密钥更新方法、密钥服务器及组成员设备技术

本发明专利技术公开了一种密钥更新方法，该方法包括：密钥服务器KS确定至少一个代理组成员GM以及每个代理GM对应的二级GM；针对每个代理GM，将确定出的该代理GM对应的二级GM地址信息告知该代理GM；进行密钥更新时，KS发送密钥推送消息给代理GM，使得代理GM将所述密钥推送消息转发给自身对应的各二级GM。

【技术实现步骤摘要】

本专利技术涉及通信
,特别是涉及一种密钥更新方法、密钥服务器及组成员设备。
技术介绍
GDVPN(GroupDomainVirtualPrivateNetwork，组域虚拟私有网)是一种实现密钥和安全策略集中管理的解决方案。传统的IPsecVPN(InternetProtocolsecurityVirtualPrivateNetwork，IP安全虚拟私有网)是一种点到点的隧道连接，而GDVPN是一种点到多点的无隧道连接。GDVPN的典型应用体现为对组播流量的保护，例如音频、视频广播和组播文件的安全传输。GDVPN提供了一种新的基于组的IPsec安全模型。组是一个安全策略的集合，属于同一个组的所有成员共享相同的安全策略及密钥。如图1所示，GDVPN由KS(KeyServer，密钥服务器)和GM(GroupMember，组成员)组成，其中，KS通过划分不同的组来管理不同的安全策略和密钥，GM通过加入相应的组，从KS获取安全策略及密钥，并负责对数据流量加密和解密。在GDVPN组网中，GM需要向KS注册，这个注册过程依次包括两个阶段的协商：1、一阶段IKE(InternetKeyExchange，互联网密钥交换)协商：GM与KS进行协商，进行双方的身份认证，身份认证通过后，生成用于保护二阶段GDOI(GroupDomainofInterpretation，组解释域)协商的IKESA(SecurityAssociation，安全联盟)。2、二阶段GDOI协商：由GDOI协议定义其协商过程，这是一个GM从KS上“拉”策略的过程。具体地，上述注册过程包含如下几个步骤(1)GM与KS进行一阶段IKE协商；(2)GM向KS发送所在组的标识(ID)；(3)KS根据GM提供的组ID向GM发送相应组的安全策略(保护的数据流信息、加密算法、认证算法、封装模式等)；(4)GM对收到的安全策略进行验证，如果这些策略是可接受的(例如安全协议和加密算法是可支持的)，则向KS发送确认消息；(5)KS收到GM的确认消息后，向GM发送密钥信息，包括加密密钥的密钥(KeyEncryptionKey，KEK)和加密流量的密钥(TrafficEncryptionKey，TEK)。通过上述过程，GM把KS上的SA策略和密钥\拉\到了本地。当GM获取了安全策略和密钥之后，就可以在GM之间加、解密数据了。完成注册后，KS会定期向GM推送新的密钥，周期为KEK、TEK的生命期。推送新密钥通过GroupKey-Push(组域密钥推送)消息完成，该消息由KS发送给GM，GM不对GroupKey-Push消息回应GroupKey-PushACK(Acknowledgement，确认)消息，KS以一定时间间隔，重复发送几次GroupKey-Push消息即结束，认为推送新密钥已经完成。但是这种处理方法并不能保证推送新密钥的GroupKey-Push消息一定被GM接收到，只能保证通常情况下会被GM接收到，即KS无法知晓GM是否成功接收GroupKey-Push消息。对此，现有技术为确保GM一定可以收到GroupKey-Push消息，引入一种GroupKey-PushACK消息，即GM成功接收到KS发送的GroupKey-Push消息后，回应GroupKey-PushACK消息给KS，如果KS发送GroupKey-Push消息后，在一定时间内未收到GM回复的GroupKey-PushACK消息，则会重传GroupKey-Push消息，如果在重传若干次后仍没有收到GroupKey-PushACK消息，则认为该GM下线，向该GM推送新密钥失败。但是，这种处理也存在弊端：大规模组网环境下，GM数量达到数千以上，GM向KS注册过程相对分散，而KS向GM推送新密钥的过程相对集中，要求KS同时向数千以上的GM发送GroupKey-Push消息，并接收数千以上的GM回复的GroupKey-PushACK消息，会造成KS负担过重，进而使得向部分GM推送新密钥失败。
技术实现思路
有鉴于此，本专利技术提出了一种密钥更新方法、密钥服务器及组成员设备，在密钥更新时有效降低了KS的负担。本专利技术提出的技术方案是：一种密钥更新方法，该方法包括：密钥服务器KS确定至少一个代理组成员GM以及每个代理GM对应的二级GM；针对每个代理GM，将确定出的该代理GM对应的二级GM地址信息告知该代理GM；进行密钥更新时，KS发送密钥推送消息给代理GM，使得代理GM将所述密钥推送消息转发给自身对应的各二级GM。一种密钥更新方法，该方法包括：代理组成员GM接收密钥服务器KS发送的密钥推送消息；所述代理GM接收所述KS发送二级GM通知消息，所述二级GM通知消息携带所述代理GM对应的二级GM的地址信息，根据所述二级GM通知消息确定自身对应的二级GM；或者，所述密钥推送消息携带述代理GM对应的二级GM的地址信息，根据所述密钥推送消息确定自身对应的二级GM；转发所述密钥推送消息给所述自身对应的二级GM。一种密钥服务器设备，该设备包括：处理模块，用于确定至少一个代理组成员GM以及每个代理GM对应的二级GM；发送模块，用于针对每个代理GM，将确定出的该代理GM对应的二级GM地址信息告知该代理GM；进行密钥更新时，发送密钥推送消息给代理GM，使得代理GM将所述密钥推送消息转发给自身对应的各二级GM。一种组成员设备，该设备为代理GM时，包括：接收模块，用于接收密钥服务器KS发送的密钥推送消息；还用于接收所述KS发送二级GM通知消息，所述二级GM通知消息携带所述代理GM对应的二级GM的地址信息，根据所述二级GM通知消息确定自身对应的二级GM；或者，所述密钥推送消息携带述代理GM对应的二级GM的地址信息，根据所述密钥推送消息确定自身对应的二级GM；发送模块，用于转发所述密钥推送消息给所述自身对应的二级GM。综上，本专利技术提出了一种密钥更新方法，KS确定出代理GM以及每个代理GM对应的二级GM，并将确定出的代理GM对应的二级GM地址信息告知该代理GM，进行密钥更新时，KS发送密钥推送消息给代理GM，使得代理GM将所述密钥推送消息转发给自身对应的各二级GM，该方法中，KS仅需发送密钥推送消息给代理GM，由代理GM将密钥推送消息转发给自身对应的二级GM，大大降低了KS进行密钥更新时的负担。附图说明图1为GDVP本文档来自技高网...

