CN1671096A - 基于策略控制的组播接入控制方法 - Google Patents
基于策略控制的组播接入控制方法 Download PDFInfo
- Publication number
- CN1671096A CN1671096A CNA2004100143887A CN200410014388A CN1671096A CN 1671096 A CN1671096 A CN 1671096A CN A2004100143887 A CNA2004100143887 A CN A2004100143887A CN 200410014388 A CN200410014388 A CN 200410014388A CN 1671096 A CN1671096 A CN 1671096A
- Authority
- CN
- China
- Prior art keywords
- multicast
- policy
- participant
- request
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000010586 diagram Methods 0.000 description 11
- 238000012795 verification Methods 0.000 description 5
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 4
- 230000003068 static effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 description 2
- 230000007423 decrease Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明是一种用于组播网络中的基于策略控制的组播接入控制方法。它涉及到因特网安全组播领域,是用于组播参与者接入组播组时对其进行接入控制的方法。它是在组播网络中引入策略控制系统,组播接入者在接入组播组时先发送接入请求和自己的信息给组播路由器,通过组播路由器向策略控制系统发出策略请求,由策略控制系统判断是否允许该参与者接入组播组,然后做出应答,返回策略指令;组播路由器按照策略指令进行相应操作、动态修改访问控制列表,获得允许的组播参与者方可接入组播组。本发明能有效地解决组播参与者的成员接入控制问题,具有良好的可扩展性。
Description
技术领域:
本发明涉及因特网安全组播领域,用于组播参与者接入组播组时对其进行接入控制的方法。
背景技术:
组播技术可以节省网络资源,便于在一对多及多对多的场合中使用。组播技术被越来越多的应用到各种宽带业务中,如新闻点播、视频会议等。其中:组播参与者(MulticastParticipant),指参与到组播服务的发送者(Sender)或接收者(Receiver)。组播成员(Multicast Member),指加入到组播组的接收者(Receiver)。接入(Access),指连接到组播域,参与组播服务的操作。加入(Join),指用户成为组播成员的操作。
图1显示的是一个组播服务的网络拓扑图。组播源(发送者,Sender)通过组播路由器(Multicast Router,MR)接入网络,向组播地址发送组播数据(例如图1中的192.168.2.9);各个子网内的用户向网络发送加入请求报文(IGMP),加入组播组成为组播成员(Receiver/Member),接收组播数据(例如图1中的192.168.3.11和192.168.6.141);子网内未加入组播组的用户(Host/Non-member)不能接收组播数据(例如图1中的192.168.3.75)。组播路由器之间运行距离矢量组播路由协议(DVMRP,Distance VectorMulticast Routing Protocol)或协议无关组播(PIM,Protocol Independent Multicast)等组播寻路协议,建立共享的组播树,将组播数据从组播源传送到组播成员。
当前使用的组播控制方法允许任何用户加入组播组。该用户的主机可以发送加入请求报文给邻近的组播路由器,该路由器即向上层组播树发出加入请求。在现有的组播控制方法中,没有任何的接入控制,所有加入请求都会被成功响应。一旦请求加入成功,组播树就会延伸到该子网,发出加入请求的主机就可以接收组播数据。
现有组播控制方法中的另一个问题是,对于组播的数据源没有认证功能。某个主机只要知道了组播服务使用的组播地址,就可以向该组播地址发送干扰数据。这会造成如下后果:①导致正常的组播业务质量下降,②浪费网络资源,影响网络服务质量。
发明内容
本发明的目的是提供一种基于策略控制的组播接入控制方法,以解决安全组播中的接入控制问题。
本发明的技术解决方案如下:
