專利名稱：：組播安全控制方法、系統(tǒng)及傳輸節(jié)點(diǎn)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，尤指一種用于局域網(wǎng)中組播數(shù)據(jù)流轉(zhuǎn)發(fā)的組播安全控制方法、系統(tǒng)及傳輸節(jié)點(diǎn)。
背景技術(shù)：
：在因特網(wǎng)上，諸如視頻會(huì)議和網(wǎng)絡(luò)電視等單點(diǎn)發(fā)送多點(diǎn)接收的多媒體業(yè)務(wù)正在成為信息傳送的重要組成部分。組播就是為了有效地解決單點(diǎn)發(fā)送多點(diǎn)接收的問題。當(dāng)發(fā)送者向一組接收者發(fā)送數(shù)據(jù)時(shí)，只需將數(shù)據(jù)用一個(gè)預(yù)約的組地址發(fā)送，只有加入該組播組的接收者才可以收到組播數(shù)據(jù)，網(wǎng)絡(luò)上的其它用戶則不會(huì)收到該組播數(shù)據(jù)。這樣發(fā)送者只需一次數(shù)據(jù)發(fā)送，就可以發(fā)送到所有接收者，大大減輕了網(wǎng)絡(luò)的負(fù)載和發(fā)送者的負(fù)擔(dān)。基于RFC1112的IP組播模型，組播流的發(fā)送者(組播源)發(fā)送以組播組地址為目的地址的組播流，組播流接收者必須加入組播組后才能接收該組播流。組播的發(fā)送和接收相互獨(dú)立，沒有必然的邏輯聯(lián)系，各自獨(dú)立進(jìn)行，這種松散的結(jié)構(gòu)存在以下安全性問題任意組播源可隨意發(fā)送組播流，可能造成非法組播流的擴(kuò)散，浪費(fèi)傳輸節(jié)點(diǎn)(交換機(jī)或者路由器)CPU的處理能力，同時(shí)占用了大量的網(wǎng)絡(luò)帶寬。且由于傳輸節(jié)點(diǎn)的數(shù)據(jù)轉(zhuǎn)發(fā)表項(xiàng)數(shù)量有限，而處理每一條組播流通常需要?jiǎng)?chuàng)建與之對應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)表項(xiàng)，如果非法的組播流占用了大量轉(zhuǎn)發(fā)表項(xiàng)資源，還將形成拒絕服務(wù)式攻擊，使合法的組播服務(wù)陷于癱瘓。IGMPSnooping是一種在局域網(wǎng)內(nèi)控制組播數(shù)據(jù)轉(zhuǎn)發(fā)的技術(shù)。在啟用了IGMPSnooping的傳輸節(jié)點(diǎn)上，當(dāng)傳輸節(jié)點(diǎn)的某個(gè)端口接收到某個(gè)組播組G的加入消息時(shí)，就將該端口視為該組播組G的成員端口，并生成數(shù)據(jù)轉(zhuǎn)發(fā)表。當(dāng)收到組播流數(shù)據(jù)報(bào)文時(shí)，傳輸節(jié)點(diǎn)只會(huì)將數(shù)據(jù)報(bào)文發(fā)送給組播組G的成員端口。例如傳輸節(jié)點(diǎn)上生成了一個(gè)如下表1所示數(shù)據(jù)轉(zhuǎn)發(fā)表，則當(dāng)傳輸節(jié)點(diǎn)接收到組播組地址為G1的組播流數(shù)據(jù)報(bào)文時(shí)，會(huì)根據(jù)數(shù)據(jù)轉(zhuǎn)發(fā)表將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到下游端口P1、P2和P5;當(dāng)傳輸節(jié)點(diǎn)接收到組播組地址為G2的組播流數(shù)據(jù)報(bào)文時(shí)，會(huì)根據(jù)數(shù)據(jù)轉(zhuǎn)發(fā)表將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到下游端口P2和P3。表1組播組地址下游端口列表GlP1、P2、P5G2P2、P3通過創(chuàng)建數(shù)據(jù)轉(zhuǎn)發(fā)表，IGMPSnooping可以實(shí)現(xiàn)對局域網(wǎng)內(nèi)組播數(shù)據(jù)報(bào)文的接收者進(jìn)行一定程度的管理，但仍然無法對組播源和上游端口進(jìn)行有效的管理和安全控制。[OOTO]現(xiàn)有技術(shù)中，也有一些解決上游端口安全的方案，例如申請?zhí)枮?00410070693，4名稱為《一種安全組播管理系統(tǒng)及方法》的專利申請，公開了一種安全組播管理方法，通過對組播數(shù)據(jù)進(jìn)行簽名和加密的方式來保證組播數(shù)據(jù)的安全性，只有通過安全認(rèn)證的組播數(shù)據(jù)才能被順利接收，從而實(shí)現(xiàn)了對組播通信過程的實(shí)時(shí)監(jiān)測和安全管理。但該方式組播源和所有組播組成員都需要參與，管理較復(fù)雜。且組播的傳輸數(shù)據(jù)量一般都比較大，傳輸速率較高。如果大量的數(shù)據(jù)需要發(fā)送前需加密，接收時(shí)解密，對整個(gè)系統(tǒng)而言，數(shù)據(jù)的加密和解密都將消耗不少資源，同時(shí)影響了發(fā)送的速度和效率。另外，現(xiàn)有技術(shù)中還通過在局域網(wǎng)內(nèi)的傳輸節(jié)點(diǎn)上為每條組播流手工配置靜態(tài)規(guī)則，以實(shí)現(xiàn)對上游端口的管理和安全控制。但是，隨著局域網(wǎng)規(guī)模的擴(kuò)大，傳輸節(jié)點(diǎn)數(shù)量的增加，以及組播流的數(shù)量越來越多，這些規(guī)則的數(shù)量將越來越多，配置工作越來越繁瑣，后期維護(hù)也將相當(dāng)困難?？梢姮F(xiàn)有技術(shù)中的方案均不能很好的解決組播數(shù)據(jù)流上游端口的安全問題，不能有效地避免非法組播源對網(wǎng)絡(luò)中傳輸節(jié)點(diǎn)的攻擊。