【技术保护点】
一种密钥更新方法，其特征在于，该方法包括：密钥服务器KS确定至少一个代理组成员GM以及每个代理GM对应的二级GM；针对每个代理GM，将确定出的该代理GM对应的二级GM地址信息告知该代理GM；进行密钥更新时，KS发送密钥推送消息给代理GM，使得代理GM将所述密钥推送消息转发给自身对应的各二级GM。

【技术特征摘要】
1.一种密钥更新方法，其特征在于，该方法包括：
密钥服务器KS确定至少一个代理组成员GM以及每个代理GM对应的二
级GM；
针对每个代理GM，将确定出的该代理GM对应的二级GM地址信息告知
该代理GM；
进行密钥更新时，KS发送密钥推送消息给代理GM，使得代理GM将所述
密钥推送消息转发给自身对应的各二级GM。
2.根据权利要求1所述的方法，其特征在于，所述密钥服务器KS确定至
少一个代理组成员GM以及每个代理GM对应的二级GM，具体包括：
所述KS将GM进行代理域划分；
在划分出的每个代理域中选择一个GM确定为代理GM，该代理域内的其
它GM确定为该代理域内代理GM对应的二级GM。
3.根据权利要求2所述的方法，其特征在于，所述KS将GM进行代理域
划分包括：
所述KS根据地址段或网段划分代理域，将属于同一地址段或同一网段的
GM划分到同一代理域；
或者，所述KS根据预设的地址个数划分代理域，每个代理域包含的GM
个数不超过所述地址个数；
或者，将所有GM划分为至少一个代理域，划分的代理域个数不超过预设
的代理域个数。
4.根据权利要求2所述的方法，其特征在于，该方法进一步包括：
如果所述KS在预设时间内没有接收到代理GM回应的密钥推送确认消息，
重传所述密钥推送消息给未回应密钥推送确认消息的代理GM，所述密钥推送
确认消息是代理GM接收到所述密钥推送消息后发送给所述KS的；
如果重传次数达到上限值仍未收到所述密钥推送确认消息，则确定所述未
回应密钥推送确认消息的代理GM为失效代理GM，从该失效代理GM所属的

\t代理域中重新确定代理GM，将重新确定出的代理GM对应的二级GM地址信
息告知该代理GM，并发送密钥推送消息给重新确定出的代理GM。
5.根据权利要求1所述的方法，其特征在于，所述针对每个代理GM，将
确定出的该代理GM对应的二级GM地址信息告知该代理GM具体包括：
针对每一个代理GM，所述KS发送二级GM通知消息给该代理GM，所
述二级GM通知消息携带该代理GM对应的二级GM的地址信息。
6.根据权利要求1所述的方法，其特征在于，所述针对每个代理GM，将
确定出的该代理GM对应的二级GM地址信息告知该代理GM；进行密钥更
新时，KS发送密钥推送消息给代理GM，使得代理GM将所述密钥推送消息转
发给自身对应的各二级GM具体包括：
进行密钥更新时，针对每一个代理GM，所述KS发送密钥推送消息给该代
理GM，发送给该代理GM的密钥推送消息携带该代理GM对应的二级GM的
地址信息，以使该代理GM获知自身对应的二级GM，并将所述密钥推送消息
转发给自身对应的二级GM。
7.一种密钥更新方法，其特征在于，该方法包括：
代理组成员GM接收密钥服务器KS发送的密钥推送消息；
所述代理GM接收所述KS发送二级GM通知消息，所述二级GM通知消
息携带所述代理GM对应的二级GM的地址信息，根据所述二级GM通知消息
确定自身对应的二级GM；或者，所述密钥推送消息携带述代理GM对应的二
级GM的地址信息，根据所述密钥推送消息确定自身对应的二级GM；
转发所述密钥推送消息给所述自身对应的二级GM。
8.根据权利要求7所述的方法，其特征在于，该方法进一步包括：
所述代理GM接收自身对应的二级GM回应的密钥推送确认消息，所述密
钥推送确认消息是所述代理GM对应的二级GM接收到所述密钥推送消息后发
送给所述KS的。
9.根据权利要求8所述的方法，其特征在于，该方法进一步包括：
所述代理GM确定未回应密钥推送确认消息的二级GM；
发送密钥推送结果消息给所述KS，所述密钥推送结果消息携带确定出的未
回应密钥推送确认消息的二级GM的地址信息。
10.一种密钥服务器KS设备，其特征在于，该设备包括：
处理模块，用于确定至少一个代理组成员GM以及每个代...

【专利技术属性】
技术研发人员：孙鲁东，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33