組播方法和組播系統(tǒng)以及組播設備的制作方法

文檔序號：7972722閱讀：384來源：國知局

專利名稱：組播方法和組播系統(tǒng)以及組播設備的制作方法
技術領域：
本發(fā)明涉及無線通信中的數(shù)據(jù)傳輸技術，特別涉及組播方法和組播系統(tǒng) 以及組l番設備。
背景技術：
組播(Multicast)是介于單播和廣播之間的一種數(shù)據(jù)傳輸方式，即數(shù)據(jù) 幀的目的地址為一個組播地址，且發(fā)送端只將數(shù)據(jù)幀傳送給屬于組播組的多個接收端。無線通信中，組播與單播的區(qū)別在于，組播僅發(fā)送數(shù)據(jù)的一個副本；與廣播的區(qū)別在于，組播流量僅由屬于組播組成員的監(jiān)聽設備進行接收和處理。對于這種一對多的數(shù)據(jù)傳輸，組播要比單播和廣播更為高效?，F(xiàn)有無線局域網(wǎng)中的組播傳輸方式有兩種以廣播方式傳輸組播幀和以單播方式傳輸組播幀。以無線局域網(wǎng)(Wireless Local Area Network, WLAN)進行組播為例，當采用廣播方式傳輸組播幀時，作為發(fā)送端的接入點(Access Point, AP) 使用基本服務集(BSS)域內的組臨時密鑰(Group Temporal Key, GTK ), 對來自網(wǎng)絡側的組播幀加密，再以廣播的方式將組播幀發(fā)送到BSS域內的站點(Station, STA),然后，STA再通過相同的GTK對組^喬幀解密并發(fā) 送給上層用戶；當采用單播方式傳輸組播幀時，AP使用對臨時密鑰(Pairwise Transient Key, PTK)對組播幀加密，并將加密后的組播幀拷貝為多個，逐一地發(fā)送到BSS域內的所有STA, STA再使用相同的PTK解密，并發(fā)送到上層用戶。上層用戶在接收到組播幀后，判斷自己是否屬于該組播幀對應的組播組，再決定是否接收該組播幀。然而，在采用上述廣播方式和單播方式傳輸組播幀時，都存在以下問題STA所在BSS域內的所有STA接收到數(shù)據(jù)幀后，將組播地址和廣播地址同等對待，不作過濾，使用BSS域內的GTK解密后直接分發(fā)到上層。這樣，就增加了不屬于該組播幀對應的組播組的STA的負擔，且由于不屬于該組播組的STA也擁有BSS域內的相同GTK,可以對其解密，因此組播的安全性較差。而且，在采用單播方式傳輸組播幀時，AP還需要將組播幀拷貝成多個，并單獨下發(fā)給每個STA，增加了系統(tǒng)的負擔。可見，現(xiàn)有的組播技術不能有效地保證組播的安全性，且在傳輸組播幀時，為系統(tǒng)增加了不必要的負擔。發(fā)明內容有鑒于此，本發(fā)明的一個主要目的在于，提供一種組播方法，能夠提高組播的安全性。本發(fā)明的另一個主要目的在于，提供一種組播系統(tǒng)，能夠提高組播的安全性。本發(fā)明的再一個主要目的在于，提供一種組播設備，能夠提高組播的安全性，并降低系統(tǒng)負擔。本發(fā)明的第四個主要目的在于，提供一種組播方法，能夠提高組播的安全性。本發(fā)明的第五個主要目的在于，提供一種組播系統(tǒng)，能夠提高組播的安全性。根據(jù)上述的一個主要目的，本發(fā)明提供了一種組播方法，包括以下步驟為各組播組分配組內密鑰和組播組標識；發(fā)送端接收來自外部的組播幀，確定該組播幀所屬的組播組，利用該組播組對應的組內密鑰對該組播幀加密，并將加密后的組播幀發(fā)送到接收端；接收端根據(jù)組播組標識確定接收到的組播幀所屬的組播組，并利用該組播組對應的組內密鑰，對接收到的組播幀解密。所述為各組4番組分配組內密鑰和組播組標識為發(fā)送端為各組播組生成組內密鑰，并存儲所生成的組內密鑰；將組4務組標識及其對應的所迷組內密鑰發(fā)送給對應的組播組內的接收端；接收端接收并存儲來自發(fā)送端的組內密鑰和組播組標識。所述發(fā)送端將組播組標識及其對應的組內密鑰發(fā)送給接收端為接收端向發(fā)送端請求加入組播組，發(fā)送端根據(jù)內部存儲的所述接收端的組信息列表，確定接收端為所述組播組的合法成員后，將所述組播組的組播組標識，及其對應的組內密鑰發(fā)送給所述接收端。所述確定接收端為所述組播組的合法成員為在所述接收端的組信息列表中，查詢到接收端當前申請加入的組播組，確定所述接收端為所述組^膝組的合法成員。所述接收端向發(fā)送端請求加入組播組之前，進一步包括接收端向簽約網(wǎng)絡注冊組播組，簽約網(wǎng)絡更新預先存儲的所述接收端的組信息列表；所述接收端在注冊了組播組之后，進一步包括接收端向發(fā)送端請求進行接入認證，發(fā)送端根據(jù)所述接收端的請求，向認證服務器發(fā)送接入認i正請求，然后接收來自簽約網(wǎng)絡的所述接收端的組信息列表，并存儲所述組信息列表。所述接收端向發(fā)送端請求加入組播組之前，進一步包括接收端向簽約網(wǎng)絡注冊組播組，簽約網(wǎng)絡更新內部存儲的所述接收端的組信息列表；所述接收端在注冊了組播組之前，進一步包括接收端向發(fā)送端請求進行接入認證，發(fā)送端根據(jù)所述接收端的請求，向認證服務器發(fā)送接入認證請求，然后接收來自簽約網(wǎng)絡的所述接收端的組信息列表，并存儲所述組信息列表。所述將所述組播組的組內密鑰發(fā)送給所述接收端為所述接收端的組信息列表中包括所述申請加入的組播組，發(fā)送端判斷出所述接收端為組播組的合法成員，將所述接收端當前申請的組播組對應的組內密鑰以及組播組標識發(fā)送給所述接收端。
所述將所述組播組的組播組標識，及其對應的組內密鑰發(fā)送給所述接收端為所述接收端的組信息列表中不包括所述申請加入的組播組，發(fā)送端向認證服務器請求再次獲取所述接收端的組信息列表，并接收來自簽約網(wǎng)絡的所述接收端的組信息列表；所述再次獲取的組信息列表中包括所述申請加入的組播組，發(fā)送端判斷出所述接收端為組播組的合法成員，將所述接收端當前申請的組播組對應的組內密鑰以及組播組標識發(fā)送給所述接收端。在所述發(fā)送端將加密后的組播幀發(fā)送到接收端的同時、或者之后、或者之前，所述方法進一步包括組播組內的接收端向發(fā)送端發(fā)送退出所述組播組的請求，所述發(fā)送端接收所述接收端的請求，更新內部存儲的組播組信息，并重新生成所述組播組的組內密鑰；然后將重新生成的組內密鑰和所述組播組的標識，根據(jù)更新后的組播組信息，發(fā)送給所述組播組內的接收端。在所述發(fā)送端將加密后的組播幀發(fā)送到接收端的同時、或者之后、或者之前，所述方法進一步包括發(fā)送端根據(jù)預先設定的時間周期，重新生成組內密鑰，然后將重新生成的組內密鑰和所述組播組的標識，根據(jù)組播組信息，發(fā)送給所述組播組內的接收端。所述將所述組播組的組播組標識，及其對應的組內密鑰發(fā)送給所述接收端為將組內密鑰攜帶于行為ACTION幀中，發(fā)送到接收端；加入組請求攜帶于ACTION幀中，所述攜帶加入組請求的ACTION幀為攜帶組標識的增加組成員GroupAdd消息、或者攜帶組標識的組成員離開GroupLeave消息、或者攜帶組標識的組內密鑰GROUPKEY消息。當所述接收端根據(jù)組播組標識確定接收到的組播幀所屬的組播組之前進一步包括所述接收端根據(jù)組播組標識判斷出接收到的組播幀所屬組播組，不為所述接收端所屬的組播組，刪除該組播幀。
所述將所述組播組的組內密鑰發(fā)送給所述接收端為通過單播方式，將生成的組內密鑰發(fā)送給對應的組播組內的接收端。所述組播幀包括組播地址；所述組內密鑰與組播組的對應關系為組內密鑰與組播地址的對應關系；所述對接收到的組播幀解密為接收端根據(jù)組播幀的組播地址，選擇對應的組內密鑰，并利用選擇的組內密鑰對接收到的組播幀解密。所述組播幀包括組播地址；所述方法進一步包括接收端接收到組播幀，判斷出所述組播幀的組播地址不為所述接收端所屬組播組的組播地址之后，過濾所述組播幀。所述接收端開機與所述接收端向發(fā)送端請求進行接入認證之間，所述方法進一步包括接收端向發(fā)送端發(fā)送探測Probe或者關聯(lián)消息時，攜帶表示所述接收端能力的信息元素；發(fā)送端根據(jù)接收端上報的信息元素，確定接收端的組播能力，并統(tǒng)計各組播組成員的組播能力，為各組播組制定并存儲發(fā)送組播幀的策略，然后將所述發(fā)送組播幀的策略發(fā)送給接收端。所述發(fā)送組播幀的策略為采用單播方式，單獨將組播幀給不支持使用組內密鑰解密的接收端，并采用組播方式，向系統(tǒng)內的其他接收端發(fā)送組播幀；或者通過組播方式，將組播幀發(fā)送給所有接收端。所述發(fā)送端為接入點AP;所述接收端為站點STA;所述發(fā)送端接收來自外部的組播幀為AP接收來自網(wǎng)絡側的組播幀；所述組內密鑰為用于將通過空口傳輸?shù)慕M播幀進行加密的組內密鑰。根據(jù)上述的另一個主要目的，本發(fā)明提供了一種組播系統(tǒng)，包括發(fā)送端和接收端，其中，所述發(fā)送端，用于為各組播組生成組內密鑰，并存儲組內密鑰；將組播組標識及其對應的組內密鑰發(fā)送給對應的組播組內的接收端；接收來自外部的組播幀，確定該組播幀所屬的組播組，并利用組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到接收端；所述接收端，用于接收并存儲來自發(fā)送端的組內密鑰和組播組標識；接收來自發(fā)送端的組播幀，根據(jù)組播組標識確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對組播幀解密。