认证方法、装置、系统和非易失性计算机可读存储介质

技术领域

本公开涉及通信技术领域，特别涉及一种认证方法、认证装置、认证系统和非易失性计算机可读存储介质。

背景技术

当前，跨自治域的组播场景的每个自治域都有单独的控制器，即为每个自治域配备单域控制器。

在相关技术中，当组播源和接入者不在同一个自治域时，需要这两个自治域的控制器进行认证信息交互，并需要将认证信息广播给其他所有与其建立连接的单域控制器。

发明内容

本公开的发明人发现上述相关技术中存在如下问题：控制器之间需要进行full-mesh(全互联模式)连接，导致扩展性较差，且由于单域控制器并不知道组播源位于哪个自治域，所以它需要将认证信息广播给其他所有与其建立连接的单域控制器，过程非常繁琐。

鉴于此，本公开提出了一种认证技术方案，能够提高扩展性并简化认证过程。

根据本公开的一些实施例，提供了一种认证方法，包括：统一控制器根据第一自治域的第一控制器上报的认证信息对组播源和组播组进行认证；在对组播源和组播组认证成功的情况下，统一控制器根据第二自治域的第二控制器上报的认证参数对申请加入组播的接收者进行认证；在接收者认证成功的情况下，将接收者认证成功的信息发送给第二控制器，以便判断是否向接收者发送组播报文。

在一些实施例中，统一控制器根据第一自治域的第一控制器上报的认证信息对组播源和组播组进行认证包括：统一控制器将认证信息发送给第三方应用；统一控制器根据第三方应用返回的准入规则，对认证信息进行审核，以完成对组播源和组播组的认证。

在一些实施例中，统一控制器根据第一自治域的第一控制器上报的认证信息对组播源和组播组进行认证包括：统一控制器将认证信息保存在认证信息数据库中；统一控制器将认证信息发送给第三方应用；统一控制器根据上述第三方应用返回的准入规则，对认证信息数据库中的认证信息进行审核，以完成对组播源和组播组的认证。

在一些实施例中，准入规则为第三方应用调用统一控制器的北向服务接口返回。

在一些实施例中，统一控制器根据第三方应用返回的准入规则，对认证信息进行审核包括：统一控制器根据第三方应用返回的准入规则，制定认证策略；统一控制器根据认证策略，对认证信息进行审核。

在一些实施例中，统一控制器根据第二自治域的第二控制器上报的认证参数对申请加入组播的接收者进行认证包括：统一控制器接收第二控制器发来的包含认证参数的PCEP(Path Computation Element Communication Protocol，路径计算单元通信协议)消息，PCEP消息为接收者向第二自治域的边缘路由器发送，并由边缘路由器上报给第二控制器。

在一些实施例中，认证方法还包括：统一控制器将对组播源和组播组的认证结果发送给第一控制器。

根据本公开的另一些实施例，提供一种认证装置，认证装置设置在统一控制器中，包括：认证单元，用于根据第一自治域的第一控制器上报的认证信息对组播源和组播组进行认证，在对组播源和组播组认证成功的情况下，根据第二自治域的第二控制器上报的认证参数对申请加入组播的接收者进行认证；发送单元，用于在接收者认证成功的情况下，将接收者认证成功的信息发送给第二控制器，以便第二控制器判断是否向接收者发送组播报文。

在一些实施例中，认证单元将认证信息发送给第三方应用；根据第三方应用返回的准入规则，对认证信息进行审核，以完成对组播源和组播组的认证。

在一些实施例中，认证单元将认证信息保存在认证信息数据库中；将认证信息发送给第三方应用；根据上述第三方应用返回的准入规则，对认证信息数据库中的认证信息进行审核，以完成对组播源和组播组的认证。

在一些实施例中，准入规则为第三方应用调用统一控制器的北向服务接口返回。

在一些实施例中，认证单元根据第三方应用返回的准入规则，制定认证策略；根据认证策略，对认证信息进行审核。

在一些实施例中，认证单元接收第二控制器发来的包含认证参数的PCEP消息，PCEP消息为接收者向第二自治域的边缘路由器发送，并由边缘路由器上报给第二控制器。

在一些实施例中，发送单元将对组播源和组播组的认证结果发送给第一控制器。

根据本公开的又一些实施例，提供一种认证装置，其中，认证装置设置在统一控制器中，包括：存储器；和耦接至存储器的处理器，处理器被配置为基于存储在存储器装置中的指令，执行上述任一个实施例中的认证方法。

