密鑰更新方法�、密鑰服務(wù)器及組成員設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種密鑰更新方法�����、密鑰服務(wù)器及組成員設(shè)備�����。
【背景技術(shù)】
[0002]GD VPN(Group Domain Virtual Private Network��,組域虛擬私有網(wǎng))是一種實(shí)現(xiàn)密鑰和安全策略集中管理的解決方案��。傳統(tǒng)的IPsec VPN(Internet Protocol securityVirtual Private Network�����,IP安全虛擬私有網(wǎng))是一種點(diǎn)到點(diǎn)的隧道連接,而⑶VPN是一種點(diǎn)到多點(diǎn)的無(wú)隧道連接�。GD VPN的典型應(yīng)用體現(xiàn)為對(duì)組播流量的保護(hù),例如音頻�����、視頻廣播和組播文件的安全傳輸�����。
[0003]GD VPN提供了一種新的基于組的IPsec安全模型�。組是一個(gè)安全策略的集合,屬于同一個(gè)組的所有成員共享相同的安全策略及密鑰�����。如圖1所示�,GD VPN由KS(Key Server,密鑰服務(wù)器)和GM(GroUp Member��,組成員)組成���,其中,KS通過(guò)劃分不同的組來(lái)管理不同的安全策略和密鑰�����,GM通過(guò)加入相應(yīng)的組,從KS獲取安全策略及密鑰���,并負(fù)責(zé)對(duì)數(shù)據(jù)流量加密和解密���。
[0004]在⑶VPN組網(wǎng)中,GM需要向KS注冊(cè)�����,這個(gè)注冊(cè)過(guò)程依次包括兩個(gè)階段的協(xié)商:
[0005]1�����、一階段IKE(Internet Key Exchange��,互聯(lián)網(wǎng)密鑰交換)協(xié)商:GM與KS進(jìn)行協(xié)商���,進(jìn)行雙方的身份認(rèn)證��,身份認(rèn)證通過(guò)后�����,生成用于保護(hù)二階段GDOI (Group Domain ofInterpretat1n��,組解釋域)協(xié)商的IKE SA(Security Associat1n�,安全聯(lián)盟)。
[0006]2�����、二階段⑶01協(xié)商:由⑶01協(xié)議定義其協(xié)商過(guò)程����,這是一個(gè)GM從KS上“拉”策略的過(guò)程。
[0007]具體地�����,上述注冊(cè)過(guò)程包含如下幾個(gè)步驟
[0008](I)GM與KS進(jìn)行一階段IKE協(xié)商�;
[0009](2)GM向KS發(fā)送所在組的標(biāo)識(shí)(ID);
[0010](3)KS根據(jù)GM提供的組ID向GM發(fā)送相應(yīng)組的安全策略(保護(hù)的數(shù)據(jù)流信息���、加密算法�、認(rèn)證算法���、封裝模式等)��;
[0011](4)GM對(duì)收到的安全策略進(jìn)行驗(yàn)證��,如果這些策略是可接受的(例如安全協(xié)議和加密算法是可支持的)�,則向KS發(fā)送確認(rèn)消息��;
[0012]( 5 ) KS收到GM的確認(rèn)消息后���,向GM發(fā)送密鑰信息�,包括加密密鑰的密鑰(KeyEncrypt1n Key���,KEK)和加密流量的密鑰(Traffic Encrypt1n Key ,TEK) ο
[0013]通過(guò)上述過(guò)程��,GM把KS上的SA策略和密鑰〃拉〃到了本地���。當(dāng)GM獲取了安全策略和密鑰之后,就可以在GM之間加���、解密數(shù)據(jù)了�����。
[0014]完成注冊(cè)后�,KS會(huì)定期向GM推送新的密鑰,周期為KEK�、TEK的生命期。推送新密鑰通過(guò)Group Key-Push(組域密鑰推送)消息完成�����,該消息由KS發(fā)送給GM��,GM不對(duì)Group Key-Push消息回應(yīng)Group Key-Push ACK(Acknowledgement�����,確認(rèn))消息����,KS以一定時(shí)間間隔,重復(fù)發(fā)送幾次Group Key-Push消息即結(jié)束��,認(rèn)為推送新密鑰已經(jīng)完成�����。[00?5] 但是這種處理方法并不能保證推送新密鑰的Group Key-Push消息一定被GM接收到�,只能保證通常情況下會(huì)被GM接收到,即KS無(wú)法知曉GM是否成功接收Group Key-Push消息���。
[0016]對(duì)此�,現(xiàn)有技術(shù)為確保GM—定可以收到Group Key-Push消息,引入一種GroupKey-Push ACK消息�����,即GM成功接收到KS發(fā)送的Group Key-Push消息后�,回應(yīng)Group Key-Push ACK消息給KS����,如果KS發(fā)送Group Key-Push消息后,在一定時(shí)間內(nèi)未收到GM回復(fù)的Group Key-Push ACK消息����,則會(huì)重傳Group Key-Push消息,如果在重傳若干次后仍沒(méi)有收到Group Key-Push ACK消息���,則認(rèn)為該GM下線���,向該GM推送新密鑰失敗。但是���,這種處理也存在弊端:大規(guī)模組網(wǎng)環(huán)境下�����,GM數(shù)量達(dá)到數(shù)千以上��,GM向KS注冊(cè)過(guò)程相對(duì)分散����,而KS向GM推送新密鑰的過(guò)程相對(duì)集中,要求KS同時(shí)向數(shù)千以上的GM發(fā)送Group Key-Push消息��,并接收數(shù)千以上的GM回復(fù)的Group Key-Push ACK消息��,會(huì)造成KS負(fù)擔(dān)過(guò)重����,進(jìn)而使得向部分GM推送新密鑰失敗。
【發(fā)明內(nèi)容】
[0017]有鑒于此���,本發(fā)明提出了一種密鑰更新方法���、密鑰服務(wù)器及組成員設(shè)備,在密鑰更新時(shí)有效降低了 KS的負(fù)擔(dān)�����。
[0018]本發(fā)明提出的技術(shù)方案是:
[0019]一種密鑰更新方法,該方法包括:
[0020]密鑰服務(wù)器KS確定至少一個(gè)代理組成員GM以及每個(gè)代理GM對(duì)應(yīng)的二級(jí)GM;
[0021 ] 針對(duì)每個(gè)代理GM���,將確定出的該代理GM對(duì)應(yīng)的二級(jí)GM地址信息告知該代理GM ��;
[0022]進(jìn)行密鑰更新時(shí)����,KS發(fā)送密鑰推送消息給代理GM���,使得代理GM將所述密鑰推送消息轉(zhuǎn)發(fā)給自身對(duì)應(yīng)的各二級(jí)GM。
[0023]一種密鑰更新方法��,該方法包括:
[0024]代理組成員GM接收密鑰服務(wù)器KS發(fā)送的密鑰推送消息��;
[0025]所述代理GM接收所述KS發(fā)送二級(jí)GM通知消息����,所述二級(jí)GM通知消息攜帶所述代理GM對(duì)應(yīng)的二級(jí)GM的地址信息,根據(jù)所述二級(jí)GM通知消息確定自身對(duì)應(yīng)的二級(jí)GM;或者�,所述密鑰推送消息攜帶述代理GM對(duì)應(yīng)的二級(jí)GM的地址信息,根據(jù)所述密鑰推送消息確定自身對(duì)應(yīng)的二級(jí)GM;
[0026]轉(zhuǎn)發(fā)所述密鑰推送消息給所述自身對(duì)應(yīng)的二級(jí)GM��。
[0027]一種密鑰服務(wù)器設(shè)備�,該設(shè)備包括:
[0028]處理模塊��,用于確定至少一個(gè)代理組成員GM以及每個(gè)代理GM對(duì)應(yīng)的二級(jí)GM;
[0029]發(fā)送模塊���,用于針對(duì)每個(gè)代理GM,將確定出的該代理GM對(duì)應(yīng)的二級(jí)GM地址信息告知該代理GM;
[0030]進(jìn)行密鑰更新時(shí)�����,發(fā)送密鑰推送消息給代理GM����,使得代理GM將所述密鑰推送消息轉(zhuǎn)發(fā)給自身對(duì)應(yīng)的各二級(jí)GM。
[0031]一種組成員設(shè)備���,該設(shè)備為代理GM時(shí)�����,包括:
[0032]接收模塊�����,用于接收密鑰服務(wù)器KS發(fā)送的密鑰推送消息���;
[0033]還用于接收所述KS發(fā)送二級(jí)GM通知消息���,所述二級(jí)GM通知消息攜帶所述代理GM對(duì)應(yīng)的二級(jí)GM的地址信息,根據(jù)所述二級(jí)GM通知消息確定自身對(duì)應(yīng)的二級(jí)GM;或者����,所述密鑰推送消息攜帶述代理GM對(duì)應(yīng)的二級(jí)GM的地址信息,根據(jù)所述密鑰推送消息確定自身對(duì)應(yīng)的二級(jí) GM;
[0034]發(fā)送模塊���,用于轉(zhuǎn)發(fā)所述密鑰推送消息給所述自身對(duì)應(yīng)的二級(jí)GM�。
[0035]綜上�����,本發(fā)明提出了一種密鑰更新方法�,KS確定出代理GM以及每個(gè)代理GM對(duì)應(yīng)的二級(jí)GM����,并將確定出的代理GM對(duì)應(yīng)的二級(jí)GM地址信息告知該代理GM,進(jìn)行密鑰更新時(shí)��,KS發(fā)送密鑰推送消息給代理GM��,使得代理GM將所述密鑰推送消息轉(zhuǎn)發(fā)給自身對(duì)應(yīng)的各二級(jí)GM,該方法中����,KS僅需發(fā)送密鑰推送消息給代理GM,由代理GM將密鑰推送消息轉(zhuǎn)發(fā)給自身對(duì)應(yīng)的二級(jí)GM����,大大降低了 KS進(jìn)行密鑰更新時(shí)的負(fù)擔(dān)。
【附圖說(shuō)明】
[0036]圖1為⑶VPN組網(wǎng)結(jié)構(gòu)示意圖��;
[0037]圖2為本發(fā)明技術(shù)方案的流程圖���;
[0038]圖3為本發(fā)明方法實(shí)施例的組網(wǎng)結(jié)構(gòu)圖�;
[0039]圖4為本發(fā)明實(shí)施例中KS設(shè)備的結(jié)構(gòu)圖�;
[0040]圖5為本發(fā)明實(shí)施例中GM設(shè)備的結(jié)構(gòu)圖。
【具體