專利名稱::一種寬帶接入網(wǎng)絡(luò)組播控制方法、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及通信
技術(shù)領(lǐng)域:
,尤其涉及一種寬帶接入網(wǎng)絡(luò)組播控制方法、系統(tǒng)及裝置。
背景技術(shù):
:隨著網(wǎng)絡(luò)逐步寬帶化,新業(yè)務(wù)不斷涌現(xiàn),尤其IPTV(因特網(wǎng)電視)類業(yè)務(wù)得到大量應(yīng)用。由于IPTV業(yè)務(wù)一般是組播(多播)應(yīng)用模式,即同一份數(shù)據(jù)多人同時(shí)共享,如不同用戶觀看同一個(gè)電視頻道/節(jié)目,這給網(wǎng)絡(luò)的權(quán)限管理帶來不小困難。在DSL(DigitalSubscriberLine,數(shù)字用戶線)用戶中,一般在網(wǎng)絡(luò)邊緣的組播鑒權(quán)裝置中進(jìn)行組播權(quán)限控制,組播鑒權(quán)裝置包括接入節(jié)點(diǎn)(AccessNode,AN),—般在組播鑒權(quán)裝置中設(shè)置用戶的組播權(quán)限控制表,例如組播訪問控制表(AccessControlList,ACL)。組播鑒權(quán)裝置通過組插-權(quán)限控制表控制用戶對(duì)組播頻道的訪問,由于DSL—般是點(diǎn)到點(diǎn)接入(即連接的路徑是獨(dú)占的),通過組播權(quán)限控制表能夠有效控制用戶對(duì)組播頻道的訪問,但是對(duì)于廣播式(共享介質(zhì))接入,組播流(連續(xù)傳遞的多個(gè)組播幀稱之為組播流)是廣播(多播)發(fā)送的,即一個(gè)用戶請(qǐng)求了一份組播流,處于這個(gè)廣播域中的用戶都能收到該份組播流。廣播式(共享介質(zhì))接入主要包括PON(PassiveOpticalNetwork,無源光網(wǎng)絡(luò))、WIMAX(WorldwideInteroperabilityforMicrowaveAccess,全球孩吏波互聯(lián):接入)等。例如一個(gè)PON接口下的一個(gè)用戶觀看一個(gè)節(jié)目頻道,這個(gè)PON接口內(nèi)的所有用戶都能夠收到這個(gè)節(jié)目的組播流,即這個(gè)PON內(nèi)的所有用戶都能夠觀看這個(gè)節(jié)目,由于組播的點(diǎn)對(duì)多點(diǎn)傳遞特性,組播成員共享組播流,所以不能采用點(diǎn)對(duì)點(diǎn)的加密?,F(xiàn)有技術(shù)中通過廣播電視系統(tǒng)的CA(條件接收)系統(tǒng)進(jìn)行組播權(quán)限控制,主要應(yīng)用在廣播電視領(lǐng)域,如數(shù)字電視領(lǐng)域,廣播電視系統(tǒng)的CA系統(tǒng)主要是在頭端系統(tǒng)進(jìn)行應(yīng)用層加密,然后通過機(jī)頂盒(STB)進(jìn)行條件接收?,F(xiàn)有技術(shù)中,在頭端進(jìn)行集中控制授權(quán),系統(tǒng)實(shí)現(xiàn)復(fù)雜,容易引起性能瓶頸;一般要求內(nèi)嵌智能卡的機(jī)頂盒,不利于運(yùn)營(yíng)商之間媒體內(nèi)容共享;且廣播電一見系統(tǒng)的CA系統(tǒng)并不適合在寬帶網(wǎng)絡(luò)應(yīng)用。
發(fā)明內(nèi)容本發(fā)明實(shí)施例提供了一種寬帶接入網(wǎng)絡(luò)組播控制方法、系統(tǒng)及裝置,合法的組播成員用戶才能使用組播業(yè)務(wù)數(shù)據(jù),防止非法用戶使用組播業(yè)務(wù)。本發(fā)明實(shí)施例提供了一種寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),包括接入控制子系統(tǒng),用于生成組播加密關(guān)鍵字,將所述組播加密關(guān)鍵字發(fā)送給用戶子系統(tǒng),并在接收到用戶子系統(tǒng)發(fā)送的訂閱請(qǐng)求后,利用所述組播加密關(guān)鍵字對(duì)發(fā)往用戶子系統(tǒng)的組播幀進(jìn)行加密,將所述加密過的組播幀發(fā)送到所述用戶子系統(tǒng);用戶子系統(tǒng),用于向所述接入控制子系統(tǒng)發(fā)送訂閱請(qǐng)求來請(qǐng)求組播幀,根據(jù)接收的接入控制子系統(tǒng)發(fā)送的組播加密關(guān)鍵字解密接收到的所述接入控制子系統(tǒng)加密過的組播幀。本發(fā)明實(shí)施例還提供了一種寬帶接入網(wǎng)絡(luò)組插-控制方法,包4舌以下步驟生成并分發(fā)組播加密關(guān)鍵字集合,所述組播加密關(guān)鍵字集合包括至少一個(gè)組纟番加密關(guān)鍵字及對(duì)應(yīng)的組播流標(biāo)識(shí);接收到訂閱請(qǐng)求后,利用所述組播加密關(guān)鍵字對(duì)組播幀進(jìn)行加密;發(fā)送所述加密過的組播幀,所述加密過的組播幀能用所述組播加密關(guān)鍵字進(jìn)行解密。本發(fā)明實(shí)施例一種接入控制裝置,包括關(guān)鍵字生成單元,用于生成組播加密關(guān)鍵字集合,所述組播加密關(guān)鍵字集合包括至少一個(gè)組播加密關(guān)鍵字及對(duì)應(yīng)的組播流標(biāo)識(shí);關(guān)鍵字分發(fā)單元,用于向用戶子系統(tǒng)發(fā)送所述關(guān)鍵字生成單元生成的組播加密關(guān)鍵字;數(shù)據(jù)接收單元,用于接收來自組播源設(shè)備的組播幀以及來自用戶子系統(tǒng)的組播訂閱請(qǐng)求,并將所述組播幀發(fā)送到數(shù)據(jù)加密單元;數(shù)據(jù)加密單元,用于從組播訂閱請(qǐng)求中解析出的組播流標(biāo)識(shí),根據(jù)所述組播流標(biāo)識(shí)從所述關(guān)鍵字生成單元的組播加密關(guān)鍵字集合中獲取組播加密關(guān)鍵字,并利用所述關(guān)鍵字生成單元生成的組播加密關(guān)鍵字及對(duì)應(yīng)的加密算法對(duì)發(fā)往用戶子系統(tǒng)的組播幀進(jìn)行加密,并將加密過的組播幀發(fā)送到數(shù)據(jù)發(fā)送單元;數(shù)據(jù)發(fā)送單元,用于確定所述數(shù)據(jù)接收單元接收到用戶子系統(tǒng)發(fā)送的訂閱請(qǐng)求后,根據(jù)組播轉(zhuǎn)發(fā)表向用戶子系統(tǒng)發(fā)送所述數(shù)據(jù)加密單元加密過的組播幀。