《一种加密组播数据的方法和系统.pdf》由会员分享,可在线阅读,更多相关《一种加密组播数据的方法和系统.pdf(12页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102833230 A (43)申请公布日 2012.12.19 C N 1 0 2 8 3 3 2 3 0 A *CN102833230A* (21)申请号 201210271634.1 (22)申请日 2012.07.31 H04L 29/06(2006.01) (71)申请人杭州华三通信技术有限公司 地址 310053 浙江省杭州市高新技术开发区 之江科技园六和路310号 (72)发明人廖以顺 林日锋 (74)专利代理机构北京润泽恒知识产权代理有 限公司 11319 代理人苏培华 (54) 发明名称 一种加密组播数据的方法和系统 (57) 摘要 本发明提供了一种。
2、加密组播数据的方法和系 统,其中该方法包括:指定路由器DR周期性发送 特定组播组的加密请求信息至自举路由器BSR; BSR根据加密请求信息确定需要加密的特定组播 组,广播更新状态的自举报文;PIM路由器收到更 新状态的自举报文,记录特定组播组的密钥并生 成正式的BSR和RP列表;DR收到组播数据且确定 收到的组播数据属于特定组播组,则查询加密密 钥,将收到的组播数据加密,将加密后的组播数据 转发到下游的PIM路由器;PIM路由器接收加密的 组播数据,确定存在接收者,则查询加密密钥并解 密收到的组播数据,复制并转发解密后的组播数 据至接收者。 (51)Int.Cl. 权利要求书2页 说明书5页 。
3、附图4页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 2 页 说明书 5 页 附图 4 页 1/2页 2 1.一种加密组播数据的方法,其特征在于,所述方法包括: 指定路由器DR周期性发送特定组播组的加密请求信息至自举路由器BSR; 所述BSR根据所述加密请求信息确定需要加密的特定组播组,广播携带特定组播组的 加密密钥的更新状态的自举报文; 协议无关组播PIM路由器收到携带特定组播组的加密密钥的更新状态自举报文,记录 特定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表; 所述DR收到组播数据且确定收到的组播数据属于特定组播组,则查询收到的组播组 数据所属特定组。
4、播组的加密密钥,根据查询的加密密钥将收到的组播数据加密,将加密后 的组播数据转发到下游的所述PIM路由器; 所述PIM路由器接收加密的组播数据,确定加密的组播数据所属的特定组播组存在接 收者,则查询加密密钥并解密收到的组播数据,查找解密后的组播数据对应的出接口,复制 并转发解密后的组播数据至接收者。 2.根据权利要求1所述的方法,其特征在于,所述方法包括: 所述PIM路由器接收加密的组播数据,确定加密的组播数据所属的特定组播组不存在 接收者,则根据组播路由转发加密的组播数据。 3.根据权利要求1所述的方法,其特征在于,所述方法包括: 所述DR发送所有组播组的加密请求信息至自举路由器BSR; 所。
5、述BSR根据所述加密请求信息确定需要加密的组播组,广播携带所有组播组的加密 密钥的更新状态的自举报文; 所述PIM路由器收到携带特定组播组的加密密钥的更新状态自举报文,记录所有组播 组的密钥并生成正式的BSR列表和汇聚服务器RP列表。 4.根据权利要求1所述的方法,其特征在于,所述方法包括: 所述DR周期性发送特定组播组的加密请求信息至自举路由器BSR; 所述BSR根据所述加密请求信息确定需要加密的组播组未变化,广播保持状态的自举 报文; 所述PIM路由器接收所述保持状态的自举报文不更新已记录的特定组播组的密钥并 生成正式的BSR列表和汇聚服务器RP列表。 5.根据权利要求1所述的方法,其特征。
6、在于,所述方法包括: 所述DR收到组播数据且确定收到的组播数据不属于需要加密的特定组播组,则将收 到的组播数据转发到下游的所述PIM路由器。 6.根据权利要求1所述的方法,其特征在于,所述指定路由器DR收到所述BSR广播的 初始化状态的BSR报文,则周期性发送加密请求信息至自举路由器BSR; 所述PIM路由器接收所述BSR广播的初始化状态的BSR报文,则生成临时的BSR列表 和RP列表。 7.一种加密组播数据的系统,所述系统包括自举路由器BSR,指定路由器DR以及协议 无关组播PIM路由器,其特征在于, 所述DR,用于周期性发送特定组播组的加密请求信息至所述BSR; 所述BSR,用于根据所述加。