所述系統(tǒng)進一步包括認證服務器，用于根據(jù)來自發(fā)送端的請求，從所述發(fā)送端獲取所述接收端的認證信息，并對接收端進行4矣入認證；在接入認證通過后，從外部簽約網(wǎng)絡獲取所述接收端的組信息列表；向發(fā)送端發(fā)送所述接收端組信息列表；所述發(fā)送端進一步用于根據(jù)來自接收端的請求，向認證服務器請求對所述接收端進行接入認證；將來自接收端的認證信息發(fā)送給認證服務器；接收并存儲來自認證服務器的所述接收端的組信息列表；根據(jù)來自接收端的請求，在經(jīng)過查詢確定所述接收端的組信息列表中存在當前請求加入的組#"組時，將對應的組內密鑰和組播組標識發(fā)送給所述接收端；所述接收端進一步用于向發(fā)送端請求接入；將認證信息提供給發(fā)送端；向發(fā)送端請求加入組。所述發(fā)送端包括主控單元和密鑰單元，其中，所述主控單元，用于從密鑰單元獲取組播組標識及其對應的組內密鑰；將組播組標識及其對應的組內密鑰發(fā)送給對應的組播組內的接收端；接收來自外部的組播幀，確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到接收端；密鑰單元，用于為各組播組生成組內密鑰，并存儲生成的組內密鑰；將組播組標識及其對應的組內密鑰提供給主控單元。根據(jù)上述的再一個主要目的，本發(fā)明提供了一種組播設備，包括主控單元和密鑰單元，其中，主控單元，用于從密鑰單元獲取組播組標識及其對應的組內密鑰；將組播組標識及其對應的組內密鑰發(fā)送到外部；接收來自外部的組播幀，確定該
組播幀所屬的組播組，并利用該組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到外部；密鑰單元，用于為各組播組生成組內密鑰，并存儲生成的組內密鑰；將組播組標識及其對應的組內密鑰提供給主控單元。所述設備進一步包括認證單元，用于根據(jù)來自主控單元的請求，向外部發(fā)送接入認證請求；接收并存儲來自外部的組信息列表；根據(jù)來自主控單元的加入組請求，查詢所述組信息列表中是否存在當前請求加入的組播組，如果存在，則更新組播組信息，并將更新后的組播組信息發(fā)送給密鑰單元，向主控單元發(fā)送加入組成功消息；根據(jù)來自主控單元的退出組請求，更新組播組信息中的成員列表，并將更新指示和退出組請求中的組播組標識發(fā)送給密鑰單元；所述主控單元進一步用于向認證單元發(fā)送接入認證請求；將來自外部的加入組請求和退出組請求發(fā)送給認證單元；來自認證單元的更新指示，從密鑰單元獲取組內密鑰和組內密鑰與組播組的對應關系，并組播組信息，將獲取到的組內密鑰和組內密鑰與組播組的對應關系發(fā)送到外部；所述密鑰單元進一步用于接收來自認證單元的組播組信息，并更新內部存儲的組播組信息；在接收到來自認證單元的更新后的組播組信息之后，生成組內密鑰。根據(jù)上述的第四個主要目的，本發(fā)明提供了一種組播方法，包括以下步驟為各組播組分配組播標識；發(fā)送端將接收到的組播幀發(fā)送到接收端；接收端接收內部存儲的組播組標識對應的組播幀。所述為各組播組分配組播標識為發(fā)送端將組播組標識發(fā)送給接收端。所述將組播組標識發(fā)送給接收端之前進一步包括接收端向發(fā)送端請求加入組播組，發(fā)送端根據(jù)內部存儲的所述接收端的組信息列表，確定接收端為所述組播組的合法成員后，將所述組播組的組播組標識發(fā)送給所述接收端。所述發(fā)送端將組播組標識發(fā)送給接收端進一步包括發(fā)送端為各組4務組生成組內密鑰，發(fā)送端將組播組標識對應的組內密鑰發(fā)送到接收端。所述接收端向發(fā)送端請求加入組播組之前，進一步包括接收端向簽約網(wǎng)絡注冊組播組，簽約網(wǎng)絡更新預先存儲的所述接收端的組信息列表；所述接收端在注冊了組播組之前或者之后，進一步包括認證服務器對接收端的接入進行認證，并向發(fā)送端來自簽約網(wǎng)絡的所述接收端的組信息列表，發(fā)送端存儲所述組信息列表。根據(jù)上述的第五個主要目的，本發(fā)明提供了一種組播系統(tǒng)，包括發(fā)送端和接收端，其中，所述發(fā)送端，用于將組播組標識發(fā)送給接收端；將來自外部的組播幀發(fā) 送給接收端；所述接收端，用于接收并存儲來自發(fā)送端的組播組標識；接收內部存儲的組^"組標識對應的組#"幀。所述系統(tǒng)進一步包括認證服務器，用于根據(jù)來自發(fā)送端的請求，從所述發(fā)送端獲取所述接收端的認證信息，并對接收端進行接入認證；在接入認證通過后，從外部簽約網(wǎng)絡獲取所述接收端的組信息列表；向發(fā)送端發(fā)送所述接收端組信息列表；所述發(fā)送端進一步用于根據(jù)來自接收端的請求，向認證服務器請求對所述接收端進行接入認證；將來自接收端的認證信息發(fā)送給認證服務器；接收并存儲來自認證服務器的所述接收端的組信息列表；根據(jù)來自接收端的請求，在經(jīng)過查詢確定所述接收端的組信息列表中存在當前請求加入的組播組時，將對應的組播組標識發(fā)送給所述接收端；所述接收端進一步用于向發(fā)送端請求接入；將認證信息提供給發(fā)送端；向發(fā)送端請求加入組。由上述技術方案可見，本發(fā)明由發(fā)送端使用組內密鑰對組播幀加密，組播組內的接收端根據(jù)組播標識，使用相同的組內密鑰對接收到的組播幀解
密，提高了組播的安全性，降低了系統(tǒng)負擔；本發(fā)明中還通過接收端根據(jù)組播組標識對組播幀進行過濾，提高了組播的安全性，降低了系統(tǒng)負擔。而且，本發(fā)明通過接收端上報能力信息，由發(fā)送端制定不同的組播幀發(fā) 送策略，提高了系統(tǒng)的兼容性。

圖1為本發(fā)明組播設備的示例性結構圖。圖2為本發(fā)明中一種組播方法的示例性流程圖。圖3為本發(fā)明中另一種組播方法的示例性流程圖。圖4為本發(fā)明中組播幀的幀頭的結構圖。圖5為本發(fā)明實施例一中組播系統(tǒng)的結構圖。圖6為本發(fā)明實施例一中組播方法的基本流程圖。圖7為本發(fā)明實施例一中組播方法1的流程圖。圖8為本發(fā)明實施例一中組播方法2的流程圖。圖9為本發(fā)明實施例一中組播方法3的流程圖。圖IO為本發(fā)明實施例二中組播系統(tǒng)的結構圖。圖11為本發(fā)明實施例二中組播方法的流程圖。
具體實施方式
為使發(fā)明的目的、技術方案及優(yōu)點更加清楚明白，以下參照附圖并舉實施例，對本發(fā)明進一步詳細說明。本發(fā)明的基本思想是發(fā)送端使用組內密鑰對組播幀加密，并將組內密鑰和組播組標識發(fā)送給對應的組播組內的接收端，組播組內的接收端根據(jù)組播組標識，使用相同的組內密鑰對接收到的組播幀解密；或者發(fā)送端將組播組標識發(fā)送給接收端，接收端根據(jù)組播組標識過濾屬于其他組播組的組播幀。其中，組播組標識可以為組播地址、或者組播組編號以及其他預先約定的用于標識組播組的任意代碼；發(fā)送端可以通過生成隨機數(shù)的方法獲得組內密鑰，也可以通過802.11i協(xié)議中生成PTK或者GTK的方式獲得；在接收端加入組播組之后，發(fā)送端將組內密鑰發(fā)送給接收端；當接收端退出當前組播組之后，發(fā)送端重新生成組內密鑰，并發(fā)送給仍處于組播組內的其他接收端；發(fā)送端也可以周期性地更新組內密鑰，并發(fā)送給處于組播組內的其他接收端；一個發(fā)送端可以維護多個組播組，一個接收端也可以屬于多個組播組。本發(fā)明可以通過過濾不屬于組播組的組播幀，或者通過組內密鑰加密的方式來增強組播的安全性。本發(fā)明中，實現(xiàn)組內密鑰加密來提高組播安全性的組播系統(tǒng)包括發(fā)送端和接收端。發(fā)送端，用于為各組播組生成組內密鑰，并存儲組內密鑰；將組播組標識及其對應的組內密鑰發(fā)送給對應的組播組內的接收端；接收來自外部的組播幀，確定該組播幀所屬的組播組，并利用組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到接收端；接收端，用于接收并存儲來自發(fā)送端的組內密鑰和組播組標識；接收來自發(fā)送端的組播幀，根據(jù)組播組標識確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對組播幀解密。其中，發(fā)送端生成組內密鑰的方法，可以與WLAN的AP生成PTK或者GTK的方法相同。當不屬于組播組的其他設備接收到該組播組的組播幀時，由于沒有組內密鑰，因而無法對組播幀解密。圖1為本發(fā)明組播設備的示例性結構圖。如圖1所示，本發(fā)明的上述組播系統(tǒng)中，作為發(fā)送端的組播設備包括主控單元101和密鑰單元102。