在组播网络的管理层中设置能够与各个子网的组播路由器通信的策略服务器及其目录服务器,其中配置接入控制的策略规则和合法用户信息,对组播参与者实施接入控制;控制过程为:①组播参与者在接入组播组时,首先将接入请求和自己的信息发送给组播路由器;②组播路由器再根据信息中的成员类型向策略服务器发出策略请求;③策略服务器根据接入控制的策略规则和合法用户信息对策略请求做出应答,返回策略指令;④组播路由器按照策略指令进行相应操作,并转发策略指令给组播参与者;⑤经过认证获得允许的组播参与者方可接入组播组。
在上述方案中,各部分的工作过程如下:
所述的组播参与者的工作过程包括如下步骤:①组播参与者根据要接入的组播组,初始化自己的一组信息,这组信息包括主机IP地址,组播地址,成员类型,主机认证信息;②组播参与者向组播路由器发送接入请求和自己的信息;③等待组播路由器的回应,根据组播路由器所转发的策略指令确定是否能够接入组播组,接收或发送数据。
所述的组播路由器的工作过程包括如下步骤:①初始化,建立访问控制列表,等待组播参与者的接入请求和信息;②收到组播参与者的接入请求和信息后,根据信息判断组播参与者的成员类型,向策略服务器发出相应的策略请求;③等待策略服务器的应答;④接收策略服务器的策略指令,按照策略指令决定是否修改访问控制列表;⑤转发策略指令给组播参与者。
所述的策略服务器的工作过程包括如下步骤:①初始化,设定目录服务器中的策略规则和合法用户信息,等待组播路由器发送的策略请求;②收到组播路由器的策略请求后,查询目录服务器;③比较策略请求中组播参与者的信息,决定是否允许组播参与者接入组播组;④向组播路由器返回相应的策略指令。
本发明的关键在于使用策略控制系统对组播参与者进行接入控制。在策略控制系统中的目录服务器上配置接入控制的策略规则和合法用户信息;通过策略服务器认证组播参与者的相关信息,并通过组播路由器动态修改访问控制列表对组播参与者进行接入控制。可以在组播环境中有效地对组播参与者实施认证,解决了组播环境中的接入控制问题,是一种适用于安全组播领域的有效方法,具有良好的应用前景。
附图说明
图1是现有的组播服务网络拓扑图;
图2是现有的IGMPv2报文格式图;
图3是基于策略控制的组播接入控制体系结构图;
图4是组播参与者发送的主机信息报文格式图;
图5是组播路由器发送的策略请求报文格式图;
图6是策略服务器发送的策略指令报文格式图;
图7是组播参与者工作过程图;
图8是组播路由器工作过程图;
图9是策略服务器工作过程图;
具体实施方式
下面结合附图和实施例对本发明内容及其所依据的背景技术作详细叙述:
(1)IGMP协议
在现有的组播模型中允许任何主机不经审核地加入组播组,没有对组播参与者进行接入控制。任何主机可以发送加入请求报文给邻近的组播路由器,该路由器即向上层组播树发出加入请求。一旦请求加入成功,组播树就会延伸到该子网,发出加入请求的主机就可以接收组播数据。
通常,IP主机使用因特网组管理协议(Internet Group Manage Protocol,IGMP)将组播成员信息报告给组播路由器。IGMP报文封装在TTL值(生命值,Time to Live)为1的IP数据包中。例如,IGMPv2报文的格式如图2所示:
类型域(Type):标识IGMP报文的类型。最大响应时间(Max Response Time):规定成员查询报文使用最大响应时间。校验和(Checksum):保护整个IGMP报文。组地址(Group Address):表示查询、加入或离开组的组播地址。
目前使用的IGMPv1只定义了两种报文,普通成员查询报文(路由器用来查询子网内有哪些组有成员)和IGMPv1成员报告报文。IGMPv2增加了三种报文,组特定查询报文(路由器查询某一特定组)、IGMPv2成员报告报文和离开组报文(离开组播组时向路由器报告)。IGMPv3又增加了两种报文,组-源特定查询报文(路由器查询由特定源发向特定组的成员)和IGMPv3成员报告报文。
主机在加入组播组时,发送IGMP成员报告报文;在离开组播组时,发送IGMP离开组报文。路由器定时发送成员查询报文用于了解子网内的组成员信息,子网内的组成员发送成员报告报文来响应查询。
(2)使用ACL进行访问控制
访问控制列表(Access Control List,ACL)是网络层的访问控制技术。访问控制列表的基本原理是使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到接入控制的目的。
组播网络中的节点分为两种,一种是资源节点,一种是用户节点。使用访问控制列表,一方面保护资源节点,阻止非法用户对资源节点的访问;另一方面,确保合法的资源节点才可以向网络发送数据。
对于图1的组播模型,如果要分别对组播源(即发送者,Sender)和接收者(Receiver)进行接入控制,可以在它们所在子网的组播路由器上分别配置访问控制列表。例如:对各个组播参与者的接入控制要求是,组播源所在的子网LAN1只允许这一个组播源(sender ip:192.168.2.9)发送组播数据,子网LAN2、LAN3只允许接收者A、接收者B接收组播数据。那么,组播路由器MR1和MR2(MR3配置类似于MR2,故省略)的访问控制列表配置如表1所示。在子网LAN1内,只允许源地址为192.168.2.9的组播源主机发送数据,其它地址发出的数据都会被丢弃,实现了对组播源的接入控制。在子网LAN2内,只允许目的地址为192.168.3.11的主机接收组播数据,实现了对接收者的接入控制。