7、密请求信息确定需要加密的特定组播组,广播携带特定组播 组的加密密钥的更新状态的自举报文; 权 利 要 求 书CN 102833230 A 2/2页 3 所述PIM路由器,用于接收携带特定组播组的加密密钥的更新状态自举报文,记录特 定组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表; 所述DR,用于接收组播数据且确定收到的组播数据属于特定组播组,则查询加密密钥, 根据查询的加密密钥加密收到的组播数据,将加密后的组播数据转发到下游的所述PIM路 由器; 所述PIM路由器,用于接收加密的组播数据,确定加密的组播数据所属的特定组播组 存在接收者,则查询加密密钥并将加密的组播数据解密,查找组播数据。
8、对应的出接口,复制 并转发解密后的组播数据至接收者。 8.根据权利要求7所述的系统,其特征在于, 所述PIM路由器,用于接收加密的组播数据,确定加密的组播数据所属的特定组播组 不存在接收者,则根据组播路由转发加密的组播数据。 9.根据权利要求7所述的系统,其特征在于,所述方法包括: 所述DR,用于发送所有组播组的加密请求信息至自举路由器BSR; 所述BSR,用于根据所述加密请求信息确定需要加密的组播组,广播携带所有组播组的 加密密钥的更新状态的自举报文; 所述PIM路由器,用于接收携带特定组播组的加密密钥的更新状态自举报文,记录所 有组播组的密钥并生成正式的BSR列表和汇聚服务器RP列表。 1。
9、0.根据权利要求7所述的系统,其特征在于,所述方法包括: 所述DR,用于周期性发送特定组播组的加密请求信息至自举路由器BSR; 所述BSR,用于根据所述加密请求信息确定需要加密的组播组未变化,则广播保持状态 的自举报文; 所述PIM路由器,用于收到保持状态的自举报文,确定不更新已记录的特定组播组的 密钥并生成正式的BSR列表和汇聚服务器RP列表。 11.根据权利要求7所述的系统,其特征在于,所述方法包括: 所述DR,用于接收组播数据且确定收到的组播数据不属于需要加密的特定组播组,则 将收到的组播数据转发到下游的所述PIM路由器。 12.根据权利要求7所述的系统,其特征在于, 所述BSR,用于广。
10、播的初始化状态的BSR报文 所述DR,用于接收所述初始化状态的BSR报文,且根据收到的所述初始化状态的BSR报 文启动周期性发送加密请求信息至自举路由器BSR; 所述PIM路由器,用于接收所述初始化状态的BSR报文,且根据收到的所述初始化状态 的BSR报文生成临时的BSR列表和RP列表。 权 利 要 求 书CN 102833230 A 1/5页 4 一种加密组播数据的方法和系统 技术领域 0001 本发明涉及通信技术,特别涉及组播通信技术,具体地讲是一种加密组播数据的 方法和系统。 背景技术 0002 在视频点播、电话会议、IPTV等业务中应用中需要组播协议的支持,比如PIM组播 协议等。PI。
11、M协议又可分为PIM DM协议(Protocol Independent Multicast-Dense Mode,协 议无关组播密集模式)和PIM SM协议(Protocol Independent Multicast-Sparse Mode, 协议无关组播稀疏模式)。 0003 数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是 对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。 0004 链路加密是传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿, 它用于保护通信节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内 都要被。
12、解密和再加密,依次进行,直至到达目的地。 0005 与链路加密类似的节点加密方法,是在节点处采用一个与节点机相连的密码装 置,密文在该装置中被解密并被重新加密,明文不通过节点机,避免了链路加密节点处易受 攻击的缺点。 0006 端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在 接收端解密,中间节点处不以明文的形式出现。端到端加密是在应用层完成的。 0007 为了实现组播数据的安全或者实现特殊业务的运营,一些组播业务组织者或者服 务提供商会对指定业务加密,比如安全级别较高的电话或者视频会议,付费的点播电视节 目。对于运营商级别或者一些大型运营企业来说,对于这些需要加密的服务。
