一种控制组播源的方法和一种网络接入服务器.pdf

本发明公开了一种控制组播源的方法，包括：网络管理服务器NMS上配置有客户端设备的组播源权限信息；网络接入服务器NAS接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证；认证通过后，NAS接收NMS发送的与认证通过的客户端设备对应的组播源权限信息，并保存；之后，当认证通过的客户端设备作为组播源发送组播报文时，NAS根据与该认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送。本发明还公开了一种控制组播源的系统和一种NAS。本发明的技术方案有较好的安全性和灵活性。

1、  一种控制组播源的方法，其特征在于，网络管理服务器NMS上配置有客户端设备的组播源权限信息，该方法包括：
网络接入服务器NAS接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证；
认证通过后，NAS接收NMS发送的与认证通过的客户端设备对应的组播源权限信息，并保存；
之后，当认证通过的客户端设备作为组播源发送组播报文时，NAS根据与该认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送。

2、  如权利要求1所述的方法，其特征在于，
所述认证请求为：802.1x认证请求，或PORTAL认证请求；
所述NAS接收NMS发送的客户端设备的组播源权限信息包括：NAS从所接收的来自NMS的远程认证拨号用户服务RADIUS报文中的厂商属性字段中获取客户端设备的组播源权限信息。

3、  如权利要求1所述的方法，其特征在于，当NMS上配置的与所述认证通过的客户端设备对应的组播源权限信息更新时，该方法进一步包括：
NAS接收NMS发送的与所述认证通过的客户端设备对应的更新后的组播源权限信息，并替换原有的该认证通过的客户端设备的组播源权限信息。

4、  如权利要求1至3中任一项所述的方法，其特征在于，
所述与认证通过的客户端设备对应的组播源权限信息包括以下信息中的一项或多项：IPv4组播组地址、源IPv4单播地址、IPv6组播组地址、源IPv6单播地址、上行峰值速率、上行平均速率、下行峰值速率和下行平均速率；其中，至少包括：IPv4组播组地址或IPv6组播组地址；
所述NAS根据与认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送包括：对于认证通过的客户端设备所发送的组播报文，NAS只允许该认证通过的客户端设备发送相关内容与对应组播源权限信息相符的组播报文，并在对应组播源权限信息包括与速率相关的信息时，根据该与速率相关的信息控制该认证通过的客户端设备发送组播报文的速度。

5、  如权利要求1所述的方法，其特征在于，该方法进一步包括：NAS接收NMS发送的所述认证通过的客户端设备的计费控制信息；NAS根据所述计费控制信息对所述认证通过的客户端设备进行计费；
其中，NAS从所接收的来自NMS的RADIUS报文中的厂商属性字段中获取所述认证通过的客户端设备的计费控制信息。

6、  一种网络接入服务器NAS，其特征在于，该NAS包括：认证模块，存储模块和组播源控制模块，其中，
认证模块，用于接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证，在认证通过后，接收NMS发送的与认证通过的客户端设备对应的组播源权限信息，并保存到存储模块中；
存储模块，用于保存与认证通过的客户端设备对应的组播源权限信息；
组播源控制模块，用于在认证通过的客户端设备作为组播源发送组播报文时，根据存储模块中的与该认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送。

7、  如权利要求6所述的NAS，其特征在于，
所述认证模块，用于接收到客户端设备的802.1x认证请求，或POTAL认证请求，并用于从NMS发送的RADIUS报文中的厂商属性字段中获取客户端设备的组播源权限信息，并保存到存储模块中。

8、  如权利要求6所述的NAS，其特征在于，
所述认证模块，进一步用于接收NMS发送的与所述认证通过的客户端设备对应的更新后的组播源权限信息，并替换存储模块中原有的该认证通过的客户端设备的组播源权限信息。

9、  如权利要求6至8中任一项所述的NAS，其特征在于，
所述客户端设备的组播源权限信息包括以下信息中的一项或多项：IPv4组播组地址、源IPv4单播地址、IPv6组播组地址、源IPv6单播地址、上行峰值速率、上行平均速率、下行峰值速率和下行平均速率；其中，至少包括：IPv4组播组地址或IPv6组播组地址；
所述组播源控制模块，用于对证通过的客户端设备所发送的组播报文，只允许该认证通过的客户端设备发送相关内容与对应组播源权限信息相符的组播报文，并在对应组播源权限信息包括与速率相关的信息时，根据该与速率相关的信息控制该认证通过的客户端设备发送组播报文的速度。