表1组播路由器的访问控制列表配置
| MR1 | MR2 |
| access-list 1 permit host192.168.2.9access-list 1 deny anyint lan 1ip access-group 1 out | access-list 2 permit host192.168.3.11access-list 2 deny anyint lan 2ip access-group 2 in |
在上表中,关键字access-list后的1、2是ACL号,ACL号相同的ACL构成同一个组,在判断一个包时,使用同一组中的条目从上到下逐一进行判断,一遇到满足的条目就终止对该包的判断。关键字Permit表示允许某个IP通过,deny表示丢弃包。关键字int lan表示ACL应用到哪个子网。in和out表示应用的方向,代表流入或流出。
如上面的方法,在组播路由器上静态人工配置的ACL可以简单实现对组播参与者的接入控制。但是,这种方法只适合于小规模的静态组播服务。考察组播的特点,可以发现:①组播的规模一般比较大,成员有成百上千,甚至上万。②组播成员是动态变化的,不断地有成员加入或退出。③网络上同时存在多个组播服务,某个用户也许是一个服务的合法用户,而没有被授权使用其它的服务。所以,静态人工配置ACL的开销将会非常大,容易出错,而且也不能及时响应组播成员的变化。
(3)策略控制系统
针对静态配置访问控制列表存在的问题,本发明采用基于策略控制系统动态修改访问控制列表的方法。在该方法中引入策略控制系统,在其目录服务器上配置组播参与者的接入控制策略规则和相关信息。每当有组播参与者接入时,参与者通过所在子网的组播路由器与策略服务器通信,认证成功后,策略服务器发出指令,动态地修改组播路由器上的访问控制列表配置,允许参与者接入。
策略控制系统是由互联网工程任务组(The Internet Engineering Task Force,IETF)的策略工作组(Policy Framework Group)制定的协议和草案规定的。策略控制系统包括四个部分:策略实施者、策略服务器、目录服务器和策略管理员。策略实施者就是网络中的策略受控节点,通过执行策略服务器的指令修改访问控制列表来实施接入控制的功能;策略服务器根据策略实施者的策略请求,从目录服务器获取策略,并将策略解释后返回给策略实施者;策略管理员通过在策略服务器上配置策略管理界面来远程维护目录服务器中存储策略的数据库,配置策略规则,监视这个策略控制系统的运行;目录服务器是实现策略统一管理的基础,存储策略规则及其相关信息。
策略服务器使用简版目录存取协议(LDAP)对目录服务器中的策略信息进行存取操作。策略服务器和策略实施者之间采用公共开放策略服务(COPS)交换策略请求和策略指令。
基于策略控制动态修改访问控制列表的组播接入控制系统如图3所示,在组播网络中引入了策略控制系统。组播路由器就是分布在各个子网的策略实施者,它们使用公共开放策略服务(COPS)协议与策略服务器通信,交换策略请求和策略指令;策略服务器及其目录服务器配置在管理组播网络的位置处,并能与各个子网的组播路由器通信;由策略管理员在目录服务器中配置策略规则和合法用户信息,策略服务器根据组播路由器的策略请求查询目录服务器来决定给用户实施何种应答。
组播服务的参与者主要是发送者(Sender)和接收者(Receiver)。针对不同类型的组播服务,组播参与者有更加具体的划分。如在新闻点播服务中,发送者只负责发送数据,既可以加入组播组成为成员(Member)也可以不加入组播组;接收者只是加入组播组成为组播成员接收数据。在视频会议服务中,每个参与者既希望发送自己的视频数据,也希望接收别人的视频数据,所以他们既是发送者也是接收者。
根据组播参与者收、发数据的情况,可设定他们的具体分类如下:收发成员(SendReceive-Member,SR-Member)——加入组播组成为组播成员,既发送数据也接收数据。
只发成员(SendOnly-Member,SO-Member)——加入组播组成为组播成员,发送数据;通常不接收数据,但有权接收数据,可以随时根据需要接收数据。
只发非成员(Non-Member-Sender,NMS)——不加入组播组,只发送数据。
只收成员(ReceiveOnly-Member,RO-Member)——加入组播组成为组播成员,只接收数据。
对于各种不同的参与者分别为他们制定不同的策略规则,如表2。这些策略规则存储在策略控制系统的目录服务器中。
表2组播参与者的策略规则
| ACL | SR-Member | SO-Member | NMS | RO-Member |
| 允许发送 | Yes | Yes | Yes | No |
| 允许接收 | Yes | Yes | No | Yes |
(4)基于策略控制系统的接入控制方法
所有的组播参与者在发送或接收数据以前,必须通过策略服务器授权才能接入组播组。因此组播参与者首先发送接入请求和自己的一组信息给组播路由器,组播路由器再向策略服务器发送策略请求,策略服务器根据策略请求的信息做出响应,返回策略指令。组播路由器按照策略指令进行相应操作。
1、组播参与者发送接入请求和自己的一组信息给组播路由器。
组播参与者向组播路由器发送请求接入组播组,并且发送自己的一组信息给组播路由器。这组信息包括主机IP地址,组播地址,成员类型,主机认证信息,信息报文的格式如图4,具体内容为:
类型(Type):用来标识该报文是组播参与者发送的主机信息报文,取值定为00000010(二进制);
成员类型(Member-Type):用来标识发送该报文的成员类型。收发成员,取值定为00000000(二进制);只发成员,取值定为00000001(二进制);只发非成员,取值定为00000010(二进制);只收成员,取值定为00000011(二进制);
保留域(Reserved):它必须被发送者设置为0,被接受者忽略;
IP地址(IP Address):标识组播参与者的IP地址;
组播地址(Multicast Address):标识请求中的组播地址,即请求接入的组播组的IP地址;
主机认证信息(Authenticaticn Information):标识请求中的用户认证信息。例如采用常规的密码或策略服务器签发的证书等方式。
2、组播路由器发送的策略请求有两种:
①发送数据请求(Send-Request)
组播参与者需要向组播组发送组播数据时,通过组播路由器向策略服务器发出发送数据请求,请求中的参数是组播参与者的主机IP地址、组播地址、主机认证信息的三元组。由于某些组播服务的组播数据源不只一个(如视频会议),当有新的组播源要求加入时,必须对其合法性进行验证。
②加入请求(Join-Request)
组播参与者需要加入组播组时,通过组播路由器向策略服务器发出加入请求,请求中的参数是组播参与者的主机IP地址、组播地址、主机认证信息的三元组。由于网络上提供多种组播服务,组播参与者可能只是某些服务的合法用户,未被授权使用其它的服务,所以在成为组播成员时必须发送此请求进行认证。
策略请求用于组播路由器向策略服务器发送请求和传送参数,报文格式如附图5,具体内容为:
类型(Type):用来标识该报文是策略请求报文,取值定为00000000(二进制);
次类型(Sub-Type):用来标识该报文是何种策略请求报文。发送数据请求报文,取值定为00000000(二进制);加入请求报文,取值定为00000001(二进制);
保留域(Reserved):它必须被发送者设置为0,被接受者忽略;
IP地址(IP Address):标识组播参与者的IP地址;
组播地址(Multicast Address):标识请求中的组播地址,即请求接入的组播组的IP地址;
主机认证信息(Authentication Information):标识请求中的用户认证信息。例如采用常规的密码或策略服务器签发的证书等方式。
3、策略服务器向组播路由器返回的策略指令包括:
①允许发送数据指令(Permit-Sending)
策略服务器收到发送数据请求后,检查参数,并和本地目录服务器中的策略规则和合法用户信息相对比,如果组播参与者是已被授权的发送方,则向组播路由器返回允许发送数据指令,指令参数包含组播参与者的主机IP地址、组播地址。组播路由器收到该指令后,修改访问控制列表,允许该IP地址的组播参与者向该组播地址发送数据。
②拒绝发送数据指令(Deny-Sending)
策略服务器收到发送数据请求后,如果组播参与者未被授权,则向组播路由器返回拒绝发送数据指令。组播路由器收到该指令后,不须修改访问控制列表,因为访问控制列表中有deny any指令,即除去前面允许发送的地址外,其它地址都不允许发送。
③允许加入指令(Permit-Join)
策略服务器收到加入请求后,检查参数,并和本地目录服务器中的策略规则和合法用户信息相对比,如果组播参与者是已被授权的接收方,则向组播路由器返回允许加入指令,指令参数包含组播参与者的主机IP地址、组播地址。组播路由器收到该指令后,修改访问控制列表,允许该IP地址的组播参与者加入该组播组接收数据。
④拒绝加入指令(Deny-Join)
策略服务器收到未被授权组播参与者的加入请求后,则向组播路由器返回拒绝加入指令。
策略指令用于策略服务器向组播路由器返回策略应答和传送参数,报文格式如附图6,具体内容为:
类型(Type):用来标识该报文是策略指令报文,取值定为00000001(二进制);
次类型(Sub-Type):用来标识该报文是何种策略指令报文。允许发送数据指令报文,取值定为00000000(二进制);拒绝发送数据指令报文,取值定为00000001(二进制);允许加入指令报文,取值定为00000010(二进制);拒绝加入指令报文,取值定为00000011(二进制);