13、一般都是通过 在鉴权服务器上进行终端身份认证识别来获取访问权限,或者是在源端直接通过加密服务 器对数据加密后再进行传输。而相对来说一些中小型企业用户,正常情况可能不需要对业 务进行加密,所以没必要在所有终端和传输节点处增加鉴权服务器或者加密服务器,这样 会增加网络建设成本和运营维护成本。 0008 如果是非运营商网络或者大型企业网络,如果要进行一些涉及安全性的多方电话 和视频会议,或者是其他重要性数据内容传输时,可能就需要对传输的语音和视频或者是 数据进行加密。当前可能的几种解决方案如下: 0009 1)在传输安全信息的源端增加加密服务器,对发送数据进行加密后再发送,然后 在各接收端增加解密服。
14、务器对数据进行解密后再识别;2)需要参与安全性内容交互的用户 终端增加身份鉴权服务器,对用户访问权限进行限制;3)在各节点增加加密服务器,进行链 路加密,确保数据在各链路段间传输安全; 0010 上述的几种可能的解决方案存在如下几个问题: 0011 问题1:都需要增加额外的服务器设备进行身份验证识别或者数据的加密和解密 工作,需要增加网络建设成本和运营;问题2:如果通过链路加密方式,不仅需要增加服务 说 明 书CN 102833230 A 2/5页 5 器,而且每个节点都需要进行解密和加密的过程,影响了数据的整体传输效率。 发明内容 0012 有鉴于此,本发明提供一种加密组播数据的方法和系统,。
15、在于不增加额外服务器 的前提下,实现组播数据的加密/解密转发。 0013 为实现上述发明目的本发明提供了一种加密组播数据的方法,其中指定路由器DR 周期性发送特定组播组的加密请求信息至自举路由器BSR;该BSR根据该加密请求信息确 定需要加密的特定组播组,广播携带特定组播组的加密密钥的更新状态的自举报文;协议 无关组播PIM路由器收到携带特定组播组的加密密钥的更新状态自举报文,记录特定组播 组的密钥并生成正式的BSR列表和汇聚服务器RP列表;该DR收到组播数据且确定收到的 组播数据属于特定组播组,则查询收到的组播组数据所属特定组播组的加密密钥,根据查 询的加密密钥将收到的组播数据加密,将加密后。
16、的组播数据转发到下游的该PIM路由器; 该PIM路由器接收加密的组播数据,确定加密的组播数据所属的特定组播组存在接收者, 则查询加密的组播数据所属的特定组播组的加密密钥并解密收到的组播数据,查找组播数 据对应的出接口,复制并转发解密后的组播数据至接收者。 0014 为实现上述发明目的本发明还提供一种加密组播数据的系统,该系统包括自举路 由器BSR,指定路由器DR以及协议无关组播PIM路由,该DR,用于周期性发送特定组播组的 加密请求信息至该BSR;该BSR,用于根据该加密请求信息确定需要加密的特定组播组,广 播携带特定组播组的加密密钥的更新状态的自举报文;该PIM路由器,用于收到携带特定 组播。
17、组的加密密钥的更新状态自举报文,记录特定组播组的密钥并生成正式的BSR列表和 汇聚服务器RP列表;该DR,用于收到组播数据且确定收到的组播数据属于特定组播组,则 查询收到的组播组数据所属特定组播组的加密密钥,根据查询的加密密钥将收到的组播数 据加密,将加密后的组播数据转发到下游的该PIM路由器;该PIM路由器,用于接收加密的 组播数据,确定加密的组播数据所属的特定组播组存在接收者,则查询加密的组播数据所 属的特定组播组的加密密钥并解密收到的组播数据,查找组播数据对应的出接口,复制并 转发解密后的组播数据至接收者。 0015 本发明的有益效果在于,仅在组播源入网络设备,即DR进行加密操作,只有用。
18、户 出接口的PIM路由器才对组播数据解密,对于中间网络来说,无需任何加密和解密操作,只 做普通数据的转发,不会有任何性能方面影响。 附图说明 0016 图1是本发明实施例提供的组播网络的示意图。 0017 图2是本发明实施例定义的BSR报文的示意图。 0018 图3是本发明实施例提供的DR设备启动组播组的加密请求的流程图。 0019 图4是本发明本实施例定义组播组加密申请消息报文的示意图; 0020 图5是BSR收到组播组加密申请报文的处理流程示意图; 0021 图6是PIM路由器生成密钥列表的处理流程图; 0022 图7是DR路由器发送加密组播数据的流程图; 0023 图8是PIM路由器处理。
19、加密的组播数据的流程示意图 说 明 书CN 102833230 A 3/5页 6 具体实施方式 0024 图1所示本发明实施例提供的加密组播数据的组播系统的示意图。如图1所示, 该组播网络与已有的组播网络架构相同,本实施例中C-BSR的选举机制以及C-RP的选举 机制与已有组播技术相同。本发明实施例在不改变已有组播网络架构的条件下,不增加任 何服务器,实现对组播数据的加密/解密传输。需要说明的是,已有组播网络中所有路由器 都是PIM(协议无关组播,Protocol Independent Multicast)路由器,而DR(指定路由器, Designated Router),,RP(汇集路由器。