發(fā)明內(nèi)容本發(fā)明實(shí)施例提供一種組播安全控制方法、系統(tǒng)及傳輸節(jié)點(diǎn)，用以解決現(xiàn)有技術(shù)中存在的組播數(shù)據(jù)流的上游節(jié)點(diǎn)安全問題、防止非法組播源對網(wǎng)絡(luò)中傳輸節(jié)點(diǎn)的攻擊。—種組播安全控制方法，包括傳輸節(jié)點(diǎn)從上游端口接收組播流數(shù)據(jù)報(bào)文；根據(jù)所述數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息，查找是否存在預(yù)先建立的相匹配的上游端口表項(xiàng)；若存在，則根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組所對應(yīng)的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文；若不存在，則判斷所述上游端口是否是預(yù)先配置的合法上游端口，若是，則根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文；若否，則丟棄所述數(shù)據(jù)報(bào)文?！N實(shí)現(xiàn)組播安全控制的傳輸節(jié)點(diǎn)，包括接收模塊、查找模塊、判斷模塊和轉(zhuǎn)發(fā)模塊；所述接收模塊，用于從上游端口接收組播流數(shù)據(jù)報(bào)文；所述查找模塊，用于根據(jù)所述數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息，查找是否存在預(yù)先建立的相匹配的上游端口表項(xiàng)；若不存在，通知所述判斷模塊；若存在，通知所述轉(zhuǎn)發(fā)模塊；所述判斷模塊，用于判斷所述上游端口是否是預(yù)先配置的合法上游端口，若是，通知轉(zhuǎn)發(fā)模塊；若否，丟棄所述數(shù)據(jù)報(bào)文；所述轉(zhuǎn)發(fā)模塊，用于根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組所對應(yīng)的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文?！N組播安全控制系統(tǒng)，包括組播源、若干上述傳輸節(jié)點(diǎn)和接收端；所述組播源，用于提供組播流數(shù)據(jù)報(bào)文給所述傳輸節(jié)點(diǎn)；所述接收端，用于接收所述傳輸節(jié)點(diǎn)轉(zhuǎn)發(fā)的所述組播流數(shù)據(jù)報(bào)文。本發(fā)明實(shí)施例提供的組播安全控制方法、系統(tǒng)及傳輸節(jié)點(diǎn)，通過在傳輸節(jié)點(diǎn)中建立上游端口表項(xiàng)，可以根據(jù)預(yù)先設(shè)置的合法上游端口和/或動(dòng)態(tài)學(xué)習(xí)到的合法上游端口生成上游端口表項(xiàng)，采用上游端口表項(xiàng)實(shí)現(xiàn)只對與上游端口表項(xiàng)中包含的組播地址信息和上游端口信息相匹配的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)，從而對組播流數(shù)據(jù)報(bào)文上游端口的安全進(jìn)行控制，有效的保證了組播流的上游節(jié)點(diǎn)安全，避免了非法組播源對傳輸節(jié)點(diǎn)的攻擊，提高了網(wǎng)絡(luò)的安全性。圖1為本發(fā)明實(shí)施例中組播安全控制系統(tǒng)的結(jié)構(gòu)示意圖；圖2為本發(fā)明實(shí)施例中組播安全控制方法的流程圖；圖3為本發(fā)明實(shí)施例中圖1中組播安全控制系統(tǒng)的建立轉(zhuǎn)發(fā)路徑示例圖；圖4為本發(fā)明實(shí)施例中組播安全控制裝置的結(jié)構(gòu)示意圖。具體實(shí)施例方式本發(fā)明實(shí)施例提供的組播安全控制系統(tǒng)，可以包括組播源、傳輸節(jié)點(diǎn)和接收端。其中，組播源用于提供組播流數(shù)據(jù)報(bào)文，發(fā)送給與自身連接的傳輸節(jié)點(diǎn)。傳輸節(jié)點(diǎn)用于傳輸接收到的組播流數(shù)據(jù)報(bào)文到下游節(jié)點(diǎn)或接收端。接收端則用于接收傳輸節(jié)點(diǎn)發(fā)送的組播流數(shù)據(jù)報(bào)文。如圖1所示，即為組播安全控制系統(tǒng)的一個(gè)結(jié)構(gòu)示例。圖1中所示的組播源包括合法組播源Sl、非法組播源S2和S3等；傳輸節(jié)點(diǎn)包括傳輸節(jié)點(diǎn)A、B、C、D、E等；以及接收端包括接收端R1和R2等。組播源，用于提供組播流數(shù)據(jù)報(bào)文給傳輸節(jié)點(diǎn)。