专利名称:一种组播流的权限管理方法和管理服务器的利记博彩app
技术领域:
本发明涉及国际互联(IP)协议中的组播技术,特别涉及一种组播流的权限管理方法和管理服务器。
背景技术:
随着IP网络的日益普及和应用,IP网络技术的各个方面的应用发展迅速。组播技术指的是在互联网上对一组IP站点进行数据传送,这一组IP站点是动态形成的,每一个IP站点都可以动态地加入或者退出这个组。
组播技术的一个典型应用即音视频监控技术。以视频监控为例说明。这两年视频监控得到了政府的高度重视,并投入巨资在各个城市建设这个和谐社会所需要的安全保障工程。它要求每个城市在各个事业单位、交通要道等关键点设立监控系统,并使用海量存储系统存储录制视频数据。目前一个典型城市的视频监控方案配置是市局下辖20个分局,每个分局下辖25个派出所,每个派出所设置1000个摄像头;在整网都基于IP构架的情况下,使用IP的组播协议,可以很好地实现任意一个监控终端能够查看任意一个摄像头。即每个摄像头是个组播源,分配一个组播组地址,供监控用户查看实况画面;市局、各个分局、各个派出所之间的用户,如果不考虑查看权限,完全可以查看任何一个摄像头的监控画面。
图1为视频监控应用中典型的系统框图。如图1所示,该视频监控系统包括管理服务器100、监控点110、监控终端120和IP网络交换机/路由器130。在该视频监控系统中,监控终端120作为组播接收者,包括监视器或电视墙、解码器,能发送因特网组管理协议(IGMP)请求消息,其中,IGMP消息是控制组播组成员加入和退出的消息;监控点110,包括摄像头和编码器,具有视频编码和与管理服务器100交互消息的能力;管理服务器100是整个视频监控控制的核心管理设备,用于记录用户的名称、密码、权限等开户信息,以及记录各个设备的配置信息、管理信息等。IP网络交换机/路由器130完成视频组播流的交换和路由功能。在现有的组播协议中,一般情况下组播媒体流不对接收者作认证、限制。
在该视频监控系统中,当某个用户希望通过某个监控终端120查看监控点110的监控画面时,用户通过在监控终端120上输入用户信息,登录管理服务器100,管理服务器100根据用户的登录信息判断是否允许该用户查看监控画面,若允许,则用户可以通过IP网络交换机/路由器130接收任意一个监控点110的视频组播流,查看其监控画面,否则用户接收不到视频组播流,无法查看监控画面。或者,用户也可以在监控终端120上输入监控点110的组播组地址,要求加入该组播组,这样也可以接收视频组播流,查看该监控点的监控画面。
在上述视频监控系统中,网络内任意一台监控终端的使用者只要知道组播地址和对应的端口号,就可以接收并观看该组播组的媒体码流,这对于某些安全等级比较高、不适合普通人员查看的监控场景,存在非常大的信息安全隐患。
以上仅以视频监控领域为例对现有技术进行了描述。在其他组播技术应用的领域,如IP电视(IPTV)、音频监控领域等,也采用类似的技术。
对于此类组播业务来说,主要存在以下问题1.如果对访问用户不做限制,不进行相应的权限管理,各个组播流都可以被任意一个知道组播地址和对应端口号的登录用户查看,这样对于组播流的安全是一个很大的威胁;2.如果在边缘接入交换机上使用基于用户的认证方法,对于组播源数量和用户数量庞大的系统来说,交换机的权限配置非常复杂而且工作量很大。如,视频监控系统中,一个城市监控的场景有上万个,而需要查看这些场景的人员一般有几千人。这种情况下,组播系统的可扩展性就会很差,扩容增加组播源或者用户信息发生变化时,都必须改动所有接入交换机的配置,显然很难做到,信息安全问题依然严重。
发明内容
有鉴于此,本发明提供一种组播流的权限管理方法,以实现对组播流的权限管理。
本发明还提供一种实现组播流权限管理的管理服务器,以实现对组播流的权限管理。
