專利名稱:一種加密組播數(shù)據(jù)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技木��,特別涉及組播通信技術(shù)�,具體地講是ー種加密組播數(shù)據(jù)的方法和系統(tǒng)��。
背景技術(shù):
在視頻點播、電話會議�����、IPTV等業(yè)務(wù)中應(yīng)用中需要組播協(xié)議的支持��,比如PM組播協(xié)議等��。PIM協(xié)議又可分為PIM DM協(xié)議(Protocol Independent Multicast-Dense Mode,協(xié)議無關(guān)組播一密集模式)和PIM SM協(xié)議(Protocol Independent Multicast-Sparse Mode,協(xié)議無關(guān)組播一稀疏模式)�����。數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密�。數(shù)據(jù)傳輸加密技術(shù)主要是對傳輸中的數(shù)據(jù)流進(jìn)行加密,常用的有鏈路加密�、節(jié)點加密和端到端加密三種方式。鏈路加密是傳輸數(shù)據(jù)僅在物理層前的數(shù)據(jù)鏈路層進(jìn)行加密���,不考慮信源和信宿�����,它用于保護(hù)通信節(jié)點間的數(shù)據(jù)��,接收方是傳送路徑上的各臺節(jié)點機(jī)���,信息在每臺節(jié)點機(jī)內(nèi)都要被解密和再加密����,依次進(jìn)行����,直至到達(dá)目的地。與鏈路加密類似的節(jié)點加密方法���,是在節(jié)點處采用一個與節(jié)點機(jī)相連的密碼裝置�,密文在該裝置中被解密并被重新加密�,明文不通過節(jié)點機(jī),避免了鏈路加密節(jié)點處易受攻擊的缺點�����。端到端加密是為數(shù)據(jù)從一端到另一端提供的加密方式�����。數(shù)據(jù)在發(fā)送端被加密��,在接收端解密��,中間節(jié)點處不以明文的形式出現(xiàn)����。端到端加密是在應(yīng)用層完成的。為了實現(xiàn)組播數(shù)據(jù)的安全或者實現(xiàn)特殊業(yè)務(wù)的運(yùn)營�,一些組播業(yè)務(wù)組織者或者服務(wù)提供商會對指定業(yè)務(wù)加密,比如安全級別較高的電話或者視頻會議��,付費(fèi)的點播電視節(jié) 目�。對于運(yùn)營商級別或者ー些大型運(yùn)營企業(yè)來說,對于這些需要加密的服務(wù)一般都是通過在鑒權(quán)服務(wù)器上進(jìn)行終端身份認(rèn)證識別來獲取訪問權(quán)限��,或者是在源端直接通過加密服務(wù)器對數(shù)據(jù)加密后再進(jìn)行傳輸����。而相對來說ー些中小型企業(yè)用戶,正常情況可能不需要對業(yè)務(wù)進(jìn)行加密��,所以沒必要在所有終端和傳輸節(jié)點處增加鑒權(quán)服務(wù)器或者加密服務(wù)器��,這樣會增加網(wǎng)絡(luò)建設(shè)成本和運(yùn)營維護(hù)成本�����。如果是非運(yùn)營商網(wǎng)絡(luò)或者大型企業(yè)網(wǎng)絡(luò)���,如果要進(jìn)行一些涉及安全性的多方電話和視頻會議�����,或者是其他重要性數(shù)據(jù)內(nèi)容傳輸時��,可能就需要對傳輸?shù)恼Z音和視頻或者是數(shù)據(jù)進(jìn)行加密��。