傳輸節(jié)點(diǎn)，用于從上游端口接收組播源或上游傳輸節(jié)點(diǎn)發(fā)送的組播流數(shù)據(jù)報(bào)文；根據(jù)數(shù)組播流據(jù)報(bào)文中包含的組播地址信息和上游端口信息，查找是否存在預(yù)先建立的包含組播地址信息和上游端口信息的相匹配的上游端口表項(xiàng)；若存在，則根據(jù)組播流數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文至下游節(jié)點(diǎn)或接收端；若不存在，則判斷上游端口是否是預(yù)先配置的合法上游端口，若是，則根據(jù)接收到的組播流數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)組播流數(shù)據(jù)報(bào)文至下游傳輸節(jié)點(diǎn)或接收端；若否，則丟棄接收到的組播流數(shù)據(jù)報(bào)文。接收端，用于接收傳輸節(jié)點(diǎn)轉(zhuǎn)發(fā)的組播流數(shù)據(jù)報(bào)文。較佳的，上述傳輸節(jié)點(diǎn)，還用于當(dāng)判斷出接收組播流數(shù)據(jù)報(bào)文的上游端口是預(yù)先配置的合法上游端口時(shí)，根據(jù)組播地址信息和上游端口信息創(chuàng)建新的上游端口表項(xiàng)；并構(gòu)建上游端口安裝消息并根據(jù)接收到的組播流數(shù)據(jù)報(bào)文所屬組播組的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表發(fā)送給轉(zhuǎn)發(fā)路徑上的其他傳輸節(jié)點(diǎn)，指示其他傳輸節(jié)點(diǎn)創(chuàng)建上游端口表項(xiàng)；以及根據(jù)接收到的其他傳輸節(jié)點(diǎn)發(fā)送的上游端口安裝消息，創(chuàng)建包含組播地址信息和上游端口信息的上游端口表項(xiàng)。較佳的，上述傳輸節(jié)點(diǎn)，還用于當(dāng)查找到相匹配的上游端口表項(xiàng)時(shí)，更新查找到的上游端口表項(xiàng)的剩余有效時(shí)間；以及當(dāng)剩余有效時(shí)間為零時(shí)，刪除對應(yīng)的上游端口表項(xiàng)。根據(jù)合法組播源的連接端口，為與合法組播源連接的傳輸節(jié)點(diǎn)預(yù)先配置合法上游端口。其中與合法組播源連接的端口可以直接連接和通過其他網(wǎng)絡(luò)實(shí)體與合法組播源連接。6基于上述組播安全控制系統(tǒng)，在每個(gè)傳輸節(jié)點(diǎn)中實(shí)現(xiàn)組播安全控制方法，其流程圖如圖2所示，執(zhí)行步驟如下步驟Sll:從上游端口接收組播流數(shù)據(jù)報(bào)文。傳輸節(jié)點(diǎn)可以從上游端口接收組播源和上游傳輸節(jié)點(diǎn)發(fā)送的組播流數(shù)據(jù)報(bào)文。步驟S12:提取接收到的數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息。其中，組播地址信息包括組播源地址和組播組地址；上游端口信息為上游端口號(hào)。從接收到的數(shù)據(jù)報(bào)文中提取出組播源地址S和組播組地址G，以及接收端口號(hào)P。組播源地址S和組播組地址G—般是指IP首部中的組播源IP地址和組播組IP地址。步驟S13:查找是否存在預(yù)先建立的相匹配的上游端口表項(xiàng)。每個(gè)傳輸節(jié)點(diǎn)上維護(hù)各自的上游端口表項(xiàng)，該上游端口表項(xiàng)一般包括組播地址信息和對應(yīng)的上游端口信息。其中，組播地址信息包括組播源地址、組播組地址。對應(yīng)的上游端口信息一般為該組播流的上游端口號(hào)，即該組播流合法的上游接收端口。傳輸節(jié)點(diǎn)接收到組播流數(shù)據(jù)報(bào)文后，會(huì)查找自身存儲(chǔ)的預(yù)先建立的上游端口表項(xiàng)，當(dāng)查找到的上游端口表項(xiàng)中包含的組播地址信息和上游端口信息與接收到的數(shù)據(jù)報(bào)文的組播地址信息和上游端口信息相匹配時(shí)，確定存在與接收到的組播流數(shù)據(jù)報(bào)文相匹配的上游端口表項(xiàng)，即匹配成功；否則，確定不存在與接收到的組播流數(shù)據(jù)報(bào)文相匹配的上游端口表項(xiàng)，即匹配失敗。其中，組播地址信息和上游端口信息相匹配，具體為上游端口表項(xiàng)中包含組播源地址、組播組地址和對應(yīng)的上游端口信息，與接收到的組播流數(shù)據(jù)報(bào)文的組播源地址、組播組地址和上游端口信息分別相同。若未查找到相匹配的上游端口表項(xiàng)，則執(zhí)行步驟S14;若查找到相匹配的上游端口表項(xiàng)，則執(zhí)行步驟S18。較佳的，上游端口表項(xiàng)中還可以設(shè)置該上游端口表項(xiàng)的剩余有效時(shí)間。每次查找到相匹配的上游端口表項(xiàng)時(shí)，更新查找到的上游端口表項(xiàng)的剩余有效時(shí)間；當(dāng)一個(gè)上游端口表項(xiàng)的剩余有效時(shí)間為零時(shí)，刪除該上游端口表項(xiàng)。步驟S14:判斷接收組播流數(shù)據(jù)報(bào)文的上游端口是否是預(yù)先配置的合法上游端□。傳輸節(jié)點(diǎn)可以預(yù)先配置若干合法上游端口，例如根據(jù)自身是否直接與合法的組播源連接，將與合法組播源的直接連接端口配置為合法上游端口。當(dāng)然也可以根據(jù)其他的原則配置確定某端口為合法上游端口時(shí)，即預(yù)先進(jìn)行配置。