CN102655458B - 一种组播安全管理方法及组播边界控制设备 - Google Patents
一种组播安全管理方法及组播边界控制设备 Download PDFInfo
- Publication number
- CN102655458B CN102655458B CN201210121356.1A CN201210121356A CN102655458B CN 102655458 B CN102655458 B CN 102655458B CN 201210121356 A CN201210121356 A CN 201210121356A CN 102655458 B CN102655458 B CN 102655458B
- Authority
- CN
- China
- Prior art keywords
- user
- multicast
- mbc
- message
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种组播安全管理方法,所述方法包括:MBC向VM发起注册,注册成功后,接收来自VM下发的用户组播权限分级列表,M BC接收并记录用户组播权限分级列表,当M BC接收包含用户的权限信息的报文,记录用户的权限信息;MBC收到用户报文后,建立用户端口组播控制表,并根据所述用户组播端口控制用户的组播数据转发,如果是合法用户,则转发,如果是非法接入的用户,则禁止转发,基于同样的思想,本发明还提供了一种MBC设备,应用本发明可以有效管控监控组网中的组播流,防止用户非法点播组播,且配置简单,适用性强。
Description
技术领域
本发明涉及组播管理技术,尤其涉及在视频监控的组网环境下的组播安全管理的技术。
背景技术
随着视音频编解码技术和网络存储技术的发展,将摄像机的图像数据数字化,并在Internet网络上传输、存储形成了数字视频监控技术。
在IP视频监控系统中,主要由前端编码设备、后端解码设备、中心管理服务器和中心存储设备组成。在当前的系统中,实时视频监控数据是通过单播发送给接收者的,因为编码设备的能力有限,因此在存在多个接收者时,往往出现部分访问者无法接收到实时视频数据。为了解决这一问题,媒体处理设备应运而生,媒体处理设备主要完成单条实时视频数据的接收,并复制多条单播流发送到接收者。
在1:N(一个源端对应多个接收端)的模式下,采用媒体处理设备的会导致单播数据在网络中快速增长,网络设备带宽不足,或者是媒体处理设备复制转发性能不足从而无法满足接收者需求。
在视频监控系统中,为了节约网络带宽,经常采用组播方式发送实时视频数据,而接收者只需要加入相应的组播组即可接收到视频数据,组播的应用节约了网络的带宽,但是,同时也带来了安全管理问题。如图1所示的组网环境中,有很多VC,有些是合法的,但如果有一台非法的VC接入网络后,并且与授权用户在同一个交换机的同一个VLAN下,那么此非法VC可以通过在自己的网口抓IGMP协议包的方法得到授权用户正在接收的流量组播组地址,然后发送对应的IGMP Report报文,进行流量窃听;或者该非法用户直接通过发送海量的IGMP Report报文,进行组播组的扫描加入,将整网中的组播流都引到其接收端口上进行窃听;甚至直接窃取某个合法用户的IP地址,仿冒合法用户进行加入组播,获取视频监控信息,上述做法均会给视频监控组网带来安全隐患。
发明内容
有鉴于此,本发明提供一种组播安全管理方法,包括:
A MBC向视频管理服务器VM发起注册,接收并记录来自VM下发的用户组播权限分级列表,其中,所述用户权限分级列表是VM预先对管辖内的用户预先进行规划而建立的用户权限和组播地址接收范围的对应关系表;
B MBC获取并记录用户权限信息;并在MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表;
C当MBC收到用户的组播点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述点播请求。
基于同样的发明构思,本发明还提供一种MBC,应用于运行组播的视频监控网络中,所述MBC包括:
注册模块,用于在MBC启动时,使用MBC的管理IP地址作为源地址向VM发送注册消息;
记录模块,接收并记录VM下发的管辖范围内的用户组播权限分级列表,获取并记录用户的用户权限信息,记录收到用户报文的来源端口;
控制模块,用于在MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表,并用于在收到用户的点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。
本发明通过上述方法和装置实现了对监控组网环境内的用户组播的控制,保证了组播视频数据流的接收安全可控,同时,实现了能够灵活配置组播接收权限,配置简单,改动小,适用性良好。
