组密钥管理中实现新组员注册的方法、装置及系统的制作方法

专利名称：组密钥管理中实现新组员注册的方法、装置及系统的制作方法
技术领域：
本发明涉及组密钥管理技术，特别涉及组密钥管理中实现新组员注册的 方法、装置及系统。
背景技术：
互联网协议安全(IPsec, IP Security)是一组安全协议的总称，包括密 钥管理和数据安全，以点对点的方式工作在IP层，能够提供授权、认证、 密钥协商、密钥更新、数据安全等服务。开放最短路径优先路由协议第3版 (OSPFv3, Open Shortest Path First version 3 )是一种域内3各由协i义。RFC4552 提出了如何用IPsec来解决OSPFv3的安全问题，针对OSPFv3运^f亍于多插-网络上的情况，提出了用组安全联盟(GSA， Group Security Association )来 解决安全问题，让网络上的路由器共享同样的组安全算法以及密钥，即路由 器在获得的GSA的保护下进行OSPF通信，建立路由。
但RFC4552只规定了如何使用GSA来解决OSPFv3的安全问题，但并 没有同时提供一种自动组密钥管理机制，只建议了手工配置的方式。组密钥 管理中4艮重要的一部分为组密钥的动态更新，即当组密钥到期或泄漏时，必 须用新的密钥替换原来的密钥，即路由器必须在组密钥更新后，获得更新后 的GSA。这种情况下手工配置就存在可扩展性差、安全性低的缺点，不适 合多播网络较多、路由器数量较大的情况。
基于上述问题，OSPF和路由协议安全需求(RPSEC, Routing Protocol Security Requirements )工作组提出了组密钥管理机制，该组密钥管理才几制基 于多播安全(MSEC, Multicast Security)工作组制定的组密钥管理(GKM， Group Key Management)协议，目的在于在组密钥动态更新后使路由器能自
动获得更新后的GSA，以此来代替手工配置的方法。
draft-liu-ospfv3-automated-keying-req讨论了基于MSEC的GKM协议实 现OSPFv3 IPsec组密钥管理中具体的需求。
用MSEC的GKM协议实现组密钥管理存在如下问题MSEC的GKM 协议基于客户端/服务器模型，要求客户端和服务端之间必须可达，也就是 该协议运行时必须存在从客户端到服务器的路由。但在OSPFv3 IPsec的应 用场景中，路由是由OSPFv3路由器建立的，建立过程需要MSEC的GKM 协议的保护，这种保护由组控制器和密钥管理服务器(GCKS， Group Controller Key Server)中的组安全联盟(GSA, Group Security Association ) 协议提供。路由器必须先从GCKS下载GSA后才能建立路由，但没有建立 路由之前，路由器又无法从GCKS下载GSA，形成了矛盾。
进一步，由于GSA的传输也需要安全保护，通常将路由器从GCKS获 得GSA的过程包含在MSEC的GKM协议注册过程中。所述注册的第一阶 段为路由器作为组员向GCKS请求认证和密钥协商，此处的密钥指保证传输 GSA安全的由路由器和GCKS两两协商的密钥，成功后与GCKS建立经过 认证的加密通道，加密通道即指路由器和GCKS在交互中使用协商的密钥解 析接收到的各种消息；所述注册的第二阶段为路由器通过所述加密通道向 GCKS请求GSA下载，并获得GSA。不论在哪一个阶段，都可以将从路由 器向GCKS发送的请求报文称为原始注册请求报文，而将GCKS返回的携 带请求处理结果的响应报文称为原始响应报文，区别在于不同注册阶段的上 述报文中携带的参数和内容不同。路由器和GCKS不断重复通过原始注册请 求报文和原始响应报文进行的交互，直到路由器通过原始响应报文获得 GCKS提供的GSA,注册过程的所有阶段结束。
考虑到GSA传输的安全性，解决MSEC的GKM协议实现OSPFv3 IPsec 组密钥管理中存在的问题，需要GCKS本地可达，即路由器必须能在一跳内 访问GCKS,运行注册过程以获得GSA。为此，draft-liu-ospfv3-automated -keying-req提出了 3种可能的GCKS部署场景，下面简述这3种部署场景。