該配置完成后，在后續(xù)接收到該上游端口的組播流數(shù)據(jù)報(bào)文時(shí)，若沒查到預(yù)先建立的上游端口表項(xiàng)，則將觸發(fā)上游端口表項(xiàng)的創(chuàng)建流程。當(dāng)接收到組播流數(shù)據(jù)報(bào)文時(shí)，根據(jù)接收數(shù)據(jù)報(bào)文的上游端口，查找預(yù)先配置的合法上游端口中是否包含該接收數(shù)據(jù)報(bào)文的上游端口(根據(jù)提取的端口號(hào)P查找)，若是，則認(rèn)為接收組播流數(shù)據(jù)報(bào)文的上游端口是預(yù)先配置的合法上游端口；否則，認(rèn)為接收組播流數(shù)據(jù)報(bào)文的上游端口不是預(yù)先配置的合法上游端口。若是，執(zhí)行步驟S15;若否，執(zhí)行步驟S19。步驟S15:根據(jù)接收到的組播流數(shù)據(jù)報(bào)文的組播地址信息和上游端口信息創(chuàng)建新的上游端口表項(xiàng)。當(dāng)確定接收數(shù)據(jù)報(bào)文的上游端口為預(yù)先配置的合法上游端口，而該組播流數(shù)據(jù)報(bào)文又沒有匹配的上游端口表項(xiàng)時(shí)，則傳輸節(jié)點(diǎn)可以自動(dòng)學(xué)習(xí)合法上游端口信息并創(chuàng)建上游端口表項(xiàng)。較佳的，在步驟S15之后，先執(zhí)行步驟S16和S17之后，再執(zhí)行步驟S18。步驟S16:構(gòu)建上游端口安裝消息。傳輸節(jié)點(diǎn)創(chuàng)建自身的上游端口表項(xiàng)后，還會(huì)構(gòu)建一個(gè)包含接收到的數(shù)據(jù)報(bào)文的組播地址信息的上游端口安裝消息，用于指令所接收到的組播流數(shù)據(jù)報(bào)文所屬的組播組的轉(zhuǎn)發(fā)路徑上的其他傳輸節(jié)點(diǎn)(一般是下游傳輸節(jié)點(diǎn))創(chuàng)建上游端口表項(xiàng)。構(gòu)建的上游端口安裝消息可以包括消息類型(上游安裝)、組播源地址、組播組地址等，可以通過各種類型的消息幀或其他能夠在傳輸節(jié)點(diǎn)之間傳輸信息的方式來承載。例如一個(gè)上游端口安裝消息的具體幀格式可以如下表2所示。表2目的MAC(6字節(jié))源MAC(6字節(jié))保留(2字節(jié))消息類型(1字節(jié))保留(1字節(jié))組播源地址(4字節(jié))組播組地址(4字節(jié))其中，目的MAC是為接收上游端口安裝消息傳輸節(jié)點(diǎn)唯一指定的MAC地址；消息類型定義了該消息屬于上游節(jié)點(diǎn)安裝消息；兩個(gè)保留字段可以留待以后消息擴(kuò)展時(shí)使用；源MAC是發(fā)送上游端口安裝消息傳輸節(jié)點(diǎn)唯一指定的MAC地址；組播源地址和組播組地址分別可以是組播源IPv4地址和組播組IPv4地址。步驟S17:發(fā)送上游端口安裝消息給所屬轉(zhuǎn)發(fā)路徑的其他傳輸節(jié)點(diǎn)。構(gòu)建上游端口安裝消息后，根據(jù)接收到的組播流數(shù)據(jù)報(bào)文所屬組播組，查找對應(yīng)的數(shù)據(jù)轉(zhuǎn)發(fā)表，順次將上游端口安裝消息發(fā)送給該組播組的轉(zhuǎn)發(fā)路徑上的其他傳輸節(jié)點(diǎn)。其他傳輸節(jié)點(diǎn)可以根據(jù)接收到的上游端口安裝消息，創(chuàng)建包含上游端口安裝消息中包含組播地址信息和自身接收上游端口安裝消息的上游端口信息的上游端口表項(xiàng)。發(fā)送上游端口安裝消息后，執(zhí)行步驟S18。步驟S18:根據(jù)接收到的組播流數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)接收到的數(shù)據(jù)報(bào)文。數(shù)據(jù)轉(zhuǎn)發(fā)表由傳輸節(jié)點(diǎn)上運(yùn)行的IGMPSnooping生成，針對各組播組，在轉(zhuǎn)發(fā)路徑中的各個(gè)傳輸節(jié)點(diǎn)上生成包含組播組地址和對應(yīng)的下游端口列表的數(shù)據(jù)轉(zhuǎn)發(fā)表。傳輸節(jié)點(diǎn)需要轉(zhuǎn)發(fā)接收到組播流數(shù)據(jù)報(bào)文時(shí)，根據(jù)數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)接收到的數(shù)據(jù)報(bào)文，具體包括將接收到的數(shù)據(jù)報(bào)文通過數(shù)據(jù)轉(zhuǎn)發(fā)表中包含的下游端口轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文給下游傳輸節(jié)點(diǎn)或接收端。步驟S19:丟棄所接收到的數(shù)據(jù)報(bào)文。當(dāng)沒有查找到與接收到的數(shù)據(jù)報(bào)文匹配的上游端口表項(xiàng)，且接收數(shù)據(jù)報(bào)文的上游端口也不是預(yù)先配置的合法上游端口時(shí)，則丟棄接收到的數(shù)據(jù)報(bào)文。下面以圖1所示的系統(tǒng)為例，對本發(fā)明實(shí)施例提供的組播安全控制方法進(jìn)行具體說明。如圖3所示，即為圖1所示的系統(tǒng)建立了從一個(gè)合法組播源到兩個(gè)接收端的轉(zhuǎn)發(fā)路徑(如圖中的虛線所示)的具體示例。