接入网络中控制用户设备接入组播业务的方法和装置

技术领域

本发明涉及接入网络，尤其涉及接入网络中的网络接入设备和网 络认证设备。

背景技术

当前，计算机网络事业迅速发展，相应的网络应用层出不穷，例 如宽带接入、VOD服务、视频会议、交互式多点广播等，网络运营商 和服务提供商在提供网络增值服务时，一般在用户终端通过数字用户线 路(DSL)或其它接入网络配置宽带增值服务的时候，需要在网络接入 级(network access)和服务级别(service level)上对用户设备进 行认证，即对用户设备身份进行认证和确定用户设备接入网络业务的权 限，并在认证成功的基础上为用户设备配置端口，以提供相应的服务。

例如，对移动组播接收者(nomadic multicast receivers)以及一 些诸如非主流组播服务(如视频会议、朋友间视频共享等)的网络业务， 网络接入设备需要根据服务认证(service authentication)的结果来 处理组播接入控制，这需要接入节点参与服务认证过程。但目前，还没 有合适的认证解决方案来实现这个目标。

根据现有技术的两种实现方案具体如下：

第一种实现方案：基于PPPoE(以太网上的点对点协议)认证的接 入控制方法。

首先，用户设备发起PPPoE认证请求，BRAS(宽带远程接入服务设 备)从中提取出用户相关信息并将其发送到相应的网络认证设备以对该 用户设备进行认证，如果认证成功，就为该用户设备设置一个私有IP 地址，并将电子节目菜单(EPG)推送到该用户设备；其次，该用户设 备将载于PPPoE包中的IGMP(互联网组播管理协议)请求消息发送到 BRAS，BRAS从IGMP请求消息中提取出用户请求信息并将诸如IP地址、 DSLAM线ID、请求组播组地址等的认证信息传送给网络认证设备以进行 认证；最后，网络认证设备返回认证结果，然后BRAS将私有控制消息 推送至网络接入设备，使网络接入设备将用户设备所请求的组播数据流 传输到用户设备。

该实现方案的缺陷在于：1)由于使用BRAS判定用户接入网络业务 的权限，然后再将接入权限推送给网络接入设备，使得在频道变更时速 度比较慢；2)需要扩展标准Radius服务器(远程用户拨号网络认证设 备)的功能，以基于从IGMP联合消息中提取出的用户相关信息来对用 户进行认证；3)使用私有控制消息将接入权限传送给网络接入设备。

第二种实现方案：首先，通过802.1x、PPPoE或Web界面入口等方 法，用户设备被网络认证设备认证，并获取相关的电子节目菜单(EPG)； 其次，用户设备向网络接入设备发送IGMP请求消息(即网络业务请求 消息)；然后，网络接入设备截取IGMP请求消息，提取其中的用户设备 相关信息(DSL端口号、IP地址、MAC地址、请求组播组地址)等，并 将这些用户设备相关信息转发至网络认证设备；随后，网络认证设备对 用户设备的请求进行认证，并将相关的接入权限推送至网络接入设备， 该接入权限将存储在网络接入设备上；最后，网络接入设备基于所接收 到的接入权限，允许或拒绝提供用户所申请的组播业务。

该实现方案的缺陷在于：1)存在两个分离的认证步骤，网络认证设 备必须将来自802.1x、PPPoE或Web界面入口认证的组播接入权限与 IGMP请求消息中所包含的用户相关信息(网络端口信息)相关联；2) 需要扩展标准Radius服务器的功能，以基于从IGMP请求消息中提取出 的用户相关信息来认证用户身份；3)采用私有消息将组播接入权限推 送至网络接入设备，在用户终端发出IGMP请求消息之后存在一个认证 处理延时。

由上述可见，在现有技术中，都存在这样或那样的缺陷，例如，上 述第一种实现方案中对于每次网络服务请求，用户设备均需要通过网络 认证设备进行认证，导致认证的速度比较慢；而对于第二种实现方案， 网络接入设备可以存储经过认证的用户设备接入权限，但其获取该用户 设备接入权限的过程比较复杂，例如存在两个分离的认证步骤，这也不 是一个合适的方案。

发明内容

为解决现有技术中的上述缺点，本发明提出了一种在接入网络中用 于控制用户设备接入组播业务的方法和装置。当用户设备申请某类组播 业务时，只需进行一次用户设备身份认证即可，当该用户设备通过身份 认证后，网络认证设备将与该用户设备相对应的组播业务接入权限发送 至网络接入设备并存储于该网络接入设备。具体地，当该用户设备申请 该类组播业务中的某项组播业务时，只需根据网络接入设备中保存的组 播业务授权信息来判断该用户设备是否具有接入所述组播业务的权限 即可。

根据本发明的第一个方面，提供了一种在接入网络的网络接入设备 中用于控制用户设备接入组播业务的方法，其特征在于，包括以下步骤 a.判断接收到的来自所述用户设备的消息类型；b.如果所述接收到的 来自所述用户设备的消息为服务认证请求消息，则向网络认证设备获取 与所述用户设备相对应的组播业务授权信息，其中，所述服务认证请求 消息用于所述用户设备申请某类组播业务；c.如果所述接收到的来自 所述用户设备的消息为组播业务请求消息，则根据保存的与所述用户设 备相对应的组播业务授权信息判断所述用户设备是否有接入所述组播 业务的权限，当所述用户设备有接入所述组播业务的权限时向所述用户 设备提供所述组播业务，其中，所述组播业务请求消息用于所述用户 设备申请某项组播业务。

根据本发明的第二个方面，提供了一种在接入网络的网络认证设备 中用于控制用户设备接入组播业务的方法，其特征在于，包括以下步骤： i.接收经由网络接入设备转发的来自所述用户设备的服务认证请求消 息；ii.根据所述服务认证请求消息，生成与所述用户设备相对应的组 播业务授权信息；iii.将所述组播业务授权信息发送至所述网络接入设 备。