主控單元101,用于從密鑰單元102獲取組播組標識及其對應的組內密鑰；將組播組標識及其對應的組內密鑰發(fā)送給外部對應的組播組內的接收端；接收來自外部的組播幀，確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到外部接收端；密鑰單元102，用于為各組播組生成組內密鑰，并存儲生成的組內密鑰；將組播組標識及其對應的組內密鑰提供給主控單元101。其中，每一個組播組對應一個組內密鑰；發(fā)送端和接收端存儲每一個組播組對應的組播組信息，包括多個組播組標識、組播策略以及組播組的成員列表等信息；組內密鑰與組播組的對應關系可以為組內密鑰與組播組標識的映射關系表，也可以為組內密鑰與所有組播組信息的映射關系表。圖2為本發(fā)明中一種組播方法的示例性流程圖。如圖2所示，本發(fā)明的組，牆方法包4舌以下步驟步驟201 ，為各組播組分配組內密鑰和組播組標識；步驟202，發(fā)送端接收來自外部的組播幀，并確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對該組播幀加密，將加密后的組播幀發(fā) 送到接收端；步驟203，接收端根據(jù)組播組標識，確定接收到的組播幀所屬的組播組，并利用該組播組對應的組內密鑰，對接收到的組播幀解密。其中，在202~步驟203之前、之后、或者執(zhí)行過程中，還可以更新組播組對應的組內密鑰，例如，當組播組內的接收端退出該組播組后，發(fā)送端需要重新生成組內密鑰，但在生成新密鑰之前，仍然釆用現(xiàn)有組內密鑰對組播幀加密。上述組播系統(tǒng)、組播設備和組播方法中，接收端預先注冊組播組、并加入注冊的組纟番組。由于接收端可能注冊并加入了多個組播組，需要維護多個組內密鑰。因此，在本發(fā)明中，發(fā)送端在發(fā)送組內密鑰時，還可以攜帶一個組播組標識來表明該組內密鑰屬于哪個組播組；接收端在接收到組播組標識之后，存儲組內密鑰與組播組標識的對應關系，并在接收到組播幀之后，能夠使用該組播幀對應的組內密鑰對該組播幀解密。本發(fā)明中，實現(xiàn)接收端過濾不屬于組播組的組播幀的組播系統(tǒng)包括發(fā) 送端和接收端。
發(fā)送端，用于將組播組標識發(fā)送給接收端；將來自外部的組播幀發(fā)送給接收端；接收端，用于接收并存儲來自發(fā)送端的組播組標識；接收內部存儲的組4番組標識對應的組纟番幀。圖3為本發(fā)明中另一種組播方法的示例性流程圖。如圖3所示，基于上述系統(tǒng)，本發(fā)明的組播方法主要包括以下步驟步驟301,為各組播組分配組播標識；步驟302,發(fā)送端將接收到的組播幀發(fā)送到接收端；步驟302，接收端接收端接收內部存儲的組播組標識對應的組播幀。上述流程中，也可以在步驟301之后的任意時刻，接收端更新組播組標識。其中，本發(fā)明中的組播組標識可以為任何具有唯一性的標識，例如組播地址、或者組播組編號以及其他預先約定的用于標識組播組的任意代碼等標識。當本發(fā)明的技術方案用于不同的無線環(huán)境時，組播地址為不同類型的地址，例如，當本發(fā)明的技術方案應用于數(shù)據(jù)鏈路層，即網(wǎng)絡層第二層時，組播地址可以為媒體接入控制(Medium Access Control ， MAC )地址；當本發(fā) 明的技術方案應用于互聯(lián)網(wǎng)協(xié)議(Internet Protocol, IP)層時，組播地址可以為IP地址；也可以預先為組播組設定代碼，作為組播組標識。而組:燔幀中也攜帶相同類型的組播組標識，接收端可以以此來選擇對應的組內密鑰。本發(fā)明的組播幀可以包括一個幀頭，例如MAC幀頭，使得接收端在接收到組播幀之后，能夠識別出該組播幀的相關信息，從而判斷自己是否為該組播幀對應的組播組的成員，如果不是，則直接過濾該組播幀，減少了自身的負擔。圖4為本發(fā)明中組播幀的幀頭的結構圖。如圖4所示，組播幀的幀頭包括用于表明組播幀目的信息的組播地址401、用于表示系統(tǒng)中轉發(fā)組播幀的設備的地址信息的發(fā)送地址402、以及用于表示發(fā)送端地址的源地址403。如圖4所示的組播幀的幀頭中，還可以包括用于標識組播組的組標識
404。接收端在接收到組播幀后，根據(jù)組播組標識，即組播地址401或者組標識404選擇接收或者過濾該組播幀；也可以在組播幀為加密后的組播幀時，不進行過濾，而是通過相應的組內密鑰解密；還可以先根據(jù)組播組標識選擇接收或者過濾該組播幀，再選擇正確的組內密鑰對加密的組播幀解密。本發(fā)明的組播幀的幀頭中，也可以不包括組播地址401,此時，就需要用包括其4也標識的組標識404作為組播組標識。下面，結合具體實施例，對本發(fā)明的組播系統(tǒng)、組播設備和組播方法進行詳細說明。實施例一本實施例中的組播系統(tǒng)和組播方法，能夠實現(xiàn)發(fā)送端與接收端分別使用對應的組內密鑰對組播幀加密和解密，提高了組播安全性。圖5為本發(fā)明實施例一中組播系統(tǒng)的結構圖。如圖5所示，本發(fā)明的組播系統(tǒng)包括發(fā)送端501、接收端502和認證服務器503。發(fā)送端501,用于在組播組中加入第一個組成員時，生成組內密鑰，并存儲生成的組內密鑰及組內密鑰與組播組的對應關系；在接收端502進入發(fā) 送端所屬區(qū)域后，向接收端502請求申請接入認證；根據(jù)來自接收端502的響應，向認證服務器503請求對接收端502進行接入認證，并請求獲取組信息列表；與接收端502和認證服務器進行信息交互，將接收端502的認證信息提供給認證服務器503;接收來自認證服務器503的，包括接收端502組信息列表的響應，存儲接收端502的組信息列表，確認接收端502成功接入，并向接收端502發(fā)送成功接入消息；根據(jù)來自接收端502的加入組請求，查詢接收端502的組信息列表中是否存在當前請求加入的組播組，如果存在，則判斷接收端502為該組播組的合法組成員，將接收端502加入該組播組，更新預先生成的組播組信息，如果不存在，則判斷接收端502為該組播組的非法組成員，不向接收端502發(fā)送組內密鑰；在接收端502成功加入其申請加入的組播組之后，根據(jù)組內密鑰與組播組的對應關系，將組內密鑰和對應
的組播組標識發(fā)送給接收端502;接收來自組播組內所有接收端的組內密鑰響應；接收來自外部的組播幀，并利用組播幀所屬組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到包括接收端502在內的所有接收接收端502，用于根據(jù)發(fā)送端501的請求，向發(fā)送端501申請接入認i正；與發(fā)送端501進行信息交互，將認證信息通過發(fā)送端501提供給認證服務器 503;接收來自發(fā)送端501的認證成功消息；向發(fā)送端501發(fā)送包括組，膝組標識的加入組請求；接收來自發(fā)送端501的組內密鑰和組播組標識，存儲組內密鑰以及組內密鑰與組播組標識的對應關系；根據(jù)組播組標識存儲組內密鑰；向發(fā)送端501發(fā)送組內密鑰響應消息；接收來自發(fā)送端501的組播幀，判斷該組播幀是否為接收端502所屬組播組的組播幀，如果是，則利用該組播幀對應的組內密鑰，對組播幀解密，如果不是，則刪除該組播幀。認證服務器503，用于根據(jù)來自發(fā)送端501的請求，與發(fā)送端501進行信息交互，獲取接收端502的認證信息，并對接收端502進行接入認證；在接入認證通過后，從外部簽約網(wǎng)絡獲取接收端502的組信息列表，向發(fā)送端 501發(fā)送包括接收端502組信息列表的響應。實際應用中，發(fā)送端501還可以用于在查詢到接收端502的組信息列表中不存在當前請求加入的組播組之后，向認證服務器503請求獲取接收端 502的組信息列表，此時請求獲取的組信息列表可能是更新后的組信息列表；發(fā)送端501還可以直接從簽約網(wǎng)絡或者其他網(wǎng)絡設備獲取組信息列表。當接收端502退出當前組播組時，可以向發(fā)送端501發(fā)送包括組播組標識的退出組請求。在這種情況下，發(fā)送端501還可以根據(jù)來自接收端502的退出組請求，更新組播組信息中的成員列表，并重新生成組內密鑰；并存儲重新生成的組內密鑰及組內密鑰與組播組的對應關系；根據(jù)重新生成的組內密鑰與組播組的對應關系，將組內密鑰和組播組標識發(fā)送給仍為該組播組成員的其他接收端；認證服務器503也可以為其它與簽約網(wǎng)絡連接或者簽約網(wǎng)絡中的，并能