根据本公开的再一些实施例，提供一种非易失性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述任一个实施例中的认证方法。

根据本公开的再一些实施例，提供一种认证系统，包括：统一控制器，用于执行上述任一个实施例的认证方法；第一自治域的第一控制器，用于上报认组播源和组播组的证信息；第二自治域的第二控制器，用于上报申请加入组播的接收者的认证参数。

在一些实施例中，第二控制器在接收到统一控制器发送的接收者认证成功的信息后，向第二自治域的边缘路由器发送认证控制信息，以便第二自治域的边缘路由器根据认证控制信息对接收者的认证参数进行处理，并根据处理结果判断是否向接收者发送组播报文。

在上述实施例中，通过在网络侧增设的统一控制器，对所有的单域控制器进行统一管理，各单域控制器仅需与该统一控制器进行交互即可完成认证。这样，无需建立full-mesh连接从而提高扩展性，并简化认证过程。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本公开：

图1示出本公开的认证方法的一些实施例的流程图；

图2示出本公开的认证方法的一些实施例的示意图；

图3a示出本公开的认证方法的另一些实施例的示意图；

图3b示出本公开的认证方法的又一些实施例的示意图；

图4示出本公开的认证装置的一些实施例的框图；

图5示出本公开的认证装置的另一些实施例的框图；

图6示出本公开的认证装置的又一些实施例的框图；

图7示出本公开的认证系统的一些实施例的框图。

具体实施方式

现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

如前所述，仅依靠单域控制器，当组播源和接入者不在同一个自治域时，需要这两个自治域的控制器进行认证信息交互。因此，控制器之间需要进行full-mesh连接，扩展性较差；并且，由于单域控制器并不知道组播源位于哪个自治域，所以其需要将认证信息广播给其他所有与其建立连接的单域控制器，认证过程繁琐。

针对上述技术问题，本公开提出跨域组播接入者认证技术方案，能够针对组播源和接入者不属于同一个自治域的场景提供跨域认证手段。例如，本公开的技术方案可以基于H-PCE(High level-Path Computation Element，高等级路径计算单元)架构实现，能够依靠H-PCE架构提升网络架构的可扩展性。

在一些实施例中，新增一个统一控制器，能够纳管所有单域控制器。例如，统一控制器中可以设置认证信息数据库，认证相关的信息都保存其中。

这样，每个单域控制器只需要和统一控制器建立连接，无需进行单域控制器之间的full-mesh连接，能够提高网络架构的扩展性。例如，可以通过如下的实施例实现本公开的技术方案。

图1示出本公开的认证方法的一些实施例的流程图。

如图1所示，在步骤110中，统一控制器根据第一自治域的第一控制器上报的认证信息对组播源和组播组进行认证。

在一些实施例中，统一控制器将认证信息发送给第三方应用；统一控制器根据第三方应用返回的准入规则，对认证信息进行审核，以完成对组播源和组播组的认证。

例如，统一控制器将认证信息保存在认证信息数据库中；统一控制器将认证信息发送给第三方应用；统一控制器根据上述第三方应用返回的准入规则，对认证信息数据库中的认证信息进行审核，以完成对组播源和组播组的认证。例如，准入规则为第三方应用调用统一控制器的北向服务接口返回。

在一些实施例中，统一控制器根据第三方应用返回的准入规则，制定认证策略；统一控制器根据认证策略，对认证信息进行审核。

在一些实施例中，统一控制器将对组播源和组播组的认证结果发送给第一控制器。

在一些实施例中，第一控制器将组播源和组播组相关的认证信息上报给统一控制器；统一控制器向第一控制器发送组播源和组播组的认证结果。

例如，统一控制器将第一控制器上报的信息保存在认证信息数据库中，并发送给第三方APP。第三方APP调用统一控制器的北向服务接口，下发准入规则；统一控制器根据APP下发的规则制定认证策略；统一控制器根据认证策略对第一控制器1上报的认证信息进行审核，并将认证结果发送给第一控制器。

