專利名稱:一種組播權(quán)限控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及IP組播技術(shù)領(lǐng)域��,具體涉及一種組播權(quán)限控制方法���。
背景技術(shù):
IP網(wǎng)絡(luò)中的組播技術(shù)實現(xiàn)了點到多點的數(shù)據(jù)傳輸�����。它的基本原理是多臺主機可以屬于一個組(通過組播地址標(biāo)識)�,報文目的IP對應(yīng)組地址���,發(fā)送到這個組的數(shù)據(jù)����,能夠讓組內(nèi)所有的成員接收����,并且數(shù)據(jù)不會擴散給組外的其它主機。組播技術(shù)的優(yōu)點在于能夠減輕源主機負(fù)載和節(jié)省網(wǎng)絡(luò)帶寬���,非常適用于需要大量帶寬的網(wǎng)絡(luò)視頻業(yè)務(wù)�。隨著IPTV(網(wǎng)絡(luò)電視)、遠(yuǎn)程教育等網(wǎng)絡(luò)應(yīng)用的興起��,組播技術(shù)在IP網(wǎng)絡(luò)中的應(yīng)用越來越廣泛�����,圖1給出了現(xiàn)有技術(shù)IP組播網(wǎng)絡(luò)示意圖�����。從上面的原理介紹可以看出���,只有組內(nèi)的用戶才能接收對應(yīng)這個組的數(shù)據(jù)流,所以組成員信息的管理是組播技術(shù)應(yīng)用的重要環(huán)節(jié)�。實際網(wǎng)絡(luò)中,接入服務(wù)器對終端用戶的組播管理是通過IGMP(Internet Group Management Protocol�,互聯(lián)網(wǎng)組管理協(xié)議)報文交互實現(xiàn)的,簡要過程如下1�����、用戶希望接收組播數(shù)據(jù)流時��,向接入服務(wù)器發(fā)送IGMP JOIN報文申請加入指定的組���;2�、接入服務(wù)器將用戶信息添加到組成員列表后,就向用戶復(fù)制組播數(shù)據(jù)��;3��、用戶希望停止接收組播數(shù)據(jù)流時��,向接入服務(wù)器發(fā)送IGMPLEAVE報文申請離開指定的組����;
4、接入服務(wù)器確認(rèn)用戶離開后�����,將用戶信息從組成員列表刪除���,不再向用戶復(fù)制組播數(shù)據(jù)����。
IGMP協(xié)議提供了組中成員加入和離開等基本管理功能�,協(xié)議中不對用戶進(jìn)行認(rèn)證和控制。而在現(xiàn)代電信網(wǎng)絡(luò)中,運營商對各種業(yè)務(wù)應(yīng)用都提出了可運營���、可管理的要求����,組播應(yīng)用中也涉及用戶權(quán)限管理的問題����。因為IGMP協(xié)議未提供此類功能,所以需要在接入服務(wù)器上提供對用戶組播權(quán)限的控制方法�����。如圖2所示���,目前實現(xiàn)用戶組播權(quán)限控制的方法之一是通過Radius(Remote Authentication Dial In User Service,遠(yuǎn)程撥入用戶認(rèn)證服務(wù)協(xié)議)服務(wù)器給用戶下發(fā)一個組播屬性�����,Radius服務(wù)器除了完成用戶的認(rèn)證計費功能�����,還能通過下發(fā)屬性的方式告知接入服務(wù)器此用戶具備的網(wǎng)絡(luò)屬性�,組播屬性也可以作為下發(fā)屬性之一�。這種方法的原理是首先在Radius服務(wù)器上對用戶的帳號屬性進(jìn)行設(shè)置�,指定用戶是否具有組播屬性。接入服務(wù)器在用戶認(rèn)證過程中��,判斷并記錄Radius服務(wù)器下發(fā)的用戶屬性中是否包含組播標(biāo)志��。然后在收到用戶發(fā)送的IGMP JOIN報文時���,只允許已設(shè)置組播標(biāo)志的用戶加入組播組��,達(dá)到對用戶組播權(quán)限進(jìn)行控制的目的��。Radius協(xié)議中沒有定義標(biāo)準(zhǔn)的組播屬性,所以組播屬性需要在協(xié)議擴展的私有屬性中實現(xiàn)�,這樣就存在不同Radius服務(wù)器和不同接入服務(wù)器的兼容性問題����,可能導(dǎo)致增加的組播屬性無法有效識別�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種組播權(quán)限控制方法,克服現(xiàn)有技術(shù)的組播權(quán)限控制方法不能使用訪問控制列表進(jìn)行組播權(quán)限控制的缺點����,提高對用戶控制管理的能力����,并為特色組播業(yè)務(wù)定制提供運營手段���。