本發(fā)明的實(shí)施例中,在廣播式(共享介質(zhì))接入應(yīng)用中,授權(quán)用戶才能使用組播業(yè)務(wù)數(shù)據(jù),防止非法用戶使用業(yè)務(wù)。加強(qiáng)了在共享介質(zhì)4妻入的組播安全控制,杜絕了未授權(quán)或惡意訪問,保護(hù)了運(yùn)營(yíng)商的投資。圖l是本發(fā)明實(shí)施例中寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng);圖2是本發(fā)明實(shí)施例中在PON系統(tǒng)中的應(yīng)用示意圖3是本發(fā)明實(shí)施例中組播業(yè)務(wù)控制流程圖4是本發(fā)明實(shí)施例中PON系統(tǒng)的關(guān)鍵字刷新或切換流程圖5是本發(fā)明實(shí)施例中常用共享介質(zhì)系統(tǒng)的應(yīng)用流程圖6是本發(fā)明實(shí)施例中加密前的明文組播幀示意圖7是本發(fā)明實(shí)施例中加密后的組播幀示意圖8是本發(fā)明實(shí)施例中吉比特?zé)o源光網(wǎng)絡(luò)幀結(jié)構(gòu);圖9是本發(fā)明實(shí)施例中吉比特?zé)o源光網(wǎng)絡(luò)關(guān)鍵字消息結(jié)構(gòu);圖10是本發(fā)明實(shí)施例中以太網(wǎng)無源光網(wǎng)絡(luò)關(guān)鍵字消息結(jié)構(gòu)。具體實(shí)施例方式本發(fā)明實(shí)施例中提供了一種寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),可應(yīng)用于PON或常用共享介質(zhì)等系統(tǒng)中,如圖1所示,包括接入控制子系統(tǒng)100和用戶子系統(tǒng)101、102、103。其中,接入控制子系統(tǒng)100包括關(guān)鍵字生成單元(KeyGeneratorUnit,KGU)AlOl、關(guān)鍵字分發(fā)單元(KeyDistributionUnit,KDU)A102、控制授權(quán)單元(ControlAuthorizationUnit,CAU)A103、數(shù)據(jù)力口密單元(DataEncryptionUnit,DEU)A104、數(shù)據(jù)發(fā)送單元(DataSendingUnit,DSU)A105、訂閱管理單元(SubscriptionControlUnit、SCU)A106、數(shù)據(jù)接收單元(DataReceivingUnit,DRU)A107;用戶子系統(tǒng)分別包括終端訂閱單元(ClientSubscriptionUnit,CSU)B101、終端解密單元(ClientDecryptionUnit,CDU)B102、終端關(guān)鍵字單元(ClientKeyUnit,CKU)B103。接入控制子系統(tǒng)IOO可以實(shí)現(xiàn)在一臺(tái)設(shè)備中,所述的設(shè)備包括DSLAM(DigitalSubscriberLineAccessMultiplexer,凄t字用戶線才妻入復(fù)4妄器)、NAS(NetworkAccessServer,網(wǎng)絡(luò)訪問服務(wù)器)、邊》彖路由器、基站等,也可以是多臺(tái)設(shè)備組成(不同的單元分布在不同的設(shè)備上);CSUB101與CDUB102和CKUB103可以分布在不同用戶終端中,CDUB102和CKUB103—般集成在一個(gè)設(shè)備中。其中,KGUA101,用于生成組播加密關(guān)鍵字集合(MulticastEncryptionKey,MEK),該集合中包括一個(gè)或多個(gè)組播加密關(guān)鍵字,這些組播加密關(guān)鍵字與組播流標(biāo)識(shí)相對(duì)應(yīng),MEK用于對(duì)組播幀進(jìn)行加密或解密。組纟番幀的加密和解密關(guān)鍵字一般使用對(duì)稱關(guān)鍵字,關(guān)鍵字(或稱之為密鑰)長(zhǎng)度和類型根據(jù)具體實(shí)現(xiàn)決定,DEUA104用MEK對(duì)組播幀進(jìn)4亍加密,用戶子系統(tǒng)的CDUB102用MEK對(duì)加密后的組播幀進(jìn)行解密,KGUA101—般通過偽隨機(jī)函數(shù)(pseudo-randomfiinction,PRF)產(chǎn)生一個(gè)隨機(jī)數(shù),再根據(jù)此隨機(jī)凄t生成MEK。KDUA102,用于管理MEK,包括維護(hù)MEK的狀態(tài)、向用戶子系統(tǒng)分發(fā)MEK、通知用戶子系統(tǒng)刷新或切換MEK等,例如KDUA102向用戶子系統(tǒng)的CKUB103分發(fā)MEK或KDUA102通知用戶子系統(tǒng)的CKUB103進(jìn)行MEK切換。分發(fā)MEK以及刷新切換MEK通知消息的實(shí)現(xiàn)協(xié)議可以根據(jù)具體實(shí)現(xiàn)決定,可以包4舌OMCI、IGMP、MLD、CAPWAP、MPCP(Multi-PointControlProtocol,多點(diǎn)控制協(xié)議)、OAM(OperationsAdministrationandMaintenance,操作維護(hù)管理)等,MEK可以使用接入控制子系統(tǒng)和用戶子系統(tǒng)事先協(xié)商的點(diǎn)對(duì)點(diǎn)關(guān)鍵字加密后分發(fā),所述的事先協(xié)商的點(diǎn)對(duì)點(diǎn)關(guān)鍵字包括預(yù)先共享(pre-shared)的點(diǎn)對(duì)點(diǎn)關(guān)鍵字、用戶子系統(tǒng)通知給接入控制子系統(tǒng)的公用點(diǎn)對(duì)點(diǎn)關(guān)鍵字(public-key)等。在組播(或稱多播)應(yīng)用中,一個(gè)或者多個(gè)組播流共享一個(gè)MEK,所有合法的用戶子系統(tǒng)(即組播成員)使用MEK解密組播幀。