組播認證的方法、認證設備和組播認證伺服器的製作方法

2023-07-04 22:45:36

專利名稱：組播認證的方法、認證設備和組播認證伺服器的製作方法
技術領域：
本發明涉及組播技術，特別涉及一種組播認證的方法、認證設備和組播 認證伺服器。
背景技術：
組播技術是一種有效的解決單點發送多點接收問題的技術，採用 一個組 播地址來標識所有具有相同需求的用戶，組播源只要向這個組播地址發送數 據報文即可發送到相應的用戶，而不需要分別給每一個用戶都發送一份相同的數據報文。組播技術已經在網絡電視(IPTV )、網絡流媒體和視頻會議 等領域得到廣泛的應用。然而，現有技術中，組播技術的實現中任意組播源都可以在網絡中發送 組播數據報文，網絡中的交換設備針對接收到的任意組播源的組播數據報文 都創建組播轉發表，並根據該組播轉發表在網絡中轉發組播數據報文。也就 是說，目前並沒有任何針對組播源的組播認證技術，這很容易造成非法組播 源在網絡中發送組播數據報文，造成網絡帶寬的浪費，或者受到非法組播源 對網絡的攻擊，給網絡帶來不安全因素。發明內容有鑑於此，本發明提供了一種組播認證的方法、認證設備和組插-認證月良 務器，以便於節約網絡帶寬並且提高網絡的安全性。 一種組播i人證的方法，該方法包括認證設備接收到來自組播源的數據報文後，將該數據報文中攜帶的源地址 信息發送給組播認證伺服器，供該組播認證伺服器對該源地址信息進行認證； 如果認證設備接收到所述組播認證伺服器返回的認證通過通知，則針對該數據報文創建組播轉發表，並利用該組播轉發表轉發該數據報文；如果認證設備接收到所述組播認證伺服器返回的認證失敗通知，則丟棄該數據報 文。一種認證設備，該認證設備包括接收單元、信息提取單元和報文處理單元；所述接收單元，用於接收來自組播源的數據報文，並將該數據報文提供給 信息提取單元，接收認證通過通知或認證失敗通知；所述信息提取單元，用於提取所述接收單元接收到的數據報文的源地址信 息，並將該源地址信息發送給組播認證伺服器；淨艮文處理單元，用於在所述接收單元接收到認證通過通知時，針對該悽史 據報文創建組播轉發表，並利用該組播轉發表轉發所述數據報文；在所述接 收單元接收到認證失敗通知時，丟棄所述數據報文。一種組插^人證l良務器，該組播認證伺服器包括信息接收單元、認證單元 和通知發送單元；所述信息接收單元，用於接收認證設備發送的數據報文的源地址信息；所述認證單元，用於對所述源地址信息進行認證；所述通知發送單元，用於在認證單元的認證通過時，向所述認證設備發 送認證通過通知，在所述認證單元的認證失敗時，向所述認證設備發送認證 失敗通知。由以上技術方案可以看出，在本發明提供的方法和裝置中，認證設備接收 到來自組播源的數據報文後，將該數據報文中攜帶的源地址信息發送給組播認 證伺服器，供該組播認證伺服器對該源地址信息進行認證；如果認證設備接收 到該組播認證伺服器返回的認證通過通知，則針對該數據報文創建組播轉發表， 並利用該組播轉發表轉發該數據報文；如果認證設備接收到所述組播認證服務 器返回的認證失敗通知，則丟棄該數據報文。也就是說，提供了一種具體的技 術方案，能夠對組播源提供的組播數據基於源地址進行認證，即針對組播源進 行認證，使得通過認證的數據報文在兩絡中轉發，阻止沒有通過認證的非法組播源發送的數據報文在網絡中轉發，節約了非法組播源佔用的網絡帶寬，並可 以阻止非法組播源對網絡的攻擊，從而提高網絡安全性。


圖1為本發明實施例提供的詳細方法流程圖； 圖2為本發明實施例提供的一種網絡架構圖； 圖3為本發明實施例提供的系統結構圖。
具體實施方式