根据本发明的第三个方面，提供了一种在接入网络的网络接入设备 中用于控制用户设备接入组播业务的控制装置，其特征在于，包括：第 一判断装置，用于判断接收到的来自用户设备的消息类型；获取装置， 用于如果所述接收到的来自所述用户设备的消息为服务认证请求消息， 则向网络认证设备获取与所述用户设备相对应的组播业务授权信息，其 中，所述服务认证请求消息用于所述用户设备申请某类组播业务；第 二判断装置，用于如果所述接收到的来自所述用户设备的消息为组播业 务请求消息，则根据保存的与所述用户设备相对应的所述组播业务授权 信息判断所述用户设备是否有接入所述组播业务的权限，第一发送装 置，用于当所述用户设备有接入所述组播业务的权限时向所述用户设备 提供所述组播业务，其中，所述组播业务请求消息用于所述用户设备 申请某项组播业务。

根据本发明的第四个方面，提供了一种在接入网络的网络认证设备 中用于控制用户设备接入组播业务的辅助控制装置，其特征在于，包括： 第三接收装置，用于接收经由网络接入设备转发的来自所述用户设备的 服务认证请求消息；第一生成装置，用于根据所述服务认证请求消息， 生成与所述用户设备相对应的组播业务授权信息；第三发送装置，用于 将所述组播业务授权信息发送至所述网络接入设备。

根据本发明的第五个方面，提供了一种在接入网络中用于控制用户 设备接入组播业务的组播接入系统，包括网络接入设备以及网络认证 设备，其中，所述网络接入设备包括如权利要求8至12中任一项所 述的用于控制用户设备接入组播业务的控制装置，所述网络认证设备 包括如权利要求13和14中任一项所述的用于控制用户设备接入组播 业务的辅助控制装置。

本发明中，对申请某类组播业务的用户设备来说，只需对该用户设备 的身份进行一次认证，当该用户设备通过认证后，网络认证设备将与该 用户设备相对应的组播业务接入权限发送至网络接入设备并存储于该 网络接入设备，具体地，当该用户设备申请该类组播业务中的某项组播 业务时，网络接入设备只需根据其中保存的组播业务授权信息来判断该 用户设备是否具有接入所述组播业务的权限即可，而无需在用户设备申 请该类中业务中的每项组播业务时都对该用户设备进行身份认证，从而 可以减少认证次数，并且某项网络业务只需复制少数几份到相应的网络 接入设备并由该网络接入设备转发给不同的用户设备，从而可以节约网 络带宽。

由于本发明是基于现有的网络通信技术，可以方便地实现本发明的 身份认证及业务认证，所以本发明可用于由网络业务提供商(NSP)和 相关服务提供商(ASP)提供组播服务的场合；并且可以在跨NSP域的 范围内应用移动组播服务。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明 的其它特征、目的和优点将会变得更明显：

图1示出根据本发明的在接入网络中用于控制用户设备接入组播 业务的系统示意图；

图2示出根据本发明的一个具体实施方式的，在接入网络的网络 接入设备中用于控制用户设备接入组播业务的方法的流程图；

图3示出图2中所述步骤S12的一个具体实施方式，即向网络认 证设备获取与所述用户设备相对应的组播业务授权信息的方法的流 程图；

图4示出根据本发明的一个具体实施方式的，在接入网络的网络 接入设备中用于控制用户设备退出组播业务的方法的流程图；

图5示出根据本发明的一个具体实施方式的，在接入网络的网络 认证设备中用于控制用户设备接入组播业务的方法的流程图；

图6示出根据本发明的一个具体实施方式的，在接入网络的网络 接入设备中用于控制用户设备接入组播业务的控制装置的结构示意 图；

图7示出图6中所述第一获取装置12的一个具体实施方式，即 用于向网络认证设备获取与所述用户设备相对应的组播业务授权信 息的第一获取装置12的结构示意图；

图8示出根据本发明的一个具体实施方式的，在接入网络的网络 接入设备中用于控制用户设备退出组播业务的控制装置的结构示意 图；以及

图9示出根据本发明的一个具体实施方式的，在接入网络的网络 认证设备中用于控制用户设备接入组播业务的辅助控制装置。

具体实施方式

下面结合附图对本发明作进一步详细描述。

图1示出根据本发明的在接入网络中用于控制用户设备接入组播业 务的系统示意图。尽管图中只示出了一个用户设备1，但在具体应用 中可以有多个用户设备申请相同的某类组播业务中的相同或不同的 某项组播业务。

具体地，某类组播业务可以包括IPTV、上网、视频、语音等网络 业务。在同一类业务中，用户设备1也会发出多次请求，例如在被允 许接入IPTV业务后，用户设备1会发出转换频道的请求，即停止继 续接收频道1的节目，而是发出接入频道2的请求，待被允许接入频 道2后的某一个时刻后，又再次发出接入频道N的请求，以此类推， 因此，网络接入设备2会一次次地对来自用户设备1的接入一项网络 业务的请求进行处理。

以下将针对一个用户设备1向网络接入设备2申请某类组播业务 中的某项组播业务的情况对本发明做进一步的详细描述。

具体地，首先，用户设备1发送一请求消息至网络接入设备2， 网络接入设备2接收到来自该用户设备1的请求消息后，对该请求消 息进行判断。

其次，当网络接入设备2判断出来自用户设备1的请求消息为用 户设备1用于请求某类组播业务而发送至网络认证设备3(该网络认 证设备可以为一个认证服务器，具体的，可以为一个AAA认证服务 器)的服务认证请求消息(该认证请求消息包括用户标识信息以及用 户身份认证信息)后，该网络接入设备2在该服务认证请求消息中加 入用户设备1的网络标识信息(该网络标识信息包括IP地址，MAC 地址，DSL端口号)，并将更新后的服务认证请求消息发送至网络认 证设备3。

