基于dns的组播安全控制方法及装置的制造方法
基于dns的组播安全控制方法及装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种基于DNS的组播安全控制方法及装置。
【背景技术】
[0002]组播作为IPTV业务的核心,安全问题是个很重要的议题。从目前宽带接入设备的实现上看,并未有很好的解决方案。其中,一个关键的问题是对组播源的认证。现有技术协议,如IGMPV3协议的源过滤功能,由于实现复杂,目前在用户终端设备(如STB)或局端设备并未实现或支持,导致任意的组播服务器都能将组播流发送到终端设备,由此造成安全隐患。因此,现有技术对组播源无法控制或无法实现动态控制。
【发明内容】
[0003]本发明的主要目的在于提供一种基于DNS的组播安全控制的方法和装置,旨在解决现有组播实现技术对组播源没有控制或无法实现动态控制的问题。
[0004]为了达到上述目的,本发明提出一种基于DNS的组播安全控制方法,包括:
[0005]向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0006]在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0007]根据验证结果对所述组播数据报文进行转发控制。
[0008]优选地,所述向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表信息的步骤包括:
[0009]配置IPTV服务器的域名地址信息;
[0010]向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0011]接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0012]解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0013]优选地,所述在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤包括:
[0014]在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0015]将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0016]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0017]优选地,所述根据验证结果对所述组播数据报文进行转发控制的步骤包括:
[0018]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0019]优选地,所述根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
[0020]接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
[0021]解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
[0022]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0023]优选地,所述组播源DNS地址列表信息包括所述域名服务器下发的地址更新时间,所述获取IPTV服务器的组播源DNS地址列表的步骤之后还包括:
[0024]按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
[0025]本发明实施例还提出一种基于DNS的组播安全控制装置,包括:
[0026]获取模块,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0027]验证模块,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0028]控制模块,用于根据验证结果对所述组播数据报文进行转发控制。
[0029]优选地,所述获取模块包括:
[0030]配置单元,用于配置IPTV服务器的域名地址信息;
[0031]发送单元,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0032]接收单元,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0033]获取单元,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0034]优选地,所述验证模块包括:
[0035]解析单元,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0036]匹配单元,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0037]判断单元,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
[0038]优选地,所述控制模块,还用于当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0039]优选地,该装置还包括:
[0040]组播地址更新模块,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0041]优选地,所述获取模块,还用于按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
[0042]本发明实施例提出的一种基于DNS的组播安全控制的方法和装置,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
【附图说明】
[0043]图1是本发明基于DNS的组播安全控制方法一实施例的流程示意图;
[0044]图2是本发明基于DNS的组播安全控制方法另一实施例的流程示意图;
[0045]图3是本发明基于DNS的组播安全控制装置一实施例的功能模块示意图;
[0046]图4是本发明实施例中获取模块的结构示意图;
[0047]图5是本发明实施例中验证模块的结构示意图;
[0048]图6是本发明基于DNS的组播安全控制装置另一实施例的功能模块示意图。
[0049]为了使本发明的技术方案更加清楚、明了,下面将结合附图作进一步详述。
【具体实施方式】
[0050]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本 发明。
[0051]本发明实施例的解决方案主要是:通过向域名服务器发送DNS(Domain Nameservice,域名服务)请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,实现对组播业务流的有效控制,简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0052]如图1所示,本发明一实施例提出一种基于DNS的组播安全控制方法,包括:
[0053]步骤S101,向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0054]本实施例方法运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
[0055]其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
[0056]由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
[0057]具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
[0058]本实施例1PTV服务器的组播源DNS地址列表获取过程具体如下:
[0059]首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
[0060]在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
[0061]之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
[0062]所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0063]进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
