据量。在一种实施方式中,成员设备可通过在ET载荷对应字段中添加使用当前密钥加密的数据量,向密钥服务器发送携带该ET载荷的GR0UPKEY-PULL交换报文作为流量响应报文。
[0039]密钥服务器接收流量响应报文后,从该流量响应报文中直接获取成员设备统计的当前密钥加密数据量。
[0040]步骤202,统计组内所有成员设备在当前密钥下的加密数据量总和。
[0041]步骤203,当所述加密数据量总和大于或等于预设的数据量阈值时,向组内每一个成员设备下发新的密钥。
[0042]密钥服务器根据组内成员设备总的加密数据量,判断是否需要更新密钥。通过预设数据量阈值,控制采用同一密钥进行加密的数据量,从而降低密钥泄露的风险。
[0043]由上述描述可以看出,在大业务流量下,本申请能有效降低同一密钥加密的数据量,特别是在密钥更新周期较长的情况下,可有效提高系统安全性。
[0044]与前述密钥更新方法的实施例相对应,本申请还提供了密钥更新装置的实施例。
[0045]本申请密钥更新装置的实施例可以应用在加密服务器或成员设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器运行存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本申请密钥更新装置所在设备的一种硬件结构图,除了图3所示的处理器、网络接口、以及存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
[0046]请参考图4,为本申请一个实施例中的密钥更新装置的结构示意图。该密钥更新装置包括获取单元401、统计单元402以及下发单元403,其中:
[0047]获取单元401,用于获取组内每一个成员设备使用当前密钥加密的数据量;
[0048]统计单元402,用于统计组内所有成员设备使用所述当前密钥加密的数据量总和;
[0049]下发单元403,用于当所述加密数据量总和大于或等于预设的第一数据量阈值时,向组内每一个成员设备下发新的密钥。
[0050]进一步地,
[0051]所述获取单元401,具体用于接收所述成员设备在使用所述当前密钥加密的数据量每达到第二数据量阈值时发送的流量通告报文,所述流量通告报文中携带所述第二数据量阈值;统计当前密钥下接收到的所述流量通告报文的数量;根据所述第二数据量阈值以及统计的流量通告报文的数量计算所述成员设备使用当前密钥加密的数据量。
[0052]进一步地,所述装置还包括:
[0053]配置单元,用于在所述获取单元401获取组内每一个成员设备使用当前密钥加密的数据量之前,配置第二数据量阈值;向所述成员设备推送所述第二数据量阈值;
[0054]所述获取单元401,具体用于接收所述成员设备在使用所述当前密钥加密的数据量每达到所述第二数据量阈值时发送的流量通告报文;统计当前密钥下接收到的所述流量通告报文的数量;根据所述第二数据量阈值以及统计的流量通告报文的数量计算所述成员设备使用当前密钥加密的数据量。
[0055]进一步地,
[0056]所述获取单元401,具体用于向所述成员设备发送流量查询报文;接收所述成员设备根据所述流程查询报文回应的流量响应报文,所述流量响应报文中携带所述成员设备使用当前密钥加密的数据量。
[0057]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
[0058]对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0059]以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
【主权项】
1.一种密钥更新方法,应用于密钥服务器,其特征在于,该方法包括: 获取组内每一个成员设备使用当前密钥加密的数据量; 统计组内所有成员设备使用所述当前密钥加密的数据量总和; 当所述加密数据量总和大于或等于预设的第一数据量阈值时,向组内每一个成员设备下发新的密钥。2.如权利要求1所述的方法,其特征在于,所述获取组内每一个成员设备使用当前密钥加密的数据量,包括: 接收所述成员设备在使用所述当前密钥加密的数据量每达到第二数据量阈值时发送的流量通告报文,所述流量通告报文中携带所述第二数据量阈值; 统计当前密钥下接收到的所述流量通告报文的数量; 根据所述第二数据量阈值以及统计的流量通告报文的数量计算所述成员设备使用当前密钥加密的数据量。3.如权利要求1所述的方法,其特征在于,所述获取组内每一个成员设备使用当前密钥加密的数据量之前,还包括: 配置第二数据量阈值; 向所述成员设备推送所述第二数据量阈值; 所述获取组内每一个成员设备使用当前密钥加密的数据量,包括: 接收所述成员设备在使用所述当前密钥加密的数据量每达到所述第二数据量阈值时发送的流量通告报文; 统计当前密钥下接收到的所述流量通告报文的数量; 根据所述第二数据量阈值以及统计的流量通告报文的数量计算所述成员设备使用当前密钥加密的数据量。4.如权利要求1所述的方法,其特征在于,所述获取组内每一个成员设备使用当前密钥加密的数据量,包括: 向所述成员设备发送流量查询报文; 接收所述成员设备根据所述流程查询报文回应的流量响应报文,所述流量响应报文中携带所述成员设备使用当前密钥加密的数据量。5.一种密钥更新装置,应用于密钥服务器,其特征在于,该装置包括: 获取单元,用于获取组内每一个成员设备使用当前密钥加密的数据量; 统计单元,用于统计组内所有成员设备使用所述当前密钥加密的数据量总和; 下发单元,用于当所述加密数据量总和大于或等于预设的第一数据量阈值时,向组内每一个成员设备下发新的密钥。6.如权利要求5所述的装置,其特征在于: 所述获取单元,具体用于接收所述成员设备在使用所述当前密钥加密的数据量每达到第二数据量阈值时发送的流量通告报文,所述流量通告报文中携带所述第二数据量阈值;统计当前密钥下接收到的所述流量通告报文的数量;根据所述第二数据量阈值以及统计的流量通告报文的数量计算所述成员设备使用当前密钥加密的数据量。7.如权利要求5所述的装置,其特征在于,所述装置还包括: 配置单元,用于在所述获取单元获取组内每一个成员设备使用当前密钥加密的数据量之前,配置第二数据量阈值;向所述成员设备推送所述第二数据量阈值; 所述获取单元,具体用于接收所述成员设备在使用所述当前密钥加密的数据量每达到所述第二数据量阈值时发送的流量通告报文;统计当前密钥下接收到的所述流量通告报文的数量;根据所述第二数据量阈值以及统计的流量通告报文的数量计算所述成员设备使用当前密钥加密的数据量。8.如权利要求5所述的装置,其特征在于: 所述获取单元,具体用于向所述成员设备发送流量查询报文;接收所述成员设备根据所述流程查询报文回应的流量响应报文,所述流量响应报文中携带所述成员设备使用当前密钥加密的数据量。
【专利摘要】本申请提供一种密钥更新方法及装置,应用于密钥服务器,该方法包括:获取组内每一个成员设备使用当前密钥加密的数据量;统计组内所有成员设备使用所述当前密钥加密的数据量总和;当所述加密数据量总和大于或等于预设的第一数据量阈值时,向组内每一个成员设备下发新的密钥。通过本申请可有效降低大流量背景下密钥泄露的风险,提高系统安全性。
【IPC分类】H04L9/08, H04L29/06
【公开号】CN105591738
【申请号】CN201510980172
【发明人】梁栋
【申请人】杭州华三通信技术有限公司
【公开日】2016年5月18日
【申请日】2015年12月22日