dāng)超時(shí)后沒(méi)有收到所述包括用戶(hù)權(quán)限信息的控制報(bào)文，則將所述在用戶(hù)端口組播控制表將來(lái)源的端口的狀態(tài)更新為初始狀態(tài)。
10.根據(jù)權(quán)利要求6所述的MBC，其特征在于，所述MBC進(jìn)一步包括 狀態(tài)模塊，用于控制所述控制模塊是否使能。
全文摘要
本發(fā)明提供一種組播安全管理方法，所述方法包括MBC向VM發(fā)起注冊(cè)，注冊(cè)成功后，接收來(lái)自VM下發(fā)的用戶(hù)組播權(quán)限分級(jí)列表，M BC接收并記錄用戶(hù)組播權(quán)限分級(jí)列表，當(dāng)M BC接收包含用戶(hù)的權(quán)限信息的報(bào)文，記錄用戶(hù)的權(quán)限信息；MBC收到用戶(hù)報(bào)文后，建立用戶(hù)端口組播控制表，并根據(jù)所述用戶(hù)組播端口控制控制用戶(hù)的組播數(shù)據(jù)轉(zhuǎn)發(fā)，如果是合法用戶(hù)，則轉(zhuǎn)發(fā)，如果是非法接入的用戶(hù)，則禁止轉(zhuǎn)發(fā)，基于同樣的思想，本發(fā)明還提供了一種MBC設(shè)備，應(yīng)用本發(fā)明可以有效管控監(jiān)控組網(wǎng)中的組播流，防止用戶(hù)非法點(diǎn)播組播，且配置簡(jiǎn)單，適用性強(qiáng)。
文檔編號(hào)H04L12/18GK102655458SQ20121012135
公開(kāi)日2012年9月5日 申請(qǐng)日期2012年4月23日 優(yōu)先權(quán)日2012年4月23日
發(fā)明者周迪, 王連朝 申請(qǐng)人:浙江宇視科技有限公司