10、  如权利要求6所述的NAS，其特征在于，该NAS进一步包括：计费模块；
所述认证模块，进一步用于接收NMS发送的所述认证通过的客户端设备的计费控制信息并通知给计费模块；
计费模块，用于根据所述计费控制信息对所述认证客户端设备进行计费；
其中，所述认证模块，用于从NMS发送的RADIUS报文中的厂商属性字段中获取所述认证通过的客户端设备的计费控制信息。

一种控制组播源的方法和一种网络接入服务器
技术领域
本发明涉及网络通信技术领域，尤指一种控制组播源的方法和一种网络接入服务器NAS。
背景技术
作为一种与单播和广播并列的通信方式，组播技术能够有效解决单点发送、多点接收的问题，从而实现了网络中点到多点的高效数据传送，能够节约大量网络带宽并降低网络负载。
利用组播技术可以方便地提供一些新的增值业务，如在线直播、网络电视、远程教育、远程医疗、网络电台以及实时视频会议等对带宽和数据交互的实时性要求较高的信息服务业务。
下面简单介绍组播技术中的一些基本概念：“组播组”是一个用IP组播地址进行标识的接收者集合，主机通过加入某组播组成为该组播组的成员，从而可以接收发往该组播组的组播数据；“组播源”是组播数据的发送者，一个组播源可以同时向多个组播发送组播数据，多个组播源也可以同时向一个组播组发送组播数据，组播源通常不需要加入组播组。
在组播运营网络中，需要对组播源进行控制，阻止非法组播源，防止接入者向网络内注入非授权的组播流。
目前对组播源的控制有以下几种方法：一种是在与组播源相连的边界路由器上静态配置作用于全部接入主机的访问控制列表(ACL)，直接过滤组播源流量；一种是在汇聚点(RP，Rendezvous Point)处静态配置组播源注册过滤ACL；还有一种是在接入设备上对组播源首报文进行认证的技术，对首报文的组播组信息进行校验，这种方法实际上与在RP上进行过滤的方案类似。
但是，上述现有技术中的对组播源进行控制的方案，都采用静态配置方式，非常的不灵活，即对ACL的内容进行修改时，需要手工修改各接入层路由器和交换机上的ACL。另外，在与组播源相连的边界路由器上配置的ACL是作用于全部的接入主机的，即任何主机都可以作为组播源从路由器的任意端口接入，如果组播源是从路由器下面的交换机上接入，则控制粒度更为粗放，交换机上任意接入者都可以发送组播源。在RP处配置过滤ACL，则所有组播域内的接入者，都可以发送组播源，容易被攻击者伪造组播源。
综上所述，现有的对组播源进行控制的方案，安全性和灵活性都不高。
发明内容
本发明提供了一种控制组播源的方法，该方法具有较好的安全性和灵活性。
本发明还提供了一种网络服务接入服务器NAS，该NAS能够实现控制组播源，且提高了控制组播源过程的安全性和灵活性。
为达到上述目的，本发明的技术方案具体是这样实现的：
本发明公开了一种控制组播源的方法，网络管理服务器NMS上配置有客户端设备的组播源权限信息，该方法包括：
网络接入服务器NAS接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证；
认证通过后，NAS接收NMS发送的与认证通过的客户端设备对应的组播源权限信息，并保存；
之后，当认证通过的客户端设备作为组播源发送组播报文时，NAS根据与该认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送。
本发明还公开了一种网络接入服务器NAS，该NAS包括：认证模块，存储模块和组播源控制模块，其中，
认证模块，用于接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证，在认证通过后，接收NMS发送的与认证通过的客户端设备对应的组播源权限信息，并保存到存储模块中；
存储模块，用于保存与认证通过的客户端设备对应的组播源权限信息；
组播源控制模块，用于在认证通过的客户端设备作为组播源发送组播报文时，根据存储模块中的与该认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送。
由上述技术方案可见，本发明这种在网络管理服务器NMS上预先配置客户端设备的组播源权限信息；网络接入服务器NAS接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证；认证通过后，NAS接收NMS发送的与认证通过的客户端设备对应的组播源权限信息，并保存；之后，当认证通过的客户端设备作为组播源发送组播报文时，NAS根据与该认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送的技术方案中，由于作为组播源的客户端设备在接入网络时对其进行认证，并在认证通过后下发相应的组播源权限信息，以控制该客户端设备后续的组播报文发送，因此可以防止未经过认证的客户端设备任意地向网络发送组播报文，从而提高了组播源控制过程的安全性，并且在需要修改组播源权限信息时，只需要修改NMS上的相应内容即可，而不需要对每个NAS上内容进行手工修改，因此大大提高了灵活性。
附图说明
图1是本发明实施例一种控制组播源的方法的流程图；
图2是本发明实施例中的基于802.1x协议进行组播源控制的方案的示意图；
图3是现有技术中的PADIUS报文的厂商属性字段的示意图；
图4是本发明实施例中定义的组播源控制属性类型所对应的具体值的格式示意图；
图5是本发明实施例中扩展后的厂商属性字段的格式示意图；
图6是本发明实施例一种网络接入服务器NAS的组成结构框图。
具体实施方式
本发明的核心思想是：将单播接入认证协议与组播源的控制结合起来，预先在网络管理服务器(NMS，Network Managing Server)上为客户端设备配置组播源权限信息，在客户端设备单播接入认证通过后将其对应的组播源权限信息下发到网络接入服务器(NAS，Network Accessing Server)上的接入端口，然后NAS根据组播源权限信息控制客户端设备作为组播源所发送的组播报文。
图1是本发明实施例一种控制组播源的方法的流程图。如图1所示，该方法包括以下步骤：
步骤101，在网络管理服务器NMS上预先配置客户端设备的组播源权限信息。
本步骤中，可以根据客户端设备的标识，为不同的客户端设备配置不同的组播源权限信息。
步骤102，网络接入服务器NAS接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证。
本步骤中，可以采用现有的成熟的单播接入认证协议进行认证，如802.1x或PORTAL等，即所述认证请求为802.1x认证请求或PORTAL认证请求。802.1x协议或PORTAL协议均为基于AAA框架的认证协议。
AAA是认证、授权、计费(Authentication、Authorization、Accounting)的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。AAA采用客户端/服务器结构，客户端运行于网络接入服务器(NAS，Network Access Server)上，AAA服务器上则集中管理用户信息。NAS接收到客户端设备的认证请求后，协助AAA服务器完成对客户端设备的认证。对于客户端设备与NAS来讲，NAS承担是服务器的角色，客户端设备自然是承担客户端的角色；对于NAS与AAA服务器来讲，AAA服务器承担服务器的角色，而NAS承担客户端的角色。AAA通常使用远程认证拨号用户服务(RADIUS，Remote Authentication Dial-In User Service)协议实现。当用户想要通过某网络与NAS建立连接，从而获得访问其他网络的权利或取得某些网络资源的权利时，NAS起到了验证用户或对应连接的作用，负责把用户的认证、授权、计费信息透传给RADIUS服务器(即AAA服务器)。RADIUS协议规定了NAS与RADIUS服务器之间如果传递用户信息。
对应到本发明实施例中，NMS即为AAA服务器，NAS接收到客户端设备的认证请求后，协助网络管理服务器NMS完成对客户端设备的认证的具体过程与现有技术相同。一般，NAS在协助NMS完成对客户端设备的认证过程中，NAS与客户端设备之间采用802.1x或PORTAL协议进行认证通信，NAS与NMS之间采用远程认证拨号用户服务(RADIUS，RemoteAuthentication Dial-In User Service)协议封装相关认证报文，实现认证通信。
步骤103，认证通过后，NAS接收NMS发送的与认证通过的客户端设备对应的组播源权限信息，并保存。
本步骤中，如果认证通过则NMS向NAS发送预先配置的客户端设备的组播源权限信息；如果认证没有通过则按现有技术中的处理方式进行相应的处理。
步骤104，之后，当认证通过的客户端设备作为组播源发送组播报文时，NAS根据与该认证通过的客户端设备对应的组播源权限信息，控制该认证通过的客户端设备的组播报文发送。
在图1所示的方案中，如果NAS接收到NMS发送的客户端设备的组播源权限信息的同时，还收到了NMS发送的客户端设备的计费控制信息，则NAS还需要根据计费控制信息对客户端设备进行计费。
图1所示的方案中，由于在作为组播源的客户端设备在接入网络时对其进行认证，并在认证通过后下发相应的组播源权限信息，以控制该客户端设备后续的组播报文发送，因此可以防止未经过认证的客户端设备任意地向网络发送组播报文，从而提高了组播源控制过程的安全性，并且在需要修改组播源权限信息时，只需要修改NMS上的相应内容即可，而不需要对每个NAS上内容进行手工修改，因此大大提高了部署的灵活性。
在图1所示的方案中，首先采用现有的单播认证协议对客户端设备进行接入认证，然后在认证通过后下发预先配置的组播源权限信息。前面已经提到其中所采用的单播认证协议可以为802.1x协议或PORTAL协议。
为了使本发明的技术方案清楚明白，下面以802.1x协议为例进行简要说明。
802.1x协议是一种基于端口的网络接入控制协议，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对接入的客户端设备进行认证和控制。连接在端口上的用户设备如果能够通过认证，就可以访问局域网中的资源，如果不能通过认证，则无法访问局域网中的资源。
图2是本发明实施例中的基于802.1x协议进行组播源控制的方案的示意图。如图2所示，执行以下步骤：
1)在NMS上配置客户端设备A的组播源权限信息。组播源权限信息是关于客户端设备作为组播源能够发送的组播报文的权限信息，即定义了客户端设备可以播放的组播组权限列表，还可以包括相应的带宽限制等。
2)客户端设备A发起802.1x认证，向NAS发送802.1x认证请求，NAS将802.1x认证请求的内容封装成RADIUS请求报文后发送到NMS。
3)NMS从RADIUS请求报文中获取客户端设备A的相关信息，进行认证(此时NMS完成RADIUS服务器的功能)，在认证通过时，将预先配置的客户端设备A的组播源权限信息发送给NAS。这里如果认证没有通过，则按照现有的方案进行处理，如通知NAS认证没有通过，则NAS将拒绝客户端设备A访问网络。
4)NAS接收NMS下发的客户端设备A的组播源权限信息，并配置到客户端设备A的接入端口上。其中，所述下发的组播源权限信息即可以禁止客户端设备A发送任何组播报文，也可以允许客户端设备A发送组播报文，但限定客户端设备A只能发送指定的组播报文，当然也可以允许客户端设备A发送任何组播报文。
5)客户端设备A播放某个组播节目，发送相应的组播报文。
6)NAS根据客户端设备A的接入端口上配置的该客户端设备A的组播源权限信息，控制客户端设备A的组播报文发送。例如，根据组播源权限信息判断出客户端设备A当前发送的组播报文被允许发送时，NAS将该组播报文发送到上行路由器的端口一份。
需要说明的是，如果NAS是接入交换机，则组播报文默认不向NAS的其他端口转发，除非其他端口启动了MLD Snooping，并侦听到了组播加入报文。
7)如果在步骤3)中NMS向NAS发送客户端设备A的组播源权限信息的同时还下发了关于客户端设备A的计费控制信息，则本步骤中NAS根据计费控制信息对客户端设备A进行计费。这里，可以采用认证即计费，或者当有组播报文发送时进行计费两种方式。
8)如果NMS上配置的客户端设备A的组播源权限信息更新，则NMS向NAS发送客户端设备A的更新后的组播源权限信息。NAS用更新后的组播源权限信息替换客户端设备A的原有的组播源权限信息。
基于PORTAL协议进行组播源控制的方案，与图2所示的基于802.1x协议进行组播源控制的方案类似，只是前期采用PORTAL协议对客户端设备进行认证，而不是802.1x协议。由于PORTAL协议认证过程也为现有技术，这里不再详述。
在前述方案中提到，采用802.1x或PORTAL协议对客户端设备进行认证，并在认证通过后NMS向NAS下发客户端设备的组播源权限信息。在本发明的一个实施例中NMS通过在向NAS发送的RADIUS报文中的厂商属性字段中携带客户端设备的组播源权限信息，将组播源权限信息下发给NAS。即对RADIUS协议进行扩展，增加组播源控制属性，具体为对RADIUS报文中的厂商属性字段进行扩展。
图3是现有技术中的PADIUS报文的厂商属性字段的示意图。如图3所示，“Vendor-Id”为厂商标识，“Vendor Type1”为厂商可以自己定义的属性类型，“Vendor Length 1”为厂商属性字段的长度，“Vendor Value 1”为厂商属性的具体值。厂商属性字段采用标志-长度-值(TLV，TARGET-LENGTH-VALUE)格式。
在本发明实施例中新定义一种组播源控制属性类型“Multicast SourceControl”，即图3中的Vendor Type为“Multicast Source Control”，其值可以由厂商根据实际需要决定，字段类型为字符串(String)。该“Multicast SourceControl”类型对应的具体值“Vendor Value”也可以设计为TLV格式，例如图4所示。图4是本发明实施例中定义的组播源控制属性类型所对应的具体值的格式示意图。如图4所示，组播源控制“Multicast Source Control”属性类型对应的具体值“Vendor Value”包括：控制类型“Control Type”、长度“ControlLength”和具体值“Control Value”，其具体取值可以如表1所示：