技術領域

本發明涉及網絡通信安全，具體的說，涉及一種組播數據的控制方法及系統。

背景技術

IP組播是指在IP網絡中將數據包以盡力傳送(best-effort)的形式發送到網絡中的某個確定節點子集，這個子集稱為一個組播組(multicastgroup)。組播的基本思想是，源主機只發送一份數據，這份數據中的目的地址為組播組地址；組播組中的所有接收者都可接收到同樣的數據拷貝，并且只有組播組內的主機(目標主機)可以接收該數據，網絡中其它主機不能收到。組播組用D類IP地址(224.0.0.0～239.255.255.255)來標識。

IP組播技術有效地解決了單點發送多點接收的問題，實現了IP網絡中點到多點的高效數據傳送，能夠大量節約網絡帶寬、降低網絡負載。作為一種與單播和廣播并列的通信方式，組播的意義不僅在于此。更重要的是，可以利用網絡的組播特性方便地開展一些新的增值業務，包括：視頻會議、在線直播、網絡電視、遠程教育、網絡電臺等互聯網信息服務。

組播路由協議用于建立路由器上用于組播數據轉發的組播轉發項。目前常用的組播路由協議有距離矢量組播路由選擇協議(Distance?VectorMulticast?Routing?Protocol，簡稱DVMRP)、協議無關多播路由協議(Protocol-Independent?Multicast，簡稱PIM)等。此外，在交換環境組播應用中，為防止組播數據流轉發形成環流，組播采用逆向路徑轉發(Reverse?path?forwarding，簡稱RPF)機制，該機制檢查收到組播數據報文的接口是否是指向組播源的接口，如果組播報文是從該接口接收的，則RPF檢查通過，報文向下游轉發，否則丟棄該報文。

視頻業務實時性比較強，同時穩定性必須也要好，這就要求干擾必須要小，通常的業務流程是用戶先通過認證獲取IP地址，然后通過終端發送Internet組管理協議(Internet?Group?Message?Protocol，簡稱IGMP)或者IPv6的組播監聽發現協議(Multicast?Listener?Discovery，簡稱MLD)加入協議報文來進行視頻的收看，但是當用戶獲取IP地址后，如果用戶側通過一些軟件工具發組播數據流量的話，此流量到了組播路由交換機后，同樣滿足下發組播路由條目的條件，以至能夠私設服務器或者干擾其他用戶收看節目。

如圖1所示，現有的組播技術中，對用戶側數據沒有限制，組播轉發層收到組播數據報文后如果起初沒有建立路由表項，則直接送到組播協議層進行處理，組播協議層生成路由并通過組播路由維護模塊下發路由轉發表，最后組播轉發層同步路由轉發表。由于目前協議中并沒有對數據流的來源問題以限制，導致用戶側也能發組播數據流并且在設備上形成路由轉發表，從而引起了組播業務中的安全問題。

發明內容

有鑒于此，本發明提供了一種組播數據的控制方法及系統，能夠對組播中的數據流來源進行限制，從而提高組播業務中的安全性。

為了解決上述技術問題，本發明采用了如下技術方案：

一種組播數據的控制方法，包括如下步驟：

A、組播路由管理端接收組播數據報文，檢測所述組播數據報文中所含的入接口信息；

B、組播路由管理端當檢測到所述入接口為用戶側接口，則舍棄所述組播數據報文；否則，根據該組播數據報文生成組播路由條目。

在上述控制方法的一種實施例中，采用如下方式檢測入接口是否用戶側接口：

檢測所述入接口是否存在有效的動態主機配置協議，即DHCP配置，如存在有效的DHCP配置，確定該入接口是用戶側接口，否則確定該入接口不是用戶側接口。

在上述控制方法的一種實施例中，所述步驟A具體按如下方式進行：

A1、組播路由管理端接收到包括源地址、組播地址和入口物理節點信息的組播數據報文，以所述源地址和組播地址為關鍵字索引組播轉發表，如在所述組播轉發表中查找到相應的組播轉發路由，進行組播正常轉發；否則，進行下一步；

A2、組播路由管理端記錄該組播數據報文的源地址、組播地址和入口物理節點的對應關系，以該組播數據報文的入口物理節點信息為索引，對該組播數據報文進行DHCP配置關聯檢測，查找該組播數據報文的入接口是否配置了有效的DHCP參數。

在上述控制方法的另一種實施例中，采用如下方式檢測入接口是否用戶側接口：

預置記錄有用戶特征參數的用戶信息維護表；

檢測所述入接口信息中的用戶特征參數是否存在于所述用戶信息維護表中，如是，確定該入接口是用戶側接口，否則確定該入接口不是用戶側接口。