[go: up one dir, main page]

CN105791318B - 一种组播安全接入装置及方法 - Google Patents

一种组播安全接入装置及方法 Download PDF

Info

Publication number
CN105791318B
CN105791318B CN201610279594.3A CN201610279594A CN105791318B CN 105791318 B CN105791318 B CN 105791318B CN 201610279594 A CN201610279594 A CN 201610279594A CN 105791318 B CN105791318 B CN 105791318B
Authority
CN
China
Prior art keywords
multicast
source
address
unit
management server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610279594.3A
Other languages
English (en)
Other versions
CN105791318A (zh
Inventor
周迪
余剑声
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Uniview Technologies Co Ltd
Original Assignee
Zhejiang Uniview Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Uniview Technologies Co Ltd filed Critical Zhejiang Uniview Technologies Co Ltd
Priority to CN201610279594.3A priority Critical patent/CN105791318B/zh
Publication of CN105791318A publication Critical patent/CN105791318A/zh
Application granted granted Critical
Publication of CN105791318B publication Critical patent/CN105791318B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种组播安全接入装置及方法,所述组播安全接入装置包括第一单元和第二单元,组播源侧的第一单元通过在第一单元以及接入组播源的二层交换机的端口上应用不同的访问控制列表,使第一单元以及接入组播源的二层交换只转发合法注册的组播源发送的组播数据包,不转发非法的组播源发送的任何组播数据包,实现了对组播源的控制。组播接收设备侧的第二单元通过在第二单元以及接入组播接收设备的二层交换的端口上应用不同的访问控制列表,使第二单元以及接入组播源的二层交换只接受合法注册的组播接收设备发送的加入其有权限加入的组播组的IGMP消息,不接收非法的组播接收设备发送的任何IGMP消息,实现了对组播接收设备的控制。