第一、在每个需要自动组密钥管理服务的OSPFv3多播网络上都部署一 个GCKS，该GCKS可以是物理的，也可以是逻辑的，即GCKS由OSPFv3 路由器担任。
图1示出了这种场景的网络结构。由于每个多播网络上都部署一个 GCKS,则处于多播网路中的路由器都可以实现到自身网络中GCKS的本地 可达，但这种部署场景的缺点在于分散控制的多个GCKS难于实现组策略、 组员授权等集中管理，管理代价高；如果部署物理的GCKS,将导致较大的 部署代价；分散控制的GCKS难于集中保护，单个GCKS被攻^C的风险变 大。
第二、将GCKS分为密钥管理服务器(KS, Key Server )和组控制器(GC， Group Controller)两部分，在每个需要自动组密钥管理服务的OSPFv3多播 网络上都部署一个KS，该KS是逻辑的，而GC只有一个，为集中部署。其 中，GC负责制定组策略和授权信息，然后分发给KS。而KS负责按照GC 制定的组策略和授权信息与路由器完成注册过程，以使路由器获得GSA。
图2示出了这种场景的网络结构。同第二种场景相类似，由于KS负责 与路由器完成注册过程，而每个多播网络上都部署一个KS，则处于多播网 络中的路由器都可以实现到自身网络中KS的本地可达，但这种部署场景的 缺点在于分散部署的KS难于集中保护，单个KS被攻破的风险变大；组 员和KS之间注册时，只能采用数字证书等公钥认证技术，不支持口令等认 证方式，降低了这种部署场景的可用性。
第三、在每个需要自动组密钥管理的0SPFv3多播网络上部署一个代理 (Delegate)，并在远端集中部署一个GCKS。网络开始运行的初始状态由 手工配置，即为Delegate和多播网络上的路由器配置初始GSA。接下来 Delegate和路由器可以分别使用初始配置的GSA建立到GCKS的路由，并 分别通过建立的路由完成到GCKS完成注册。在组密钥更新后，Delegate负 责通过已建立的和GCKS之间的路由，接收远端集中部署的GCKS推送的 GSA报文，然后分发给所属多播网络上的路由器。
图3示出了这种部署场景的网络结构。这种场景的优点在于GCKS是 集中部署的，便于集中管理和集中保护，相对于在每个多播网络上部署一个 GCKS的情况，降低了被攻破的风险；部署代价低，集中部署的GCKS可以 同时服务多个OSPFv3多播网络；通过Delegate来转发报文，避免了在跨网 络多播不可用的情况下，GCKS给所有组员——推送更新后的GSA，解决了 可扩展性差的问题。
相对于第一种和第二种部署场景，上述第三种部署场景虽然在网络运行 的初始状态需要手工配置完成Delegate以及路由器向GCKS的注册，但在 部署和维护方面具有明显的优势，并且在组密钥动态更新的情况下，还减轻 了GCKS的负担，为这种部署场景得到广泛应用打下了较好的基础。但是， 第三种部署场景中仍然存在尚未解决的需求。如果将网络运行初始状态时存 在的路由器称为旧组员，将网络运行后动态加入的路由器称为新组员，当有 新组员需要加入OSPFv3多播网络时，这些路由器由于没有路由而无法在 GCKS上完成注册，从而无法访问GCKS得到GSA,而路由的建立过程又 需要有GSA的保护，没有GSA就无法建立路由。在这种情况下，如果每次 有新组员加入，都采用手工配置的方法，以使新组员获得GSA建立路由， 需要做繁重的配置工作。
在组密钥管理中，除了上述OSPFv3 IPsec应用场景，新组员加入时存 在问题之外，在其他的应用场景中，如果存在新组员无法识别GCKS、或者 不知道GCKS位置的情况，新组员的注册也同样无法自动完成。

发明内容
本发明实施例提供一种组密钥管理中实现新组员注册的方法，该方法能 够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的代理，该代理能 够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的GCKS,该
GCKS能够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的系统，该系统能 够实现有新组员加入时的自动注册。
本发明实施例提供一种组密钥管理中实现新组员注册的方法，在需要自 动组密钥管理服务的本地网络上部署代理，该方法还包括
