一种密钥对的管理方法和设备的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其是涉及一种密钥对的管理方法和设备。
【背景技术】
[0002]如图1 所不,为 GD VPN(Group Domain Virtual Private Network,组域虚拟私有网络)组网结构示意图,⑶VPN提供一种基于组的安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略、KEK(Key Encrypt1n Key,加密密钥的密钥)、TEK(Traffic Encrypt1n Key,加密流量的密钥)。进一步的,GD VPN 由 KS(KeyServer,密钥服务器)和GM(Group Member,组成员)组成,KS通过划分不同的组来管理不同的安全策略、KEK、TEK等,且GM通过加入相应的组,从KS获取安全策略、KEK、TEK等。
[0003]为了使GM验证从KS获取的安全策略、KEK、TEK等的安全性,管理员需要在KS上配置密钥对(包括公钥和私钥),并由KS将公钥发送给GM。KS在向GM发送安全策略、KEK、TEK等信息时,使用私钥对信息进行签名。GM在得到安全策略、KEK、TEK等信息时,使用公钥对签名进行验证,并在验证通过时确定相关信息合法,在验证不通过时确定相关信息不合法。
[0004]为提高⑶VPN网络的可靠性,并实现负载分担,⑶VPN网络中可以部署多个KS,这些KS以冗余备份的方式工作。如图2所示,为KS冗余备份的组网结构示意图,在互为冗余备份的一组KS中,包括一个主KS和至少一个备KS。其中,主KS负责维护GM的安全策略、KEK、TEK等信息,并将GM的安全策略、KEK、TEK等信息发送给备KS。主KS和所有备KS都可以接受GM的注册。
[0005]在上述组网结构下,需要由管理员在一个KS(如主KS)上创建密钥对,然后将密钥对从该KS中导出,再导入到其它KS(如各备KS)上。上述方式需要管理员在每个KS上创建相同密钥对,费时费力,易用性较差。并且,由于是人工配置,因为会出现长期不更新密钥对的情况,影响系统安全性。
【发明内容】
[0006]本发明实施例提供一种密钥对的管理方法,该方法应用于包括主密钥服务器KS和备KS的组域虚拟私有网络GD VPN中,所述方法包括以下步骤:
[0007]所述主KS获得第一密钥对,在第一密钥对同步载荷中添加所述第一密钥对,在第一冗余备份协议报文中添加所述第一密钥对同步载荷,并将所述第一冗余备份协议报文发送给备KS ;所述第一密钥对包括第一公钥和第一私钥;
[0008]所述主KS定期更新密钥对,得到更新后的第二密钥对;
[0009]所述主KS在第二密钥对同步载荷中添加所述第二密钥对,在第二冗余备份协议报文中添加所述第二密钥对同步载荷,并将所述第二冗余备份协议报文发送给所述备KS ;其中,所述第二密钥对包括第二公钥和第二私钥。
[0010]在所述主KS定期更新密钥对,得到更新后的第二密钥对之后,所述方法进一步包括:所述主KS向组成员GM发送下线通知消息,以使所述GM下线并重新向所述主KS或所述备KS注册;
[0011]在所述GM重新向所述主KS注册时,所述主KS将所述第二公钥发送给所述GM,以使所述GM将当前使用的公钥更新为所述第二公钥。
[0012]在所述主KS定期更新密钥对,得到更新后的第二密钥对之后,所述方法进一步包括:所述主KS在更新Rekey报文中添加公钥更新载荷,并在所述公钥更新载荷中添加所述第二公钥;所述主KS向GM发送携带所述第二公钥的Rekey报文,以使所述GM从所述Rekey报文中获取到所述第二公钥,将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。
[0013]所述方法进一步包括:所述主KS利用得到所述第二密钥对之前使用的私钥对所述第二公钥进行签名,并在所述公钥更新载荷中添加所述签名,以使所述GM在接收到所述Rekey报文时,利用本GM上当前使用的公钥验证所述公钥更新载荷中的签名,如果验证通过,则将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。
[0014]本发明实施例提供一种主密钥服务器KS,应用于包括所述主KS和备KS的组域虚拟私有网络⑶VPN中,所述主KS具体包括:
[0015]获得模块,用于获得第一密钥对,并定期更新密钥对,得到更新后的第二密钥对;其中,所述第一密钥对具体包括第一公钥和第一私钥,所述第二密钥对具体包括第二公钥和第二私钥;
[0016]发送模块,用于在第一密钥对同步载荷中添加所述第一密钥对,并在第一冗余备份协议报文中添加所述第一密钥对同步载荷,并将所述第一冗余备份协议报文发送给所述备KS ;以及,在第二密钥对同步载荷中添加所述第二密钥对,并在第二冗余备份协议报文中添加所述第二密钥对同步载荷,并将所述第二冗余备份协议报文发送给所述备KS。
[0017]所述发送模块,还用于在定期更新密钥对,得到更新后的第二密钥对之后,向组成员GM发送下线通知消息,以使所述GM下线并重新向所述主KS或所述备KS注册;在所述GM重新向所述主KS注册时,将所述第二公钥发送给所述GM,以使所述GM将当前使用的公钥更新为所述第二公钥。
[0018]所述发送模块,还用于在定期更新密钥对,得到更新后的第二密钥对之后,在更新Rekey报文中添加公钥更新载荷,并在所述公钥更新载荷中添加所述第二公钥;向GM发送携带所述第二公钥的Rekey报文,以使所述GM从所述Rekey报文中获取到所述第二公钥,将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。
[0019]所述发送模块,进一步利用得到所述第二密钥对之前使用的私钥对所述第二公钥进行签名,并在所述公钥更新载荷中添加所述签名,以使所述GM在接收到所述Rekey报文时,利用本GM上当前使用的公钥验证所述公钥更新载荷中的签名,如果验证通过,则将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。
[0020]基于上述技术方案,本发明实施例中,在KS冗余备份的场景下,主KS自动将获得的密钥对同步至备KS,无需人工在备KS上配置密钥对,提高了易用性。并且通过定期更新密钥对,可提高系统安全性。
【附图说明】
[0021]图1是现有技术中的⑶VPN组网结构示意图;
[0022]图2是现有技术中的KS冗余备份的组网结构示意图;
[0023]图3是本发明实施例提供的一种密钥对的管理方法流程示意图;
[0024]图4是本发明实施例中提供的一种主KS的结构示意图。
【具体实施方式】
[0025]针对现有技术中存在的问题,本发明实施例提供一种密钥对的管理方法,以图2为本发明实施例的应用场景示意图,该方法应用于包括主KS和备KS (—个或者多个备KS)的⑶VPN中,且该⑶VPN中还包括一个或者多个GM。如图3所示,该密钥对的管理方法具体可以包括以下步骤:
[0026]步骤301,主KS获得第一密钥对,在第一密钥对同步载荷中添加第一密钥对,在第一冗余备份协议报文中添加第一密钥对同步载荷,并将第一冗余备份协议报文发送给备KSo其中,该第一密钥对包括第一公钥和第一私钥。
[0027]其中,第一密钥对是初始