KDUA102管理維護(hù)的MEK如表1所示表1MEK狀態(tài)表組播流標(biāo)識(shí)MEK值MEK切換周期225.1.100.1MEK15分鐘226.1.100.1MEK210分鐘227.100,1.1/240x01-00-5E-00-01-10MEK36分鐘其中227.100.1.0/24表示范圍,表示227.100.1.0到227.100.1.255的所有組4番流標(biāo)識(shí)。CAUA103,用于對(duì)用戶子系統(tǒng)的訂閱請(qǐng)求進(jìn)行鑒權(quán),例如通過組播權(quán)限控制表對(duì)用的組播請(qǐng)求進(jìn)行控制,組播權(quán)限控制表2所示:表2組播權(quán)限控制表用戶標(biāo)識(shí)組播組權(quán)限用戶A225.1.100.1允許224.100.1.1/24拒絕239.1.1.1,10.1.1.1允許用戶BFF05:0:0:0:0:0:0:2拒絕組播權(quán)限控制表一般預(yù)先配置,通過組播權(quán)限控制表可以確定一個(gè)用戶訪問一個(gè)組播流或多個(gè)組播流的權(quán)限。DEUA104,用于加密組播幀,所述的組播幀指發(fā)往用戶子系統(tǒng)的組播幀,DEUA104采用的加密方法(算法)可以根據(jù)具體的實(shí)現(xiàn)而定,如使用IPSec力口密、IEEE(InstituteofElectricalandElectronicsEngineers,電氣和電子工禾呈師學(xué)會(huì))802.1ae的MACSec加密、PON層加密、無線空口加密、SRTP(SecureReal-timeTransportProtocol,安全實(shí)時(shí)流傳輸協(xié)i義)力卩密等。DSUA105,用于發(fā)送數(shù)據(jù),包括DEUA104加密后的組播幀、MEK分發(fā)或切換消息等。SCUA106,用于處理組播訂閱請(qǐng)求,如處理用戶子系統(tǒng)的CSUB101發(fā)送的IGMP或MLD報(bào)告(Report)消息,SCUAl06具體可以是一個(gè)IGMP/MLD探測(cè)(snooping)或代理(Proxy)。DRUA107,用于接收數(shù)據(jù),包括接收來自組播源設(shè)備的組播幀、來自用戶子系統(tǒng)的組播訂閱請(qǐng)求等。本發(fā)明實(shí)施例在PON系統(tǒng)中的應(yīng)用如圖2所示PON由安裝于中心控制站的光線踏4冬端(OpticalLineTerminals,OLT)、光配線網(wǎng)(OpticalDistributionNetwork,ODN)和安裝在用戶場(chǎng)所的光網(wǎng)絡(luò)單元(OpticalNetworkUnit,ONU)三部分組成。在下行方向采用廣播的方式傳輸數(shù)據(jù)幀,上行方向采用復(fù)用方式完成多個(gè)ONU的接入。接入控制子系統(tǒng)100為OLT設(shè)備,用戶子系統(tǒng)IOI、102、103為ONU(ONT)設(shè)備和/或主機(jī)。CDUB102和CKUB103位于ONT中,CSUB101可以實(shí)現(xiàn)在ONT或主機(jī)中。KGUA101、KDUA102、CAUA103、DEUA104、DSUA105、SCUA106、DRUA107實(shí)現(xiàn)在OLT中。下面描述接入控制子系統(tǒng)100和用戶子系統(tǒng)的處理。接入控制子系統(tǒng)100的處理包括控制面處理和數(shù)據(jù)面處理,其中數(shù)據(jù)面處理包括4矣入控制子系統(tǒng)1004妄收到組4番源發(fā)送的組l番流(MulticastFlow,MCFlow),將組播數(shù)據(jù)流進(jìn)行加密,然后將加密后的組播流轉(zhuǎn)發(fā)至用戶子系統(tǒng),需要說明的是,對(duì)于一個(gè)PON接口,接入控制子系統(tǒng)100發(fā)送一份或者多份組播流,由于PON是廣播發(fā)送的,因此所有的用戶子系統(tǒng)都可以收到接入控制子系統(tǒng)發(fā)送的組播流。具體實(shí)現(xiàn)可以是DRUA107接收到組播源發(fā)送的組播流中的組播幀后,DRUA107將組播幀交給DEUA104進(jìn)行力。密,DEUA104根據(jù)組播幀的組播流標(biāo)識(shí)獲取組播幀加密的MEK,然后按照對(duì)應(yīng)的加密算法和MEK對(duì)組4番幀進(jìn)行加密,DEUA104將加密后的組播幀交給DSUA105,DSUA105再根據(jù)組播轉(zhuǎn)發(fā)表將組播幀轉(zhuǎn)發(fā)出去,組播轉(zhuǎn)發(fā)表一般由SCUA106建立和刪除,組l番轉(zhuǎn)發(fā)表包括流標(biāo)識(shí)以及轉(zhuǎn)發(fā)出口(例如端口),所述的流標(biāo)識(shí)可以從組播幀的IP或以太網(wǎng)首部的目的(即組播)地址字段中獲取。接入控制子系統(tǒng)1OO的控制面處理包括接入控制子系統(tǒng)1OO接收到組播訂閱請(qǐng)求,解析所述的訂閱請(qǐng)求獲取組播流標(biāo)識(shí)等訂閱參#:以及用戶標(biāo)識(shí)信息,然后才艮據(jù)所述的組纟番流標(biāo)識(shí)獲取該組播流標(biāo)識(shí)對(duì)應(yīng)的MEK,然后將該MEK分發(fā)到發(fā)起該訂閱請(qǐng)求的用戶子系統(tǒng),同時(shí)建立組播轉(zhuǎn)發(fā)表以及將用戶子系統(tǒng)作為組播成員并記錄其狀態(tài)。優(yōu)選的,接入控制子系統(tǒng)1OO接收到訂閱請(qǐng)求后還包括對(duì)該訂閱請(qǐng)求進(jìn)行鑒^又處理,如果鑒權(quán)失敗,則不分發(fā)MEK。具體實(shí)現(xiàn)可以是DRUA107接收到訂閱請(qǐng)求消息后,DRUA107將該消息交給SCUA106處理,SCUA106解析該消息,獲取訂閱參數(shù)和用戶標(biāo)識(shí)信息,CAUA103根據(jù)SCUA106提供的訂閱參數(shù)和用戶標(biāo)識(shí)信息進(jìn)行鑒權(quán)處理,SCUA106通知KDUA102分發(fā)MEK。KDUA102首先才全查組纟番流標(biāo)識(shí)的MEK是否已經(jīng)存在,如果不存在則i青求KGUA101生成一個(gè)新的MEK。