网络认证设备3接收到来自网络接入设备2的更新后的服务认证 请求消息后，从中提取用户标识信息(例如：xyz@IPTV service用于 标识用户xyz向IPTV服务提供商申请IPTV服务)以及用户身份认 证信息，并根据该用户标识信息以及用户身份认证信息，对用户设备 1进行身份认证以生成认证结果，用以判断该用户设备1是否为该类 组播业务的合法用户。该用户身份认证信息可以包括用户设备1与网 络认证设备3预先设置好的口令，或数字证书，也可以包括其他类型 的身份认证信息，只要网络认证设备3能够凭借该身份认证信息确定 该用户设备1的身份即可，这是本领域技术人员应能理解的，在此不 作赘述。

当用户设备1通过身份认证后，网络认证设备3根据用户标识信 息在其组播业务接入权限表中查用户设备1所请求的某类组播业务 的接入权限，当该网络认证设备3查到用户设备1所请求的某类组 播业务的接入权限后，根据用户设备1的网络标识信息(该网络标识 信息包括IP地址，MAC地址，DSL端口号)形成该用户设备1的网 络端口信息(DSL端口号)与该用户设备1所请求的某类组播业务接 入权限的映射关系，以生成与该用户设备1相对应的组播业务授权信 息。进一步地，DSL端口号用于指示网络接入设备2通过该DSL端 口向用户设备1提供其所申请的某类组播业务中的某项组播业务。当 生成组播业务授权信息后，网络认证设备3将与用户设备1相对应的 组播业务授权信息以及认证结果一同发送至网络接入设备2。

网络接入设备2接收到来自网络认证设备3发送的组播业务授权 信息和认证结果后，以网络端口信息(DSL端口号)以及认证会话标 识信息为索引，存储与用户设备1相对应的组播业务接入权限并将认 证结果转发至用户设备1。该认证会话标识信息可以包括EAP ID或 Session ID，也可以包括其他类型的会话标识信息，关键取决于认证 会话所采用的协议，这是本领域技术人员应能理解，在此不作赘述。

进一步地，EAP协议在通信领域是一种常用的认证方式。EAP 是IETF定义的一个协议，为RFC3748，提供认证时双方交互的消息 格式，每个EAP会话有个标识，让会话双方理解所认证的处理是属 于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识 信息可以在用户设备1要求取消某类组播业务时，根据该认证会话标 识信息有针对性地取消认证的服务。

再次，当网络接入设备2判断出来自用户设备1的消息为用户设 备1用于请求某类组播业务中的某项组播业务而发送的组播业务请求 消息(该组播业务请求消息包括用户设备1的网络标识信息以及用户 设备1所请求的某项组播业务标识信息)后，网络接入设备2从该组 播业务请求消息中提取出该用户设备1的网络标识信息，并根据该网 络标识信息查与该用户设备1相对应的组播业务授权信息，并根据 保存于该网络接入设备2的与该用户设备1相对应的组播业务授权信 息判断用户设备1是否有接入其所请求的该项组播业务的权限，当用 户设备1有接入该项组播业务的权限时向用户设备1提供该项组播业 务，当用户设备1没有接入该项组播业务的权限时拒绝向用户设备1 提供该项组播业务。

进一步地，该网络接入设备2可以通过两种方式向用户设备1提 供该项组播业务。

第一种方式，如果用户设备1所申请的组播业务的组播流已到达 网路接入设备1，则该网络接入设备2复制用户设备1所申请的该类 组播业务的组播流，并将其通过相应的网络端口(DSL端口)发送至 用户设备1。

第二种方式，如果用户设备1所申请的组播业务的组播流没有到 达网络接入设备2，则该网络接入设备2将向上一级网络转发用户设 备1的组播业务请求消息，即IGMP请求消息，同时上一级网络不再 检查这个组播业务请求的权限，直到该组播业务的组播流传送到该网 络接入设备2，并经由该网络接入设备2转发该组播流给用户设备1。

进一步地，为了避免网络接入设备2的存储负担过重，当用户设 备1需要删除存储于网络接入设备2中的对应于先前所申请的某类网 络业务的接入权限时，用户设备1向网络接入设备2发送一组播业务 取消请求消息(该组播业务取消请求消息包括用户设备1申请该类组 播业务而向网络认证设备3请求身份认证时所产生的认证会话标识信 息以及用户设备1的网络标识信息)，网络接入设备2接收到来自用 户设备发送的组播业务取消请求消息后，从中提取出该用户设备1申 请该类组播业务而向网络认证设备3请求身份认证时所产生的认证会 话标识信息，并根据该认证会话标识信息查用户设备1所请求删除 的该类网络业务的接入权限，当网络接入设备2查到用户设备1所 请求删除的该类网络业务的接入权限后将其删除。

图2示出根据本发明的一个具体实施方式的，在接入网络的网络 接入设备中用于控制用户设备接入组播业务的方法的流程图。

在本具体实施方式中，首先，执行步骤S11，判断接收到的来自 所述用户设备的消息类型；

如果接收到的来自所述用户设备的消息为服务认证请求消息，则 执行步骤S12，向网络认证设备获取与所述用户设备相对应的组播业 务授权信息；

如果接收到的来自所述用户设备的消息为组播业务请求消息，则 执行步骤S13，根据保存的与所述用户设备相对应的组播业务授权信 息判断所述用户设备是否有接入所述组播业务的权限，

当所述用户设备有接入所述组播业务的权限时，则执行步骤S14， 向所述用户设备提供所述组播业务。

具体地，在步骤S11中，当网络接入设备2接收到来自该用户设 备1的请求消息后，对该请求消息的类型进行判断。如果网络接入设 备2判断出该请求消息为用户设备1用于请求某类组播业务而发送至 网络认证设备3(该网络认证设备可以为一个认证服务器，具体的， 可以为一个AAA认证服务器)的服务认证请求消息(该认证请求消 息包括用户标识信息以及用户身份认证信息)后，在步骤S12中，该 网络接入设备2在该服务认证请求消息中加入用户设备1的网络标识 信息(该网络标识信息包括IP地址，MAC地址，DSL端口号)，并 将更新后的服务认证请求消息发送至网络认证设备3，用于向网络认 证设备3获取与用户设备1相对应的组播业务授权信息。进一步地， 网络接入设备2接收到来自用户设备1的服务认证请求消息后，首先 对其中的用户标识信息进行检测，以判断用户设备1所请求的服务认 证的类型，然后，网络接入设备2查合适的网络认证设备并将该服 务认证请求消息发送至正确的服务提供商。