當(dāng)前可能的幾種解決方案如下I)在傳輸安全信息的源端増加加密服務(wù)器���,對發(fā)送數(shù)據(jù)進(jìn)行加密后再發(fā)送���,然后在各接收端增加解密服務(wù)器對數(shù)據(jù)進(jìn)行解密后再識別;2)需要參與安全性內(nèi)容交互的用戶終端增加身份鑒權(quán)服務(wù)器���,對用戶訪問權(quán)限進(jìn)行限制��;3)在各節(jié)點增加加密服務(wù)器��,進(jìn)行鏈路加密���,確保數(shù)據(jù)在各鏈路段間傳輸安全;上述的幾種可能的解決方案存在如下幾個問題問題I :都需要增加額外的服務(wù)器設(shè)備進(jìn)行身份驗證識別或者數(shù)據(jù)的加密和解密工作�����,需要增加網(wǎng)絡(luò)建設(shè)成本和運(yùn)營;問題2 :如果通過鏈路加密方式�����,不僅需要増加服務(wù)器��,而且每個節(jié)點都需要進(jìn)行解密和加密的過程�,影響了數(shù)據(jù)的整體傳輸效率���。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明提供ー種加密組播數(shù)據(jù)的方法和系統(tǒng),在于不增加額外服務(wù)器的前提下����,實現(xiàn)組播數(shù)據(jù)的加密/解密轉(zhuǎn)發(fā)。為實現(xiàn)上述發(fā)明目的本發(fā)明提供了ー種加密組播數(shù)據(jù)的方法����,其中指定路由器DR周期性發(fā)送特定組播組的加密請求信息至自舉路由器BSR ;該BSR根據(jù)該加密請求信息確定需要加密的特定組播組,廣播攜帯特定組播組的加密密鑰的更新狀態(tài)的自舉報文��;協(xié)議無關(guān)組播PM路由器收到攜帯特定組播組的加密密鑰的更新狀態(tài)自舉報文, 記錄特定組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表����;該DR收到組播數(shù)據(jù)且確定收到的組播數(shù)據(jù)屬于特定組播組,則查詢收到的組播組數(shù)據(jù)所屬特定組播組的加密密鑰�,根據(jù)查詢的加密密鑰將收到的組播數(shù)據(jù)加密,將加密后的組播數(shù)據(jù)轉(zhuǎn)發(fā)到下游的該P(yáng)IM路由器���;該P(yáng)M路由器接收加密的組播數(shù)據(jù)���,確定加密的組播數(shù)據(jù)所屬的特定組播組存在接收者,則查詢加密的組播數(shù)據(jù)所屬的特定組播組的加密密鑰并解密收到的組播數(shù)據(jù),查找組播數(shù)據(jù)對應(yīng)的出接ロ�,復(fù)制并轉(zhuǎn)發(fā)解密后的組播數(shù)據(jù)至接收者。為實現(xiàn)上述發(fā)明目的本發(fā)明還提供ー種加密組播數(shù)據(jù)的系統(tǒng)��,該系統(tǒng)包括自舉路由器BSR�����,指定路由器DR以及協(xié)議無關(guān)組播PIM路由����,該DR,用于周期性發(fā)送特定組播組的加密請求信息至該BSR ;該BSR�����,用于根據(jù)該加密請求信息確定需要加密的特定組播組,廣播攜帶特定組播組的加密密鑰的更新狀態(tài)的自舉報文��;該P(yáng)頂路由器���,用于收到攜帯特定組播組的加密密鑰的更新狀態(tài)自舉報文�,記錄特定組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表��;該DR����,用于收到組播數(shù)據(jù)且確定收到的組播數(shù)據(jù)屬于特定組播組�����,則查詢收到的組播組數(shù)據(jù)所屬特定組播組的加密密鑰�,根據(jù)查詢的加密密鑰將收到的組播數(shù)據(jù)加密,將加密后的組播數(shù)據(jù)轉(zhuǎn)發(fā)到下游的該P(yáng)頂路由器���;該P(yáng)頂路由器�����,用于接收加密的組播數(shù)據(jù)���,確定加密的組播數(shù)據(jù)所屬的特定組播組存在接收者��,則查詢加密的組播數(shù)據(jù)所屬的特定組播組的加密密鑰并解密收到的組播數(shù)據(jù)����,查找組播數(shù)據(jù)對應(yīng)的出接ロ��,復(fù)制并轉(zhuǎn)發(fā)解密后的組播數(shù)據(jù)至接收者����。本發(fā)明的有益效果在于,僅在組播源入網(wǎng)絡(luò)設(shè)備��,即DR進(jìn)行加密操作���,只有用戶出接ロ的PIM路由器才對組播數(shù)據(jù)解密����,對于中間網(wǎng)絡(luò)來說����,無需任何加密和解密操作,只做普通數(shù)據(jù)的轉(zhuǎn)發(fā)�,不會有任何性能方面影響。