接入控制子系統(tǒng)100接收到組播訂閱撤離,接入控制子系統(tǒng)100可以刷新或切換該訂閱招t離包括的組播流標(biāo)識(shí)對(duì)應(yīng)的MEK。接入控制子系統(tǒng)100可以支持周期性的刷新MEK。刷新MEK具體可以是KDUA102請(qǐng)求KGUA101生成一個(gè)新的MEK,然后將MEK保存起來,同時(shí)將MEK通過MEK分發(fā)協(xié)議消息發(fā)送到用戶子系統(tǒng)。用戶子系統(tǒng)的處理包括控制面處理和數(shù)據(jù)面處理,其中數(shù)據(jù)面處理包括用戶子系統(tǒng)接收到接入控制子系統(tǒng)100發(fā)送的加密后的組播幀,根據(jù)所述的組播幀的組播流標(biāo)識(shí)獲取對(duì)應(yīng)的MEK,然后使用MEK解密所述加密后的組播幀,具體實(shí)現(xiàn)可以是用戶子系統(tǒng)的CDUB102根據(jù)組播流標(biāo)識(shí),從CKUB103中獲取MEK。用戶子系統(tǒng)的控制面處理包括用戶子系統(tǒng)接收到接入控制子系統(tǒng)100發(fā)送的MEK分發(fā)消息或切換消息,CKUB103根據(jù)該消息保存MEK或進(jìn)行MEK切換。用戶子系統(tǒng)可以支持才艮據(jù)組4番流中的組播幀的切換標(biāo)識(shí)進(jìn)行MEK切換,也可以根據(jù)時(shí)間定時(shí)切換。用戶子系統(tǒng)向接入控制子系統(tǒng)100發(fā)送訂閱請(qǐng)求或撤離消息,通知接入控制子系統(tǒng)100進(jìn)行訂閱或撤離處理。本發(fā)明實(shí)施例在PON系統(tǒng)中的處理如圖3所示,4妄入控制子系統(tǒng)100為OLT設(shè)備,用戶子系統(tǒng)為ONU(ONT)設(shè)備和/或主機(jī),主要包括以下步驟S301,用戶子系統(tǒng)開始組播訂閱請(qǐng)求,例如主機(jī)發(fā)送加入(Join)請(qǐng)求,具體如主機(jī)的CSUB101發(fā)送IGMP或MLD報(bào)告(REPORT)消息,訂閱請(qǐng)求可以包含訂閱參數(shù)、用戶標(biāo)識(shí)信息等,用戶標(biāo)識(shí)信息具體包括主機(jī)的IP地址、MAC地址、終端標(biāo)識(shí)等。訂閱參數(shù)包括組播流標(biāo)識(shí),例如組播組地址。5302,接入控制子系統(tǒng)進(jìn)行訂閱請(qǐng)求處理。OLT的DRUA107接收到加入請(qǐng)求消息,交由SCUA106處理訂閱請(qǐng)求,如解析IGMP或MLD報(bào)告消息,獲取訂閱參數(shù)和用戶標(biāo)識(shí)信息,用戶標(biāo)識(shí)信息還可以包括OLT接收到所述的加入請(qǐng)求消息的OLT設(shè)備端口,CSUB101通知CAUA103對(duì)用戶子系統(tǒng)的訂閱請(qǐng)求進(jìn)行鑒權(quán),如果鑒權(quán)成功,則通知KDUA102給用戶終端分發(fā)MEK,同時(shí)SCUA106配置組播轉(zhuǎn)發(fā)表,將用戶子系統(tǒng)的用戶標(biāo)識(shí)作為組播成員增加到組播成員狀態(tài)記錄中。CAUA103的鑒權(quán)具體包括CAUA103才艮據(jù)用戶的訂閱參數(shù)和用戶標(biāo)識(shí)信息,查驗(yàn)用戶的組播權(quán)限控制表,如組播ACL表,用戶訂閱的組纟番流標(biāo)識(shí)對(duì)應(yīng)的權(quán)限為允許,則鑒—又成功。5303,OLT分發(fā)MEK。OLT的KDUA102根據(jù)用戶標(biāo)識(shí)信息獲耳又發(fā)送該訂閱請(qǐng)求的用戶子系統(tǒng)對(duì)應(yīng)的CKUB103所在設(shè)備的標(biāo)識(shí),如ONU標(biāo)識(shí)(ID)或GEMPORT信息或ONU的MAC地址或LLID(邏輯鏈^各標(biāo)識(shí)),OLT的KDUAl02將MEK通過MEK分發(fā)協(xié)i義消息發(fā)送到用戶子系統(tǒng)。OLT可以通過點(diǎn)對(duì)點(diǎn)關(guān)鍵字對(duì)MEK或MEK分發(fā)協(xié)議消息進(jìn)行加密。MEK分發(fā)協(xié)議消息可以包括組播流標(biāo)識(shí)、加密算法,進(jìn)一步可以包括時(shí)間戳(timestamp)。例如OLT采取OMCI分發(fā)MEK,KDUA102將MEK作為OMCI的ME(ManageEntity,管理實(shí)體)封裝到OMCI消息中,發(fā)送OMCI設(shè)置(Set)消息(OMCI消息中的消息類型編碼為8)到指定的ONU,具體可以是在OMCI定義一個(gè)多4番關(guān)4建字ME(Multicastkeyinfo),多4番關(guān)4建字ME對(duì)應(yīng)一個(gè)類型編號(hào)(classvalue,對(duì)應(yīng)于MessageIdentifier前兩位),多4番關(guān)4建字ME包括:纟Ji番流標(biāo)識(shí)、MEK值、加密類型。組纟番流標(biāo)識(shí)對(duì)應(yīng)組纟番幀的標(biāo)識(shí),可以是一個(gè)組插-地址或一個(gè)時(shí)間戳或端口標(biāo)識(shí)(PORTID)。5304,用戶子系統(tǒng)受理MEK。ONU接收到MEK分發(fā)協(xié)議消息,解析該消息獲取MEK,然后存儲(chǔ)MEK以及對(duì)應(yīng)的信息,例如組播流標(biāo)識(shí)、加密類型,時(shí)間戳等。5305,4妄入控制子系統(tǒng)加密組4番流。OLT的DEUA104加密DRUA107接收到的組播幀,DRUA107接收上行設(shè)備(例如IP邊緣設(shè)備)發(fā)送的組播幀,獲取的組播幀的組播流標(biāo)識(shí),根據(jù)組播流標(biāo)識(shí)獲取MEK,DEUA104加密算法(類型)可以協(xié)定,本實(shí)施例中,DEUA104實(shí)現(xiàn)PON的AES等算法加密ATM或GEM幀或以太網(wǎng)幀的凄t據(jù)載荷(payload)部分。