一種gd vpn的注冊(cè)方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種⑶VPN的注冊(cè)方法和裝置����。
【背景技術(shù)】
[0002]GD VPN(Group Domain Virtual Private Network,組域虛擬私有網(wǎng)絡(luò))是一種實(shí)現(xiàn)密鑰和安全策略集中管理的解決方案。GD VPN是一種點(diǎn)到多點(diǎn)的無隧道連接��,提供了一種基于組的IPsec(IP Security��,IP安全)安全模型���。組是一個(gè)安全策略的集合,屬于同一個(gè)組的所有成員共享相同的安全策略和密鑰��。
[0003]如圖1所示�,GD VPN可以由KS(Key Server,密鑰服務(wù)器)和多個(gè)GM(Group Member,組成員)組成���。其中����,KS通過劃分不同的組����,來管理不同的安全策略和密鑰,GM通過加入相應(yīng)的組���,從KS獲取該組的安全策略和密鑰��。
[0004]在⑶VPN中�����,GM注冊(cè)過程包括:第一階段����,IKE(Internet Key Exchange,互聯(lián)網(wǎng)密鑰交換)協(xié)商����,GM與KS進(jìn)行協(xié)商,進(jìn)行雙方的身份認(rèn)證�,身份認(rèn)證通過后,生成用于保護(hù)第二階段的IKE SA(Security Associat1n�����,安全聯(lián)盟)�����。第二階段��,GDOI (Group Domain ofInterpretat1n��,組解釋域)協(xié)商,GM向KS發(fā)送自身的組ID(標(biāo)識(shí))�,KS根據(jù)GM的組標(biāo)識(shí)向GM發(fā)送相應(yīng)組的安全策略,GM對(duì)收到的安全策略進(jìn)行驗(yàn)證�,如果安全策略是可接受的,則向KS發(fā)送確認(rèn)消息�����,KS收到確認(rèn)消息后�,向GM發(fā)送密鑰信息����,如KEK(Key Encrypt1n Key,加密密鑰的密鑰)�����、TEK(Traff ic Encrypt1n Key����,加密流量的密鑰)等。
[0005]在第二階段中��,GM需要先向KS發(fā)送自身的組標(biāo)識(shí)����,繼而從KS獲得該組標(biāo)識(shí)對(duì)應(yīng)的安全策略和密鑰信息�����。但是����,如果GM上沒有配置組標(biāo)識(shí)�,則無法從KS獲得對(duì)應(yīng)的安全策略和密鑰信息。這樣����,組標(biāo)識(shí)就是GM的必要配置,GM上需要預(yù)先配置好組標(biāo)識(shí)���,這樣的配置過程比較繁瑣�。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提出一種組域虛擬私有網(wǎng)絡(luò)⑶VPN的注冊(cè)方法��,應(yīng)用于包括密鑰服務(wù)器KS和多個(gè)組成員GM的⑶VPN中�,所述方法包括以下步驟:
[0007]所述KS對(duì)GM進(jìn)行認(rèn)證;所述KS對(duì)所述GM認(rèn)證成功后,將本地配置的第一組標(biāo)識(shí)發(fā)送給所述GM����,以使所述GM在未配置第二組標(biāo)識(shí)時(shí)���,使用所述第一組標(biāo)識(shí)向所述KS進(jìn)行注冊(cè);所述KS接收來自所述GM的攜帶組標(biāo)識(shí)的第一注冊(cè)消息;所述KS將所述第一注冊(cè)消息攜帶的組標(biāo)識(shí)對(duì)應(yīng)的安全策略和密鑰信息發(fā)送給所述GM����。
[0008]本發(fā)明提出一種組域虛擬私有網(wǎng)絡(luò)⑶VPN的注冊(cè)裝置,應(yīng)用于包括密鑰服務(wù)器KS和多個(gè)組成員GM的⑶VPN中���,所述⑶VPN的注冊(cè)裝置應(yīng)用在所述KS上���,且所述⑶VPN的注冊(cè)裝置具體包括:
[0009]認(rèn)證模塊��,用于對(duì)GM進(jìn)行認(rèn)證;發(fā)送模塊����,用于對(duì)所述GM認(rèn)證成功后,將本地配置的第一組標(biāo)識(shí)發(fā)送給所述GM���,以使所述GM在未配置第二組標(biāo)識(shí)時(shí)����,使用所述第一組標(biāo)識(shí)向所述KS進(jìn)行注冊(cè);接收模塊�����,用于接收來自所述GM的攜帶組標(biāo)識(shí)的第一注冊(cè)消息;所述發(fā)送模塊,還用于將所述第一注冊(cè)消息攜帶的組標(biāo)識(shí)對(duì)應(yīng)的安全策略和密鑰信息發(fā)送給所述GM0
[0010]基于上述技術(shù)方案�����,本發(fā)明實(shí)施例中����,KS可以在本地配置一個(gè)第一組標(biāo)識(shí),并可以在GM認(rèn)證成功后��,將本地配置的第一組標(biāo)識(shí)發(fā)送給GM���,以使GM在未配置第二組標(biāo)識(shí)時(shí)��,使用第一組標(biāo)識(shí)向KS進(jìn)行注冊(cè)���,由KS將第一組標(biāo)識(shí)對(duì)應(yīng)組的安全策略和密鑰信息發(fā)送給該GM,從而完成該GM的注冊(cè)過程�,且該GM后續(xù)可以使用該第一組標(biāo)識(shí)對(duì)應(yīng)組的安全策略和密鑰信息。這樣���,便可以提高⑶VPN組網(wǎng)的靈活性�����,簡(jiǎn)化GM上的配置過程�����。
【附圖說明】
[0011]圖1是⑶VPN的組網(wǎng)示意圖�;
[0012]圖2是本發(fā)明一種實(shí)施方式中的GDVPN的注冊(cè)方法的流程圖;
[0013]圖3是本發(fā)明一種實(shí)施方式中的KS的硬件結(jié)構(gòu)圖�;
[0014]圖4是本發(fā)明一種實(shí)施方式中的GDVPN的注冊(cè)裝置的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0015]針對(duì)現(xiàn)有技術(shù)中存在的問題��,本發(fā)明實(shí)施例中提出一種GDVPN的注冊(cè)方法���,該方法可以應(yīng)用于包括KS和多個(gè)GM的GD VPN中,以圖1為本發(fā)明實(shí)施例的應(yīng)用場(chǎng)景示意圖���,GDVPN由KS�����、GM1���、GM2和GM3組成����。KS劃分組I和組2���,組I對(duì)應(yīng)安全策略I和密鑰信息1���,組2對(duì)應(yīng)安全策略2和密鑰信息2XM1通過加入組I,從KS獲取組I對(duì)應(yīng)的安全策略I和密鑰信息I ;GM2通過加入組I�,從KS獲取組I對(duì)應(yīng)的安全策略I和密鑰信息I ;GM3通過加入組2,從KS獲取組2對(duì)應(yīng)的安全策略2和密鑰信息2��。安全策略可以為數(shù)據(jù)流信息�����、加密算法����、認(rèn)證算法、封裝模式等�。密鑰信息可以為KEK和TEK等。
[0016]在上述應(yīng)用場(chǎng)景下�����,如圖2所示,該⑶VPN的注冊(cè)方法可包括以下步驟:
[0017]步驟201�����,KS對(duì)GM進(jìn)行認(rèn)證�。
[0018]本發(fā)明實(shí)施例中,KS對(duì)GM進(jìn)行認(rèn)證的過程���,具體可以包括但不限于:
[0019]步驟1�、在KS與GM之間的IKE協(xié)商過程完成后�,KS接收來自GM的認(rèn)證請(qǐng)求報(bào)文,其中��,該認(rèn)證請(qǐng)求報(bào)文中至少攜帶了認(rèn)證信息�。
[0020]步驟2、KS利用該認(rèn)證信息對(duì)GM進(jìn)行認(rèn)證��,該認(rèn)證為擴(kuò)展認(rèn)證過程���。
[0021 ] 在步驟I中,GM和KS均支持?jǐn)U展認(rèn)證�,即在KS與GM之間的IKE協(xié)商過程完成后,GM會(huì)向KS發(fā)送攜帶了認(rèn)證信息的認(rèn)證請(qǐng)求報(bào)文�����,由KS接收來自GM的攜帶了認(rèn)證信息的認(rèn)證請(qǐng)求報(bào)文,并執(zhí)行后續(xù)步驟��。
[0022]基于此����,本發(fā)明實(shí)施例中,可以預(yù)先在GM上配置支持?jǐn)U展認(rèn)證的信息��,基于此信息�����,GM可以獲知本GM支持?jǐn)U展認(rèn)證�。此外,可以預(yù)先在KS上配置支持?jǐn)U展認(rèn)證的信息�����,基于此信息��,KS可以獲知本KS支持?jǐn)U展認(rèn)證�����。
[0023]本發(fā)明實(shí)施例中,在KS與GM之間的IKE協(xié)商過程中�����,KS判斷GM是否支持?jǐn)U展認(rèn)證��;如果GM支持?jǐn)U展認(rèn)證���,則判斷KS是否支持?jǐn)U展認(rèn)證;如果KS支持?jǐn)U展認(rèn)證���,則將KS支持?jǐn)U展認(rèn)證的信息發(fā)送給GM,由GM在KS與GM之間的IKE協(xié)商過程完成后�����,向KS發(fā)送攜帶GM的認(rèn)證信息的認(rèn)證請(qǐng)求報(bào)文����。
[0024]其中,在KS與GM之間的IKE協(xié)商過程中�,如果GM支持?jǐn)U展認(rèn)證,則GM可以在向KS發(fā)送的報(bào)文中攜帶認(rèn)證標(biāo)識(shí)���,該認(rèn)證標(biāo)識(shí)表示GM支持?jǐn)U展認(rèn)證��,基于此認(rèn)證標(biāo)識(shí)���,KS獲知GM支持?jǐn)U展認(rèn)證。如果KS支持?jǐn)U展認(rèn)證����,則KS可以在向GM發(fā)送的報(bào)文中攜帶認(rèn)證標(biāo)識(shí),該認(rèn)證標(biāo)識(shí)表示KS支持?jǐn)U展認(rèn)證�����,基于此認(rèn)證標(biāo)識(shí)�����,GM獲知KS支持?jǐn)U展認(rèn)證�����,且在本GM支持?jǐn)U展認(rèn)證時(shí)�����,在IKE協(xié)商過程完成后,向KS發(fā)送攜帶GM的認(rèn)證信息的認(rèn)證請(qǐng)求報(bào)文���。
[0025]針對(duì)KS與GM之間的IKE協(xié)商過程����,可以有主模式協(xié)商過程和野蠻模式協(xié)商過程等兩種方式���。在主模式協(xié)商過程中�,一共包括三對(duì)消息�����。第一對(duì)消息完成了SA交換�,它是一個(gè)協(xié)商確認(rèn)雙方IKE安全策略的過程,第一對(duì)消息包括GM向KS發(fā)送的用于協(xié)商SA交換的請(qǐng)求報(bào)文(稱為第一條協(xié)商報(bào)文)�����,KS向GM發(fā)送的用于協(xié)商SA交換的響應(yīng)報(bào)文(稱為第二條協(xié)商報(bào)文)��。第二對(duì)消息完成了密鑰交換�����,第二對(duì)消息包括GM向KS發(fā)送的用于進(jìn)行密鑰交換的請(qǐng)求報(bào)文(稱為第三條協(xié)商報(bào)文),KS向GM發(fā)送的用于進(jìn)行密鑰交換的響應(yīng)報(bào)文(稱為第四條協(xié)商報(bào)文)�。第三對(duì)消息完成了標(biāo)識(shí)信息和驗(yàn)證數(shù)據(jù)的交換,并進(jìn)行雙方身份的認(rèn)證����,第三對(duì)消息包括GM向KS發(fā)送的用于進(jìn)行標(biāo)識(shí)信息和驗(yàn)證數(shù)據(jù)交換的請(qǐng)求報(bào)文(稱為第五條協(xié)商報(bào)文)���,KS向GM發(fā)送的用于進(jìn)行標(biāo)識(shí)信息和驗(yàn)證數(shù)據(jù)交換的響應(yīng)報(bào)文(稱為第六條協(xié)商報(bào)文)��。在野蠻模式協(xié)商過程中����,一共包括三條協(xié)商報(bào)文�。GM向KS發(fā)送第一條協(xié)商報(bào)文,該第一條協(xié)商報(bào)文中攜帶了建立IKE SA所使用的參數(shù)����、與密鑰生成相關(guān)的信息和身份驗(yàn)證信息等內(nèi)容。KS向GM發(fā)送第二條協(xié)商報(bào)文���,該第二條協(xié)商報(bào)文中攜帶了 KS匹配到的參數(shù)���、密鑰生成信息和身份驗(yàn)證信息等內(nèi)容����。GM向KS發(fā)送第三條協(xié)商報(bào)文����,該第三條協(xié)商