代理接收本地网络的新组员发送的原始注册请求报文，将所述原始注册 请求报文和所述新组员标志信息封装在请求报文中，向组控制器和密钥管理 服务器GCKS发送；
代理接收所述GCKS返回的响应报文，从所述响应报文中提取所述新组 员标志信息和携带请求处理结果的原始响应报文，根据所述新组员标志信息 将所述原始响应l艮文向所述新组员发送。
本发明实施例,提供一种组密钥管理中实现新组员注册的代理，该代理包括 封装处理模块和解析处理模块；
所述封装处理模块，用于接收本地网络的新组员发送的原始注册请求报文， 将所述原始注册请求"f艮文和所述新组员标志信息封装在请求"^艮文中，向GCKS 发送；
所述解析处理模块，用于接收所述GCKS返回的响应报文，从所述响应 报文中提取所述新组员标志信息和携带请求处理结果的原始响应报文，根据 所述新组员标志信息将所述原始响应报文向所述新组员发送。
本发明实施例提供一种组密钥管理中实现新组员注册的组控制器和密钥 管理服务器GCKS,该GCKS包括报文处理模块和报文封装模块；
所述报文处理模块，用于接收代理发送的携带新组员标志信息和原始注册 请求报文的请求报文，提取所述新组员标志信息和所述原始注册请求报文，对 所述原始注册请求报文进行处理，得出请求处理结果；
所述报文封装模块，用于将所述报文处理模块得出的请求处理结果封装 在原始响应报文中，将所述报文处理模块提取的新组员标志信息和所述原始 响应报文封装在响应报文中，向代理发送。
本发明实施例提供一种组密钥管理中实现新组员注册的系统，该系统包括 组控制器和密钥管理服务器GCKS、代理和新组员；
所述新组员，用于向本地网络中的代理发送原始注册请求报文，接收所述 本地网络中的代理发送的携带请求处理结果的原始响应报文；
所述代理，用于接收本地网络中的新组员发送的原始注册请求报文，将原 始注册请求报文和新组员标志信息封装在请求报文中，发送到所述GCKS;接 收GCKS返回的响应报文，从响应报文中提取新组员标志信息和携带请求处理 结果的原始响应报文，根据新组员标志信息将原始响应报文发送到新组员；
所述GCKS,用于接收所述代理发送的携带新组员标志信息和原始注册 请求报文的请求报文，提取新组员标志信息和原始注册请求报文，并对原始 注册请求报文进行处理，得出请求处理结果；用于将请求处理结果封装在原 始响应报文中，将新组员标志信息和原始响应报文封装在响应报文中发送到 代理。
可见，本发明实施例提供的组密钥管理中实现新组员注册的方法、装置 和系统，在本地网络上部署代理。代理重新封装请求报文，向GCKS中继新 组员发送的原始请求报文，并接收GCKS发送的响应报文，提取响应报文中 的携带请求处理结果的原始响应报文，向新组员中继GCKS发送的原始响应 报文，帮助新组员完成与GCKS的注册，实现了新组员加入时的自动注册。


图1为现有技术组密钥管理的第一种部署场景的网络结构示意图； 图2为现有技术组密钥管理的第二种部署场景的网络结构示意图； 图3为现有技术组密钥管理的第三种部署场景的网络结构示意图； 图4为本发明实施例组密钥管理中实现新组员注册的方法流程图； 图5为本发明实施例组密钥管理中实现新组员注册的方法应用的网络 结构示意图6为本发明实施例组密钥管理中实现新组员注册的代理结构一示意
图7为本发明实施例组密钥管理中实现新组员注册的代理结构二示意
图8为本发明实施例组密钥管理中实现新组员注册的GCKS结构示意
图9为本发明实施例组密钥管理中实现新组员注册的系统结构示意图。
具体实施例方式
为使本发明实施例的目的和优点更加清楚，下面结合附图对本发明实施 例作进一步详细说明。
首先，详细介绍本发明实施例提供的组密钥管理中实现新组员注册的方 法，图4示出了该方法的流程。
预先在需要自动组密钥管理服务的本地网络上部署代理。图4所示流程 包括
步骤401:代理接收本地网络的新组员发送的原始注册请求报文，将原 始注册请求l艮文和新组员标志信息封装在请求报文中，向GCKS发送。
步骤402:代理接收GCKS返回的响应报文，从响应才艮文中提取新组员 标志信息和携带请求处理结果的原始响应报文，根据新组员标志信息将原始 响应报文向新组员发送。
以上所述步骤401~步骤402为本发明实施例提供的组密钥管理中实现 新组员注册的方法流程，该流程为网络开始运行后，有新组员加入时实现的 自动注册流程。根据实际应用情况，在注册过程中的每一个阶段应用步骤 401 步骤402即可。