圖中每個(gè)傳輸節(jié)點(diǎn)上均運(yùn)行IGMPSnooping,傳輸節(jié)點(diǎn)A連接合法組播源S1，而傳輸節(jié)點(diǎn)B連接的組播源S2和傳輸節(jié)點(diǎn)C連接的組播源S3為非法組播源。合法組播源Sl向接收端Rl和R2發(fā)送組播流數(shù)據(jù)報(bào)文，則需要如圖中虛線所示的兩條合法轉(zhuǎn)發(fā)路徑一是由合法組播源經(jīng)傳輸節(jié)點(diǎn)A的Al端口、A3端口，傳輸節(jié)點(diǎn)B的Bl、B2端口，傳輸節(jié)點(diǎn)D的Dl、D2端口至接收端Rl;二是由合法組播源經(jīng)傳輸節(jié)點(diǎn)A的Al端口、A3端口，傳輸節(jié)點(diǎn)B的Bl、B3端口，傳輸節(jié)點(diǎn)E的El、E2端口至接收端R2。上述傳輸節(jié)點(diǎn)A的端口Al與合法組播源相連接，因此，在傳輸節(jié)點(diǎn)A中預(yù)先配置了合法上游端口A1。且合法組播源S1的組播組地址為G1。兩條轉(zhuǎn)發(fā)路徑上的傳輸節(jié)點(diǎn)均加入了該組播組地址為G1的組播組。通過運(yùn)行IGMPSnooping在各個(gè)傳輸節(jié)點(diǎn)中分別生成了如下表3所示的數(shù)據(jù)轉(zhuǎn)發(fā)表，每個(gè)傳輸節(jié)點(diǎn)的數(shù)據(jù)轉(zhuǎn)發(fā)表包含組播組地址和下游端口列表。表3傳輸節(jié)點(diǎn)A:傳輸節(jié)點(diǎn)B:傳輸節(jié)點(diǎn)D:<table>tableseeoriginaldocumentpage9</column></row><table>傳輸節(jié)點(diǎn)E:組播組地址下游端口列表GlE2當(dāng)傳輸節(jié)點(diǎn)A從上游端口Al接收到來自合法組播源SI的第一個(gè)組播流數(shù)據(jù)報(bào)文時(shí)，從數(shù)據(jù)報(bào)文中提取組播源地址和組播組地址，即(S1，G1)。傳輸節(jié)點(diǎn)A查詢預(yù)先建立的上游端口表項(xiàng)，由于是該轉(zhuǎn)發(fā)路徑的第一個(gè)數(shù)據(jù)報(bào)文，所以沒有發(fā)現(xiàn)相匹配的上游端口表項(xiàng)，由于判斷出接收數(shù)據(jù)報(bào)文的上游端口Al是預(yù)先設(shè)置的合法上有端口，此時(shí)就需要學(xué)習(xí)并創(chuàng)建上游端口表項(xiàng)。創(chuàng)建的上游端口表項(xiàng)如下表4所示。表4<table>tableseeoriginaldocumentpage10</column></row><table>傳輸節(jié)點(diǎn)A創(chuàng)建上游端口表項(xiàng)后，構(gòu)建上游端口安裝消息，指示該組播組的轉(zhuǎn)發(fā)路徑上的下游傳輸節(jié)點(diǎn)B、D、E創(chuàng)建相應(yīng)的上游端口表項(xiàng)。傳輸節(jié)點(diǎn)B、D、E接收到上游端口安裝消息后，創(chuàng)建的上游端口表項(xiàng)。其中，上游端口安裝消息也是經(jīng)轉(zhuǎn)發(fā)路徑上的各傳輸節(jié)點(diǎn)依次向下游節(jié)點(diǎn)轉(zhuǎn)發(fā)的，即傳輸節(jié)點(diǎn)A根據(jù)數(shù)據(jù)轉(zhuǎn)發(fā)表由下游端口A3發(fā)送構(gòu)建的上游端口安裝消息給傳輸節(jié)點(diǎn)B，傳輸節(jié)點(diǎn)B接收到該消息后，記錄接收該上游端口安裝消息的上游端口Bl、該上游端口安裝消息中的組播源地址SI和組播組地址Gl，在本地創(chuàng)建上游端口表項(xiàng)如下表5所示。表5<table>tableseeoriginaldocumentpage10</column></row><table>然后，傳輸節(jié)點(diǎn)B根據(jù)該轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表，將上游端口安裝消息經(jīng)下游端口B2和B3發(fā)送給下游傳輸節(jié)點(diǎn)D和E，傳輸節(jié)點(diǎn)D、E接收到上游端口安裝消息后，分別記錄接收該上游端口安裝消息的上游端口Dl和El、該上游端口安裝消息中的組播源地址SI和組播組地址Gl，在本地創(chuàng)建上游端口表項(xiàng)如下表6(傳輸節(jié)點(diǎn)D創(chuàng)建的上游端口表項(xiàng))和表7(傳輸節(jié)點(diǎn)E創(chuàng)建的上游端口表項(xiàng))所示。表6<table>tableseeoriginaldocumentpage10</column></row><table>表7<table>tableseeoriginaldocumentpage11</column></row><table>至此，該組播源相關(guān)的合法轉(zhuǎn)發(fā)路徑上的上游端口表項(xiàng)創(chuàng)建完畢。當(dāng)合法組播源SI再發(fā)送組播流數(shù)據(jù)報(bào)文時(shí)，傳輸節(jié)點(diǎn)A、B、D、E就能夠查找到相匹配的上游端口表項(xiàng)了，在查找到相匹配的上游端口表項(xiàng)后根據(jù)本地存儲(chǔ)的該組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表正常轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。