技術領域

本發明涉及組播通信技術，尤其涉及一種用來實現在網絡上減少組播報文處理、防止組播用戶攻擊的安全方法。

背景技術

目前的數據網絡上開展的組播視頻業務一般采用如圖1所示的組網模型：網絡系統包括視頻業務系統、IP城域網、寬帶接入網和用戶網絡四個組成部分。

視頻業務系統實現視頻用戶管理和視頻編碼等功能，將視頻業務流送入城域網；IP城域網通過IP組播功能將視頻業務流送到寬帶接入網；寬帶接入網實現用戶寬帶上網接入認證管理、視頻組加入/離開控制功能，并將用戶所需的視頻流發送給用戶；用戶網絡包含CPE(用戶駐地設備)、PC、視頻STB(機頂盒)等設備，這些設備內部互聯形成一個家庭局域網，用戶如果需要加入或離開某一個頻道，那么就需要發送IGMP(互聯網組播成員管理協議)加入和離開報文。

寬帶接入網一般包括匯聚交換機和邊緣設備如DSLAM(數字用戶線接入復用器)。當用戶比較多時，就需要匯聚交換機有很強的對IGMP報文的處理能力。雖然在邊緣設備上可以采用IGMP?PROXY(代理)功能，當用戶可以選擇的頻道比較多時，抑制的報文是有限的。

PC或者STB點播組播節目時，采用發送IGMP?REPORT加入報文的方式。IGMP有三個版本，分別為V1，V2，V3，目前一般采用IGMPV2。當IP報頭的協議號為2時，表明是IGMP報文。IGMPV2報文內容格式如圖2所示：

Type：表示IGMP報文類型。

0x16成員報告報文，表示加入一個組；

0x17離開報文，表示離開一個組；

0x11成員查詢，組播路由器用來查詢是否有用戶存在，分為通用查詢和特定查詢。特定查詢是查詢某個組是否存在用戶；通用查詢是查詢哪個組有用戶。

Max?Response?Time最大響應時間，缺省值為10秒，即收到查詢報文后，在此時間內響應發送REPORT報文。

Group?Address組地址，表示要加入或者離開或者特定查詢的組地址。

圖3是現有技術的一般流程圖，該流程圖適用于組播控制點和組播轉發點都在匯聚設備的情況。

步驟1：收到匯聚設備的IGMP查詢報文，收到查詢報文的端口記錄為路由端口；如果收不到查詢報文，就靜態配置一個路由端口；或者以其他方式設定或者學習到路由端口。

步驟2：當用戶需要加入一個頻道或者需要離開一個頻道，或者切換頻道時，需要發送IGMP加入或者離開報文。

步驟3：邊緣設備收到IGMP報文后，判斷IGMP報文是否正確，如果正確，向同一個VLAN(虛擬局域網)的路由端口進行轉發。

步驟4：匯聚設備收到IGMP報文，判斷是加入報文，還是離開報文；如果是加入，進行認證，是否能夠加入，如果能夠加入，判斷用戶是否已經加入，如果已經加入，退出；如果沒有加入，形成帶有此用戶的組播轉發表；如果是離開報文，判斷此用戶有沒有加入，如果沒有加入，退出；如果已經加入，從組播轉發表中刪除此用戶。

IGMP?PROXY代理功能是，收到組中第一個用戶的加入報文，會向上轉發加入報文；收到組中最后一個用戶的離開報文，會向上轉發離開報文。

即當一個用戶加入一個頻道，需要發送一個加入報文；當邊緣設備沒有起IGMP?PROXY時，加入報文從邊緣設備透傳到匯聚交換機；當一個用戶離開一個頻道時，會發送一個離開報文，離開報文從邊緣設備透傳到匯聚交換機。這就給用戶提供了一個可攻擊的機會：用戶不斷的發送IGMP報文，造成組播網絡上很多的IGMP報文，使得匯聚交換機CPU非常忙。即使起了IGMP?PROXY，從代理功能可以看出，對于用戶不斷的相繼發送加入，離開報文，網絡上照樣有很多的IGMP報文。

發明內容

本發明要解決的技術問題是在現有組播通信網絡的基礎上，提供一種防止組播用戶攻擊的安全方法，通過控制減少網絡中的IGMP報文，從而防止組播用戶的攻擊。

為了解決以上技術問題，本發明的技術方案是這樣實現的：防止組播用戶攻擊的安全方法，包括步驟：

1)轉發用戶互聯網組播成員管理協議報文的設備，記錄在一段時間內接收到的各用戶在各組中的最新互聯網組播成員管理協議報文；

2)轉發用戶互聯網組播成員管理協議報文的設備，發送所述一段時間內記錄的各用戶在各組中的最新互聯網組播成員管理協議報文。

其中，所述步驟1)具體為：

11)在轉發用戶互聯網組播成員管理協議報文的設備上設置定時器；

12)轉發用戶互聯網組播成員管理協議報文的設備，記錄接收到的各用戶在各組中的最新加入、離開報文。