5306,接入控制子系統(tǒng)轉(zhuǎn)發(fā)組播幀。OLT的DSUA105將加密后的組播幀向用戶子系統(tǒng)發(fā)送出去,DSUA105根據(jù)SCUA106配置的組播轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)加密后的組播幀,即DSUA105只將組播幀發(fā)往已經(jīng)存在用戶子系統(tǒng)(組播成員)的PON端口。5307,用戶子系統(tǒng)解密組^番幀。ONU的CDUB102根據(jù)CKUB103的MEK解密接收到的組播幀,然后將解密后的組播幀發(fā)往主機(jī)。本發(fā)明實(shí)施例二中,PON系統(tǒng)的MEK刷新或切換應(yīng)用圖,接入控制子系統(tǒng)100為OLT設(shè)備,用戶子系統(tǒng)101、102、103為ONU(ONT設(shè)備和/或主機(jī),OLT設(shè)備使用MEK分發(fā)或切換協(xié)議消息通知ONU/ONT。流程如圖4所示,主14要包括以下步驟S401,接入控制子系統(tǒng);險(xiǎn)測(cè)MEK刷新或切換事件,觸發(fā)MEK刷新或切換。OLT的KDUA102檢測(cè)MEK切換事件,MEK刷新或切換事件包括定時(shí)(period)觸發(fā)刷新或切換事件、接入控制子系統(tǒng)100接收到訂閱撤離(例如組播成員離開)觸發(fā)(如SCUA106收到用戶的IGMP離開消息)。S402,接入控制子系統(tǒng)進(jìn)行MEK刷新或切換。OLT的KDUA102檢測(cè)到MEK刷新或切換事件,開始MEK刷新或切換、OLT的KDUA102—次可以刷新或切換一個(gè)或多個(gè)組^番流的MEK,OLT的KDUA102通知KGUA101生成一個(gè)或多個(gè)MEK,然后KDUA102獲取KGUA101生成的MEK,OLT的KDUA102向SCUA106查詢待刷新或切換MEK的組播成員狀態(tài)記錄,KDUA102將新的MEK以及組播流標(biāo)識(shí)或切換標(biāo)記封裝到MEK分發(fā)或切換協(xié)議消息,然后使用MEK分發(fā)或切換協(xié)議消息向組播成員記錄中的用戶子系統(tǒng)成員通知新的MEK或切換MEK。所述的切換標(biāo)記包括時(shí)間或幀標(biāo)記,用于指示用戶子系統(tǒng)的CDUB102啟用新的MEK進(jìn)行解密組播幀,例如GPON系統(tǒng)中的超幀(Ident)中的復(fù)幀計(jì)數(shù)器值。S403,用戶子系統(tǒng)進(jìn)行MEK切換或刷新處理。ONU接收到MEK分發(fā)或切換協(xié)議消息(例如OAM消息),解析該消息,獲:又新的MEK或切換MEK的切換標(biāo)記,然后存儲(chǔ)新的MEK或切換MEK的切換標(biāo)記。S404,接入控制子系統(tǒng)使用新的MEK加密組播幀。OLT的DEUA104切才灸到新的MEK加密組〗番幀,例如在約定時(shí)間-使用新的MEK加密DRUA107接收到的組播幀。5405,接入控制子系統(tǒng)轉(zhuǎn)發(fā)加密后的組播幀。OLT的DSUA105將加密后的組播幀向用戶子系統(tǒng)發(fā)送出去。5406,用戶子系統(tǒng)使用新的MEK解密組播幀。例如ONU的CDUB102在約定時(shí)間使用CKUB103中新的MEK解密接收到的組播幀,然后將解密后的組播幀發(fā)往主機(jī)。本發(fā)明實(shí)施例三,常用共享介質(zhì)系統(tǒng)的應(yīng)用圖,接入控制子系統(tǒng)100為接入設(shè)備,如DSLAM或IP邊緣設(shè)備,用戶子系統(tǒng)101、102、103為RG和/或主機(jī),DSLAM或IP邊緣設(shè)備以及RG支持IPSec加密或MACSec加密或SRTP,組播流實(shí)現(xiàn)IPSec加密或MACSec加密或SRTP力。密,IPSec加密時(shí)可以只需要使用ESP,MEK分發(fā)或切換消息的實(shí)現(xiàn)協(xié)議不限,例如SNMP協(xié)議或CAPWAP(ControlAndProvisioningofWirelessAccessPoints,無線i方問點(diǎn)4空制和部署協(xié)議)或TR-069或IKE。流程如圖5所示,包括以下步驟S501,IP邊緣設(shè)備或DSLAM的DSUA105收到訂閱請(qǐng)求,開始處理訂閱請(qǐng)求(例如通知KDUA102給用戶終端分發(fā)MEK,同時(shí)SCUA106配置組播轉(zhuǎn)發(fā)表,記錄組播成員狀態(tài))。所述的訂閱請(qǐng)求可能來源于應(yīng)用服務(wù)器(例如AAA服務(wù)器或策略控制器或網(wǎng)管服務(wù)器)中轉(zhuǎn)的,IP邊緣設(shè)備或DSLAM的DSUA105收到的訂閱請(qǐng)求由于經(jīng)過應(yīng)用服務(wù)器中轉(zhuǎn)的,所以可以不需要繼續(xù)對(duì)訂閱請(qǐng)求進(jìn)行鑒權(quán),訂閱請(qǐng)求可以包括發(fā)放的組播流標(biāo)識(shí)和用戶標(biāo)識(shí)信息,組播流標(biāo)識(shí)包括組纟番組地址,用戶標(biāo)識(shí)信息包括端口、終端或主才幾的地址等。此時(shí)IP邊緣設(shè)備或DSLAM可以沒有CAUA103和不具備鑒一又功能。S502,IP邊緣設(shè)備或DSLAM的KDUA102分發(fā)MEK,即將MEK通知給用戶子系統(tǒng),IP邊緣設(shè)備或DSLAM的KDUA102將MEK或組播流標(biāo)識(shí)等信息封裝到MEK分發(fā)消息中,發(fā)送該消息到用戶子系統(tǒng)。組播流標(biāo)識(shí)包括組4番組IP地址、組I番MAC地址、SPI等,KDUA102分發(fā)MEK—般采耳又安全通道,即KDUA102使用點(diǎn)對(duì)點(diǎn)關(guān)鍵字加密MEK或MEK分法消息后才發(fā)送出去。5503,受理MEK。RG接收到IP邊緣設(shè)備或DSLAM的KDUA102的MEK分法消息,獲取MEK交由CKUB103處理,例如保存MEK信息。5504,IP邊緣設(shè)備或DSLAM的DEUA104加密組播組幀,例如IP邊緣設(shè)備或DSLAM的DEUA104可以使用IPSec的ESP加密,也可以使用MACSec加密,優(yōu)選的使用IPSec的ESP加密,加密組播幀的MEK根據(jù)組播流標(biāo)識(shí)/人KDUA102獲耳又。5505,IP邊桑彖i殳備或DSLAM的DSUA105將加密后的組纟番幀向用戶子系統(tǒng)發(fā)送出去。5506,RG的CDUB102根據(jù)CKUB103的MEK解密接收到的組播幀,然后將解密后的組播數(shù)據(jù)幀發(fā)往主機(jī)。5507,IP邊緣設(shè)備或DSLAM的KDUA102檢測(cè)MEK刷新或切換事件,MEK刷新或切換事件包括定時(shí)觸發(fā)切換事件、訂閱撤離觸發(fā)、管理操作指令觸發(fā)。需要說明的是,如果是訂閱撤離觸發(fā),IP邊緣設(shè)備或DSLAM會(huì)將用戶子系統(tǒng)作為組播成員從組播成員狀態(tài)記錄中刪除。5508,IP邊緣設(shè)備或DSLAM的KDUA102檢測(cè)到MEK刷新或切換事件,開始MEK刷新或切換、發(fā)送MEK刷新或切換消息,通知該組纟番組的所有用戶子系統(tǒng)新的MEK或切換標(biāo)記,A102KDU需要4艮據(jù)DSUA105保存的該組4番成員狀態(tài)記錄逐一通知,一4殳的,一個(gè)組播組的成員對(duì)應(yīng)一個(gè)用戶子系統(tǒng)。5509,RG4妄收到IP邊纟彖i殳備或DSLAM的KDUA102的MEK刷新或切換消息,獲取新的MEK或切換標(biāo)記交由CKUB103處理(例如保存)。S510,啟用新的MEK加密組播幀。例如IP邊緣設(shè)備或DSLAM的DEUA104在約定時(shí)間使用新的MEK加密DRUA107接收到的組播幀,DEUA104可以在加密的組播幀中設(shè)置MEK切換標(biāo)記。S511,IP邊緣設(shè)備或DSLAM的DSUA105將加密后的組播幀向用戶子系統(tǒng)發(fā)送出去。S512,用戶子系統(tǒng)使用新的MEK解密組纟番幀。例如RG的CDUB102在約定時(shí)間或才艮據(jù)加密組播幀的切換標(biāo)記使用B103CKU中新的MEK解密才妻收到的組播幀,然后將解密后的組播幀發(fā)往主機(jī)。本發(fā)明實(shí)施例四詳細(xì)描述采用IPSecESP加密和解密組纟番幀的方法,加密組播幀指將明文組播幀經(jīng)過數(shù)據(jù)計(jì)算后轉(zhuǎn)換成密文組播幀,解密組播幀指將密文組^"幀經(jīng)過數(shù)據(jù)計(jì)算后還原成明文組播幀。在本實(shí)施例中,4妄入控制子系統(tǒng)接收到的組播源發(fā)送的組播幀為明文組播幀,組播幀一般包括IP載荷603和IP首部602,如圖6所示,IP載荷603包括的是組播業(yè)務(wù)凄史據(jù)604,IP首部602包括目的IP(DestinationAddress)602A和源IP(SourceAddress)602B,目的IP602A—般是一個(gè)組4番組地址,源IP(SourceAddress)602B17是發(fā)送組播幀的源設(shè)備的IP地址。IP首部602之前還可以包括鏈路層首部601,如以太網(wǎng)首部。IPSec加密組播幀可以使用隧道模式和透明模式,優(yōu)選使用透明模式,如圖7所示,使用IPSec透明模式加密后的組播幀包括包括IP載荷703和IP首部702以及ESP首部705,IP首部702之前還可以包括鏈i各層首部701,如以太網(wǎng)首部。IP載荷703包括的是密文的組播業(yè)務(wù)凄t據(jù)704。ESP首部705包括SPI(SecurityParametersIndex,全參數(shù)索^1)705A和/或序列號(hào)(SequenceNumber)705B。接入控制子系統(tǒng)的DEUA104加密組播幀具體包括1、接收到組播幀,例如DRUA107接收到如圖6所示的組播幀交給DEUA104,DEUA104解析組播幀,獲取IP載荷部分保護(hù)的組播業(yè)務(wù)數(shù)據(jù)以及IP首部;2、DEUA104根據(jù)IP首部的目的IP和/或源IP作為組播流標(biāo)識(shí),獲取該流標(biāo)識(shí)對(duì)應(yīng)的MEK,使用指定的算法將組播業(yè)務(wù)數(shù)據(jù)和MEK進(jìn)行計(jì)算得到密文組播業(yè)務(wù)數(shù)據(jù);3、創(chuàng)建ESP首部,包括生成SPI以及序列號(hào)域等,SPI以及序列號(hào)可以作為MEK切換標(biāo)記,A104DEU可以通過改變SPI或序列號(hào)4直指示MEK切換;4、將明文組播幀的IP首部、新創(chuàng)建的ESP首部、密文組播業(yè)務(wù)數(shù)據(jù)按照標(biāo)準(zhǔn)的格式重組成組播幀,如圖7所示的格式,詳細(xì)重組才各式請(qǐng)參見RFC標(biāo)準(zhǔn),例如RFC2406,鏈^各層首部可以是明文組播幀的鏈路層首部,也可以是重新構(gòu)造的鏈路層首部。用戶子系統(tǒng)的CDUB102解密組播幀具體包括1、接收到密文組播幀,例如ONU接收到如圖7所示的組播幀,解析組播幀以及獲取IP載荷包含的密文組播業(yè)務(wù)數(shù)據(jù)、ESP首部以及IP首部;2、根據(jù)IP首部和/或ESP首部獲取組播流標(biāo)識(shí),根據(jù)組4番流標(biāo)識(shí)獲取解密的MEK,然后將MEK和密文組播業(yè)務(wù)數(shù)據(jù)計(jì)算得到還原的明文組纟番業(yè)務(wù)數(shù)據(jù),B102CDU可以根據(jù)IP首部的IP地址或SPI或序列號(hào)值或時(shí)間戳獲取MEK;3、將從密文組播幀得到的IP首部和明文組播數(shù)據(jù)等生成明文組播幀,鏈路層首部可以是密文組播幀的鏈路層首部,也可以是重新構(gòu)造的鏈路層首部。本發(fā)明實(shí)施例五詳細(xì)描述采用吉比特的無源光網(wǎng)絡(luò)(GPON)加密和解密組4番幀的方法,如圖8所示。在GPON應(yīng)用中,OLT可以加密吉比特的無源光網(wǎng)絡(luò)封裝(GEM)載荷或以太網(wǎng)載荷。GPON組播頓包括物理層控制塊(PCBd)和GPON的幀凈荷。