CN105491460B - 基于dns的组播安全控制方法及装置 - Google Patents
基于dns的组播安全控制方法及装置 Download PDFInfo
- Publication number
- CN105491460B CN105491460B CN201410484467.8A CN201410484467A CN105491460B CN 105491460 B CN105491460 B CN 105491460B CN 201410484467 A CN201410484467 A CN 201410484467A CN 105491460 B CN105491460 B CN 105491460B
- Authority
- CN
- China
- Prior art keywords
- multicast
- address
- message
- dns
- address list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
- H04N21/64—Addressing
- H04N21/6405—Multicasting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于DNS的组播安全控制方法及装置,其方法包括:向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据组播源DNS地址列表及本地维护的组播地址列表对组播数据报文进行地址验证;根据验证结果对组播数据报文进行转发控制。本发明能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于DNS的组播安全控制方法及装置。
背景技术
组播作为IPTV业务的核心,安全问题是个很重要的议题。从目前宽带接入设备的实现上看,并未有很好的解决方案。其中,一个关键的问题是对组播源的认证。现有技术协议,如IGMPV3协议的源过滤功能,由于实现复杂,目前在用户终端设备(如STB)或局端设备并未实现或支持,导致任意的组播服务器都能将组播流发送到终端设备,由此造成安全隐患。因此,现有技术对组播源无法控制或无法实现动态控制。
发明内容
本发明的主要目的在于提供一种基于DNS的组播安全控制的方法和装置,旨在解决现有组播实现技术对组播源没有控制或无法实现动态控制的问题。
为了达到上述目的,本发明提出一种基于DNS的组播安全控制方法,包括:
向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
根据验证结果对所述组播数据报文进行转发控制。
优选地,所述向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表信息的步骤包括:
配置IPTV服务器的域名地址信息;
向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
优选地,所述在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤包括:
在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
优选地,所述根据验证结果对所述组播数据报文进行转发控制的步骤包括:
当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
优选地,所述根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
优选地,所述组播源DNS地址列表信息包括所述域名服务器下发的地址更新时间,所述获取IPTV服务器的组播源DNS地址列表的步骤之后还包括:
按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
本发明实施例还提出一种基于DNS的组播安全控制装置,包括:
获取模块,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
验证模块,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
控制模块,用于根据验证结果对所述组播数据报文进行转发控制。
优选地,所述获取模块包括:
配置单元,用于配置IPTV服务器的域名地址信息;
发送单元,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
接收单元,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
获取单元,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
优选地,所述验证模块包括:
解析单元,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
匹配单元,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
判断单元,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
优选地,所述控制模块,还用于当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
优选地,该装置还包括:
组播地址更新模块,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
优选地,所述获取模块,还用于按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
本发明实施例提出的一种基于DNS的组播安全控制的方法和装置,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
附图说明
图1是本发明基于DNS的组播安全控制方法一实施例的流程示意图;
图2是本发明基于DNS的组播安全控制方法另一实施例的流程示意图;
图3是本发明基于DNS的组播安全控制装置一实施例的功能模块示意图;
图4是本发明实施例中获取模块的结构示意图;
图5是本发明实施例中验证模块的结构示意图;
图6是本发明基于DNS的组播安全控制装置另一实施例的功能模块示意图。
为了使本发明的技术方案更加清楚、明了,下面将结合附图作进一步详述。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的解决方案主要是:通过向域名服务器发送DNS(Domain Nameservice,域名服务)请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,实现对组播业务流的有效控制,简化了组播源过滤复杂处理流程,工程实现和部署简单。
如图1所示,本发明一实施例提出一种基于DNS的组播安全控制方法,包括:
步骤S101,向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
本实施例方法运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
本实施例IPTV服务器的组播源DNS地址列表获取过程具体如下:
首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
步骤S102,在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
步骤S103,根据验证结果对所述组播数据报文进行转发控制。
当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