网络认证设备3接收到来自网络接入设备2的更新后的服务认证 请求消息后，从中提取用户标识信息(例如：xyz@IPTV service用于 标识用户xyz向IPTV服务提供商申请IPTV服务)以及用户身份认 证信息，并根据该用户标识信息以及用户身份认证信息，对用户设备 1进行身份认证以生成认证结果，用以判断该用户设备1是否为该类 组播业务的合法用户。该用户身份认证信息可以包括用户设备1与网 络认证设备3预先设置好的口令，或数字证书，也可以包括其他类型 的身份认证信息，只要网络认证设备3能够凭借该身份认证信息确定 该用户设备1的身份即可，这是本领域技术人员应能理解的，在此不 作赘述。

当用户设备1通过身份认证后，网络认证设备3根据用户标识信 息在其组播业务接入权限表中查用户设备1所请求的某类组播业务 的接入权限，当该网络认证设备3查到用户设备1所请求的某类组 播业务的接入权限后，根据用户设备1的网络标识信息(该网络标识 信息包括IP地址，MAC地址，DSL端口号)形成该用户设备1的网 络端口信息(DSL端口号)与该用户设备1所请求的某类组播业务接 入权限的映射关系，以生成与该用户设备1相对应的组播业务授权信 息。进一步地，DSL端口号用于指示网络接入设备2通过该DSL端 口向用户设备1提供其所申请的某类组播业务中的某项组播业务。当 生成组播业务授权信息后，网络认证设备3将与用户设备1相对应的 组播业务授权信息以及认证结果一同发送至网络接入设备2。

当网络接入设备2接收到来自网络认证设备3发送的组播业务授 权信息和认证结果后，以网络端口信息(DSL端口号)以及认证会话 标识信息为索引，存储与用户设备1相对应的组播业务接入权限并将 认证结果转发至用户设备1。该认证会话标识信息可以包括EAP ID 或Session ID，也可以包括其他类型的会话标识信息，关键取决于认 证会话所采用的协议，这是本领域技术人员应能理解，在此不作赘述。

进一步地，EAP协议在通信领域是一种常用的认证方式。EAP是 IETF定义的一个协议，为RFC3748，提供认证时双方交互的消息格 式，每个EAP会话有个标识，让会话双方理解所认证的处理是属于 哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识信 息可以在用户设备1要求取消某类组播业务时，根据该认证会话标识 信息有针对性地取消认证的服务。

在一个优选的实施例中，网络认证设备3在根据用户标识信息在 其组播业务接入权限表中查用户设备1所请求的某类组播业务的接 入权限的同时，也可以在其组播业务接入权限表中查与该类组播业 务相关联的某类网络业务的接入权限，并将与用户设备1所请求的某 类组播业务相关联的一类或多类网络业务的接入权限与用户设备1所 请求的某类组播业务的接入权限一同发送至网络接入设备2并存储于 网络接入设备2中。

在一种变化例中，网络认证设备3也可以不将认证结果发送至网 络接入设备2，而仅仅将组播业务授权信息发送至网络接入设备2， 因为网络接入设备2仅仅凭借接收到组播业务授权信息就可以知晓该 用户设备1已通过身份认证，而用户设备1仅凭其在预定的某一段时 间内未收到认证结果来判断其通过身份认证。当然，在这种情况下， 当用户设备1没有通过身份认证时，网络认证设备3会发送其未通过 身份认证的认证结果至网络接入设备2，并经由网络接入设备2将未 通过身份认证的认证结果发送至用户设备1，因此，在这种情况下， 用户设备1仅凭其在预定的某一段时间内是否收到认证结果来判断其 是否通过身份认证即可。

具体地，在步骤S13中，如果网络接入设备2判断出来自用户设 备1的消息为用户设备1用于请求某类组播业务中的某项组播业务而 发送的组播业务请求消息(该组播业务请求消息包括用户设备1的网 络标识信息以及用户设备1所请求的某项组播业务标识信息)后，网 络接入设备2从该组播业务请求消息中提取出该用户设备1的网络标 识信息，并根据该网络标识信息查与该用户设备1相对应的组播业 务授权信息，并根据保存于该网络接入设备2的与该用户设备1相对 应的组播业务授权信息判断用户设备1是否有接入其所请求的该项组 播业务的权限，当用户设备1有接入该项组播业务的权限时向用户设 备1提供该项组播业务，当用户设备1没有接入该项组播业务的权限 时拒绝向用户设备1提供该项组播业务。

进一步地，该网络接入设备2可以通过两种方式向用户设备1提 供该项组播业务。

第一种方式，如果用户设备1所申请的组播业务的组播流已到达 网路接入设备1，则该网络接入设备2复制用户设备1所申请的该类 组播业务的组播流，并将其通过相应的网络端口(DSL端口)发送至 用户设备1。

第二种方式，如果用户设备1所申请的组播业务的组播流没有到 达网络接入设备2，则该网络接入设备2将向上一级网络转发用户设 备1的组播业务请求消息，即IGMP请求消息，同时上一级网络不再 检查这个组播业务请求的权限，直到该组播业务的组播流传送到该网 络接入设备2，并经由该网络接入设备2转发该组播流给用户设备1。