[0064]具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
[0065]上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
[0066]步骤S102,在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0067]在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
[0068]其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
[0069]首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
[0070]之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
[0071]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0072]步骤S103,根据验证结果对所述组播数据报文进行转发控制。
[0073]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0074]本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0075]如图2所示,本发明另一实施例提出一种基于DNS的组播安全控制方法,在上述图1所述的实施例的基础上,在根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
[0076]步骤S104,接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
[0077]步骤S105,解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
[0078]步骤S106,若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0079]相比上述图1所示的实施例,本实施例还包括更新组播地址列表的方案。
[0080]具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器解析组播协议报文(判断该报文为加入报文或离开报文),进行组播业务流的发送或停止。
[0081]所述装置在接收到IPTV接收设备发送的组播协议报文后,将该组播协议报文转发至IPTV服务器,同时,装置会解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文。
[0082]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除,同时将更新后的组播地址列表更新配置到地址管理模块。
[0083]本实施例通过上述方案,保证了组播地址列表中信息的不断更新,以提高组播数据报文地址验证的效率。
[0084]相比现有技术,本实施例方案在设备上电后,首先进行IPTV服务器网址的配置,然后通过发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。将获取的组播源DNS列表信息配置到地址管理模块,当用户口收到组播协议报文后,添加地址信息,配置到地址管理模块,并将组播协议报文转发到上层IPTV接收设备。当本设备收到组播数据流时,可以检查报文的源IP地址和目的IP地 址是否符合条件,符合条件则按照学习的组地址进行转发,如不符合条件则丢弃该报文。通过本发明的实现,简化了组播源过滤复杂处理流程,不要求本装置的上层或下层设备支持源过滤,工程实现和部署简单,对于组播安全技术的提高有一定的指导和推广价值。
[0085]需要说明的是,本发明方案不限于上述几种实施例,还可有其他多种实施例,如不论IPV4协议或IPV6组播应用场景,都可以用此方法进行控制。
[0086]如图3所示,本发明一实施例提出一种基于DNS的组播安全控制装置,包括:获取模块201、验证模块202及控制模块203,其中:
[0087]获取模块201,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0088]验证模块202,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0089]控制模块203,用于根据验证结果对所述组播数据报文进行转发控制。
[0090]具体地,本实施例方案运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
[0091]其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
[0092]由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
[0093]具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
[0094]本实施例1PTV服务器的组播源DNS地址列表获取过程具体如下:
[0095]首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
[0096]在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
[0097]之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
[0098]所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0099]进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
[0100]具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
[0101]上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
[0102]在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
[0103]其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
[0104]首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
[0105]之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
[0106]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0107]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0108]本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0109]进一步地,在一优选实施例中,如图4所示,所述获取模块201包括:配置单元2011、发送单元2012、接收单元2013及获取单元2014,其中:
[0110]配置单元2011,用于配置IPTV服务器的域名地址信息;
[0111]发送单元2012,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0112]接收单元2013,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0113]获取单元2014,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0114]如图5所示,所述验证模块202包括:解析单元2021、匹配单元2022、判断单元2023,其中:
[0115]解析单元2021,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0116]匹配单元2022,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0117]判断单元2023,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
[0118]如图6所示,本发明另一实施例提出一种基于DNS的组播安全控制装置,在上述图3所示的实施例的基础上,还包括:
[0119]组播地址更新模块204,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0120]相比上述图3所示的实施例,本实施例还包括更新组播地址列表的方案。
[0121]具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器 解析组播协议报文(判断该报文为加入报文或离开报文),进行组播业务流的发送或停止。
[0122]所述装置在接收到IPTV接收设备发送的组播协议报文后,将该组播协议报文转发至IPTV服务器,同时,装置会解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文。
[0123]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除,同时将更新后的组播地址列表更新配置到地址管理模块。
[0124]本实施例通过上述方案,保证了组播地址列表中信息的不断更新,以提高组播数据报文地址验证的效率。
[0125]相比现有技术,本实施例方案在设备上电后,首先进行IPTV服务器网址的配置,然后通过发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。将获取的组播源DNS列表信息配置到地址管理模块,当用户口收到组播协议报文后,添加地址信息,配置到地址管理模块,并将组播协议报文转发到上层IPTV接收设备。当本设备收到组播数据流时,可以检查报文的源IP地址和目的IP地址是否符合条件,符合条件则按照学习的组地址进行转发,如不符合条件则丢弃该报文。通过本发明的实现,简化了组播源过滤复杂处理流程,不要求本装置的上层或下层设备支持源过滤,工程实现和部署简单,对于组播安全技术的提高有一定的指导和推广价值。
[0126]需要说明的是,本发明方案不限于上述几种实施例,还可有其他多种实施例,如不论IPV4协议或IPV6组播应用场景,都可以用此方法进行控制。
[0127]以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种基于DNS的组播安全控制方法,其特征在于,包括: 向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表; 在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证; 根据验证结果对所述组播数据报文进行转发控制。2.根据权利要求1所述的方法,其特征在于,所述向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表信息的步骤包括: 配置IPTV服务器的域名地址信息; 向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息; 接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文; 解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。3.根据权利要求1所述的方法,其特征在于,所述在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤包括: 在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址; 将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配; 当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。4.根据权利要求3所述的方法,其特征在于,所述根据验证结果对所述组播数据报文进行转发控制的步骤包括: 当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。5.根据权利要求1-4中任一项所述的方法,其特征在于,所述根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括: 接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器; 解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文; 若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。6.根据权利要求5所述的方法,其特征在于,所述组播源DNS地址列表信息包括所述域名服务器下发的地址更新时间,所述获取IPTV服务器的组播源DNS地址列表的步骤之后还包括: 按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。7.—种基于DNS的组播安全控制装置,其特征在于,包括: 获取模块,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表; 验证模块,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证; 控制模块,用于根据验证结果对所述组播数据报文进行转发控制。8.根据权利要求7所述的装置,其特征在于,所述获取模块包括: 配置单元,用于配置IPTV服务器的域名地址信息; 发送单元,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息; 接收单元,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文; 获取单元,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。9.根据权利要求7所述的装置,其特征在于,所述验证模块包括: 解析单元,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址; 匹配单元,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配; 判断单元,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。10.根据权利要求7所述的装置,其特征在于, 所述控制模块,还用于当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。11.根据权利要求7-10中任一项所述的装置,其特征在于,还包括: 组播地址更新模块,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。12.根据权利要求11所述的装置,其特征在于, 所述获取模块,还用于按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
【专利摘要】本发明涉及一种基于DNS的组播安全控制方法及装置,其方法包括:向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据组播源DNS地址列表及本地维护的组播地址列表对组播数据报文进行地址验证;根据验证结果对组播数据报文进行转发控制。本发明能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
【IPC分类】H04N21/6405, H04N21/643
【公开号】CN105491460
【申请号】CN201410484467
【发明人】高春生, 武云飞, 魏煜
【申请人】中兴通讯股份有限公司
【公开日】2016年4月13日
【申请日】2014年9月19日
【公告号】WO2016041388A1
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种基于DNS的组播安全控制方法及装置。
【背景技术】
[0002]组播作为IPTV业务的核心,安全问题是个很重要的议题。从目前宽带接入设备的实现上看,并未有很好的解决方案。其中,一个关键的问题是对组播源的认证。现有技术协议,如IGMPV3协议的源过滤功能,由于实现复杂,目前在用户终端设备(如STB)或局端设备并未实现或支持,导致任意的组播服务器都能将组播流发送到终端设备,由此造成安全隐患。因此,现有技术对组播源无法控制或无法实现动态控制。
【发明内容】
[0003]本发明的主要目的在于提供一种基于DNS的组播安全控制的方法和装置,旨在解决现有组播实现技术对组播源没有控制或无法实现动态控制的问题。
[0004]为了达到上述目的,本发明提出一种基于DNS的组播安全控制方法,包括:
[0005]向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0006]在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0007]根据验证结果对所述组播数据报文进行转发控制。
[0008]优选地,所述向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表信息的步骤包括:
[0009]配置IPTV服务器的域名地址信息;
[0010]向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0011]接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0012]解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0013]优选地,所述在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤包括:
[0014]在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0015]将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0016]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0017]优选地,所述根据验证结果对所述组播数据报文进行转发控制的步骤包括:
[0018]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0019]优选地,所述根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
[0020]接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
[0021]解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
[0022]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0023]优选地,所述组播源DNS地址列表信息包括所述域名服务器下发的地址更新时间,所述获取IPTV服务器的组播源DNS地址列表的步骤之后还包括:
[0024]按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
[0025]本发明实施例还提出一种基于DNS的组播安全控制装置,包括:
[0026]获取模块,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0027]验证模块,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0028]控制模块,用于根据验证结果对所述组播数据报文进行转发控制。
[0029]优选地,所述获取模块包括:
[0030]配置单元,用于配置IPTV服务器的域名地址信息;
[0031]发送单元,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0032]接收单元,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0033]获取单元,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0034]优选地,所述验证模块包括:
[0035]解析单元,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0036]匹配单元,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0037]判断单元,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
[0038]优选地,所述控制模块,还用于当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0039]优选地,该装置还包括:
[0040]组播地址更新模块,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0041]优选地,所述获取模块,还用于按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
[0042]本发明实施例提出的一种基于DNS的组播安全控制的方法和装置,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
【附图说明】
[0043]图1是本发明基于DNS的组播安全控制方法一实施例的流程示意图;
[0044]图2是本发明基于DNS的组播安全控制方法另一实施例的流程示意图;
[0045]图3是本发明基于DNS的组播安全控制装置一实施例的功能模块示意图;
[0046]图4是本发明实施例中获取模块的结构示意图;
[0047]图5是本发明实施例中验证模块的结构示意图;
[0048]图6是本发明基于DNS的组播安全控制装置另一实施例的功能模块示意图。
[0049]为了使本发明的技术方案更加清楚、明了,下面将结合附图作进一步详述。
【具体实施方式】
[0050]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本 发明。
[0051]本发明实施例的解决方案主要是:通过向域名服务器发送DNS(Domain Nameservice,域名服务)请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,实现对组播业务流的有效控制,简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0052]如图1所示,本发明一实施例提出一种基于DNS的组播安全控制方法,包括:
[0053]步骤S101,向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0054]本实施例方法运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
[0055]其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
[0056]由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
[0057]具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
[0058]本实施例1PTV服务器的组播源DNS地址列表获取过程具体如下:
[0059]首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
[0060]在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
[0061]之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
[0062]所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0063]进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
[0064]具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
[0065]上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
[0066]步骤S102,在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0067]在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
[0068]其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
[0069]首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
[0070]之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
[0071]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0072]步骤S103,根据验证结果对所述组播数据报文进行转发控制。
[0073]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0074]本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0075]如图2所示,本发明另一实施例提出一种基于DNS的组播安全控制方法,在上述图1所述的实施例的基础上,在根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括:
[0076]步骤S104,接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;
[0077]步骤S105,解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;
[0078]步骤S106,若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0079]相比上述图1所示的实施例,本实施例还包括更新组播地址列表的方案。
[0080]具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器解析组播协议报文(判断该报文为加入报文或离开报文),进行组播业务流的发送或停止。
[0081]所述装置在接收到IPTV接收设备发送的组播协议报文后,将该组播协议报文转发至IPTV服务器,同时,装置会解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文。
[0082]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除,同时将更新后的组播地址列表更新配置到地址管理模块。
[0083]本实施例通过上述方案,保证了组播地址列表中信息的不断更新,以提高组播数据报文地址验证的效率。
[0084]相比现有技术,本实施例方案在设备上电后,首先进行IPTV服务器网址的配置,然后通过发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。将获取的组播源DNS列表信息配置到地址管理模块,当用户口收到组播协议报文后,添加地址信息,配置到地址管理模块,并将组播协议报文转发到上层IPTV接收设备。当本设备收到组播数据流时,可以检查报文的源IP地址和目的IP地 址是否符合条件,符合条件则按照学习的组地址进行转发,如不符合条件则丢弃该报文。通过本发明的实现,简化了组播源过滤复杂处理流程,不要求本装置的上层或下层设备支持源过滤,工程实现和部署简单,对于组播安全技术的提高有一定的指导和推广价值。
[0085]需要说明的是,本发明方案不限于上述几种实施例,还可有其他多种实施例,如不论IPV4协议或IPV6组播应用场景,都可以用此方法进行控制。
[0086]如图3所示,本发明一实施例提出一种基于DNS的组播安全控制装置,包括:获取模块201、验证模块202及控制模块203,其中:
[0087]获取模块201,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;
[0088]验证模块202,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;
[0089]控制模块203,用于根据验证结果对所述组播数据报文进行转发控制。
[0090]具体地,本实施例方案运行环境涉及IPTV服务器、域名服务器以及IPTV接收设备,IPTV接收设备下挂于执行本实施例方法的装置的用户口。
[0091]其中,IPTV服务器用于向IPTV接收设备提供组播业务数据流,域名服务器用于管理组播源DNS地址。
[0092]由于现有的组播实现技术对组播源没有控制或无法实现动态控制,导致任意的IPTV服务器都能将组播数据流(组播数据报文)发送到用户终端设备(机顶盒等),由此造成安全隐患,而实际上,对于家庭用户,组播服务器是相对固定的,鉴于此,本实施例采用的方案可以实现对组播业务流的有效控制,简化组播源过滤复杂处理流程。
[0093]具体地,实施本实施例方法的装置,首先进行IPTV服务器网址(即域名)的配置,然后通过向域名服务器发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。并在本地维护一个组播源DNS列表和组播地址列表,该组播源DNS列表和组播地址列表可以通过一设定的地址管理模块来维护和管理。其中,组播源DNS地址列表包括组播源的DNS对应的IP地址信息,组播地址列表包括组播地址信息,用于与组播源IP地址信息匹配。
[0094]本实施例1PTV服务器的组播源DNS地址列表获取过程具体如下:
[0095]首先,实施本实施例方法的装置配置IPTV服务器的域名地址信息。
[0096]在开启组播业务后,向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息。
[0097]之后,接收域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文,该应答报文包括IPTV服务器的组播源DNS地址列表,和TTL时间,即再次发起DNS请求报文的间隔发送时间,也即组播源DNS地址地址更新时间。
[0098]所述装置解析域名服务器反馈的应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0099]进一步地,在一优选实施方案中,所述装置还可以按照域名服务器下发的DNS请求报文的TTL时间设置定时器,定期向域名服务器发送DNS请求报文,以更新IPTV服务器的组播源DNS地址列表。
[0100]具体地,在定时器到时后,所述装置重新发起DNS请求,实现动态获取组播源DNS列表,并将获取的组播源DNS列表信息配置到地址管理模块,使组播源DNS列表得到定期更新。
[0101]上述过程中,若收到停用组播业务消息,则不再发送DNS请求报文。
[0102]在装置启动组播业务后,会不断接收到IPTV服务器下发的组播数据报文。
[0103]其中,下发组播数据报文可能来自用户指定的IPTV服务器,也可能来自其它IPTV服务器或网络,因此,所述装置接收到的组播数据报文需要进行过滤。本实施例采用的方案是:根据组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证,以达到过滤报文的目的。具体过程如下:
[0104]首先,在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址。
[0105]之后,将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配,判断组播源DNS地址列表中是否存在与上述组播数据报文的源IP地址对应的IP地址信息,判断组播地址列表中是否存在与上述组播数据报文的目的IP地址对应的组播地址信息。
[0106]当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。
[0107]当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。
[0108]本实施例通过上述方案,通过向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证;根据验证结果对所述组播数据报文进行转发控制,若验证符合要求,则转发报文,不符合要求,则丢弃报文,由此,通过组播源DNS列表来过滤报文的方法,能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
[0109]进一步地,在一优选实施例中,如图4所示,所述获取模块201包括:配置单元2011、发送单元2012、接收单元2013及获取单元2014,其中:
[0110]配置单元2011,用于配置IPTV服务器的域名地址信息;
[0111]发送单元2012,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息;
[0112]接收单元2013,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文;
[0113]获取单元2014,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。
[0114]如图5所示,所述验证模块202包括:解析单元2021、匹配单元2022、判断单元2023,其中:
[0115]解析单元2021,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址;
[0116]匹配单元2022,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配;
[0117]判断单元2023,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。
[0118]如图6所示,本发明另一实施例提出一种基于DNS的组播安全控制装置,在上述图3所示的实施例的基础上,还包括:
[0119]组播地址更新模块204,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。
[0120]相比上述图3所示的实施例,本实施例还包括更新组播地址列表的方案。
[0121]具体地,所述装置会接收IPTV接收设备发送的组播协议报文,该组播协议报文由该装置转发至IPTV服务器,以便指定的IPTV服务器 解析组播协议报文(判断该报文为加入报文或离开报文),进行组播业务流的发送或停止。
[0122]所述装置在接收到IPTV接收设备发送的组播协议报文后,将该组播协议报文转发至IPTV服务器,同时,装置会解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文。
[0123]若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除,同时将更新后的组播地址列表更新配置到地址管理模块。
[0124]本实施例通过上述方案,保证了组播地址列表中信息的不断更新,以提高组播数据报文地址验证的效率。
[0125]相比现有技术,本实施例方案在设备上电后,首先进行IPTV服务器网址的配置,然后通过发送DNS请求报文获取IPTV服务器的组播源DNS列表信息。将获取的组播源DNS列表信息配置到地址管理模块,当用户口收到组播协议报文后,添加地址信息,配置到地址管理模块,并将组播协议报文转发到上层IPTV接收设备。当本设备收到组播数据流时,可以检查报文的源IP地址和目的IP地址是否符合条件,符合条件则按照学习的组地址进行转发,如不符合条件则丢弃该报文。通过本发明的实现,简化了组播源过滤复杂处理流程,不要求本装置的上层或下层设备支持源过滤,工程实现和部署简单,对于组播安全技术的提高有一定的指导和推广价值。
[0126]需要说明的是,本发明方案不限于上述几种实施例,还可有其他多种实施例,如不论IPV4协议或IPV6组播应用场景,都可以用此方法进行控制。
[0127]以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种基于DNS的组播安全控制方法,其特征在于,包括: 向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表; 在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证; 根据验证结果对所述组播数据报文进行转发控制。2.根据权利要求1所述的方法,其特征在于,所述向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表信息的步骤包括: 配置IPTV服务器的域名地址信息; 向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息; 接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文; 解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。3.根据权利要求1所述的方法,其特征在于,所述在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤包括: 在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址; 将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配; 当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则验证成功;否则,验证失败。4.根据权利要求3所述的方法,其特征在于,所述根据验证结果对所述组播数据报文进行转发控制的步骤包括: 当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。5.根据权利要求1-4中任一项所述的方法,其特征在于,所述根据组播源DNS地址列表信息及本地维护的组播地址列表对所述组播数据报文进行地址验证的步骤之前还包括: 接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器; 解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文; 若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。6.根据权利要求5所述的方法,其特征在于,所述组播源DNS地址列表信息包括所述域名服务器下发的地址更新时间,所述获取IPTV服务器的组播源DNS地址列表的步骤之后还包括: 按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。7.—种基于DNS的组播安全控制装置,其特征在于,包括: 获取模块,用于向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表; 验证模块,用于在接收到IPTV服务器下发的组播数据报文后,根据所述组播源DNS地址列表及本地维护的组播地址列表对所述组播数据报文进行地址验证; 控制模块,用于根据验证结果对所述组播数据报文进行转发控制。8.根据权利要求7所述的装置,其特征在于,所述获取模块包括: 配置单元,用于配置IPTV服务器的域名地址信息; 发送单元,用于向域名服务器发送DNS请求报文,所述DNS请求报文携带有所述IPTV服务器的域名地址信息; 接收单元,用于接收所述域名服务器反馈的对应所述IPTV服务器的域名地址信息的应答报文; 获取单元,用于解析所述应答报文,获取所述IPTV服务器的组播源DNS地址列表。9.根据权利要求7所述的装置,其特征在于,所述验证模块包括: 解析单元,用于在接收到IPTV服务器下发的组播数据报文后,解析所述组播数据报文,获取所述组播数据报文的源IP地址和目的IP地址; 匹配单元,用于将所述组播数据报文的源IP地址与所述组播源DNS地址列表进行匹配,将所述组播数据报文的目的IP地址与所述组播地址列表进行匹配; 判断单元,用于当所述组播数据报文的源IP地址和目的IP地址均匹配到对应的地址信息时,则判断验证成功;否则,判断验证失败。10.根据权利要求7所述的装置,其特征在于, 所述控制模块,还用于当验证成功时,转发所述组播数据报文至IPTV接收设备;否则,将所述组播数据报文丢弃。11.根据权利要求7-10中任一项所述的装置,其特征在于,还包括: 组播地址更新模块,用于接收IPTV接收设备发送的组播协议报文,并转发至所述IPTV服务器;解析所述组播协议报文,判断所述组播协议报文为加入报文或离开报文;若所述组播协议报文为加入报文,则将对应的组播地址信息加入所述组播地址列表;若所述组播协议报文为离开报文,则将对应的组播地址信息从所述组播地址列表删除。12.根据权利要求11所述的装置,其特征在于, 所述获取模块,还用于按照所述地址更新时间设置定时器,定期向域名服务器发送DNS请求报文,更新所述IPTV服务器的组播源DNS地址列表。
【专利摘要】本发明涉及一种基于DNS的组播安全控制方法及装置,其方法包括:向域名服务器发送DNS请求报文,获取IPTV服务器的组播源DNS地址列表;在接收到IPTV服务器下发的组播数据报文后,根据组播源DNS地址列表及本地维护的组播地址列表对组播数据报文进行地址验证;根据验证结果对组播数据报文进行转发控制。本发明能有效地进行组播源的认证,实现对组播业务流的有效安全控制,不仅保证了组播业务的稳定,减少了网络攻击,而且简化了组播源过滤复杂处理流程,工程实现和部署简单。
【IPC分类】H04N21/6405, H04N21/643
【公开号】CN105491460
【申请号】CN201410484467
【发明人】高春生, 武云飞, 魏煜
【申请人】中兴通讯股份有限公司
【公开日】2016年4月13日
【申请日】2014年9月19日
【公告号】WO2016041388A1
最新回复(0)