如图2所示,本发明另一实施例提出一种基于DNS的组播安全控制方法,在上述图1所述的实施例的基础上,在根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
步骤S104,接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
步骤S105,解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
步骤S106,若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
相比上述图1所示的实施例,本实施例还包括更新组播地址列表的方案。
具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器解析组播协议报文(判断该报文为加入报文或离开报文),进行组播业务流的发送或停止。
所述装置在接收到IPTV接收设备发送的组播协议报文后,将该组播协议报文转发至IPTV服务器,同时,装置会解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文。
若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除,同时将更新后的组播地址列表更新配置到地址管理模块。
本实施例通过上述方案,保证了组播地址列表中信息的不断更新,以提高组播数据报文地址验证的效率。
相比现有技术,本实施例方案在设备上电后,首先进行IPTV服务器网址的配置,然后通过发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。将获取的组播源DNS列表信息配置到地址管理模块,当用户口收到组播协议报文后,添加地址信息,配置到地址管理模块,并将组播协议报文转发到上层IPTV接收设备。当本设备收到组播数据流时,可以检查报文的源IP地址和目的IP地址是否符合条件,符合条件则按照学习的组地址进行转发,如不符合条件则丢弃该报文。通过本发明的实现,简化了组播源过滤复杂处理流程,不要求本装置的上层或下层设备支持源过滤,工程实现和部署简单,对于组播安全技术的提高有一定的指导和推广价值。
需要说明的是,本发明方案不限于上述几种实施例,还可有其他多种实施例,如不论IPV4协议或IPV6组播应用场景,都可以用此方法进行控制。
如图3所示,本发明一实施例提出一种基于DNS的组播安全控制装置,包括:获取模块201、验证模块202及控制模块203,其中:
获取模块201,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
验证模块202,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
控制模块203,用于根据验证结果对所述组播数据报文进行转发控制。
具体地,本实施例方案运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
本实施例IPTV服务器的组播源DNS地址列表获取过程具体如下:
首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
进一步地,在一优选实施例中,如图4所示,所述获取模块201包括:配置单元2011、发送单元2012、接收单元2013及获取单元2014,其中:
配置单元2011,用于配置IPTV服务器的域名地址信息;
发送单元2012,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
接收单元2013,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
获取单元2014,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
如图5所示,所述验证模块202包括:解析单元2021、匹配单元2022、判断单元2023,其中:
解析单元2021,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
匹配单元2022,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
判断单元2023,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
如图6所示,本发明另一实施例提出一种基于DNS的组播安全控制装置,在上述图3所示的实施例的基础上,还包括:
组播地址更新模块204,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
相比上述图3所示的实施例,本实施例还包括更新组播地址列表的方案。
具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器解析组播协议报文(判断该报文为加入报文或离开报文),进行组播业务流的发送或停止。
所述装置在接收到IPTV接收设备发送的组播协议报文后,将该组播协议报文转发至IPTV服务器,同时,装置会解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文。
若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除,同时将更新后的组播地址列表更新配置到地址管理模块。
本实施例通过上述方案,保证了组播地址列表中信息的不断更新,以提高组播数据报文地址验证的效率。
相比现有技术,本实施例方案在设备上电后,首先进行IPTV服务器网址的配置,然后通过发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。将获取的组播源DNS列表信息配置到地址管理模块,当用户口收到组播协议报文后,添加地址信息,配置到地址管理模块,并将组播协议报文转发到上层IPTV接收设备。当本设备收到组播数据流时,可以检查报文的源IP地址和目的IP地址是否符合条件,符合条件则按照学习的组地址进行转发,如不符合条件则丢弃该报文。通过本发明的实现,简化了组播源过滤复杂处理流程,不要求本装置的上层或下层设备支持源过滤,工程实现和部署简单,对于组播安全技术的提高有一定的指导和推广价值。
需要说明的是,本发明方案不限于上述几种实施例,还可有其他多种实施例,如不论IPV4协议或IPV6组播应用场景,都可以用此方法进行控制。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种基于DNS的组播安全控制方法,其特征在于,包括:
向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
根据验证结果对所述组播数据报文进行转发控制;
其中,所述向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表信息的步骤包括:
配置IPTV服务器的域名地址信息;
向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表;
所述在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤包括:
在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
2.根据权利要求1所述的方法,其特征在于,所述根据验证结果对所述组播数据报文进行转发控制的步骤包括:
当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
3.根据权利要求1或2中任一项所述的方法,其特征在于,所述根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
