一种密钥更新方法及装置的制造方法
【技术领域】
[0001]本申请涉及网络通信技术领域,尤其涉及一种密钥更新方法及装置。
【背景技术】
[0002]GD VPN (Group Domain Virtual Private Network,组域虚拟私有网络)是一种实现密钥和安全策略集中管理的解决方案。⑶VPN网络主要由KS (Key Server,密钥服务器)和GM(Group Member,组成员)组成,其中,KS负责创建和维护密钥,并向GM下发密钥和安全策略;GM为使用密钥和安全策略的路由转发设备。
[0003]为了提高业务流量的安全性,GM所使用的密钥需要定时更新。目前密钥更新方式主要由KS向GM周期下发新的密钥。该密钥更新方式在大业务流量的情况下,同一密钥可能被用于加密过多数据,从而增加了密钥泄露的风险。
【发明内容】
[0004]有鉴于此,本申请提供一种密钥更新方法及装置。
[0005]具体地,本申请是通过如下技术方案实现的:
[0006]本申请提供一种密钥更新方法,应用于密钥服务器,该方法包括:
[0007]获取组内每一个成员设备使用当前密钥加密的数据量;
[0008]统计组内所有成员设备使用所述当前密钥加密的数据量总和;
[0009]当所述加密数据量总和大于或等于预设的第一数据量阈值时,向组内每一个成员设备下发新的密钥。
[0010]本申请还提供一种密钥更新装置,应用于密钥服务器,该装置包括:
[0011]获取单元,用于获取组内每一个成员设备使用当前密钥加密的数据量;
[0012]统计单元,用于统计组内所有成员设备使用所述当前密钥加密的数据量总和;
[0013]下发单元,用于当所述加密数据量总和大于或等于预设的第一数据量阈值时,向组内每一个成员设备下发新的密钥。
[0014]由以上描述可以看出,本申请通过统计组内成员设备的加密数据量,对同一密钥加密的数据量进行限制,从而降低大流量背景下密钥泄露的风险,提高系统安全性。
【附图说明】
[0015]图1是⑶VPN组网示意图;
[0016]图2是本申请一示例性实施例示出的一种密钥更新方法流程图;
[0017]图3是本申请一示例性实施例示出的一种密钥更新装置所在设备的基础硬件结构示意图;
[0018]图4是本申请一示例性实施例示出的一种密钥更新装置的结构示意图。
【具体实施方式】
[0019]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0020]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0021]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0022]GD VPN是一种实现密钥和安全策略集中管理的解决方案,是一种点到多点的无隧道连接。⑶VPN提供一种基于组的IPsec (Internet Protocol Security,网络协议安全性)安全模型,同一个组内的所有成员共享相同的安全策略及密钥。
[0023]图1所示为⑶VPN组网示意图,该网络主要由密钥服务器KS和成员设备GM(GM1?GM3)组成,其中,KS负责创建和维护密钥,并向GM下发密钥和安全策略;GM为使用密钥和安全策略的路由转发设备。
[0024]为了提高GM业务流量的安全性,GM使用的密钥需要定时更新。目前密钥更新方式主要由KS向GM周期下发新的密钥。该密钥更新方式在大业务流量的情况下,同一密钥可能被用于加密过多数据,从而增加了密钥泄露的风险。
[0025]针对上述问题,本申请实施例提出一种密钥更新方法,该方法统计组内成员设备的加密数据量,并基于该加密数据量对成员设备进行密钥更新。
[0026]参见图2,为本申请密钥更新方法的一个实施例流程图,该实施例对密钥更新过程进行描述。
[0027]步骤201,获取组内每一个成员设备使用当前密钥加密的数据量。
[0028]本申请实施例中密钥服务器至少可通过以下两种方式获取成员设备的加密数据量:
[0029]方式一,成员设备主动通告
[0030]具体为,接收成员设备在使用当前密钥加密的数据量每达到第二数据量阈值(例如,N个字节)时发送的流量通告报文。其中,第二数据量阈值可通过如下方式确定:首先,在密钥服务器上预先配置第二数据量阈值,当成员设备向密钥服务器注册时,由密钥服务器将第二数据量阈值推送给成员设备。
[0031]在一种实施方式中,密钥服务器可通过新增载荷类型(Traffic AnnouncementPayload,简称TA载荷),在TA载荷对应字段中添加第二数据量阈值,并向成员设备发送携带TA载荷的GR0UPKEY-PUSH交换报文,以实现向成员设备推送第二数据量阈值的目的。其中,GR0UPKEY-PUSH 交换报文为 GDOI (Group Domain of Interpretat1n,组解释域)协议报文。
[0032]成员设备可以使用密钥服务器推送的第二数据量阈值作为发送流量通告报文的依据,也可根据网络环境自行配置第二数据量阈值,取代密钥服务器下发的第二数据量阈值。
[0033]例如,假设密钥服务器KS上配置的第二数据量阈值为1000个字节,成员设备GMl?GM3分别向KS注册,在注册过程中,GMl?GM3均接收到KS推送的第二数据量阈值(1000个字节)。成员设备可以将密钥服务器推送的第二数据量阈值作为默认值,使用该第二数据量阈值发送流量通告报文,即每加密1000个字节向密钥服务器发送一次流量通告报文。由于该第二数据量阈值由密钥服务器配置,因此,成员设备在向密钥服务器发送流量通告报文时可以不携带第二数据量阈值。如果网络管理员根据网络运行情况拟修改GMl的第二数据量阈值为2000个字节,则可单独在GMl上配置,配置后,GMl每加密2000个字节向密钥服务器发送一次流量通告报文,并将当前使用的第二数据量阈值携带在流量通告报文中,以使KS根据流量通告报文中携带的第二数据量阈值
[0034]在一种实施方式中,成员设备亦可通过在TA载荷对应字段中添加当前采用的第二数据量阈值,向密钥服务器发送携带该TA载荷的GR0UPKEY-PULL交换报文作为流量通告报文,其中,该GR0UPKEY-PULL交换报文为⑶OI协议报文。
[0035]密钥服务器统计当前密钥下接收到的流量通告报文的数量,再根据第二数据量阈值以及流量通告报文的数量计算成员设备使用当前密钥加密的数据量,例如,第二数据量阈值为1000个字节,接收的流量通告报文数量为5个,则该成员设备在当前密钥下的加密数据量为1000*5 = 5000个字节。
[0036]方式二,密钥服务器主动查询
[0037]具体为,密钥服务器周期性向组内成员设备发送流量查询报文,在一种实施方式中,本申请实施例的密钥服务器可通过新增载荷类型(Enquire Traffic Payload,简称ET载荷),向成员设备发送携带ET载荷的GR0UPKEY-PUSH交换报文作为流量查询报文。
[0038]成员设备自行统计使用当前密钥加密的数据量,并根据接收的流量查询报文向密钥服务器回应流量响应报文,在该流量响应报文中携带成员设备统计的当前密钥加密的数