為了使本發明的目的、技術方案和優點更加清楚，下面結合附圖和具體 實施例對本發明進行詳細描述。本發明提供的方法主要包括認證設備接收到來自組播源的數據報文 後，將該數據報文中攜帶的源地址信息發送給組播認證伺服器，供該組播認 證伺服器對該源地址信息進行認證；認證設備接收到該認證伺服器返回的認 證通過通知後，針對該數據報文創建組播轉發表，並利用該組播轉發表轉發 該數據報文，如果接收到該認證伺服器返回的認證失敗通知後，丟棄該數據 報文。下面對上述方法進行詳細描述，圖1為本發明實施例才是供的詳細方法流 程圖，如圖1所示，該方法可以包括以下步驟步驟101:預先對認證設備進行配置，基於全部或者部分埠配置訪問 控制列表(ACL, Access Control List)。本步驟是對認證設備使能組播認證的過程，基於全部埠配置ACL是 對認證設備進行全局配置，基於部分埠配置ACL是對認證設備進行局部 配置。步驟102:認證設備接收到來自組播源的數據報文後，利用接收該數據 報文所使用埠配置的ACL判斷該數據報文是否為組播數據報文，如果是， 執行步驟104，否則，執行步驟103。步驟101中配置的ACL中可以包含設定的組4番地址信息，可以將網絡 中的所有組播地址預先設置在ACL中，接收到來自組播源的數據報文後， 判斷該數據報文的目的地址是否在為接收該數據報文的埠配置的ACL 中，如果是，則說明該數據報文為組播數據報文，否則，說明該數據報文不 是組播數據報文。如果接收該數據報文的埠沒有配置ACL,則按照現有 技術中的流程處理該數據報文。其中，設定的組播地址信息可以是組播IP位址信息，此時，接收到數 據報文後，判斷該數據報文中攜帶的目的IP位址(DIP)是否在ACL中； 或者，設定的組播地址信息也可以是組播MAC地址信息，此時，接收到數 據報文後，判斷該數據報文中攜帶的目的MAC地址(DMAC )是否在ACL 中；或者，設定的組播地址信息也可以是組播IP位址信息和組播MAC地址 信息的組合，此時，接收到數據報文後，判斷該數據報文中攜帶的DIP和 DMAC的組合是否在ACL中。步驟103:按照現有技術中的流程處理該數據報文，結束流程。如果接收到的數據報文不是組播報文，則不採用本發明的方法對該數據步驟104:認證設備判斷該數據報文中攜帶的源地址和目的地址的組合 是否在組播源認證表中，如果是，則執行步驟109,否則，執行步驟105。組播源認證表中存儲了已通過認證的源地址和目的地址的組合，如果數 據報文中攜帶的源地址和目的地址的組合已經存在於組播源認證表中，則說 明該組播源發送的數據報文已經通過認證；如果數據報文中攜帶的源地址和 目的地址的組合沒有存在於組播源認證表中，則需要對該組播源發送的該數 據4艮文進行認證。步驟105:認證設備將該數據報文的源地址信息發送給組播認證伺服器， 組播認證伺服器接收到該源地址信息後，判斷該數據報文的源地址是否為合 法的組播源地址，如果是，則執行步驟106，否則，執行步驟IIO。該組播認證伺服器中預先設置了合法的組播源地址，接收到數據報文後，首先獲取該數據報文的源地址，判斷該源地址是否為合法的組播源地址。 其中，設置的合法的組播源地址可以是組播源的IP位址，此時，接收 到數據報文後，判斷該數據報文中攜帶的源IP位址(SIP)是否為合法的組播源IP位址；或者，設置的合法的組播源地址也可以是組播源的MAC地址， 此時，接收到數據報文後，判斷該數據報文中攜帶的源MAC地址(SMAC) 是否為合法的組播源MAC地址；或者，設置的合法的組播源地址也可以是 組播源的IP位址和MAC地址的組合，此時，接收到數據報文後，判斷該數 據報文中攜帶的SIP和SMAC的組合是否為合法的組播源IP位址和MAC 地址組合。