專利名稱:虛擬組播域受控認(rèn)證方法及路由器的參與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)����,特別是涉及一種虛擬組播域受控認(rèn)證方法及路由器的參與方法。
背景技術(shù):
傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用都是用點(diǎn)對(duì)點(diǎn)的IP傳輸(單播技術(shù))�,而點(diǎn)對(duì)多點(diǎn)的IP傳輸(廣播技術(shù))只限于局域網(wǎng)內(nèi)部應(yīng)用,組播技術(shù)則在廣域網(wǎng)內(nèi)實(shí)現(xiàn)點(diǎn)至多點(diǎn)的IP傳輸技術(shù)��。
20世紀(jì)80年代����,在斯坦福大學(xué)的一篇名為《在一種數(shù)據(jù)報(bào)文網(wǎng)絡(luò)里的組播》的博士論文中描述了組播組管理IGMP協(xié)議,成功的把組播技術(shù)推進(jìn)到IP層�。關(guān)于IP組播技術(shù)的探索一直在進(jìn)行,人們?cè)诖嘶A(chǔ)上完成了獨(dú)立組播協(xié)議(PIM����,Protocol Independent Multicast)等組播路由協(xié)議,從而將組播協(xié)議推向整個(gè)互聯(lián)網(wǎng)�����。組播路由技術(shù)的基本思路是在離接收者最近的地方才復(fù)制組播數(shù)據(jù)����,所以可以節(jié)省大量重復(fù)數(shù)據(jù)傳輸時(shí)的網(wǎng)絡(luò)帶寬。在今后的寬帶互聯(lián)網(wǎng)應(yīng)用中����,組播技術(shù)將成為多媒體數(shù)據(jù)通信的主要路由協(xié)議之一。
目前���,比較常用的三層組播路由協(xié)議PIM���,包括密集模式的組播路由協(xié)議(PIM-DM,Protocol Independent Multicast-Dense Mode)和稀疏模式的組播路由協(xié)議(PIM-SM�,Protocol Independent Multicast-Sparse Mode)兩種模式����。所述PIM-DM是一種與單播路由選擇協(xié)議無(wú)關(guān)的組播路由協(xié)議��,它不依賴于特定的單播路由協(xié)議�����,是一種密集模式的組播路由協(xié)議�,比較適合應(yīng)用于接收站點(diǎn)分布密集的網(wǎng)絡(luò)。所述PIM-DM路由器通過(guò)PIM HELLO報(bào)文來(lái)發(fā)現(xiàn)和維護(hù)鄰居信息���,PIM-DM路由器通過(guò)上游主動(dòng)泛洪建立轉(zhuǎn)發(fā)樹�����。
所述PIM-SM是一種與單播路由選擇協(xié)議無(wú)關(guān)的組播路由協(xié)議����,它不依賴于特定的單播路由協(xié)議����,是一種稀疏模式的組播路由協(xié)議,比較適合應(yīng)用于接收站點(diǎn)分布稀疏的網(wǎng)絡(luò),是目前應(yīng)用最為廣泛的組播路由協(xié)議�����。所述PIM-SM使用單播路由表來(lái)實(shí)現(xiàn)反向路徑檢查����,它通過(guò)設(shè)置匯聚點(diǎn)路由器和自舉路由器來(lái)向所有PIM-SM路由器通告匯聚點(diǎn)集合的信息���;PIM-SM路由器通過(guò)顯式的發(fā)送加入/剪枝信息建立起基于匯聚點(diǎn)的共享樹����,組播數(shù)據(jù)沿著共享樹流到加入到該組播組的網(wǎng)段��。
但無(wú)論是PIM-DM還是PIM-SM�,都通過(guò)握手(PIM HELLO)報(bào)文來(lái)發(fā)現(xiàn)和維護(hù)鄰居信息,只要鄰居信息合法�����,其它后續(xù)的報(bào)文都認(rèn)為是合法的���,即沒(méi)有一個(gè)較好的受控認(rèn)證機(jī)制��;只要支持PIM協(xié)議的攻擊者和組播域中的PIM路由器建立起PIM鄰居�����,都可以對(duì)組播域中的PIM路由器發(fā)起攻擊���,包括非法接收組播流���、欺騙上游路由器進(jìn)行剪枝等等。
然而�����,現(xiàn)有的受控認(rèn)證機(jī)制主要是利用接入控制列表(ACL�,AccessControl List)的過(guò)濾來(lái)對(duì)PIM鄰居進(jìn)行限制。所述接入控制列表為進(jìn)行網(wǎng)絡(luò)流量高級(jí)控制提供過(guò)濾功能�����,使管理員可以根據(jù)應(yīng)用程序類型����、協(xié)議、IP地址��、MAC地址等來(lái)轉(zhuǎn)發(fā)、阻止或重定向數(shù)據(jù)包��。其實(shí)現(xiàn)過(guò)程為對(duì)于一個(gè)組播域中的PIM路由器接口�,設(shè)置PIM鄰居相關(guān)的ACL過(guò)濾規(guī)則來(lái)進(jìn)行PIM鄰居過(guò)濾。所述ACL過(guò)濾規(guī)則由管理員配置基于接口的過(guò)濾列表�,對(duì)源地址IP進(jìn)行過(guò)濾�����。因此���,管理員要為每一個(gè)PIM路由器接口手工配置過(guò)濾列表��,但是在PIM路由器比較多的情況下�����,對(duì)于每臺(tái)PIM路由器的ACL都需要用戶手工配置���,其工作量較大,且改動(dòng)時(shí)比較麻煩���,也不便于管理和維護(hù)�����。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問(wèn)題是提供一種虛擬組播域受控認(rèn)證方法及路由器的參與方法��,以解決現(xiàn)有技術(shù)中由于無(wú)法控制組播數(shù)據(jù)的流向而使組播網(wǎng)絡(luò)的PIM路由器受到外界非法組播流攻擊的技術(shù)問(wèn)題��。
為解決上述問(wèn)題���,本發(fā)明提供一種路由器參與虛擬組播域受控認(rèn)證方法�����,包括步驟A����、向相鄰路由器發(fā)送攜帶虛擬組播域標(biāo)識(shí)符的握手報(bào)文�;B、接收其他路由器發(fā)送的握手報(bào)文�����,并判斷該報(bào)文所攜帶的虛擬組播域標(biāo)識(shí)符是否屬于本域�����,如是,則處理該握手報(bào)文�����,建立鄰居關(guān)系�����;若不是�,則不建立鄰居關(guān)系�����。
所述握手報(bào)文為PIM HELLO報(bào)文��,所述虛擬組播域標(biāo)識(shí)符設(shè)于PIMHELLO報(bào)文的附加選項(xiàng)中����。
所述附加選項(xiàng)的內(nèi)容還包括類型和長(zhǎng)度。
所述路由器屬于至少兩個(gè)虛擬組播域��,其發(fā)送的握手報(bào)文中至少攜帶兩個(gè)虛擬組播域標(biāo)識(shí)符����。
所述方法還包括步驟C�、所述PIM路由器刪除握手報(bào)文中的虛擬組播域標(biāo)識(shí)符�����,并再次發(fā)送以離開其所屬的虛擬組播域�。
另外,本發(fā)明還提供一種虛擬組播域受控認(rèn)證方法����,包括步驟A、將組播域劃分為多個(gè)虛擬組播域��,每一虛擬組播域均有相應(yīng)的虛擬組播域標(biāo)識(shí)符���;B����、上游PIM路由器接收下游PIM路由器發(fā)送的PIM HELLO報(bào)文���,獲取所述PIM HELLO報(bào)文中攜帶下游PIM路由器所加入虛擬組播域的虛擬組播域標(biāo)識(shí)符�;C�����、判斷所獲取的虛擬組播域標(biāo)識(shí)符與該上游PIM路由器的虛擬組播域標(biāo)識(shí)符是否相同,若相同�,則所述下游PIM路由器屬于該受控的虛擬組播域。
所述PIM HELLO報(bào)文的附加選項(xiàng)中包括虛擬組播域標(biāo)識(shí)符�����。
當(dāng)PIM路由器加入到至少兩個(gè)虛擬組播域時(shí)��,所述PIM路由器發(fā)出的PIM HELLO報(bào)文的附加選項(xiàng)中包括至少兩個(gè)虛擬組播域標(biāo)識(shí)符��。
根據(jù)組播的虛擬域�����,將多臺(tái)PIM路由器劃分到一個(gè)組播域中���,形成虛擬組播域;所述虛擬組播域標(biāo)識(shí)符是用于區(qū)分不同的虛擬組播域���。
與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下有益效果管理員根據(jù)網(wǎng)絡(luò)拓?fù)鋵⒔M播域劃分成多個(gè)虛擬組播域�����;并將指定的下游PIM路由器加入到指定的虛擬組播域中���,且所述下游PIM路由器周期性發(fā)送帶有附加選項(xiàng)的虛擬組播域標(biāo)識(shí)符的PIM HELLO報(bào)文�;當(dāng)上游PIM路由器收到下游PIM路由器發(fā)送的PIMHELLO報(bào)文時(shí)�����,通過(guò)判斷所述PIM HELLO報(bào)文的合法性�,來(lái)檢測(cè)所述下游PIM路由器是否屬于該控制虛擬組播域,若是�,則將組播流從上游PIM路由器流向下游PIM路由器。否則����,不對(duì)所述PIM HELLO報(bào)文進(jìn)行處理。由此可見(jiàn)�����,本發(fā)明所述方案較好地解決了組播網(wǎng)絡(luò)中PIM路由器受到外界非法攻擊的問(wèn)題�,屏蔽了非虛擬組播域中的PIM路由器信息,較好的控制了PIM路由器的權(quán)限及組播流的流向����;同時(shí)���,PIM路由器可以動(dòng)態(tài)的加入或離開虛擬組播域,便于集中管理和維護(hù)�。另外,也解決了組播網(wǎng)絡(luò)中PIM路由器的組播流處理權(quán)限的問(wèn)題��,有效地控制組播流向及下游PIM路由器的接收權(quán)限��,同時(shí)加強(qiáng)對(duì)PIM路由器節(jié)點(diǎn)的安全認(rèn)證�����。并且�,可以動(dòng)態(tài)地改變PIM路由器的訪問(wèn)權(quán)限,便于集中管理和維護(hù)���。
圖1是本發(fā)明所述路由器參與虛擬組播域受控認(rèn)證方法的流程圖;圖2是本發(fā)明所述路由器參與虛擬組播域受控認(rèn)證方法的一實(shí)施例��;圖3是本發(fā)明所述虛擬組播域受控認(rèn)證方法的流程圖�����。
具體實(shí)施例方式
本發(fā)明的核心是管理者根據(jù)網(wǎng)絡(luò)拓?fù)鋵⒔M播域劃分為多個(gè)虛擬組播域,并為每一個(gè)虛擬組播域分配全局唯一的虛擬組播標(biāo)識(shí)符�;將指定的下游PIM路由器加入指定的虛擬組播域中,且所述下游PIM路由器周期性發(fā)送帶有附加選項(xiàng)的虛擬組播域標(biāo)識(shí)符的PIM HELLO報(bào)文�����;當(dāng)上游PIM路由器收到PIMHELLO報(bào)文時(shí)����,通過(guò)判斷PIM HELLO報(bào)文的合法性,來(lái)檢測(cè)所加入的下游PIM路由器是否屬于該上游PIM路由器所在的虛擬組播域�����。并根據(jù)判斷結(jié)果對(duì)所述下游PIM路由器進(jìn)行相應(yīng)的認(rèn)證和管理�����。通過(guò)本發(fā)明所述方案����,可以較好的解決組播網(wǎng)絡(luò)中PIM路由器受到外界非法攻擊的問(wèn)題,通過(guò)判斷PIMHELLO報(bào)文中攜帶的附加選項(xiàng)的虛擬組播標(biāo)識(shí)與本身的標(biāo)識(shí)是否相同�����,可以屏蔽虛擬組播域中的非法的PIM路由器信息,較好的控制了PIM路由器的權(quán)限及組播流的流向���。同時(shí)�,PIM路由器可以動(dòng)態(tài)的加入或離開虛擬組播域�,便于集中管理和維護(hù)。
下面結(jié)合附圖�,對(duì)本發(fā)明做進(jìn)一步的說(shuō)明。
請(qǐng)參閱圖1�����,為本發(fā)明所述路由器參與虛擬組播域受控認(rèn)證方法的流程圖���。所述方法包括步驟步驟S10向相鄰路由器發(fā)送攜帶虛擬組播域標(biāo)識(shí)符的握手報(bào)文�;步驟S11接收其他路由器發(fā)送的握手報(bào)文��,并判斷該報(bào)文所攜帶的虛擬組播域標(biāo)識(shí)符是否屬于本域����;步驟S12如是�����,則處理該握手報(bào)文,建立鄰居關(guān)系�����;步驟S13若不是��,則不建立鄰居關(guān)系�。
在介紹本發(fā)明之前,請(qǐng)先參考下述幾個(gè)概念虛擬組播域�、虛擬組播域標(biāo)識(shí)符、PIM HELLO選項(xiàng)和PIM HELLO報(bào)文��。
所述虛擬組播域是管理員人為劃分定義的一個(gè)針對(duì)組播的虛擬域���,將多臺(tái)組播PIM路由器劃分到一個(gè)虛擬組播域中���;比如虛擬組播域可以用Domain1、Domain2等等來(lái)表示���;所述虛擬組播域標(biāo)識(shí)符是唯一標(biāo)識(shí)每一個(gè)虛擬組播域的標(biāo)識(shí)符��,用來(lái)區(qū)分每個(gè)不同的虛擬組播域�,如果一個(gè)虛擬組播域用Domain1或Domain2來(lái)表示,則虛擬組播域標(biāo)識(shí)符則為1或2�。
所述PIM HELLO選項(xiàng)是指附加在PIM HELLO報(bào)文中,且用來(lái)標(biāo)識(shí)PIM路由器相關(guān)信息的選項(xiàng)�,一個(gè)PIM HELLO報(bào)文中可能帶有多個(gè)不同的附加選項(xiàng),其中所述附加選項(xiàng)的格式如下所示0 1230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| 類型字段(Type) | 長(zhǎng)度(Length) |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-| 虛擬組播域標(biāo)識(shí)符(Value ID) |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-所述附加選項(xiàng)的內(nèi)容至少包括類定����、長(zhǎng)度和虛擬組播域標(biāo)識(shí)符。
所述PIM HELLO報(bào)文指PIM路由器使能PIM功能后周期性發(fā)出的握手報(bào)文��,用來(lái)發(fā)現(xiàn)和維護(hù)鄰居信息��。也就是說(shuō)���,PIM路由器收到PIM HELLO報(bào)文后�,取出該報(bào)文中的源地址���,即該P(yáng)IM HELLO的發(fā)送者的IP地址����,PIM路由器在本設(shè)備的鄰居列表中查找該發(fā)送者的IP地址是否存在���,如果存在說(shuō)明已經(jīng)學(xué)習(xí)到該鄰居���;如果沒(méi)有�����,則將該IP地址加入到鄰居列表中。
在標(biāo)準(zhǔn)的組播中�����,接收者(比如下游PIM路由器)可以任意的加入組播組��,也就是說(shuō)�����,組播樹的分枝是不可控的��,組播源并不了解組播樹的范圍與方向��,安全性較低��,即不能有效的阻止非法的PIM路由器信息�。也就是說(shuō),在組播流進(jìn)入組播網(wǎng)絡(luò)之前�,組播業(yè)務(wù)控制設(shè)備應(yīng)負(fù)責(zé)區(qū)分非法的PIM路由器��,轉(zhuǎn)發(fā)合法的組播流信息����,阻斷非法的組播流信息����。特別是隨著組播網(wǎng)絡(luò)規(guī)模的擴(kuò)大,手工配信息源的管理信息的工作將變得非常的復(fù)雜����,阻礙網(wǎng)絡(luò)的發(fā)展。因此�,為了屏蔽虛擬組播域中的非法的PIM路由器信息,較好的控制了PIM路由器的權(quán)限及組播流的流向���。本發(fā)明所先將組播域劃分為多個(gè)虛擬組播域��,再將指定的PIM路由器加入指定的虛擬組播域�����,通過(guò)檢測(cè)組播域信息���,來(lái)控制組播樹的范圍與方向��,即控制PIM路由器的權(quán)限及組播流的流向���。其具體的實(shí)現(xiàn)過(guò)程為管理員先根據(jù)網(wǎng)絡(luò)拓?fù)鋵⒔M播域劃分成多個(gè)虛擬組播域;并為每一個(gè)虛擬組播域分配全局唯一的虛擬組播域標(biāo)識(shí)符��。所述劃分組播域����,這是由管理員自己定義的��,可以根據(jù)具體情況進(jìn)行劃分��。即管理員可以根據(jù)核心設(shè)備建立的拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)����,挑選出自己認(rèn)定合法的節(jié)點(diǎn)設(shè)備,根據(jù)這些節(jié)點(diǎn)設(shè)備將網(wǎng)絡(luò)劃分成多個(gè)不同的虛擬組播域���。所述拓?fù)渲写娣殴?jié)點(diǎn)設(shè)備的成員的相關(guān)信息(如成員ID��、IP地址�、配置文件路徑等)��。需要說(shuō)明的是,在標(biāo)準(zhǔn)拓?fù)渲写娣诺男畔⒉⒉皇枪潭ǖ?,這里只是舉例說(shuō)明。這些信息是管理員可以任意的配置����,也可以是設(shè)備廠商自定義的。所述分配全局唯一的組播虛擬標(biāo)識(shí)符也是由管理員來(lái)分配的��,使人為規(guī)定的���,只要組播域中各個(gè)虛擬組播域標(biāo)識(shí)符不相同即可�。比如�,管理員將組播域劃分為兩個(gè)不同的虛擬組播域,即Domain1和Domain2�����,其虛擬組播域標(biāo)識(shí)符分別為1和2�。
管理員通過(guò)用戶界面指定的命令設(shè)置將指定的下游PIM路由器加入指定的虛擬組播域。所述下游PIM可路由器一旦加入虛擬組播域�����,則將發(fā)送帶有附加選項(xiàng)的PIM HELLO報(bào)文。所述附加選項(xiàng)中至少包括虛擬組播域標(biāo)識(shí)符��、類型和長(zhǎng)度等����,且所述虛擬組播域標(biāo)識(shí)符是本下游PIM路由器所在虛擬組播域的標(biāo)識(shí)符。而所述PIM HELLO報(bào)文是周期性發(fā)出的����,一般的周期為35秒,但并不限于該周期����。在發(fā)送PIM HELLO報(bào)文前�,需先獲得下游PIM路由器所屬的虛擬組播域標(biāo)識(shí),并將其加到發(fā)送的PIM HELLO報(bào)文中�����。另外�,一臺(tái)下游PIM路由器可以加入到多個(gè)不同的虛擬組播域中,其發(fā)送的PIM HELLO報(bào)文則攜帶多個(gè)附加項(xiàng)�����。即附加PIM路由器所屬所有的虛擬組播域標(biāo)識(shí)符,表示該P(yáng)IM路由器已經(jīng)加入了多個(gè)不同的虛擬組播域���。
還請(qǐng)參考圖2�����,為本發(fā)明所述路由器參與虛擬組播域受控認(rèn)證方法的一實(shí)施例���。如圖2所示,PIM路由器R1����、R2、R3��、R4和R5都在一個(gè)組播網(wǎng)絡(luò)中�����,S是組播源�����,管理員將組播域劃分為兩個(gè)虛擬組播域Domain1和Domain2��,所述PIM路由器R1和R2在Domain1中;所述PIM路由器R3和R4在Domain2中�����;而R5是一個(gè)非法的組播PIM路由器��,它不在任何虛擬組播域中��。
如果將PIM路由器R2加入到虛擬組播域Domain1中�����,且所述類型字段為65001�����,則所述PIM路由器R2發(fā)出的PIM HELLO報(bào)文中所帶的附加選項(xiàng)如下所示����,即類型字段為65001�、長(zhǎng)度為4個(gè)字節(jié)以及虛擬組播標(biāo)識(shí)符為1。其中�����,所述類型字段可用65001-65535中的任一類型,可由管理員任意約定���。
0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|65001|4 |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| 1|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+PIM路由器R1只能與Domain1中的PIM路由器R2建立鄰居關(guān)系��,因?yàn)槎邔儆谕惶摂M組播域���。也就是說(shuō),對(duì)于虛擬組播域Domain1中PIM路由器R1來(lái)說(shuō)����,加入PIM路由器R2是合法的;但是����,對(duì)于加入Domain2的PIM路由器R3或R4來(lái)說(shuō),所述PIM路由器R3和R4對(duì)于Domain1來(lái)說(shuō)都是非法的PIM路由器��。同樣��,所述PIM路由器R3和R4對(duì)于Domain2來(lái)說(shuō)是合法的��,但對(duì)于Domain1的PIM路由器R1和R2來(lái)說(shuō)����,都是非法PIM路由器����。而PIM路由器R5即不屬于Domain1���,也不屬于Domain2�,因此�,所述PIM路由器R5對(duì)于Domain1和Domain2來(lái),是非法的PIM路由器����。
另外,如果將PIM路由器R2既加入到虛擬組播域Domain1中�,也加入到虛擬組播域Domain2中,則PIM路由器R2所發(fā)出的PIM HELLO報(bào)文中所攜帶的附加選項(xiàng)至少包括加入兩個(gè)虛擬組播域的虛擬組播標(biāo)識(shí)符�,其具體的附加選項(xiàng)的格式如下所示0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| 65001|4 |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|1 |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 65001 | 4 |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| 2 |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+也就是說(shuō),所述PIM路由器R2既能與Domain1中的其它PIM路由器(比如R1)建立鄰居關(guān)系���,也能與Domain2中的其它PIM路由器(比如R3或R4)建立鄰居關(guān)系�,因此���,對(duì)于虛擬組播域Domain1和Domain2中的所有PIM路由器來(lái)說(shuō),R2是合法的���。而對(duì)于不屬于虛擬組播域Domain1和Domain2的R5來(lái)說(shuō)是非法的�����。
上游PIM路由器接收到下游PIM路由器發(fā)送的PIM HELLO報(bào)文����,通過(guò)判斷所述PIM HELLO報(bào)文的合法性,來(lái)檢測(cè)所述下游PIM路由器是否屬于該虛擬組播域中的受控PIM路由器����。首先,當(dāng)上游PIM路由器收到下游發(fā)送的PIM HELLO報(bào)文后��,取出其附加選項(xiàng)中的虛擬組播域標(biāo)識(shí)符信息���,即從PIM HELLO報(bào)文中的附加選項(xiàng)中���,找出虛擬組播域的類型字段,然后取出其中的值���;也就是說(shuō)�����,上游PIM路由器從所述PIM HELLO報(bào)文中獲取下游PIM路由器所屬虛擬組播域標(biāo)識(shí)符�����,并將其與自身所屬的虛擬組播域標(biāo)識(shí)符相比較��;如果上游PIM路由器自身所屬的虛擬組播域標(biāo)識(shí)符與收到的PIMHELLO報(bào)文選項(xiàng)中所帶的虛擬組播域標(biāo)識(shí)符相符�����,則所述下游PIM路由器所發(fā)送的PIM HELLO是合法的����,即下游PIM路由器對(duì)于該虛擬組播域來(lái)說(shuō)是合法的,則�����,所述上游PIM路由器將組播流發(fā)送給所述下游PIM路由器進(jìn)行處理���;否則��,如果所述二者的虛擬組播標(biāo)識(shí)符不相同�,則認(rèn)為所述下游PIM路由器所發(fā)送的PIM HELLO是非法的�,則對(duì)所述組播報(bào)文流不進(jìn)行處理。
下面還以圖2為例����,為例便于描述,分別下述將PIM路由器R2��、R3和R5簡(jiǎn)稱為R2���、R3和R5���。如果R2收到R3發(fā)送的PIM HLLO文,R3的PIMHELLO附加選項(xiàng)中帶有所屬虛擬組播域1和2的信息�,即帶有虛擬組播域1和2的虛擬組播標(biāo)識(shí)符。因此對(duì)于R2來(lái)說(shuō)�����,R3是合法的�,則組播流從R2流向R3。而如果R2收到R5發(fā)送的PIM HELLO報(bào)文�,由于R5不屬于任何虛擬組播域,所以R5的PIM HELLO報(bào)文中不帶有任何虛擬組播域的附加選項(xiàng)�����,因此,R2不處理R5所發(fā)送的PIM HELLO報(bào)文的信息�,即R5不會(huì)收到R2發(fā)送的組播流。
由此可見(jiàn)�,在本發(fā)明所述的方案中,所述PIM路由器可以動(dòng)態(tài)的加入或離開虛擬組播域�,這是根據(jù)管理員的指令來(lái)實(shí)施的。如果PIM路由器離開虛擬組播域��,則周期性發(fā)出的PIM HELLO報(bào)文中的附加選項(xiàng)中將不再帶有本虛擬組播域的標(biāo)識(shí)符信息�,則該虛擬組播域中其它的PIM路由器在接收到所述離開PIM路由器發(fā)送的PIM HELLO報(bào)文時(shí),通過(guò)檢測(cè)該報(bào)文中的選項(xiàng)字段�,如果檢測(cè)不到與本身相同的虛擬域標(biāo)識(shí)符,說(shuō)明該P(yáng)IM路由器已不屬于該虛擬組播域了���。因此��,動(dòng)態(tài)的加入或離開虛擬組播域�����,可以讓管理員方便的管理和維護(hù)組播網(wǎng)絡(luò)�。
如果將下游PIM路由器加入該虛擬組播域��,但是如果由于網(wǎng)絡(luò)阻塞、網(wǎng)絡(luò)故障等事件的發(fā)生�,上游PIM路由器在一定的周期內(nèi)沒(méi)有接收到下游PIM路由器發(fā)送的PIM HELLO報(bào)文,則不對(duì)PIM路由器發(fā)送的PIM HELLO報(bào)文進(jìn)行處理��。
上述方案較好地解決了組播網(wǎng)絡(luò)中PIM路由器受到外界非法攻擊的問(wèn)題����,屏蔽了非虛擬組播域中的PIM路由器信息���,較好的控制了PIM路由器的權(quán)限及組播流的流向�;同時(shí)�,PIM路由器可以動(dòng)態(tài)的加入或離開虛擬組播域,便于集中管理和維護(hù)���。另外�����,也解決了組播網(wǎng)絡(luò)中PIM路由器的組播流處理權(quán)限的問(wèn)題��,有效地控制組播流向及下游PIM路由器的接收權(quán)限�,同時(shí)加強(qiáng)對(duì)PIM路由器節(jié)點(diǎn)的安全認(rèn)證����。并且�����,可以動(dòng)態(tài)地改變PIM路由器的訪問(wèn)權(quán)限��,便于集中管理和維護(hù)�����。
另外����,本發(fā)明還提供一種虛擬組播域受控認(rèn)證方法��,其流程圖詳見(jiàn)圖3��。
所述方法包括步驟步驟M10將組播域劃分為多個(gè)虛擬組播域��,每一虛擬組播域均有相應(yīng)虛擬組播域標(biāo)識(shí)符��;
步驟M11上游PIM路由器接收下游PIM路由器發(fā)送的PIM HELLO報(bào)文���,獲取所述PIM HELLO報(bào)文中攜帶下游PIM路由器所加入虛擬組播域的虛擬組播域標(biāo)識(shí)符����;步驟M12判斷所獲取的虛擬組播域標(biāo)識(shí)符與該上游PIM路由器的虛擬組播域標(biāo)識(shí)符是否相同,若相同��,則所述下游PIM路由器屬于該受控的虛擬組播域��。
所述PIM HELLO報(bào)文的附加選項(xiàng)中包括虛擬組播域標(biāo)識(shí)符�����。
當(dāng)PIM路由器加入至少兩個(gè)虛擬組播域時(shí)�,所述PIM路由器發(fā)出的PIMHELLO報(bào)文的附加選項(xiàng)中包括至少兩個(gè)虛擬組播域標(biāo)識(shí)符�。
根據(jù)組播的虛擬域,將多臺(tái)PIM路由器劃分到一個(gè)組播域中����,形成虛擬組播域;所述虛擬組播域標(biāo)識(shí)符是用于區(qū)分不同的虛擬組播域�����。
上述各步驟的具體實(shí)現(xiàn)可參照前面所述方法的實(shí)現(xiàn)過(guò)程����,在此不再贅述。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出��,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾�����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1.一種路由器參與虛擬組播域受控認(rèn)證方法���,其特征在于�����,包括A���、向相鄰路由器發(fā)送攜帶虛擬組播域標(biāo)識(shí)符的握手報(bào)文;B����、接收其他路由器發(fā)送的握手報(bào)文����,并判斷該報(bào)文所攜帶的虛擬組播域標(biāo)識(shí)符是否屬于本域���,如是�,則處理該握手報(bào)文�����,建立鄰居關(guān)系�;若不是,則不建立鄰居關(guān)系���。
2.根據(jù)權(quán)利要求1所述路由器參與虛擬組播域受控認(rèn)證方法,其特征在于�����,所述握手報(bào)文為PIM HELLO報(bào)文���,所述虛擬組播域標(biāo)識(shí)符設(shè)于PIMHELLO報(bào)文的附加選項(xiàng)中�。
3.根據(jù)權(quán)利要求2所述路由器參與虛擬組播域受控認(rèn)證方法����,其特征在于���,所述附加選項(xiàng)的內(nèi)容還包括類型和長(zhǎng)度。
4.根據(jù)權(quán)利要求1所述路由器參與虛擬組播域受控認(rèn)證方法���,其特征在于��,所述路由器屬于至少兩個(gè)虛擬組播域��,其發(fā)送的握手報(bào)文中至少攜帶兩個(gè)虛擬組播域標(biāo)識(shí)符����。
5.根據(jù)權(quán)利要求1所述路由器參與虛擬組播域受控認(rèn)證方法���,其特征在于��,所述方法還包括步驟C�、所述PIM路由器刪除握手報(bào)文中的虛擬組播域標(biāo)識(shí)符符�,并再次發(fā)送以離開其所屬的虛擬組播域。
6.一種虛擬組播域受控認(rèn)證方法���,其特征在于���,包括步驟A�����、將組播域劃分為多個(gè)虛擬組播域�,每一虛擬組播域均有相應(yīng)的虛擬組播域標(biāo)識(shí)符�;B、上游PIM路由器接收下游PIM路由器發(fā)送的PIM HELLO報(bào)文��,獲取所述PIM HELLO報(bào)文中攜帶下游PIM路由器所加入虛擬組播域的虛擬組播域標(biāo)識(shí)符��;C�、判斷所獲取的虛擬組播域標(biāo)識(shí)符與該上游PIM路由器的虛擬組播域標(biāo)識(shí)符是否相同,若相同����,則所述下游PIM路由器屬于該受控的虛擬組播域����。
7.根據(jù)權(quán)利要求6所述路由器參與虛擬組播域受控認(rèn)證方法,其特征在于���,所述PIM HELLO報(bào)文的附加選項(xiàng)中包括虛擬組播域標(biāo)識(shí)符�。
8.根據(jù)權(quán)利要求7所述路由器參與虛擬組播域受控認(rèn)證方法,其特征在于���,當(dāng)PIM路由器加入到至少兩個(gè)虛擬組播域時(shí)��,所述PIM路由器發(fā)出的PIMHELLO報(bào)文的附加選項(xiàng)中包括至少兩個(gè)虛擬組播域標(biāo)識(shí)符��。
9.根據(jù)權(quán)利要求5所述路由器參與虛擬組播域受控認(rèn)證方法��,其特征在于�����,根據(jù)組播的虛擬域�,將多臺(tái)PIM路由器劃分到一個(gè)組播域中�����,形成虛擬組播域�;所述虛擬組播域標(biāo)識(shí)符是用于區(qū)分不同的虛擬組播域。
全文摘要
本發(fā)明涉及一種路由器參與虛擬組播域受控認(rèn)證方法����,包括A、向相鄰路由器發(fā)送攜帶虛擬組播域標(biāo)識(shí)的握手報(bào)文�����;B、接收其他路由器發(fā)送的握手報(bào)文�����,并判斷該報(bào)文所攜帶的虛擬組播域標(biāo)識(shí)是否屬于本域���,如是�����,則處理該握手報(bào)文����,建立鄰居關(guān)系��;若不是�,則不建立鄰居關(guān)系。本發(fā)明以解決現(xiàn)有技術(shù)中由于無(wú)法控制組播數(shù)據(jù)的流向而使組播網(wǎng)絡(luò)的PIM路由器受到外界非法組播流攻擊的技術(shù)問(wèn)題�����。同時(shí)����,也解決了組播網(wǎng)絡(luò)中PIM路由器的組播流處理權(quán)限的問(wèn)題,有效地控制下游PIM路由器的接收權(quán)限���,并且可以動(dòng)態(tài)地改變PIM路由器的訪問(wèn)權(quán)限�����,便于集中管理和維護(hù)���。
文檔編號(hào)H04L12/56GK1764188SQ20051010585
公開日2006年4月26日 申請(qǐng)日期2005年9月23日 優(yōu)先權(quán)日2005年9月23日
發(fā)明者孫廣新 申請(qǐng)人:杭州華為三康技術(shù)有限公司