[发明专利]组播安全控制方法、系统及传输节点

说明书

技术领域

本发明涉及通信技术领域，尤指一种用于局域网中组播数据流转发的组播 安全控制方法、系统及传输节点。

背景技术

在因特网上，诸如视频会议和网络电视等单点发送多点接收的多媒体业务 正在成为信息传送的重要组成部分。组播就是为了有效地解决单点发送多点接 收的问题。当发送者向一组接收者发送数据时，只需将数据用一个预约的组地 址发送，只有加入该组播组的接收者才可以收到组播数据，网络上的其它用户 则不会收到该组播数据。这样发送者只需一次数据发送，就可以发送到所有接 收者，大大减轻了网络的负载和发送者的负担。

基于RFC 1112的IP组播模型，组播流的发送者(组播源)发送以组播组 地址为目的地址的组播流，组播流接收者必须加入组播组后才能接收该组播 流。组播的发送和接收相互独立，没有必然的逻辑联系，各自独立进行，这种 松散的结构存在以下安全性问题：

任意组播源可随意发送组播流，可能造成非法组播流的扩散，浪费传输节 点(交换机或者路由器)CPU的处理能力，同时占用了大量的网络带宽。且由 于传输节点的数据转发表项数量有限，而处理每一条组播流通常需要创建与之 对应的数据转发表项，如果非法的组播流占用了大量转发表项资源，还将形成 拒绝服务式攻击，使合法的组播服务陷于瘫痪。

IGMP Snooping是一种在局域网内控制组播数据转发的技术。在启用了 IGMP Snooping的传输节点上，当传输节点的某个端口接收到某个组播组G的 加入消息时，就将该端口视为该组播组G的成员端口，并生成数据转发表。当 收到组播流数据报文时，传输节点只会将数据报文发送给组播组G的成员端 口。

例如：传输节点上生成了一个如下表1所示数据转发表，则当传输节点接 收到组播组地址为G1的组播流数据报文时，会根据数据转发表将数据报文转 发到下游端口P1、P2和P5；当传输节点接收到组播组地址为G2的组播流数 据报文时，会根据数据转发表将数据报文转发到下游端口P2和P3。

表1

  组播组地址   下游端口列表   G1   P1、P2、P5   G2   P2、P3

通过创建数据转发表，IGMP Snooping可以实现对局域网内组播数据报文 的接收者进行一定程度的管理，但仍然无法对组播源和上游端口进行有效的管 理和安全控制。

现有技术中，也有一些解决上游端口安全的方案，例如：申请号为 200410070693，名称为《一种安全组播管理系统及方法》的专利申请，公开了 一种安全组播管理方法，通过对组播数据进行签名和加密的方式来保证组播数 据的安全性，只有通过安全认证的组播数据才能被顺利接收，从而实现了对组 播通信过程的实时监测和安全管理。但该方式组播源和所有组播组成员都需要 参与，管理较复杂。且组播的传输数据量一般都比较大，传输速率较高。如果 大量的数据需要发送前需加密，接收时解密，对整个系统而言，数据的加密和 解密都将消耗不少资源，同时影响了发送的速度和效率。

另外，现有技术中还通过在局域网内的传输节点上为每条组播流手工配置 静态规则，以实现对上游端口的管理和安全控制。但是，随着局域网规模的扩 大，传输节点数量的增加，以及组播流的数量越来越多，这些规则的数量将越 来越多，配置工作越来越繁琐，后期维护也将相当困难。

可见现有技术中的方案均不能很好的解决组播数据流上游端口的安全问 题，不能有效地避免非法组播源对网络中传输节点的攻击。

发明内容