圖I是本發(fā)明實施例提供的組播網(wǎng)絡(luò)的示意圖�����。圖2是本發(fā)明實施例定義的BSR報文的示意圖�����。圖3是本發(fā)明實施例提供的DR設(shè)備啟動組播組的加密請求的流程圖��。圖4是本發(fā)明本實施例定義組播組加密申請消息報文的示意圖����;圖5是BSR收到組播組加密申請報文的處理流程示意圖�����;圖6是PM路由器生成密鑰列表的處理流程圖�;圖7是DR路由器發(fā)送加密組播數(shù)據(jù)的流程圖;圖8是PM路由器處理加密的組播數(shù)據(jù)的流程示意圖
具體實施例方式圖I所示本發(fā)明實施例提供的加密組播數(shù)據(jù)的組播系統(tǒng)的示意圖�����。如圖I所示,該組播網(wǎng)絡(luò)與已有的組播網(wǎng)絡(luò)架構(gòu)相同��,本實施例中C-BSR的選舉機(jī)制以及C-RP的選舉機(jī)制與已有組播技術(shù)相同����。本發(fā)明實施例在不改變已有組播網(wǎng)絡(luò)架構(gòu)的條件下,不增加任何服務(wù)器��,實現(xiàn)對組播數(shù)據(jù)的加密/解密傳輸�����。需要說明的是����,已有組播網(wǎng)絡(luò)中所有路由器都是PIM(協(xié)議無關(guān)組播,Protocol Independent Multicast)路由器,而DR (指定路由器,Designated Router),����,RP(匯集路由器,Rendezvous Point)以及 BSR(自舉路由器���,BootStrap Router等是PIM路由器中的對應(yīng)狀態(tài)角色名稱����。當(dāng)圖I所示系統(tǒng)組播網(wǎng)絡(luò)中各C-BSR (候選BSR)之間完成BSR選舉后,選舉出的BSR會向所有PIM路由器發(fā)送初始化狀態(tài)的自舉BSR消息�����。本實施例在RFC2362定義的BSR自舉報文基礎(chǔ)上����,定義三種BSR報文初始化狀態(tài)的BSR報文,保持狀態(tài)的BSR報文及更新狀態(tài)的BSR報文
圖2所示為本發(fā)明實施例定義的BSR報文的示意圖���;初始化狀態(tài)的BSR報文中�,Type字段后reserved字段值為O, Frag RP-Cnt-I字段后的reserved字段為默認(rèn)空���;保持狀態(tài)的BSR報文中��,Type字段后reserved字段值為I, Frag RP-Cnt-I字段后的reserved字段為加密密鑰encrypt_key ;更新狀態(tài)的BSR報文中,Type字段后reserved字段值為2��,F(xiàn)rag RP-Cnt-I字段后的reserved字段加密key��。其中���,加密密鑰是根據(jù)是通過需要加密的組播組的信息(組播組地址信息)和DR信息通過加密算法計算的內(nèi)容�����。本實施例中�����,更新狀態(tài)的BSR報文以及保持狀態(tài)的BSR報文��,每個組播組組的預(yù)留Reserved字段(例如�,RPl-Priority字段后的Reserved字段)無需使用。圖3所示為本發(fā)明實施例提供的DR設(shè)備啟動組播組的加密請求的流程示意圖��,DR路由器收到BSR發(fā)出的初始化狀態(tài)的BSR報文則啟動組加密申請報文發(fā)送�,為了避免網(wǎng)絡(luò)中報文過多造成網(wǎng)絡(luò)帶寬浪費(fèi),這里DR的組加密申請消息報文僅周期性地向BSR單播發(fā)送���,此時本地BSR和RP信息設(shè)置為臨時表項�����。本實施例中����,假設(shè)需要對組播地址為224. I. I. I組播組Gl加密時,在DR設(shè)備上下發(fā)對 Gl カロ密請求命令 multicast group encrypt224. I. I. I����。