夠從簽約網(wǎng)絡獲取接收端502組信息列表的網(wǎng)元；發(fā)送端501也可以直接或者通過其他網(wǎng)元，從外部簽約網(wǎng)絡獲取接收端502的組信息列表；接收端 502也可以先根據(jù)組播組標識，判斷該組播幀是否屬于接收端502所屬組播組的組播幀，即是否接收來自發(fā)送端501的組播幀。具體來說，發(fā)送端501,即組播設備，包括主控單元511、密鑰單元 512和認證單元513。主控單元511，用于在接收端502進入發(fā)送端所屬區(qū)域后，請求接收端 502申請接入認證；根據(jù)來自接收端502的響應，向認證單元513發(fā)送接入認證請求；將來自認證單元513的認證成功消息發(fā)送給接收端502;將來自接收端502的，包括組播組標識的加入組請求和退出組請求發(fā)送給認證單元 513;從密鑰單元512獲取組內密鑰以及組內密鑰與組播組的對應關系；根據(jù)來自密鑰單元512的組內密鑰與組播組的對應關系，將組內密鑰發(fā)送給外部對應的組播組內的接收端；接收來自外部組播組內所有接收端的組內密鑰響應；接收來自外部的組播幀，并利用該組播幀所屬組播組對應的組內密鑰對該組播幀加密；根據(jù)組播組信息將加密后的組播幀發(fā)送到外部接收端；在查詢到接收端502的組信息列表中不存在當前請求加入的組播組之后，向認證單元513發(fā)送接入認證請求；根據(jù)來自認證單元513的更新指示，從密鑰單元512獲取組內密鑰和組內密鑰與組播組的對應關系，并組播組信息，將獲取到的組內密鑰和組內密鑰與組播組的對應關系發(fā)送到該組播組內的所有接收端。密鑰單元512,用于在組播組中加入第一個組成員時，生成組內密鑰，并存儲生成的組內密鑰及組內密鑰與組播組的對應關系；在接收到來自認證單元513的更新指示和組播組標識之后，生成該組播組標識對應的組播組的組內密鑰，并存儲生成的組內密鑰及組內密鑰與該組播組的對應關系；將組內密鑰和組內密鑰與組播組的對應關系提供給主控單元511。認證單元513，用于根據(jù)來自主控單元511的請求，向認證服務器503 請求對接收端502進行接入認證，并請求獲取組信息列表；接收來自認證服
務器503的，包括接收端502組信息列表的響應，存儲接收端502的組4言息列表，確認接收端502成功接入，并向主控單元511發(fā)送成功接入消息；根據(jù)來自主控單元5U的加入組請求，查詢接收端502的組信息列表中是否存在當前請求加入的組播組，如果存在，則判斷接收端502為該組播組的合法組成員，將接收端502加入該組播組，更新預先存儲的組播組信息，并將更新后的組播組信息發(fā)送給密鑰單元512,向主控單元511發(fā)送加入組成功消息；如果不存在，則判斷接收端502為該組播組的非法組成員，拒絕加入該組播組，向主控單元511發(fā)送加入組失敗消息；根據(jù)來自主控單元511的包括組播組標識的退出組請求，更新組播組信息中的成員列表，并向密鑰單元 512發(fā)送更新指示和退出組請求中的組播組標識，向主控單元511發(fā)送更新指示和組播組信息。密鑰單元512還可以生成群密鑰，用于對廣播幀加密，保證發(fā)送端將廣播幀發(fā)送到其所屬區(qū)域內的接收端的安全性。本發(fā)明實施例中的認證服務器503，還可以為簽約網(wǎng)絡中的網(wǎng)元。下面，對基于上述系統(tǒng)和設備的組播方法進行說明。圖6為本發(fā)明實施例一中組播方法的基本流程圖。如圖6所示，本發(fā)明的組4番方法包括以下步驟步驟601,接收端向認證服務器簽約注冊組播組。步驟602,接收端請求加入已注冊的組播組。步驟603,發(fā)送端確認接收端的合法身份，并在確認了接收端為合法組成員之后，執(zhí)行步驟604。步驟604,發(fā)送端向接收端發(fā)送組內密鑰。步驟605，發(fā)送端利用組內密鑰對組播幀加密，接收端接收組播幀，并利用該組播幀對應的組內密鑰對接收到的組播幀解密。本步驟中，接收端也可以先過濾不屬于自身所述組播組的組播幀后，再接收自身所屬組播組的組播幀，并進行解密；發(fā)送端也可以不對組播幀加密，此時，接收端只需過濾掉不屬于自身所屬組播組的組播幀，不需再對組播幀解密。步驟606，接收端退出組播組，并可以返回步驟602,再次加入已退出的組播組或者其他已注冊的組播組。上述流程的步驟601中，接收端可以注冊多個組播組，因此，注冊了多個組播組的接收端可以同時加入多個組播組，即同時執(zhí)行多個如步驟602~ 步驟606的流程。下面，再以組播系統(tǒng)為WLAN、 AP作為發(fā)送端、STA作為接收端、AS 作為認證服務器為例，基于圖6所示的基本流程，對本發(fā)明的組播方法進行詳細說明。本實施例的組播方法包括方法1、方法2和方法3。其中，方法l為 STA先向AS申請簽約注冊一個組播組，再向AP申請加入該組播組，AP 在判斷出STA的組信息列表中不包括當前申請加入的組播組之后，不向該 STA發(fā)送組內密鑰；方法2為AP在判斷出STA的組信息列表中不包括當前申請加入的組播組之后，再次通過AS向簽約網(wǎng)絡申請獲取該STA的組信息列表，更新當前列表，并通過更新后的組信息列表對該STA再次認證；方法3為AP在判斷出STA的組信息列表中不包括當前申請加入的組播組之后，直接向簽約網(wǎng)絡申請獲取該STA的組信息列表，更新當前列表，并通過更新后的組信息列表對該STA再次認證。圖7為本發(fā)明實施例一中組播方法1的流程圖。如圖7所示，本發(fā)明的組播方法包括以下步驟步驟701， STA的用戶通過AS在簽約網(wǎng)絡簽約注冊一個或者多個組播組。上述步驟701為STA的用戶開戶新業(yè)務、注冊組播組的過程，也可以在后續(xù)步驟之后執(zhí)行，或者與后續(xù)步驟同時執(zhí)行；本步驟為方法l的一個前提條件，可以在任意時刻來執(zhí)行。步驟702, STA希望接入AP所屬的網(wǎng)絡，因此，AP向STA發(fā)送身份認證請求，請求STA申請接入認證。
本方法中，身份認證請求可以為802.1X協(xié)議的可擴展身份認證十辦議 (Extensible Authentication Protocol, EAP )請求(802.IX EAP Request); AP也可以不向STA發(fā)送該請求，而是由STA直接向AP發(fā)送接入認證請求，即直接執(zhí)行步驟703。步驟703, STA根據(jù)AP的請求，向AP發(fā)送身份認證響應，請求進行接入認證。本方法中，身份認證響應可以為802.1X協(xié)議的EAP響應(802.IX EAP Response )。步驟704, AP根據(jù)STA發(fā)送的身份認證響應，向AS發(fā)送接入認i正請求，請求對接入網(wǎng)絡的STA進行認證。本方法中，接入認證請求可以為EAP Request; EAP Request也可以攜帶于遠端用戶撥入鑒權(Remote Authentication Dial In User Service, RADIUS)協(xié)議的接入請求(Access Request)中，發(fā)送到STA。步驟705, AS通過AP與STA進行信息交互，獲取STA的認證鑒片又信息，對STA進行認證。步驟706 步驟707，在認證成功后，AS向簽約網(wǎng)絡發(fā)送組信息列表請求，請求獲取通過認證的STA的組信息列表，并接收來自簽約網(wǎng)絡的，STA 的組信息列表。步驟708, AS向AP發(fā)送包括該STA的組信息列表的接入認證響應。步驟709， AP接收到接入認證響應后，保存該STA的組信息列表，并向STA發(fā)送認證成功消息。本方法中，認證成功消息可以為EAP成功(802.1XEAP Success)消息。上述步驟702~步驟709為AP通過802.1X認證流程獲取STA組信息列STA的組信息列表；AP還可以直接從簽約網(wǎng)絡獲取STA的組信息列表。步驟710，在需要加入組4番組時，STA向AP發(fā)送加入組請求，請求加入AP所屬BSS域內的一個組播組。本步驟中，STA向AP發(fā)送的加入組請求可以為基于互聯(lián)網(wǎng)群管理協(xié)議 (Internet Group Management Protocol, IGMP )協(xié)議的IGMP Report消息，也可以為基于MLD協(xié)議的請求消息，還可以為ACTION幀。步驟711， AP根據(jù)STA的請求，查詢內部存儲的該STA的組信息列表，如果組信息列表中包括該STA當前申請加入的組播組，則批準該STA的請求，更新該組播組的組播組信息，即更新該組播組的組成員列表，并執(zhí) 行步驟712。本步驟中，如果組信息列表中不包括該STA當前申請加入的組播組，則判定該STA為非法組成員，不向STA下發(fā)組內密鑰。步驟712， AP將該組播組對應的組內密鑰和組播組標識，攜帶于組密鑰消息中發(fā)送給STA。本方法中，發(fā)送攜帶組內密鑰和組播組標識的組密鑰消息，可以是通過單4番方式發(fā)送；組密鑰消息可以為EAPOL-Key消息，也可以為行為 (ACTION)幀；組4番組標識可以為組4番地址。其中，ACTION幀可以按照如下方式定義增加組成員GroupAdd消息中，攜帶組標識，即GroupAdd ( group id ); 組成員離開GroupLeave消息中，攜帶組標識，即GroupLeave ( group id);組內密鑰GROUPKEY消息中，攜帶組標識，即GROUPKEY ( group id; key)。本步驟中，組播組標識可以為該組播組的組播組地址；在本步驟之前、之后或者與在本步驟中，AP生成組內密鑰，并存儲組內密鑰和組播組信息，以及組內密鑰和組播組的映射關系；組內密鑰和組播組的映射關系可以為組內密鑰和組播地址的映射關系；在生成密鑰之后，AP將該組播組對應的組內密鑰和組^番組標識，發(fā)送給該組播組內的其他STA; AP向STA發(fā)送組內密鑰和組播組標識可以通過單播的方式逐一發(fā)送。步驟713， STA接收并存儲組內密鑰和組播組標識，并向AP發(fā)送組內
