[发明专利]一种组播业务认证方法及其装置、系统

权利要求书

1.一种通信网络系统中组播业务认证方法，所述通信网络系统包括用户终端、网络接入设备、认证服务器，所述组播业务认证方法包括步骤：

a)、认证服务器将用户终端组播业务权限封装成访问令牌返回给用户终端；

b)、用户终端在向网络接入设备进行组播业务请求时提供所述访问令牌；

c)、网络接入设备根据所提供的访问令牌对组播业务请求进行鉴权并决定是否响应组播业务请求。

2.如权利要求1所述的方法，其特征在于所述步骤a)中，认证服务器进一步对访问令牌进行加密处理后返回给用户终端，步骤c)网络接入设备提取访问令牌并进一步进行解密验证处理。

3.如权利要求2所述的方法，其特征在于所述验证处理包括如下步骤：

c1)、网络接入设备向认证服务器请求对访问令牌进行解密验证；

c2)、认证服务器向网络接入设备返回验证结果。

4.如权利要求1所述的方法，其特征在于所述步骤a)中，认证服务器进一步将用户终端信息封装在所述访问令牌，步骤c)网络接入设备进一步将发起组播业务请求的用户终端信息与访问令牌中用户终端信息对比，以决定是否响应组播业务请求。

5.如权利要求1或2所述的方法，其特征在于所述步骤a)中，认证服务器可以在该用户终端进行接入认证时，将所述访问令牌返回给该用户终端。

6.如权利要求3所述的方法，其特征在于所述接入认证为动态主机配置协议(DHCP)认证方式，认证服务器将访问令牌封装在DHCP协议厂商定义选项返回该用户终端。

7.如权利要求3所述的方法，其特征在于所述接入认证为802.1x认证方式，认证服务器将访问令牌封装在密钥信息帧(EAPOL-Key)消息中返回该用户终端。

8.如权利要求1所述的方法，其特征在于所述步骤b)中，用户终端组播业务请求为因特网组管理协议(IGMP)加入或IGMP离开消息。

9.如权利要求1所述的方法，其特征在于所述步骤c)中，网络接入设备在访问令牌验证成功后，为所述用户终端复制被请求的组播数据流或进一步删除组播业务请求所包含的访问令牌向网络侧转发该请求。

10.一种用于组播业务的用户终端设备，包括：

一个认证请求装置，用于发起认证请求、获取表示该终端设备组播业务权限的访问令牌；

一个组播业务请求装置，在其生成的组播业务请求消息中提供所述访问令牌。

11.如权利要求10所述的网络终端设备，其特征在于所述组播业务请求消息为IGMP加入消息或IGMP离开消息。

12.一种认证服务器，包括：

认证处理装置：对用户认证请求消息进行认证、并在认证成功后进一步将该用户的组播权限封装成为访问令牌包含在认证响应消息中。

13.如权利要求12所述的认证服务器，其特征在于所述认证处理装置进一步将请求认证的用户终端信息封装入访问令牌。

14.如权利要求12或13所述的认证服务器，其特征在于其进一步包括一加密装置，用于对访问令牌进行加密处理。

15.如权利要求14所述的认证服务器，其特征在于其进一步包括一解密装置，对认证处理装置接收来自网络接入设备的访问令牌验证请求消息的访问令牌进行解密处理。

16.一种网络接入设备，根据与其所连接的用户终端的组播业务请求提供相应的组播业务数据流，其特征在于它包括：

一个组播请求处理装置：提取所述组播业务请求中的表示所述用户终端组播业务权限的访问令牌，并根据所述访问令牌对所请求的组播组进行鉴权；

一个组播响应装置：根据所述组播请求处理装置的鉴权结果决定是否响应所述组播业务请求。

17.如权利要求16所述的网络接入设备，其特征在于其进一步包括一解密装置，用于对组播请求处理装置所提取的访问令牌进行解密处理。

18.如权利要求16所述的网络接入设备，其特征在于进一步包括一远程认证客户端，用于向其远程认证服务器请求验证访问令牌并返回验证结果。

19.如权利要求16至18所述的网络接入设备，其特征在于所述组播请求处理装置进一步删除所述组播业务请求消息中访问令牌并向上一级网络设备转发。