20、,Rendezvous Point)以及BSR(自举路由器,Boot Strap Router等是PIM路由器中的对应状态角色名称。 0025 当图1所示系统组播网络中各C-BSR(候选BSR)之间完成BSR选举后,选举出的 BSR会向所有PIM路由器发送初始化状态的自举BSR消息。 0026 本实施例在RFC2362定义的BSR自举报文基础上,定义三种BSR报文:初始化状态 的BSR报文,保持状态的BSR报文及更新状态的BSR报文 0027 图2所示为本发明实施例定义的BSR报文的示意图;初始化状态的BSR报文中, Type字段后reserved字段值为0,Frag RP-Cnt-1字段后的。
21、reserved字段为默认空;保持 状态的BSR报文中,Type字段后reserved字段值为1,Frag RP-Cnt-1字段后的reserved 字段为加密密钥encrypt_key;更新状态的BSR报文中,Type字段后reserved字段值为2, Frag RP-Cnt-1字段后的reserved字段加密key。其中,加密密钥是根据是通过需要加密 的组播组的信息(组播组地址信息)和DR信息通过加密算法计算的内容。 0028 本实施例中,更新状态的BSR报文以及保持状态的BSR报文,每个组播组组的预留 Reserved字段(例如,RP1-Priority字段后的Reserved字段)无需。
22、使用。 0029 图3所示为本发明实施例提供的DR设备启动组播组的加密请求的流程示意图, DR路由器收到BSR发出的初始化状态的BSR报文则启动组加密申请报文发送,为了避免网 络中报文过多造成网络带宽浪费,这里DR的组加密申请消息报文仅周期性地向BSR单播发 送,此时本地BSR和RP信息设置为临时表项。 0030 本实施例中,假设需要对组播地址为224.1.1.1组播组G1加密时,在DR设备上下 发对G1加密请求命令multicast group encrypt224.1.1.1。 0031 本实施例中,提供了在DR上下发加密请求命令multicast group encryptGroup-a。
23、ddress|Any,用于配置管理开启特定需要加密的组播组。Group-address 参数表示指定需要加密的组播组,Any参数表示所有组加密。因此,本实施例可以在DR设 备上下发对所有组播组加密请求的命令,可以在DR设备上下发对多个组播组加密请求的 命令。 0032 图4所示为本发明本实施例定义组播组加密申请消息报文,用于DR设备通知BSR 哪些特定组需要进行加密。本实施例利用RFC2362定义的空注册报文,定义Type字段值为 10时为特定组加密申请报文,定义Type字段后的Reserved字段值为0时表示无特定组加 密报文,定义Type字段后的Reserved字段值为1时表示特定组加密报。
24、文,定义Type字段 后的Reserved字段值为2时表示所有组加密报文;第二个Reserved字段为需要加密的组 播组个数;Multicast data packet字段通过TLV编码方式定义需要加密的组播组。 0033 当定义Type字段后的Reserved字段值为2时,第二个Reserved字段为0, 说 明 书CN 102833230 A 4/5页 7 Multicast data packet字段为空;即对所有组播组进行加密的条件下,无需指定需要加密 的组播组的个数,也无需指定加密的特定组播组。 0034 图5所示,BSR收到组播组加密申请报文的处理流程示意图;BSR收到DR路由器的。
25、 组加密申请消息报文后,根据消息报文中的组信息和DR信息生成加密的encrypt_key添加 在BSR报文的Encoded-Group Address段的Reserved字段中,如图5所示,加密密钥添加 在Encoded-Group Address-1段的Frag RP-Cnt-1字段后的Reserved字段中,用于区分组 播组的密钥。因为本实施例是将相应的组播组进行加密传输,与RP信息无关,因而各RP段 的Reserved字段无需使用。BSR将BSR报文Type字段后的Reserved字段值设置为2,生 成更新状态的BSR消息,再广播给组播网络中的PIM路由器。 0035 BSR收到DR路由。
26、器的组加密申请消息报文后,判断需要的加密的组播组没有发生 变化,则将BSR报文Type字段后的Reserved字段值为1,生成保持状态的BSR报文,广播给 组播网络中的PIM路由器。 0036 本实施例中,BSR广播的保持状态的BSR报文是否携带密钥要根据之前状态来确 定。如果BSR确定之前无需要加密的组播组,则广播不携带加密加密密钥的保持状态BSR报 文;如果BSR确定之前有特定的组播组需要加密,则广播携带了加密密钥的保持状态的BSR 报文,而这些加密密钥为之前需要加密的特定组播组的加密密钥。 0037 图6所示为PIM路由器生成密钥列表的处理流程。当PIM路由器收到BSR广播为 初始化状态。
27、的BSR报文时,生成临时的BSR列表和RP;PIM路由器收到BSR广播的更新状态 的BSR报文。当生成获取BSR信息中的对应的组播组encrypt_key字段,记录各组播组对 应的加密密钥并生成正式的BSR列表和RP列表。本实施例中,PIM路由器记录的加密密钥 如表1所示: 0038 Index Group Address Encrypt_key 1 224.1.1.1 Encrypt_key1 2 225.1.1.1 Null 3 226.1.1.1 Encrypt_key3 N 239.1.1.1 Encrypt_keyN 0039 表1 0040 需要说明的是,当PIM路由器收到BSR广。
28、播的更新状态的BSR报文包括所有组播 组对应的加密密钥,则记录所有组播组的加密密钥 0041 当PIM路由器收到BSR广播的保持状态的BSR报文,则保持记录的各组播组的加 密密钥不变,只生成正式的BSR列表和RP列表。 0042 图7所示为,DR路由器发送加密组播数据的流程示意图。DR收到组播源发送的组 播数据流,则根据组播数据中的组地址查询设备上的密钥表。本实施例中,DR设备的密钥 说 明 书CN 102833230 A 5/5页 8 表可以类似于表1中PIM路由器的密钥表,记录了需要加密的组播组的组播组地址对应的 加密密钥。在DR设备的密钥表中,如果任一组播组的组播地址对应的加密密钥enc。
29、rypt_ key的值为空(Null),则说明发往此组的数据流无需加密,按正常组播流程转发;如果任一 组播组的组播地址对应的encrypt_key值为非空,则说明发往此组的数据流需要加密,则 用源信息与encrypt_key计算把组播数据进行加密后发送给下游PIM路由器。本实施例中, DR设备可根据上述加密请求命令组播组信息(组播组地址)和DR信息生成加密密钥。因此, BSR与DR生成的加密密钥内容是统一的。 0043 图8所示为,PIM路由器处理加密的组播数据的流程示意图。PIM路由器收到组 播数据后,为了避免频繁的解密和加密造成性能的影响,这里可以先在PIM路由器上判断 是否存在接收者(即。
30、,发送PIM加入报文的设备),如果本PIM路由器不存在该组播组的出 接口,则直接查找组播路由表转发给下游的PIM路由器;如果PIM路由器上存在出接口, 则根据组播数据中的组信息,查找密钥表中对应组加密信息,如果Encrypt_key信息为空 (NULL),则直接按照原组播转发流程,查找出接口进行组播复制和转发;如果Encrypt_key 信息不为空,则表示此组播数据在DR路由器已经被加密,此时如果要转发出去需要解密, 则根据组信息和BSR信息进行解密组播数据,再查找出接口,将解密后的组播数据进行复 制并转发至接收者;对于还需要转发到下游PIM路由器的组播数据,则直接查找组播路由 表转发到其他下。
31、游的PIM路由器处理。 0044 本发明的有益效果在于,组播网络系统内不需增加额外的服务器的前提下实现了 组播数据的加密传输,仅需要在组播源入网络设备进行加密操作,只有用户出接口的网络 设备才对数据解密,对于中间网络来说,无需任何加密和解密操作,只做普通数据的转发, 不会有任何性能方面影响。对于现在常见的网络模型来说,业务流量压力比较大的网络设 备是汇聚路由器和外网出口路由器,对于组播源入网络设备和终端接入网络设备来说,部 分组播数据进行加密和解密的操作对网络设备带来的性能影响是有限的,并且,本发明中 定义的实现可以由用户选择性对高安全性的组播源对应组进行加密操作,对于普通非加密 需求的数据不。
32、感知,只需要正常转发即可,所以可以根据应用场景需求将此发明对组播源 入网络设备和终端接入网络设备的带来的转发性能影响降到最低。 0045 以上所述仅为本发明示意性的具体实施方式,并非用以限定本发明的范围。任何 本领域的技术人员,在不脱离本发明的构思和原则的前提下所作出的等同变化与修改,均 应属于本发明保护的范围。 说 明 书CN 102833230 A 1/4页 9 图1 图2 说 明 书 附 图CN 102833230 A 2/4页 10 图3 图4 说 明 书 附 图CN 102833230 A 10 3/4页 11 图5 图6 说 明 书 附 图CN 102833230 A 11 4/4页 12 图7 图8 说 明 书 附 图CN 102833230 A 12 。