Description

一种组播安全接入装置及方法
技术领域
本发明属于数据传输领域,尤其涉及一种组播安全接入装置及方法。
背景技术
组播技术解决了数据包的单点发送、多点接收的问题,实现了数据包在IP网络中点到多点的高效传送,能够大量节约网络带宽、降低网络负载。
组播技术带来诸多优点的同时,也存在着不可控的问题。首先,组播用户可以随意加入和退出一个组播组,而网络管理者却无法控制用户加入和退出组播组,从而无法保证只有合法的组播用户能够接收组播数据;其次,在组播网络中,管理者同样无法对组播源进行控制,从而使非法的组播数据在组播网络中进行传播成为可能。基于上述的原因,在IP监控系统中部署组播时,同样需要能够对组播源、组播接收者进行相应的控制,保证视频组播数据由合法的组播源进行发送,并且由合法的组播接收者进行接收,实现视频监控数据在组播中安全可靠的传输。
发明内容
本发明的目的是提供一种组播安全接入装置及方法,以解决现有组播技术中组播源和组播接收者不可控的问题。
为了实现上述目的,本发明技术方案如下:
一种组播安全接入装置,用于在组播网络中对组播源及组播接收设备进行管理和控制,所述组播网络中设置有管理服务器,所述组播安全接入装置包括第一单元和第二单元,所述第一单元包括组播源检测模块和第一组播安全模块,所述第二单元包括组播接收设备检测模块和第二组播安全模块,其中:
所述组播源检测模块,用于在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表;
所述第一组播安全模块,用于根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包;
所述组播接收设备检测模块,用于在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、登录用户有权限加入的组播组的组播接收设备信息列表;
所述第二组播安全模块,用于根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
进一步地,所述组播源检测模块在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源列表,包括:
组播源检测模块在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并将所有组播源的IP地址记录在组播源IP地址表中;
组播源检测模块将组播源IP地址表发送给管理服务器,管理服务器查询组播源注册表,得到所有合法注册到管理服务器的组播源的IP地址以及分配给每个合法注册到管理服务器的组播源的组播地址,然后在组播源的IP地址表中每个合法注册到管理服务器的组播源的IP地址后面加入该组播源的组播地址,生成一个包含组播源IP地址以及组播源对应的组播地址的组播源信息列表,然后管理服务器将组播源信息列表发送给组播源检测模块。
进一步地,所述第一组播安全模块根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包,包括:
第一组播安全模块查询接入组播源的第一单元或二层交换机的ARP表,得到第一单元或二层交换机接入组播源的端口号,然后将接入组播源的设备名称及端口号加入组播源信息列表中,生成一个包含组播源IP地址、组播源对应的组播地址以及接入组播源的设备名称及端口号的组播源安全策略表;
第一组播安全模块根据组播源安全策略表生成针对每个组播源的访问控制列表,其中针对在管理服务器上合法注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为分配给该组播源的组播地址的允许条目,针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意组播地址的禁止条目,并将针对每个组播源的访问控制列表应用于该组播源接入的第一单元或二层交换机的端口上,使合法注册的组播源所接入的第一单元或二层交换机的端口只转发源IP地址为该合法注册的组播源的IP地址、目的IP地址为管理服务器分配给该合法注册的组播源的组播地址的组播数据包,使没有合法注册的组播源所接入的第一单元或二层交换机的端口不转发该组播源发送的任何组播数据包。
进一步地,所述组播接收设备检测模块在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、通过组播接收设备登录用户有权限加入的组播组的组播接收设备信息列表,包括:
组播接收设备检测模块在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并将所有组播接收设备的IP地址记录在组播接收设备IP地址表中;
组播接收设备检测模块将组播接收设备IP地址表发送给管理服务器,管理服务器查询组播接收设备注册表,得到所有合法注册的组播接收设备的IP地址、通过每个组播接收设备登录管理服务器的用户以及每个登录管理服务器的用户有权限访问的组播组列表,然后在组播接收设备信息列表中每个合法注册的组播接收设备的IP地址后加入通过该组播接收设备登录管理服务器的用户有权限加入的组播组列表,生成一个包括组播接收设备的IP地址及通过组播接收设备登录用户有权限加入的组播组列表的组播接收设备信息列表,管理服务器将组播接收设备信息列表发送给组播接收设备检测模块。
进一步地,所述第二组播安全模块根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组,包括:
第二组播安全模块查询接入组播接收设备的第二单元或二层交换机的ARP表,得到第二单元或二层交换接入组播接收设备的端口号,然后将接入组播接收设备的设备名称及端口号加入组播接收设备信息列表中,生成一个包含组播接收设备IP地址、组播接收设备对应的组播组列表以及接入组播接收设备的设备名称及端口号的组播接收设备安全策略表;
第二组播安全模块根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,其中针对在管理服务器上合法注册的组播接收设备的访问控制列表的允许条目中只包含组播接收设备安全策略表中该组播接收设备对应的组播组列表中的组播地址,针对没有在管理服务器上注册的组播接收设备的访问控制列表包含一条源IP地址为该组播接收设备的IP地址、协议类型为IGMP的禁止条目,并将针对每个组播接收设备的访问控制列表应用于该组播接收设备接入的二层交换机或第二单元的端口上,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
本发明还提供了一种组播安全接入方法,用于在组播网络中对组播源及组播接收设备进行管理和控制,所述组播网络中设置有管理服务器,所述组播网络还包括用于对组播源进行接入控制的第一单元和用于对组播接收设备进行接入控制的第二单元,所述组播安全接入方法包括:
第一单元在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表;
第一单元根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包;
第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、登录用户有权限加入的组播组的组播接收设备信息列表;
第二单元根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
进一步地,所述第一单元检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表,包括:
在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并将所有组播源的IP地址记录在组播源IP地址表中;