4.根据权利要求3所述的方法,其特征在于,所述组播源DNS地址列表信息包括所述域名服务器下发的地址更新时间,所述获取IPTV服务器的组播源DNS地址列表的步骤之后还包括:
按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
5.一种基于DNS的组播安全控制装置,其特征在于,包括:
获取模块,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
验证模块,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
控制模块,用于根据验证结果对所述组播数据报文进行转发控制;
所述获取模块包括:
配置单元,用于配置IPTV服务器的域名地址信息;
发送单元,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
接收单元,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
获取单元,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表;
所述验证模块包括:
解析单元,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
匹配单元,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
判断单元,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
6.根据权利要求5所述的装置,其特征在于,
所述控制模块,还用于当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
7.根据权利要求5或6中任一项所述的装置,其特征在于,还包括:
组播地址更新模块,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
8.根据权利要求7所述的装置,其特征在于,
所述获取模块,还用于按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410484467.8A CN105491460B (zh) | 2014-09-19 | 2014-09-19 | 基于dns的组播安全控制方法及装置 |
| EP15841904.4A EP3188492B1 (en) | 2014-09-19 | 2015-06-08 | Multicast security control method and device based on dns |
| US15/512,456 US10666614B2 (en) | 2014-09-19 | 2015-06-08 | Multicast security control method and device based on DNS |
| PCT/CN2015/081008 WO2016041388A1 (zh) | 2014-09-19 | 2015-06-08 | 基于dns的组播安全控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410484467.8A CN105491460B (zh) | 2014-09-19 | 2014-09-19 | 基于dns的组播安全控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105491460A CN105491460A (zh) | 2016-04-13 |
| CN105491460B true CN105491460B (zh) | 2020-04-24 |
Family
ID=55532533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410484467.8A Active CN105491460B (zh) | 2014-09-19 | 2014-09-19 | 基于dns的组播安全控制方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10666614B2 (zh) |
| EP (1) | EP3188492B1 (zh) |
| CN (1) | CN105491460B (zh) |
| WO (1) | WO2016041388A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101607092B1 (ko) * | 2014-11-18 | 2016-03-29 | 에스케이텔레콤 주식회사 | 스트리밍 서비스 제공 방법 및 이를 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록매체 |
| CN110166582B (zh) * | 2019-05-05 | 2021-09-03 | 广西广播电视信息网络股份有限公司 | 一种基于sdn技术变更iptv播放地址池的方法 |
| CN117957829A (zh) * | 2021-11-26 | 2024-04-30 | Oppo广东移动通信有限公司 | 组播消息的处理方法及相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101478477A (zh) * | 2008-12-01 | 2009-07-08 | 北京星网锐捷网络技术有限公司 | 一种组播报文转发方法及装置 |
| WO2009106126A1 (en) * | 2008-02-25 | 2009-09-03 | Nokia Siemens Networks Oy | Apparatus and method related to allowed and not allowed multicast addresses or source addresses |
| CN101719919A (zh) * | 2009-12-09 | 2010-06-02 | 中兴通讯股份有限公司 | 一种实现组播源控制的方法及装置 |
| CN101827037A (zh) * | 2010-05-20 | 2010-09-08 | 中兴通讯股份有限公司 | 组播数据流的发送方法、装置和二层交换设备 |
| CN101330466B (zh) * | 2008-07-24 | 2012-07-04 | 华为技术有限公司 | 一种组播报文的转发方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7936752B2 (en) * | 2002-07-31 | 2011-05-03 | Cisco Technology, Inc. | Source specific multicast group to source mapping |
| CN101438256B (zh) * | 2006-03-07 | 2011-12-21 | 索尼株式会社 | 信息处理设备、信息通信***、信息处理方法 |
| KR100859712B1 (ko) | 2006-12-08 | 2008-09-23 | 한국전자통신연구원 | 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법 |
| US20080301744A1 (en) * | 2007-05-30 | 2008-12-04 | General Instrument Corporation | Method and Apparatus for Locating Content in an Internet Protocol Television (IPTV) System |