步驟106:組播認證伺服器判斷該數據報文是否為用戶數據報協議 (UDP)報文，如杲是，則執行步驟107,否則，執行步驟110。本步驟並不是必須的，如果執行該步驟，則認證設備在步驟105中還需 要將該數據報文的屬性信息提供給組播認證伺服器。由於組播數據報文有可能是UDP報文，或者傳輸控制協議(TCP)報 文等，可以僅對UDP報文進行控制。另外，該步驟106和步驟105的執行 順序沒有固定限制，也可以首先判斷該數據報文是否為UDP報文，然後判 斷該數據報文的源地址是否為合法的組播源地址。另外，也可以在組播認證 伺服器中預先配置UDP報文的合法埠 ，在組播認證伺服器確認該數據報 文是UDP報文後，還可以進一步根據UDP報文中攜帶的埠信息，判斷該 攜帶的埠信息是否為合法埠，如果是，則確認認證通過，執行步驟.107， 否則，確認iU正失敗，執行步驟110。或者，該數據報文是否為UDP報文的判斷也可以由認證設備執行，即 在判斷該數據報文是否為組播數據報文之前或者之後，判斷該數據報文是否 為UDP報文，如果是，繼續執行後續步驟，否則，丟棄該數據報文。同樣， 也可以在認證伺服器中預先配置UDP報文的合法埠 ，在認證設備確認該 數據報文是UDP報文後，還可以進一 步根據UDP報文中攜帶的埠信息， 判斷該攜帶的埠信息是否為合法埠，如果是，繼續執行後續步驟，否則，丟棄該數據報文。在執行步驟106且判斷該數據報文為UDP報文後，可以認為該數據報 文通過認證；當然，也可以不4丸行步驟106,即不對悽t據淨良文是否為UDP 報文進行判斷，在步驟105判斷該數據報文的源地址是合法的組播源地址 時，即認為該數據報文通過認證，直接執行步驟107。步驟107:組播認證伺服器向認證設備返回認證通過通知。步驟108:認證設備接收到認證通過通知後，將該數據報文的源地址和 目的地址的組合存儲在組播源認證表中，並創建該數據報文的組播轉發表。組播源認證表中的源地址和目的地址的組合中的源地址可以是SIP或 者SMAC,目的地址可以是DIP或者DMAC。創建的組播轉發表中可以包含該數據報文的源IP位址、目的IP位址以 及使用的埠信息的組合。另外，組播源認證表是為了認證設備在下次接收到該組播源發送的具有 相同源地址和目的地址的數據報文時，能夠避免進行重複認證，即步驟104 的作用。但如果不建立組播源認證表，針對該組播源發送的數據報文都進行 認證，同樣可以實現本發明的發明目的。步驟109:認證設備利用該數據報文的組播轉發表對該數據報文進行轉 發，結束流程。步驟110:組播認證伺服器向認證設備返回認證失敗通知。步驟111:認證設備接收到認證失敗通知後，丟棄該數據報文，結束流程。其中，上述認證設備可以是網絡中的三層交換設備。另外，在上述組播認證伺服器在對數據報文進行認證的過程中，還可以 進一步對該數據報文的目的地址進行認證，即預先設定合法的組播地址，進 一步確定該數據報文的目的地址為合法的組播地址時，才認為該數據報文通 過認證。為了更清楚的理解本發明的方法，下面舉一個具體的例子，對上述方法進行描述，以圖2所示的網絡架構為例，在圖2中，交換機1和交換機2為三層交換機，都可以為認證設備，本實施例中以交換機1為認證設備為例，組播認證伺服器與交換機2直連，組播認證伺服器與認證設備之間的交互通 過交換機2實現，當然，組播認證伺服器也可以直接與交換機1直連。交換 機1接收來自組播源1和組播源2的數據報文，組播源1發送的數據報文為 節目1,其SIP、 SMAC和DIP分別為sipl、 smacl和dipl,組播源2發送 的數據淨艮文為節目2,其SIP、 SMAC和DIP分別為sip2、 smac2和dip2。 其中，在交換機1上預先配置的ACL為全局配置，dipl和dip2均預先設置 在ACL中，在組播認證伺服器中設置的合法組播源地址為sipl和macl的 組合、sip2和mac0的組合。當組播源l在圖2所示的網絡架構中發送節目1的數據報文時，交換機 1首先根據預先配置的ACL判斷該數據報文是否為組播數據報文，具體為 判斷該數據報文的目的地址，即dipl是否在預設的ACL中；判斷結果為該 數據報文是組播數據報文，交換機1進一步確定尚沒有針對該組播數據建立 組播源認證表，通過交換機2將該數據報文的源地址即sipl和smacl發送 給組播認證伺服器；組播認證伺服器判斷sipl和smacl的組合是合法的組 播源地址，並進一步判斷該數據報文為UDP報文，此時，組播認證伺服器 向交換機1發送認證通過通知；交換機1接收到該認證通過通知後，將sipl、 smacl和dipl的組合保存在組播源認證表中，並建立該數據報文的組播轉發 表，該組播轉發表中包含sipl、 smacl、 dipl和該數據報文使用的埠信息， 並根據該組播轉發表轉發該數據報文。當交換機1後續接收到該組播源1發 送的攜帶sipl、 smacl和dipl的節目l的數據報文後，由於已經針對該數據 報文建立了組播認證表，則交換機1可以直接利用該數據報文的轉發表轉發 數據報文。當組播源2在圖2所示的網絡架構中發送節目2的數據報文時，交換機 1首先根據預先配置的ACL判斷該數據報文是否為組播數據報文，具體為 判斷該數據報文的目的地址，即dip2是否在預設的ACL中；判斷結果為該數據報文是組播數據報文，交換機1進一步確定尚沒有針對該組播數據建立組播源認證表，通過交換機2將該lt據淨艮文的源地址即sip2和smac2發送 給組播認證伺服器；組播認證伺服器根據預設的合法組播源地址即sip2和 smac0的組合，確定sip2和smac2的組合不是合法的組播源地址，此時，組 播認證伺服器向交換機1發送認證失敗通知；交換機1接收到該認證失敗通 知後，丟棄該數據報文，於是，組播源2發送的該組播報文是非法的，不能 在網絡中傳輸。以上是對本發明所提供的方法進行的描述，下面對本發明實施例提供的 系統進行詳細描述，圖3為本發明實施例提供的系統結構圖，如圖3所示， 該系統可以包括認證設備300和組播認證月良務器400。認證設備300，用於接收來自組播源的數據報文後，將該數據報文中攜 帶的源地址信息發送給組播認證伺服器400;接收到組播認證伺服器400返 回的認證通過通知時，針對該數據報文創建組播轉發表，並利用該組播轉發 錶轉發該數據報文；接收到組播認證伺服器400返回的認證失敗通知，則丟 棄該數據報文。組播認證伺服器400，用於接收認證i殳備300發送的源地址信息，並對 該源地址信息進行認證，如果認證成功，則向認證設備300發送認證通過通 知，如果認證失敗，則向認證設備300發送認證失敗通知。其中，認證設備300和組播認證伺服器400可以是直接連接，也可以是 間接連接6認證設備300可以是三層交換設備。其中，認證設備300可以具體包括接收單元301、信息提取單元302和 報文處理單元303。接收單元301，用於接收來自組播源的數據報文，並將該數據報文提供給 信息提取單元302，接收組播認證伺服器400發送的認證通過通知或認證失敗 通知。信息提取單元302，用於提取接收單元接收到的數據報文的源地址信息， 並將該源地址信息發送給組播認證伺服器400。