接收端Dl和D2就能夠順利接收合法組播源SI發(fā)送的組播流數(shù)據(jù)報(bào)文了。一般合法組播源停止發(fā)送組播流數(shù)據(jù)報(bào)文后，傳輸節(jié)點(diǎn)上的該組播流對應(yīng)的上游端口表項(xiàng)將因剩余有效時(shí)間遞減為零而被刪除，而當(dāng)非法組播源S2或S3以自身的組播源地址或偽造組播源SI的組播地址信息(Sl，Gl)向該系統(tǒng)中發(fā)送組播流時(shí)，由于其所連接的傳輸節(jié)點(diǎn)B或C的上游端口表項(xiàng)會(huì)查找失敗，而且B4或C2也不是其所屬傳輸節(jié)點(diǎn)中預(yù)先配置的合法上游端口，因此，這兩個(gè)組播源所發(fā)送的組播流數(shù)據(jù)報(bào)文將被丟棄，從而不會(huì)對該網(wǎng)絡(luò)系統(tǒng)中的各個(gè)傳輸節(jié)點(diǎn)造成攻擊。用于實(shí)現(xiàn)上述組播安全控制的傳輸節(jié)點(diǎn)的結(jié)構(gòu)，具體可以如圖4所示，包括接收模塊10、查找模塊20、判斷模塊30和轉(zhuǎn)發(fā)模塊50。接收模塊IO，用于從上游端口接收組播流數(shù)據(jù)報(bào)文。查找模塊20，用于根據(jù)接收到的組播流數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息，查找是否存在預(yù)先建立的相匹配的上游端口表項(xiàng)；若不存在，通知判斷模塊30;若存在，通知轉(zhuǎn)發(fā)模塊50。判斷模塊30，用于判斷接收組播流數(shù)據(jù)報(bào)文的上游端口是否是預(yù)先配置的合法上游端口，若是，通知轉(zhuǎn)發(fā)模塊50;若否，丟棄接收到數(shù)據(jù)報(bào)文。轉(zhuǎn)發(fā)模塊50，用于根據(jù)接收到的組播流數(shù)據(jù)報(bào)文所屬組播組所對應(yīng)的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)接收到的數(shù)據(jù)報(bào)文。較佳的，上述傳輸節(jié)點(diǎn)，還包括創(chuàng)建模塊40，用于當(dāng)判斷模塊30判斷所述上游端口是預(yù)先配置的合法上游端口時(shí)，根據(jù)接收到的組播流數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息創(chuàng)建新的上游端口表項(xiàng)。較佳的，上述傳輸節(jié)點(diǎn)，還包括消息構(gòu)建模塊60，用于當(dāng)判斷模塊30判斷出接收數(shù)據(jù)報(bào)文的上游端口是預(yù)先配置的合法上游端口時(shí)，構(gòu)建包含接收到的數(shù)據(jù)報(bào)文的組播地址信息的上游端口安裝消息并根據(jù)接收到的數(shù)據(jù)報(bào)文所屬組播組的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表發(fā)送給轉(zhuǎn)發(fā)路徑上的其他傳輸節(jié)點(diǎn)，指示其他傳輸節(jié)點(diǎn)創(chuàng)建上游端口表項(xiàng)。上述創(chuàng)建模塊40，還用于根據(jù)接收到的其他傳輸節(jié)點(diǎn)發(fā)送的上游端口安裝消息，創(chuàng)建包含上游端口安裝消息中的組播地址信息和上游端口信息的上游端口表項(xiàng)。較佳的，上述傳輸節(jié)點(diǎn)包含的創(chuàng)建模塊創(chuàng)建的自身接收上游端口安裝消息的上游端口表項(xiàng)中，還包括上游端口表項(xiàng)的剩余有效時(shí)間。上數(shù)查找模塊20，還用于當(dāng)查找到相匹配的上游端口表項(xiàng)時(shí)，更新查找到的上游端口表項(xiàng)的剩余有效時(shí)間；以及當(dāng)剩余有效時(shí)間為零時(shí)，通知?jiǎng)?chuàng)建模塊40;上述創(chuàng)建模塊40，還用于當(dāng)剩余有效時(shí)間為零時(shí)，刪除對應(yīng)的上游端口表項(xiàng)。本發(fā)明實(shí)施例提供上述組播安全控制方法、系統(tǒng)及傳輸節(jié)點(diǎn)，主要應(yīng)用于運(yùn)行IGMPSnooping的傳輸節(jié)點(diǎn)(包括二層交換機(jī)和路由交換機(jī))組成的網(wǎng)絡(luò)。其既可以應(yīng)用于支持IPv4的網(wǎng)絡(luò)系統(tǒng)中，也可以應(yīng)用于支持IPv6的網(wǎng)絡(luò)系統(tǒng)中，且在IPv6組播網(wǎng)絡(luò)中啟用MLDSnooping。還可以根據(jù)IEEE802.lq進(jìn)行擴(kuò)展，應(yīng)用于虛擬局域網(wǎng)(VLAN)系統(tǒng)中。本發(fā)明實(shí)施例提供上述組播安全控制方法、系統(tǒng)及傳輸節(jié)點(diǎn)，通過在傳輸節(jié)點(diǎn)中建立上游端口表項(xiàng)，可以根據(jù)預(yù)先設(shè)置的合法上游端口和/或動(dòng)態(tài)學(xué)習(xí)到的合法上游端口生成上游端口表項(xiàng)，以及構(gòu)建上游端口安裝消息使所屬轉(zhuǎn)發(fā)路徑的傳輸節(jié)點(diǎn)均能自動(dòng)動(dòng)態(tài)學(xué)習(xí)生成上游端口表項(xiàng)，從而實(shí)現(xiàn)對合法上游端口的管理和控制。