在步骤120中，在对组播源和组播组认证成功的情况下，统一控制器根据第二自治域的第二控制器上报的认证参数对申请加入组播的接收者进行认证。

在一些实施例中，统一控制器接收第二控制器发来的包含认证参数的PCEP消息，PCEP消息为接收者向第二自治域的边缘路由器发送，并由边缘路由器上报给第二控制器。

例如，接收者向第二自治域的边缘路由器发送包含认证参数的PCEP消息，申请加入组播；接收者侧边缘路由器(即第二自治域的边缘路由器)通过PCEP消息将认证参数上报给第二控制器；第二控制器向统一控制器转发携带组播加入信息的PCEP消息；统一控制器进行接入规则认证，认证成功后将结果发送给第二控制器。

在步骤130中，在接收者认证成功的情况下，将接收者认证成功的信息发送给第二控制器，以便判断是否向接收者发送组播报文。

在一些实施例中，第二控制器在接收到统一控制器发送的接收者认证成功的信息后，向第二自治域的边缘路由器发送认证控制信息，以便第二自治域的边缘路由器根据认证控制信息对接收者的认证参数进行处理，并根据处理结果判断是否向接收者发送组播报文。

例如，第二控制器向接收者侧边缘路由器发送PCEP消息，携带认证控制信息；根据认证控制信息，该边缘路由器在本地对接入者的认证信息进行处理；根据本地处理结果判断是否向接收者转发组播报文。

图2示出本公开的认证方法的一些实施例的示意图。

如图2所示，新增的统一控制器，用于纳管所有的单域控制器(控制器1～4)。在统一控制器中设置认证信息数据库，认证相关的信息都保存其中。AS(Autonomous System，自治域)1～4分别具有相应的单域控制器以及PE(Provider Edge，运营商边缘设备)(即边缘路由器)，各AS的PE与其控制器连接。

图3a示出本公开的认证方法的另一些实施例的示意图。

如图3a所示，根据统一控制器中保存的认证信息控制组播用户跨域接入。

在步骤310中，控制器1将组播源和组播组相关的认证信息上报给统一控制器。

在步骤320中，统一控制器向控制器1发送组播源和组播组的认证结果。

在步骤330中，接收者向边缘路由器PE4发送包含认证参数的PCEP消息，申请加入组播。

在步骤340中，接收者侧边缘路由器PE4通过PCEP消息将认证参数上报给控制器2。

在步骤350中，控制器2向统一控制器转发携带组播加入信息的PCEP消息。

在步骤360中，统一控制器进行接入规则认证，认证成功后将结果发送给控制器2。

在步骤370中，控制器2向接收者侧边缘路由器PE4发送PCEP消息，携带认证控制信息；根据认证控制信息，边缘路由器PE4在本地对新接入者的认证信息进行处理；根据本地处理结果判断是否向接收者转发组播报文。

图3b示出本公开的认证方法的又一些实施例的示意图。

如图3b所示，根据APP下发的认证信息控制组播用户跨域接入。

在步骤410中，控制器1将组播源和组播组相关的认证信息上报给统一控制器。

在步骤420中，统一控制器将控制器1上报的信息保存在认证信息数据库中，并发送给第三方APP(应用)。

在步骤430中，第三方APP调用统一控制器的北向服务接口，下发准入规则，统一控制器根据APP下发的规则制定认证策略。

在步骤440中，统一控制器根据认证策略对控制器1上报的认证信息进行审核，并将认证结果发送给控制器1。

在步骤450中，接收者向边缘路由器PE4发送包含认证参数的PCEP消息，申请加入组播。

在步骤460中，接收者侧边缘路由器PE4通过PCEP消息将认证参数上报给控制器2。

在步骤470中，控制器2向统一控制器转发携带组播加入信息的PCEP消息。

在步骤480中，统一控制器进行接入规则认证，认证成功后将结果发送给控制器2。

在步骤490中，控制器2向接收者侧边缘路由器PE4发送PCEP消息，携带认证控制信息；根据认证控制信息，边缘路由器PE4在本地对新接入者的认证信息进行处理；根据本地处理结果判断是否向接收者转发组播报文。

