技術(shù)領(lǐng)域

本發(fā)明涉及IPv6互聯(lián)網(wǎng)技術(shù)領(lǐng)域，特別涉及一種基于單播轉(zhuǎn)發(fā)模式的組播接收者接入驗(yàn)證方法。?

背景技術(shù)

組播技術(shù)在網(wǎng)絡(luò)中采用了復(fù)制轉(zhuǎn)發(fā)技術(shù)，可以極大的節(jié)約網(wǎng)絡(luò)資源，但其在設(shè)計(jì)之初并沒有考慮到接收者接入驗(yàn)證的問題，只要知道組播地址的接收者主機(jī)都可以向與其直連的路由器申請(qǐng)加入組播組。這樣惡意接收者可以利用組播組進(jìn)行攻擊。而且，路由器在收到組播數(shù)據(jù)后，采用廣播模式向局域網(wǎng)轉(zhuǎn)發(fā)，那么局域網(wǎng)內(nèi)的任何主機(jī)都可以接收組播數(shù)據(jù)，不利于對(duì)組播接收者進(jìn)行收費(fèi)和管理。

針對(duì)上述問題，研究者提出了許多接入驗(yàn)證方案。但現(xiàn)有的設(shè)計(jì)方案大部分都只實(shí)現(xiàn)了以局域網(wǎng)為單位的驗(yàn)證，即同一局域網(wǎng)內(nèi)只要有一個(gè)用戶通過驗(yàn)證，那么組播數(shù)據(jù)將在該局域網(wǎng)進(jìn)行廣播。這些方案并沒有完全解決組播接收者接入驗(yàn)證的問題，這也是由組播數(shù)據(jù)向局域網(wǎng)廣播的技術(shù)特性做造成的。因而，又有研究者提出了在局域網(wǎng)內(nèi)加載特殊設(shè)備或者是對(duì)組播流進(jìn)行加密的技術(shù)來進(jìn)一步完善組播接收者接入驗(yàn)證技術(shù)，但這些技術(shù)不便于在網(wǎng)絡(luò)中普及。所以，設(shè)計(jì)出一種方便易于普及的組播接入驗(yàn)證技術(shù)是亟待解決的問題。

現(xiàn)有的組播接收者接入驗(yàn)證方案大概分為網(wǎng)絡(luò)層方案和密碼方案。

密碼方案主要是將組播數(shù)據(jù)進(jìn)行加密，只有合法的組播接收者才能夠解密數(shù)據(jù)。這種方案對(duì)設(shè)備要求不高，安全性較高，但是效率會(huì)受到一定影響，而且對(duì)客戶端的要求較高。

網(wǎng)絡(luò)層方案主要是通過交換機(jī)、路由器、專用網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備記錄合法組播接收者的某些身份信息，每次收到組播加入消息時(shí)，利用合法的組播接收者的身份信息對(duì)其進(jìn)行驗(yàn)證，通過驗(yàn)證則建立組播狀態(tài)，同時(shí)，為了實(shí)現(xiàn)局域網(wǎng)內(nèi)的組播接收者管理，需要在交換機(jī)中記錄合法接收者所在的端口號(hào)，每次組播數(shù)據(jù)包發(fā)送時(shí)，交換機(jī)只向被記錄的端口號(hào)轉(zhuǎn)發(fā)。

為了實(shí)現(xiàn)網(wǎng)絡(luò)層方案,需要在網(wǎng)絡(luò)中建立驗(yàn)證服務(wù)器，每個(gè)主機(jī)的組播加入消息都要通過這個(gè)服務(wù)器進(jìn)行合法性驗(yàn)證，同時(shí)需要專用的交換機(jī)設(shè)備。具體步驟如下。

步驟1：當(dāng)合法主機(jī)要求加入某一組播組時(shí)，它首先向驗(yàn)證服務(wù)器發(fā)送請(qǐng)求，驗(yàn)證服務(wù)器向其發(fā)放驗(yàn)證碼，該驗(yàn)證碼與主機(jī)唯一的身份綁定。

步驟2：主機(jī)向與其直連的路由器發(fā)送加入消息，同時(shí)將驗(yàn)證碼發(fā)送給路由器。當(dāng)消息經(jīng)過專用交換機(jī)時(shí)，交換機(jī)記錄主機(jī)所在位置。

步驟3：路由器收到主機(jī)的加入消息后，將驗(yàn)證碼發(fā)送給驗(yàn)證服務(wù)器進(jìn)行驗(yàn)證，若通過驗(yàn)證則建立組播狀態(tài)，并向上游建立組播分發(fā)樹（Shared?Distribution?Tree，由組播源到組播接收者的樹型傳輸路徑），同時(shí)通知專用交換機(jī)該主機(jī)所在端口為合法端口，否則忽略加入消息。

步驟4：路由器收到組播數(shù)據(jù)并向局域網(wǎng)廣播轉(zhuǎn)發(fā)時(shí)，專用交換機(jī)只向其所記錄的合法端口轉(zhuǎn)發(fā)。

這種方案驗(yàn)證效率高，但是不夠靈活，需要大量部署專用的交換機(jī)設(shè)備。?

發(fā)明內(nèi)容

為克服現(xiàn)有技術(shù)中的不足，本發(fā)明提供一種易于部署實(shí)現(xiàn)、安全性好、效率高的基于單播轉(zhuǎn)發(fā)模式的組播接收者接入驗(yàn)證方法。

本發(fā)明主要涉及到三個(gè)實(shí)體：組播管理服務(wù)器（Group?Manager?Server，GM），與組播接收者主機(jī)直連的驗(yàn)證路由器（Authentication?Router，AR）以及組播接收者。

所述組播管理服務(wù)器是設(shè)置在網(wǎng)絡(luò)中的一臺(tái)服務(wù)器，主要用以儲(chǔ)存合法用戶的信息，對(duì)組播接收者進(jìn)行管理，并向合法用戶發(fā)送驗(yàn)證信息。一臺(tái)組播管理服務(wù)器可以管理一個(gè)或多個(gè)組播頻道。該服務(wù)器擁有一對(duì)公私鑰：(PKs,?SKs)，其中，公鑰PKs向外發(fā)布，私鑰SKs用于為合法組播接收者生成簽名。在本發(fā)明中采用RSA算法生成簽名。

所述組播接收者為準(zhǔn)備加入組播頻道的用戶。

所述驗(yàn)證路由器是一臺(tái)與組播接收者直連的組播路由器，它除了實(shí)現(xiàn)常規(guī)的組播路由功能外，還加載了實(shí)現(xiàn)組播接收者接入驗(yàn)證的功能模塊，能夠?qū)M播接收者發(fā)送的組播加入消息中的簽名進(jìn)行驗(yàn)證的，能夠?qū)崿F(xiàn)將組播數(shù)據(jù)單播發(fā)送給組播接收者的路由器。

按照本發(fā)明所提供的設(shè)計(jì)方案，一種基于單播轉(zhuǎn)發(fā)模式的組播接收者接入驗(yàn)證方法，包含如下步驟：

步驟1：組播接收者向組播管理服務(wù)器進(jìn)行合法注冊(cè)，組播管理服務(wù)器以列表Lusers的形式保存每個(gè)合法組播接收者的信息，組播管理服務(wù)器向組播接收者進(jìn)行授權(quán)并發(fā)送基于公鑰簽名算法生成的授權(quán)簽名；