为达到上述第一个发明目的,本发明采用如下的技术方案一种组播流的权限管理方法,该方法包括a、管理服务器为用户配置访问权限,并确定组播流对应的加密信息;b、组播源利用加密信息对组播流加密,并将加密后的组播流发送至网络;c、当用户请求查看组播流时,管理服务器在用户具有足够的访问权限的情况下,向用户发送与该组播流的加密信息对应的解密信息。
较佳地,所述步骤a中进一步包括组播源向管理服务器注册;管理服务器为组播源配置注册信息或设置组播源的安全级别信息;管理服务器根据组播源的注册信息或安全级别信息,记录该组播源的位置和可以查看该组播源播放的组播流的用户访问权限。
较佳地,步骤a中所述确定组播流对应的加密信息为组播源产生加密信息,并通知管理服务器,管理服务器记录相应的解密信息;或者,管理服务器为组播流分配加密信息,管理服务器记录相应的解密信息。
较佳地,步骤c中所述当用户请求查看组播流时,进一步包括管理服务器根据用户的登录信息,判断该用户是否为合法用户,若是,则管理服务器向用户返回登录成功信息,并继续执行所述管理服务器在用户具有足够的访问权限的情况下,向用户发送与该组播流的加密信息对应的解密信息的操作,否则管理服务器向用户返回登录失败信息,并不允许用户查看任何组播源的组播流。
较佳地,当管理服务器确定登录用户为合法用户时,进一步包括在管理服务器返回登录成功信息的同时或之后,向用户回复最新的组播源地图。
较佳地,在步骤c后进一步包括用户在指定的组播地址上接收加密后的组播流进行解密并查看。
较佳地,所述用户在指定的组播地址上接收加密后的组播流进行解密并查看为用户向网络发送携带组播地址的因特网组播管理协议IGMP请求消息,申请加入对应组播源所在的组播组;接收该组播源加密过的组播流,利用接收到的解密信息对加密后的组播流进行解密,然后查看该解密后的组播流。
较佳地,步骤c中所述用户请求查看组播流时,该方法进一步包括若用户不具有足够的访问权限,管理服务器向用户发出告警,或者将当前的越权查看行为记录到管理服务器的本地日志信息中,并结束本权限管理流程。
较佳地,在步骤c后进一步包括用户将查看的组播流保存到本地硬盘。
较佳地,所述加密信息为加密密钥和加密算法,所述解密信息为解密密钥和解密算法。
为实现本发明的第二个目的,采用如下的技术方案一种实现组播流权限管理的管理服务器,所述管理服务器,为用户配置访问权限,当用户请求查看某个组播源的组播流时,管理服务器在用户具有足够的访问权限的情况下,向监控终端发送解密信息。
较佳地,所述管理服务器包括组播源接口模块,终端接口模块、中央处理模块和数据库模块;所述组播源接口模块,用于与所述各个组播源交互组播流的加密信息,并记录到所述数据库模块中;所述终端接口模块,接收所述监控终端发送的用户登录信息,并将其转发给所述中央处理模块,在用户访问权限符合要求的情况下,向所述监控终端发送要求查看的组播流的解密信息;所述中央处理模块,接收所述终端接口模块发送的用户登录信息和要查看的组播流信息,在所述数据库模块中查找该用户登录信息对应的用户的访问权限,确定是否可以查看要求的组播流,并将访问权限查询结果返回给所述终端接口模块,为用户在所述数据库模块中配置其用户信息和用户对于各个组播流的访问权限;所述数据库模块,记录用户信息和用户对于各个组播流的访问权限。
较佳地,所述管理服务器进一步包括加密信息分配模块;所述加密信息分配模块,根据所述数据库中记录的组播源的安全级别信息,为组播源分配加密信息,并将该加密信息发送给所述组播源接口模块;所述组播源接口模块,进一步用于将接收到的组播源的加密信息转发给所述组播源。
较佳地,所述组播源接口模块,用于接收所述各个组播源发送的组播源解密信息,并记录到所述数据库模块;所述组播源,进一步用于产生加密信息,并将对应的解密信息发送给所述组播源接口模块。
较佳地,所述组播源,用于利用确定的加密信息为组播流加密,并将加密后的组播流发送至IP网络交换机/路由器;所述监控终端,用于为用户提供登录所述管理服务器的媒介,接收所述管理服务器发送的解密信息,并向所述IP网络交换机/路由器发送携带有组播地址的IGMP请求消息,并对接收到的加密后组播流进行解密;所述IP网络交换机/路由器,用于接收所述监控终端发送的IGMP请求消息,复制并转发加密后的组播流。
由上述技术方案可见,本发明在视频监控系统的管理服务器上使用基于用户的认证方法,根据登录用户名称和该用户的当前权限,由管理服务器决定是否告知该用户当前加密组播流的解密信息。如果当前登录的用户权限不足,即便该用户知道某个保密组播源的组播地址,能够接收到组播流,但是因为缺乏解密信息,该用户最终还是无法查看该组播源的真正组播流。这样可以对不同的组播流设置不同的安全级别,按照访问权限的设置控制用户对不同安全级别组播流的访问。本发明具有配置灵活、简单,可扩展性好等优点,大大降低大规模部署监控系统的复杂度和维护工作量。
图1为视频监控应用中典型的系统框图。
图2为依据本发明思想的组播流权限管理方法的示意性总体流程图。
图3为基于本发明中管理服务器的组播流权限管理系统的示意性总体结构图。
图4为本发明实施例的组播流权限管理的方法流程图。
图5为基于本发明中管理服务器的组播流权限管理系统的具体结构图。
具体实施例方式
为使本发明的目的、技术手段和方法更加清楚明白,以下结合附图并举实施例说明本发明的具体实施方式
。
本发明的基本思想是在视频监控系统的管理服务器上使用基于用户的认证方法,根据登录用户名称和该用户的当前权限,由管理服务器决定是否告知该用户当前加密组播流的解密信息。
图2为依据本发明思想的组播流权限管理方法的示意性总体流程图。如图2所示,该方法包括步骤201,管理服务器配置用户访问权限,并确定组播流对应的加密信息。
步骤202,组播源利用加密信息对组播流加密,并发送至网络。
步骤203,当用户请求查看某个组播流时,管理服务器在用户权限符合要求时,向用户返回与该组播源的加密信息对应的解密信息。
图3为基于本发明中管理服务器的组播流权限管理系统的示意性总体结构图。
如图3所示,该系统包括管理服务器300、组播源310、监控终端320和IP网络交换机/路由器130。
其中,管理服务器300,即为本发明中实现组播流权限管理的管理服务器,它用于配置用户的访问权限。组播源310利用确定的加密信息为组播流加密,并将加密后的组播流发送至IP网络交换机/路由器130。
当有用户登录到管理服务器300上,要求查看组播源310发送的组播流时,管理服务器300在用户具有足够的访问权限的情况下,向监控终端320发送解密信息。
用户通过监控终端320登录到管理服务器300上,且用户的权限符合要求时,监控终端320接收管理服务器300发送的解密信息,从所述IP网络交换机/路由器接收加密后组播流,并利用所述管理服务器发送的解密信息进行解密。
由上述技术方案可见,本发明利用在管理服务器上使用基于用户的认证方法,在用户查看某组播源的组播流时,由管理服务器根据该用户的访问权限来控制其对加密组播流的访问。
下面结合具体实施例说明本发明的具体实施方式
。
实施例图4为本发明实施例的组播流权限管理方法实施的流程图。本实施例是以在视频监控系统中应用的组播流权限管理方法为例进行说明的,其中,在该视频监控系统中,组播源即为摄像头,如图4所示,该方法包括步骤401,在管理服务器中配置好用户的访问权限。
本步骤中,在管理服务器中,给所有的用户进行开户,开户的信息包括用户名称,用户密码,用户所在部门(或所在单位),用户年龄,用户性别,用户级别等。在开户的时候,需要配置好用户的权限范围,比如用户的级别(局长、科长、处长等),用户管辖的范围(全市、市区的某个分区、某个派出所等等)。
步骤402,摄像头上电,注册到管理服务器中。
