本发明专利技术涉及一种用于组成员的注册方法及装置。该方法包括:获取组成员GM中保存的多个密钥服务器KS的标识;根据每个KS的标识,确定与GM之间的链路为可用UP状态的至少一个第一KS;根据每个第一KS的标识,获取表示第一KS的注册负载情况的注册负载值;根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS;根据每个第二KS的标识,向第二KS发起申请注册。本发明专利技术实施例的方法及装置,GM排除某些故障的KS或中间设备链路不通的KS,并在可用的KS中根据KS的注册负载值再次选择出适合进行注册的KS。由此能够缩短GM的注册时间,提高GM的注册效率,从而实现及时对需要受到保护的流量进行加密和解密,避免安全隐患。
【技术实现步骤摘要】
用于组成员的注册方法及装置
本专利技术涉及通信
,尤其涉及一种用于组成员的注册方法及装置。
技术介绍
组域虚拟私有网络(英文:GroupDomainVirtualPrivateNetwork,简写:GDVPN)是一种实现密钥和安全策略集中管理的解决方案。GDVPN是一种点到多点的无隧道连接,提供了一种基于组的网络协议安全(英文:InternetProtocolSecurity,简写:IPSec)模型。组是一个安全策略的集合,属于同一个组的各个成员共享相同的安全策略和密钥。图1示出相关技术中的GDVPN组网的示意图。如图1所示,GDVPN可以由密钥服务器(英文:KeyServer,简写:KS)和组成员(英文:GroupMember,GM)组成。其中,KS通过划分不同的组,来管理不同的安全策略和密钥,GM通过加入相应的组,从KS获取该组的安全策略和密钥。如图1所示,在GDVPN组网中,GM向KS的注册过程可以包括:第一阶段,互联网密钥交换(InternetKeyExchange,简写:IKE)协商,包括:GM与KS进行协商,进行双方的身份认证,并在身份认证通过之后,生成用于保护第二阶段的互联网密钥交换安全联盟(英文:IKESecurityAssociation,简写:IKESA)。第二阶段,组解释域(英文:GroupDomainofInterpretation,简写:GDOI)协商,包括:GM向KS发送所在组的标识,例如组ID。KS根据GM所在组的标识向GM发送相应组的安全策略,例如需要受到保护的流量信息、加密算法、认证算法或封装模式等。GM对接收到的安全策略进行验证,如果安全策略可以接受,例如安全协议和加密算法可以支持,则向KS发送确认消息。KS在接收到GM发送的确认消息之后,向GM发送密钥信息,例如加密密钥的密钥(英文:KeyEncryptionKey,简写:KEK)、加密流量的密钥(英文:TrafficEncryptionKey,简写:TEK)等。在GM获取安全策略和密钥之后,GM可以对流量进行加密和解密。相关技术中,GM上可以同时配置多个KS注册地址。GM按照配置顺序依次选择KS申请注册。如果GDVPN组网中存在故障或中间设备链路不通的KS,将会造成组成员GM的注册时间较长,注册效率较低。
技术实现思路
有鉴于此,本专利技术提出了一种用于组成员的注册方法及装置,以解决GDVPN组网中存在故障或中间设备链路不通的KS时造成组成员GM的注册时间较长的问题。在第一方面,本专利技术提出了一种用于组成员的注册方法,所述方法用于组成员GM,所述方法包括:获取GM中保存的多个密钥服务器KS的标识;根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;根据每个所述第二KS的标识,向所述第二KS发起申请注册。结合第一方面,在第一种实现方式中,所述KS的标识为所述KS的IP地址;所述根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS,包括:根据每个所述KS的IP地址,分别向所述KS发送探测报文;在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。结合第一方面,在第二种实现方式中,所述第一KS的标识为所述第一KS的IP地址;所述根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值,包括:根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。结合第一方面,在第三种实现方式中,所述注册负载值为表示注册资源使用情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:对每个所述第一KS的注册负载值进行排序;将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;或所述注册负载值为表示注册资源剩余情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:对每个所述第一KS的注册负载值进行排序;将注册负载值最大的第一KS确定为用于为所述GM进行注册的第二KS。结合第一方面,在第四种实现方式中,所述注册负载值为表示注册资源使用情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:将每个所述第一KS的注册负载值与第一注册负载阈值进行比较;将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS;或所述注册负载值为表示注册资源剩余情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:将每个所述第一KS的注册负载值与第二注册负载阈值进行比较;将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS。结合第一方面,在第五种实现方式中,在KS处于空闲状态时,KS的注册负载值为固定数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:将注册负载值为所述固定数值的第一KS确定为可用于为所述GM进行注册的第二KS。在第二方面,本专利技术提供了一种用于组成员的注册装置,所述装置用于组成员GM,所述装置包括:标识获取模块,用于获取GM中保存的多个密钥服务器KS的标识;第一KS确定模块,用于根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;注册负载值获取模块,用于根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;第二KS确定模块,用于根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;申请注册模块,用于根据每个所述第二KS的标识,向所述第二KS发起申请注册。结合第二方面,在第一种实现方式中,所述KS的标识为所述KS的IP地址;所述第一KS确定模块,包括:探测报文发送子模块,用于根据每个所述KS的IP地址,分别向所述KS发送探测报文;第一KS确定子模块,用于在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。结合第二方面,在第二种实现方式中,所述第一KS的标识为所述第一KS的IP地址;所述注册负载值获取模块,包括:注册负载值发送子模块,用于根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;注册负载值接收子模块,用于接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。结合第二方面,在第三种实现方式中,所述注册负载值为表示注册资源使用情况的数值;所述第二KS确定模块,包括:排序子模块,用于对每个所述第一KS的注册负载值进行排序;第二KS确定子模块,用于将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;或所述注册负载值为表示注册资源剩余情本文档来自技高网...
【技术保护点】
1.一种用于组成员的注册方法,其特征在于,所述方法用于组成员GM,所述方法包括:获取GM中保存的多个密钥服务器KS的标识;根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;根据每个所述第二KS的标识,向所述第二KS发起申请注册。
【技术特征摘要】
1.一种用于组成员的注册方法,其特征在于,所述方法用于组成员GM,所述方法包括:获取GM中保存的多个密钥服务器KS的标识;根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;根据每个所述第二KS的标识,向所述第二KS发起申请注册。2.根据权利要求1所述的方法,其特征在于,所述KS的标识为所述KS的IP地址;所述根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS,包括:根据每个所述KS的IP地址,分别向所述KS发送探测报文;在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。3.根据权利要求1所述的方法,其特征在于,所述第一KS的标识为所述第一KS的IP地址;所述根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值,包括:根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。4.根据权利要求1所述的方法,其特征在于,所述注册负载值为表示注册资源使用情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:对每个所述第一KS的注册负载值进行排序;将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;或所述注册负载值为表示注册资源剩余情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:对每个所述第一KS的注册负载值进行排序;将注册负载值最大的第一KS确定为用于为所述GM进行注册的第二KS。5.根据权利要求1所述的方法,其特征在于,所述注册负载值为表示注册资源使用情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:将每个所述第一KS的注册负载值与第一注册负载阈值进行比较;将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS;或所述注册负载值为表示注册资源剩余情况的数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:将每个所述第一KS的注册负载值与第二注册负载阈值进行比较;将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS。6.根据权利要求1所述的方法,其特征在于,在KS处于空闲状态时,KS的注册负载值为固定数值;所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:将注册负载值为所述固定数值的第一KS确定为可用于为所述G...
【专利技术属性】
技术研发人员:王文龙,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。