附图说明
图1是本发明提供的一种应用组网示意图。
图2是本发明的方法流程示意图。
图3是本发明的装置模块示意图。
具体实施方式
视频管理服务器VM(Video Management)是指包含以下一种或几种功能的设备:可以集中管理控制监控系统中的设备;可以调度各种视频监控业务;可以管理分配监控用户权限。
MBC:组播边缘控制设备(Multicast Boundary Control Device),启动了动态组播边界特性的网络设备。
本发明方法主要包括下面的步骤:
MBC向VM发起注册,接收并记录来自VM下发的用户组播权限分级列表,其中,所述用户组播权限分级列表是VM预先对管辖内的用户进行规划而建立的用户权限和组播地址接收范围的对应关系表。
MBC接收包含用户权限信息的报文,记录用户的权限信息;MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表;
MBC收到用户的组播点播请求,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。
其中,MBC接收的包含用户权限信息的报文可能来自用户,也可能来自VM。当所述报文来自用户时,MBC根据报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表。当所述报文来自VM时,MBC记录用户权限信息;当MBC收到对应用户的报文后,根据报文来源端口、记录的用户组播权限分级列表以及所述用户的权限信息,MBC建立用户端口组播控制表。
下面根据具体的实例对本发明进行详细说明。
步骤1,由VM设备对管理范围内的用户的权限进行规划,并且对用户权限对应的组播地址接收范围进行规划建立用户组播权限分级列表。
如图1所示的视频监控组网,MBC1部署在网络接入边缘,其下连接有两个用户,视频客户端VC1和VC2,VM部署在中心区域,VM对全局用户进行用户权限的划分,比如将VC1规划为高权限用户,将VC2规划为低权限用户;VM还对用户权限与组播组地址接收范围进行对应,如表1所示,这里以分为四级为示例,在实际使用中,用户可以根据实际情况设置用户权限分级,同时,这里的G1、G2、G3表示连续的组播组地址范围,G1+G2+G3组成全部的组播地址范围,当然在实际使用中,用户可以根据实际使用需要将可支配的组播地址按照自定义的某一规则进行分组来表示用户的可以接收组播组的地址范围。
| 用户权限 | 组播组地址接收范围 |
| 高 | 全部(G1+G2+G3) |
| 中 | G2+G3 |
| 低 | G3 |
| 无 | 无 |
表1用户组播权限分级列表
步骤2:在MBC1配置管理IP地址IP1,MBC1设备上线启动后,向VM发送MBC注册消息,承载该消息的报文格式等具体实现可以采用现有的SIP报文格式来实现,或者是采用私有消息来实现。其中,该MBC的管理IP地址可以作为其下连接的各个VC的网关地址,如此一来VM就可以获知该MBC管辖的VC的IP地址范围,即知道其管辖哪些VC。这里使用MBC的管理IP地址作为各VC的网关地址只是一种实现形式,在具体实现中,只要能够实现VM知晓MBC管理的VC地址范围即可,例如,MBC在向VM注册时,同时携带自己直连的网络段信息。比如,MBC与VM上行连接的地址为10.10.10.1,自己直连的网络段包括10.10.1.x/24;10.10.2.x/24。那么VM就知道来自网络10.10.1.x/24和网络10.10.2.x/24的VC应该属于该MBC。
步骤3:VM在收到MBC1注册消息后,将上述用户组播权限分级列表发送给MBC1,下面以表1的用户权限分级示意表进行示例说明。
步骤4:MBC1根据接收到的用户组播权限分级列表建立一张端口组播控制表,MBC1先初始化用户端口组播控制表,很明显的是,在初始的时候各端口没有可以接受的组播地址范围,具体如表2所示:
表2端口组播控制表
步骤5:VC1在MBC的端口2接入,VC1向VM发送注册信息,具体的交互报文可以采用现有的SIP报文实现,也可以是VC与VM间的私有消息,VC1在注册报文中携带有自身的用户标识、IP地址和/或接入网关地址等信息。
步骤6:VM判断VC1的所属MBC和用户权限信息,如果注册成功,通知VC1向其所属的MBC1发送控制报文来通告VC1自身的用户权限信息。
其中,在上述步骤中,用户VC1自身的权限信息,也可以由VM发送控制报文告知MBC1,或者通知VC1发送信息告知MBC1时,自身也发报文告知MBC1所述VC1的用户权限,从而增强用户权限信息的可靠性,防止用户上报权限信息的报文被非法用户截取或修改。
步骤7:VC1收到VM通知后,向MBC1发送携带自身权限信息的控制报文。MBC1接收到VC1的控制报文后,获取并记录报文中携带的用户权限信息,并判断该用户报文的来源端口,例如为端口2;,若VC1用户权限权限为高,则更新表2所示端口组播控制表如表3所示:
| 端口 | 禁止接收组范围 |
| Port1 | G1+G2+G3 |
| Port2 | 无 |
| Port3 | G1+G2+G3 |
| ... | G1+G2+G3 |
表3更新后的端口组播控制表
或者
步骤7’:VM向MBC1发送包含VC1用户权限信息的控制报文,MBC1获取并记录下VC1的用户权限,当MBC1收到来自VC1的IGMP请求报文或者其他用户报文后,通过运行IGSP(Internet Group Management Protocol Snooping,互联网组管理协议窥探)获知报文的来源端口,根据报文的来源端口,以及记录的VC1的用户权限,更新端口组播控制表。
步骤8:当VC1点播某摄像机组播实时视频时,VC1通过端口2向MBC1发送组播点播请求,例如IGMP加入消息,请求加入所述视频所属的组G1。
步骤9:MBC1判断G1不在port2的禁止接收组范围内,则转发所述组播点播请求,后续则根据IGSP实现正常的组播转发。
如果有非法用户通过端口1非法接入,通过组播组地址扫描,得知存在组播组地址G1和/或G2,当其发送IGMP加入消息请求加入组G1或G2时,MBC1根据已有的端口组播控制表判断G1或G2在port1的禁止接收组范围内,则丢弃该消息。
VC可以周期性的向MBC通告自己的用户权限信息,MBC据此更新对应的端口组播控制表项。当MBC在超时没有收到用户发送的包括用户权限信息的控制报文则老化该端口为初始状态。另外,如果VM判断VC退出后,VM直接通知MBC1将该VC源地址的端口恢复为初始状态。
在上述实施方式中,为了保证与其他设备的兼容性,动态组播边界特性的功能可以选择基于端口开启或者关闭。当某个端口开启动态组播边界特性后,所述端口执行上述的流程,根据所述用户端口组播控制表控制用户组播接收。当某个端口未开启动态组播边界特性时,处理组播的流程不受影响,按照原来流程处理。
在本发明的一种实施例中,同时提供一种MBC,应用于运行组播的视频监控网络中,所述MBC包括:
注册模块,用于在MBC启动时,使用MBC的管理IP地址作为源地址向VM发送注册消息;
记录模块,接收并记录VM下发的管辖范围内的用户组播权限分级列表,获取并记录用户的用户权限信息,记录收到用户报文的来源端口;
控制模块,用于在MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表,并用于在收到用户的点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。
其中,所述注册模块进一步包括:
携带所述MBC自身直连的网段信息向VM发起注册,以使所述VM知晓所述MBC管辖的用户的地址范围。
所述MBC进一步包括:
更新模块,周期性的接收包括用户权限信息的控制报文,根据所述报文的来源端口,更新所述端口状态,在超时后没有收到所述包括用户权限信息的控制报文,则将所述在用户端口组播控制表将来源的端口的状态更新为初始状态。
状态模块,用于控制所述控制模块是否使能,如果控制模块的状态为开启状态,则按照所述控制模块中的用户端口组播控制表对用户的点播请求以及组播流接收进行控制,如果为关闭状态,则按照现有的正常流程转发。
以上所述仅仅为本发明较佳的实现方式,任何基于本发明精神所做出的等同的修改皆应涵盖于本发明的权利要求范围中。
Claims (8)
1.一种组播安全管理方法,应用于组播边界控制设备MBC上,其特征在于,所述方法包括:
A、MBC向视频管理服务器VM发起注册,接收并记录来自VM下发的用户组播权限分级列表,其中,所述用户组播权限分级列表是VM预先对管辖内的用户进行规划而建立的用户权限和组播地址接收范围的对应关系表;
B、MBC获取并记录用户权限信息;在MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表,所述用户权限信息携带在所述用户向其所属MBC发送的控制报文中,同时,携带在所述VM向该MBC发送的控制报文中,其中,所述用户发送的控制报文由所述VM在确认所述用户注册成功后,通知所述用户向其所属MBC发送;
C、当MBC收到用户的组播点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。
2.根据权利要求1所述的方法,其特征在于,步骤B具体为:MBC接收来自VM的包含用户权限信息的报文,记录用户权限信息;当MBC收到用户报文后,根据报文来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表。
3.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括:所述MBC定期通过控制报文获取用户权限信息,并相应更新所述用户报文的来源端口状态;当所述MBC在超时后没有收到所述包括用户权限信息的控制报文,则将用户端口组播控制表中的来源端口状态更新为初始状态。
4.根据权利要求1所述的方法,其特征在于,所述MBC向VM发起注册的报文中携带有自身直连的网段信息,以使VM知晓所述MBC管辖的用户的地址范围用以确认用户的归属MBC。
5.一种组播边界控制设备MBC,应用于运行组播的视频监控网络中,其特征在于,所述MBC包括:
注册模块,用于在MBC启动时,使用MBC的管理IP地址作为源地址向VM发送注册消息;
记录模块,接收并记录VM下发的管辖范围内的用户组播权限分级列表,获取并记录用户的用户权限信息,记录收到用户报文的来源端口,所述用户权限信息携带在所述用户向其所属MBC发送的控制报文中,同时,携带在所述VM向该MBC发送的控制报文中,其中,所述用户发送的控制报文由所述VM在确认所述用户注册成功后,通知所述用户向其所属MBC发送;
控制模块,用于在MBC收到用户报文后,根据所述报文的来源端口、记录的用户组播权限分级列表以及所述用户的权限信息建立用户端口组播控制表,并用于在收到用户的点播请求时,根据所述用户端口组播控制表判断用户是否具有接收所述组播数据的权限,如果是,则转发所述组播点播请求,如果否,则禁止转发所述组播点播请求。
6.根据权利要求5所述的MBC,其特征在于,所述注册模块进一步包括:
携带所述MBC自身直连的网段信息向VM发起注册,以使所述VM知晓所述MBC管辖的用户的地址范围以确认用户的归属MBC。
7.根据权利要求5所述的MBC,其特征在于,所述MBC进一步包括:
更新模块,周期性的接收包括用户权限信息的控制报文,根据所述报文的来源端口,更新所述端口状态,当超时后没有收到所述包括用户权限信息的控制报文,则将用户端口组播控制表中的来源端口状态更新为初始状态。
8.根据权利要求5所述的MBC,其特征在于,所述MBC进一步包括:
状态模块,用于控制所述控制模块是否使能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210121356.1A CN102655458B (zh) | 2012-04-23 | 2012-04-23 | 一种组播安全管理方法及组播边界控制设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210121356.1A CN102655458B (zh) | 2012-04-23 | 2012-04-23 | 一种组播安全管理方法及组播边界控制设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102655458A CN102655458A (zh) | 2012-09-05 |
| CN102655458B true CN102655458B (zh) | 2015-10-14 |
Family
ID=46730985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210121356.1A Active CN102655458B (zh) | 2012-04-23 | 2012-04-23 | 一种组播安全管理方法及组播边界控制设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102655458B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102905199B (zh) * | 2012-09-28 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种组播业务实现方法及其设备 |
| CN105791318B (zh) * | 2016-04-29 | 2019-04-12 | 浙江宇视科技有限公司 | 一种组播安全接入装置及方法 |
| CN115623253B (zh) * | 2022-12-02 | 2023-04-07 | 浙江宇视科技有限公司 | 场景感知的视频流管理方法、系统、设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1540920A (zh) * | 2003-04-23 | 2004-10-27 | 华为技术有限公司 | 可控组播业务的实现方法 |
| CN101202715A (zh) * | 2007-11-27 | 2008-06-18 | 杭州华三通信技术有限公司 | 组播权限自动部署方法和装置 |
