【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种密钥更新方法、密钥服务器及组成员设备。
技术介绍
GDVPN(GroupDomainVirtualPrivateNetwork,组域虚拟私有网)是一种实现密钥和安全策略集中管理的解决方案。传统的IPsecVPN(InternetProtocolsecurityVirtualPrivateNetwork,IP安全虚拟私有网)是一种点到点的隧道连接,而GDVPN是一种点到多点的无隧道连接。GDVPN的典型应用体现为对组播流量的保护,例如音频、视频广播和组播文件的安全传输。GDVPN提供了一种新的基于组的IPsec安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略及密钥。如图1所示,GDVPN由KS(KeyServer,密钥服务器)和GM(GroupMember,组成员)组成,其中,KS通过划分不同的组来管理不同的安全策略和密钥,GM通过加入相应的组,从KS获取安全策略及密钥,并负责对数据流量加密和解密。在GDVPN组网中,GM需要向KS注册,这个注册过程依次包括两个阶段的协商:1、一阶段IKE(InternetKeyExchange,互联网密钥交换)协商:GM与KS进行协商,进行双方的身份认证,身份认证通过后,生成用于保护二阶段GDOI(GroupDomainofInterpretation,组解释域)协商的IKESA(SecurityAsso ...
【技术保护点】
一种密钥更新方法,其特征在于,该方法包括:密钥服务器KS确定至少一个代理组成员GM以及每个代理GM对应的二级GM;针对每个代理GM,将确定出的该代理GM对应的二级GM地址信息告知该代理GM;进行密钥更新时,KS发送密钥推送消息给代理GM,使得代理GM将所述密钥推送消息转发给自身对应的各二级GM。
【技术特征摘要】
1.一种密钥更新方法,其特征在于,该方法包括:
密钥服务器KS确定至少一个代理组成员GM以及每个代理GM对应的二
级GM;
针对每个代理GM,将确定出的该代理GM对应的二级GM地址信息告知
该代理GM;
进行密钥更新时,KS发送密钥推送消息给代理GM,使得代理GM将所述
密钥推送消息转发给自身对应的各二级GM。
2.根据权利要求1所述的方法,其特征在于,所述密钥服务器KS确定至
少一个代理组成员GM以及每个代理GM对应的二级GM,具体包括:
所述KS将GM进行代理域划分;
在划分出的每个代理域中选择一个GM确定为代理GM,该代理域内的其
它GM确定为该代理域内代理GM对应的二级GM。
3.根据权利要求2所述的方法,其特征在于,所述KS将GM进行代理域
划分包括:
所述KS根据地址段或网段划分代理域,将属于同一地址段或同一网段的
GM划分到同一代理域;
或者,所述KS根据预设的地址个数划分代理域,每个代理域包含的GM
个数不超过所述地址个数;
或者,将所有GM划分为至少一个代理域,划分的代理域个数不超过预设
的代理域个数。
4.根据权利要求2所述的方法,其特征在于,该方法进一步包括:
如果所述KS在预设时间内没有接收到代理GM回应的密钥推送确认消息,
重传所述密钥推送消息给未回应密钥推送确认消息的代理GM,所述密钥推送
确认消息是代理GM接收到所述密钥推送消息后发送给所述KS的;
如果重传次数达到上限值仍未收到所述密钥推送确认消息,则确定所述未
回应密钥推送确认消息的代理GM为失效代理GM,从该失效代理GM所属的
\t代理域中重新确定代理GM,将重新确定出的代理GM对应的二级GM地址信
息告知该代理GM,并发送密钥推送消息给重新确定出的代理GM。
5.根据权利要求1所述的方法,其特征在于,所述针对每个代理GM,将
确定出的该代理GM对应的二级GM地址信息告知该代理GM具体包括:
针对每一个代理GM,所述KS发送二级GM通知消息给该代理GM,所
述二级GM通知消息携带该代理GM对应的二级GM的地址信息。
6.根据权利要求1所述的方法,其特征在于,所述针对每个代理GM,将
确定出的该代理GM对应的二级GM地址信息告知该代理GM;进行密钥更
新时,KS发送密钥推送消息给代理GM,使得代理GM将所述密钥推送消息转
发给自身对应的各二级GM具体包括:
进行密钥更新时,针对每一个代理GM,所述KS发送密钥推送消息给该代
理GM,发送给该代理GM的密钥推送消息携带该代理GM对应的二级GM的
地址信息,以使该代理GM获知自身对应的二级GM,并将所述密钥推送消息
转发给自身对应的二级GM。
7.一种密钥更新方法,其特征在于,该方法包括:
代理组成员GM接收密钥服务器KS发送的密钥推送消息;
所述代理GM接收所述KS发送二级GM通知消息,所述二级GM通知消
息携带所述代理GM对应的二级GM的地址信息,根据所述二级GM通知消息
确定自身对应的二级GM;或者,所述密钥推送消息携带述代理GM对应的二
级GM的地址信息,根据所述密钥推送消息确定自身对应的二级GM;
转发所述密钥推送消息给所述自身对应的二级GM。
8.根据权利要求7所述的方法,其特征在于,该方法进一步包括:
所述代理GM接收自身对应的二级GM回应的密钥推送确认消息,所述密
钥推送确认消息是所述代理GM对应的二级GM接收到所述密钥推送消息后发
送给所述KS的。
9.根据权利要求8所述的方法,其特征在于,该方法进一步包括:
所述代理GM确定未回应密钥推送确认消息的二级GM;
发送密钥推送结果消息给所述KS,所述密钥推送结果消息携带确定出的未
回应密钥推送确认消息的二级GM的地址信息。
10.一种密钥服务器KS设备,其特征在于,该设备包括:
处理模块,用于确定至少一个代理组成员GM以及每个代...
【专利技术属性】
技术研发人员:孙鲁东,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。