密鑰響應。本步驟中，STA存儲組內密鑰和組播組標識，還存儲兩者的映射關系，以便區(qū)分多個組播組的組內密鑰；STA是根據(jù)AP發(fā)送的組密鑰消息中的響應標識，來向AP發(fā)送組內密鑰響應的；當組密鑰消息中不包括響應標識時，則不執(zhí)行本步驟。上述步驟710 步驟713為STA獲取組內密鑰和組播組標識的過程，AP 和STA之間的交互的消息可以是基于IGMP協(xié)議、MLD等協(xié)議的消息； AP也可以不將組內密鑰發(fā)送給STA，并在后續(xù)流程中不對組播幀加密。步驟714 步驟715， AP接收到來自網(wǎng)絡側的組播幀后，選擇其對應的組內密鑰對該組播幀加密，并將加密后的組播幀發(fā)送給STA。上述步驟714中，AP可以根據(jù)組播幀的組播地址與組內密鑰的映射關系來選擇組內密鑰；AP也可以不對組^"幀加密。上述步驟715中，AP將加密后的組播幀發(fā)送給BSS域內的所有STA。步驟716, STA在接收到加密后的組播幀之后，根據(jù)組播幀的幀頭判斷該組播幀是否為STA所屬組播組的組播幀，如果是，則根據(jù)幀頭中的組播地址選擇對應的組內密鑰對該組播幀解密；如果不是，則過濾該組播幀，將其刪除。本步驟中，如果AP未對組播幀加密，則STA在過濾了不屬于該STA 所屬組播組的組播幀之后，直接接收組播幀，并對該組播幀進行解析等后續(xù)處理。上述步驟714 步驟716為AP向組播幀對應的組播組內的所有STA, 發(fā)送組播幀的過程，該過程可以為多個，同時或者連續(xù)地執(zhí)行步驟714 步驟716，即不斷地接收并發(fā)送不同組播組的組播幀。步驟717，在STA希望退出一個組播組時，向AP發(fā)送退出組請求。步驟718， AP根據(jù)該STA的請求，更新組播組信息中的組成員列表，并重新生成組內密鑰，存儲重新生成的組內密鑰以及組內密鑰和組播組標識的映射關系，再將重新生成的組內密鑰以及與其對應的組播組標識，發(fā)
送給該組播組內的其他STA。本步驟中，將組內密鑰以及其對應的組播組標識發(fā)送給組播組內的其他 STA，可以是通過單播方式逐一發(fā)送；在STA退出當前組播組之后，如果該組播組內沒有其他的STA,則可以不重新生成組內密鑰；出于安全性考慮，AP也可以周期性更新組內密鑰，并在下發(fā)組內密鑰時，攜帶表明此組內密鑰的生命周期，AP將在此生命周期內更新組內密鑰，使得AP和組成員可以在新的周期到來時使用新的組內密鑰進行加解密。至此，本流程結束。在上述流程中，步驟718之后，STA也可以向AS注銷其注冊的組播組； STA也可以在任何時刻執(zhí)行步驟701,注冊新的組播組；在AP重新生成組內密鑰并發(fā)送給該組播組的其他STA之后，可以繼續(xù)執(zhí)行步驟714至步驟 716,使得其他STA在安全性較高的狀態(tài)下，接收組播幀。以上是對本發(fā)明實施例一中的組播方法1的說明，下面，對本發(fā)明實施例一中的組播方法2進行詳細說明。方法2中，AP在判斷出STA的組信息列表中不包括當前申請加入的組播組之后，再次通過AS向簽約網(wǎng)絡申請獲取該STA的組信息列表，更新當前列表，并通過更新后的組信息列表對該 STA再次認證。圖8為本發(fā)明實施例一中組播方法2的流程圖。如圖8所示，本發(fā)明的組播方法包括以下步驟步驟801， STA希望接入AP所屬的網(wǎng)絡，因此，向AP發(fā)送身份認證響應，請求進行接入認證。本方法中，也可以由AP先向STA發(fā)送請求，請求STA申請接入認證。步驟802， AP根據(jù)STA發(fā)送的身份認證響應，向AS發(fā)送接入認證請求，請求對接入網(wǎng)絡的STA進行認證。本方法中，接入認證請求可以為EAP Request; EAP Request也可以攜帶于遠端用戶撥入鑒權(Remote Authentication Dial In User Service, RADIUS)協(xié)議的接入請求(Access R叫uest)中，發(fā)送到STA。步驟803， AS通過AP與STA進行信息交互，獲取STA的認證鑒4又信息，對STA進行認證。步驟804 步驟805，在認證成功后，AS向簽約網(wǎng)絡發(fā)送組信息列表請求，請求獲取通過認證的STA的組信息列表，并接收來自簽約網(wǎng)絡的，STA 的組信息列表。步驟806~步驟807， AS向AP發(fā)送包括該STA的組信息列表的接入認證響應；AP接收到接入認證響應后，保存該STA的組信息列表，并向STA 發(fā)送iU正成功消息。本方法中，認證成功消息可以為EAP Success消息。上述步驟801 步驟807為AP通過802.1X認證流程獲取STA組信息列表的過程，AP也可以通過其他認證流程或者通過其他網(wǎng)元從簽約網(wǎng)絡獲取 STA的組信息列表；AP還可以直接從簽約網(wǎng)絡獲取STA的組信息列表。步驟808, STA的用戶通過AS在簽約網(wǎng)絡簽約注冊一個或者多個組播組。上述步驟808為STA的用戶開戶新業(yè)務、注冊組播組的過程，可以在任何時刻執(zhí)行。步驟809，在需要加入組播組時，STA向AP發(fā)送加入組請求，請求加入AP所屬網(wǎng)絡的一個組4番組。本步驟中，STA向AP發(fā)送的加入組請求可以為基于IGMP協(xié)議的IGMP Report消息，也可以為基于MLD協(xié)議的請求消息，還可以為基于RADIUS 等協(xié)議的請求消息。步驟810, AP根據(jù)STA的請求，查詢內部存儲的該STA的組信息列表，如果組信息列表中包括該STA當前申請加入的組播組，則批準該STA的請求，更新該組播組的組播組信息，即更新該組播組的組成員列表，并執(zhí)行步驟816;如果組信息列表中不包括該STA當前申請加入的組播組，則執(zhí)行步驟811。步驟811~步驟814， AP向AS再次發(fā)送接入認證請求，請求獲取STA 的組信息列表，AS向簽約網(wǎng)絡發(fā)送組信息列表請求，請求獲取通過認證的 STA的組信息列表，并接收來自簽約網(wǎng)絡的STA的組信息列表，再將STA 的組信息列表發(fā)送給AP, AP接收AS發(fā)送的該STA的組信息列表，并更新當前的該STA的組信息列表，保存更新后的組信息列表。上述步驟811~步驟814中，在AP通過802.1X認證流程獲取STA組信息列表的情況下，獲取STA組信息列表的請求可以作為EAP R叫uest信息的DATA域承栽，也可直接使用Attributes域承載；同樣，AS也可以將組信息列表作為EAP Response的DATA域承載，或者使用Attributes域承載； AP也可以通過其他網(wǎng)元或者直接從簽約網(wǎng)絡獲取組信息列表。本方法中，STA也可以在接入AP之前，預先在AS注冊了其他組播纟JL，例如組4番組1和組:!番組2,在步驟809,其請求加入的組播組為組^"組3，并在步驟808注冊了組播組3。但此時，AP存儲的該STA的組信息列表中不包括組播組3，因此，向AS請求更新改STA的組信息列表，并根據(jù)更新后的組信息列表對申請加入組播組的STA再次認證。步驟815， AP使用更新后的組信息列表，對該STA的加入進行認證，如果更新后的組信息列表中包括該STA當前申請加入的組播組，則批準該 STA的請求，更新該組播組的組播組信息，即更新該組播組的組成員列表，并執(zhí)行步驟816;如果組信息列表中仍然不包括該STA當前申請加入的組播組，則判定該STA為非法組成員，不向STA下法組內密鑰。步驟816 步驟817， AP將該組播組對應的組內密鑰和組播組標識，攜帶于組密鑰消息中發(fā)送給STA; STA接收并存儲組內密鑰和組播組標識，并向AP發(fā)送組內密鑰響應。上述步驟816 步驟817為STA獲取組內密鑰和組播組標識的過程，可以與本實施例方法1中的步驟712 步驟713的操作過程相同。步驟818 步驟820, AP接收到來自網(wǎng)絡側的組播幀后，選擇其對應的組內密鑰對該組播幀加密，并將加密后的組播幀發(fā)送給STA; STA在接收到加密后的組播幀之后，根據(jù)組播幀的幀頭判斷該組播幀是否為STA所屬組播組的組播幀，如果是，則根據(jù)幀頭中的組播地址選擇對應的組內密鑰對該組播幀解密；如果不是，則過濾該組播幀，將其刪除。上述步驟818 步驟820為AP向組播幀對應的BSS域內的所有STA，發(fā)送組播幀的過程，該過程可以為多個，同時或者連續(xù)地執(zhí)行步驟818 步驟820，即不斷地接收并發(fā)送不同組播組的組播幀，可以與本實施例方法l 中的步驟714~步驟716的操作過程相同。步驟821 步驟822，在STA希望退出一個組播組時，向AP發(fā)送退出組請求；AP根據(jù)該STA的請求，更新組播組信息中的組成員列表，并重新生成組內密鑰，存儲重新生成的組內密鑰以及組內密鑰和組播組標識的映射關系，再將重新生成的組內密鑰以及與其對應的組播組標識，發(fā)送給該紐j番組內的其4也STA。在上述步驟822中，將組內密鑰以及其對應的組播組標識發(fā)送給組，潘組內的其他STA，可以是通過單播方式逐一發(fā)送；在STA退出當前組播組之后，如果該組播組內沒有其他的STA，則可以不重新生成組內密鑰；出于安全性考慮，AP也可以周期性更新組內密鑰，并在下發(fā)組內密鑰時，攜帶表明此組內密鑰的生命周期，AP將在此生命周期內更新組內密鑰，使得 AP和組成員可以在新的周期到來時使用新的組內密鑰進行加解密。至此，本流程結束。