将组播源IP地址表发送给管理服务器,管理服务器查询组播源注册表,得到所有合法注册到管理服务器的组播源的IP地址以及分配给每个合法注册到管理服务器的组播源的组播地址,然后在组播源的IP地址表中每个合法注册到管理服务器的组播源的IP地址后面加入该组播源的组播地址,生成一个包含组播源IP地址以及组播源对应的组播地址的组播源信息列表,然后管理服务器将组播源信息列表发送给第一单元。
进一步地,所述第一单元根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包,包括:
第一单元查询接入组播源的第一单元或二层交换机的ARP表,得到第一单元或二层交换机接入组播源的端口号,然后将接入组播源的设备名称及端口号加入组播源信息列表中,生成一个包含组播源IP地址、组播源对应的组播地址以及接入组播源的设备名称及端口号的组播源安全策略表;
第一单元根据组播源安全策略表生成针对每个组播源的访问控制列表,其中针对在管理服务器上合法注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为分配给该组播源的组播地址的允许条目,针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意组播地址的禁止条目,并将针对每个组播源的访问控制列表应用于该组播源接入的第一单元或二层交换机的端口上,使合法注册的组播源所接入的第一单元或二层交换机的端口只转发源IP地址为该合法注册的组播源的IP地址、目的IP地址为管理服务器分配给该合法注册的组播源的组播地址的组播数据包,使没有在合法注册的组播源所接入的第一单元或二层交换机的端口不转发该组播源发送的任何组播数据包。
进一步地,所述第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、通过组播接收设备登录用户有权限加入的组播组的组播接收设备信息列表,包括:
第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并将所有组播接收设备的IP地址记录在组播接收设备IP地址表中;
第二单元将组播接收设备IP地址表发送给管理服务器,管理服务器查询组播接收设备注册表,得到所有合法注册的组播接收设备的IP地址、通过每个组播接收设备登录管理服务器的用户以及每个登录管理服务器的用户有权限访问的组播组列表,然后在组播接收设备信息列表中每个合法注册的组播接收设备的IP地址后加入通过该组播接收设备登录管理服务器的用户有权限加入的组播组列表,生成一个包括组播接收设备的IP地址及通过组播接收设备登录用户有权限加入的组播组列表的组播接收设备信息列表,管理服务器将组播接收设备信息列表发送给第二单元。
进一步地,所述第二单元根根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组,包括:
第二单元查询接入组播接收设备的第二单元或二层交换机的ARP表,得到接入组播接收设备的端口号,然后将接入组播接收设备的设备名称及端口号加入组播接收设备信息列表中,生成一个包含组播接收设备IP地址、组播接收设备对应的组播组列表以及接入组播接收设备的设备名称及端口号的组播接收设备安全策略表;
第二单元根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,其中针对在管理服务器上合法注册的组播接收设备的访问控制列表的允许条目中只包含组播接收设备安全策略表中该组播接收设备对应的组播组列表中的组播地址,针对没有在管理服务器上注册的组播接收设备的访问控制列表包含一条源IP地址为该组播接收设备的IP地址、协议类型为IGMP的禁止条目,并将针对每个组播接收设备的访问控制列表应用于该组播接收设备接入的二层交换机或第二单元的端口上,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
本发明提出了一种组播安全接入装置及方法,通过在组播源侧使用组播安全接入装置来控制组播源,只转发在管理服务器上合法注册的组播源发送的组播数据包,对非法的组播源发送的组播数据包直接丢弃,在组播接收设备侧加入组播安全接入装置来控制组播接收者,只允许在管理服务器上合法注册的组播接收设备加入其有权限的组播组,使非法的组播接收设备不能加入任何组播组,解决了现有技术中不能对组播源和组播接收设备进行管理和控制的问题。
附图说明
图1为本发明组播安全接入装置的结构图;
图2为本实施例组播安全接入装置的网络拓扑图;
图3为本发明组播安全接入方法的流程图。
具体实施方式
下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
本实施例一种组播安全接入装置,如图1所示,包括第一单元和第二单元,第一单元包括组播源检测模块和第一组播安全模块,第二单元包括组播接收设备检测模块和第二组播安全模块。现有组播网络中,组播源以及组播接收设备一般通过二层交换机接入组播网络,本实施例中组播源直接接入第一单元或先接入二层交换机,通过二层交换机来接入第一单元;组播接收设备直接接入第二单元或先接入二层交换机,通过二层交换机来接入第二单元。本实施例的组播安全接入装置中预先配置有二层交换机的管理IP地址,用于对二层交换机进行管理和配置,本实施例的组播安全接入装置中还预先配置有管理服务器的IP地址,用于和管理服务器交互在管理服务器中合法注册的组播源或组播接收设备的信息。
本实施例中,第一单元用于对组播源进行管理和控制。首先,组播源检测模块对接入的所有组播源进行检测,本实施例组播源检测模块对发送到第一单元的所有IP数据包进行监测,当组播源检测模块监测到组播数据包时,查询第一单元的ARP表,得到所有组播源的IP地址并记录在组播源IP地址表中。
组播源检测模块查询管理服务器的组播源注册表,得到所有合法注册到管理服务器的组播源的IP地址以及分配给每个合法注册到管理服务器的组播源的组播地址,然后在组播源的IP地址表中每个合法注册到管理服务器的组播源的IP地址后面加入该组播源的组播地址,生成一个包含组播源IP地址以及组播源对应的组播地址的组播源信息列表。
本实施例中组播源信息列表还可以通过如下方法生成:
组播源检测模块将组播源IP地址表发送给管理服务器,管理服务器查询组播源注册表,得到所有合法注册到管理服务器的组播源的IP地址以及分配给每个合法注册到管理服务器的组播源的组播地址,然后在组播源的IP地址表中每个合法注册到管理服务器的组播源的IP地址后面加入该组播源的组播地址,生成一个包含组播源IP地址以及组播源对应的组播地址的组播源信息列表,然后管理服务器将组播源信息列表发送给组播源检测模块
需要说明的是,在该表中,只有在管理服务器中合法注册的组播源的IP地址对应有分配给该合法注册的组播源的组播地址,而没有在管理服务器中注册的组播源的IP地址对应的组播地址为空。
组播源检测模块生成组播源信息列表后,第一组播安全模块查询接入组播源的第一单元或二层交换机的ARP表,得到第一单元或二层交换机上接入组播源的端口号,然后将接入组播源的设备名称及端口号加入上述组播源信息列表中,生成一个包含组播源IP地址、组播源对应的组播地址以及接入组播源的设备名称及端口号的组播源安全策略表。
需要说明的是,当组播源直接接入第一单元时,在第一单元的ARP内有该组播源的IP地址,但是二层交换机的ARP表上不会有该组播源的IP地址;当组播源不直接接入第一单元而接入二层交换机时,第一单元和二层交换机的ARP表内都会有该组播源的IP地址,通过这种方法可以区分出组播源是直接接入第一单元还是接入二层交换机。