物理層控制塊(PCBd)進(jìn)一步包括物理層同步(Psync)和超幀指示(Ident),GPON幀凈荷包括GEM首部和GEM載荷,GEM首部包括端口標(biāo)識(shí)(PortID)和載荷指示(PTI),GEM載荷包括以太網(wǎng)首部和以太網(wǎng)載荷,以太網(wǎng)首部包4舌目的i也址和源i也址,以太網(wǎng)載荷還進(jìn)步一歹口J"巴3吝丄P—自哪,化取何。LrFUJN組箭恢的》1L孑不識(shí)口J"田卜歹'J參#1中的至少一個(gè)組成GEM首部的端口標(biāo)識(shí)(PortID)、以太網(wǎng)首部的目的地址、以太網(wǎng)首部的源地址、IP首部的目的地址、IP首部的源地址等。超幀指示(Ident)包括了幀計(jì)數(shù)器,超幀指示可以用于幀的MEK切換標(biāo)記。本發(fā)明實(shí)施例六詳細(xì)描述采用吉比特的無源光網(wǎng)絡(luò)(GPON)使用OAM消息分發(fā)和切換MEK的消息,如圖9所示,OAM的幀結(jié)構(gòu),其包括ONU標(biāo)識(shí)(ONU-ID)、消息標(biāo)識(shí)(Message-ID)、數(shù)據(jù)(data)及循環(huán)冗余碼(CyclicRedundancyCode,CRC)。MEK分發(fā)消息格式見表3:表3MEK分發(fā)消息格式<table>tableseeoriginaldocumentpage19</column></row><table>MEK信息具體封裝格式視具體實(shí)現(xiàn)而定,MEK信息可以<吏用多個(gè)OAM消息攜帶。MEK切換消息才各式見表4:表4MEK切換消息格式<table>tableseeoriginaldocumentpage20</column></row><table>本發(fā)明實(shí)施例七詳細(xì)描述采用以太網(wǎng)的無源光網(wǎng)絡(luò)(EPON)使用OAM消息分發(fā)和切換MEK的消息,如圖10所示,EPON采用OAM實(shí)現(xiàn)MEK分發(fā)或切換消息的幀結(jié)構(gòu),包括目的地址、源地址、消息類型、組播流標(biāo)識(shí)、MEK。目的地址為用戶子系統(tǒng)的ONU地址,源地址為OLT地址、消息類型用于識(shí)別MEK分發(fā)或切換消息、組纟番流標(biāo)識(shí)包括組纟番地址、LLD等。本發(fā)明的實(shí)施例中,在廣播式(共享介質(zhì))接入應(yīng)用中,授權(quán)用戶才能爿使用組播業(yè)務(wù)數(shù)據(jù),防止非法用戶使用組播業(yè)務(wù)。加強(qiáng)了在共享介質(zhì)4妄入的組播安全控制,杜絕了未授權(quán)或惡意訪問,保護(hù)了運(yùn)營(yíng)商的投資。通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬_件,但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例,但是,本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍。權(quán)利要求1、一種寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),其特征在于,包括接入控制子系統(tǒng),用于生成組播加密關(guān)鍵字,將所述組播加密關(guān)鍵字發(fā)送給用戶子系統(tǒng),并在接收到用戶子系統(tǒng)發(fā)送的訂閱請(qǐng)求后,利用所述組播加密關(guān)鍵字對(duì)發(fā)往用戶子系統(tǒng)的組播幀進(jìn)行加密,將所述加密過的組播幀發(fā)送到所述用戶子系統(tǒng);用戶子系統(tǒng),用于向所述接入控制子系統(tǒng)發(fā)送訂閱請(qǐng)求來請(qǐng)求組播幀,根據(jù)接收的接入控制子系統(tǒng)發(fā)送的組播加密關(guān)鍵字解密接收到的所述接入控制子系統(tǒng)加密過的組播幀。2、如權(quán)利要求l所述寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),其特征在于,所述接入控制子系統(tǒng)包括關(guān)鍵字生成單元,用于生成組播加密關(guān)鍵字集合,所述組播加密關(guān)鍵字集合包括至少一個(gè)組播加密關(guān)鍵字及對(duì)應(yīng)的組播流標(biāo)識(shí);關(guān)鍵字分發(fā)單元,用于向用戶子系統(tǒng)發(fā)送所述關(guān)鍵字生成單元生成的組播加密關(guān)鍵字;數(shù)據(jù)接收單元,用于接收來自組播源設(shè)備的組播幀以及來自用戶子系統(tǒng)的組播訂閱請(qǐng)求,并將所述組播幀發(fā)送到數(shù)據(jù)加密單元;數(shù)據(jù)加密單元,用于從組播訂閱請(qǐng)求中解析出的組播流標(biāo)識(shí),根據(jù)所述組播流標(biāo)識(shí)從所述關(guān)鍵字生成單元的組播加密關(guān)鍵字集合中獲取組播加密關(guān)鍵字,并利用所述關(guān)鍵字生成單元生成的組播加密關(guān)鍵字及對(duì)應(yīng)的加密算法對(duì)發(fā)往用戶子系統(tǒng)的組播幀進(jìn)行加密,并將加密過的組播幀發(fā)送到數(shù)據(jù)發(fā)送單元;數(shù)據(jù)發(fā)送單元,用于確定所述數(shù)據(jù)接收單元接收到用戶子系統(tǒng)發(fā)送的訂閱請(qǐng)求后,根據(jù)組播轉(zhuǎn)發(fā)表向用戶子系統(tǒng)發(fā)送所述數(shù)據(jù)加密單元加密過的組播幀。3、如權(quán)利要求2所述寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),其特征在于,所述接入控制子系統(tǒng)還包括訂閱管理單元,用于接收所述數(shù)據(jù)接收單元的用戶子系統(tǒng)的組播訂閱請(qǐng)求后建立所述組播轉(zhuǎn)發(fā)表,接收到用戶子系統(tǒng)的撤離請(qǐng)求時(shí),刪除所述組播轉(zhuǎn)發(fā)表。4、如權(quán)利要求2所述寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),其特征在于,所述關(guān)一睫字分發(fā)單元還用于檢測(cè)到關(guān)鍵字刷新或切換事件,通知所述關(guān)鍵字生成單元生成一個(gè)或多個(gè)組播加密關(guān)鍵字,將新的組播加密關(guān)鍵字通知用戶子系統(tǒng)。5、如權(quán)利要求4所述寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),其特征在于,所述刷新或切換事件包括定時(shí)觸發(fā)、或接收到所述接入控制子系統(tǒng)發(fā)送的訂閱撤離請(qǐng)求。6、如權(quán)利要求2所述寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),其特征在于,所述接入控制子系統(tǒng)還包括控制授權(quán)單元,用于根據(jù)組播訂閱請(qǐng)求中的訂閱參數(shù)和用戶標(biāo)識(shí)信息對(duì)發(fā)送所述訂閱請(qǐng)求的用戶子系統(tǒng)進(jìn)行鑒權(quán),確定所述用戶子系統(tǒng)訪問組播流的斗又限。7、如權(quán)利要求1至4中任一項(xiàng)所述寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng),其特征在于,所述接入控制子系統(tǒng)為光線路終端OLT,所述用戶子系統(tǒng)為光網(wǎng)絡(luò)單元ONU或主4幾;或所述接入控制子系統(tǒng)為IP邊緣設(shè)備或數(shù)字用戶線接入復(fù)用器DSLAM;所述用戶子系統(tǒng)為RG或主機(jī)。8、一種寬帶接入網(wǎng)絡(luò)組播控制方法,其特征在于,包括以下步驟生成并分發(fā)組播加密關(guān)鍵字集合,所述組播加密關(guān)鍵字集合包括至少一個(gè)組播加密關(guān)鍵字及對(duì)應(yīng)的組播流標(biāo)識(shí);接收到訂閱請(qǐng)求后,利用所述組播加密關(guān)4建字對(duì)組播幀進(jìn)行加密;發(fā)送所述加密過的組播幀,所述加密過的組播幀能用所述組播加密關(guān)鍵字進(jìn)行解密。9、如權(quán)利要求8所述寬帶接入網(wǎng)絡(luò)組播控制方法,其特征在于,所述利用所述組播加密關(guān)鍵字對(duì)組播幀進(jìn)行加密具體包括從組播訂閱請(qǐng)求中解析出組播流標(biāo)識(shí);根據(jù)所述組播流標(biāo)識(shí)從所述組播加密關(guān)鍵字集合中獲取組播加密關(guān)鍵字;利用所述組播加密關(guān)鍵字及對(duì)應(yīng)的加密算法對(duì)組播幀進(jìn)行加密。10、如權(quán)利要求8所述寬帶接入網(wǎng)絡(luò)組播控制方法,其特征在于,所述生成并分發(fā)組播加密關(guān)鍵字之后還包括沖企測(cè)到關(guān)鍵字刷新或切換事件,更新所述組播加密關(guān)鍵字。11、如權(quán)利要求10所述寬帶接入網(wǎng)絡(luò)組播控制方法,其特征在于,所述刷新或切換事件包括定時(shí)觸發(fā)、或接收到訂閱撤離請(qǐng)求。12、一種接入控制裝置,其特征在于,包括關(guān)鍵字生成單元,用于生成組播加密關(guān)鍵字集合,所述組播加密關(guān)鍵字集合包括至少一個(gè)組播加密關(guān)鍵字及對(duì)應(yīng)的組播流標(biāo)識(shí);關(guān)鍵字分發(fā)單元,用于向用戶子系統(tǒng)發(fā)送所述關(guān)鍵字生成單元生成的組播加密關(guān)鍵字;數(shù)據(jù)接收單元,用于接收來自組播源設(shè)備的組播幀以及來自用戶子系統(tǒng)的組播訂閱請(qǐng)求,并將所述組播幀發(fā)送到數(shù)據(jù)加密單元;數(shù)據(jù)加密單元,用于從組播訂閱請(qǐng)求中解析出的組播流標(biāo)識(shí),根據(jù)所述組播流標(biāo)識(shí)從所述關(guān)鍵字生成單元的組播加密關(guān)鍵字集合中獲取組播加密關(guān)鍵字,并利用所述關(guān)鍵字生成單元生成的組播加密關(guān)鍵字及對(duì)應(yīng)的加密算法對(duì)發(fā)往用戶子系統(tǒng)的組播幀進(jìn)行加密,并將加密過的組播幀發(fā)送到數(shù)據(jù)發(fā)送單元;數(shù)據(jù)發(fā)送單元,用于確定所述數(shù)據(jù)接收單元接收到用戶子系統(tǒng)發(fā)送的訂閱請(qǐng)求后,根據(jù)組播轉(zhuǎn)發(fā)表向用戶子系統(tǒng)發(fā)送所述數(shù)據(jù)加密單元加密過的組播幀。13、如權(quán)利要求12所述接入控制裝置,其特征在于,所述接入控制子系統(tǒng)還包才舌訂閱管理單元,用于接收所述數(shù)據(jù)接收單元的用戶子系統(tǒng)的組播訂閱請(qǐng)求后建立所述組播轉(zhuǎn)發(fā)表,接收到撤離請(qǐng)求時(shí),刪除所述組播轉(zhuǎn)發(fā)表(全文摘要本發(fā)明實(shí)施例公開了一種寬帶接入網(wǎng)絡(luò)組播控制系統(tǒng)、方法及設(shè)備,該系統(tǒng)包括接入控制子系統(tǒng),用于生成組播加密關(guān)鍵字,將所述組播加密關(guān)鍵字發(fā)送給用戶子系統(tǒng),并在接收到用戶子系統(tǒng)發(fā)送的訂閱請(qǐng)求后,利用所述組播加密關(guān)鍵字對(duì)發(fā)往用戶子系統(tǒng)的組播幀進(jìn)行加密,將所述加密過的組播幀發(fā)送到所述用戶子系統(tǒng);用戶子系統(tǒng),用于向所述接入控制子系統(tǒng)發(fā)送訂閱請(qǐng)求來請(qǐng)求組播幀,根據(jù)接收的接入控制子系統(tǒng)發(fā)送的組播加密關(guān)鍵字解密接收到的所述接入控制子系統(tǒng)加密過的組播幀。本發(fā)明在廣播式(共享介質(zhì))接入應(yīng)用中,授權(quán)用戶才能使用組播業(yè)務(wù)數(shù)據(jù),防止非法用戶使用組播業(yè)務(wù),增強(qiáng)了組播權(quán)限控制的安全性。文檔編號(hào)H04L9/00GK101547086SQ20081008579公開日2009年9月30日申請(qǐng)日期2008年3月24日優(yōu)先權(quán)日2008年3月24日發(fā)明者陽振庭申請(qǐng)人:華為技術(shù)有限公司