在上述流程中，步驟822之后，STA也可以向AS注銷其注冊的組播組； STA也可以在任何時刻執(zhí)行步驟808，注冊新的組播組；在AP重新生成組內密鑰并發(fā)送給該組播組的其他STA之后，可以繼續(xù)執(zhí)行步驟818至步驟 820,使得其他STA在安全性較高的狀態(tài)下，接收組播幀。以上是對本發(fā)明實施例一中的組播方法2的說明，下面，對本發(fā)明實施例一中的組播方法3進行詳細說明。方法3中，AP在判斷出STA的組信息列表中不包括當前申請加入的組播組之后，直接向簽約網(wǎng)絡申請獲取該STA 的組信息列表，更新當前列表，并通過更新后的組信息列表對該STA再次認證o 圖9為本發(fā)明實施例一中組播方法3的流程圖。如圖9所示，本發(fā)明的組播方法包括以下步驟步驟901 步驟905, STA希望接入AP所屬的網(wǎng)絡，因此，向AP發(fā)送身份認證響應，請求進行接入認證；AP根據(jù)STA發(fā)送的身份認證響應，向 AS發(fā)送接入認證請求，請求對接入網(wǎng)絡的STA進行認證；AS通過AP與 STA進行信息交互，獲取STA的認證筌權信息，對STA進行認證，并在認證成功后，AS向簽約網(wǎng)絡發(fā)送組信息列表請求，請求獲取通過認證的STA 的組信息列表，再接收來自簽約網(wǎng)絡的STA的組信息列表。步驟906 步驟907, AS向AP發(fā)送包括該STA的組信息列表的接入認證響應；AP接收到接入認證響應后，保存該STA的組信息列表，并向STA 發(fā)送認證成功消息。上述步驟901~步驟卯7為AP通過802.1Xi^證流程獲取STA組信息列表的過程，與本實施例方法2中的步驟801 步驟807的操作過程相同。步驟908, STA的用戶通過AS在簽約網(wǎng)絡簽約注冊一個或者多個組播組。上述步驟808為STA的用戶開戶新業(yè)務、注冊組播組的過程，可以在任何時刻執(zhí)行。步驟909,在需要加入組播組時，STA向AP發(fā)送加入組請求，請求加入AP所屬網(wǎng)絡的一個組播組。本步驟中，STA向AP發(fā)送的加入組請求可以為基于IGMP協(xié)議的IGMP Report消息，也可以為基于MLD協(xié)議的請求消息，還可以為基于RADIUS 等協(xié)議的請求消息。步驟910, AP根據(jù)STA的請求，查詢內部存儲的該STA的組信息列表，如果組信息列表中包括該STA當前申請加入的組播組，則批準該STA的請求，更新該組播組的組播組信息，即更新該組播組的組成員列表，并執(zhí)行步驟914;如果組信息列表中不包括該STA當前申請加入的組播組，則執(zhí)行步驟911。步驟911 步驟912, AP直接向簽約網(wǎng)絡發(fā)送組信息列表請求，請求獲取STA的組信息列表，并接收來自簽約網(wǎng)絡的STA的組信息列表，然后更新當前的該STA的組信息列表，保存更新后的組信息列表。上述步驟911 步驟912中，AP也可以通過802.1X認證流程獲取STA 組信息列表，并將獲取STA組信息列表的請求作為EAP Request信息的 DATA域承載，也可直接使用Attributes域承載；同樣，AS也可以將組信息列表作為EAP Response的DATA域承載，或者使用Attributes域承載。本方法中，STA也可以在接入AP之前，預先在AS注冊了其他組播組，例如組播組1和組播組2,在步驟卯9,其請求加入的組播組為組播組3，并在步驟908注冊了組播組3。但此時，AP存儲的該STA的組信息列表中不包括組播組3，因此，向AS請求更新改STA的組信息列表，并根據(jù)更新后的組信息列表對申請加入組播組的STA再次認證。步驟913, AP使用更新后的組信息列表，對該STA的加入進行認證，如果更新后的組信息列表中包括該STA當前申請加入的組播組，則批準該 STA的請求，更新該組播組的組播組信息，即更新該組播組的組成員列表，并執(zhí)行步驟914;如果組信息列表中仍然不包括該STA當前申請加入的組播組，則判定該STA為非法組成員，不向STA下法組內密鑰。步驟914 步驟915, AP將該組播組對應的組內密鑰和組播組標識，攜帶于組密鑰消息中發(fā)送給STA; STA接收并存儲組內密鑰和組播組標識，并向AP發(fā)送組內密鑰響應。上述步驟914 步驟915為STA獲取組內密鑰和組播組標識的過程，可以與本實施例方法1中的步驟712 步驟713的操作過程相同。步驟916 步驟918, AP接收到來自網(wǎng)絡側的組播幀后，選擇其對應的組內密鑰對該組播幀加密，并將加密后的組播幀發(fā)送給STA; STA在接收到加密后的組播幀之后，根據(jù)組播幀的幀頭判斷該組播幀是否為STA所屬組播組的組播幀，如果是，則根據(jù)幀頭中的組播地址選擇對應的組內密鑰對該組播幀解密；如果不是，則過濾該組播幀，將其刪除。上述步驟916~步驟918為AP向組播幀對應的BSS域內的所有STA, 發(fā)送組播幀的過程，該過程可以為多個，同時或者連續(xù)地執(zhí)行步驟916 步驟918，即不斷地接收并發(fā)送不同組播組的組播幀，可以與本實施例方法l 中的步驟714~步驟716的操作過程相同。步驟919~步驟920，在STA希望退出一個組播組時，向AP發(fā)送退出組請求；AP根據(jù)該STA的請求，更新組播組信息中的組成員列表，并重新生成組內密鑰，存儲重新生成的組內密鑰以及組內密鑰和組播組標識的映射關系，再將重新生成的組內密鑰以及與其對應的組播組標識，發(fā)送給該組#番組內的其他STA。上述步驟919 步驟920與本實施例方法2的步驟821 步驟822的操作過程相同。至此，本流程結束。本實施例的組播方法是以在WLAN中AP與STA之間的網(wǎng)絡層第二層進行組播為例，組內密鑰為二層密鑰；本發(fā)明實施例中的組播方法，也可以用于WiMAX, 802.15等網(wǎng)絡中，即適用于802系列的網(wǎng)絡；此時的組內密鑰用于將通過空口傳輸?shù)慕M播幀進行加密，保證無線信道的安全性。當本發(fā)明的組播方法用于IP層或者是其他無線環(huán)境中，只需替換具體消息或消息格式，而基本流程相同?？紤]到本發(fā)明技術方案在實際應用中的兼容性，本發(fā)明還可以在接收端開機后，向發(fā)送端發(fā)送探測(Probe)或者關聯(lián)等消息時，攜帶一個信息元素(Information Element, IE )。其中，當IE為1時，表示該接收端支持采用組內密鑰方式的組播，當IE為0時，表示接收端為傳統(tǒng)設備，不支持采用組內密鑰方式的組播。發(fā)送端可以根據(jù)接收端上報的IE,確定接收端的組播能力，并統(tǒng)計各組播組成員的組播能力，為各組播組選擇最合適的方式發(fā) 送組播幀，即制定并存儲組播策略。例如，如果組播組內的傳統(tǒng)接收端較少，可以采用單播方式，單獨將組播幀給傳統(tǒng)接收端，并釆用組內密鑰的方案向其他接收端發(fā)送組播幀。如果
傳統(tǒng)接收端較多，則可以使傳統(tǒng)組播方法，將組播幀發(fā)送給所有接收端。當發(fā)送端在決定使用某種發(fā)送策略之后，可以通知組播組內的所有接收端，并存儲該組播策略、以及該組播策略與組內密鑰、其他組播信息的對應關系。實施例二本實施例中的組播系統(tǒng)和組播方法，能夠實現(xiàn)接收端僅接收屬于自身所屬組播組的組播幀，提高了組播的安全性。圖IO為本發(fā)明實施例二中組播系統(tǒng)的結構圖。如圖IO所示，本發(fā)明的組播系統(tǒng)包括發(fā)送端1001、接收端1002和認證服務器1003。發(fā)送端IOOI，用于在接收端1002進入發(fā)送端所屬區(qū)域后，向接收端1002 請求申請接入認證；根據(jù)來自接收端1002的響應，向認證服務器1003 ^清求對接收端1002進行接入認證，并請求獲取組信息列表；與接收端1002和認證服務器進行信息交互，將接收端1002的認證信息提供給認證服務器1003; 接收來自認證服務器1003的，包括接收端1002組信息列表的響應，存儲接收端1002的組信息列表，確認接收端1002成功接入，并向接收端1002發(fā) 送成功接入消息；根據(jù)來自接收端1002的加入組請求，查詢接收端1002的組信息列表中是否存在當前請求加入的組播組，如果存在，則判斷接收端 1002為該組播組的合法組成員，將接收端1002加入該組播組，更新預先生成的組播組信息；在接收端1002成功加入其申請加入的組播組之后，將該組播組的組播組標識發(fā)送給接收端1002;將來自外部的組播幀發(fā)送到包括接收端1002在內的所有接收端。接收端1002,用于4艮據(jù)發(fā)送端1001的請求，向發(fā)送端1001申請接入認證；與發(fā)送端1001進行信息交互，將認證信息通過發(fā)送端1001提供給認證服務器1003;接收來自發(fā)送端1001的認證成功消息；向發(fā)送端1001發(fā) 送包括組播組標識的加入組請求；接收并存儲來自發(fā)送端1001的組播組標識；接收來自發(fā)送端1001的組播幀，判斷該組播幀是否為接收端1002所屬組播組的組播幀，如果是，則對該組播幀進行后續(xù)處理，如果不是，則刪除該組4番幀。