保留域(Reserved):它必须被发送者设置为0,被接受者忽略;
IP地址(IP Address):标识组播参与者的IP地址;
组播地址(Multicast Address):标识请求中的组播地址,即请求接入的组播组的IP地址。
4、组播路由器按照策略指令进行相应操作。
①收到允许发送数据指令后,修改访问控制列表。添加允许发送数据的主机IP地址,使用关键字“permit host主机IP”;并允许它发送数据,使用关键字“out”表示数据方向是流出,即发送数据。例子如下:
修改前的访问控制列表如下:
access-list 1 permit host 192.168.2.9
access-list 1 deny any
int lan 1
ip access-group 1 out
修改后的访问控制列表如下:
access-list 1 permit host 192.168.2.9
access-list 1 permit host 192.168.2.1
access-list 1 deny any
int lan 1
ip access-group 1 out
该例子表示增加一条规则,允许主机地址为192.168.2.1的主机发送数据。
②收到拒绝发送数据指令后,不须修改访问控制列表,因为访问控制列表中有denyany指令,即除去前面允许发送的地址外,其它地址都不允许发送。
③收到允许加入指令后,修改访问控制列表。添加允许加入的主机IP地址,使用关键字“permit host主机IP”;并允许它接收数据,使用关键字“in”表示数据方向是流入,即接收数据。例子如下:
修改前的访问控制列表如下:
access-list 2 permit host 192.168.3.11
access-list 2 deny any
int lan 2
ip access-group 2 in
修改后的访问控制列表如下:
access-list 2 permit host 192.168.3.11
access-list 2 permit host 192.168.3.2
access-list 2 deny any
int lan 2
ip access-group 2 in
该例子表示增加一条规则,允许主机地址为192.168.3.2的主机加入组播组,接收数据。
④收到拒绝加入指令,不须修改访问控制列表,因为访问控制列表中有deny any指令。
5、转发策略指令给组播参与者。报文格式与策略服务器返回的策略指令相同。
具体的接入控制方法如下:
1、组播参与者的工作过程包括如下步骤:
①初始化:组播参与者根据要接入的组播组,初始化自己的一组信息,这组信息包括:主机IP地址,组播地址,成员类型,主机认证信息;其中成员类型由组播参与者根据自己的需要而确定;
②发送请求和信息:组播参与者向组播路由器发送接入请求,即向组播路由器发送IGMP成员报告报文,同时需要将主机IP地址、组播地址、成员类型、主机认证信息发送给组播路由器;
③等待组播路由器的回应,当收到允许该参与者加入或/和发送数据的策略指令后,该参与者即可接入组播组接收或发送数据;否则,就不可以接入组播组。
2、组播路由器的工作过程包括如下步骤:
①初始化,建立访问控制列表(对于没有事先已知的组播源和组播成员的情况,设定值为不允许任何用户发送和接收数据,而对于某些组播源和组播成员事先已知的情况,可以根据策略服务器上的信息将它们直接配置在组播路由器的访问控制列表上,这样可以减少策略请求/应答的次数,进一步减少服务的时延);等待组播参与者的接入请求和信息;
②接收组播参与者的接入请求和相关信息;
③读取信息,分别获得组播参与者的主机IP地址,组播地址,成员类型,主机认证信息;
④判断成员类型,发送策略请求,并接收策略服务器的策略指令,做出相应处理。根据组播参与者的不同类型,组播路由器的操作如下:
a.对于收发成员(SR-Member)
当组播路由器收到收发成员的接入请求后,它会向策略服务器发出发送数据请求和加入请求两个请求。策略服务器验证该组播参与者为合法用户后,向组播路由器返回允许发送数据指令和允许加入指令;然后,组播路由器修改访问控制列表,允许该收发成员发送和接收数据;如果验证不合法,则返回拒绝发送数据指令和拒绝加入指令,组播路由器不修改访问控制列表。
b.对于只发成员(SO-Member)
组播路由器收到只发成员的接入请求后,类似于收发成员,也向策略服务器发出发送数据请求和加入请求。验证合法后,策略服务器返回允许发送数据指令和允许加入指令;组播路由器修改访问控制列表,允许该只发成员发送数据和保持成员状态,即有权接收数据;如果验证不合法,则返回拒绝发送数据指令和拒绝加入指令,组播路由器不修改访问控制列表。
c.对于只发非成员(NMS)
组播路由器收到只发非成员的接入请求后,向策略服务器发出发送数据请求。策略服务器验证该组播参与者为合法用户后,向组播路由器返回允许发送数据指令;组播路由器修改访问控制列表,允许该只发非成员发送数据;如果验证不合法,则返回拒绝发送数据指令,组播路由器不修改访问控制列表。
d.对于只收成员(RO-Member)
组播路由器收到只收成员的接入请求后,向策略服务器发出加入请求。策略服务器验证该组播参与者为合法用户后,向组播路由器返回允许加入指令;组播路由器修改访问控制列表,允许该只收成员接收数据;如果验证不合法,则返回拒绝加入指令,组播路由器不修改访问控制列表。
e.对于错误成员类型
组播路由器收到其它成员的接入请求后,向组播参与者返回成员类型错误报告。策略服务器不返回任何指令,组播路由器亦不修改访问控制列表。
⑤转发策略指令给组播参与者。
3、策略服务器的工作过程包括如下步骤:
①初始化:初始化策略规则(如表2)和能够允许接入本组播组的所有合法用户信息,这些信息存储在目录服务器中,等待组播路由器发送的策略请求,策略服务器和组播路由器之间采用公共开放策略服务(COPS)交换策略请求和策略指令;
②查询:接收到组播路由器发来的策略请求后,查询目录服务器,读取相关的策略规则和用户信息,策略服务器使用简版目录存取协议(LDAP)对目录服务器中的策略信息进行存取操作;
③判断:根据策略规则,比较策略请求中组播参与者的信息,决定是否允许组播参与者接入组播组。对于发送数据请求,查看请求者是否在允许发送的列表中,若是,即允许其发送,返回允许发送数据指令;否则,返回拒绝发送数据指令。对于加入请求,查看列表中请求者是否有权限接收组播数据,若是,即允许其加入组播组,返回允许加入指令;否则,返回拒绝加入指令。
④返回指令:向组播路由器发送③中生成的策略指令。
为了检验本发明的效果,在Linux操作系统的平台上模拟了组播参与者接入组播组发送接入请求,经策略控制器判断实现接入控制功能的情况。主要实施过程如下:首先在Linux系统的主机上设置相应的功能模块(代表实际网络环境下的组播参与者、组播路由器、策略服务器、目录服务器。在实际网络环境下,应在组播参与者所在的局域网出口处位置设置组播路由器;在管理组播网络的位置配置策略服务器和目录服务器,并使得所有的组播路由器都能与之通信;并将相应的功能模块装配在其中),各具体模块的实现框图请参见附图7~9。组播路由器上接收组播参与者的接入请求,并发出策略请求给策略服务器;在策略控制系统中配置策略规则和相关的合法用户信息,策略服务器判断组播参与者是否有权限访问组播组,然后返回策略指令给组播路由器,以实现对组播参与者的接入控制功能。结果表明,没有使用本发明方法的时候,没有任何的接入控制,任意组播参与者可以接入组播组,发送或获取组播信息;使用本发明方法后,增加了接入控制功能,使得合法用户可以有效地发送或接收组播信息,而非法用户被拒绝提供组播服务。
Claims (3)
1、一种基于策略控制的组播接入控制方法,其特征在于:
在组播网络的管理层中设置能够与各个子网的组播路由器通信的策略服务器及其目录服务器,其中配置接入控制的策略规则和合法用户信息,对组播参与者实施接入控制;控制过程为:
①组播参与者在接入组播组时,首先将接入请求和自己的信息发送给组播路由器;
②组播路由器再根据信息中的成员类型向策略服务器发出策略请求;
③策略服务器根据接入控制的策略规则和合法用户信息对策略请求做出应答,返回策略指令;
④组播路由器按照策略指令进行相应操作,并转发策略指令给组播参与者;
⑤经过认证获得允许的组播参与者方可接入组播组。
2、如权利要求1所述的方法,其特征在于:
所述的组播参与者的工作过程包括如下步骤:
①组播参与者根据要接入的组播组,初始化自己的一组信息,这组信息包括主机IP地址,组播地址,成员类型,主机认证信息;
②组播参与者向组播路由器发送接入请求和自己的信息;
③等待组播路由器的回应,根据组播路由器所转发的策略指令确定是否能够接入组播组,接收或发送数据;
所述的组播路由器的工作过程包括如下步骤:
①初始化,建立访问控制列表,等待组播参与者的接入请求和信息;
②收到组播参与者的接入请求和信息后,根据信息判断组播参与者的成员类型,向策略服务器发出相应的策略请求;
③等待策略服务器的应答;
④接收策略服务器的策略指令,按照策略指令决定是否修改访问控制列表;
⑤转发策略指令给组播参与者;
所述的策略服务器的工作过程包括如下步骤:
①初始化,设定目录服务器中的策略规则和合法用户信息,等待组播路由器发送的策略请求;
②收到组播路由器的策略请求后,查询目录服务器;
③比较策略请求中组播参与者的信息,决定是否允许组播参与者接入组播组;
④向组播路由器返回相应的策略指令。
3、如权利要求1或2所述的方法,其特征在于:
①组播参与者向组播路由器发送接入请求和自己的信息,信息报文内容为:类型,成员类型,保留域,IP地址,组播地址,主机认证信息;
②组播路由器向策略服务器发出的策略请求包括发送数据请求、加入请求;策略请求报文内容为:类型,次类型,保留域,IP地址,组播地址,主机认证信息;
③策略服务器向组播路由器返回的策略指令包括允许发送数据指令、拒绝发送数据指令、允许加入指令、拒绝加入指令;策略指令报文内容为:类型,次类型,保留域,IP地址,组播地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2004100143887A CN1671096A (zh) | 2004-03-17 | 2004-03-17 | 基于策略控制的组播接入控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2004100143887A CN1671096A (zh) | 2004-03-17 | 2004-03-17 | 基于策略控制的组播接入控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1671096A true CN1671096A (zh) | 2005-09-21 |
Family
ID=35042178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100143887A Pending CN1671096A (zh) | 2004-03-17 | 2004-03-17 | 基于策略控制的组播接入控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1671096A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008046336A1 (fr) * | 2006-10-19 | 2008-04-24 | Huawei Technologies Co., Ltd. | Système et procédé permettant un contrôle d'accès réparti dans un service multidiffusion |
| WO2009143750A1 (zh) * | 2008-05-26 | 2009-12-03 | 华为技术有限公司 | 基于tnc的终端数据管理、终端安全评估方法、装置和系统 |
| CN1852080B (zh) * | 2005-11-30 | 2010-04-14 | 华为技术有限公司 | 一种处理组播业务异常的方法 |
| CN101141488B (zh) * | 2006-09-08 | 2010-04-21 | 华为技术有限公司 | 组播服务代理的实现方法及系统和节点发现方法 |
| CN101383719B (zh) * | 2007-09-05 | 2011-04-06 | 中兴通讯股份有限公司 | 一种对通信设备的接入管理方法 |
| CN101425976B (zh) * | 2008-12-09 | 2011-08-24 | 中兴通讯股份有限公司 | 一种控制组播数据报文转发的方法 |
| CN102202001A (zh) * | 2011-06-15 | 2011-09-28 | 中国电信股份有限公司 | 用户带宽动态调整的方法、系统和宽带网络网关 |
| CN101465856B (zh) * | 2008-12-31 | 2012-09-05 | 杭州华三通信技术有限公司 | 一种对用户进行访问控制的方法和系统 |
| US8661248B2 (en) | 2007-08-16 | 2014-02-25 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for sending and receiving security policy of multicast sessions |
| CN105827451A (zh) * | 2016-04-12 | 2016-08-03 | 浙江宇视科技有限公司 | 一种自动配置全网可控组播的方法和装置 |
| CN106341737A (zh) * | 2016-08-18 | 2017-01-18 | 中央电视台 | Ip组播流处理方法、交换机组、服务器及系统 |
-
2004
- 2004-03-17 CN CNA2004100143887A patent/CN1671096A/zh active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852080B (zh) * | 2005-11-30 | 2010-04-14 | 华为技术有限公司 | 一种处理组播业务异常的方法 |
| CN101141488B (zh) * | 2006-09-08 | 2010-04-21 | 华为技术有限公司 | 组播服务代理的实现方法及系统和节点发现方法 |
| CN101166194B (zh) * | 2006-10-19 | 2011-03-30 | 华为技术有限公司 | 一种实现分布式接纳控制的系统和方法 |
| WO2008046336A1 (fr) * | 2006-10-19 | 2008-04-24 | Huawei Technologies Co., Ltd. | Système et procédé permettant un contrôle d'accès réparti dans un service multidiffusion |
| US8661248B2 (en) | 2007-08-16 | 2014-02-25 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for sending and receiving security policy of multicast sessions |
| CN101383719B (zh) * | 2007-09-05 | 2011-04-06 | 中兴通讯股份有限公司 | 一种对通信设备的接入管理方法 |
| WO2009143750A1 (zh) * | 2008-05-26 | 2009-12-03 | 华为技术有限公司 | 基于tnc的终端数据管理、终端安全评估方法、装置和系统 |
| CN101425976B (zh) * | 2008-12-09 | 2011-08-24 | 中兴通讯股份有限公司 | 一种控制组播数据报文转发的方法 |
| CN101465856B (zh) * | 2008-12-31 | 2012-09-05 | 杭州华三通信技术有限公司 | 一种对用户进行访问控制的方法和系统 |
| CN102202001A (zh) * | 2011-06-15 | 2011-09-28 | 中国电信股份有限公司 | 用户带宽动态调整的方法、系统和宽带网络网关 |
| CN105827451A (zh) * | 2016-04-12 | 2016-08-03 | 浙江宇视科技有限公司 | 一种自动配置全网可控组播的方法和装置 |
| CN105827451B (zh) * | 2016-04-12 | 2019-04-09 | 浙江宇视科技有限公司 | 一种自动配置全网可控组播的方法和装置 |
| CN106341737A (zh) * | 2016-08-18 | 2017-01-18 | 中央电视台 | Ip组播流处理方法、交换机组、服务器及系统 |
| CN106341737B (zh) * | 2016-08-18 | 2020-05-19 | 中央电视台 | Ip组播流处理方法、交换机组、服务器及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1192574C (zh) | 受控组播的系统及其实现方法 | |
| CN1310467C (zh) | 基于端口的网络访问控制方法 | |
| CN1213567C (zh) | 一种网络设备的集群管理方法 | |
| CN100346605C (zh) | 一种组播源控制的方法和系统 | |
| CN100340084C (zh) | 一种实现设备分组及分组设备间交互的方法 | |
| CN1777149A (zh) | 在三层交换机上实现组播转发的方法 | |
| CN1298592A (zh) | 建立网络中的接续 | |
| CN101030922A (zh) | 通信系统及通信管理方法 | |
| CN1649325A (zh) | 数据包传送装置 | |
| CN1848770A (zh) | 管理接入多播组的方法和系统 | |
| CN1750508A (zh) | 包转发装置以及接入网系统 | |
| CN101047607A (zh) | 实现组播业务的系统及方法 | |
| CN1801711A (zh) | 一种组播组成员认证方法和装置 | |
| CN1728684A (zh) | 数据包传送装置 | |
| CN1671096A (zh) | 基于策略控制的组播接入控制方法 | |
| CN1874217A (zh) | 一种确定路由的方法 | |
| WO2008148320A1 (fr) | Procédé, dispositif et système pour un contrôle d'autorisation d'un service de multidiffusion | |
| CN101060524A (zh) | 一种组播业务应用的方法及系统 | |
| CN101052004A (zh) | Ip网络中基于虚拟分发网的多播传送方法 | |
| CN1874224A (zh) | 基于会话初始化协议的安全组播方法 | |
| CN1946060A (zh) | 实现重定向报文正确转发的方法及第一部件、第二部件 | |
| CN1874358A (zh) | 一种互联网地址配置管理的方法和系统 | |
| CN1801956A (zh) | 一种资源分配策略系统及其控制通信资源分配的方法 | |
| CN1968082A (zh) | 一种组播认证方法、系统及应用 | |
| CN1747447A (zh) | 区分服务网络域内支持不同服务质量的ip组播方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20050921 |