上述实施例中，新增统一控制器，用于纳管所有的单域控制器；在统一控制器中设置认证信息数据库，认证相关的信息都保存其中；基于H-PCE架构进行跨域组播接收者认证。

这样，将用户认证信息保存在统一控制器中，能够减少认证信息的维护成本；能够利用H-PCE架构简化控制器之间的连接，提高网络的可扩展性。

而且，能够为跨域接入的组播用户提供认证功能；能够从第三方APP接收认证规则，并根据认证规则来生成认证策略，限制用户的接入。

图4示出本公开的认证装置的一些实施例的框图。

如图4所示，认证装置4设置在统一控制器中包括认证单元41、发送单元42。

认证单元41根据第一自治域的第一控制器上报的认证信息对组播源和组播组进行认证，在对组播源和组播组认证成功的情况下，统一控制器根据第二自治域的第二控制器上报的认证参数对申请加入组播的接收者进行认证。

发送单元42在接收者认证成功的情况下，将接收者认证成功的信息发送给第二控制器，以便第二控制器判断是否向接收者发送组播报文。

在一些实施例中，认证单元41将认证信息发送给第三方应用；根据第三方应用返回的准入规则，对认证信息进行审核，以完成对组播源和组播组的认证。

在一些实施例中，认证单元将认证信息保存在认证信息数据库中；将认证信息发送给第三方应用；根据上述第三方应用返回的准入规则，对认证信息数据库中的认证信息进行审核，以完成对组播源和组播组的认证。

在一些实施例中，准入规则为第三方应用调用统一控制器的北向服务接口返回。

在一些实施例中，认证单元根据第三方应用返回的准入规则，制定认证策略；根据认证策略，对认证信息进行审核。

在一些实施例中，认证单元接收第二控制器发来的包含认证参数的PCEP消息，PCEP消息为接收者向第二自治域的边缘路由器发送，并由边缘路由器上报给第二控制器。

在一些实施例中，发送单元将对组播源和组播组的认证结果发送给第一控制器。

图5示出本公开的认证装置的另一些实施例的框图。

如图5所示，认证装置5设置在统一控制器中，该实施例的认证装置5包括：存储器51以及耦接至该存储器51的处理器52，处理器52被配置为基于存储在存储器51中的指令，执行本公开中任意一个实施例中的认证方法。

其中，存储器51例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序Boot Loader、数据库以及其他程序等。

图6示出本公开的认证装置的又一些实施例的框图。

如图6所示，认证装置6设置在统一控制器中，该实施例的认证装置6包括：存储器610以及耦接至该存储器610的处理器620，处理器620被配置为基于存储在存储器610中的指令，执行前述任意一个实施例中的认证方法。

存储器610例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序Boot Loader以及其他程序等。

认证装置6还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630、640、650以及存储器610和处理器620之间例如可以通过总线660连接。其中，输入输出接口630为显示器、鼠标、键盘、触摸屏、麦克、音箱等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为SD卡、U盘等外置存储设备提供连接接口。

图7示出本公开的认证系统的一些实施例的框图。

如图7所示，认证系统7包括：统一控制器71，用于执行上述任一个实施例的认证方法；第一自治域的第一控制器72，用于上报认组播源和组播组的证信息；第二自治域的第二控制器73，用于上报申请加入组播的接收者的认证参数。

在一些实施例中，第二控制器73在接收到统一控制器发送的接收者认证成功的信息后，向第二自治域的边缘路由器发送认证控制信息，以便第二自治域的边缘路由器根据认证控制信息对接收者的认证参数进行处理，并根据处理结果判断是否向接收者发送组播报文。

本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质包括但不限于磁盘存储器、CD-ROM、光学存储器等上实施的计算机程序产品的形式。

至此，已经详细描述了根据本公开的认证方法、认证装置、认证系统和非易失性计算机可读存储介质。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

可能以许多方式来实现本公开的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。

虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员应该理解，可在不脱离本公开的范围和精神的情况下，对以上实施例进行修改。本公开的范围由所附权利要求来限定。