【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种GDVPN的注册方法和装置。
技术介绍
GDVPN(GroupDomainVirtualPrivateNetwork,组域虚拟私有网络)是一种实现密钥和安全策略集中管理的解决方案。GDVPN是一种点到多点的无隧道连接,提供了一种基于组的IPsec(IPSecurity,IP安全)安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略和密钥。如图1所示,GDVPN可以由KS(KeyServer,密钥服务器)和多个GM(GroupMember,组成员)组成。其中,KS通过划分不同的组,来管理不同的安全策略和密钥,GM通过加入相应的组,从KS获取该组的安全策略和密钥。在GDVPN中,GM注册过程包括:第一阶段,IKE(InternetKeyExchange,互联网密钥交换)协商,GM与KS进行协商,进行双方的身份认证,身份认证通过后,生成用于保护第二阶段的IKESA(SecurityAssociation,安全联盟)。第二阶段,GDOI(GroupDomainofInterpretation,组解释域)协商,GM向KS发送自身的组ID(标识),KS根据GM的组标识向GM发送相应组的安全策略,GM对收到的安全策略进行验证,如果安全策略是可接受的,则向KS发送确认消息,KS收到确认消息后,向GM发送密钥信息,如KEK(KeyEncryptionKey,加密密钥的密钥)、TEK(TrafficEncryptionKey,加密流量的密钥)等。在第二阶段中,GM需 ...
【技术保护点】
一种组域虚拟私有网络GD VPN的注册方法,应用于包括密钥服务器KS和多个组成员GM的GD VPN中,其特征在于,所述方法包括以下步骤:所述KS对GM进行认证;所述KS对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;所述KS接收来自所述GM的携带组标识的第一注册消息;所述KS将所述第一注册消息携带的组标识对应的安全策略和密钥信息发送给所述GM。
【技术特征摘要】
1.一种组域虚拟私有网络GDVPN的注册方法,应用于包括密钥服务器KS
和多个组成员GM的GDVPN中,其特征在于,所述方法包括以下步骤:
所述KS对GM进行认证;
所述KS对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,
以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;
所述KS接收来自所述GM的携带组标识的第一注册消息;
所述KS将所述第一注册消息携带的组标识对应的安全策略和密钥信息发
送给所述GM。
2.根据权利要求1所述的方法,其特征在于,所述KS将本地配置的第一
组标识发送给所述GM的过程,具体包括:
所述KS在接收到来自所述GM的第二注册消息时,如果发现所述第二注册
消息中未携带所述第二组标识,则确定所述GM未配置所述第二组标识,并将
本地配置的第一组标识发送给所述GM。
3.根据权利要求1或2所述的方法,其特征在于,所述KS对GM进行认
证的过程,具体包括:
在所述KS与所述GM之间的互联网密钥交换IKE协商过程完成后,所述
KS接收来自所述GM的认证请求报文,所述认证请求报文携带认证信息;
所述KS利用所述认证信息对所述GM进行认证。
4.根据权利要求3所述的方法,其特征在于,所述认证信息包括用户名和
密码,所述KS利用所述认证信息对所述GM进行认证的过程,具体包括:
所述KS利用所述用户名和所述密码查询预先配置的认证表,所述认证表中
记录了合法的用户名与密码之间的对应关系;如果认证表中存在所述用户名和
所述密码之间的对应关系,确定所述GM认证成功;如果认证表中不存在所述
用户名和所述密码之间的对应关系,确定所述GM认证失败;或者,
所述KS将所述用户名和所述密码发送给认证服务器,由所述认证服务器利
\t用所述用户名和所述密码对所述GM进行认证;如果所述KS收到所述认证服务
器返回的认证成功报文,则确定所述GM认证成功;如果所述KS收到所述认证
服务器返回的认证失败报文,则确定所述GM认证失败。
5.根据权利要求3所述的方法,其特征在于,针对所述KS与GM之间的
IKE协商过程,在所述KS上预先配置一个预共享密钥,所述方法还包括:
所述KS将所述预共享密钥发送给所述多个GM中的每个GM,以使所述每
个GM使用相同的所述预共享密钥,与所述KS进行IKE协商过程。
6.一种组域虚拟私有...
【专利技术属性】
技术研发人员:郑黎明,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。