本實施例中,提供了在DR上下發(fā)加密請求命令multicast groupencrypt [Group-address I Any],用于配置管理開啟特定需要加密的組播組���。Group-address參數(shù)表示指定需要加密的組播組�����,Any參數(shù)表示所有組加密���。因此,本實施例可以在DR設(shè)備上下發(fā)對所有組播組加密請求的命令,可以在DR設(shè)備上下發(fā)對多個組播組加密請求的命令�。圖4所示為本發(fā)明本實施例定義組播組加密申請消息報文,用于DR設(shè)備通知BSR哪些特定組需要進(jìn)行加密����。本實施例利用RFC2362定義的空注冊報文,定義Type字段值為10時為特定組加密申請報文�����,定義Type字段后的Reserved字段值為O時表示無特定組加密報文��,定義Type字段后的Reserved字段值為I時表示特定組加密報文�,定義Type字段后的Reserved字段值為2時表示所有組加密報文;第ニ個Reserved字段為需要加密的組播組個數(shù)�����;Multicast data packet字段通過TLV編碼方式定義需要加密的組播組���。當(dāng)定義Type字段后的Reserved字段值為2時����,第二個Reserved字段為O,Multicast data packet字段為空�����;即對所有組播組進(jìn)行加密的條件下,無需指定需要加密的組播組的個數(shù)�,也無需指定加密的特定組播組。圖5所示����,BSR收到組播組加密申請報文的處理流程示意圖;BSR收到DR路由器的組加密申請消息報文后�����,根據(jù)消息報文中的組信息和DR信息生成加密的encrypt_key添加在BSR報文的Encoded-Group Address段的Reserved字段中,如圖5所示,加密密鑰添加在Encoded-Group Address-I段的Frag RP-Cnt-Ι字段后的Reserved字段中�����,用于區(qū)分組播組的密鑰�。因為本實施例是將相應(yīng)的組播組進(jìn)行加密傳輸,與RP信息無關(guān)�,因而各RP段的Reserved字段無需使用。BSR將BSR報文Type字段后的Reserved字段值設(shè)置為2��,生成更新狀態(tài)的BSR消息����,再廣播給組播網(wǎng)絡(luò)中的PIM路由器。BSR收到DR路由器的組加密申請消息報文后�,判斷需要的加密的組播組沒有發(fā)生變化,則將BSR報文Type字段后的Reserved字段值為1�,生成保持狀態(tài)的BSR報文,廣播給組播網(wǎng)絡(luò)中的P頂路由器�����。本實施例中����,BSR廣播的保持狀態(tài)的BSR報文是否攜帯密鑰要根據(jù)之前狀態(tài)來確 定�。如果BSR確定之前無需要加密的組播組�,則廣播不攜帶加密加密密鑰的保持狀態(tài)BSR報文��;如果BSR確定之前有特定的組播組需要加密���,則廣播攜帶了加密密鑰的保持狀態(tài)的BSR報文���,而這些加密密鑰為之前需要加密的特定組播組的加密密鑰。圖6所示為PM路由器生成密鑰列表的處理流程�����。當(dāng)PM路由器收到BSR廣播為初始化狀態(tài)的BSR報文吋���,生成臨時的BSR列表和RP ;PIM路由器收到BSR廣播的更新狀態(tài)的BSR報文���。當(dāng)生成獲取BSR信息中的對應(yīng)的組播組encrypt_key字段,記錄各組播組對應(yīng)的加密密鑰并生成正式的BSR列表和RP列表。本實施例中����,PM路由器記錄的加密密鑰如表I所示
權(quán)利要求
