一种密钥信息的传输方法和设备技术

本发明专利技术公开了一种密钥信息的传输方法和设备，该方法包括：KS确定本KS的分级角色；当分级角色为分发KS时，分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给分发KS的下一级KS；当分级角色为中转KS时，中转KS接收来自中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给中转KS的下一级KS；当分级角色为接入KS时，接入KS接收来自接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；接入KS确定GM所在组对应的安全策略和密钥信息，并以单播方式将当前确定的安全策略和密钥信息下发给所述GM。本发明专利技术实施例中，使GDVPN系统的网络规模不再受限于KS的CPU性能。

【技术实现步骤摘要】
一种密钥信息的传输方法和设备
本专利技术涉及通信
，尤其涉及一种密钥信息的传输方法和设备。
技术介绍
GDVPN(GroupDomainVirtualPrivateNetwork，组域虚拟专用网络)提供了一种基于组的IPsec(InternetProtocolSecurity，IP协议安全)安全模型。组是安全策略的集合，属于同一个组的所有成员共享相同的安全策略和密钥。如图1所示，为GDVPN系统的组网示意图，KS(KeyServer，密钥服务器)通过划分不同的组来管理不同的安全策略和密钥，GM(GroupMember，组成员)通过加入相应的组，以从KS获取该组对应的安全策略和密钥。具体的，GM向KS发送所在组的组ID(标识)。KS根据GM提供的组ID向GM发送相应组的安全策略(保护的数据流信息、加密算法、认证算法、封装模式等)。GM对收到的安全策略进行验证，如果这些策略是可接受的(例如安全协议和加密算法是可支持的)，则向KS发送确认消息。KS收到GM的确认消息后，向GM发送密钥信息，由GM利用该密钥信息对数据进行加密和解密。进一步的，如果在KS上配置了Rekey(密钥更新)的相关参数，则KS还会周期性的向GM发送密钥更新消息，且该密钥更新消息中携带了最新的SA(SecurityAssociation，安全联盟)信息。其中，KS是通过向每个GM发送单播的密钥更新消息，以通过密钥更新消息将最新的SA信息通知给各GM的。当GDVPN系统中存在大量的GM时，KS需要周期性的向每个GM发送密钥更新消息，导致KS在每个发送周期内，均需要发送大量的密钥更新消息，从而导致GDVPN系统的网络规模将受限于KS的CPU(CentralProcessingUnit，中央处理器)性能，并且GDVPN系统中能够部署的GM数量有限。
技术实现思路
本专利技术实施例提供一种密钥信息的传输方法，所述方法包括以下步骤：密钥服务器KS确定本KS的分级角色；当分级角色为分发KS时，所述分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS；当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS；当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；所述接入KS确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。所述方法进一步包括：所述分发KS将安全策略和密钥信息下发给所述分发KS的下一级KS的过程，具体包括：所述分发KS在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS；或者，所述分发KS在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS；所述中转KS将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS，具体包括：所述中转KS在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS；或者，所述中转KS在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。所述接入KS确定组成员GM所在组对应的安全策略和密钥信息的过程，具体包括：所述接入KS在接收到GM向本接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；如果存在，则所述接入KS利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息；如果不存在，则所述接入KS向所述接入KS的上一级KS发送携带所述GM所在组的组标识的注册消息；由所述接入KS的上一级KS确定所述GM所在组对应的安全策略和密钥信息，并将所述GM所在组对应的安全策略和密钥信息下发给所述接入KS；所述接入KS接收所述接入KS的上一级KS下发的所述GM所在组对应的安全策略和密钥信息。所述方法进一步包括：当分级角色为分发KS时，如果所述分发KS上配置了密钥更新Rekey参数，则所述分发KS周期性的向所述分发KS的下一级KS发送密钥更新消息；当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的密钥更新消息，并将所述密钥更新消息转发给所述中转KS的下一级KS，并利用所述密钥更新消息刷新本地的密钥信息；当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的密钥更新消息，并以单播方式将所述密钥更新消息转发给相应组内的GM，并利用所述密钥更新消息刷新本地的密钥信息；其中，所述密钥更新消息中携带了安全联盟SA信息和密钥信息。所述SA信息具体包括：加密算法、认证算法、密钥使用期限等；所述密钥信息具体包括：加密流量的密钥TEK以及加密密钥的密钥KEK。本专利技术实施例提供一种密钥服务器KS，所述KS具体包括：确定模块，用于确定所述KS的分级角色；处理模块，用于当分级角色为分发KS时，生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS；或者，当分级角色为中转KS时，接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS；或者，当分级角色为接入KS时，接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；以及，确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。所述处理模块，具体用于在将安全策略和密钥信息下发给所述分发KS的下一级KS的过程中，在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS；或者，在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS；所述处理模块，具体用于在将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS的过程中，在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS；或者，在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。所述处理模块，具体用于当分级角色为接入KS时，在确定GM所在组对应的安全策略和密钥信息的过程中，在接收到GM向所述接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；如果存在，则利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息；如果不本文档来自技高网...

【技术保护点】
一种密钥信息的传输方法，其特征在于，所述方法包括以下步骤：密钥服务器KS确定本KS的分级角色；当分级角色为分发KS时，所述分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS；当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS；当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；所述接入KS确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。

【技术特征摘要】
1.一种密钥信息的传输方法，其特征在于，所述方法包括以下步骤：密钥服务器KS确定本KS的分级角色；当分级角色为分发KS时，所述分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS；当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS；当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；所述接入KS确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。2.如权利要求1所述的方法，其特征在于，所述方法进一步包括：所述分发KS将安全策略和密钥信息下发给所述分发KS的下一级KS的过程，具体包括：所述分发KS在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS；或者，所述分发KS在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS；所述中转KS将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS，具体包括：所述中转KS在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS；或者，所述中转KS在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。3.如权利要求2所述的方法，其特征在于，所述接入KS确定组成员GM所在组对应的安全策略和密钥信息的过程，具体包括：所述接入KS在接收到GM向本接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；如果存在，则所述接入KS利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息；如果不存在，则所述接入KS向所述接入KS的上一级KS发送携带所述GM所在组的组标识的注册消息；由所述接入KS的上一级KS确定所述GM所在组对应的安全策略和密钥信息，并将所述GM所在组对应的安全策略和密钥信息下发给所述接入KS；所述接入KS接收所述接入KS的上一级KS下发的所述GM所在组对应的安全策略和密钥信息。4.如权利要求1所述的方法，其特征在于，所述方法进一步包括：当分级角色为分发KS时，如果所述分发KS上配置了密钥更新Rekey参数，则所述分发KS周期性的向所述分发KS的下一级KS发送密钥更新消息；当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的密钥更新消息，并将所述密钥更新消息转发给所述中转KS的下一级KS，并利用所述密钥更新消息刷新本地的密钥信息；当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的密钥更新消息，并以单播方式将所述密钥更新消息转发给相应组内的GM，并利用所述密钥更新消息刷新本地的密钥信息；其中，所述密钥更新消息中携带了安全联盟SA信息和密钥信息。5.如权利要求4所述的方法，其特征在于，所述SA信息具体包括：加密算法、认证算法、密钥使用期限等；...

【专利技术属性】
技术研发人员：罗忠海，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33