Ip安全联盟维护方法及装置制造方法

Ip安全联盟维护方法及装置制造方法
【专利摘要】本发明提出IP安全联盟维护方法及装置，应用于GDVPN中。方法包括：GM上配置有SA空闲定时器，当GM接收到KS发来的IPSec?SA信息时，启动自身的SA空闲定时器，保存所述IPSec?SA信息，并以所述IPSec?SA信息中的流信息更新自身使能了GDOI类型的IPSec策略的接口的IPSec?ACL，所述IPSec?SA信息包括：加密信息和流信息；当在所述定时器计时期间，从所述接口发出的或者收到的报文中没有任何报文与所述接口的IPSec?ACL匹配上，则GM删除所述IPSec?SA信息，并向KS发送IPSec?SA信息删除通告报文。本发明减轻了GM和KS的负担。
【专利说明】IP安全联盟维护方法及装置
【技术领域】
[0001]本发明涉及GDVPN (Group Domain Virtual Private Network,组域虚拟专网)【技术领域】，尤其涉及⑶VPN中的IP安全联盟维护方法及装置。
【背景技术】
[0002]⑶VPN是一种实现密钥和策略集中管理的解决方案，是下一代WAN VPN(Wide AreaNetwork VPN，广域网 VPN)解决方案。传统的 IPSec VPN(IP Security VPN, IP 安全 VPN)是一种点到点的隧道连接，而⑶VPN是一种点到多点的tunne 1-1 e s s (无隧道)VPN连接(透明模式)。
[0003]⑶VPN在实现时主要包括三部分:KS (Key Server,密钥服务器)、GM (GroupMember,组成员)和 GDOI (Group Domain of Interpretation,组解释域)。其中，KS 为所有GM分发IPSec SA信息,包括:SPI (Security Parameter Index,安全参数索引)、使用的加密协议、加密协议对应的加密验证算法、字节生命周期、时间生命周期、流信息，GM利用KS分发的IPSec SA信息对流量加密和解密，GDOI协议是GM和KS之间进行IPSec SA (SecurityAssociation,安全联盟)信息的管理交互时使用的协议。
[0004]⑶VPN中的密钥协商及使用过程如图1所示，主要包括:
[0005]步骤101:当GM启动后，或者将IPSec策略应用到GM的接口后，GM和KS之间进行IKE(Internet Key Exchange,因特网密钥交换)第一阶段的协商。
[0006]具体地，KS通过IKE来认证GM，并且建立IKE SA,以通过IKE SA来保护整个⑶01注册过程。
[0007]步骤102:GM向KS发送⑶01注册请求，KS收到该请求，向GM发送IPSec SA信息，GM 将该 IPSec SA 信息存入 SAD (Security Association Database,安全联盟数据库)，并将该IPSec SA信息中的流信息放入IPSec ACL中。
[0008]其中，IPSec ACL包含了需要执行IPSec策略的流信息，如:五元组，每一条流信息对应一条ACL表项。
[0009]当GM从KS获取了 IPSec SA信息之后，即与其它GM建立了 IPSec SA。此后，当GM要向其它GM发送数据，或者接收到来自其它GM的数据时，若该数据的流信息与IPSec ACL匹配上，则就在SAD中查找到对应的IPSec SA信息，利用该IPSec SA信息对该数据进行加密或解密。
[0010]步骤103:GM接收KS周期性发送的IPSec SA更新报文，该报文中包含最新的IPSec SA 信息。
[0011]KS会周期性地对IPSec SA信息进行更新。
[0012]GM上也会保存IPSec SA信息的更新周期，如果在IPSec SA信息的更新周期超期之前一段时间如:60秒，GM还没有收到KS发来的IPSec SA更新报文，则GM会重新执行步骤102，以主动向KS请求最新的IPSec SA信息。
【发明内容】

[0013]本发明提供IP安全联盟维护方法及装置，以减轻GM和KS的负担。
[0014]本发明的技术方案是这样实现的:
[0015]一种IP安全联盟维护方法，应用于组域虚拟专网⑶VPN中，组成员GM上配置有安全联盟SA空闲定时器，该方法包括:
[0016]当GM接收到密钥服务器KS发来的IPSec SA信息时，启动自身的SA空闲定时器，保存所述IPSec SA信息，并以所述IPSec SA信息中的流信息更新自身使能了组解释域⑶OI类型的IPSec策略的接口的IPSec访问控制列表ACL，所述IPSec SA信息包括:加密
息和流息;
[0017]当在所述定时器计时期间，从所述接口发出的或者收到的报文中没有任何报文与所述接口的IPSec ACL匹配上，则GM删除所述IPSec SA信息，并向KS发送IPSec SA信息删除通告报文。
[0018]一种IP安全联盟维护方法，应用于组域虚拟专网⑶VPN中，该方法包括:
[0019]密钥服务器KS接收到组成员GM发来的IP安全IPSec信息删除通告报文，将所述GM的状态标记为“空闲”；
[0020]当所述KS要发出更新的IPSec安全联盟SA信息时，查看自身标记的各GM的状态，若有任何GM被标记为“空闲”，则判断本次要发出的IPSec SA信息中的流信息是否有更新，若有更新，则删除各具有“空闲”标记的GM上的“空闲”标记，并向所有GM发出更新的IPSec SA信息，若没有更新，则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。
[0021]一种IP安全联盟维护装置，应用于组域虚拟专网⑶VPN中的组成员GM上，该装置包括:
[0022]第一模块:当本GM接收到密钥服务器KS发来的IPSec SA信息时，启动本GM的SA空闲定时器，保存所述IPSec SA信息，并以所述IPSec SA信息中的流信息更新本GM上使能了组解释域⑶OI类型的IPSec策略的接口的IPSec访问控制列表ACL ；
[0023]第二模块:当在本GM的SA空闲定时器计时期间，从本GM上使能了⑶OI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上，则删除本GM的IPSec SA信息，并向KS发送IPSec SA信息删除通告报文。
[0024]一种IP安全联盟维护装置，应用于组域虚拟专网⑶VPN中的密钥服务器KS上，该装置包括:
[0025]第一模块:从本KS接收到组成员GM发来的IP安全IPSec SA信息删除通告报文，将该GM的状态标记为“空闲”；
[0026]第二模块:当本KS要发出更新的IPSec安全联盟SA信息时，查看本KS上标记的各GM的状态，若有任何GM被标记为“空闲”，则判断本次要发出的IPSec SA信息中的流信息是否有更新，若有更新，则删除各具有“空闲”标记的GM上的“空闲”标记，并向所有GM发出更新的IPSec SA信息，若没有更新，则只向未被标记为“空闲”的GM发出更新的IPSecSA信息。
[0027]可见，本发明可以动态删除GM上的“无用”IPSec SA信息，使得GM不用一直维护、保留“无用”的IPSec SA信息，减轻了 GM的负担；同时，KS在GM不需要“无用”的IPSec SA信息后，也无需再向GM周期性发送更新的IPSec SA信息，减轻了 KS的负担。【专利附图】

【附图说明】
[0028]图1为现有的⑶VPN中的密钥协商及使用流程图；
[0029]图2为⑶VPN的组网示例图；
[0030]图3为本发明一实施例提供的IPSec SA维护方法流程图；
[0031]图4为本发明又一实施例提供的IPSec SA维护方法流程图；
[0032]图5为本发明一实施例提供的IPSec SA维护装置的组成示意图；
[0033]图6为本发明又一实施例提供的IPSec SA维护装置的组成示意图。
【具体实施方式】
[0034]在⑶VPN体系中，KS会周期性地向GM推送IPSec SA信息，只要没有特殊情况如:链路断掉、手工删除GM上的相关配置等，GM上的IPSec SA信息就会一直存在，而不管该IPSec SA信息是否用到；同时KS要维护IPSec SA信息，且要周期性向GM发送IPSec SA信
肩、O
[0035]当GM上的IPSec SA信息内容过多时，KS发送的IPSec SA信息的内容将会很大，对该信息的处理将消耗较多资源。
[0036]以图2为例，有3个GM加入KS的一个域中，分别为:GM1、GM2、GM3，KS保护三个GM所在私网之间的流量。KS向三个GM统一下发IPSec SA信息。但GMl所在私网很少与其它两GM所在私网进行通信，下发到GMl上的IPSec SA信息也许在未来很长一段时间内都不会用到，但是GMl仍然要保留IPSec SA信息，且，当IPSec SA信息的更新周期到来时，KS还要为GMl构造IPSec SA更新报文并发送给GMl，GMl还要再耗费资源去更新“无用”的IPSec SA 信息。
[0037]基于此，本发明实施例技术方案中，GM可根据自身处理流量，动态删除无用的IPSec SA信息，同时KS也无需频繁地向删除了无用的IPSec SA信息的GM周期性地发送IPSec SA更新报文，这样可减少GM和KS的资源消耗。具体来说，可在⑶VPN中的GM上配置有SA空闲定时器，当GM接收到KS发来的IPSec SA信息时，启动自身的SA空闲定时器，保存IPSec SA信息，并以该IPSec SA信息中的流信息更新自身使能了⑶OI类型的IPSec策略的接口的IPSec ACL，其中，IPSec SA信息包括:加密信息和流信息；当在该定时器计时期间，从接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上，则GM删除该IPSec SA信息，并向KS发送IPSec SA信息删除通告报文。
[0038]为便于理解本发明实施例技术方案，下面将以具体实例实现过程对本发明技术方案进行详细说明。
[0039]图3为本发明一实施例提供的IPSec SA维护方法流程图，其具体步骤如下:
[0040]步骤301:为⑶VPN中的GM配置SA空闲定时器。
[0041]在实际应用中，GM通常都配置在路由器上，一个路由器可以配置多个GM，每个GM加入KS上的一个域，属于同一域的GM之间可以加密通信。位于同一路由器上的不同GM可以加入相同的域，也可以加入不同的域。每个GM具有唯一的IP地址，KS可以通过GM的IP地址来区分GM。每个GM具有使能了⑶OI类型的IPSec策略的接口，通过该接口与同一域的其它GM进行加密通信，该接口上具有IPSec ACL，该IPSec ACL根据KS下发的IPSec SAIh息中的流息生成。
[0042]SA空闲定时器的定时时长根据经验进行设定。
[0043]在实际应用中，若预先已经得知哪一个或多个GM所在私网很少与其它GM所在私网进行通信，可只针对该一个或多个GM配置SA空闲定时器。
[0044]步骤302:对于任一 GM，当该GM接收到KS发来的IPSec SA信息时，启动自身的SA空闲定时器，将该IPSec SA信息保存到SAD中，同时，以该IPSec SA信息中的流信息更新自身使能了⑶OI类型的IPSec策略的接口的IPSec ACL中的流信息。
[0045]这里，只要该GM接收到KS发来的IPSec SA信息，就启动一次自身的SA空闲定时器，该IPSec SA信息可以是KS接收到GM发来的⑶OI注册请求后发来的，也可以是KS通过周期性发送的IPSec SA更新报文发来的。
[0046]这里的“IPSec SA信息”的内容与步骤102中的“IPSec SA信息”相同。
[0047]步骤30 3:对于任一启动了 SA空闲定时器的GM，当该GM发现在自身的SA空闲定时器计时期间，从自身使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上时，该GM在SAD中查找到自身的IPSec SA信息，删除该IPSec SA信息，并向KS发送IPSec SA信息删除通告报文。
[0048]这里，GM只会从SAD中删除自身的IPSec SA信息，而不会删除自身使能了⑶OI类型的IPSec策略的接口上的IPSec ACL0
[0049]IPSec SA信息删除通告报文的格式可与现有的IKE协议中的通告报文(NotifyMessage)的格式相同。其中，将Notify Message的载荷部分的DOI字段的值取为2，以表示⑶OI J^Notify Message的载荷部分的Notify Message Type字段的值取为代表“删除”类型的值，以表示该报文是一个删除类型的Notify Message。
[0050]KS接收到IPSec SA信息删除通告报文后的处理过程见图4所示流程。
[0051]对于任一启动了 SA空闲定时器的GM，在该SA空闲定时器计时期间，当该GM发现从自身使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时，则重新启动该定时器；或者，在该定时器计时期间，若该GM发现从自身使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSecACL匹配上，则在该定时器超时时，重新启动该定时器。
[0052]IPSec SA信息删除通告报文可以使用GM与KS在IKE协商过程中得到的IKE SA信息进行保护。
[0053]步骤304:对于删除了 IPSec SA信息的GM，当该GM发现从自身使能了⑶OI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时，向KS发送⑶OI注册请求，并将请求到的IPSec SA信息保存到SAD中，同时以该IPSec SA信息中的流信息更新自身使能了 GDOI类型的IPSec策略的接口的IPSec ACL中的流信息，同时，重新启动自身的SA空闲定时器。
[0054]或者，对于删除了 IPSec SA信息的GM，当该GM接收到KS发来的IPSec SA更新报文时，将该报文中的IPSec SA信息保存到SAD中，同时以该IPSec SA信息中的流信息更新自身使能了⑶OI类型的IPSec策略的接口的IPSec ACL中的流信息，同时，重新启动自身的SA空闲定时器，其中，IPSec SA更新报文为:KS发现IPSec SA信息的更新周期到来，且发现本次要发出的IPSec SA信息中的流信息有更新时，向该GM发出的。[0055]上面主要是基于以GM角度对IPSec SA维护过程进行了说明，下面将会以KS角度，对IPSec SA维护过程进行说明。
[0056]图4为本发明又一实施例提供的IPSec SA维护方法流程图，其具体步骤如下:
[0057]步骤401 KDVPN中的KS接收到任一 GM发来的IPSec SA信息删除通告报文，在自身将该GM的状态标记为“空闲”。
[0058]步骤402:当IPSec SA信息的更新周期到来时，KS查看自身标记的所有GM的状态。
[0059]步骤403:KS判断是否有任何GM被标记为“空闲”，若是，执行步骤404 ;否则，执行步骤407。
[0060]步骤404:KS判断本次要发出的IPSec SA更新报文中的IPSec SA信息中的流信息是否有更新，若是，执行步骤405 ;否则，执行步骤406。
[0061]步骤405:对于任一被标记为“空闲”的GM，KS删除该GM上的“空闲”标记，并向所有GM发出携带最新的IPSec SA信息的IPSec SA更新报文，本流程结束。
[0062]步骤406:KS只向未被标记为“空闲”的GM发出携带最新的IPSec SA信息的IPSecSA更新报文，本流程结束。
[0063]步骤407:KS向所有GM发出携带最新的IPSec SA信息的IPSec SA更新报文。
[0064]另外，当KS接收到GM发来的⑶OI注册请求时，向该GM发送IPSec SA信息，且若发现该GM被标记为“空闲”，则删除该GM上的“空闲”标记。
[0065]其中，上述的将GM标记为“空闲”是指相应的GM上已删除相关IPSec SA信息，实际应用中，可通过标记为设定的字符或其它标识来标识“空闲”，当然实际应用中，也可不叫“空闲”，只要可表示GM上删除相关IPSec SA即可。
[0066]上述分别是以GM角度和KS角度对IPSec SA信息维护过程进行了说明，实际上，上述两个方法流程中的步骤是交叉进行的，下面将以具体应用中IPSec SA信息的维护过程再进行详细说明。
[0067]以下给出本发明的应用示例:
[0068]仍以图2为例，GM1、GM2、GM3分别位于不同路由器上，且加入了 KS的同一域，KS向GM1、GM2、GM3分配IPSec SA信息，以对三个GM所在私网之间交互的流量进行加密、认证等保护，对于三个GM所在私网访问其它网络的流量则不进行保护。
[0069]其中，GMl所在私网内的用户很少与其余两GM所在私网内的用户进行通信，管理员为GMl配置了一个SA空闲定时器，定时时长为X秒；
[0070]GMl发现自身使能了 GDOI类型的IPSec策略的接口在X秒内发出或收到的报文没有任何报文与该接口的IPSec ACL匹配上，则GMl从SAD中删除自身的IPSec SA信息，并向KS发送IPSec SA信息删除通告报文；
[0071]KS收到GMl发来的IPSec SA信息删除通告报文后，记录GMl的状态为“空闲”；
[0072]当KS发现IPSec SA信息的更新周期到来时，查看自身记录的GM的状态，发现GMl被记录为“空闲”，则判断本次要发出的IPSec SA更新报文中的IPSec SA信息中的流信息是否有更新，若是，则删除GMl的“空闲”记录，向所有GM发出IPSec SA更新报文，若否，则只向未被记录为“空闲”的GM2、GM3发出IPSec SA更新报文；
[0073]若GMl收到了 KS发送的IPSec SA更新报文，则将该报文中的IPSec SA信息保存到SAD中，同时以该IPSec SA信息中的流信息更新自身使能了 GDOI类型的IPSec策略的接口的IPSec ACL中的流信息。
[0074]或者，若GMl发现自身使能了 GDOI类型的IPSec策略的接口上要发出的或者收到的报文与该接口的IPSec ACL匹配上，但是在SAD中没有查找到自身的IPSec SA信息，则向KS发起⑶OI注册请求，以从KS获取到IPSec SA信息，并将获取到的IPSec SA信息保存到SAD中，并以该IPSec SA信息中的流信息更新自身使能了 GDOI类型的IPSec策略的接口的IPSec ACL中的流信息，使用该IPSec SA信息对该接口上发出或收到的流量进行保护。
[0075]从以上实施例可以看出，本发明的优点如下:
[0076]1)GM不用保留“无用”的IPSec SA信息，且在不需要“无用”的IPSec SA信息时，不会从KS接收到IPSec SA更新报文，减轻了 GM的负担。
[0077]2)在GM不需要IPSec SA信息时，KS无需向GM发送IPSec SA更新报文，减轻了KS的负担。
[0078]图5为本发明一实施例提供的IPSec SA维护装置的组成示意图，应用于⑶VPN中的GM上，该装置主要包括:
[0079]第一模块:当本GM接收到KS发来的IPSec SA信息时，启动本GM的SA空闲定时器，保存该IPSec SA信息，并以该IPSec SA信息中的流信息更新本GM上使能了⑶OI类型的IPSec策略的接口的IPSec ACL。
[0080]第二模块:当在本GM的SA空闲定时器计时期间，从本GM上使能了⑶OI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上，则删除本GM的IPSec SA信息，并向KS发送IPSec SA信息删除通告报文。
[0081]其中，第二模块进一步用于，在本GM的SA空闲定时器计时期间，当从本GM上使能了⑶OI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时，重新启动该定时器；或者，在该定时器计时期间，若发现从本GM上使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上，则在该定时器超时时，重新启动该定时器
[0082]其中，第二模块在删除本GM的IPSec SA信息之后进一步用于，当接收到KS发来的更新的IPSec SA信息时，保存该IPSec SA信息，并以该IPSec SA信息中的流信息更新本GM上使能了⑶OI类型的IPSec策略的接口的IPSec ACL，同时，重新启动本GM的SA空闲定时器，其中，更新的IPSec SA信息为:KS发现IPSec SA信息的更新周期到来，且发现本次要发出的IPSec SA信息中的流信息有更新时，向本GM发出的。
[0083]其中，第二模块在删除本GM的IPSec SA信息之后进一步用于，当发现从本GM上使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSecACL匹配上时，向KS请求IPSec SA信息，保存请求到的IPSec SA信息，并以该IPSec SA信息中的流信息更新该接口的IPSec ACL,同时，重新启动本GM的SA空闲定时器。
[0084]本实施例装置可基于上述图3所示实施例方法步骤来实现对IPSec SA信息的维护，其具体实现过程可参见上述方法实施例的说明，在此不再赘述。
[0085]图6为本发明又一实施例提供的IPSec SA维护装置的组成示意图，应用于⑶VPN中的KS上，该装置主要包括:[0086]第一模块:从本KS的接口接收到GM发来的IPSec SA信息删除通告报文，在该接口上将该GM的状态标记为“空闲”。
[0087]第二模块:当本KS要发出更新的IPSec安全联盟SA信息时，查看本KS上标记的各GM的状态，若有任何GM被标记为“空闲”，则判断本次要发出的IPSec SA信息中的流信息是否有更新，若有更新，则删除各具有“空闲”标记的GM上的“空闲”标记，并向所有GM发出更新的IPSec SA信息，若没有更新，则只向未被标记为“空闲”的GM发出更新的IPSecSA信息。
[0088]第三模块:从本KS接收到GM发来的组解释域⑶OI注册请求，向该GM发送IPSecSA信息，且若发现该GM被标记为“空闲”，则删除该“空闲”标记。
[0089]本实施例装置可基于上述图4所示实施例方法步骤来实现对IPSec SA信息的维护，其具体实现过程可参见上述方法实施例的说明，在此不再赘述。
[0090]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1.一种IP安全联盟维护方法，应用于组域虚拟专网⑶VPN中，其特征在于，组成员GM上配置有安全联盟SA空闲定时器，该方法包括: 当GM接收到密钥服务器KS发来的IPSec SA信息时，启动自身的SA空闲定时器，保存所述IPSec SA信息，并以所述IPSec SA信息中的流信息更新自身使能了组解释域⑶OI类型的IPSec策略的接口的IPSec访问控制列表ACL，所述IPSec SA信息包括:加密信息和流息; 当在所述定时器计时期间，从所述接口发出的或者收到的报文中没有任何报文与所述接口的IPSec ACL匹配上，则GM删除所述IPSec SA信息，并向KS发送IPSec SA信息删除通告报文。
2.根据权利要求1所述的方法，其特征在于，所述GM启动自身的SA空闲定时器之后进一步包括: 在所述定时器计时期间，当所述GM发现从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上时，重新启动所述定时器； 或者，在所述定时器计时期间，若所述GM发现从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上，则GM在所述定时器超时时，重新启动所述定时器。
3.根据权利要求1所述的方法，其特征在于，所述删除所述IPSecSA信息之后进一步包括: 当GM接收到KS发来的更新的IPSec SA信息时，保存该IPSec SA信息，并以该IPSecSA信息中的流信息更新所述接口的IPSec ACL,同时，重新启动自身的SA空闲定时器， 其中，所述更新的IPSec SA信息为:KS发现IPSec SA信息的更新周期到来，且发现本次要发出的IPSec SA信息中的流信息有更新时，向所述GM发出的。
4.根据权利要求1所述的方法，其特征在于，所述删除所述IPSecSA信息之后进一步包括: 当从所述接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上时，GM向KS请求IPSec SA信息，保存请求到的IPSec SA信息，并以该IPSec SA信息中的流信息更新所述接口的IPSec ACL，同时，重新启动自身的SA空闲定时器。
5.一种IP安全联盟维护方法，应用于组域虚拟专网GDVPN中，其特征在于，该方法包括: 密钥服务器KS接收到组成员GM发来的IP安全IPSec信息删除通告报文，将所述GM的状态标记为“空闲”； 当所述KS要发出更新的IPSec安全联盟SA信息时，查看自身标记的各GM的状态，若有任何GM被标记为“空闲”，则判断本次要发出的IPSec SA信息中的流信息是否有更新，若有更新，则删除各具有“空闲”标记的GM上的“空闲”标记，并向所有GM发出更新的IPSecSA信息，若没有更新，则只向未被标记为“空闲”的GM发出更新的IPSec SA信息。
6.根据权利要求5所述的方法，其特征在于，所述方法进一步包括: 所述KS接收到GM发来的组解释域⑶OI注册请求，向该GM发送IPSec SA信息，且若发现该GM被标记为“空闲”，则删除该“空闲”标记。
7.一种IP安全联盟维护装置，应用于组域虚拟专网⑶VPN中的组成员GM上，其特征在于，该装置包括:第一模块:当本GM接收到密钥服务器KS发来的IPSec SA信息时，启动本GM的SA空闲定时器，保存所述IPSec SA信息，并以所述IPSec SA信息中的流信息更新本GM上使能了组解释域⑶OI类型的IPSec策略的接口的IPSec访问控制列表ACL ； 第二模块:当在本GM的SA空闲定时器计时期间，从本GM上使能了⑶OI类型的IPSec策略的接口发出的或者收到的报文中没有任何报文与该接口的IPSec ACL匹配上，则删除本GM的IPSec SA信息，并向KS发送IPSec SA信息删除通告报文。
8.根据权利要求7所述的装置，其特征在于，所述第二模块进一步用于， 在本GM的SA空闲定时器计时期间，当从本GM上使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时，重新启动所述定时器；或者， 在所述定时器计时期间，若发现从本GM上使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与所述接口的IPSec ACL匹配上，则在该定时器超时时，重新启动该定时器。
9.根据权利要求7所述的装置，其特征在于，所述第二模块在删除本GM的IPSecSA信息之后进一步用于， 当接收到KS发来的更新的IPSec SA信息时，保存该IPSec SA信息，并以该IPSec SA信息中的流信息更新本GM上使能了⑶OI类型的IPSec策略的接口的IPSec ACL,同时，重新启动本GM的SA空闲定时器， 其中，所述更新的IPSec SA信息为:KS发现IPSec SA信息的更新周期到来，且发现本次要发出的IPSec SA信息中的流信息有更新时，向本GM发出的。
10.根据权利要求7所述的装置，其特征在于，所述第二模块在删除本GM的IPSecSA信息之后进一步用于， 当发现从本GM上使能了 GDOI类型的IPSec策略的接口发出的或者收到的报文中有报文与该接口的IPSec ACL匹配上时，向KS请求IPSec SA信息，保存请求到的IPSec SA信息，并以该IPSec SA信息中的流信息更新该接口的IPSec ACL，同时，重新启动本GM的SA空闲定时器。
11.一种IP安全联盟维护装置，应用于组域虚拟专网⑶VPN中的密钥服务器KS上，其特征在于，该装置包括: 第一模块:从本KS接收到组成员GM发来的IP安全IPSec SA信息删除通告报文，将该GM的状态标记为“空闲”； 第二模块:当本KS要发出更新的IPSec安全联盟SA信息时，查看本KS上标记的各GM的状态，若有任何GM被标记为“空闲”，则判断本次要发出的IPSec SA信息中的流信息是否有更新，若有更新，则删除各具有“空闲”标记的GM上的“空闲”标记，并向所有GM发出更新的IPSec SA信息，若没有更新，则只向未被标记为“空闲”的GM发出更新的IPSec SA信肩、O
12.根据权利要求11所述的装置，其特征在于，所述装置进一步包括: 第三模块:从本KS接收到GM发来的组解释域⑶OI注册请求，向该GM发送IPSec SA信息，且若发现该GM被标记为“空闲”，则删除该“空闲”标记。
【文档编号】H04L29/06GK103973687SQ201410193446
【公开日】2014年8月6日 申请日期:2014年5月8日 优先权日:2014年5月8日
【发明者】张太博 申请人:杭州华三通信技术有限公司