傳輸節(jié)點(diǎn)根據(jù)上游端口表項(xiàng)和數(shù)據(jù)轉(zhuǎn)發(fā)表來實(shí)現(xiàn)對組播數(shù)據(jù)流的接收和轉(zhuǎn)發(fā)，通過上游端口表項(xiàng)實(shí)現(xiàn)了只對與上游端口表項(xiàng)中包含的組播地址信息和上游端口信息相匹配的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。當(dāng)傳輸節(jié)點(diǎn)在未授權(quán)端口上收到偽造合法組播源地址的非法組播流數(shù)據(jù)報(bào)文時(shí)，將丟棄這些數(shù)據(jù)報(bào)文，禁止了非法組播源地址發(fā)送的組播流在網(wǎng)絡(luò)中的擴(kuò)散。從而對組播流數(shù)據(jù)報(bào)文上游端口的安全進(jìn)行了有效的控制，保證了組播流的上游節(jié)點(diǎn)安全，避免了非法組播源對傳輸節(jié)點(diǎn)的攻擊和非法組播流對網(wǎng)絡(luò)造成的其他不良影響，提高了網(wǎng)絡(luò)的安全性。上述實(shí)現(xiàn)方式，只需在與合法組播源相連的傳輸節(jié)點(diǎn)上配置端口授權(quán)信息(即配置合法端口)，其余傳輸節(jié)點(diǎn)則可以動(dòng)態(tài)學(xué)習(xí)獲得授權(quán)信息，減少了網(wǎng)絡(luò)管理的工作量和降低了網(wǎng)絡(luò)維護(hù)的復(fù)雜程度。且組播流對應(yīng)的上游端口表項(xiàng)是隨著組播流動(dòng)態(tài)生成的，當(dāng)組播源的組播流發(fā)送完成后，還可以根據(jù)剩余有效時(shí)間變化而自動(dòng)被刪除，減少了存儲(chǔ)空間的占用；與靜態(tài)表項(xiàng)相比，擴(kuò)大了傳輸節(jié)點(diǎn)實(shí)際能處理的組播流的數(shù)量。以上所述，僅為本發(fā)明較佳的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本
技術(shù)領(lǐng)域：
的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化、替換或應(yīng)用到其他類似的裝置，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書的保護(hù)范圍為準(zhǔn)。1權(quán)利要求一種組播安全控制方法，其特征在于，包括傳輸節(jié)點(diǎn)從上游端口接收組播流數(shù)據(jù)報(bào)文；根據(jù)所述數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息，查找是否存在預(yù)先建立的相匹配的上游端口表項(xiàng)；若存在，則根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組所對應(yīng)的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文；若不存在，則判斷所述上游端口是否是預(yù)先配置的合法上游端口，若是，則根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文；若否，則丟棄所述數(shù)據(jù)報(bào)文。2.如權(quán)利要求1所述的方法，其特征在于，判斷所述上游端口是預(yù)先配置的合法上游端口時(shí)，還包括根據(jù)所述組播地址信息和上游端口信息創(chuàng)建新的上游端口表項(xiàng)。3.如權(quán)利要求1所述的方法，其特征在于，判斷所述上游端口是預(yù)先配置的合法上游端口時(shí)，還包括構(gòu)建包含所述數(shù)據(jù)報(bào)文的組播地址信息的上游端口安裝消息，并根據(jù)所述轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表發(fā)送給轉(zhuǎn)發(fā)路徑上的其他傳輸節(jié)點(diǎn)，指示所述其他傳輸節(jié)點(diǎn)創(chuàng)建上游端口表項(xiàng)；所述轉(zhuǎn)發(fā)路徑上的其他傳輸節(jié)點(diǎn)根據(jù)接收到的上游端口安裝消息，創(chuàng)建包含所述組播地址信息和自身接收所述上游端口安裝消息的上游端口信息的上游端口表項(xiàng)。4.如權(quán)利要求1所述的方法，其特征在于，所述組播地址信息，包括組播源地址和組播組地址；所述上游端口信息為上游端口號(hào)。5.如權(quán)利要求1所述的方法，其特征在于，所述預(yù)先配置的合法上游端口根據(jù)合法組播源與所述傳輸節(jié)點(diǎn)的連接端口配置。6.如權(quán)利要求1所述的方法，其特征在于，所述數(shù)據(jù)轉(zhuǎn)發(fā)表中包含組播組地址和對應(yīng)的下游端口列表；所述根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文，具體包括將所述數(shù)據(jù)報(bào)文通過所述數(shù)據(jù)轉(zhuǎn)發(fā)表中包含的下游端口轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文給下游傳輸節(jié)點(diǎn)或接收端。