1.ー種加密組播數(shù)據(jù)的方法,其特征在于�,所述方法包括指定路由器DR周期性發(fā)送特定組播組的加密請求信息至自舉路由器BSR �����;所述BSR根據(jù)所述加密請求信息確定需要加密的特定組播組���,廣播攜帶特定組播組的加密密鑰的更新狀態(tài)的自舉報文;協(xié)議無關(guān)組播PM路由器收到攜帯特定組播組的加密密鑰的更新狀態(tài)自舉報文�,記錄特定組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表;所述DR收到組播數(shù)據(jù)且確定收到的組播數(shù)據(jù)屬于特定組播組���,則查詢收到的組播組數(shù)據(jù)所屬特定組播組的加密密鑰�����,根據(jù)查詢的加密密鑰將收到的組播數(shù)據(jù)加密���,將加密后的組播數(shù)據(jù)轉(zhuǎn)發(fā)到下游的所述PM路由器;所述PM路由器接收加密的組播數(shù)據(jù),確定加密的組播數(shù)據(jù)所屬的特定組播組存在接收者����,則查詢加密密鑰并解密收到的組播數(shù)據(jù),查找解密后的組播數(shù)據(jù)對應(yīng)的出接ロ�����,復(fù)制并轉(zhuǎn)發(fā)解密后的組播數(shù)據(jù)至接收者。
2.根據(jù)權(quán)利要求I所述的方法�,其特征在于,所述方法包括所述PIM路由器接收加密的組播數(shù)據(jù)�����,確定加密的組播數(shù)據(jù)所屬的特定組播組不存在接收者��,則根據(jù)組播路由轉(zhuǎn)發(fā)加密的組播數(shù)據(jù)�。
3.根據(jù)權(quán)利要求I所述的方法�����,其特征在于�,所述方法包括所述DR發(fā)送所有組播組的加密請求信息至自舉路由器BSR ;所述BSR根據(jù)所述加密請求信息確定需要加密的組播組����,廣播攜帶所有組播組的加密密鑰的更新狀態(tài)的自舉報文;所述PIM路由器收到攜帯特定組播組的加密密鑰的更新狀態(tài)自舉報文�����,記錄所有組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表。
4.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述方法包括所述DR周期性發(fā)送特定組播組的加密請求信息至自舉路由器BSR �;所述BSR根據(jù)所述加密請求信息確定需要加密的組播組未變化,廣播保持狀態(tài)的自舉報文�����;所述PIM路由器接收所述保持狀態(tài)的自舉報文不更新已記錄的特定組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表��。
5.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述方法包括所述DR收到組播數(shù)據(jù)且確定收到的組播數(shù)據(jù)不屬于需要加密的特定組播組��,則將收到的組播數(shù)據(jù)轉(zhuǎn)發(fā)到下游的所述PM路由器�����。
6.根據(jù)權(quán)利要求I所述的方法��,其特征在于��,所述指定路由器DR收到所述BSR廣播的初始化狀態(tài)的BSR報文,則周期性發(fā)送加密請求信息至自舉路由器BSR �;所述PIM路由器接收所述BSR廣播的初始化狀態(tài)的BSR報文,則生成臨時的BSR列表和RP列表����。
7.ー種加密組播數(shù)據(jù)的系統(tǒng),所述系統(tǒng)包括自舉路由器BSR�,指定路由器DR以及協(xié)議無關(guān)組播PM路由器,其特征在干�����,所述DR���,用于周期性發(fā)送特定組播組的加密請求信息至所述BSR ;所述BSR���,用于根據(jù)所述加密請求信息確定需要加密的特定組播組����,廣播攜帯特定組播組的加密密鑰的更新狀態(tài)的自舉報文��;所述PIM路由器����,用于接收攜帯特定組播組的加密密鑰的更新狀態(tài)自舉報文�����,記錄特定組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表��;所述DR�����,用于 接收組播數(shù)據(jù)且確定收到的組播數(shù)據(jù)屬于特定組播組�����,則查詢加密密鑰��,根據(jù)查詢的加密密鑰加密收到的組播數(shù)據(jù)�����,將加密后的組播數(shù)據(jù)轉(zhuǎn)發(fā)到下游的所述PM路由器�;所述PIM路由器��,用于接收加密的組播數(shù)據(jù)�����,確定加密的組播數(shù)據(jù)所屬的特定組播組存在接收者,則查詢加密密鑰并將加密的組播數(shù)據(jù)解密�����,查找組播數(shù)據(jù)對應(yīng)的出接ロ����,復(fù)制并轉(zhuǎn)發(fā)解密后的組播數(shù)據(jù)至接收者。