图3示出图2中所述步骤S12的一个具体实施方式，即向网络认 证设备获取与所述用户设备相对应的组播业务授权信息的方法的流 程图。

在本具体实施方式中，首先，执行步骤S121，发送所述服务认 证请求消息至所述网络认证设备；

其次，执行步骤S122，接收来自所述网络认证设备的与所述用 户设备相对应的所述组播业务授权信息；

最后，执行步骤S123，存储与所述用户设备相对应的所述组播 业务授权信息。

当网络接入设备2判断出该请求消息为用户设备1用于请求某类 组播业务而发送至网络认证设备3的服务认证请求消息(该认证请求 消息包括用户标识信息以及用户身份认证信息)后，具体地，在步骤 S121中，该网络接入设备2在该服务认证请求消息中加入用户设备1 的网络标识信息(该网络标识信息包括IP地址，MAC地址，DSL端 口号)，并将更新后的服务认证请求消息发送至网络认证设备3。进一 步地，网络接入设备2接收到来自用户设备1的服务认证请求消息后， 首先对其中的用户标识信息进行检测，以判断用户设备1所请求的服 务认证的类型，然后，网络接入设备2查合适的网络认证设备并将 该服务认证请求消息发送至正确的服务提供商。

网络认证设备3接收到来自网络接入设备2的更新后的服务认证 请求消息后，根据该服务认证请求消息，生成与所述用户设备相对应 的组播业务授权信息并将该组播业务授权信息发送至所述网络接入 设备2。

具体地，在步骤S122和步骤S123中，网络接入设备2接收到来 自网络认证设备3发送的组播业务授权信息和认证结果后，以网络端 口信息(DSL端口号)以及认证会话标识信息为索引，存储与用户设 备1相对应的组播业务接入权限并将认证结果转发至用户设备1。该 认证会话标识信息可以包括EAP ID或Session ID，也可以包括其他类 型的会话标识信息，关键取决于认证会话所采用的协议，这是本领域 技术人员应能理解，在此不作赘述。

进一步地，EAP协议在通信领域是一种常用的认证方式。EAP 是IETF定义的一个协议，为RFC3748，提供认证时双方交互的消息 格式，每个EAP会话有个标识，让会话双方理解所认证的处理是属 于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识 信息可以在用户设备1要求取消某类组播业务时，根据该认证会话标 识信息有针对性地取消认证的服务。

图4示出根据本发明的另一个具体实施方式的，在接入网络的网 络接入设备中用于控制用户设备退出组播业务的方法的流程图。

在本具体实施方式中，首先，执行步骤S21，接收来自所述用户 设备的组播业务取消请求消息；

其次，执行步骤S22，从所述组播业务取消请求消息中提取所述 认证会话标识信息；

最后，执行步骤S23，根据所述认证会话标识信息，删除与该认 证会话标识信息相对应的所述组播业务的接入权限。

具体地，为了避免网络接入设备2的存储负担过重，当用户设备 1需要删除存储于网络接入设备2中的对应于先前所申请的某类网络 业务的接入权限时，用户设备1向网络接入设备2发送一组播业务取 消请求消息(该组播业务取消请求消息包括用户设备1申请该类组播 业务而向网络认证设备3请求身份认证时所产生的认证会话标识信息 以及用户设备1的网络标识信息)，网络接入设备2接收到来自用户 设备发送的组播业务取消请求消息后，从中提取出该用户设备1申请 该类组播业务而向网络认证设备3请求身份认证时所产生的认证会话 标识信息，并根据该认证会话标识信息查用户设备1所请求删除的 该类网络业务的接入权限，当网络接入设备2查到用户设备1所请 求删除的该类网络业务的接入权限后将其删除。

进一步地，用户管理系统也可以根据用户标识信息删除存储于网 络接入设备2的对应于用户设备1的组播业务接入权限。

图5示出根据本发明的又一个具体实施方式的，在接入网络的网 络认证设备中用于控制用户设备接入组播业务的方法的流程图。

在本具体实施方式中，首先，执行步骤S31，接收经由网络接入 设备转发的来自所述用户设备的服务认证请求消息；

其次，执行步骤S32，从所述服务认证请求消息中提取用户身份 认证信息，用户标识信息以及所述用户设备的网络标识信息；

再次，执行步骤S33，根据所述用户身份认证信息以及所述用户 标识信息，对所述用户设备进行身份认证；

然后，执行步骤S34，当所述用户设备通过身份认证，则根据所 述用户标识信息，查所述用户设备的接入权限；

随后，执行步骤S35，根据所述用户设备的网络标识信息以及所 述用户设备的接入权限，生成与所述用户设备相对应的所述组播业务 授权信息；

最后，执行步骤S36，将所述组播业务授权信息发送至所述网络 接入设备。

具体地，当网络接入设备2判断出来自用户设备1的请求消息为 用户设备1用于请求某类组播业务而发送至网络认证设备3的服务认 证请求消息(该认证请求消息包括用户标识信息以及用户身份认证信 息)后，该网络接入设备2在该服务认证请求消息中加入用户设备1 的网络标识信息(该网络标识信息包括IP地址，MAC地址，DSL端 口号)，并将更新后的服务认证请求消息发送至网络认证设备3用于 向网络认证设备3获取与用户设备1相对应的组播业务授权信息。

网络认证设备3接收到来自网络接入设备2的更新后的服务认证 请求消息后，从中提取用户标识信息以及用户身份认证信息，并根据 该用户标识信息以及用户身份认证信息，对用户设备1进行身份认证 以生成认证结果，用以判断该用户设备1是否为该类组播业务的合法 用户。

具体地，在步骤S34和步骤S35中，当用户设备1通过身份认证 后，网络认证设备3根据用户标识信息在其组播业务接入权限表中查 用户设备1所请求的某类组播业务的接入权限，当该网络认证设备 3查到用户设备1所请求的某类组播业务的接入权限后，根据用户 设备1的网络标识信息(该网络标识信息包括IP地址，MAC地址， DSL端口号)形成该用户设备1的网络端口信息(DSL端口号)与该 用户设备1所请求的某类组播业务接入权限的映射关系，以生成与该 用户设备1相对应的组播业务授权信息。进一步地，DSL端口号用于 指示网络接入设备2通过该DSL端口向用户设备1提供其所申请的 某类组播业务中的某项组播业务。

当生成组播业务授权信息后，网络认证设备3将与用户设备1相 对应的组播业务授权信息以及认证结果一同发送至网络接入设备2。

网络接入设备2接收到来自网络认证设备3发送的组播业务授权 信息和认证结果后，以网络端口信息(DSL端口号)以及认证会话标 识信息为索引，存储与用户设备1相对应的组播业务接入权限并将认 证结果转发至用户设备1。