認證服務器1003，用于根據(jù)來自發(fā)送端1001的請求，與發(fā)送端1001 進行信息交互，獲取接收端502的認證信息，并對接收端1002進行接入認證；在接入認證通過后，從外部簽約網(wǎng)絡獲取接收端1002的組信息列表，向發(fā)送端1001發(fā)送包括接收端1002組信息列表的響應。實際應用中，發(fā)送端1001還可以用于在查詢到接收端1002的組信息列表中不存在當前請求加入的組播組之后，向認證服務器1003請求獲取4奏收端1002的組信息列表，此時請求獲取的組信息列表可能是更新后的組信息列表；發(fā)送端1001還可以直接從簽約網(wǎng)絡或者其他網(wǎng)絡設備獲取組信息列表。當接收端1002退出當前組播組時，可以向發(fā)送端1001發(fā)送包括組^番組標識的退出組請求。在這種情況下，發(fā)送端IOOI還可以根據(jù)來自接收端1002的退出組請求，更新組播組信息中的成員列表；認證服務器1003也可以為其它與簽約網(wǎng)絡連接或者簽約網(wǎng)絡中的，并能夠從簽約網(wǎng)絡獲取接收端1002組信息列表的網(wǎng)元；發(fā)送端1001也可以直接或者通過其他網(wǎng)元，從外部簽約網(wǎng)絡獲取接收端1002的組信息列表；接收端1002也可以先存儲組播組標識。圖11為本發(fā)明實施例二中組播方法的流程圖。如圖7所示，本發(fā)明的組播方法包括以下步驟步驟1101， STA的用戶通過AS在簽約網(wǎng)絡簽約注冊一個或者多個組播組。上述步驟1101為STA的用戶開戶新業(yè)務、注冊組播組的過程，也可以在后續(xù)步驟之后執(zhí)行，或者與后續(xù)步驟同時執(zhí)行。步驟1102~步驟1105， STA希望接入AP所屬的網(wǎng)絡，因此，AP向STA 發(fā)送身份認證請求，請求STA申請接入認證；STA根據(jù)AP的請求，向AP 發(fā)送身份認證響應，請求進行接入認證；AP根據(jù)STA發(fā)送的身份認證響應，向AS發(fā)送接入認證請求，請求對接入網(wǎng)絡的STA進行認證；AS通過AP 與STA進行信息交互，獲取STA的認證鑒權信息，對STA進行認證。
上述步驟1102~步驟1105與實施例一中方法1的步驟702~步驟705的操作過程相同。步驟1106~步驟1109，在認證成功后，AS向簽約網(wǎng)絡發(fā)送組信息列表請求，請求獲取通過認證的STA的組信息列表，并接收來自簽約網(wǎng)絡的， STA的組信息列表；AS向AP發(fā)送包括該STA的組信息列表的接入認i正響應；AP接收到接入認證響應后，保存該STA的組信息列表，并向STA發(fā) 送認證成功消息。上述步驟1106 步驟1109與實施例一中方法1的步驟706~步驟709的操作過程相同。步驟1110,在需要加入組播組時，STA向AP發(fā)送加入組請求，請求加入AP所屬BSS域內的一個組4番組。本步驟中，STA向AP發(fā)送的加入組請求可以為基于互聯(lián)網(wǎng)群管理協(xié)議 (Internet Group Management Protocol, IGMP )協(xié)i義的IGMP Report消息，也可以為基于MLD協(xié)議的請求消息，還可以為ACTION幀。步驟llll, AP根據(jù)STA的請求，查詢內部存儲的該STA的組信息列表，如果組信息列表中包括該STA當前申請加入的組播組，則批準該STA 的請求，更新該組播組的組4番組信息，即更新該組碌番組的組成員列表，并執(zhí)行步驟1112。本步驟中，如果組信息列表中不包括該STA當前申請加入的組播組，則判定該STA為非法組成員；AP也可以在組信息列表中不包括該STA當前申請加入的組播組時，向簽約網(wǎng)絡重新獲取STA的組信息列表，并再次查詢更新后的組信息列表中是否包括該STA當前申請加入的組播組。步驟1112， AP將該組播組對應的組播組標識發(fā)送給STA。本步驟中，可以將組播組標識攜帶于ACTION幀中，發(fā)送到STA。步驟1113~步驟1114, AP接收到來自網(wǎng)絡側的組播幀后，將組播幀發(fā) 送給STA。上述步驟1113-步驟1114中，AP也可以對組播幀加密。
步驟1115, STA在接收到加密后的組播幀之后，根據(jù)組播幀的幀頭判斷該組播幀是否為STA所屬組播組的組播幀，如果是，則對該組播幀進行后續(xù)處理；如果不是，則過濾該組播幀，將其刪除。步驟1115,在STA希望退出一個組播組時，向AP發(fā)送退出組請求。步驟1116, AP根據(jù)該STA的請求，更新組播組信息中的組成員列表。至此，本流程結束。在上述流程中，也可以不執(zhí)行步驟1112, STA可以在簽約注冊組4條組時，就獲取了組播組標識；步驟1117之后，STA也可以向AS注銷其注冊的組播組；STA也可以在任何時刻執(zhí)行步驟1101，注冊新的組播組。以上所述僅為本發(fā)明的較佳實施例而已，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內，所作的任何修改、等同替換以及改進等，均應包含在本發(fā)明的保護范圍之內。
權利要求
1、一種組播方法，其特征在于，所述方法包括以下步驟為各組播組分配組內密鑰和組播組標識；發(fā)送端接收來自外部的組播幀，確定該組播幀所屬的組播組，利用該組播組對應的組內密鑰對該組播幀加密，并將加密后的組播幀發(fā)送到接收端；接收端根據(jù)組播組標識確定接收到的組播幀所屬的組播組，并利用該組播組對應的組內密鑰，對接收到的組播幀解密。
2、如權利要求1所述的方法，其特征在于，所述為各組播組分配組內密鑰和組#~組標識為發(fā)送端為各組播組生成組內密鑰，并存儲所生成的組內密鑰；將組#"組標識及其對應的所述組內密鑰發(fā)送給對應的組播組內的接收端；接收端接收并存儲來自發(fā)送端的組內密鑰和組播組標識。
3、如權利要求2所述的方法，其特征在于，所述發(fā)送端將組播組標識及其對應的組內密鑰發(fā)送給接收端為接收端向發(fā)送端請求加入組播組，發(fā)送端根據(jù)內部存儲的所述接收端的組信息列表，確定接收端為所述組播組的合法成員后，將所述組播組的組播組標識，及其對應的組內密鑰發(fā)送給所述接收端。
4、如權利要求3所述的方法，其特征在于，所述確定接收端為所述組播組的合法成員為在所述接收端的組信息列表中，查詢到接收端當前申請加入的組播組，確定所述接收端為所述組播組的合法成員。
5、如權利要求4所述的方法，其特征在于，所述接收端向發(fā)送端請求加入組播組之前，進一步包括接收端向簽約網(wǎng)絡注冊組播組，簽約網(wǎng)絡更新預先存儲的所述接收端的組信息列表；所述接收端在注冊了組播組之后，進一步包括接收端向發(fā)送端請求進行接入認證，發(fā)送端才艮據(jù)所述接收端的請求，向認證服務器發(fā)送接入認證請求，然后接收來自簽約網(wǎng)絡的所述接收端的組信息列表，并存儲所述組信息列表。
6、如權利要求4所述的方法，其特征在于，所述接收端向發(fā)送端請求加入組播組之前，進一步包括接收端向簽約網(wǎng)絡注冊組播組，簽約網(wǎng)絡更新內部存儲的所述接收端的組信息列表；所述接收端在注冊了組播組之前，進一步包括接收端向發(fā)送端請求進行接入認證，發(fā)送端根據(jù)所述接收端的請求，向認證服務器發(fā)送接入認證請求，然后接收來自簽約網(wǎng)絡的所述接收端的組信息列表，并存儲所述組信息列表。
7、如權利要求5所述的方法，其特征在于，所述將所述組播組的組內密鑰發(fā)送給所述接收端為所述接收端的組信息列表中包括所述申請加入的組播組，發(fā)送端判斷出所述接收端為組播組的合法成員，將所述接收端當前申請的組播組對應的組內密鑰以及組播組標識發(fā)送給所述接收端。
8、如權利要求6所述的方法，其特征在于，所述將所述組播組的組播組標識，及其對應的組內密鑰發(fā)送給所述接收端為所述接收端的組信息列表中不包括所述申請加入的組播組，發(fā)送端向認證服務器請求再次獲取所述接收端的組信息列表，并接收來自簽約網(wǎng)絡的所述接收端的組信息列表；所述再次獲取的組信息列表中包括所述申請加入的組播組，發(fā)送端判斷出所述接收端為組播組的合法成員，將所述接收端當前申請的組播組對應的組內密鑰以及組4番組標識發(fā)送給所述接收端。
9、如權利要求l所述的方法，其特征在于，在所述發(fā)送端將加密后的組播幀發(fā)送到接收端的同時，或者之后、或者之前，所述方法進一步包括組播組內的接收端向發(fā)送端發(fā)送退出所述組播組的請求，所述發(fā)送端接收所述接收端的請求，更新內部存儲的組播組信息，并重新生成所述組播組的組內密鑰；然后將重新生成的組內密鑰和所述組播組的標識，根據(jù)更新后的組播組信息，發(fā)送給所迷組播組內的接收端。
10、如權利要求l所述的方法，其特征在于，在所述發(fā)送端將加密后的組播幀發(fā)送到接收端的同時、或者之后、或者之前，所述方法進一步包括發(fā)送端根據(jù)預先設定的時間周期，重新生成組內密鑰，然后將重新生成的組內密鑰和所述組播組的標識，根據(jù)組播組信息，發(fā)送給所述組播組內的接收端。
11、如權利要求2所述的方法，其特征在于，所述將所述組播組的組播組標識，及其對應的組內密鑰發(fā)送給所述接收端為將組內密鑰攜帶于行為 ACTION幀中，發(fā)送到接收端；加入組請求攜帶于ACTION幀中，所述攜帶加入組請求的ACTION幀為攜帶組標識的增加組成員GroupAdd消息、或者攜帶組標識的組成員離開GroupLeave消息、或者攜帶組標識的組內密鑰GROUPKEY消息。
12、如權利要求l所述的方法，其特征在于，當所述接收端根據(jù)組播組標識確定接收到的組播幀所屬的組播組之前進一步包括所述接收端根據(jù)組播組標識判斷出接收到的組播幀所屬組播組，不為所述接收端所屬的組播組，刪除該組l番幀。
13、如權利要求1至12中任意一項所述的方法，其特征在于，所述將所述組播組的組內密鑰發(fā)送給所述接收端為通過單播方式，將生成的組內密鑰發(fā)送給對應的組播組內的接收端。
14、如權利要求1所述的方法，其特征在于，所述組播幀包括組播地址；所述組內密鑰與組播組的對應關系為組內密鑰與組播地址的對應關系；所述對接收到的組播幀解密為接收端根據(jù)組播幀的組播地址，選擇對應的組內密鑰，并利用選擇的組內密鑰對接收到的組播幀解密。
15、如權利要求1所述的方法，其特征在于，所述組播幀包括組播地址；所述方法進一步包括接收端接收到組播幀，判斷出所述組播幀的組播地址不為所述接收端所屬組播組的組播地址之后，過濾所述組播幀。
16、如權利要求5或6所述的方法，其特征在于，所述接收端開機與所述接收端向發(fā)送端請求進行接入認證之間，所述方法進一步包括接收端向發(fā)送端發(fā)送探測Probe或者關聯(lián)消息時，攜帶表示所述接收端能力的信息元素；發(fā)送端根據(jù)接收端上報的信息元素，確定接收端的組播能力，并統(tǒng)計各組播組成員的組播能力，為各組播組制定并存儲發(fā)送組播幀的策略，然后將所述發(fā)送組播幀的策略發(fā)送給接收端。
17、如權利要求16所述的方法，其特征在于，所述發(fā)送組播幀的策略為采用單播方式，單獨將組播幀給不支持使用組內密鑰解密的接收端，并采用組播方式，向系統(tǒng)內的其他接收端發(fā)送組播幀；或者通過組播方式，將組播幀發(fā)送給所有接收端。
18、如權利要求l所述的方法，其特征在于，所述發(fā)送端為接入點AP; 所述接收端為站點STA;所述發(fā)送端接收來自外部的組播幀為AP接收來自網(wǎng)絡側的組播幀；所述組內密鑰為用于將通過空口傳輸?shù)慕M播幀進行加密的組內密鑰。
19、一種組播系統(tǒng)，其特征在于，所述系統(tǒng)包括發(fā)送端和接收端，其中，所述發(fā)送端，用于為各組播組生成組內密鑰，并存儲組內密鑰；將組播組標識及其對應的組內密鑰發(fā)送給對應的組播組內的接收端；接收來自外部的組，潘幀，確定該組播幀所屬的組播組，并利用組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到接收端；所述接收端，用于接收并存儲來自發(fā)送端的組內密鑰和組播組標識；接收來自發(fā)送端的組播幀，根據(jù)組播組標識確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對組播幀解密。
20、如權利要求19所述的系統(tǒng)，其特征在于，所述系統(tǒng)進一步包括認證服務器，用于根據(jù)來自發(fā)送端的請求，從所述發(fā)送端獲取所述接收端的 i人證信息，并對接收端進行接入認證；在接入認證通過后，從外部簽約網(wǎng)絡獲取所述接收端的組信息列表；向發(fā)送端發(fā)送所述接收端組信息列表；所述發(fā)送端進一步用于根據(jù)來自接收端的請求，向認證服務器請求對所述接收端進行接入認證；將來自接收端的認證信息發(fā)送給認證服務器；接收并存儲來自認證服務器的所述接收端的組信息列表；根據(jù)來自接收端的請求，在經(jīng)過查詢確定所述接收端的組信息列表中存在當前請求加入的組播組時，將對應的組內密鑰和組播組標識發(fā)送給所述接收端；所述接收端進一步用于向發(fā)送端請求接入；將認證信息提供給發(fā)送端；向發(fā)送端請求加入組。
21、如權利要求19所述的系統(tǒng)，其特征在于，所述發(fā)送端包括主控單元和密鑰單元，其中，所述主控單元，用于從密鑰單元獲取組播組標識及其對應的組內密鑰；將組^"組標識及其對應的組內密鑰發(fā)送給對應的組播組內的接收端；接收來自外部的組播幀，確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到接收端；密鑰單元，用于為各組播組生成組內密鑰，并存儲生成的組內密鑰；將組播組標識及其對應的組內密鑰提供給主控單元。
22、一種組播設備，其特征在于，所述設備包括主控單元和密鑰單元，其中，主控單元，用于從密鑰單元獲取組播組標識及其對應的組內密鑰；將組播組標識及其對應的組內密鑰發(fā)送到外部；接收來自外部的組播幀，確定該組播幀所屬的組播組，并利用該組播組對應的組內密鑰對該組播幀加密；將加密后的組播幀發(fā)送到外部；密鑰單元，用于為各組播組生成組內密鑰，并存儲生成的組內密鑰；將組^"組標識及其對應的組內密鑰提供給主控單元。
23、如權利要求22所述的設備，其特征在于，所述設備進一步包括認證單元，用于根據(jù)來自主控單元的請求，向外部發(fā)送接入認證請求；接收并存儲來自外部的組信息列表；根據(jù)來自主控單元的加入組請求，查詢所述組信息列表中是否存在當前請求加入的組播組，如果存在，則更新組播組信息，并將更新后的組播組信息發(fā)送給密鑰單元，向主控單元發(fā)送加入組成功消息；根據(jù)來自主控單元的退出組請求，更新組播組信息中的成員列表，并將更新指示和退出組請求中的組播組標識發(fā)送給密鑰單元；所述主控單元進一步用于向認證單元發(fā)送接入認證請求；將來自外部的加入組請求和退出組請求發(fā)送給認證單元；來自認證單元的更新指示，從密鑰單元獲取組內密鑰和組內密鑰與組播組的對應關系，并組播組信息，將獲取到的組內密鑰和組內密鑰與組播組的對應關系發(fā)送到外部；所述密鑰單元進一步用于接收來自認證單元的組播組信息，并更新內部存儲的組播組信息；在接收到來自認證單元的更新后的組播組信息之后，生成組內密鑰。
24、一種組播方法，其特征在于，所述方法包括以下步驟為各組播組分配組播標識；發(fā)送端將接收到的組播幀發(fā)送到接收端；接收端接收內部存儲的組播組標識對應的組播幀。
25、如權利要求24所述的方法，其特征在于，所述為各組播組分配組播標識為發(fā)送端將組播組標識發(fā)送給接收端。
26、如權利要求25所述的方法，其特征在于，所述將組播組標識發(fā)送給接收端之前進一步包括接收端向發(fā)送端請求加入組播組，發(fā)送端才艮才居內部存儲的所述接收端的組信息列表，確定接收端為所述組播組的合法成員后，將所述組播組的組播組標識發(fā)送給所述接收端。
27、如權利要求26所述的方法，其特征在于，所述發(fā)送端將組播組標識發(fā)送給接收端進一步包括發(fā)送端為各組播組生成組內密鑰，發(fā)送端將組播組標識對應的組內密鑰發(fā)送到接收端。
28、如權利要求26或27所述的方法，其特征在于，所述接收端向發(fā)送端請求加入組播組之前，進一步包括接收端向簽約網(wǎng)絡注冊組播組，簽約網(wǎng)絡更新預先存儲的所述接收端的組信息列表；所述接收端在注冊了組播組之前或者之后，進一步包括認證服務器對接收端的接入進行認證，并向發(fā)送端來自簽約網(wǎng)絡的所述接收端的組信息列表，發(fā)送端存儲所述組信息列表。
29、一種組播系統(tǒng)，其特征在于，所述系統(tǒng)包括發(fā)送端和接收端，其中，所述發(fā)送端，用于將組播組標識發(fā)送給接收端；將來自外部的組播幀發(fā) 送給接收端；所述接收端，用于接收并存儲來自發(fā)送端的組播組標識；接收內部存儲的組4番組標識對應的紐j番幀。
30、如權利要求29所述的方法，其特征在于，所述系統(tǒng)進一步包括認證服務器，用于根據(jù)來自發(fā)送端的請求，從所述發(fā)送端獲取所述接收端的認 i正信息，并對接收端進行接入認證；在接入認證通過后，從外部簽約網(wǎng)癥各獲取所述接收端的組信息列表；向發(fā)送端發(fā)送所述接收端組信息列表；所述發(fā)送端進一步用于根據(jù)來自接收端的請求，向認證服務器請求對所述接收端進行接入認證；將來自接收端的認證信息發(fā)送給認證服務器；接收并存儲來自認證服務器的所述接收端的組信息列表；根據(jù)來自接收端的請求，在經(jīng)過查詢確定所述接收端的組信息列表中存在當前請求加入的組播組時，將對應的組播組標識發(fā)送給所述接收端；所述接收端進一步用于向發(fā)送端請求接入；將認證信息提供給發(fā)送端；向發(fā)送端請求加入組。
全文摘要
本發(fā)明公開了一種組播方法，包括以下步驟為各組播組分配組內密鑰和組播組標識；發(fā)送端接收來自外部的組播幀，確定該組播幀所屬的組播組，利用該組播組對應的組內密鑰對該組播幀加密，并將加密后的組播幀發(fā)送到接收端；接收端根據(jù)組播組標識確定接收到的組播幀所屬的組播組，并利用該組播組對應的組內密鑰，對接收到的組播幀解密。本發(fā)明還公開了一種組播系統(tǒng)、一種組播設備、另一種組播方法和另一種組播設備。本發(fā)明的技術方案提高了組播的安全性，降低了系統(tǒng)負擔。
文檔編號H04L9/00GK101145900SQ20061015417
公開日2008年3月19日申請日期2006年9月15日優(yōu)先權日2006年9月15日
發(fā)明者張慧敏, 易劍鋒申請人:華為技術有限公司

完整全部詳細技術資料下載