第一组播安全模块根据组播源安全策略表生成针对每个组播源的访问控制列表,其中针对在管理服务器上合法注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为分配给该组播源的组播地址的允许条目,针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意组播地址的禁止条目,并将针对每个组播源的访问控制列表应用于该组播源接入的二层交换机或第一单元的端口上,使合法注册的组播源所接入的二层交换机或第一单元的端口只转发源IP地址为该合法注册的组播源的IP地址、目的IP地址为管理服务器分配给该合法注册的组播源的组播地址的组播数据包,使没有合法注册的组播源所接入的二层交换机或第一单元的端口不转发该组播源发送的任何组播数据包。
需要说明的是,本实施例针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意组播地址的禁止条目。也可以针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意地址的禁止条目,禁止非法组播源设备发送任何数据包。
通过上述方法,第一单元实现了对组播源的管理和控制。
本实施例中,第二单元用于对组播接收设备进行管理和控制。组播接收设备需要接收组播数据时,会发送IGMP消息请求加入相应的组播组。本实施例组播接收设备检测模块对发送到第二单元的所有IP数据包进行监测,当组播接收设备检测模块监测到组播接收设备发送的IGMP消息时,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并记录在组播接收设备IP地址表中。
组播接收设备检测模块查询管理服务器的组播接收设备注册表,得到所有合法注册的组播接收设备的IP地址、通过每个组播接收设备登录管理服务器的用户以及每个登录管理服务器的用户有权限访问的组播组列表,然后在组播接收设备信息列表中每个合法注册的组播接收设备的IP地址后加入通过该组播接收设备登录管理服务器的用户有权限加入的组播组列表,生成一个包括组播接收设备的IP地址及通过组播接收设备登录用户有权限加入的组播组列表的组播接收设备信息列表。
本实施例中组播接收设备信息列表还可以通过如下方法生成:
组播接收设备检测模块将组播接收设备IP地址表发送给管理服务器,管理服务器查询组播接收设备注册表,得到所有合法注册的组播接收设备的IP地址、通过每个组播接收设备登录管理服务器的用户以及每个登录管理服务器的用户有权限访问的组播组列表,然后在组播接收设备信息列表中每个合法注册的组播接收设备的IP地址后加入通过该组播接收设备登录管理服务器的用户有权限加入的组播组列表,生成一个包括组播接收设备的IP地址及通过组播接收设备登录用户有权限加入的组播组列表的组播接收设备信息列表,管理服务器将组播接收设备信息列表发送给组播接收设备检测模块。同时,管理服务器根据第二单元发送的组播接收设备IP地址表,在自己的组播接收设备注册表中加入每个合法注册的组播接收设备接入的第二单元的IP地址。
需要说明的是,在该表中,只有在管理服务器中合法注册的组播接收设备的IP地址对应有通过该合法注册的组播接收设备登录管理服务器的用户有权限加入的组播组列表,而没有在管理服务器中注册的组播接收设备的IP地址对应的组播组列表为空。
组播接收设备检测模块生成组播接收设备信息列表后,第二组播安全模块查询接入组播接收设备的第二单元或二层交换机的ARP表,得到第二单元或二层交换机上接入组播接收设备的端口号,然后将接入组播接收设备的设备名称及端口号加入上述包含组播接收设备IP地址和组播接收设备对应的组播组列表的表中,生成一个包含组播接收设备IP地址、组播接收设备对应的组播组列表以及接入组播接收设备的设备名称及端口号的组播接收设备安全策略表,其中没有在管理服务器中注册的组播接收设备对应的组播组列表为空。
需要说明的是,当组播接收设备直接接入第二单元时,在第二单元的ARP内有该组播接收设备的IP地址,但是二层交换机的ARP表上不会有该组播接收设备的IP地址;当组播接收设备不直接接入第二单元而接入二层交换机时,第二单元和二层交换机的ARP表内都会有该组播接收设备的IP地址,通过这种方法可以区分出组播接收设备是直接接入第二单元还是接入二层交换机。
第二组播安全模块根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,其中针对在管理服务器上合法注册的组播接收设备的访问控制列表的允许条目中只包含组播接收设备安全策略表中该组播接收设备对应的组播组列表中的组播地址,针对没有在管理服务器上注册的组播接收设备的访问控制列表包含一条源IP地址为该组播接收设备的IP地址、协议类型为IGMP的禁止条目,并将针对每个组播接收设备的访问控制列表应用于该组播接收设备接入的二层交换机或第二单元的端口上,在该端口上允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。即使合法注册的组播接收设备所接入的二层交换机或第二单元的端口允许该合法注册的组播接收设备发送的加入通过该合法注册的组播接收设备登录管理服务器的用户有权限加入的组播组的IGMP消息通过,使没有合法注册的组播接收设备所接入的二层交换机或第二单元的端口禁止该组播接收设备发送的任何IGMP消息。
需要说明的是,当某个合法注册的组播接收设备上登录管理服务器的用户发生改变时,管理服务器从自己的组播接收设备注册表中找到该合法注册的组播接收设备接入的第二单元的IP地址,将登录用户发生改变的组播接收设备的IP地址以及根据新登录的用户的权限生成的组播组列表下发给该第二单元,第二单元根据管理服务器下发的消息更新组播接收设备安全策略表中登录用户发生改变的组播接收设备对应的组播组列表,生成新的访问控制列表,然后删除旧的访问控制列表,将新的访问控制列表应用在该组播接收设备接入的第二单元或二层交换机的端口上。
本实施例针对没有在管理服务器上注册的组播接收设备的访问控制列表包含一条源IP地址为该组播接收设备的IP地址、协议类型为IGMP的禁止条目,在端口上阻止了组播接收设备发送的IGMP消息。也可以直接禁止非法组播接收设备MAC地址发送的所有类型的报文,从而达到禁止没有在管理服务器注册的组播接收设备加入任何组播组的目的。
通过上述方法,第二单元实现了对组播接收设备的管理和控制。
下面通过举例对本实施例进行说明,本实例的网络结构图如图2所示,其中视频管理服务器为管理服务器,IPC1、IPC2、IPC4和IPC5为合法注册到视频管理服务器的组播源,IPC3和IPC6为非法的组播源,客户端1、客户端2、客户端4和客户端5为合法注册到视频管理服务器的组播接收设备,客户端3和客户端6为非法的组播接收设备,用户1、用户2、用户4和用户5分别通过客户端1、客户端2、客户端4和客户端5登录视频管理服务器。
当组播源检测模块检测到IPC发送的组播数据包后,查询第一单元的ARP表,得到所有IPC的IP地址,如下表:
IPC编号 IPC的IP地址
IPC1 192.168.1.1
IPC2 192.168.1.2
IPC3 192.168.1.3
IPC4 192.168.2.1
IPC5 192.168.2.2
IPC6 192.168.2.3
表1
然后,组播源检测模块将表1发送给视频管理服务器,视频管理服务器查询自己的组播源注册表,将分配给IPC1、IPC2、IPC4和IPC5的组播地址加入到表1中,生成下表:
IPC编号 IPC的IP地址 组播地址
IPC1 192.168.1.1 231.8.1.1
IPC2 192.168.1.2 231.8.1.2
IPC3 192.168.1.3
IPC4 192.168.2.1 231.8.1.3
IPC5 192.168.2.2 231.8.1.4
IPC6 192.168.2.3
表2
视频管理服务器将表2发送给第一单元,组播源检测模块收到表2后转发给第一组播安全模块,第一组播安全模块查询第一单元以及二层交换机1的ARP表,得到所有组播源接入的网络设备及端口号,并将所有组播源接入的网络设备及端口号信息加入表2,生成组播安全策略表,如下表:
表3
第一组播安全模块根据表3生成针对每个IPC的访问控制列表,具体为:针对IPC1生成编号为1的访问控制列表,该访问控制列表中包含一条源IP地址为192.168.1.1,目的IP地址为231.8.1.1的允许条目;针对IPC2生成编号为2的访问控制列表,该访问控制列表中包含一条源IP地址为192.168.1.2,目的IP地址为231.8.1.2的允许条目,针对IPC3生成编号为3的访问控制列表,该访问控制列表中包含一条源IP地址为192.168.1.3,目的IP地址为any的禁止条目;针对IPC4生成编号为4的访问控制列表,该访问控制列表中包含一条源IP地址为192.168.2.1,目的IP地址为231.8.1.3的允许条目;针对IPC5生成编号为5的访问控制列表,该访问控制列表中包含一条源IP地址为192.168.2.2,目的IP地址为231.8.1.4的允许条目;针对IPC6生成编号为6的访问控制列表,该访问控制列表中包含一条源IP地址为192.168.2.3,目的IP地址为任意组播地址的禁止条目。
然后,第一组播安全模块将访问控制列表1应用于第一单元的G1口,将访问控制列表2应用于第一单元的G2口,将访问控制列表3应用于第一单元的G3口,将访问控制列表4应用于二层交换机1的G1/0/1口,将访问控制列表5应用于二层交换机1的G1/0/2口,将访问控制列表6应用于二层交换机1的G1/0/3口。
通过上述方法,第一单元实现了对接入的IPC的控制,使合法注册到视频管理服务器的IPC1、IPC2、IPC4和IPC5能发送组播数据包,使非法的IPC3和IPC6不能发送组播数据包。
当组播接收设备检测模块检测到客户端发送的IGMP消息后,查询第二单元的ARP表,得到所有客户端的IP地址,如下表:
客户端编号 客户端IP地址
客户端1 192.168.11.1
客户端2 192.168.11.2
客户端3 192.168.11.3
客户端4 192.168.12.1
客户端5 192.168.12.2
客户端6 192.168.12.3
表4
然后,组播接收设备检测模块将表4发送给视频管理服务器,视频管理服务器查询自己的组播接收设备注册表,视频管理服务器的组播接收设备注册表如下:
表5
视频管理服务器将表5中每个合法注册的客户端对应的组播组列表加入到表4中,生成下表:
客户端编号 客户端IP地址 允许加入的组播组列表
客户端1 192.168.11.1 231.8.1.1/231.8.1.2/231.8.1.3
客户端2 192.168.11.2 232.8.1.1/231.8.1.2
客户端3 192.168.11.3
客户端4 192.168.12.1 232.8.1.1
客户端5 192.168.12.2 232.8.1.2
客户端6 192.168.12.3
表6
同时视频管理服务器将第二单元的IP地址加入表5中,生成下表:
表7
然后,视频管理服务器将表6发送给第二单元,组播接收设备检测模块收到表6后转发给第二组播安全模块,第二组播安全模块查询第二单元以及二层交换机2的ARP表,得到所有组播接收设备接入的网络设备及端口号,并将所有组播接收设备接入的网络设备及端口号信息加入表6,生成组播安全策略表,如下表:
表8
第二组播安全模块根据表8生成针对每个客户端的访问控制列表,具体为:针对客户端1生成编号为1的访问控制列表,该访问控制列表的允许条目中只包含组播地址231.8.1.1、231.8.1.2和231.8.1.3;针对客户端2生成编号为2的访问控制列表,该访问控制列表的允许条目中只包含组播地址231.8.1.1、231.8.1.2;针对客户端3生成编号为3的访问控制列表,该访问控制列表中包含一条源IP地址为192.168.11.3、协议类型为IGMP的禁止条目;针对客户端4生成编号为4的访问控制列表,该访问控制列表的允许条目中只包含组播地址231.8.1.1;针对客户端5生成编号为5的访问控制列表,该访问控制列表的允许条目中只包含组播地址231.8.1.2;针对客户端6生成编号为6的访问控制列表,该访问控制列表包含一条源IP地址为192.168.12.3、协议类型为IGMP的禁止条目。
然后,第二组播安全模块将访问控制列表1应用在第二单元的G1端口上,将访问控制列表2应用在第二单元的G2端口上,将访问控制列表3应用在第二单元的G3端口上,将访问控制列表4应用在二层交换机2的G1/0/1端口上,将访问控制列表5应用在二层交换机2的G1/0/2端口上,将访问控制列表6应用在二层交换机2的G1/0/3端口上。
当客户端4上登录视频管理服务器的用户4退出,然后又用用户5重新登录后,视频管理服务器上的组播接收设备注册表会更新为下表:
表9
视频管理服务器从表9中查找到第二单元的IP地址10.1.1.1,通过IP地址10.1.1.1,将登录视频管理服务器的用户发生改变的客户端4的IP地址192.168.12.1及对应的组播组列表232.8.1.2下发给第二单元,第二单元根据视频管理服务器下发的消息更新安全策略表后生成下表:
表10
然后,第二单元根据表10中客户端4对应的组播组列表232.8.1.2,生成一个新的访问控制列表,该访问控制列表的允许条目中只包含组播地址231.8.1.2,然后删除访问控制列表4,将新的访问控制列表应用在二层交换机2的G1/0/1端口上。
通过上述方法,第二单元实现了对客户端的管理和控制,使合法注册到管理服务器的客户端1、客户端2、客户端4和客户端5能加入其有权限加入的组播组,使非法的客户端3和客户端6不能加入任何组播组。
如图3所示,本实施例还提出了一种组播安全接入方法,应用于上述组播安全接入装置,用于在组播网络中对组播源及组播接收设备进行管理和控制,所述组播网络中设置有管理服务器,所述组播网络还包括用于对组播源进行接入控制的第一单元和用于对组播接收设备进行接入控制的第二单元,所述组播安全接入方法包括:
第一单元在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表;
第一单元根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包;
第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、登录用户有权限加入的组播组的组播接收设备信息列表;
第二单元根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
其中,所述第一单元检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源列表,包括:
在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并将所有组播源的IP地址记录在组播源IP地址表中;
将组播源IP地址表发送给管理服务器,管理服务器查询组播源注册表,得到所有合法注册到管理服务器的组播源的IP地址以及分配给每个合法注册到管理服务器的组播源的组播地址,然后在组播源的IP地址表中每个合法注册到管理服务器的组播源的IP地址后面加入该组播源的组播地址,生成一个包含组播源IP地址以及组播源对应的组播地址的组播源信息列表,然后管理服务器将组播源信息列表发送给第一单元。
其中,所述第一单元根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包,包括:
第一单元查询接入组播源的第一单元或二层交换机的ARP表,得到第一单元或二层交换机接入组播源的端口号,然后将接入组播源的设备名称及端口号加入组播源信息列表中,生成一个包含组播源IP地址、组播源对应的组播地址以及接入组播源的设备名称及端口号的组播源安全策略表;
第一单元根据组播源安全策略表生成针对每个组播源的访问控制列表,其中针对在管理服务器上合法注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为分配给该组播源的组播地址的允许条目,针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意组播地址的禁止条目,并将针对每个组播源的访问控制列表应用于该组播源接入的第一单元或二层交换机的端口上,使合法注册的组播源所接入的第一单元或二层交换机的端口只转发源IP地址为该合法注册的组播源的IP地址、目的IP地址为管理服务器分配给该合法注册的组播源的组播地址的组播数据包,使没有在合法注册的组播源所接入的第一单元或二层交换机的端口不转发该组播源发送的任何组播数据包。
其中,所述第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、通过组播接收设备登录用户有权限加入的组播组的组播接收设备信息列表,包括:
第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并将所有组播接收设备的IP地址记录在组播接收设备IP地址表中;
第二单元将组播接收设备IP地址表发送给管理服务器,管理服务器查询组播接收设备注册表,得到所有合法注册的组播接收设备的IP地址、通过每个组播接收设备登录管理服务器的用户以及每个登录管理服务器的用户有权限访问的组播组列表,然后在组播接收设备信息列表中每个合法注册的组播接收设备的IP地址后加入通过该组播接收设备登录管理服务器的用户有权限加入的组播组列表,生成一个包括组播接收设备的IP地址及通过组播接收设备登录用户有权限加入的组播组列表的组播接收设备信息列表,管理服务器将组播接收设备信息列表发送给第二单元。
其中,所述第二单元根根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组,包括:
第二单元查询接入组播接收设备的第二单元或二层交换机的ARP表,得到接入组播接收设备的端口号,然后将接入组播接收设备的设备名称及端口号加入组播接收设备信息列表中,生成一个包含组播接收设备IP地址、组播接收设备对应的组播组列表以及接入组播接收设备的设备名称及端口号的组播接收设备安全策略表;
第二单元根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,其中针对在管理服务器上合法注册的组播接收设备的访问控制列表的允许条目中只包含组播接收设备安全策略表中该组播接收设备对应的组播组列表中的组播地址,针对没有在管理服务器上注册的组播接收设备的访问控制列表包含一条源IP地址为该组播接收设备的IP地址、协议类型为IGMP的禁止条目,并将针对每个组播接收设备的访问控制列表应用于该组播接收设备接入的二层交换机或第二单元的端口上,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种组播安全接入装置,用于在组播网络中对组播源及组播接收设备进行管理和控制,所述组播网络中设置有管理服务器,其特征在于,所述组播安全接入装置包括第一单元和第二单元,所述第一单元包括组播源检测模块和第一组播安全模块,所述第二单元包括组播接收设备检测模块和第二组播安全模块,其中:
所述组播源检测模块,用于在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表;
所述第一组播安全模块,用于根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包;
所述组播接收设备检测模块,用于在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、登录用户有权限加入的组播组的组播接收设备信息列表;
所述第二组播安全模块,用于根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
2.根据权利要求1所述的组播安全接入装置,其特征在于,所述组播源检测模块在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表,包括:
组播源检测模块在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并将所有组播源的IP地址记录在组播源IP地址表中;
组播源检测模块将组播源IP地址表发送给管理服务器,管理服务器查询组播源注册表,得到所有合法注册到管理服务器的组播源的IP地址以及分配给每个合法注册到管理服务器的组播源的组播地址,然后在组播源的IP地址表中每个合法注册到管理服务器的组播源的IP地址后面加入该组播源的组播地址,生成一个包含组播源IP地址以及组播源对应的组播地址的组播源信息列表,然后管理服务器将组播源信息列表发送给组播源检测模块。
3.根据权利要求1所述的组播安全接入装置,其特征在于,所述第一组播安全模块根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包,包括:
第一组播安全模块查询接入组播源的第一单元或二层交换机的ARP表,得到第一单元或二层交换机接入组播源的端口号,然后将接入组播源的设备名称及端口号加入组播源信息列表中,生成一个包含组播源IP地址、组播源对应的组播地址以及接入组播源的设备名称及端口号的组播源安全策略表;
第一组播安全模块根据组播源安全策略表生成针对每个组播源的访问控制列表,其中针对在管理服务器上合法注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为分配给该组播源的组播地址的允许条目,针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意组播地址的禁止条目,并将针对每个组播源的访问控制列表应用于该组播源接入的第一单元或二层交换机的端口上,使合法注册的组播源所接入的第一单元或二层交换机的端口只转发源IP地址为该合法注册的组播源的IP地址、目的IP地址为管理服务器分配给该合法注册的组播源的组播地址的组播数据包,使没有合法注册的组播源所接入的第一单元或二层交换机的端口不转发该组播源发送的任何组播数据包。
4.根据权利要求1所述的组播安全接入装置,其特征在于,所述组播接收设备检测模块在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、登录用户有权限加入的组播组的组播接收设备信息列表,包括:
组播接收设备检测模块在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并将所有组播接收设备的IP地址记录在组播接收设备IP地址表中;
组播接收设备检测模块将组播接收设备IP地址表发送给管理服务器,管理服务器查询组播接收设备注册表,得到所有合法注册的组播接收设备的IP地址、通过每个组播接收设备登录管理服务器的用户以及每个登录管理服务器的用户有权限访问的组播组列表,然后在组播接收设备IP地址表中每个合法注册的组播接收设备的IP地址后加入通过该组播接收设备登录管理服务器的用户有权限加入的组播组列表,生成一个包括组播接收设备的IP地址及通过组播接收设备登录的登录用户有权限加入的组播组列表的组播接收设备信息列表,管理服务器将组播接收设备信息列表发送给组播接收设备检测模块。
5.根据权利要求1所述的组播安全接入装置,其特征在于,所述第二组播安全模块根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组,包括:
第二组播安全模块查询接入组播接收设备的第二单元或二层交换机的ARP表,得到第二单元或二层交换接入组播接收设备的端口号,然后将接入组播接收设备的设备名称及端口号加入组播接收设备信息列表中,生成一个包含组播接收设备IP地址、组播接收设备对应的组播组列表以及接入组播接收设备的设备名称及端口号的组播接收设备安全策略表;