在一个优选的实施例中，网络认证设备3在根据用户标识信息在 其组播业务接入权限表中查用户设备1所请求的某类组播业务的接 入权限的同时，也可以在其组播业务接入权限表中查与该类组播业 务相关联的某类网络业务的接入权限，并将与用户设备1所请求的某 类组播业务相关联的一类或多类网络业务的接入权限与用户设备1所 请求的某类组播业务的接入权限一同发送至网络接入设备2并存储于 网络接入设备2中。

在一种变化例中，网络认证设备3也可以不将认证结果发送至网 络接入设备2，而仅仅将组播业务授权信息发送至网络接入设备2， 因为网络接入设备2仅仅凭借接收到组播业务授权信息就可以知晓该 用户设备1已通过身份认证，而用户设备1仅凭其在预定的某一段时 间内未收到认证结果来判断其通过身份认证。当然，在这种情况下， 当用户设备1没有通过身份认证时，网络认证设备3会发送其未通过 身份认证的认证结果至网络接入设备2，并经由网络接入设备2将未 通过身份认证的认证结果发送至用户设备1，因此，在这种情况下， 用户设备1仅凭其在预定的某一段时间内是否收到认证结果来判断其 是否通过身份认证即可。

图6示出根据本发明的一个具体实施方式的，在接入网络的网络 接入设备中用于控制用户设备接入组播业务的控制装置的结构示意 图。该控制装置1包括第一判断装置11，获取装置12，第二判断装 置13以及第一发送装置14。

在本具体实施方式中，首先，第一判断装置11，判断接收到的来 自所述用户设备的消息类型；

如果接收到的来自所述用户设备的消息为服务认证请求消息，则 获取装置12，向网络认证设备获取与所述用户设备相对应的组播业务 授权信息；

如果接收到的来自所述用户设备的消息为组播业务请求消息，则 第二判断装置13，根据保存的与所述用户设备相对应的组播业务授权 信息判断所述用户设备是否有接入所述组播业务的权限，

当所述用户设备有接入所述组播业务的权限时，则第一发送装置 14，向所述用户设备提供所述组播业务。

以下结合图7至图9对图6做进一步的详细描述：

具体地，当网络接入设备2中的接收装置(为简明起见，图6中 未示出)接收到来自该用户设备1的请求消息后，控制装置1中的第 一判断装置11对该请求消息的类型进行判断。如果第一判断装置11 判断出该请求消息为用户设备1用于请求某类组播业务而发送至网络 认证设备3(该网络认证设备可以为一个认证服务器，具体的，可以 为一个AAA认证服务器)的服务认证请求消息(该认证请求消息包 括用户标识信息以及用户身份认证信息)后，该网络接入设备2在该 服务认证请求消息中加入用户设备1的网络标识信息(该网络标识信 息包括IP地址，MAC地址，DSL端口号)，并通过获取装置12中的 第二发送装置121将更新后的服务认证请求消息发送至网络认证设备 3，用于向网络认证设备3获取与用户设备1相对应的组播业务授权 信息。进一步地，网络接入设备2中的接收装置接收到来自用户设备 1的服务认证请求消息后，首先判断装置对其中的用户标识信息进行 检测，以判断用户设备1所请求的服务认证的类型，然后，网络接入 设备2中的查装置查合适的网络认证设备并将该服务认证请求消 息发送至正确的服务提供商。

网络认证设备3中的第三接收装置31接收到来自网络接入设备2 的更新后的服务认证请求消息后，第二提取装置32从中提取出用户 标识信息(例如：xyz@IPTV service用于标识用户xyz向IPTV服务 提供商申请IPTV服务)以及用户身份认证信息，认证装置33根据该 用户标识信息以及用户身份认证信息，对用户设备1进行身份认证以 生成认证结果，用以判断该用户设备1是否为该类组播业务的合法用 户。该用户身份认证信息可以包括用户设备1与网络认证设备3预先 设置好的口令，或数字证书，也可以包括其他类型的身份认证信息， 只要网络认证设备3能够凭借该身份认证信息确定该用户设备1的身 份即可，这是本领域技术人员应能理解的，在此不作赘述。

当用户设备1通过身份认证后，网络认证设备3中的查装置34 根据用户标识信息在其组播业务接入权限表中查用户设备1所请求 的某类组播业务的接入权限，当该网络认证设备3查到用户设备1 所请求的某类组播业务的接入权限后，第二生成装置35根据用户设 备1的网络标识信息(该网络标识信息包括IP地址，MAC地址，DSL 端口号)形成该用户设备1的网络端口信息(DSL端口号)与该用户 设备1所请求的某类组播业务接入权限的映射关系，以生成与该用户 设备1相对应的组播业务授权信息。进一步地，DSL端口号用于指示 网络接入设备2通过该DSL端口向用户设备1提供其所申请的某类 组播业务中的某项组播业务。当生成组播业务授权信息后，网络认证 设备3中的第三发送装置36将与用户设备1相对应的组播业务授权 信息以及认证结果一同发送至网络接入设备2。

网络接入设备2中的第一接收装置122接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，存储装置123以网络端口 信息(DSL端口号)以及认证会话标识信息为索引，存储与用户设备 1相对应的组播业务接入权限并将认证结果转发至用户设备1。该认 证会话标识信息可以包括EAP ID或Session ID，也可以包括其他类型 的会话标识信息，关键取决于认证会话所采用的协议，这是本领域技 术人员应能理解，在此不作赘述。

进一步地，EAP协议在通信领域是一种常用的认证方式。EAP 是IETF定义的一个协议，为RFC3748，提供认证时双方交互的消息 格式，每个EAP会话有个标识，让会话双方理解所认证的处理是属 于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识 信息可以在用户设备1要求取消某类组播业务时，根据该认证会话标 识信息有针对性地取消认证的服务。

