本发明专利技术公开了一种多密钥服务器备份的方法及设备、密钥服务器,涉及通信技术领域。本发明专利技术公开的方法,包括:组成员GM配置多个KS后,所述组成员GM向所有KS均发起第一阶段的密钥交换IKE协商,生成第一阶段的密钥,并向所有KS分别发送组标识ID;所述GM收到各KS反馈的安全策略后,从收到安全策略的KS中选择一个KS为当前KS,向所述当前KS发送确认消息,并将已选择的当前KS和其安全策略信息同步到其他所有KS;所述GM收到当前KS反馈的加密流量的密钥TEK和加密密钥的密钥KEK后,将当前KS的TEK和KEK同步到其他所有KS。本申请技术方案通过GM向所有KS转发同步消息,达到多KS数据一致的目的。
【技术实现步骤摘要】
本申请涉及通信
,特别涉及一种GETVPN(GroupEncryptedTransportVirtualPrivateNetwork,组加密传输虚拟私有网络)中多KEYSERVER(KS,密钥服务器)备份的方案。
技术介绍
GETVPN(GroupEncryptedTransportVirtualPrivateNetwork,组加密传输虚拟私有网络)是一种基于组的IPsec安全模型,同一个组的成员GM(GroupMember,组成员)共享相同的安全策略和密钥等信息。KS(KeyServer,密钥服务器)按不同的组来管理各个组的安全策略和密钥等信息,KS负责将安全策略和密钥等信息下发给来注册的GM,并负责在密钥生命期超时前,通过rekey消息通知GM更新密钥。如图1所示,传统的GM和KS之间交互过程如下:1、GM向KS发起第一阶段的IKE协商,生成第一阶段的密钥,用于加密后面GM与KS之间交互的消息;2、GM向KS发送组ID;3、KS根据GM发送来的组ID,查询本地配置的信息,向GM发送该组对应的安全策略(包括感兴趣的数据流信息,加密、认证算法,封装模式等);4、GM收到安全策略后,向KS发送确认消息;5、KS收到GM发来的确认消息后,给GM发送密钥信息,TEK(TranficEncrytionKey,加密流量的密钥,用于加密GM之间的流量)和KEK(KeyEncrytionKey,加密密钥的密钥,用于加密KS向GM发送的Rekey报文);6、在密钥生命周期到期之前,KS会向GM发送rekey消息来更新密钥,如果GM一直未收到rekey消息,将会重新向KS发起一次注册过程,重新获取安全策略和密钥。在GETVPN网络中,KS集中管理所有安全策略和密钥等信息,一旦KS发生故障,就会直接影响到相关的加密业务,部署多台KS,提供KS的备份就显得尤为重要。
技术实现思路
本专利技术所要解决的技术问题是,提供一种多密钥服务器KS备份的方法及设备、密钥服务器,以解决多KS之间数据可能不一致的问题。为了解决上述技术问题,本专利技术公开了一种多密钥服务器KS备份的方法,该方法包括:组成员GM配置多个KS后,所述组成员GM向所有KS均发起第一阶段的密钥交换IKE协商,生成第一阶段的密钥,并向所有KS分别发送组标识ID;所述GM收到各KS反馈的安全策略后,从收到安全策略的KS中选择一个KS为当前KS,向所述当前KS发送确认消息,并将已选择的当前KS和其安全策略信息同步到其他所有KS;所述GM收到当前KS反馈的加密流量的密钥TEK和加密密钥的密钥KEK后,将当前KS的TEK和KEK同步到其他所有KS。可选地,上述方法还包括:在密钥生命周期到期之前,若所述GM一直未收到当前KS发送的更新密钥消息,则向所有KS发送密钥更新请求消息;所述GM从收到更新密钥消息的KS中重新选择一个KS为当前KS,并将重新选择的当前KS和其安全策略信息同步到其他所有KS。可选地,上述方法还包括:各KS接收GM发送的组ID,查询该组ID对应的本地配置的信息;若所述KS查询到该组ID对应的本地配置的信息,则向GM发送该组对应的安全策略;若所述KS未查询到该组ID对应的本地配置的信息,则临时记录该组ID,待收到该组ID对应的信息时进行保存。可选地,上述方法中,所述KS临时记录该组ID后,若在设定时长内未收到该组任何信息,则删除临时记录的该组ID。本专利技术还公开了一种多密钥服务器KS备份的设备,该设备包括:第一单元,在配置有多个KS时,向所有KS均发起第一阶段的密钥交换IKE协商,生成第一阶段的密钥,并向所有KS分别发送组标识ID;第二单元,收到各KS反馈的安全策略后,从收到的安全策略的KS中选择一个为当前KS,向所述当前KS发送确认消息,并将已选择的当前KS和其安全策略信息同步到其他所有KS;第三单元,在收到当前KS反馈的加密流量的密钥TEK和加密密钥的密钥KEK后,将当前KS的TEK和KEK同步到其他所有KS。可选地,上述设备还包括:第三单元,在密钥生命周期到期之前,若一直未收到当前KS发送的更新密钥消息,则向所有KS发送密钥更新请求消息;此时,所述第二单元,从收到的更新密钥消息的KS中重新选择一个KS为当前KS,并将重新选择的当前KS和其安全策略信息同步到其他所有KS。本专利技术还公开了一种密钥服务器KS,包括:第一单元,接收组成员GM发送的组标识ID,查询该组ID对应的本地配置的信息;第二单元,在查询到该组ID对应的本地配置的信息时,向GM发送该组对应的安全策略;在未查询到该组ID对应的本地配置的信息,则临时记录该组ID,待收到该组ID对应的信息时进行保存。可选地,上述服务器中,所述第二单元,临时记录该组ID后,若在设定时长内未收到该组任何信息,则删除临时记录的该组ID。本申请技术方案通过GM向所有KS转发同步消息,达到多KS数据一致的目的。与现有技术相比,本申请具有如下优点:KS之间不需要再部署特定的冗余备份协议,降低对KS的设备要求,通过GM向所有KS转发同步消息,即可实现多KS数据一致,方便可行,易于实现;只要配置一台KS设备,即可实现所有KS数据的统一,不需要每台KS都去进行大量数据配置和同步,更智能化;当密钥信息、选中KS等信息有变化时,GM会立即通知到其他KS,实现快速实时同步;当GM和KS之间链路出现故障时,备份的KS可直接进行rekey,而不需要GM重新向KS发起新一轮的注册协商。附图说明图1是本专利技术所涉及的传统的GM和KS之间交互过程示意图;图2是本专利技术实施例中GM向KS注册过程多KS备份的流程图;图3是本专利技术实施例中REKEY过程中多KS备份的流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,下文将结合附图对本专利技术技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。实施例1本实施例提供一种多密钥服务器KS备份的方法,主要包括如下操作:组成员GM配置多个KS后,GM向所有KS均发起第一阶段的密钥交换IKE协商,生成第一阶段的密钥,并向所有KS分别发送组标识ID;GM收到各KS反馈的安全策略后,从收到安全策略的KS中选择一个KS为当前KS,向当前KS发送确认消息,并将已选择的当前KS和其安全策略信息同步到其他所有KS;GM收到当前KS反馈的TEK和KEK后,将当前KS的TEK和KEK同步到其他所有KS。基于上述方法,还可以包括密钥更新操作,即在密钥生命周期到期之前,若GM一直未收到当前KS发送的更新密钥消息,则向所有KS发送密钥更新请求消息。GM从收到更新密钥消息的KS中重新选择一个KS为当前KS,并将重新选择的当前KS和其安全策略信息同步到其他所有KS即可。针对上述GM侧的操作,KS侧的操作包括:KS根据GM发送来的组ID,查询本地配置的信息,向GM发送该组对应的安全策略(包括感兴趣的数据流信息,加密、认证算法,封装模式等);如果KS上没有该组对应的安全策略,则临时记录组ID等已知信息。如后续设定时长内一直未收到该组任何信息,则删除临时记录的信息即可。要说明的是,GM向所有KS均发起第一阶段的IKE协商,并下发组ID后,选择当前K本文档来自技高网...
【技术保护点】
一种多密钥服务器KS备份的方法,其特征在于,该方法包括:组成员GM配置多个KS后,所述组成员GM向所有KS均发起第一阶段的密钥交换IKE协商,生成第一阶段的密钥,并向所有KS分别发送组标识ID;所述GM收到各KS反馈的安全策略后,从收到安全策略的KS中选择一个KS为当前KS,向所述当前KS发送确认消息,并将已选择的当前KS和其安全策略信息同步到其他所有KS;所述GM收到当前KS反馈的加密流量的密钥TEK和加密密钥的密钥KEK后,将当前KS的TEK和KEK同步到其他所有KS。
【技术特征摘要】
1.一种多密钥服务器KS备份的方法,其特征在于,该方法包括:组成员GM配置多个KS后,所述组成员GM向所有KS均发起第一阶段的密钥交换IKE协商,生成第一阶段的密钥,并向所有KS分别发送组标识ID;所述GM收到各KS反馈的安全策略后,从收到安全策略的KS中选择一个KS为当前KS,向所述当前KS发送确认消息,并将已选择的当前KS和其安全策略信息同步到其他所有KS;所述GM收到当前KS反馈的加密流量的密钥TEK和加密密钥的密钥KEK后,将当前KS的TEK和KEK同步到其他所有KS。2.如权利要求1所述的方法,其特征在于,该方法还包括:在密钥生命周期到期之前,若所述GM一直未收到当前KS发送的更新密钥消息,则向所有KS发送密钥更新请求消息;所述GM从收到更新密钥消息的KS中重新选择一个KS为当前KS,并将重新选择的当前KS和其安全策略信息同步到其他所有KS。3.如权利要求1或2所述的方法,其特征在于,该方法还包括:各KS接收GM发送的组ID,查询该组ID对应的本地配置的信息;若所述KS查询到该组ID对应的本地配置的信息,则向GM发送该组对应的安全策略;若所述KS未查询到该组ID对应的本地配置的信息,则临时记录该组ID,待收到该组ID对应的信息时进行保存。4.如权利要求3所述的方法,其特征在于,所述KS临时记录该组ID后,若在设定时长内未收到该组任何信息,则删除临时记录的该组ID。5.一种多...
【专利技术属性】
技术研发人员:李莹,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。