| CN102340511A (zh) * | 2011-11-03 | 2012-02-01 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
-
2012
- 2012-04-23 CN CN201210121356.1A patent/CN102655458B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1540920A (zh) * | 2003-04-23 | 2004-10-27 | 华为技术有限公司 | 可控组播业务的实现方法 |
| CN101202715A (zh) * | 2007-11-27 | 2008-06-18 | 杭州华三通信技术有限公司 | 组播权限自动部署方法和装置 |
| CN102340511A (zh) * | 2011-11-03 | 2012-02-01 | 杭州华三通信技术有限公司 | 一种安全控制方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102655458A (zh) | 2012-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20050111474A1 (en) | IP multicast communication system | |
| US8867355B2 (en) | MoCA multicast handling | |
| KR100859712B1 (ko) | 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법 | |
| EP1480405A1 (en) | System and implementation method of controlled multicast | |
| CN1801711B (zh) | 一种组播组成员认证方法和装置 | |
| KR100842284B1 (ko) | 차세대 네트워크 망에서 iptv 서비스 제공 시스템 및방법 | |
| CN101505414B (zh) | 视频监控系统接入不同网络方式前端设备的实现方法 | |
| US8937858B2 (en) | Reducing access network congestion caused by oversubscription of multicast groups | |
| EP2457349A1 (en) | Method and device for a light host management protocol on multicast capable router | |
| CN101202715B (zh) | 组播权限自动部署方法和装置 | |
| US7327730B2 (en) | Data packet transmission method and network switch applying same thereto | |
| CN102946525A (zh) | 一种组播业务管理装置及转发装置 | |
| CN102655458B (zh) | 一种组播安全管理方法及组播边界控制设备 | |
| CN101309157B (zh) | 一种组播业务管理方法及其装置 | |
| CN102368707B (zh) | 一种组播控制的方法、设备及系统 | |
| EP2457348B1 (en) | Efficient host management protocol on multicast capable router | |
| CN102685117A (zh) | 一种组播安全管理方法及装置 | |
| CN103634274A (zh) | 一种视频安全交换方法及系统 | |
| CN201571068U (zh) | 一种网络系统、保护管理装置 | |
| KR100670786B1 (ko) | 가입자 프로파일을 이용하여 ip 방송 서비스를선택적으로 제공하는 장치 및 그 방법 | |
| CN101924641B (zh) | 组播源信息处理方法、装置及系统 | |
| CN105791318A (zh) | 一种组播安全接入装置及方法 | |
| CN101409704A (zh) | 组播成员管理协议的处理方法及装置 | |
| CN101409628A (zh) | 一种点到多点光网络中实现组播控制的方法 | |
| WO2018108168A1 (zh) | 分组传送网的组播业务实现方法及其装置、通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |