專利名稱：一種組播安全管理方法及裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及組播管理技術(shù)，尤其涉及在視頻監(jiān)控的組網(wǎng)環(huán)境下的組播安全管理的技術(shù)。
背景技術(shù)：
隨著視音頻編解碼技術(shù)和網(wǎng)絡(luò)存儲技術(shù)的發(fā)展，將攝像機的圖像數(shù)據(jù)數(shù)字化，并在Internet網(wǎng)絡(luò)上傳輸、存儲形成了數(shù)字視頻監(jiān)控技術(shù)。現(xiàn)有的綜合數(shù)字監(jiān)控存儲管理系統(tǒng)如圖I所示，包括編碼器(Encoder，簡稱EC)、視頻管理服務(wù)器(Video Management,簡稱VM)、視頻客戶端(Video Client,簡稱VC)和存儲單元(Storage unit)以及相應(yīng)的軟件管理系統(tǒng)及網(wǎng)絡(luò)傳輸設(shè)備?？梢钥吹?，EC數(shù)量眾 多，分布廣泛，通常與VM以及VC需要通過網(wǎng)絡(luò)來傳輸視頻數(shù)據(jù)，在視頻監(jiān)控系統(tǒng)中，為了節(jié)約網(wǎng)絡(luò)帶寬，經(jīng)常采用組播方式發(fā)送實時視頻數(shù)據(jù)，而接收者只需要加入相應(yīng)的組播組即可接收到視頻數(shù)據(jù)，組播的應(yīng)用節(jié)約了網(wǎng)絡(luò)的帶寬，但是，同時也帶來了安全管理問題。如圖2所示的應(yīng)用環(huán)境中，用戶A是合法用戶，而用戶B是非法用戶，但如果用戶B接入網(wǎng)絡(luò)后，與用戶A在同一個交換機的同一個VLAN下，那么此非法用戶B可以通過在自己的網(wǎng)口抓IGMP協(xié)議包的方法得到合法用戶A正在接收的流量組播IP地址，然后發(fā)送對應(yīng)的組播加入請求報文，進行流量竊聽；或者該非法用戶B直接通過發(fā)送海量的組播加入請求報文，進行組播組的掃描加入，將整網(wǎng)中的組播流都引到其接收端口上進行竊聽；甚至直接竊取合法用戶A的IP地址，仿冒合法用戶A進行加入組播，獲取視頻監(jiān)控信息，上述做法均會給視頻監(jiān)控組網(wǎng)帶來安全隱患。

發(fā)明內(nèi)容
有鑒于此，本申請?zhí)峁┮环N組播安全管理方法，應(yīng)用于包括有視頻管理服務(wù)器VM、接入交換機和若干用戶的視頻監(jiān)控網(wǎng)絡(luò)中，所述方法包括A接入交換機向與自身連接的用戶下發(fā)帶有交換機標識和用戶接入端口號的報文，其中，所述交換機標識以及用戶接入端口號經(jīng)由用戶發(fā)送至VM以供其保存在本地；B接入交換機收到用戶的組播點播請求報文，將該用戶的信息以及交換機標識以及用戶接入端口號攜帶在鑒權(quán)請求報文中發(fā)送給VM進行鑒權(quán)；C接入交換機收到VM的鑒權(quán)響應(yīng)報文后，根據(jù)該鑒權(quán)響應(yīng)報文攜帶的鑒權(quán)結(jié)果確定用戶是否合法，如果是合法用戶，則轉(zhuǎn)發(fā)其點播請求報文，如果為非法用戶，則禁止轉(zhuǎn)發(fā)其點播請求報文?；谕瑯拥陌l(fā)明思想，本發(fā)明還提供一種組播安全管理方法，該方法應(yīng)用于視頻管理服務(wù)器，所述視頻管理服務(wù)器VM接收用戶發(fā)送的交換機標識以及用戶接入該交換機的端口號；VM接收用戶的視頻點播請求，根據(jù)點播的視頻流將對應(yīng)的組播IP地址發(fā)送給用戶；VM在本地生成用戶組播表項，該表項包括用戶信息、接入交換機標識、接入端口號、力口入組播IP地址；VM接收交換機發(fā)送的鑒權(quán)請求，該鑒權(quán)請求包括用戶信息、接入交換機標識、接入端口號、加入組播IP地址，VM將鑒權(quán)請求中包括的信息和本地對應(yīng)的用戶組播表項進行匹配，如果所有信息都匹配，發(fā)送合法用戶的鑒權(quán)響應(yīng)報文；如果不是所有信息都匹配，發(fā)送非法用戶的鑒權(quán)響應(yīng)報文。本發(fā)明還提供一種接入交換機，應(yīng)用于包括有VM和若干用戶的視頻監(jiān)控網(wǎng)絡(luò)中，所述交換機包括信息下發(fā)模塊，向與自身連接的用戶下發(fā)所述接入交換機的標識和用戶接入端口號，其中，所述交換機標識以及用戶接入端口號經(jīng)由用戶發(fā)送至VM供其保存在本地；發(fā)送模塊，將點播組播的用戶信息攜帶在鑒權(quán)請求報文中發(fā)送給VM ；偵聽模塊，接收用戶的組播點播請求報文，獲取用戶信息，并發(fā)送給發(fā)送模塊；處理模塊，根據(jù)收到的VM的鑒權(quán)響應(yīng)報文中的鑒權(quán)結(jié)果，對接入的用戶的組播點播請求報文進行處理如果是合法用戶，轉(zhuǎn)發(fā)其點播請求報文，如果是非法用戶，禁止轉(zhuǎn)發(fā)其點播求報文呢。本發(fā)明還提供一種VM，應(yīng)用于包括接入交換機和若干用戶的視頻監(jiān)控網(wǎng)絡(luò)中，所述VM包括注冊模塊，接收來自用戶的攜帶有接入交換機識別信息和接入端口號的報文，并通知記錄模塊記錄上述信息；記錄模塊，記錄合法用戶攜帶的交換機識別信息和接入端口號，記錄合法用戶點播的組播IP地址；鑒權(quán)模塊，根據(jù)記錄模塊記錄的用戶信息以及合法用戶點播的組播IP地址，核對接入交換機發(fā)送的鑒權(quán)請求報文中的用戶信息、接入交換機的識別信息以及接入端口號與上述記錄的用戶信息是否一致，確認所述用戶是否是合法用戶，并將鑒權(quán)結(jié)果攜帶在鑒權(quán)響應(yīng)報文中發(fā)送給所述接入交換機，供其作為是否轉(zhuǎn)發(fā)其點播請求報文的判斷依據(jù)。本申請通過上述方案，接入交換機上和VM上配合完成合法用戶的鑒定和區(qū)分，使非法接入網(wǎng)絡(luò)的用戶無法接收到非法點播的組播信息，從而保護了合法用戶的權(quán)益，維護了視頻監(jiān)控網(wǎng)絡(luò)中組播數(shù)據(jù)的安全。


圖I是現(xiàn)有技術(shù)中的視頻監(jiān)控組網(wǎng)圖。圖2是本申請的一種實施方式的流程圖。圖3是本申請的又一種實施方式的流程圖。圖4是本申請的一種實施方式的應(yīng)用場景圖。圖5是本申請的一種接入交換機。圖6是本申請的一種VM。
具體實施例方式以下結(jié)合附圖描述本發(fā)明具體實施方式
。參考圖2，步驟201，接入交換機向與自身連接的用戶下發(fā)帶有交換機標識和用戶接入端口號的報文，其中所述交換機標識以及用戶接入端口號經(jīng)由用戶注冊過程保存至視頻管理服務(wù)器VM。
當(dāng)用戶接入網(wǎng)絡(luò)時，接入交換機向用戶下發(fā)攜帶有接入交換機的標識信息和接入端口號的報文，使用戶在向VM發(fā)送報文時攜帶上述信息，這里用戶發(fā)送的報文可以是用戶向VM發(fā)送的注冊報文，也可以是用戶和VM之間定制的私有報文，甚至可以借用用戶的業(yè)務(wù)類報文。其中，接入交換機的標識可以是交換機名稱或者是交換機的MAC地址，該信息可以通過用戶與交換機之間定制的私有報文完成傳遞，也可以通過用戶與接入交換機之間的其他交互報文中獲取。VM接收來自用戶的報文，根據(jù)報文中攜帶接入交換機的唯一標識以及用戶接入交換機的接入端口號信息，VM上記錄合法用戶的相關(guān)信息，建立用戶信息表，該用戶信息表記錄了合法用戶的IP地址，接入交換機及接入端口號等信息。 步驟202，接入交換機收到用戶的加入組播組的請求報文，獲取用戶的信息，并將該用戶信息、交換機標識以及用戶接入端口號攜帶在鑒權(quán)請求報文中發(fā)送給VM進行鑒權(quán)。在接入交換機上啟用管理IP地址，并使能IGSP (Internet Group ManagementProtocol Snooping,互聯(lián)網(wǎng)組管理協(xié)議窺探)。當(dāng)接入交換機收到用戶的組播加入請求報文，請求加入第一組播組時，交換機通過偵聽，記錄用戶的IP地址和請求加入的組播IP地址，隨后，接入交換機和VM之間啟用私有消息機制，將偵聽到用戶的源和目的IP地址信息以及用戶接入端口號通過鑒權(quán)請求報文發(fā)送至VM，請求鑒權(quán)。步驟203，接入交換機收到VM的鑒權(quán)響應(yīng)報文后，根據(jù)該鑒權(quán)響應(yīng)報文攜帶的鑒權(quán)結(jié)果確定用戶是否合法，如果是合法用戶，則轉(zhuǎn)發(fā)其點播請求報文，如果為非法用戶，則禁止轉(zhuǎn)發(fā)其點播請求報文。VM查找用戶信息表，確認用戶是否是合法用戶，并將鑒權(quán)結(jié)果攜帶在鑒權(quán)響應(yīng)報文中發(fā)送給接入交換機。VM接收到接入交換機的鑒權(quán)請求報文，通過與本地數(shù)據(jù)庫中保存的合法的用戶信息進行比對，可以確認用戶為注冊用戶，且申請的組播組也是合法的，即鑒權(quán)請求報文的攜帶的用戶信息與點播的組播IP地址必須同時與VM本地數(shù)據(jù)庫中的信息一致，才可認為是合法用戶，否則即使用戶為注冊用戶，但請求的組播IP地址并未顯示在數(shù)據(jù)庫的條目中，也會認為是用戶是非法用戶。這樣，即使非法用戶仿冒合法用戶，冒用合法用戶的IP地址進行流量竊取，但VM記錄的合法用戶的接入交換機和端口標識均與之不一致，VM仍能夠區(qū)分出非法用戶?；谕瑯拥陌l(fā)明思想，在本發(fā)明的一種實施例中，還提供一種組播安全管理方法，該方法應(yīng)用于視頻管理服務(wù)器，所述方法如圖4所述，包括步驟301，VM接收用戶發(fā)送的交換機標識以及用戶接入該交換機的端口號。當(dāng)用戶接入網(wǎng)絡(luò)時，接入交換機上啟用所述用戶的配置，配置信息包括用戶信息以及接入端口號等，接入交換機向用戶下發(fā)攜帶有接入交換機的標識信息和接入端口號的報文，使用戶在向VM發(fā)送的報文中攜帶上述信息，這里的報文可以是用戶向VM發(fā)送的注冊報文，也可以是用戶和VM之間定制的私有報文。其中，接入交換機的標識可以是交換機名稱或者是交換機的MAC地址，該信息可以通過用戶與交換機之間定制的私有報文完成傳遞，也可以通過用戶與接入交換機之間的其他交互報文中獲取。合法用戶注冊成功后，向VM請求某個視頻源(例如某一攝像頭的視頻)對應(yīng)的組播IP地址，VM則可以將用戶與其希望加入的組播IP地址對應(yīng)保存起來，等到用戶發(fā)送加入請求時，可以對這一信息進行驗證以進一步提高安全性，比如用戶請求了組播IP地址A，但實際上發(fā)送的加入請求卻指向組播IP地址B，用戶這樣的行為可能是非法。步驟302，VM接收用戶請求，并將對應(yīng)的組播IP地址發(fā)送給用戶。VM在本地生成用戶組播表項，該表項包括用戶信息、接入交換機標識、接入端口號以及加入組播IP地址。接入交換機收到用戶的加入組播組的請求報文，獲取用戶的信息，并將該用戶信息、交換機標識以及用戶接入端口號攜帶在鑒權(quán)請求報文中發(fā)送給VM進行鑒權(quán)。步驟303，VM接收交換機發(fā)送的鑒權(quán)請求，該鑒權(quán)請求包括用戶信息、接入交換機標識、接入端口號以及加入組播IP地址。步驟304，VM將鑒權(quán)請求中包括的信息和本地對應(yīng)的用戶組播表項進行匹配，如果所有信息都匹配，發(fā)送合法用戶的鑒權(quán)響應(yīng)報文；如果不是所有信息都匹配，發(fā)送非法用戶的鑒權(quán)響應(yīng)報文。、接入交換機收到VM的鑒權(quán)響應(yīng)報文后，根據(jù)該鑒權(quán)響應(yīng)報文攜帶的鑒權(quán)結(jié)果確定用戶是否合法，如果是合法用戶，則轉(zhuǎn)發(fā)其點播請求報文，如果為非法用戶，則禁止轉(zhuǎn)發(fā)其點播請求報文。需要說明的是，鑒權(quán)請求中攜帶組播IP地址僅僅是一種較佳的實施方式，VM驗證了組播IP地址會進一步提高安全性，然而本發(fā)明實現(xiàn)過程中并不一定要攜帶組播IP地址。下面以圖4的組網(wǎng)圖為實例進行說明。圖4所示，合法用戶A和非法用戶B都通過接入交換機接入網(wǎng)絡(luò)，合法用戶A的源IP地址為192. 168. I. 1，用戶B的IP地址為192. 168. I. 2，他們希望加入的組播組為224. I. I. I。步驟401 :用戶A、B接入網(wǎng)絡(luò)，接入交換機向用戶A和B下發(fā)交換機的唯一標識信息和各自的接入端口號，因為用戶A為合法用戶，所以用戶A會向VM注冊時攜帶上述信息。步驟402 :用戶A向VM注冊，成功后才開始請求加入組播組，VM上保留有用戶A的注冊信息，建立用戶信息表，如表I所不
權(quán)利要求
1.一種組播安全管理方法，應(yīng)用于包括有視頻管理服務(wù)器VM、接入交換機和若干用戶的視頻監(jiān)控網(wǎng)絡(luò)中，其特征在于，所述方法包括 A接入交換機向與自身連接的用戶下發(fā)帶有交換機標識和用戶接入端口號的報文，其中，所述交換機標識以及用戶接入端口號經(jīng)由用戶發(fā)送至VM以供其保存在本地； B接入交換機收到用戶的組播點播請求報文，將該用戶的信息以及交換機標識以及用戶接入端口號攜帶在鑒權(quán)請求報文中發(fā)送給VM進行鑒權(quán)； C接入交換機收到VM的鑒權(quán)響應(yīng)報文后，根據(jù)該鑒權(quán)響應(yīng)報文攜帶的鑒權(quán)結(jié)果確定用戶是否合法，如果是合法用戶，則轉(zhuǎn)發(fā)其點播請求報文，如果為非法用戶，則禁止轉(zhuǎn)發(fā)其點播請求報文。
2.根據(jù)權(quán)利要求I所述的方法，其特征在于，所述交換機標識包括交換機名稱或者交換機的MAC地址。
3.根據(jù)權(quán)利要求I所述的方法，其特征在于，所述鑒權(quán)請求報文中進一步攜帶有用戶請求加入的組播IP地址。
4.一種接入交換機，應(yīng)用于包括有VM和若干用戶的視頻監(jiān)控網(wǎng)絡(luò)中，其特征在于，所述交換機包括 信息下發(fā)模塊，向與自身連接的用戶下發(fā)所述接入交換機的標識和用戶接入端口號，其中，所述交換機標識以及用戶接入端口號經(jīng)由用戶發(fā)送至VM供其保存在本地； 發(fā)送模塊，將點播組播的用戶信息、交換機標識以及用戶接入端口攜帶在鑒權(quán)請求報文中發(fā)送給VM ； 偵聽模塊，接收用戶的組播點播請求報文，獲取用戶信息并發(fā)送給發(fā)送模塊； 處理模塊，根據(jù)收到的VM的鑒權(quán)響應(yīng)報文中的鑒權(quán)結(jié)果，對接入的用戶的組播點播請求報文進行處理如果是合法用戶，轉(zhuǎn)發(fā)其點播請求報文，如果是非法用戶，禁止轉(zhuǎn)發(fā)其點播求報文呢。
5.根據(jù)權(quán)利要求4所述的交換機，其特征在于，所述交換機識別信息包括交換機的名稱或交換機的MAC地址。
6.根據(jù)權(quán)利要求4所述的交換機，其特征在于，所述鑒權(quán)請求報文中進一步攜帶有用戶請求加入的組播IP地址。
7.—種VM，應(yīng)用于包括接入交換機和若干用戶的視頻監(jiān)控網(wǎng)絡(luò)中，其特征在于，所述VM包括 注冊模塊，接收來自用戶的攜帶有接入交換機識別信息和接入端口號的報文，并通知記錄模塊記錄上述信息； 記錄模塊，記錄合法用戶攜帶的交換機識別信息和接入端口號； 鑒權(quán)模塊，組播IP地址核對接入交換機發(fā)送的鑒權(quán)請求報文中的用戶信息、接入交換機的識別信息以及接入端口號與上述記錄的是否一致以確認所述用戶是否是合法用戶，并將鑒權(quán)結(jié)果攜帶在鑒權(quán)響應(yīng)報文中發(fā)送給所述接入交換機，供其作為是否轉(zhuǎn)發(fā)其點播請求報文的判斷依據(jù)。
8.根據(jù)權(quán)利要求7所述的VM，其特征在于，其中所述記錄模塊進一步用于記錄合法用戶點播的組播IP地址，所述交換機發(fā)送的鑒權(quán)請求報文中還包括組播IP地址。
9.一種組播安全管理方法，該方法應(yīng)用于視頻管理服務(wù)器，其特征在于，所述視頻管理服務(wù)器VM接收用戶發(fā)送的交換機標識以及用戶接入該交換機的端口號；VM接收用戶的視頻點播請求，根據(jù)點播的視頻流將對應(yīng)的組播IP地址發(fā)送給用戶；VM在本地生成用戶組播表項，該表項包括用戶信息、接入交換機標識、接入端口號、加入組播IP地址；VM接收交換機發(fā)送的鑒權(quán)請求，該鑒權(quán)請求包括用戶信息、接入交換機標識以及接入端口號VM將鑒權(quán)請求中包括的信息和本地對應(yīng)的用戶組播表項進行匹配，如果所有信息都匹配，發(fā)送合法用戶的鑒權(quán)響應(yīng)報文；如果不是所有信息都匹配，發(fā)送非法用戶的鑒權(quán)響應(yīng)報文。
10.如權(quán)利要求9所述，其中所述鑒權(quán)請求中進一步包括用戶請求加入的組播IP地址。
全文摘要
本發(fā)明提供一種組播安全管理方法，VM接收用戶發(fā)送的交換機標識以及用戶接入該交換機的端口號；VM接收用戶的點播請求，根據(jù)點播的視頻流將對應(yīng)的組播地址發(fā)送給用戶；VM在本地生成表項，該表項包括用戶信息、接入交換機標識、接入端口號、加入組播IP地址；VM接收交換機發(fā)送的鑒權(quán)請求，該鑒權(quán)請求包括用戶信息、接入交換機標識以及接入端口號；VM將鑒權(quán)請求中包括的信息和本地對應(yīng)的表項進行匹配，如果所有信息都匹配，發(fā)送合法用戶的鑒權(quán)響應(yīng)；如果不是所有信息都匹配，發(fā)送非法用戶的鑒權(quán)響應(yīng)。本發(fā)明同時提供基于同樣思想的VM和接入交換機。通過使用本發(fā)明提供的方法和裝置，可以有效的制止視頻監(jiān)控網(wǎng)絡(luò)中非法用戶對組播數(shù)據(jù)的非法點播。
文檔編號H04L29/08GK102685117SQ201210124748
公開日2012年9月19日 申請日期2012年4月25日 優(yōu)先權(quán)日2012年4月25日
發(fā)明者余劍聲, 周迪 申請人:浙江宇視科技有限公司