7.如權(quán)利要求l-6任一所述的方法，其特征在于，所述上游端口表項(xiàng)中還包括所述上游端口表項(xiàng)的剩余有效時(shí)間；當(dāng)查找到相匹配的上游端口表項(xiàng)時(shí)，更新所述查找到的上游端口表項(xiàng)的剩余有效時(shí)間；當(dāng)所述剩余有效時(shí)間為零時(shí)，刪除所述上游端口表項(xiàng)。8.—種實(shí)現(xiàn)組播安全控制的傳輸節(jié)點(diǎn)，其特征在于，包括接收模塊、查找模塊、判斷模塊和轉(zhuǎn)發(fā)模塊；所述接收模塊，用于從上游端口接收組播流數(shù)據(jù)報(bào)文；所述查找模塊，用于根據(jù)所述數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息，查找是否存在預(yù)先建立的相匹配的上游端口表項(xiàng)；若不存在，通知所述判斷模塊；若存在，通知所述轉(zhuǎn)發(fā)模塊；所述判斷模塊，用于判斷所述上游端口是否是預(yù)先配置的合法上游端口，若是，通知轉(zhuǎn)發(fā)模塊；若否，丟棄所述數(shù)據(jù)報(bào)文；所述轉(zhuǎn)發(fā)模塊，用于根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組所對應(yīng)的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文。9.如權(quán)利要求8所述的傳輸節(jié)點(diǎn)，其特征在于，還包括創(chuàng)建模塊，用于當(dāng)所述判斷模塊判斷所述上游端口是預(yù)先配置的合法上游端口時(shí)，根據(jù)所述組播地址信息和上游端口信息創(chuàng)建新的上游端口表項(xiàng)。10.如權(quán)利要求8所述的傳輸節(jié)點(diǎn)，其特征在于，還包括消息構(gòu)建模塊，用于當(dāng)所述判斷模塊判斷出所述上游端口是預(yù)先配置的合法上游端口時(shí)，構(gòu)建包含所述數(shù)據(jù)報(bào)文的組播地址信息的上游端口安裝消息，并根據(jù)所述轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表發(fā)送給轉(zhuǎn)發(fā)路徑上的其他傳輸節(jié)點(diǎn)，指示所述其他傳輸節(jié)點(diǎn)創(chuàng)建上游端口表項(xiàng)；所述創(chuàng)建模塊，還用于根據(jù)接收到的其他傳輸節(jié)點(diǎn)發(fā)送的上游端口安裝消息，創(chuàng)建包含所述組播地址信息和自身接收上游端口安裝消息的上游端口信息的上游端口表項(xiàng)。11.如權(quán)利要求8-10所述的傳輸節(jié)點(diǎn)，其特征在于，所述創(chuàng)建模塊創(chuàng)建的上游端口表項(xiàng)中，還包括所述上游端口表項(xiàng)的剩余有效時(shí)間；所述查找模塊，還用于當(dāng)查找到相匹配的上游端口表項(xiàng)時(shí)，更新所述查找到的上游端口表項(xiàng)的剩余有效時(shí)間；以及當(dāng)所述剩余有效時(shí)間為零時(shí)，通知所述創(chuàng)建模塊；所述創(chuàng)建模塊，還用于當(dāng)所述剩余有效時(shí)間為零時(shí)，刪除對應(yīng)的所述上游端口表項(xiàng)。12.—種組播安全控制系統(tǒng)，其特征在于，包括組播源、若干如權(quán)利要求8-11任一所述的傳輸節(jié)點(diǎn)和接收端；所述組播源，用于提供組播流數(shù)據(jù)報(bào)文給所述傳輸節(jié)點(diǎn)；所述接收端，用于接收所述傳輸節(jié)點(diǎn)轉(zhuǎn)發(fā)的所述組播流數(shù)據(jù)報(bào)文。全文摘要本發(fā)明公開了一種組播安全控制方法、系統(tǒng)及傳輸節(jié)點(diǎn)，該方法包括傳輸節(jié)點(diǎn)從上游端口接收組播流數(shù)據(jù)報(bào)文；根據(jù)所述數(shù)據(jù)報(bào)文中包含的組播地址信息和上游端口信息，查找是否存在預(yù)先建立的包含所述組播地址信息和上游端口信息的相匹配的上游端口表項(xiàng)；若存在，則根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文；若不存在，則判斷所述上游端口是否是預(yù)先配置的合法上游端口，若是，則根據(jù)所述組播地址信息和上游端口信息創(chuàng)建新的上游端口表項(xiàng)，并根據(jù)所述數(shù)據(jù)報(bào)文所屬組播組所對應(yīng)的轉(zhuǎn)發(fā)路徑的數(shù)據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述數(shù)據(jù)報(bào)文；若否，則丟棄所述數(shù)據(jù)報(bào)文。有效的保證了組播流的上游節(jié)點(diǎn)安全，避免了非法組播源對傳輸節(jié)點(diǎn)的攻擊。文檔編號(hào)H04L12/18GK101795223SQ20091024969公開日2010年8月4日申請日期2009年12月14日優(yōu)先權(quán)日2009年12月14日發(fā)明者倪宏申請人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司