| US20080307479A1 (en) * | 2007-06-11 | 2008-12-11 | Alcatel Lucent | Bandwidth-Efficient Deployment of Video-On-Demand Assets in an IPTV Network |
| CN101414919B (zh) * | 2007-10-19 | 2012-11-28 | 上海贝尔阿尔卡特股份有限公司 | 上行组播业务的控制方法及装置 |
| US10264029B2 (en) * | 2009-10-30 | 2019-04-16 | Time Warner Cable Enterprises Llc | Methods and apparatus for packetized content delivery over a content delivery network |
| US9426123B2 (en) * | 2012-02-23 | 2016-08-23 | Time Warner Cable Enterprises Llc | Apparatus and methods for content distribution to packet-enabled devices via a network bridge |
-
2014
- 2014-09-19 CN CN201410484467.8A patent/CN105491460B/zh active Active
-
2015
- 2015-06-08 US US15/512,456 patent/US10666614B2/en active Active
- 2015-06-08 WO PCT/CN2015/081008 patent/WO2016041388A1/zh active Application Filing
- 2015-06-08 EP EP15841904.4A patent/EP3188492B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009106126A1 (en) * | 2008-02-25 | 2009-09-03 | Nokia Siemens Networks Oy | Apparatus and method related to allowed and not allowed multicast addresses or source addresses |
| CN101330466B (zh) * | 2008-07-24 | 2012-07-04 | 华为技术有限公司 | 一种组播报文的转发方法及装置 |
| CN101478477A (zh) * | 2008-12-01 | 2009-07-08 | 北京星网锐捷网络技术有限公司 | 一种组播报文转发方法及装置 |
| CN101719919A (zh) * | 2009-12-09 | 2010-06-02 | 中兴通讯股份有限公司 | 一种实现组播源控制的方法及装置 |
| CN101827037A (zh) * | 2010-05-20 | 2010-09-08 | 中兴通讯股份有限公司 | 组播数据流的发送方法、装置和二层交换设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3188492A1 (en) | 2017-07-05 |
| WO2016041388A1 (zh) | 2016-03-24 |
| US20170295139A1 (en) | 2017-10-12 |
| US10666614B2 (en) | 2020-05-26 |
| EP3188492A4 (en) | 2018-04-25 |
| CN105491460A (zh) | 2016-04-13 |
| EP3188492B1 (en) | 2020-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8320293B2 (en) | Method and apparatus for controlling uplink multicast service | |
| US10027496B2 (en) | Method for distributing identifiers of multicast sources | |
| EP2362587A1 (en) | Method and apparatus for realizing arp request broadcasting limitation | |
| US10021030B2 (en) | Method and system for forwarding information in distributed network | |
| CN103118064A (zh) | 一种Portal集中认证的方法和装置 | |
| CN108990062B (zh) | 智能安全Wi-Fi管理方法和*** | |
| WO2011023136A1 (zh) | Ip地址自动配置方法及其装置、*** | |
| EP2757743A1 (en) | Method, device, apparatus and system for generation of dhcp snooping binding table | |
| CN105491460B (zh) | 基于dns的组播安全控制方法及装置 | |
| US20120036545A1 (en) | Method and apparatus for obtaining address of video transmission management server | |
| US20150229608A1 (en) | Method for configuring network nodes of a telecommunications network, telecommunications network, program and computer program product | |
| CN106131177B (zh) | 一种报文处理方法及装置 | |
| CN101304328A (zh) | 组播认证的方法、认证设备和组播认证服务器 | |
| CN104065656B (zh) | 一种媒体流数据识别方法 | |
| US9313627B2 (en) | Multimedia messaging service (MMS) originator authentication | |
| US8276204B2 (en) | Relay device and relay method | |
| CN112188301B (zh) | 通信方法、装置、***、终端以及计算机可读存储介质 | |
| CN103001930A (zh) | 一种远程数据通信*** | |
| WO2020078428A1 (zh) | 用户上线方法、装置、宽带远程接入服务器及存储介质 | |
| CN102136985A (zh) | 一种接入方法和接入设备 | |
| WO2011044729A1 (zh) | 通信网络中用于检测任意播组配置情况的方法和装置 | |
| CN110138796A (zh) | 组播控制方法和装置 | |
| JP4554420B2 (ja) | ゲートウェイ装置及びそのプログラム | |
| CN106533985B (zh) | 一种报文转发方法及装置 | |
| CN103491081A (zh) | 检测dhcp攻击源的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |