WO2009046622A1

WO2009046622A1 - Procédé et appareil de commande de paquets ip multidiffusion dans un réseau d'accès

Info

Publication number: WO2009046622A1
Application number: PCT/CN2008/001624
Authority: WO
Inventors: Chunyan Yao; Haibo Wen; Jun Zheng; Fanxiang Bin
Original assignee: Alcatel Lucent SAS
Current assignee: Alcatel Lucent SAS
Priority date: 2007-09-26
Filing date: 2008-09-19
Publication date: 2009-04-16
Anticipated expiration: 2010-03-26
Also published as: KR101503677B1; CN101399717A; KR20100087124A; US8923181B2; EP2197161A4; CN101399717B; EP2197161B1; US20100290463A1; EP2197161A1

Description

接入网中的组播 IP包发送控制方法及装置技术领域

本发明涉及接入网中的 IP包传输领域，尤其涉及组播源为用户终端的组播 IP包的上行传输控制。背景技术

在现有的移动通信中，各移动代理（Mobile Agent, 如，边缘路由器）在各自所处的子网内广播 "代理公告" （ Agent Advertisement, AA ) , 从而将 FACOA ( Foreign Agent Care-of-Address, 由移动代理分配并对应于该移动代理的一种转交地址）告知处于该子网内的各个用户终端，以支持必要的业务切换。但是，由于用户终端可能在进行业务传输的过程中由其所归属的子网（以下简称归属子网）移动到另一子网（以下称为外地子网）之中，如果被动地等待广播的 AA, 很可能由于等待时间过长而导致业务中断。

为此，用户终端通过主动发送代理请求消息（ AS ,其为一种 ICMP 路由器发现消息）来请求其当前所在的子网中的移动代理（对于该用户终端而言，其归属子网内的移动代理称为归属代理，简写为 HA; 而一外地子网中的移动代理称为外地代理，简写为 FA )发送 AA。并且，用户终端通过发送注册请求消息（RRQ，其为一种移动 IP控制消息）来向其归属代理注册其所使用的转交地址（FACOA 或 COCOA)和用户终端的永久地址 (如， HOA)之间的对应关系。这样，对端节点在与该用户终端通信时，将 IP 包先发送到该用户终端的 HA, 再由该 HA通过网络层隧道技术（如，基于 IP协议将该 IP包进行封装）将该 IP包发给相应的 FA，接到该 IP包后， FA对其进行相应的解封装，并根据该 IP包内所携带的用户终端的地址，最终转发给用户终端。

—个子网通常包括多个移动代理，而当用户终端不知道其当前所处的子网中任一个 FA的单播地址时，以单播包形式发送 AS就不可行。为此，现有技术中为一个子网中的所有移动代理分配了一个特定的組播地址，当用户终端移动到任意一个子网时，只要其发出的 AS中带有该组播地址，接入设备即能识别出其需发往该子网中的所有移动代理。

随着固定、移动网络融合的进一步深入，移动 IPv4业务将会部署在固定接入网络中，然而，由于运营商从经济和安全的角度考虑而禁止固定接入网中的用户终端发送组播 IP 包，因此，以 DSLAM 为例的接入设备会丢弃所有组播源为用户终端的 IP包，这样，当用户终端以组播 IP包的形式发送 AS时，该请求消息将无法到达其所处子网中的任一个移动代理，也就不能及时触发 AA 的发送，可能将导致业务的中断。同样，用户终端以组播 IP包的形式发送的 RRQ 也同样不能到达任一个移动代理，也就无法及时完成注册。发明内容

鉴于现有技术存在上述问题，本发明通过对通信网絡中的接入设备进行改进，使其在接收到来自用户终端的组播 IP包后，对其进行判断和选，允许符合条件的组播 IP包通过，譬如，仅允许公告请求消息和注册请求消息的通过，使用户终端能够及时地接收到所在网络的转交地址并进行注册，保持业务的无中断的连接。

根据本发明的第一方面，提供了一种在接入网的接入设备处用于对来自用户终端的 IP包进行控制的方法，其中，包括以下步骤，接收来自用户终端的 IP包；对所述 IP包进行检测，判断该 IP包是否为允许接入的组播 IP包。

根据本发明的第二方面，提供了一种在接入网的接入设备处用于对来自用户终端的 IP包进行控制的控制装置，其中包括：接收装置，用于接收来自用户终端的 IP包；第一判断装置，用于对所述 IP 包进行检测，判断该 IP包是否为允许接入的组播 IP包；组播发送装置，用于将所述的允许接入的组播 IP包以组播方式进行发送。

采用本发明提供的技术方案，接入设备将允许合法的组播 IP包 (如，公告请求消息和注册请求消息）通过，优选地，对利用某些组播 IP包所进行的恶意攻击进行判断并且做拦截处理，保证了 DSL 接入设备对移动 IPv4的支持，使一个用户终端在不同的子网中移动时其业务不会中断。附图说明

通过参照附图阅读以下所作的对非限制性实施例的详细描述，本发明的其它特征、目的和优点将会变得更明显。

图 1为一个采用 DSL接入技术的通信网络示意图；

图 2为根据本发明的一个具体实施方式的在图 1 所示通信网絡中用于组播 IP包发送控制的系统方法流程图；

图 3 为根据本发明的一个具体实施方式的在接入网的接入设备处用于对来自用户终端的 IP包进行控制的方法流程图；

图 4 为根据本发明的一个具体实施方式的在接入网的接入设备处用于对来自用户终端的 IP包进行控制的控制装置的框图。

其中，相同或相似的附图标记代表相同或相似的装置（模块）或步骤。具体实施方式

下面结合图 1、图 2并以基于 IP协议的通信网络为例从系统角度对本发明进行描述，本领域技术人员理解，本发明应不限于基于 IP协议的通信网络。

为方便描述，对本文中出现的概念筒要介绍如下：

对端节点：两个正在通信的用户终端互为对方的对端节点。用户终端的永久地址：由运营商分配给各个用户终端的具有全局唯一性的网絡地址，在通信时，一个用户终端所发出的 IP包的目的地址也即其对端节点的永久地址。

转交地址：一个用户终端移动到外地子网后，为使其归属代理能够准确地转发来自其对端节点的 IP包，该用户终端需要将其当前所用的转交地址在其归属代理处进行注册，注册之后，发往该用户终端的 IP包将在所述归属代理处进行封装，所加的 IP包头中的目的地址即为所述转交地址。

假设用户终端 a、 b均归属于子网 A, 且用户终端 a位于子网 A 中，而用户终端 b移动至另一子网 B中。图 1 中，为简明起见，图中未示出作为用户终端 a或 b的对端节点 c与网关之间的网络设备和相关链路，而以虛线代替，本领域技术人员理解上述省略不对本发明产生任何影响。

本发明中，用户终端可通过以下方式之一判断出其是否由一个子网移动到另一子网中：

判断方式 1 :用户终端通过 AA的生存时间来进行判断。具体地，用户终端记录前次从各个移动代理处接收到 AA 后所分别经历的时间，如果直到一个 AA 的生存时间过期，用户终端仍没有接收到来自同一个代理的另一个 AA,用户终端将认定其与该移动代理失去联系，也即离开了该移动代理所在的子网。

判断方式 2: 用户终端利用 AA消息中源地址的网络前缀来进行判断，此方式适用于 AA消息中带有"前缀长度扩展" （ Prefix-Lengths Extension ) 的情形。具体地，用户终端接收到一个移动代理发出的 AA后，将该 AA的源地址网络前缀来与此前接收到的 AA的源地址网络前缀进行比较，如果不同（通常，一个子网中的各个移动代理有相同的网络前缀，而不同子网中的移动代理的网络前缀不同），则判断该用户终端已由前一子网移动到了另一子网。

基于上述判断方式，用户终端 a得以确定自身仍处于归属子网 (子网 A ) 中，而用户终端 b则确定自身移动到了一个外地子网中。

对于用户终端 a，由于其未移至外地子网，因此，只需固网中一般的 IP路由协议运作，即用户终端 a所发出的 IP包将经由 DSLAM1 发送至归属代理（HA, 如图 1中的移动代理 I ) , 再由归属代理根据路由协议将该 IP包转发给对端节点 c。

由于用户终端 b 移动到了一个外地子网，为进行业务切换，其需要通过 DHCP (动态主机配置协议）服务器或者所述外地子网中的 AA来获取一个转发地址，以向其归属代理（HA, 如图 1 中的移动代理 I ) 进行注册。针对不同的转交地址对本发明讨论如下：

> 转交地址为 COCOA ( Co-located COA, 配置转交地址） - 用户终端 b请求 DHCP服务器为其分配一个 COCOA, 获得 COCOA后，用户终端 b可直接向移动代理 I发送 RRQ消息进行注册，于是，移动代理 I 处将生成用户终端 b 的永久地址与其当前 COCOA的映射关系。此后，当对端节点 c发来的 IP包到达移动代理 I后，移动代理 I将根据该 IP包所含的目的地址（即用户终端 b 的永久地址，如 162.105.203.16 )来由注册信息中查得用户终端 b的 COCOA。于是，在基于网络层隧道技术对该 IP包进行封装后，将得到以该 COCOA为目的地址的新的 IP包。此后，所述新的 IP 包将被发往该 COCOA所指示的网络设备。

- 用户终端 b请求 DHCP服务器为其分配一个 COCOA, 获取 COCOA后，用户终端 b又在子网 b的外地代理（FA,如图 1 中所示的移动代理 II或移动代理 III或移动代理 IV ) 处收到了 AA消息，且 AA消息中的 "R" ( Registration Required 需要注册，表示即使使用了 COCOA地址，仍需要向该移动代理注册）比特置位，则表示仍需要通过该移动代理 Π(或 III或 IV) 向其 ΗΑ (移动代理 I ) 进行注册。

> 转交地址为 FACOA 网 Β中的移动代理处获得 FACOA, 以向移动代理 I进行注册。具体如下：

如果用户终端 b此前接收到的来自移动代理 I的 AA的生存期已过期且未接收到来自子网 B中任一移动代理的 AA,用户终端 b需要发现可以注册的移动代理，进入步骤 A:

在步骤 A中，用户终端 b通过发送代理请求消息（AS ) 来向其当前所在的子网中的所有移动代理（11、 III、 IV )请求发送 AA, 以获得 FACOA。该 AS的 IP源地址有以下情形：

- 若移动终端 b已获得 COCOA而仍发送 AS，则所述 IP源地址为该 COCOA;

- 若移动终端 b未获得 COCOA, 则所述 IP源地址为移动终端 b 的永久地址；

- 移动终端 b未获得 COCOA且没有永久地址时，所述 IP源地址为 0.0.0.0。

由于移动终端 b不知道移动终端 II、 III、 IV中任一者的单播地址，因此，该 AS消息的目的地址为能够指向子网 B 中所有移动代理的统一组播地址（例如， 224.0.0.1 1 ) , 此外，也可以是单播地址。

根据本发明，当 DSLAM2接收到用户终端发来的 IP包后，并非简单地允许通过，而需执行以下操作：

对接收到的 IP包进行甄别，以确定该 IP包为单播 IP包还是组播 IP包。如果接收到用户终端发来的单播 IP包，则直接允许通过，而如果接收到的 IP包为组播 IP包，则需要对其进行选择性过滤，所依赖的策略包括但不限于以下方式：

(一 ) 根据組播 IP包的组播地址进行 IP包的过滤

具体地，访问网络中的接入设备（如图 1 中的 DSLAM2 ) 处预先或动态地配置有合法组播地址列表，当接收到来自用户终端的组播 IP包后， DSLAM2由其中解析出组播地址，并与所述合法组播地址列表进行比对，如果该 IP包的组播地址位于该合法组播地址列表中，则说明该组播地址属于合法的组播地址， DSLAM2将允许该组播 IP包通过，并将其转发至该组播地址。如果 DSLAM2在所述组播地址列表中找不到该组播 IP包的組播地址，则丢弃该组播 IP包。

上述根据组播 I P包的组播地址进行过滤的方式适用于包括无线接入网中的基站、固定接入网中的 DSLAM等各种接入设备。

特别地，针对 DSLAM, 本发明提供如下优选方案：

在 DSLAM2处配置多个合法组播地址列表，每个合法组播地址列表对应于 DSLAM2 的一个或多个用户侧端口，当用户终端经由 DSLAM2的一个用户侧端口发来组播 IP包后， DSLAM2在与该用户侧端口相对应的合法组播地址列表中查找，仅当将该组播 IP包的組播地址存在于所述合法组播地址列表中时， DSLAM2 才允许该组播 IP包通过。否则，丢弃该组播 IP包。

由于 AS、 RRQ均发往对应于该子网内所有移动代理的统一的组播地址（例如， 224.0.0.11 ) , 因此，在本例中，在 DSLAM2处将对应于该子网内所有移动代理的统一的组播地址（例如， 224.0.0.11 ) 作为合法组播地址即可使以组播形式发送的 AS和 RRQ顺利通过。

除 AS、 RRQ外，若还需允许发往其它组播地址的组播 IP包（譬如，承载上行组播业务的组播业务 IP包）通过，可在 DSLAM2处将相应的组播地址配置为合法组播地址。

(二）根据组播 IP包的类型进行 IP包的过滤

以移动 IPv4协议为例， IP 包的包头部分的协议域的值指示 IP 包所承载的协议类型，譬如，当 IPv4包协议域值为 17,指示 IPv4包头承载的是 UDP报文，当 UDP包头中的目的端口域值为 434时，表示为 RRQ消息

于是，可在 DSLAM2处配置允许通过的组播 IP包类型列表，并在来自用户侧的组播 IP包到来后，对其协议域进行检测（如，获取包头中的标识信息），再与所述类型列表进行比对，以确定是否允许该组播 IP包通过。

本例中，如果单独根据组播 IP包协议域来执行上述过滤，为使得 AS和 RRQ能够顺利通过而阻隔其它来自用户侧的组播 IP包，可在 DSLAM2处配置仅允许 AS、 RRQ通过，如，在接到来自用户侧的组播 IP包时，对其包头进行解析，具体说明如下：

- AS消息通常按照以下形式封装： IPv4+ICMP+AS , 即 ICMP消息被封装在 IPv4包中，而 AS消息是多种 ICMP消息中的一种。具体地：当 IPv4包头的协议域值为 1时，指示该 IPv4包数据部分包含 ICMP消息，当 ICMP消息中的 type域为 10且 code域为 0时，指示 ICMP消息是 AS消息；

- RRQ消息通常按照以下形式封装： IP V4+UDP+RRQ , 即， UDP 报文被封装在 IPv4包中， UDP头后面紧跟着移动 IPv4控制消息，当这个控制消息的 type域为 1时，表示是 RRQ消息。具体地，当 IPv4 包头的协议域值为 17时，指示数据部分包含 UDP包，当 UDP包头中的端口号为 434且移动 IPv4控制消息的 type域为 1时，即可判断出为 RRQ消息。

当判断出到来的组播 IP包为 AS消息或者 RRQ消息时， DSLAM2 即允许该组播 IP包通过，否则，将其丢弃。

在一个变化的实施例中， DSLAM2可以不必具体地判断出该 IP 包是 AS或 RRQ消息，而是根据 IP包中的一些字段（或者称为域）值来判断是否允许该 IP包通过，例如，当 DSLAM2发现 IPv4的包头的协议域值为 17或者发现 IPv4的包头的协议域值为 17且 UDP 包头的端口号为 434时，即可判断为允许通过的 IP包；或者当发现 IPv4包头的协议域值为 1时，或者当发现 IPv4包头的协议域值为 1 且 ICMP消息中的 type域为 10即可判断为允许通过的 IP包。这样的限制条件比判断出具体为 AS或 RRQ消息的限制条件少，可能会使一些满足上述条件的非 AS且非 RRQ的消息通过，但是仍在系统的容错范围内，且极大地降低了系统实现的复杂度。此外，可以结合下文所述的一个优选实施例，即 DSLAM2根据特定类型的组播 IP 包的发送频率来防御恶意用户的攻击一起使用。

本领域技术人员理解，上述两种 IP包的过滤方式可联合使用，即根据组播 IP 包的组播地址和类型进行 IP 包的过滤。譬如，仅当 IPv4包头协议域值为 17或 UDP头中端口号为 434或 UDP包中包含 RRQ消息时，或当 IPv4包头协议域值为 1或 ICMP消息的 type域为 10或 code域为 0时，如果该组播 IP包的组播地址为对应于该子网内所有移动代理的统一的组播地址（例如， 224.0.0.11 ) , 则允许该组播 IP包通过，否则，将该组播 IP包丟弃。不再赘述。

根据本发明的一个优选实施例， DSLAM2 根据特定类型的组播 IP包的发送频率来防御恶意用户的攻击，以 AS消息为例说明如下：本领域技术人员理解， DSLAM的一个用户侧端口经由物理链路连接到一个用户网络。基于此， DSLAM2 可以检测在预定时间长度内经由用户侧端口 i (连向用户终端 b此时所处的用户网络）接收到的 AS消息的个数，在该预定时间长度内接收到的 AS消息个数超过一个第二预定阔值时，在该预定时间长度内拒绝此后的来自该端口的 AS消息的接入。

对于 DSLAM 或无线网络中的接入设备如基站等，还可以检测某一个用户终端在另一预定时间长度内发来的 AS消息的个数，当在该另一预定时间长度内接收到的来自该用户终端的 AS 消息个数超出第一预定阈值后，在该另一预定时间长度内拒绝此后的来自该用户终端的 AS消息的接入。

所述预定时间和另一预定时间以及第一、第二预定阈值可以人为地基于经验数据或运营商的需求来确定，这里本领域的技术人员应能理解，在此不做赘述。

当判定用户终端 b发来的 AS消息合法后， DSLAM2在步骤 B 中允许其通过，并将其发往该子网内的各移动代理。

各个移动代理在接收到 AS后，该方法进入步骤 C,移动代理 II、 III、 IV中的其中至少一个发送 AA消息作为应答。例如，用户终端 b通过与认证服务器交互信息获得认证 ,则认证服务器允许用户终端 b进入移动代理 II、 III、 IV所在的子网，并且认证服务器为用户终端 b配置一个移动代理作为用户终端 b的外地代理，例如，移动代理 II, 则移动代理 II发送 AA消息作为应答。当然，选择接收到 AS 消息的移动代理中的哪一个或哪多个移动代理向用户终端 b发送 AA 消息的规则不限于此，此处仅为一个示例。

在步骤 D中，用户终端 b发送 RRQ消息至 DSLAM2。基于上文中所作说明，本领域技术人员能够理解，如果该 RRQ消息以组播方式发送， DSLAM2处将基于本发明对其进行相应的检查，以确定是否允许通过。 DSLAM对 RRQ消息的检测过程与上述对 AS的检测过程除了 IP包封装格式不同，其他均相同，在此不再赘述。

以下对移动 IPv4中的注册方式作简要说明，并请参照 RFC1256 以及 RFC3344 协议（ htto：〃 www.ietf.orci/rfc/rfc1256.txt: http://www.ietf.orq/rfc/rfc3344.txt , 在此引用作为参考），其中， RFC3344定义了 2种不同的注册程序，其一是用户终端经由外地代理来向其归属代理进行注册（用户终端将 RRQ消息发给外地代理，由外地代理转发至归属代理）；其二是直接由用户终端向其归属代理进行注册（用户终端直接将 RRQ消息发送至其归属代理）。系统可以基于以下规则来确定对一个用户终端应用何种注册方式：

- 如有一个用户终端需要向其归属代理注册外地代理所分配的

FACOA, 则该用户终端要经由该外地代理注册；

- 如果一个用户终端使用 COCOA 向其归属代理进行注册，并且，该用户终端由其当前所在子网中的一个外地代理处接收到了 AA 消息，且该 AA消息中的 R比特置位，则该用户终端应通过该外地代理（或者其当前所在子网中的其他外地代理）来注册；

- 如果用户终端返回到其所归属子网，并且需要向其归属代理重新进行注册，则该用户终端必须直接向其归属代理注册。以下结合图 1简要介绍注册完成后的业务数据转发过程。

注册完成后，对端节点 c发往用户终端 b的 IP包将先到达归属代理（HA, 如图 1 中的移动代理 I ) ，此后，归属代理再基于网络层隧道技术（IP-in-IP )转发该 IP包。所述网络层隧道的入口是归属代理，而出口有 2 种情形：当用户终端 b 直接向归属代理注册其 COCOA时，该网络层隧道的出口为用户终端 b; 当用户终端 b经由子网 B 中的某一外地代理间接向归属代理注册时，该网络层隧道的出口为该外地代理。

以下，参照图 3并结合图 1对根据本发明第一方面的在接入网的接入设备处用于对来自用户终端的 IP 包进行控制的方法进行描述，其中，图 2及其相关描述在此一并作为参考。在步骤 S10中，接入设备（ DSLAM2 )接收来自用户终端 b的 IP包。该 IP包可能是组播 IP包，也可能是单播 IP包。

此后， DSLAM2需要对该 IP包进行分析，以确定是否允许其通过，具体地，在步骤 S11中， DSLAM2判断该 IP包是否为允许接入的组播 IP包。当然，如果 IP包为单播 IP包，则可允许接入；如果其为组播 IP包，则在满足以下两种情况的任一项或任多项时，可允许其接入，并以组播 IP包的形式将其转发：

i )所述组播 IP包的目的组播地址属于预先设定的合法的组播地址。本例中， DSLAM2 中维护了一张组播访问控制列表（ Multicast Access Control List, MACL ) ，如果该组播 IP包的目的组播地址即为 MACL 中预存的地址（例如，对应于该子网内所有移动代理的统一组播地址（例如， 224.0.0.11 ) ) ，则当默认 DSLAM2被发往该组播地址的组播 IP包攻击的概率很低时，可以允许所有发往该地址的组播 IP包接入。

ii ) 所述组播 IP包为预定类型的组播 IP包，如，以组播方式发送的代理请求消息或注册请求消息等。则当默认上述类型的组播消息均发往对应子网内所有外地代理的统一的组播地址（例如， 224.0.0.11 ) 时，可无需再针对组播地址进行筛选，而仅在识别出该 IP包的类型后，即对其进行组播或将其丢弃。

本领域技术人员可以根据本申请文件的教导不经创造性劳动地知晓将 i)、 ii ) 联合用于組播 IP包接入控制的情形，不再赘述。

根据本发明的一个优选实施例，为了防止恶意用户利用組播消息进行攻击的情形，在步骤 S11 中，在允许组播 IP包接入之前，还需要进一步判断，分为 2种情形，讨论如下：

- 当所接收的来自一个用户设备的 IP包为预定类型的组播 IP包时，判断由该用户设备在第一预定周期内所发送的该预定类型的组播 IP包的次数是否超过第一预定数值；当由该用户设备在第一预定周期内所发送的该预定类型的组播 IP包的次数未超过第一预定数值时，将该 IP包作为允许接入的组播 IP包。所迷周期可以长至无限长，可以短至一个时间单位（小时 /分 /秒）。

- 当所述接入网为固定接入网，则当由一个用户侧端口所接收的 IP包为预定类型的组播 IP包时，判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP包的次数是否超过第二预定数值；当由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP包的次数未超过第二预定数值时，将该 IP包作为允许接入的组播 IP包。

所述第一、第二预定周期以及第一、第二预定数值可以人为地基于经验数据或运营商的需求来确定，这是本领域的技术人员应能理解的，在此不做赘述。

如果判断出用户终端发来的 IP包为允许接入的组播 IP包，则进入步骤 S12，并在其中将该组播 IP包以组播形式发送出去。

如果判断出该 IP包为不允许接入的組播 IP包，则进入步骤 S 12，，并在其中将该组播 IP包丢弃。

如果该 IP包为单播 IP包，则 DSLAM2将在步驟 S12"中将该单播 IP包转发。以下，参照图 4并结合图 1对根据本发明第二方面的在接入网的接入设备处用于对来自用户终端的 IP包进行控制的控制装置的各个具体实施例进行详细描述，其中，对图 2、图 3所作说明在此一并作为参考。图 4所示的控制装置 10位于以图 1所示 DSLAM2为例的各个接入设备中，其中，包括：接收装置 100、第一判断装置 101、发送装置 102。具体地，所述第一判断装置 101 包括：第二判断装置 1010、第三判断装置 1011、第四判断装置 1012和第五判断装置 1013。

所述接收装置 100负责接收来自用户终端 b的 IP包；该 IP包可能是组播 IP包，也可能是单播 IP包。

接入设备的第一判断装置 101对所述 IP包进行检测，判断该 IP 包是否为允许接入的组播 IP包。如果 IP包为单播 IP包，则允许接入；如果 IP包为组播 IP包，则在满足以下两种情况的任一项或任多项时，允许其接入：

i )所述组播 IP包的目的组播地址属于预先设定的合法的组播地址。本例中， DSLAM2 中维护了一张组播访问控制列表，如果该组播 IP包的目的组播地址即为 MACL中预存的地址（如，对应于该子网内所有移动代理的统一的组播地址（例如， 224.0.0.1 1 ) ) , 则当默认该 DSLAM2被发往该组播地址的组播 IP包攻击的概率很低时，可以允许所有发往该地址的组播. IP包接入。

ii ) 所述组播 IP包为预定类型的组播 IP包，如，以组播方式发送的代理请求消息或注册请求消息等。则当默认上述类型的消息均发往对应该子网内所有移动代理的统一的组播地址（例如， 224.0.0.11 ) 时，可无需再针对组播地址进行筛选，而仅在识别出该 IP包的类型后，即对其进行组播或将其丟弃。

本领域技术人员可以居本申请文件的教导不经创造性劳动地知晓将 i)、 ii )联合用于组播 IP包接入控制的情形，不再赘述。

根据本发明的一个优选实施例，为了防止恶意用户利用组播消息进行攻击，第一判断装置 101优选地还包括以下 2个子装置：

第二判断装置 1010，用于当所接收的来自一个用户设备的 IP包为预定类型的组播 IP包时，判断由该用户设备在第一预定周期内所发送的该预定类型的组播 I P包的次数是否超过第一预定数值。

第三判断装置 1011 , 用于当由该用户设备在第一预定周期内所发送的该预定类型的组播 IP包的次数未超过第一预定数值时，将该 IP包作为允许接入的组播 IP包。所述周期可以长至无限长，也可短至一个时间单位（小时 /分 /秒）。

当所述控制装置 10 位于固定接入网中的接入设备（如， DSLAM2 ) 中时，所述第一判断装置 101优选地可包括以下子装置：第四判断装置 1012,用于当由一个用户侧端口所接收的 IP包为预定类型的组播 IP包时，判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP包的次数是否超过第二预定数值。

第五判断装置 1013当由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP 包的次数未超过第二预定数值时，将该 IP 包作为允许接入的組播 IP包。

DSLAM2 中的发送装置 102 负责将被允许接入的组播 IP 包和单播 IP包分别进行发送。

以上对本发明的实施例进行了描述，但是本发明并不局限于特定的系统、设备和具体协议，本领域内技术人员可以在所附权利要求的范围内做出各种变形或修改。

Claims

权利要求书

控制的方法，包括：

a. 接收来自用户终端的 IP包；

b. 对所述 IP 包进行检测，判断该 IP包是否为允许接入的组播 IP包；

c 将所述的允许接入的組播 IP包以组播方式进行发送。

2. 根据权利要求 1所述的方法，其特征在于，所述步骤 b包括：当所述 IP 包为组播 IP 包，且满足以下各项条件中的任一项或任多项时，则将该组播 IP包作为允许接入的组播 IP包：

- 所述组播 IP包的組播地址属于预先设定的合法的组播地址； - 所述组播 IP包为预定类型的组播 IP包。

3. 根据权利要求 2所述的方法，其特征在于，所述步骤 b之后且在步骤 C之前还包括：

- 当所接收的来自一个用户设备的 IP包为预定类型的组播 IP包时，判断由该用户设备在第一预定周期内所发送的该预定类型的组播 IP包的次数是否超过第一预定数值；

- 当由该用户设备在第一预定周期内所发送的该预定类型的组播 IP包的次数未超过第一预定数值时，将该 IP包作为允许接入的组播 IP包。

4. 根据权利要求 2或 3所述的方法，其特征在于，所述接入网为固定接入网，其中，所述步骤 b之后且在步骤 c之前还包括：

- 当由一个用户侧端口所接收的 IP 包为预定类型的组播 IP 包时，判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP包的次数是否超过第二预定数值；

- 当由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP包的次数未超过第二预定数值时，将该 IP包作为允许接入的组播 IP包。

5. 根据权利要求 1至 4中任一项所述的方法，其特征在于，所述接入网为基于移动 IPv4协议的接入网，其中，所述预定类型的组播 IP包包括组播 IP控制包。

6. 根据权利要求 5所述的方法，其特征在于，所述组播 IP控制包包括移动 IP控制消息和 /或 ICMP路由器发现消息。

7. 根据权利要求 6所述的方法，其特征在于，所述移动 IP控制消息包括注册请求消息，所述 ICMP 路由器发现消息包括代理请求消息。

8.一种在接入网的接入设备处用于对来自用户终端的 IP包进行控制的控制装置，包括：

接收装置，用于接收来自用户终端的 IP包；

第一判断装置，用于对所述 IP包进行检测，判断该 IP包是否为允许接入的组播 IP包；

发送装置，用于将所述的允许接入的组播 IP包以组播方式进行发送。

9. 根据权利要求 8所述的控制装置，其特征在于，所述第一判断装置还用于，当所述 IP包为组播 IP包，满足以下各项条件中的任一项或任多项时，则将该组播 IP包作为允许接入的组播 IP包：

- 所述组播 IP包的组播地址属于预先设定的合法的组播地址；

- 所述組播 IP包为预定类型的组播 IP包。

10. 根据权利要求 9所述的控制装置，其特征在于，还包括：第二判断装置，用于当所接收的来自一个用户设备的 IP包为预定类型的组播 IP包时，判断由该用户设备在第一预定周期内所发送的该预定类型的组播 IP包的次数是否超过第一预定数值；

第三判断装置，用于当由该用户设备在第一预定周期内所发送的该预定类型的组播 IP 包的次数未超过第一预定数值时，将该 IP 包作为允许接入的组播 IP包。

1 1. 根据权利要求 9或 10所述的控制装置，其特征在于，所述接入网为固定接入网，其中，还包括：第四判断装置，用于当由一个用户侧端口所接收的 IP包为预定类型的组播 IP包时，判断由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP包的次数是否超过第二预定数值；

第五判断装置，用于当由该用户侧端口在第二预定周期内所接收的该预定类型的组播 IP包的次数未超过第二预定数值时，将该 IP 包作为允许接入的组播 IP包。

12. 根据权利要求 8至 11中任一项所述的控制装置，其特征在于，所述接入网为基于移动 IPv4协议的接入网，其中，所述预定类型的组播 IP包包括组播 IP控制包。

13. 根据权利要求 12所述的控制装置，其特征在于，所述组播

IP控制包包括移动 IP控制消息和 /或 ICMP路由器发现消息。

14.根据权利要求 13 所述的控制装置，其特征在于，所述移动

IP控制消息包括注册请求消息，所述 ICMP路由器发现消息包括代理请求消息。

15. —种在接入网中的接入设备，其特征在于，包括根据权利要求 8至 14中任一项所述的用于对来自用户终端的 IP包进行控制的控制装置。