本發明公開了一種控制組播成員加入的方法及系統，應用于支持組播成員管理協議的網絡設備中，該方法包括：根據組播組和可信的組播源的關聯關系建立組播組標識和組播源標識之間的綁定表；收到攜帶組播組標識和組播源標識的組播成員加入報告后，只為所述組播成員加入報告中的組播組下屬的合法組播源創建組播表項；其中，組播組下屬的合法組播源是指與所述組播組具有所述綁定表中記錄的關聯關系的組播源。本發明能夠減輕惡意組播成員加入報告對網絡設備的沖擊，保障正常組播成員的加入。

技術領域

本發明涉及數據通信技術領域，尤其涉及的是一種控制組播成員加入的方法及系統。

背景技術

組播協議分為組播成員管理協議以及組播路由協議。組播成員管理協議(IGMP，Internet Group Management Protocol)用于管理組播成員的加入和離開，目前一共有三個版本：IGMPv1、IGMPv2和IGMPv3，分別由RFC1112、RFC2236和RFC3376定義。IGMPv3版本在兼容和繼承IGMPv1和IGMPv2的基礎上，進一步增強了組播成員的控制能力。

在IGMPv1/IGMPv2中，組播成員加入報告中只攜帶組播組地址，不攜帶具體的組播源地址，組播成員在加入某個組播組后，只能被動地接收任何一個組播源發往該組播組的所有信息。

而在IGMPv3中，IGMPv3在組播成員加入報告中增加了針對組播源的過濾模式，如：INCLUDE/EXCLUDE模式等，使組播成員在加入某組播組時，能夠明確要求接收或拒絕來自某特定組播源的信息。

如表1所示，IGMPv3的INCLUDE模式組播加入報告中的每個組播組記錄中允許包含多個組播源地址。

表1

另外，如表2所示，IGMPv3的INCLUDE模式組播加入報告允許包含多條組播組記錄。

表2

現有技術中，網絡設備在收到攜帶組播源地址的組播成員加入報告后，為報告中每一條組播組記錄中的每一項組播源地址創建組播表項，由于網絡設備對組播表項有數量限制，因此，如果網絡攻擊者的主機向網絡設備發送攜帶大量組播源地址的組播成員加入報告，則網絡設備會在很短時間內創建大量的組播表項，當由于網絡攻擊產生的組播表項的數量很大從而導致組播表溢出時，后來到達網絡設備的正常組播成員的加入報告將不能被處理(由于網絡設備無法產生新的組播表項)，也即，在遇到惡意組播成員加入報告的網絡攻擊后，正常組播成員將無法加入組播組。因此，支持IGMPv3協議的網絡設備面臨惡意組播成員加入報告的網絡攻擊風險。

現有技術中，缺乏解決上述網絡攻擊的解決方案。

發明內容

本發明所要解決的技術問題是提供一種控制組播成員加入的方法和系統，能夠減輕惡意組播成員加入報告對網絡設備的沖擊，保障正常組播成員的加入。

為了解決上述技術問題，本發明提供了一種控制組播成員加入的方法，應用于支持組播成員管理協議的網絡設備中，該方法包括：

根據組播組和可信的組播源的關聯關系建立組播組標識和組播源標識之間的綁定表；

收到攜帶組播組標識和組播源標識的組播成員加入報告后，只為所述組播成員加入報告中的組播組下屬的合法組播源創建組播表項；其中，組播組下屬的合法組播源是指與所述組播組具有所述綁定表中記錄的關聯關系的組播源。

進一步地，所述組播組標識為組播組地址，所述組播源標識為組播源地址。

進一步地，所述攜帶組播組標識和組播源標識的組播成員加入報告是組播成員管理協議版本3中的INCLUDE模式的組播成員加入報告。