本步骤中,当摄像头向管理服务器注册时,管理服务器可以根据摄像头发送的请求注册消息,为该组播源配置注册信息;或者根据管理服务器中预先存储的各个摄像头的安全属性信息,为其配置对应于该摄像头的安全级别信息。
摄像头向管理服务器注册信息可以为摄像头向管理服务器注册;管理服务器根据摄像头的注册信息或管理服务器上对该摄像头预先配置的信息,记录该摄像头的位置和可以查看该摄像头监控画面的用户级别。
步骤403,管理服务器为注册的摄像头分配加密算法和加密密钥。
本实施例中,假定加密信息为加密算法和加密密钥。本步骤中,根据摄像头的注册信息中保密级别的高低,管理服务器分配不同复杂度的加密算法,对不同的摄像头采用不同的密钥。
管理服务器在分配加密算法时,一种实施方法可以为根据一定的算法,以保密级别指数为参数来产生符合不同保密级别要求的不同复杂度的加密算法,并将摄像头信息与其对应的加解密信息对应存储在管理服务器中。
管理服务器分配加密算法的另一种实施方法可以为预先在管理服务器中设置加解密信息表,在加解密信息表中,将摄像头信息与该摄像头对应的加解密信息对应存储,在需要分配加密算法时,根据不同的摄像头信息为其分配合适的加密信息;其中,摄像头信息中包含了该摄像头的安全级别。
在将加密信息发送给摄像头时,可以发送整个加密信息包括加密算法和加密密钥本身,或者当摄像头中存储有与管理服务器中相同的加解密信息表时,只需要将加密信息对应的表内标识发送给摄像头即可。
步骤404,摄像头将视频组播流加密后发送到网络中的IP网络交换机/路由器中。
至此,便完成了对组播流的权限设置。
当某一时刻,有用户想要查看摄像头的监控画面时,执行下述操作步骤405~408,用户登录,向管理服务器注册;管理服务器判断用户是否合法并发送相应的拒绝查看的消息或回复监控地图。
步骤409,监控终端向管理服务器发送请求,查看摄像头的监控画面。
步骤410,管理服务器判断用户权限是否可以查看该摄像头的监控画面,若是,则执行步骤411及其后续步骤,否则管理服务器向用户发出告警,或者将当前的越权查看行为记录到管理服务器的本地日志信息中。
本步骤中,根据步骤401和402中配置的用户对于各个摄像头监控画面的访问权限,判断该用户是否有权访问该摄像头的监控画面,若是,则认为用户权限具有足够的访问权限,否则认为用户不具有足够的访问权限。
步骤411,管理服务器向监控终端回复解密算法和解密密钥。
本实施例中,对应于步骤403中的操作,其加密信息为加密算法和加密密钥,则本步骤中的解密信息也为解密算法和解密密钥。
本步骤中,管理服务器对应步骤403中分配加密算法的方法,在管理服务器中加解密信息和摄像头的对应信息表中,查找到对应摄像头的对应加密算法的解密算法和解密密钥发送给监控终端。
步骤412~414,监控终端向IP网络接收机/路由器发送IGMP请求消息,IP网络交换机/路由器向监控终端发送视频组播流,监控终端利用接收到的解密算法和解密密钥对加密后的视频组播流解密并查看。
至此,对视频组播流进行权限设置和管理的过程结束。可以看出,与图2所示的方法相比,本实施例中,在用户登录到管理服务器后,增加了一个判断操作,判断登录用户是否为合法用户,若是,则为其回复一个监控地图,以便选择某个摄像头进行监控画面浏览,否则中止此次流程,不允许该用户请求查看任何摄像头。这样,进一步增强了安全性。
当用户查看完监控画面后,如果想将视频组播流保存到本地硬盘,则可以向管理服务器提出保存申请,管理服务器根据用户的权限批准该保存申请后,监控终端就可以将视频组播流加密后保存到本地硬盘,该加密算法可以和该组播流原来的加密算法一致,或者采用新的加密算法,后者的安全级别更高一些。这样就能够保证视频组播流的信息安全,防止被没有权限的用户在本地调阅。
在本实施例中是假定对同一组播源的不同组播流使用相同的加密信息进行加密。实际上,对于同一组播源的不同组播流也可以使用不同的加密信息进行加密,如以时间为限,不同时间段的组播流采用不同的加密信息。只要各个组播流的加解密信息在管理服务器中进行相对应的保存即可。这样,用户登录请求查看某组播流时,管理服务器可以向用户发送与请求查看的组播流对应的解密信息。
图5为基于本发明中管理服务器的组播流权限管理系统的具体结构图。由于本实施例是以监控系统为例,因此图5即为监控系统的结构图。
如图5所示,该系统包括管理服务器500、摄像头510、监控终端520和IP网络交换机/路由器130。其中,管理服务器500即为本发明的实现组播流权限管理的管理服务器的具体实施方式
,它包括组播源接口模块501,终端接口模块502、数据库模块503、中央处理模块504和加密算法分配模块505。摄像头510中包括视频编码器,能够完成视频编码功能。
在该系统中,管理服务器500中的数据库模块503,存储中央处理模块504配置的用户的访问权限,包括用户的级别和用户管辖的范围等。摄像头510向组播源接口模块501发送注册信息,组播源接口模块501将该注册信息记录到数据库模块503中。
数据库模块503和加密算法分配模块505分别为摄像头510分配组播地址和加密算法及加密密钥,并通过组播源接口模块501发送给摄像头510。摄像头510接收到加密算法和加密密钥后对视频组播流进行加密和编码,并发送至IP网络交换机/路由器130。
当有用户登录到管理服务器500上要求查看摄像头510监控的画面时,即用户通过监控终端520向管理服务器500中的终端接口模块502发送登录信息,终端接口模块502将该登录信息转发给中央处理模块504,中央处理模块504根据接收到的登录信息在数据库模块503中查找该用户的信息,查询该用户的访问权限是否允许查看该摄像头510的监控画面,并将查询结果发送给终端接口模块510。
当该用户权限符合要求时,则向监控终端发送该摄像头的解密算法和解密密钥,否则将当前的越权查看行为记录到数据库模块503中的本地日志信息中。监控终端520接收摄像头510的解密算法和解密密钥,向IP网络交换机/路由器130发送携带有组播地址的IGMP请求消息,并利用接收到的解密算法和解密密钥对接收到的加密后视频组播流进行解密并查看。
在上述实施例中,组播源的加解密算法和加解密密钥均是由管理服务器来产生的,再通知给组播源和监控终端。当然,如果组播源的处理能力允许的话,可以自身产生加解密算法和加解密密钥,再通知给管理服务器,采用这种方式的时候,管理服务器中就不存在加密算法分配模块了。
下面举例说明上述的组播流权限管理方法和基于管理服务器的组播流权限管理系统。
在本例中,假定在管理服务器中为三个用户开户,分别为A、B、C,三个用户的权限信息如表1所示。
表1该系统中,共有三个摄像头,分别是a、b、c。三个摄像头上电后,到管理服务器注册信息,管理服务器记录三个摄像头的位置和可以查看的用户等级信息,并为三个摄像头分配了加密算法和加密密钥,同时记录相应的解密算法和解密密钥如表2所示。
表1和表2中的信息均在管理服务器中的数据库模块中记载。三个摄像头接收到分配的加密算法和加密密钥后,即对各自的视频组播流进行加密后发送到IP网络交换机/路由器上。
当用户A通过某个监控终端登录到管理服务器上,要求查看摄像头a的监控画面时,管理服务器根据数据库模块中记录的用户A的访问权限判定,用户A可以查看摄像头a的监控画面,即向监控终端返回该摄像头的解
表2密算法和解密密钥X和摄像头a的组播地址;监控终端即向IP网络交换机/路由器发送携带有摄像头a的组播地址的IGMP请求消息,IP网络交换机/路由器将加密后的摄像头a的监控画面视频流发送给监控终端,监控终端利用解密算法和解密密钥对该视频流进行解密后,即可供用户A查看。当用户B通过监控终端登录到管理服务器上,要求查看摄像头a的监控画面时,管理服务器根据数据库模块中记录的用户B的访问权限判定,用户B无权查看摄像头a的监控画面,即向监控终端返回拒绝查看的消息;这样,用户B没有接收到解密算法和解密密钥,即使它知道摄像头a的组播地址,接收到IP网络交换机/路由器发送的加密后的视频流,但无法对其进行解密,也就无法查看到监控画面,管理服务器还可以将用户B的这一越权查看行为记录到数据库模块中的本地日志信息中或发出电光报警。而当用户B要查看摄像头b和摄像头c的监控画面时,就能够通过权限认证并查看到监控画面。同理,用户C只能查看摄像头c的监控画面。
若有一个用户D登录到管理服务器上,要求查看任一摄像头的监控画面,管理服务器在数据库中未查找到该用户信息,则认为其为非法用户,向其发送拒绝查看消息。
由上述可见,在本发明中,组播源利用与管理服务器协商好的加密信息对组播流进行加密后发送至网络中,当用户登录管理服务器要求查看某个组播源发送的某个组播流时,管理服务器就根据记录的该用户的权限信息,确定是否告知用户组播流的解密算法和解密密钥。这样,接收到解密信息的用户才能对加密后的组播流进行解密并查看,对于未接收到解密算法和解密密钥的用户即使接收到加密后的组播流,也不能查看其内容。实现了对组播流的加密,以及查看组播流用户的权限管理,增强了组播流的安全性。
本发明对IP网络交换机/路由器不作任何特殊要求,通过对组播媒体流的严格加密,和管理服务器的统一权限管理,实现监控信息的安全查阅。使用该技术方案既可以防止越权查看敏感监控场所,也可以防止非法用户利用组播地址非法窥视监控场所,保证信息安全,显著提高了基于IP架构的监控系统的可靠性。
上面的实施例和示例均是以视频监控系统中视频组播流的权限管理为例进行描述的。实际上,对于其他组播技术的应用领域,只要其组网结构中包含各个必要的网络实体,具备要求的处理能力,均可以应用本发明,如IPTV领域或其他音频监控领域等。
本发明具有配置灵活、简单,可扩展性好等优点,大大降低大规模部署的复杂度和维护工作量。
以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种组播流的权限管理方法,其特征在于,该方法包括a、管理服务器为用户配置访问权限,并确定组播流对应的加密信息;b、组播源利用加密信息对组播流加密,并将加密后的组播流发送至网络;c、当用户请求查看组播流时,管理服务器在用户具有足够的访问权限的情况下,向用户发送与该组播流的加密信息对应的解密信息。
2.根据权利要求1所述的方法,其特征在于,所述步骤a中进一步包括组播源向管理服务器注册;管理服务器为组播源配置注册信息或设置组播源的安全级别信息;管理服务器根据组播源的注册信息或安全级别信息,记录该组播源的位置和可以查看该组播源播放的组播流的用户访问权限。
3.根据权利要求1所述的方法,其特征在于,步骤a中所述确定组播流对应的加密信息为组播源产生加密信息,并通知管理服务器,管理服务器记录相应的解密信息;或者,管理服务器为组播流分配加密信息,管理服务器记录相应的解密信息。
4.根据权利要求1所述的方法,其特征在于,步骤c中所述当用户请求查看组播流时,进一步包括管理服务器根据用户的登录信息,判断该用户是否为合法用户,若是,则管理服务器向用户返回登录成功信息,并继续执行所述管理服务器在用户具有足够的访问权限的情况下,向用户发送与该组播流的加密信息对应的解密信息的操作,否则管理服务器向用户返回登录失败信息,并不允许用户查看任何组播源的组播流。
5.根据权利要求4所述的方法,其特征在于,当管理服务器确定登录用户为合法用户时,进一步包括在管理服务器返回登录成功信息的同时或之后,向用户回复最新的组播源地图。
6.根据权利要求1所述的方法,其特征在于,在步骤c后进一步包括用户在指定的组播地址上接收加密后的组播流进行解密并查看。
7.根据权利要求6所述的方法,其特征在于,所述用户在指定的组播地址上接收加密后的组播流进行解密并查看为用户向网络发送携带组播地址的因特网组播管理协议IGMP请求消息,申请加入对应组播源所在的组播组;接收该组播源加密过的组播流,利用接收到的解密信息对加密后的组播流进行解密,然后查看该解密后的组播流。
8.根据权利要求1所述的方法,其特征在于,步骤c中所述用户请求查看组播流时,该方法进一步包括若用户不具有足够的访问权限,管理服务器向用户发出告警,或者将当前的越权查看行为记录到管理服务器的本地日志信息中,并结束本权限管理流程。
9.根据权利要求1所述的方法,其特征在于,在步骤c后进一步包括用户将查看的组播流保存到本地硬盘。
10.根据权利要求1至9任意一项所述的方法,其特征在于,所述加密信息为加密密钥和加密算法,所述解密信息为解密密钥和解密算法。
11.一种实现组播流权限管理的管理服务器,其特征在于,所述管理服务器,为用户配置访问权限,当用户请求查看某个组播源的组播流时,在用户具有足够的访问权限的情况下,向监控终端发送解密信息。
12.根据权利要求11所述的管理服务器,其特征在于,所述管理服务器包括组播源接口模块,终端接口模块、中央处理模块和数据库模块;所述组播源接口模块,用于与所述各个组播源交互组播流的加密信息,并记录到所述数据库模块中;所述终端接口模块,接收所述监控终端发送的用户登录信息,并将其转发给所述中央处理模块,在用户访问权限符合要求的情况下,向所述监控终端发送要求查看的组播流的解密信息;所述中央处理模块,接收所述终端接口模块发送的用户登录信息和要查看的组播流信息,在所述数据库模块中查找该用户登录信息对应的用户的访问权限,确定是否可以查看要求的组播流,并将访问权限查询结果返回给所述终端接口模块,为用户在所述数据库模块中配置其用户信息和用户对于各个组播流的访问权限;所述数据库模块,记录用户信息和用户对于各个组播流的访问权限。
13.根据权利要求12所述的管理服务器,其特征在于,所述管理服务器进一步包括加密信息分配模块;所述加密信息分配模块,根据所述数据库中记录的组播源的安全级别信息,为组播源分配加密信息,并将该加密信息发送给所述组播源接口模块;所述组播源接口模块,进一步用于将接收到的组播源的加密信息转发给所述组播源。
14.根据权利要求12所述的管理服务器,其特征在于,所述组播源接口模块,进一步用于接收所述各个组播源发送的组播源解密信息,并记录到所述数据库模块;所述组播源,用于产生加密信息,并将对应的解密信息发送给所述组播源接口模块。
15.根据权利要求11或14所述的管理服务器,其特征在于,所述组播源,用于利用确定的加密信息为组播流加密,并将加密后的组播流发送至IP网络交换机/路由器;所述监控终端,用于为用户提供登录所述管理服务器的媒介,接收所述管理服务器发送的解密信息,并向所述IP网络交换机/路由器发送携带有组播地址的IGMP请求消息,并对接收到的加密后组播流进行解密;所述IP网络交换机/路由器,用于接收所述监控终端发送的IGMP请求消息,复制并转发加密后的组播流。
全文摘要
本发明公开了一种组播流的权限管理方法,该方法包括a.管理服务器为用户配置访问权限,并确定组播流对应的加密信息;b.组播源利用加密信息对组播流加密,并将加密后的组播流发送至网络上;c.当用户请求查看某个组播流时,管理服务器在用户具有足够的访问权限的情况下,向用户发送与该组播流的加密信息对应的解密信息。本发明还公开了一种实现组播流权限管理的管理服务器,利用它来实现对组播流的权限管理。
文档编号H04L9/00GK1917451SQ20061012712
公开日2007年2月21日 申请日期2006年9月5日 优先权日2006年9月5日
发明者赵钢, 周迪, 王杨 申请人:杭州华为三康技术有限公司