本發(fā)明采用如下的技術(shù)方案
一種組播權(quán)限控制方法����,在接入服務(wù)器上執(zhí)行如下步驟A1�、設(shè)置至少一個訪問控制列表�,其包含用戶地址序列和組播組地址序列��;A2、將用戶識別信息與訪問控制列表進(jìn)行關(guān)聯(lián)����;A3、等待接收互聯(lián)網(wǎng)組管理協(xié)議加入報文���,在收到所述的互聯(lián)網(wǎng)組管理協(xié)議加入報文后���,將該互聯(lián)網(wǎng)組管理協(xié)議加入報文與不同的訪問控制列表進(jìn)行匹配,當(dāng)首次出現(xiàn)互聯(lián)網(wǎng)組管理協(xié)議加入報文與訪問控制列表匹配的情形時��,執(zhí)行步驟A4�����,當(dāng)沒有出現(xiàn)匹配情形時�����,執(zhí)行步驟A5�;A4�、將用戶信息添加到目的地址確定的組成員列表中����;A5�����、將互聯(lián)網(wǎng)組管理協(xié)議加入報文丟棄����。
所述的組播權(quán)限控制方法,其中所述訪問控制列表還包括允許標(biāo)識符或者禁止標(biāo)識符��,所述步驟A4包括步驟若訪問控制列表中包含允許標(biāo)識符����,將用戶信息添加到目的地址確定的組成員列表中;若包含禁止標(biāo)識符��,直接執(zhí)行步驟A5��。
所述的組播權(quán)限控制方法����,其中所述步驟A2包括步驟通過屬性配置命令將用戶識別信息與訪問控制列表進(jìn)行關(guān)聯(lián)。
所述的組播權(quán)限控制方法�,其中所述步驟A2包括步驟通過遠(yuǎn)程撥入用戶認(rèn)證服務(wù)協(xié)議服務(wù)器下發(fā)訪問控制列表屬性將用戶識別信息與訪問控制列表進(jìn)行關(guān)聯(lián)。
所述的組播權(quán)限控制方法����,其中所述步驟A3中的匹配依照的規(guī)則為當(dāng)互聯(lián)網(wǎng)組管理協(xié)議加入報文首部中的源地址和目的地址分別出現(xiàn)在訪問控制列表的用戶地址序列和組播組地址序列中時,則認(rèn)為互聯(lián)網(wǎng)組管理協(xié)議加入報文與訪問控制列表匹配��,否則認(rèn)為互聯(lián)網(wǎng)組管理協(xié)議加入報文與訪問控制列表不匹配����。
所述的組播權(quán)限控制方法,其中訪問控制列表包含用于確定訪問控制列表生效時間的時間段參數(shù)�,在收到互聯(lián)網(wǎng)組管理協(xié)議加入報文后,接入服務(wù)器首先根據(jù)訪問控制列表時間段參數(shù)確定當(dāng)前生效的訪問控制列表��,并對生效的訪問控制列表和互聯(lián)網(wǎng)組管理協(xié)議加入報文進(jìn)行匹配操作。
本發(fā)明的技術(shù)方案���,在接入服務(wù)器上設(shè)置報文過濾功能強大的訪問控制列表����,對IGMP JOIN報文進(jìn)行過濾�,不僅可以控制用戶能否接收組播,避免不同Radius服務(wù)器和不同接入服務(wù)器的兼容性問題�����,可能導(dǎo)致增加的組播屬性無法有效識別的問題����;還進(jìn)一步可以定制用戶能夠收看的頻道,實現(xiàn)了對用戶組播權(quán)限的精細(xì)控制�,克服了現(xiàn)有技術(shù)的Radius服務(wù)器下發(fā)的組播權(quán)限控制只能做到針對用戶區(qū)分允許加入組播組和禁止加入組播組兩種情況的缺點,即結(jié)合訪問控制列表的時間段管理功能���,對用戶能夠加入組播組的時間段進(jìn)行控制���,實現(xiàn)了通過用戶、組播頻道��、接收時間段等多個條件來靈活、精細(xì)地控制組播權(quán)限���;在組播網(wǎng)絡(luò)運營方面,大大提高了對用戶控制管理的能力�,并為特色組播業(yè)務(wù)定制提供了方便的運營手段。
本發(fā)明包括如下附圖圖1是現(xiàn)有技術(shù)中IP組播網(wǎng)絡(luò)示意圖�;圖2是現(xiàn)有技術(shù)利用Radius服務(wù)器下發(fā)組播屬性示意圖;圖3是本發(fā)明接入服務(wù)器對IGMP報文進(jìn)行處理的流程圖�。
具體實施例方式
下面結(jié)合附圖和實施例對本發(fā)明作進(jìn)一步詳細(xì)說明ACL(Access Control List,訪問控制列表)規(guī)則是網(wǎng)絡(luò)設(shè)備上出于安全和其他方面的考慮而配置的一些規(guī)則����,一條ACL規(guī)則由若干條“permit/deny”語句組成,共同構(gòu)成一種判斷標(biāo)準(zhǔn)����。設(shè)備檢查每一個接收的數(shù)據(jù)包,和配置的ACL規(guī)則相比較(如報文的協(xié)議類型���、IP地址�、端口號等)���,檢查報文特征是否與ACL規(guī)則匹配����,從而決定對該數(shù)據(jù)包是轉(zhuǎn)發(fā)還是丟棄。Time_Range(時間段)的功能是判斷某一時間點是否在某一規(guī)定的時間段范圍之內(nèi)���,可以為其它功能模塊(如ACL)提供基于時間段生效的支持��。本發(fā)明針對組播權(quán)限控制提出了一種解決方案����,利用ACL和Time_Range��,根據(jù)用戶帳號��、用戶加入的組(對應(yīng)組播地址或組播節(jié)目頻道)���、用戶收看節(jié)目的時間段等諸多因素在接入服務(wù)器上配置不同的組合控制方式���,實現(xiàn)了對用戶組播權(quán)限的精細(xì)控制。
本發(fā)明的核心在于接入服務(wù)器收到用戶的IGMP JOIN報文(互聯(lián)網(wǎng)組管理協(xié)議加入報文)后�����,先將用戶關(guān)聯(lián)的ACL規(guī)則與IGMP JOIN報文進(jìn)行匹配,從而實現(xiàn)對報文的源IP和目的IP等信息的過濾�,地址信息從IP報文首部中獲取,源IP代表用戶主機����、目的IP代表組播組(實際上就是組播頻道地址),與ACL規(guī)則匹配的報文���,根據(jù)ACL規(guī)則中的關(guān)鍵字(Permit/deny)決定對IGMP JOIN報文的處理,與ACL規(guī)則不匹配的報文則被丟棄�。這樣通過使用ACL的相關(guān)功能,就能對用戶能否加入組播的權(quán)限進(jìn)行精細(xì)控制�。
本發(fā)明的ACL規(guī)則采用如下的編碼格式關(guān)鍵字(access-list)+組編號+關(guān)鍵字(Permit/deny)+報文協(xié)議類型+源網(wǎng)絡(luò)號+源網(wǎng)絡(luò)反掩碼(可選)+目的網(wǎng)絡(luò)號+目的網(wǎng)絡(luò)反掩碼(可選)+擴展控制元素(可選);其中access-list表示一條ACL規(guī)則��,組編號表示ACL規(guī)則名稱��,Permit是允許標(biāo)識符��,deny是禁止標(biāo)識符��。
在源網(wǎng)絡(luò)號/目的網(wǎng)絡(luò)號參數(shù)輸入為any時�,表示任意網(wǎng)絡(luò),此時無需源網(wǎng)絡(luò)/目的網(wǎng)絡(luò)反掩碼���。
擴展控制元素表示附加的過濾元素��,如IP TOS字段��、Time_Range控制元素等���。
下面是一組具體的ACL規(guī)則實例access-list 500 permit ip any 224.0.0.0 31.255.255.255���;用于過濾所有加入組播組的報文。
access-list 500 permit ip any 224.1.1.1 0.0.0.0��;用于過濾加入目的地址為224.1.1.1組播組的報文���。
access-list 600 permit ip any 224.1.1.2 0.0.0.0 time-range time1���;用于加時間段限制的組播權(quán)限控制方式。
如圖3所示�,接入服務(wù)器對IGMP報文的處理流程如下步驟301接入服務(wù)器接收用戶終端發(fā)送的IGMP JOIN報文;步驟302接入服務(wù)器接判斷發(fā)送IGMP JOIN報文的用戶終端是否關(guān)聯(lián)了ACL規(guī)則���,如果是���,執(zhí)行步驟303,否則,執(zhí)行步驟306��;步驟303接入服務(wù)器查找到用戶關(guān)聯(lián)的ACL規(guī)則后����,先根據(jù)ACL的時間段參數(shù)(Time_Range)判斷在當(dāng)前時刻有哪些ACL生效;步驟304將IGMP JOIN報文信息和當(dāng)前所有關(guān)聯(lián)生效的ACL規(guī)則依順序匹配����,遇到第一條符合的規(guī)則即停止匹配,繼續(xù)執(zhí)行步驟305�,如果沒有出現(xiàn)匹配情形,則轉(zhuǎn)步驟307����;步驟305如果IGMP JOIN報文匹配上的ACL規(guī)則中含有允許標(biāo)志符Permit轉(zhuǎn)步驟306處理����,如果IGMP JOIN報文匹配上的ACL規(guī)則中含有Deny則轉(zhuǎn)步驟307處理;步驟306IGMP JOIN報文交給IGMP單元繼續(xù)處理����,在對應(yīng)的組播組中添加此用戶終端的成員信息。
步驟307IGMP JOIN報文丟棄�����。
在步驟302中用戶終端通過用戶識別信息關(guān)聯(lián)ACL規(guī)則的方式有兩種(1)通過屬性配置命令進(jìn)行關(guān)聯(lián)例如在用戶所屬的接口或者ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商)域下指定用戶關(guān)聯(lián)的ACL規(guī)則名稱���;(2)在用戶認(rèn)證過程中通過Radius服務(wù)器下發(fā)屬性�,Radius協(xié)議中定義了標(biāo)準(zhǔn)的ACL屬性��,無需擴展協(xié)議�����,在用戶上線時����,接入服務(wù)器會將用戶關(guān)聯(lián)的ACL規(guī)劃記錄在用戶信息表中。用戶識別信息可以是用戶上網(wǎng)帳號�、IP地址或用戶線路識別信息。
在步驟303中Time_Range功能的時間范圍設(shè)置方法有多種�����,例如(1)配置周期性時間段�,如每天的19:00至21:00;(2)配置絕對時間段�����,如2000-01-01 00:00至2000-01-31 00:00。進(jìn)行組播控制時�,可以將Time_Range和進(jìn)行組播限制的ACL規(guī)則組合使用,來實現(xiàn)組播權(quán)限的時間控制�。舉例來說,可以定義這樣一條組合規(guī)則ACL規(guī)則A���,如果每只允許用戶在20:00到22:00之間收看電影頻道��,則在ACL規(guī)則A中加入“Time_Range 20:00-22:00”�,將用戶和規(guī)則A關(guān)聯(lián)����,此后用戶在每天規(guī)定時間段發(fā)送JOIN報文加入電影頻道正常,在規(guī)定時間段以外�����,用戶加入電影頻道的JOIN報文會被丟棄��,不能加入此頻道����;同時對于已經(jīng)上線的用戶,因為維持在線的JOIN報文丟棄�����,會在IGMP查詢超時后下線��,通過這種方式實現(xiàn)了對用戶組播權(quán)限的精細(xì)控制�����。
在步驟304中ACL規(guī)則匹配的報文信息主要是IGMP JOIN報文的源IP和目的IP�。IGMP JOIN報文與ACL規(guī)則匹配是指互聯(lián)網(wǎng)組管理協(xié)議加入報文首部中的源地址和目的地址分別在ACL規(guī)則的用戶地址序列和組播組地址序列當(dāng)中,JOIN報文中的源地址代表用戶的信息����,匹配源地址可以控制哪些用戶可以加入組播,IGMP JOIN報文中的目的地址是組播頻道地址��,匹配目的地址可以控制用戶接收哪些頻道�����,通過這種方式實現(xiàn)了對用戶組播權(quán)限的精細(xì)控制�。
下面通過具體的配置實例來對本發(fā)明的實施過程進(jìn)行說明(1)接入服務(wù)器配置時間段time1,每工作日19:00~22:00有效BRAS(config)#time-range time1 19:00 to 22:00 working-day
(2)接入服務(wù)器配置ACL規(guī)則組500和600�,分別只允許用戶加入地址為224.1.1.1和224.1.1.2的頻道���,且規(guī)則在時間段time1內(nèi)生效BRAS(config)#access-list 500 permit ip any 224.1.1.1 0.0.0.0 time-rangetime1BRAS(config)#access-list 500 deny ip any anyBRAS(config)#access-list 600 permit ip any 224.1.1.2 0.0.0.0 time-rangetime1BRAS(config)#access-list 600 deny ip any any(3)接入服務(wù)器配置兩個ACL規(guī)則組的集合(profle),名為igmp1和igmp2����,分別包含ACL規(guī)則組500和600BRAS(config)#profile igmp1BRAS(config-profile-igmp1)#ip access group 500BRAS(config)#profile igmp2BRAS(config-profile-igmp2)#ip access group 600(4)Radius服務(wù)器上配置用戶帳號關(guān)聯(lián)的ACL集合(直接在Radius服務(wù)器的用戶信息中設(shè)置Filter-Id的屬性,該屬性是Radius協(xié)議中的標(biāo)準(zhǔn)定義)�,帳號user1@163和igmp1關(guān)聯(lián),user2@163和igmp2關(guān)聯(lián)��。
(5)接下來用戶上線時��,Radius服務(wù)器將每個用戶的ACL集合屬性下發(fā)給接入服務(wù)器���,接入服務(wù)器按照預(yù)先定義好的規(guī)則進(jìn)行組播控制��,在收到互聯(lián)網(wǎng)組管理協(xié)議加入報文后�,將互聯(lián)網(wǎng)組管理協(xié)議加入報文與不同的訪問控制列表進(jìn)行匹配��,當(dāng)首次出現(xiàn)互聯(lián)網(wǎng)組管理協(xié)議加入報文首部中的源地址和目的地址分別在訪問控制列表的用戶地址序列和組播組地址序列中的情形時����,即停止匹配操作���,此時若訪問控制列表中包含允許標(biāo)識符�,則將用戶信息添加到目的地址確定的組成員列表中;當(dāng)互聯(lián)網(wǎng)組管理協(xié)議加入報文首部中的源地址和目的地址并沒有分別出現(xiàn)在訪問控制列表的用戶地址序列和組播組地址序列中��,或者訪問控制列表中包含禁止標(biāo)識符����,則將互聯(lián)網(wǎng)組管理協(xié)議加入報文丟棄。
user1@163只能在每個工作日的19:00~22:00時間段內(nèi)加入到組播頻道224.1.1.1����,而user2@163只能在每個工作日的19:00~22:00時間段內(nèi)加入到組播頻道224.1.1.2。
雖然通過參照本發(fā)明的優(yōu)選實施例����,已經(jīng)對本發(fā)明進(jìn)行了圖示和描述,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白�,可以在形式上和細(xì)節(jié)上對其作各種各樣的改變,而不偏離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍���。
權(quán)利要求
1.一種組播權(quán)限控制方法�,其特征在于��,在接入服務(wù)器上執(zhí)行如下步驟A1����、設(shè)置至少一個訪問控制列表���,其包含用戶地址序列和組播組地址序列;A2����、將用戶識別信息與訪問控制列表進(jìn)行關(guān)聯(lián);A3���、等待接收互聯(lián)網(wǎng)組管理協(xié)議加入報文�,在收到所述的互聯(lián)網(wǎng)組管理協(xié)議加入報文后����,將該互聯(lián)網(wǎng)組管理協(xié)議加入報文與不同的訪問控制列表進(jìn)行匹配,當(dāng)首次出現(xiàn)互聯(lián)網(wǎng)組管理協(xié)議加入報文與訪問控制列表匹配的情形時�,執(zhí)行步驟A4,當(dāng)沒有出現(xiàn)匹配情形時���,執(zhí)行步驟A5�����;A4��、將用戶信息添加到目的地址確定的組成員列表中����;A5���、將互聯(lián)網(wǎng)組管理協(xié)議加入報文丟棄�。
2.根據(jù)權(quán)利要求1所述的組播權(quán)限控制方法����,其特征在于,所述訪問控制列表還包括允許標(biāo)識符或者禁止標(biāo)識符�����,所述步驟A4包括步驟若訪問控制列表中包含允許標(biāo)識符���,將用戶信息添加到目的地址確定的組成員列表中�����;若包含禁止標(biāo)識符��,直接執(zhí)行步驟A5�����。
3.根據(jù)權(quán)利要求1所述的組播權(quán)限控制方法��,其特征在于所述步驟A2包括步驟通過屬性配置命令將用戶識別信息與訪問控制列表進(jìn)行關(guān)聯(lián)���。
4.根據(jù)權(quán)利要求1所述的組播權(quán)限控制方法����,其特征在于所述步驟A2包括步驟通過遠(yuǎn)程撥入用戶認(rèn)證服務(wù)協(xié)議服務(wù)器下發(fā)訪問控制列表屬性將用戶識別信息與訪問控制列表進(jìn)行關(guān)聯(lián)�。
5.根據(jù)權(quán)利要求3或4所述的組播權(quán)限控制方法,其特征在于所述步驟A3中的匹配依照的規(guī)則為當(dāng)互聯(lián)網(wǎng)組管理協(xié)議加入報文首部中的源地址和目的地址分別出現(xiàn)在訪問控制列表的用戶地址序列和組播組地址序列中時�,則認(rèn)為互聯(lián)網(wǎng)組管理協(xié)議加入報文與訪問控制列表匹配,否則認(rèn)為互聯(lián)網(wǎng)組管理協(xié)議加入報文與訪問控制列表不匹配�。
6.根據(jù)權(quán)利要求5所述的組播權(quán)限控制方法,其特征在于訪問控制列表包含用于確定訪問控制列表生效時間的時間段參數(shù)��,在收到互聯(lián)網(wǎng)組管理協(xié)議加入報文后�����,接入服務(wù)器首先根據(jù)訪問控制列表時間段參數(shù)確定當(dāng)前生效的訪問控制列表�,并對生效的訪問控制列表和互聯(lián)網(wǎng)組管理協(xié)議加入報文進(jìn)行匹配操作��。
全文摘要
本發(fā)明公開了一種組播權(quán)限控制方法��,在接入服務(wù)器上設(shè)置至少一個訪問控制列表����,其包含用戶地址序列和組播組地址序列����;然后將用戶識別信息與訪問控制列表進(jìn)行關(guān)聯(lián)�����;等待接收互聯(lián)網(wǎng)組管理協(xié)議加入報文�,在收到互聯(lián)網(wǎng)組管理協(xié)議加入報文后,將互聯(lián)網(wǎng)組管理協(xié)議加入報文與不同的訪問控制列表進(jìn)行匹配����;最后根據(jù)匹配結(jié)果決定是否丟棄。利用本發(fā)明�,能避免因Radius服務(wù)器和不同接入服務(wù)器的兼容性導(dǎo)致增加的組播屬性可能無法有效識別的問題,實現(xiàn)了通過用戶��、組播頻道���、接收時間段等多個條件來靈活�、精細(xì)地控制組播權(quán)限。
文檔編號H04N7/16GK1852258SQ20061006011
公開日2006年10月25日 申請日期2006年3月30日 優(yōu)先權(quán)日2006年3月30日
發(fā)明者周瀾 申請人:華為技術(shù)有限公司