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在干,所述PIM路由器��,用于接收加密的組播數(shù)據(jù)��,確定加密的組播數(shù)據(jù)所屬的特定組播組不存在接收者����,則根據(jù)組播路由轉(zhuǎn)發(fā)加密的組播數(shù)據(jù)�。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于�����,所述方法包括所述DR,用于發(fā)送所有組播組的加密請求信息至自舉路由器BSR �;所述BSR,用于根據(jù)所述加密請求信息確定需要加密的組播組�,廣播攜帯所有組播組的加密密鑰的更新狀態(tài)的自舉報文;所述PIM路由器�����,用于接收攜帯特定組播組的加密密鑰的更新狀態(tài)自舉報文��,記錄所有組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表����。
10.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于����,所述方法包括所述DR,用于周期性發(fā)送特定組播組的加密請求信息至自舉路由器BSR �;所述BSR,用于根據(jù)所述加密請求信息確定需要加密的組播組未變化�����,則廣播保持狀態(tài)的自舉報文���;所述PIM路由器�,用于收到保持狀態(tài)的自舉報文,確定不更新已記錄的特定組播組的密鑰并生成正式的BSR列表和匯聚服務(wù)器RP列表�����。
11.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述方法包括所述DR����,用于接收組播數(shù)據(jù)且確定收到的組播數(shù)據(jù)不屬于需要加密的特定組播組,則將收到的組播數(shù)據(jù)轉(zhuǎn)發(fā)到下游的所述PIM路由器����。
12.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在干���,所述BSR����,用于廣播的初始化狀態(tài)的BSR報文所述DR���,用于接收所述初始化狀態(tài)的BSR報文�,且根據(jù)收到的所述初始化狀態(tài)的BSR報文啟動周期性發(fā)送加密請求信息至自舉路由器BSR ���; 所述PM路由器�,用于接收所述初始化狀態(tài)的BSR報文��,且根據(jù)收到的所述初始化狀態(tài)的BSR報文生成臨時的BSR列表和RP列表���。
全文摘要
本發(fā)明提供了一種加密組播數(shù)據(jù)的方法和系統(tǒng)���,其中該方法包括指定路由器DR周期性發(fā)送特定組播組的加密請求信息至自舉路由器BSR;BSR根據(jù)加密請求信息確定需要加密的特定組播組�,廣播更新狀態(tài)的自舉報文;PIM路由器收到更新狀態(tài)的自舉報文�,記錄特定組播組的密鑰并生成正式的BSR和RP列表;DR收到組播數(shù)據(jù)且確定收到的組播數(shù)據(jù)屬于特定組播組��,則查詢加密密鑰�,將收到的組播數(shù)據(jù)加密,將加密后的組播數(shù)據(jù)轉(zhuǎn)發(fā)到下游的PIM路由器���;PIM路由器接收加密的組播數(shù)據(jù)���,確定存在接收者����,則查詢加密密鑰并解密收到的組播數(shù)據(jù)��,復(fù)制并轉(zhuǎn)發(fā)解密后的組播數(shù)據(jù)至接收者��。
文檔編號H04L29/06GK102833230SQ20121027163
公開日2012年12月19日 申請日期2012年7月31日 優(yōu)先權(quán)日2012年7月31日
發(fā)明者廖以順, 林日鋒 申請人:杭州華三通信技術(shù)有限公司