報文處理單元303，用於在接收單元301接收到認證通過通知時，針對該 數據報文創建組播轉發表，並利用該組播轉發表轉發數據報文；在接收單元301 接收到認證失敗通知時，丟棄數據報文。另外，為了僅實現針對組播數據報文的認證，該認證設備還可以包括組 播報文識別單元304，用於利用預先在接收數據^l艮文的埠配置的ACL,判斷 接收單元301提供的數據報文是否為組播數據報文，如果是，則將該數據報文 提供給信息提取單元302，否則，觸發報文處理單元303按照現有技術的流程 處理該數據報文。報文處理單元303,還可以用於受到組播淨艮文識別單元304的觸發後，按 照現有技術的流程處理數據報文。其中，上述信息提取單元302可以包括信息提取子單元3021、第一判斷 子單元3022和信息發送子單元3023。信息提取子單元3021,用於提取數據報文中攜帶的源地址信息和目的地址 信息。第一判斷子單元3022,用於判斷源地址信息和目的地址信息的組合是否在 組播源認證表中，如果否，則向信息發送子單元3023發送執行通知；如果是， 則向報文處理單元303發送查找通知。信息發送子單元3023，用於接收到執行通知後，將源地址信息發送給組播 認證伺服器400。報文處理單元303,還用於接收到查找通知後，查找數據報文的組播轉發 表，並利用該組播轉發表轉發數據報文；在接收到認證通過通知後，將數據報 文的源地址和目的地址的組合存儲在組播源認證表中。另外，信息提取單元302還可以包括第二判斷子單元3024。 信息提取子單元3021,還用於提取數據報文的屬性信息。 第二判斷子單元3024,用於接收第一判斷子單元3022發送的執行通知， 利用屬性信息判斷數據報文是否為UDP報文，如果是，則將該執行通知發送給 信息發送子單元3023,否則，向報文處理單元303發送丟棄通知。報文處理單元303，還用於接收到丟棄通知後，丟棄數據報文。 下面對組播認證伺服器的結構進行描述，組播認證伺服器400可以包括 信息接收單元401 、認證單元402和通知發送單元403。
信息接收單元401,用於接收認證設備300發送的數據報文的源地址信息。 認證單元402 ，用於對源地址信息進行認證。
通知發送單元403,用於在認證單元402的認證通過時，向認證設備300 發送認證通過通知，在認證單元402的認證失敗時，向認證設備300發送認證 失敗通知。
其中，上述認證單元402可以包;fe:第一判斷子單元4021，用於判斷源地 址信息是否為預設的合法組播源地址，如果是，則向第二判斷子單元4022發送 i^i正通麼口；否則，確定"i人ii失敗。
第二判斷子單元4022,用於接收到認證通知後，判斷數據報文是否為UDP 報文，如果是，則確定認證成功，否則，確定認證失敗。
該第二判斷子單元4022在確認該數據報文是UDP報文之後，還可以進一 步根據UDP報文中攜帶的埠信息，判斷該攜帶的埠信息是否為預設的合法 埠，如果是，則確定認證通過，否則，確定認證失敗。
另外，認證單元402中也可以僅包括第一判斷子單元，在第一判斷子單 元確認源地址信息是預設的合法組播源地址時，直接確定認證成功，在確認 源地址信息不是預設的合法組播源地址時，直接確定認證失敗。
.由以上描述可以看出，在本發明提供的方法和裝置中，認證設備接收到來 自組播源的數據報文後，將該數據報文中攜帶的源地址信息發送給組播認證服 務器，供該組播認證伺服器對該源地址信息進行認證；如果認證設備接收到該 組播認證伺服器返回的認證通過通知，則針對該數據報文創建組播轉發表，並 利用該組播轉發表轉發該數據報文；如果認證設備接收到所述組播認證伺服器 返回的認證失敗通知，則丟棄該數據報文。也就是說，提供了一種具體的技術 方案，能夠對組播源提供的組播數據基於源地址進行認證，即針對組播源進行 認證，使得通過認證的數據報文在網絡中轉發，阻止沒有通過認證的非法組播源發送的數據報文在網絡中轉發，節約了非法組播源佔用的網絡帶寬，並可以 阻止非法組播源對網絡的攻擊，從而提高網絡安全性。
以上所述僅為本發明的較佳實施例而已，並不用以限制本發明，凡在本 發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在 本發明保護的範圍之內。
權利要求
1、一種組播認證的方法，其特徵在於，該方法包括認證設備接收到來自組播源的數據報文後，將該數據報文中攜帶的源地址信息發送給組播認證伺服器，供該組播認證伺服器對該源地址信息進行認證；如果認證設備接收到所述組播認證伺服器返回的認證通過通知，則針對該數據報文創建組播轉發表，並利用該組播轉發表轉發該數據報文；如果認證設備接收到所述組播認證伺服器返回的認證失敗通知，則丟棄該數據報文。
2、 根據權利要求1所述的方法，其特徵在於，在所述將該數據報文中攜帶 的源地址信息發送給組播認證伺服器之前還包括所述認證設備利用預先在接 收所述數據報文的埠配置的ACL,判斷所述數據報文是否為組播數據報文， 如果是，則繼續執行所述將該數據報文中攜帶的源地址信息發送給組播認證服 務器的步驟；否則，按照現有技術的流程處理所述數據報文。
3、 根據權利要求2所述的方法，其特徵在於，所述ACL中包括網絡中的 組播地址信息；判斷所述數據報文是否為組播數據報文具體包括判斷所述數據報文的目 的地址是否在所述ACL中，如果是，則確定該數據報文是組播數據報文，如果 否，則確定該數據報文不是組播數據報文。
4、 根據權利要求1所述的方法，其特徵在於，在所述將該數據報文中攜帶 的源地址信息發送給組播認證伺服器之前還包括判斷所述數據報文中攜帶的 源地址和目的地址的組合是否在組播源認證表中，如果否，則繼續執行所述將 該數據"t艮文中攜帶的源地址信息發送給組播認證伺服器的步驟，如果是，則查 找所述數據報文的組播轉發表，並利用該組播轉發表轉發所述數據報文；認證設備接收到所述組播認證伺服器返回的認證通過通知之後還包括所中。
5、 根據權利要求1所述的方法，其特徵在於，所述組播認證伺服器對該源地址信息進行認證具體包括所述組播認證伺服器判斷所述源地址信息是否為 預設的合法組播源地址，如果是，則向所述認證設備發送認證通過通知，否貝'J, 向所述i人證i殳備發送"i人證失敗通知。
6、 根據權利要求5所述的方法，其特徵在於，在將該數據報文中攜帶的源 地址信息發送給組播認證伺服器之前還包括所述認證設備判斷接收到的數據 報文是否為UDP報文，如果是，則繼續執行所述將該數據報文中攜帶的源地址 信息發送給組播認證伺服器的步驟，否則，丟棄所述數據報文；或者，在組播認證伺服器確定所述源地址信息是預設的合法組播源地址之 後還包括所述組播認證伺服器利用認證設備發送的數據報文的屬性信息，判 斷所述數據報文是否為UDP報文，如果是，則繼續執行所述向認證設備發送認 證通過通知的步驟，否則，向所述認證設備發送認證失敗通知。
7、 根據權利要求1至6任一權項所述的方法，其特徵在於，所述源地址為 源IP位址，或者源MAC地址，或者源IP位址和源MAC地址的組合。
8、 一種認證設備，其特徵在於，該認證設備包括接收單元、信息提取單 元和報文處理單元；所述接收單元，用於接收來自組播源的數據報文，並將該數據報文提供給 信息提取單元，接收認證通過通知或認證失敗通知；所述信息提取單元，用於提取所述接收單元接收到的數據報文的源地址信 息，並將該源地址信息發送給組播認證伺服器；報文處理單元，用於在所述接收單元接收到認證通過通知時，針對該數據 報文創建組播轉發表，並利用該組播轉發表轉發所述數據報文；在所述接收單 元接收到認證失敗通知時，丟棄所述數據報文。
9、 根據權利要求8所述的認證設備，其特徵在於，該認證設備還包括組 播報文識別單元，用於利用預先在接收所述數據報文的埠配置的ACL，判斷 所述接收單元提供的數據報文是否為組播數據報文，如果是，則將該數據報文 提供給所述信息提取單元，否則，觸發所述報文處理單元按照現有技術的流程 處理所述數據報文；所述報文處理單元，還用於受到所述組播報文識別單元的觸發後，按照現 有技術的流程處理所述數據報文。
10、 根據權利要求8所述的認證設備，其特徵在於，所述信息提取單元具體包括信息提取子單元、第一判斷子單元和信息發送子單元；所述信息提取子單元，用於提取所述數據報文中攜帶的源地址信息和目的 地址信息；所述第一判斷子單元，用於判斷所述源地址信息和目的地址信息的組合是 否在組播源認證表中，如果否，則向所述信息發送子單元發送執行通知；如果 是，則向所述報文處理單元發送查找通知；所述信息發送子單元，用於接收到所述執行通知後，將所述源地址信息發 送給組播認證伺服器；所述報文處理單元，還用於接收到所述查找通知後，查找所述數據^^艮文的 組播轉發表，並利用該組播轉發表轉發所述數據報文；在接收到所述認證通過 通知後，將所述數據報文的源地址和目的地址的組合存儲在組播源認證表中。
11、 根據權利要求8所述的認證設備，其特徵在於，所述信息提取單元還 包括第二判斷子單元；所述信息提取子單元，還用於提取所述數據報文的屬性信息； 所述第二判斷子單元，用於接收所述第一判斷子單元發送的執行通知，利 用所述屬性信息判斷所述數據報文是否為UDP報文，如果是，則將該執行通知 發送給所述信息發送子單元，否則，向所述報文處理單元發送丟棄通知； 所述報文處理單元，還用於接收到丟棄通知後，丟棄所述數據報文。
12、 一種組播認證伺服器，其特徵在於，該組播認證伺服器包括信息接 收單元、認證單元和通知發送單元；所述信息接收單元，用於接收認證設備發送的數據報文的源地址信息； 所述認證單元，用於對所述源地址信息進行認證；所述通知發送單元，用於在認證單元的認證通過時，向所述認證設備發送 認證通過通知，在所述認證單元的認證失敗時，向所述認證設備發送認證失敗通知。
13、根據權利要求12所述的組播認證伺服器，其特徵在於，所述認證單元 包括第一判斷子單元，用於判斷所述源地址信息是否為預設的合法組播源地 址，如果是，則向所述第二判斷子單元發送認證通知；否則，確定認證失敗；所述第二判斷子單元，用於接收到所述認證通知後，判斷所述數據報文是 否為UDP報文，如果是，則確定認證成功，否則，確定認證失敗。
全文摘要
本發明提供了一種組播認證的方法、認證設備和組播認證伺服器，其中，方法包括認證設備接收到來自組播源的數據報文後，將該數據報文中攜帶的源地址信息發送給組播認證伺服器，供該組播認證伺服器對該源地址信息進行認證；如果認證設備接收到該組播認證伺服器返回的認證通過通知，則針對該數據報文創建組播轉發表，並利用該組播轉發表轉發該數據報文；如果認證設備接收到所述組播認證伺服器返回的認證失敗通知，則丟棄該數據報文。通過本發明節約了網絡帶寬並且提高了網絡的安全性。
文檔編號H04L12/56GK101304328SQ20081011639
公開日2008年11月12日 申請日期2008年7月9日 優先權日2008年7月9日
發明者郭振華 申請人:杭州華三通信技術有限公司