在一个优选的实施例中，网络认证设备3中的查装置34在根 据用户标识信息在其组播业务接入权限表中查用户设备1所请求的 某类组播业务的接入权限的同时，也可以在其组播业务接入权限表中 查与该类组播业务相关联的某类网络业务的接入权限，并通过第三 发送装置36将与用户设备1所请求的某类组播业务相关联的一类或 多类网络业务的接入权限与用户设备1所请求的某类组播业务的接入 权限一同发送至网络接入设备2并存储于网络接入设备2中。

在一种变化例中，网络认证设备3中的第三发送装置36也可以 不将认证结果发送至网络接入设备2，而仅仅将组播业务授权信息发 送至网络接入设备2，因为网络接入设备2仅仅凭借接收到组播业务 授权信息就可以知晓该用户设备1已通过身份认证，而用户设备1仅 凭其在预定的某一段时间内未收到认证结果来判断其通过身份认证。 当然，在这种情况下，当用户设备1没有通过身份认证时，网络认证 设备3中的第三发送装置36会发送其未通过身份认证的认证结果至 网络接入设备2，并经由网络接入设备2将未通过身份认证的认证结 果发送至用户设备1，因此，在这种情况下，用户设备1仅凭其在预 定的某一段时间内是否收到认证结果来判断其是否通过身份认证即 可。

如果控制装置1中的第一判断装置11判断出来自用户设备1的 请求消息为用户设备1用于请求某类组播业务中的某项组播业务而发 送的组播业务请求消息(该组播业务请求消息包括用户设备1的网络 标识信息以及用户设备1所请求的某项组播业务标识信息)后，网络 接入设备2中的提取装置(为简明起见，图6中未示出)从该组播业 务请求消息中提取出该用户设备1的网络标识信息，查装置(为简 明起见，图6中未示出)根据该网络标识信息查与该用户设备1相 对应的组播业务授权信息，第二判断装置13根据保存于该网络接入 设备2的与该用户设备1相对应的组播业务授权信息判断用户设备1 是否有接入其所请求的该项组播业务的权限，当用户设备1有接入该 项组播业务的权限时第一发送装置14向用户设备1提供该项组播业 务，当用户设备1没有接入该项组播业务的权限时拒绝向用户设备1 提供该项组播业务。

进一步地，该网络接入设备2可以通过两种方式向用户设备1提 供该项组播业务。

第一种方式，如果用户设备1所申请的组播业务的组播流已到达 网路接入设备1，则该网络接入设备2复制用户设备1所申请的该类 组播业务的组播流，并将其通过相应的网络端口(DSL端口)发送至 用户设备1。

第二种方式，如果用户设备1所申请的组播业务的组播流没有到 达网络接入设备2，则该网络接入设备2将向上一级网络转发用户设 备1的组播业务请求消息，即IGMP请求消息，同时上一级网络不再 检查这个组播业务请求的权限，直到该组播业务的组播流传送到该网 络接入设备2，并经由该网络接入设备2转发该组播流给用户设备1。

图7示出图6中所述第一获取装置12的一个具体实施方式，即 用于向网络认证设备获取与所述用户设备相对应的组播业务授权信 息的第一获取装置12的结构示意图。该第一获取装置12包括第二发 送装置121，第一接收装置122以及存储装置123。

首先，第二发送装置121，用于发送所述服务认证请求消息至所 述网络认证设备；

其次，第一接收装置122，用于接收来自所述网络认证设备的与 所述用户设备相对应的所述组播业务授权信息；

最后，存储装置123，用于存储与所述用户设备相对应的所述组 播业务授权信息。

具体地，当网络接入设备2中的第一判断装置11判断出来自用 户设备1的请求消息为用户设备1用于请求某类组播业务而发送至网 络认证设备3的服务认证请求消息(该认证请求消息包括用户标识信 息以及用户身份认证信息)后，该网络接入设备2在该服务认证请求 消息中加入用户设备1的网络标识信息(该网络标识信息包括IP地 址，MAC地址，DSL端口号)，获取装置12中的第二发送装置121 将更新后的服务认证请求消息发送至网络认证设备3用于向网络认证 设备3获取与用户设备1相对应的组播业务授权信息。进一步地，网 络接入设备2中的接收装置接收到来自用户设备1的服务认证请求消 息后，首先判断装置对其中的用户标识信息进行检测，以判断用户设 备1所请求的服务认证的类型，然后，网络接入设备2中的查装置 查合适的网络认证设备并将该服务认证请求消息发送至正确的服 务提供商。

网络认证设备3中的第三接收装置31接收到来自网络接入设备2 的更新后的服务认证请求消息后，第一生成装置根据该服务认证请求 消息，生成与所述用户设备相对应的组播业务授权信息，第三发送装 置36将该组播业务授权信息发送至所述网络接入设备2。

第一获取装置12中的第一接收装置122接收到来自网络认证设 备3发送的组播业务授权信息和认证结果后，存储装置123以网络端 口信息(DSL端口号)以及认证会话标识信息为索引，存储与用户设 备1相对应的组播业务接入权限并将认证结果转发至用户设备1。该 认证会话标识信息可以包括EAP ID或Session ID，也可以包括其他类 型的会话标识信息，关键取决于认证会话所采用的协议，这是本领域 技术人员应能理解，在此不作赘述。

进一步地，EAP协议在通信领域是一种常用的认证方式。EAP 是IETF定义的一个协议，为RFC3748，提供认证时双方交互的消息 格式，每个EAP会话有个标识，让会话双方理解所认证的处理是属 于哪次会话，也即授权的结果是与哪次认证有关。采用认证会话标识 信息可以在用户设备1要求取消某类组播业务时，根据该认证会话标 识信息有针对性地取消认证的服务。

图8示出根据本发明的另一个具体实施方式的，在接入网络的网 络接入设备中用于控制用户设备退出组播业务的控制装置的结构示 意图。该控制装置2包括第二接收装置21，第一提取装置22以及第 二删除装置23。

在本具体实施方式中，首先，第二接收装置21，接收来自用户设 备的组播业务取消请求消息；

第一提取装置22，从所述组播业务取消请求消息中提取认证会话 标识信息；

第二删除装置23，根据所述认证会话标识信息，删除与该认证会 话标识信息相对应的所述组播业务的接入权限。

具体地，为了避免网络接入设备2的存储负担过重，当用户设备 1需要删除存储于网络接入设备2中的对应于先前所申请的某类网络 业务的接入权限时，用户设备1中的发送装置向网络接入设备2发送 一组播业务取消请求消息(该组播业务取消请求消息包括用户设备1 申请该类组播业务而向网络认证设备3请求身份认证时所产生的认证 会话标识信息以及用户设备1的网络标识信息)，控制装置2中的第 二接收装置21接收到来自用户设备发送的组播业务取消请求消息后， 第一提取装置22从中提取出该用户设备1申请该类组播业务而向网 络认证设备3请求身份认证时所产生的认证会话标识信息，查装置 (为简明起见，图8中未示出)根据该认证会话标识信息查用户设 备1所请求删除的该类网络业务的接入权限，当网络接入设备2查 到用户设备1所请求删除的该类网络业务的接入权限后，第二删除装 置23将存储于网络接入设备2中的用户设备1所请求删除的该类网 络业务的接入权限删除。

进一步地，用户管理系统也可以根据用户标识信息删除存储于网 络接入设备2的对应于用户设备1的组播业务接入权限。

图9示出根据本发明的又一个具体实施方式的，在接入网络的网 络认证设备中用于控制用户设备接入组播业务的辅助控制装置。该控 制装置3包括第三接收装置31，第二提取装置32，认证装置33，查 装置34，第二生成装置35以及第三发送装置36。

在本具体实施方式中，首先，第三接收装置31，接收经由网络接 入设备转发的来自所述用户设备的服务认证请求消息；

其次，第二提取装置32，从所述服务认证请求消息中提取用户身 份认证信息，用户标识信息以及所述用户设备的网络标识信息；

再次，认证装置33，根据所述用户身份认证信息以及所述用户标 识信息，对所述用户进行身份认证；

然后，查装置34，当所述用户设备通过身份认证，则根据所述 用户标识信息，查所述用户设备的接入权限；

随后，第二生成装置35，用于根据所述用户设备的网络标识信息 以及所述用户设备的接入权限，生成与所述用户设备相对应的所述组 播业务授权信息。

最后，第三发送装置36，将所述组播业务授权信息发送至所述网 络接入设备。

具体地，当网络接入设备2中的第一判断装置11判断出来自用户 设备1的请求消息为用户设备1用于请求某类组播业务而发送至网络 认证设备3的服务认证请求消息(该认证请求消息包括用户标识信息 以及用户身份认证信息)后，该网络接入设备2在该服务认证请求消 息中加入用户设备1的网络标识信息(该网络标识信息包括IP地址， MAC地址，DSL端口号)，第一获取装置12中的第二发送装置121 将更新后的服务认证请求消息发送至网络认证设备3用于向网络认证 设备3获取与用户设备1相对应的组播业务授权信息。

控制装置3中的第三接收装置31接收到来自网络接入设备2的 更新后的服务认证请求消息后，第二提取装置32从中提取用户标识 信息以及用户身份认证信息，认证装置33根据该用户标识信息以及 用户身份认证信息，对用户设备1进行身份认证以生成认证结果，用 以判断该用户设备1是否为该类组播业务的合法用户。

当用户设备1通过身份认证后，查装置34根据用户标识信息 在其组播业务接入权限表中查用户设备1所请求的某类组播业务的 接入权限，当该网络认证设备3查到用户设备1所请求的某类组播 业务的接入权限后，第二生成装置35根据用户设备1的网络标识信 息(该网络标识信息包括IP地址，MAC地址，DSL端口号)形成该 用户设备1的网络端口信息(DSL端口号)与该用户设备1所请求的 某类组播业务接入权限的映射关系，以生成与该用户设备1相对应的 组播业务授权信息。进一步地，DSL端口号用于指示网络接入设备2 通过该DSL端口向用户设备1提供其所申请的某类组播业务中的某 项组播业务。当生成组播业务授权信息后，第三发送装置36将与用 户设备1相对应的组播业务授权信息以及认证结果一同发送至网络接 入设备2。

网络接入设备2中的第一接收装置122接收到来自网络认证设备 3发送的组播业务授权信息和认证结果后，存储装置123以网络端口 信息(DSL端口号)以及认证会话标识信息为索引，存储与用户设备 1相对应的组播业务接入权限并将认证结果转发至用户设备1。

在一个优选的实施例中，网络认证设备3中的查装置34在根 据用户标识信息在其组播业务接入权限表中查用户设备1所请求的 某类组播业务的接入权限的同时，也可以在其组播业务接入权限表中 查与该类组播业务相关联的某类网络业务的接入权限，并通过第三 发送装置36将与用户设备1所请求的某类组播业务相关联的一类或 多类网络业务的接入权限与用户设备1所请求的某类组播业务的接入 权限一同发送至网络接入设备2并存储于网络接入设备2中。

在一种变化例中，控制装置中的第三发送装置36也可以不将认 证结果发送至网络接入设备2，而仅仅将组播业务授权信息发送至网 络接入设备2，因为网络接入设备2仅仅凭借接收到组播业务授权信 息就可以知晓该用户设备1已通过身份认证，而用户设备1仅凭其在 预定的某一段时间内未收到认证结果来判断其通过身份认证。当然， 在这种情况下，当用户设备1没有通过身份认证时，第三发送装置36 会发送其未通过身份认证的认证结果至网络接入设备2，并经由网络 接入设备2将未通过身份认证的认证结果发送至用户设备1，因此， 在这种情况下，用户设备1仅凭其在预定的某一段时间内是否收到认 证结果来判断其是否通过身份认证即可。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明 并不局限于上述特定实施方式，本领域技术人员可以在所附权利要求 的范围内做出各种变形或修改。