第二组播安全模块根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,其中针对在管理服务器上合法注册的组播接收设备的访问控制列表的允许条目中只包含组播接收设备安全策略表中该组播接收设备对应的组播组列表中的组播地址,针对没有在管理服务器上注册的组播接收设备的访问控制列表包含一条源IP地址为该组播接收设备的IP地址、协议类型为IGMP的禁止条目,并将针对每个组播接收设备的访问控制列表应用于该组播接收设备接入的二层交换机或第二单元的端口上,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
6.一种组播安全接入方法,用于在组播网络中对组播源及组播接收设备进行管理和控制,所述组播网络中设置有管理服务器,其特征在于,所述组播网络还包括用于对组播源进行接入控制的第一单元和用于对组播接收设备进行接入控制的第二单元,所述组播安全接入方法包括:
第一单元在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表;
第一单元根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包;
第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、登录用户有权限加入的组播组的组播接收设备信息列表;
第二单元根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
7.根据权利要求6所述的组播安全接入方法,其特征在于,所述第一单元检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并通过查询管理服务器得到合法注册的组播源的组播地址,从而得到包括组播源IP地址和组播地址的组播源信息列表,包括:
在检测到组播数据包后,查询第一单元的ARP表,得到所有组播源的IP地址,并将所有组播源的IP地址记录在组播源IP地址表中;
将组播源IP地址表发送给管理服务器,管理服务器查询组播源注册表,得到所有合法注册到管理服务器的组播源的IP地址以及分配给每个合法注册到管理服务器的组播源的组播地址,然后在组播源的IP地址表中每个合法注册到管理服务器的组播源的IP地址后面加入该组播源的组播地址,生成一个包含组播源IP地址以及组播源对应的组播地址的组播源信息列表,然后管理服务器将组播源信息列表发送给第一单元。
8.根据权利要求6所述的组播安全接入方法,其特征在于,所述第一单元根据组播源信息列表以及通过查询接入组播源的第一单元或二层交换机的ARP表得到的接入组播源的端口信息生成组播源安全策略表,并根据组播源安全策略表生成针对每个组播源的访问控制列表,在每个组播源接入的第一单元或二层交换机上的端口上应用针对该组播源的访问控制列表,使接入组播源的第一单元或二层交换机只转发在管理服务器上合法注册的组播源发送的组播数据包,不转发没有在管理服务器上注册的组播源发送的任何组播数据包,包括:
第一单元查询接入组播源的第一单元或二层交换机的ARP表,得到第一单元或二层交换机接入组播源的端口号,然后将接入组播源的设备名称及端口号加入组播源信息列表中,生成一个包含组播源IP地址、组播源对应的组播地址以及接入组播源的设备名称及端口号的组播源安全策略表;
第一单元根据组播源安全策略表生成针对每个组播源的访问控制列表,其中针对在管理服务器上合法注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为分配给该组播源的组播地址的允许条目,针对没有在管理服务器上注册的组播源的访问控制列表只包含一条源IP地址为该组播源的IP地址,目的IP地址为任意组播地址的禁止条目,并将针对每个组播源的访问控制列表应用于该组播源接入的第一单元或二层交换机的端口上,使合法注册的组播源所接入的第一单元或二层交换机的端口只转发源IP地址为该合法注册的组播源的IP地址、目的IP地址为管理服务器分配给该合法注册的组播源的组播地址的组播数据包,使没有在合法注册的组播源所接入的第一单元或二层交换机的端口不转发该组播源发送的任何组播数据包。
9.根据权利要求6所述的组播安全接入方法,其特征在于,所述第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并通过查询管理服务器得到组播接收设备对应的登录用户及其有权限加入的组播组,从而得到包括组播接收设备IP地址、通过组播接收设备登录用户有权限加入的组播组的组播接收设备信息列表,包括:
第二单元在检测到组播接收设备发送的IGMP消息后,查询第二单元的ARP表,得到所有组播接收设备的IP地址,并将所有组播接收设备的IP地址记录在组播接收设备IP地址表中;
第二单元将组播接收设备IP地址表发送给管理服务器,管理服务器查询组播接收设备注册表,得到所有合法注册的组播接收设备的IP地址、通过每个组播接收设备登录管理服务器的用户以及每个登录管理服务器的用户有权限访问的组播组列表,然后在组播接收设备信息列表中每个合法注册的组播接收设备的IP地址后加入通过该组播接收设备登录管理服务器的用户有权限加入的组播组列表,生成一个包括组播接收设备的IP地址及通过组播接收设备登录用户有权限加入的组播组列表的组播接收设备信息列表,管理服务器将组播接收设备信息列表发送给第二单元。
10.根据权利要求6所述的组播安全接入方法,其特征在于,所述第二单元根根据组播接收设备信息列表以及通过查询接入组播接收设备的第二单元或二层交换机的ARP得到的接入组播接收设备的端口信息生成组播接收设备安全策略表,并根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,在每个组播接收设备接入的第二单元或二层交换机上的端口上应用针对该组播接收设备的访问控制列表,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组,包括:
第二单元查询接入组播接收设备的第二单元或二层交换机的ARP表,得到接入组播接收设备的端口号,然后将接入组播接收设备的设备名称及端口号加入组播接收设备信息列表中,生成一个包含组播接收设备IP地址、组播接收设备对应的组播组列表以及接入组播接收设备的设备名称及端口号的组播接收设备安全策略表;
第二单元根据组播接收设备安全策略表生成针对每个组播接收设备的访问控制列表,其中针对在管理服务器上合法注册的组播接收设备的访问控制列表的允许条目中只包含组播接收设备安全策略表中该组播接收设备对应的组播组列表中的组播地址,针对没有在管理服务器上注册的组播接收设备的访问控制列表包含一条源IP地址为该组播接收设备的IP地址、协议类型为IGMP的禁止条目,并将针对每个组播接收设备的访问控制列表应用于该组播接收设备接入的二层交换机或第二单元的端口上,允许在管理服务器上合法注册的组播接收设备加入有权限加入的组播组,禁止没有在管理服务器注册的组播接收设备加入任何组播组。
CN201610279594.3A 2016-04-29 2016-04-29 一种组播安全接入装置及方法 Active CN105791318B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610279594.3A CN105791318B (zh) 2016-04-29 2016-04-29 一种组播安全接入装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610279594.3A CN105791318B (zh) 2016-04-29 2016-04-29 一种组播安全接入装置及方法

Publications (2)

Publication Number Publication Date
CN105791318A CN105791318A (zh) 2016-07-20
CN105791318B true CN105791318B (zh) 2019-04-12

Family

ID=56400116

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610279594.3A Active CN105791318B (zh) 2016-04-29 2016-04-29 一种组播安全接入装置及方法

Country Status (1)

Country Link
CN (1) CN105791318B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790134B (zh) * 2016-12-28 2021-01-29 浙江宇视科技有限公司 一种视频监控系统的访问控制方法及安全策略服务器
CN111885422B (zh) * 2020-06-12 2024-07-23 视联动力信息技术股份有限公司 一种组播源的处理方法、系统和装置
WO2023092497A1 (zh) * 2021-11-26 2023-06-01 Oppo广东移动通信有限公司 组播消息的处理方法及相关装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741492A (zh) * 2005-08-31 2006-03-01 杭州华为三康技术有限公司 控制组播数据转发的设备及方法
CN1801711A (zh) * 2006-01-18 2006-07-12 杭州华为三康技术有限公司 一种组播组成员认证方法和装置
CN1960321A (zh) * 2005-10-31 2007-05-09 中兴通讯股份有限公司 一种实现组播安全的控制方法
CN101364877A (zh) * 2008-09-28 2009-02-11 福建星网锐捷网络有限公司 安全策略配置方法及其装置
WO2012065407A1 (zh) * 2010-11-19 2012-05-24 中兴通讯股份有限公司 组播报文控制的方法和装置
CN102655458A (zh) * 2012-04-23 2012-09-05 浙江宇视科技有限公司 一种组播安全管理方法及组播边界控制设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741492A (zh) * 2005-08-31 2006-03-01 杭州华为三康技术有限公司 控制组播数据转发的设备及方法
CN1960321A (zh) * 2005-10-31 2007-05-09 中兴通讯股份有限公司 一种实现组播安全的控制方法
CN1801711A (zh) * 2006-01-18 2006-07-12 杭州华为三康技术有限公司 一种组播组成员认证方法和装置
CN101364877A (zh) * 2008-09-28 2009-02-11 福建星网锐捷网络有限公司 安全策略配置方法及其装置
WO2012065407A1 (zh) * 2010-11-19 2012-05-24 中兴通讯股份有限公司 组播报文控制的方法和装置
CN102655458A (zh) * 2012-04-23 2012-09-05 浙江宇视科技有限公司 一种组播安全管理方法及组播边界控制设备

Also Published As

Publication number Publication date
CN105791318A (zh) 2016-07-20

Similar Documents

Publication Publication Date Title
EP1715628B1 (en) A method for realizing the multicast service
CN101414919B (zh) 上行组播业务的控制方法及装置
US20050111474A1 (en) IP multicast communication system
EP2204963B1 (en) Session monitoring method, device and system based on multicast technique
US8203943B2 (en) Colored access control lists for multicast forwarding using layer 2 control protocol
KR100842284B1 (ko) 차세대 네트워크 망에서 iptv 서비스 제공 시스템 및방법
CN100583801C (zh) 一种动态建立组播虚拟局域网域的方法、系统及交换设备
CN100477591C (zh) 可控组播业务的实现方法
KR20080053119A (ko) 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법
CN105791318B (zh) 一种组播安全接入装置及方法
CN101202715B (zh) 组播权限自动部署方法和装置
CN101309157B (zh) 一种组播业务管理方法及其装置
JP2008060631A (ja) 通信装置及びマルチキャストユーザ認証方法
CN101222425A (zh) 组播转发方法及组播路由器
WO2007033553A1 (fr) Procede de gestion de multidiffusion et son dispositif correspondant dans un systeme pon
JP2007521763A (ja) サービス中継サブネット間マルチキャスト−ネットワーク基盤に依らないサブネット横断マルチキャスト解決策
CN105827451B (zh) 一种自动配置全网可控组播的方法和装置
CN102571511A (zh) 局域网接入控制系统、方法及服务器
CN102045179B (zh) 实现本地网络与公共网络间组播互通的方法和nat设备
CN102655458B (zh) 一种组播安全管理方法及组播边界控制设备
JP4085388B2 (ja) Ipマルチキャスト配信制御システム
CN106559268A (zh) 用于ip监控系统的动态端口隔离方法及装置
CN103501272B (zh) 一种组播流量转发方法及设备
JP2005064583A (ja) データ中継装置、及び、データ中継方法
Sun et al. A stateful multicast access control mechanism for future metro‐area‐networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant