[发明专利]加强对多播传输的访问控制

说明书

本申请是国际申请日为2004年10月29日、国际申请号为PCT/US2004/035734、中国国家申请号为200480036350.8、发明名称为“加强对多播传输的访问控制”的发明专利申请的分案申请。

技术领域

本发明涉及安全网络通信。

背景技术

涉及计算机组的网络计算应用程序可能需要同时通信。有三种常规的方式来设计用于同时组通信的网络应用程序，所述方式为：单播、广播和多播。常规的单播系统要求向一个特殊的接收方传输每一数据分组的副本。为了传输到多个接收方，需要与每一接收方进行独立的连接。随着接收方数目的增加，进行多个直接连接需要大量带宽，并且由于同一分组必须被反复地复制然后传输给每一接收方，故而可能会产生延迟。在常规的广播系统中，把每一分组的一个副本发送给广播地址。当实际只有少数人员希望或者需要接收广播时，广播传输被发送给大量人员。

采用常规的多播系统，网络应用程序可以发送向一组接收方而不是仅向一个接收方(如单播系统中那样)寻址的一个或多个分组的一个副本。然后，一个或多个网络负责把一个或多个分组转发给必要的接收方。多播通常使用目的地网际协议(IP)地址的标准化范围(例如，224.0.0.0-239.255.255.255)。通过在多播目的地IP地址范围内设置分组的目的地IP地址，多播源用信号通知网络的其余部分多播传输。所使用的多播目的地IP地址是多播组地址。

协议独立多播-稀疏模式(ProtocolIndependentMulticast-SparseMode，PIM-SM)是对多播传输的一种控制范例。在PIM-SM系统中，多播接收方通过使用互联网组管理协议(InternetGroupManagementProtocol，IGMP)向最近的路由器即“最后一跳路由器”发信号来请求参与到组传输中。最后一跳路由器使用PIM-SM来请求来自下一跳路由器的特定多播流。因此，基于PIM-SM系统，多播分组只能去被请求的地方。为了使多播从源向最后一跳路由器移动，可能需要此处被称为会合点的一种路由器。这是因为多播源和最后一跳路由器最初不知道彼此的存在。图1举例说明了包括会合点130的常规PIM-SM系统的例子。参考图1，多播接收方140a-140d(合称为“140”)可以用信号通知最后一跳路由器它们想要特定的传输。最后一跳路由器125a-125c(合称为“125”)然后经由中间路由器120向会合点130发出对多播传输的加入请求。对于不同的多播组传输来说，可以存在不同的会合点。最后一跳路由器125可以确定对于特定的多播传输而言、向哪个会合点发送加入请求。例如当它们不知道源在何处时，最后一跳路由器125与会合点130进行连接，以便访问源多播流，而不是直接把加入请求传输至多播源110。会合点130经由第一跳路由器115和一个或多个中间节点(诸如多播路由器120)从多播源110接收多播传输，并且向预订了所述多播的所有多播接收方140分发多播传输。

图2中示出了常规的多播路由器120。多播路由器120包括用于接收数据的接口210，访问控制列表220，用于确定网络中数据所沿的下一路径的路由器230以及用于向下一目的地转发数据的转发模块240。访问控制列表220确定是否允许访问多播路由器。访问控制可以基于IP地址信息，所述IP地址信息包括多播组、数据所来自的路由器或者接受用户的列表。

发明内容

本说明书描述了用于提供多播访问控制的设备、系统、方法和计算机程序产品。

依照符合本发明原理的一种实现方式，提供了一种多播访问控制设备。所述设备可以包括分析器。所述分析器可操作以便分析输入数据。所述设备可以包括包含访问控制规则的数据库。所述设备可以包括访问控制引擎，所述访问控制引擎可操作以便基于分析器的结果把适当的访问控制规则应用于输入数据。

依照本发明的另一方面，提供了一种用于执行多播访问控制的方法。所述方法包括在多播访问控制设备处接收输入数据。所述输入数据可以被分析。可以把访问控制规则应用于输入数据。

依照本发明的又一方面，提供了一种用于多播访问控制的计算机程序产品。所述计算机程序产品包括用于在多播访问控制设备处接收输入数据的指令。所述计算机程序产品包括用于分析所述输入数据的指令。所述计算机程序产品包括用于把访问控制规则应用于所述输入数据的指令。