[发明专利]一种组播业务认证方法及其装置、系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种组播业务认证方法及其装置、系统。

背景技术

作为一种与单播和广播并列的通信方式，组播技术有效地解决了单点发送多点接收的问题，能够大量节约网络带宽，降低网络负担。更重要的是，可以利用网络的组播特性方便地提供一些新的增值业务，例如在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等。

在标准的组播协议中，没有定义用户认证机制，对于组播使用者，可以加入任何其知道组地址的组播组而无需任何认证。由此带来很多的负面作用，例如：如果不能对组播用户身份合法性进行认证，无效的组播流量可能占用大量带宽，造成网络链路的拥塞和设备的转发性能下降，甚至影响单播数据的正常转发。

对于需要付费的和有安全要求的组播应用，显然需要相应的组播业务认证方法，在目前的网络中，对用户的组播业务权限认证一般通过以下方式来实现：组播业务权限在用户开通相关组播业务(例如IPTV)的时候由网络管理系统配置到网络接入设备中，例如IPDSLAM(IP数字用户线接入复用器)、或LANSWITCH(局域网交换机)等，网络接入设备再根据用户端设备的组播业务请求消息(例如因特网组管理协议IGMP加入消息)中提供的用户身份信息，对照所配置的组播业务权限来实现组播流的转发。

但是，上述组播业务认证方式存在如下缺陷：1)、组播权限配置、管理比较分散；2)、组播业务请求响应速度问题：网络接入设备由于保存了大量的用户组播业务权限信息，根据每个用户的组播业务请求分析其对应的权限，对设备内存、处理速度要求高，也影响组播请求响应速度；3)、网络接入设备只能以端口为单位进行组播权限的控制：当网络接入设备一个端口下的任意一个用户终端通过接入认证之后，从该端口下的其它用户终端也可以发起组播业务加入请求、并导致对应组播流的下发。

发明内容

本发明的思想是将由认证服务器将组播权限封装成访问令牌并下发给用户终端，用户终端在上行的组播业务请求消息中包含该访问令牌，网络接入设备在接收到该请求消息时从访问令牌中提取用户组播权限，以确定是否对用户组播业务请求进行响应。

根据本发明的第一个方面，一种通信网络系统中组播业务认证方法，所述通信网络系统包括用户终端、网络接入设备、认证服务器，所述组播业务认证方法包括步骤：a)、认证服务器将用户终端组播业务权限封装成访问令牌返回给用户终端；b)、用户终端在向网络接入设备进行组播业务请求时提供所述访问令牌；c)、网络接入设备根据所述访问令牌对组播业务请求进行鉴权并决定是否响应组播业务请求。

优选地，本发明方法步骤a)中，认证服务器进一步对访问令牌进行加密处理后返回给用户终端，步骤c)网络接入设备提取访问令牌并进一步进行解密验证处理。

上述验证处理包括如下步骤：c1)、网络接入设备向认证服务器请求对访问令牌进行解密验证；c2)、认证服务器向网络接入设备返回验证结果。

优选地，本发明方法步骤a)中，认证服务器进一步将用户终端信息封装在所述访问令牌，步骤c)网络接入设备进一步将发起组播业务请求的用户终端信息与访问令牌中用户终端信息对比，以决定是否响应组播业务请求。

优选地，本发明方法步骤a)中，认证服务器可以在该用户终端进行接入认证时，将所述访问令牌返回给该用户终端。

上述接入认证为DHCP认证方式，认证服务器将访问令牌封装在DHCP协议厂商定义选项返回该用户终端。

上述接入认证也可以为802.1x认证方式，认证服务器将访问令牌封装在EAPOL-Key消息中返回该用户终端。

优选地，本发明方法步骤b)中，用户终端组播业务请求为IGMP加入或IGMP离开消息。

优选地，本发明方法步骤c)中，网络接入设备在访问令牌验证成功后，为所述用户终端复制被请求的组播数据流或进一步删除组播业务请求所包含的访问令牌向网络侧转发该请求。

根据本发明的第二个方面，一种用于组播业务的用户终端设备，包括：一个认证请求装置，用于发起认证请求、获取表示该终端设备组播业务权限的访问令牌；一个组播业务请求装置，在其生成的组播业务请求消息中提供所述访问令牌。

优选地，上述组播业务请求消息为IGMP加入消息或IGMP离开消息。

根据本发明的第三个方面，一种认证服务器，包括：认证处理装置：对用户认证请求消息进行认证、并在认证成功后进一步将该用户的组播权限封装成为访问令牌包含在认证响应消息中；