上述在本地网络上部署的代理，在网络运行的初始状态，可以通过手工 配置、或通过自主学习等多种方式，获得初始GSA，建立与GCKS的通信 连接。
上述本地网络可以是多播网络、广^番网络或单播网络。 以MSEC的GKM协议注册过程可以分为两个阶段、本地网络为多^"网 络或广播网络为例，注册的第一阶段为组员向GCKS请求认证和密钥协商， 注册的第二阶段为组员向GCKS请求GSA下载，获得GSA。则上述步骤401 步骤402组成的流程可以分别应用在上述两个注册阶段中。
在注册的第一个阶段，即组员向GCKS请求认证和密钥协商时，步骤 401中代理接收加入所属多播或广播网络的新组员发送的原始注册请求报 文，该原始注册请求报文中可以携带有关认证和密钥协商的参数，而步骤 402中GCKS返回的响应报文中，原始响应报文携带的请求处理结果为认证 和密钥协商信息；在注册的第二个阶段，即组员向GCKS请求GSA下载， 获得GSA时，步骤401中代理接收加入所属多播网络的新组员发送的原始 注册请求，该原始注册请求中可以携带有关GSA下载的参数，而步骤402 中GCKS返回的响应报文中，原始响应报文携带的请求处理结果为所请求的 GSA。
上述以MSEC的GKM协议注册的两个阶段为例，只是说明各阶段中交 互的基本步骤，根据使用的MSEC的GKM协议具体不同，以及对应各不同 协议中认证机制、交互模式的不同，各个阶段中的交互步骤数可能并不仅仅 限于上述所列举出的两步，但相同点都是由代理中继新组员和GCKS之间交 互所发送的报文。
本发明实施例提供的组密钥管理中实现新组员注册的方法，通过在需要 自动组密钥管理服务的本地网络上部署代理。代理向GCKS中继新组员发送 的原始注册请求，接收GCKS返回的响应报文，并向新组员中继该响应报文， 帮助新组员完成与GCKS的注册，減少了复杂的配置工作，实现了新组员加 入时的自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的方法，可以将 OSPFv3 IPsec作为一种具体的应用场景，即本发明实施例提供的组密钥管理 中实现新组员注册的方法，可以作为draft-liu-ospfv3-automated-keying-req 提出的组密钥管理的第三种GCKS部署场景的补充，实现了新组员加入时的
自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的方法，也可以通用
于其他类似OSPFv3 IPsec的应用场景中。例如当GCKS被设置保密，即新 组员无法识别GCKS时，从而无法向GCKS注册，此时也可以在有新组员 动态加入的网络中部署一个代理，由代理统一 负责向服务器中继新组员的注 册请求，并向新组员中继服务器返回的响应，该部署的代理代替新组员实现 了自动注册。
在上述步骤401和步骤402中，代理向GCKS中继新组员发送的原始注 册请求报文，需要重新封装请求报文，代理接收的GCKS返回的响应报文也 是GCKS将新组员标志信息和原始响应报文重新封装形成的。上述请求报文 可以是在原始注册请求报文外添加新的报文头形成，响应报文也可以是在原 始响应报文外添加新的报文头形成。假设原始注册请求报文或原始响应报文 的报文头为HDR,封装的请求报文或响应报文新添加的报文头为HDR，，则 封装的请求报文或响应报文的格式如表一所示。
HDR，
新组员标志信息
MSG {原始注册请求报文/响应报文}
表一
其中，新组员标志信息、原始注册请求报文/响应报文都可以是类型 长度-取值格式，如表二所示。
类型
长度
取值
表二
上述新组员标志信息可以是新组员的源IP地址，此时在步骤401中， 代理在封装请求报文之前，需要先从原始注册请求报文中提取新组员的源IP 地址，而在步骤402中，代理可以直接根据响应报文中的新组员的源IP地 址，将提取的原始响应报文向该源IP地址发送。新组员标志信息还可以是 代理生成的新组员的本地标识，此时在步骤401中，代理在封装请求报文之
前，需要先从原始注册请求报文中提取新组员的源IP地址，并生成对应该 源IP地址的新组员的本地标识，存储新组员的本地标识和新组员的源IP地
址的对应关系，而在步骤402中，代理可以从响应报文中提取新组员的本地 标识，先从存储的新组员的本地标识和新组员的源IP地址的对应关系中， 查找该新组员的本地标识对应的新组员的源IP地址，将提取的原始响应才艮 文向该源IP地址发送。
在步骤401中，代理接收本地网络上的新组员发送的原始注册请求报 文，实施方式可以为代理在本地网络上侦听新组员发送的原始注册请求报 文，具体包括代理在多播或广播网络地址和端口上进行侦听，也包括代理在 单播网络地址和端口上进行侦听。如果步骤401~步骤402应用在注册的第 一阶段，以多播或广播网络为例，在步骤401中，新组员第一次向多播或广 播网络中的代理发送原始注册请求报文，新组员可以采用多播或广播的方式 发送该原始注册请求报文，而代理可以在指定的多播或广播地址和端口上侦 听新组员发送的原始注册请求报文。如果步骤401~步骤402应用在注册的 其他阶段，即新组员在已经完成的注册阶段中已经向多播或广播网络中的代 理发送过原始注册请求报文，并且已经接收过该代理发送的原始响应报文， 采用一种优化的方式，新组员可以采用单播的方式向已经完成的注册阶段中 使用过的代理发送原始响应报文，当然这种情况下，新组员也可以仍然采用 多播或广播的方式发送原始注册请求报文。
上述代理在单播地址和端口上侦听新组员发送的原始注册请求报文的 情况中，可以通过手工配置或向新组员提供网络配置信息等多种方式，告知 新组员发送原始注册请求报文的单播地址和端口 ，则新组员可以单播向该单 播地址和端口发送原始注册请求报文，而代理可以在该指定的单播地址和端 口上侦听新组员发送的原始注册请求报文。
图5示出了图4所示流程应用的网络结构，以多播网络为例，并且多播 网络以Network弁N标识，该多播网络中左上角的设备为部署的代理。数字 1和2标识的箭头流程对应步骤401，数字3和4标识的箭头流程对应步骤
402。
由于MSEC的GKM协议中又包括了多种具体的应用情况，下面以 MSEC的GKM协议中的组解释域(Group Domain of Interpretation, GDOI) 为例，在OSPFv3 IPsec应用场景中说明本发明实施例提供的组密钥管理中 实现新组员注册的方法的应用情况。
在第一注册阶段，即组员向GCKS请求认证和密钥协商时，GDOI采用 互联网密钥交换协议第1版(IKEvl, Internet Key Exchange version 1 )作为 协议，在第二注册阶段，即组员向GCKS请求GSA下载，获得GSA时， GDOI采用了自制的协议，因此在第一注册阶段和第二注册阶段中的具体交 互步骤数已由上述协议规定。在两个注册阶段中所述的报文格式仍如表一和 表二所示。各个报文中所携带的具体参数为协议规范中所规定的参数，这些 参数的含义为本领域技术人员的公知常识，因此下面对这参数只作简单描 述。以下描述中的新组员标志信息都采用新组员的本地标识，由于前述已经 详细介绍过这种情况下，代理如何根据新组员的本地标识向新组员发送原始 请求报文，因此下面的描述中针对这一方面不再赘述。
在第一个注册阶段中可以包括以下交互步骤
代理接收新组员广播或多播发送的原始注册请求报文，该原始请求报文 可以表示为HDR，SA，KE,Ni，Idii，其中SA代表新组员支持的密钥策略， KE代表密钥协商，Ni代表随机性，Idii代表新组员的身份标识，该原始请 求才艮文用于发起认i正和密钥协商；
代理生成新组员本地标识TAG，并将新组员本地标识和原始注册请求 报文封装在请求报文中向GCKS发送，请求报文可以表示为HDR，， TAG, MSG{HDR, SA， KE, Ni， Idii}，各参数含义和原始请求报文中的相同；
代理接收GCKS返回的响应报文，响应才艮文可以表示为HDR'， TAG, MSG(HDR, SA, KE， Nr， Idir， [ CERT ]， SIG_R},其中SA代表GCKS选择的 密钥策略，KE代表密钥协商，Nr代表GCKS选择的随机数，Idir代表GCKS 的身份标识，[CERT]代表证书即公钥，SIG—R代表GCKS的签名，用于验证GCKS的身份；
代理从响应报文中，提取出原始响应报文，根据响应报文中的新组员本 地标识TAG,将原始响应报文单播向新组员发送，提取出的原始响应报文 表示为HDR， SA, KE， Nr， Idir, [ CERT ], SIG—R;
根据协议规定，代理还需接收新组员广播或单播发送的用于验证新组员 身份的原始注册请求报文，该原始注册请求才艮文可以表示为HDR, [CERT]， SIG—I，其中[CERT]为证书，而SIG一I为新组员的签名；
代理将上述用于验证新组员身份的原始注册请求报文，和新组员的本地 标识TAG封装在请求I艮文中向GCKS发送，该请求l艮文可以为HDR，， TAG, MSG {HDR， [CERT], SIG—I}。
以上为第一个注册阶段中，代理向GCKS中继新组员发送的原始注册请 求报文，以及向新组员中继GCKS返回的响应报文的交互步骤，可以看出在 GDOI的应用场景下，该交互包括1.5个交互步骤，在除GDOI的其他应用 场景下，该交互也可能包括2.5个交互步骤等，这将由具体的协议做详细的 规定，但代理在新组员和GCKS之间所起的中继作用不会改变。
如果在第 一个注册阶段采用现有协议中规定的方法，则需要新组员和 GCKS直接交互，所采取的命令参数和本发明实施例相同，但没有代理参与 交互，并且每一条报文采用单播的方式发送。
在第二个注册阶段中，为区别第一个注册阶段中的原始注册请求报文， 将第二个注册阶段的原始注册请求报文的报文头设为HDR*。在第二个注册 阶段中，可以包括以下交互步骤
代理接收新组员广播或单播发送的原始注册请求报文，该原始注册请求 报文可以表示为HDR*， HASH(l), Ni, ID，其中HASH(l)代表密钥算法， Ni和ID的含义与第一注册阶段中相同；
代理生成新组员本地标识TAG,并将新组员本地标识和原始注册请求 报文封装在请求报文中向GCKS发送，该请求报文可以表示为HDR，，TAG, MSG {HDR*, HASH(l)， Ni, ID}; 代理接收GCKS返回的响应报文，该响应报文可以表示为HDR，， TAG, MSG {HDR*, HASH(2), Nr， SA};
代理从响应l艮文中提取原始响应才艮文，根据响应报文中的新组员本地标 识TAG,将原始响应报文单播向新组员发送，该原始响应报文表示为HDR, HASH(2)， Nr， SA;
代理接收新组员广播或单播发送的原始注册请求报文，该原始注册请求"l艮文 可以为HDR*，HASH(3)，[KE—I]，[CERT], [POP—1]，其中HASH(3)为新组员考 虑前一步骤中得到的Nr随机数后的新密钥算法，[KE—I]代表新密钥协商， [POPj]代表基于证书的签名；
代理将接收的新组员发送的原始注册请求报文，和新组员的本地标识TAG 封装在请求净艮文中向GCKS发送，该请求报文可以为HDR，， TAQ MSG {HDR*, HASH(3) ,[KE—I] ，[CERT] ,[POP—I]};
代理接收GCKS发送的响应报文，该响应报文可以为HDR，， TAQ MSG {HDR*， HASH(4)，[KE_R],[SEQ]， KD, [CERT], [POP—R]〉,其中KD携带新组员所 需的GSA, [SEQ]比较新旧密钥是否相同；
代理从接收的响应报文中提取原始响应报文，将原始响应报文单播向新组员 发送，该原始响应l艮文包括HDR*, HASH(4)，[KE—R],[SEQ]， KD ，[CERT]， [POP—R]。
以上为第二个注册阶段中，代理向GCKS中继新组员发送的原始注册请 求才艮文，以及向新组员中继GCKS返回的响应报文的交互步骤。这是在协议 规定的GDOI应用场景下的交互步骤，在除GDOI的其他应用场景下，该交 互也可能多于或少于此交互步骤，这要根据协议的具体规定来执行，但代理 在新组员和GCKS之间所起的中继作用不会改变。
如果在第二个注册阶段釆用现有协议中规定的方法，则需要新组员和 GCKS直接交互，所采取的命令参数和本发明实施例相同，但没有代理参与 交互，并且每一条报文采用单播的方式完成。
其次，介绍本发明实施例提供的组密钥管理中实现新组员注册的装置，
这里所说的装置包括两种情况，第一为代理，第二为GCKS,下面分别进行 介绍。
本发明实施例提供的组密钥管理中实现新组员注册的代理包括封装处理 模块和解析处理模块。
封装处理模块，用于接收本地网络的新组员发送的原始注册请求报文，将 原始注册请求报文和新组员标志信息封装在请求报文中，向GCKS发送；
解析处理模块，用于接收GCKS返回的响应报文，从响应报文中提取新 组员标志信息和携带请求处理结果的原始响应报文，根据新组员标志信息将 原始响应^^文向新组员发送。
本发明实施例提供的组密钥管理中实现新组员注册的代理，向GCKS 中继新组员发送的原始注册请求，接收GCKS返回的响应报文，并向新组员 中继来自该响应报文，帮助新组员完成与GCKS的注册，减少了复杂的配置 工作，实现了新组员加入时的自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的代理，可以部署在 每个需要自动组密钥管理服务的本地网络中，本地网络可以是多播网络、广 播网络或单播网络，例如可以部署在每个需要自动组密钥管理服务的 OSPFv3多播网络中。
在上述代理的结构描述中所述的新组员标志信息，与首先描述的方法中 一样，可以为新组员的源IP地址，也可以是代理#4居新组员的源nM也址生 成的新组员的本地标识。
当新组员标志信息为新组员的源IP地址时，上述代理中的封装处理模 块中可以包括接收模块、封装执行模块和源IP地址提取模块。图6示出 了对应这种情况的代理的结构一。
接收模块，用于接收本地网络的新组员发送的原始注册请求报文，传输给 封装执行模块和源IP地址提取模块；
源IP地址提取模块，用于从接收模块传输的原始注册请求报文中提取新组 员的源IP地址；
封装执行模块，用于将源IP地址提取模块提取的新组员的源IP地址和
接收模块传输的原始注册请求报文，封装在请求报文中，向GCKS发送。
当新组员标志信息为代理根据新组员的源IP地址生成的新组员的本地 标识时，上述代理中的封装处理模块中可以包括第一接收模块、封装执行 模块、源IP地址提取模块和本地标识生成模块，所述代理中进一步包括存 储模块。图7示出了对应这种情况的代理的结构二。
第一接收模块，用于接收本地网络的新组员发送的原始注册请求报文，传 输给封装执行模块和源IP地址提取模块。
源IP地址提取模块，用于从第一接收模块传输的的原始注册请求报文中提 取新组员的源IP地址。
本地标识生成模块，用于根据源IP地址提取模块提取的新组员的源IP地 址，生成对应该新组员的源IP地址的新组员的本地标识，并将新组员的源IP 地址与新组员的本地标识的对应关系存储到存储模块。
封装执行模块，用于将本地标识生成it块生成的新组员本地标识，和第一 接收模块传输的原始注册请求报文，封装在请求报文中，向GCKS发送。
存储模块，用于存储本地标识生成模块提供的新组员的源IP地址和新组员 的本地标识的对应关系。
当新组员标志信息为代理才艮据新组员的源IP地址生成的新组员本地标识 时，所述代理中的解析处理模块中可以包括第二接收模块、查询模块和解析 执行模块。
第二接收模块，用于接收GCKS返回的响应报文，传输给解析执行模块；
查询模块，用于根据解析执行模块从响应报文中提取的新组员的本地标识， 在所述存储;漠块中查询新组员的本地标识对应的新组员的源IP地址；
解析执行模块，用于从第二接收模块传输的响应报文中提取新组员的本 地标识和携带请求结果的原始响应报文，根据查询模块查询的新组员的源IP 地址，将提取的原始响应报文向新组员的源IP地址发送。
图8为本发明实施例提供的组密钥管理中实现新组员注册的GCKS的结
构示意图，该GCKS包括报文处理模块和报文封装模块。
报文处理模块，用于接收代理发送的携带新组员标志信息和原始注册请求 报文的请求报文，提取新组员标志信息和原始注册请求报文，对原始注册请求 报文进行处理，得出请求处理结果。
报文封装模块，用于将报文处理模块得出的请求处理结果封装在原始响 应报文中，将报文处理模块提取的新组员标志信息和所述原始响应报文封装 在响应报文中，向代理发送。
本发明实施例提供的组密钥管理中实现新组员注册的GCKS，可以视为 配合本发明实施例提供的组密钥管理中实现新组员注册的代理使用。
最后，介绍本发明实施例提供的组密钥管理中实现新组员注册的系统， 图9示出了该系统的结构示意图，该系统包括新组员、代理和GCKS。
新组员，用于向本地网络中的代理发送原始注册请求报文，接收本地网络 中的代理发送的携带请求处理结果的原始响应报文。
代理，用于接收本地网络的新组员发送的原始注册请求报文，将原始注册 请求报文和新组员标志信息封装在请求报文中，发送到GCKS;接收GCKS返 回的响应报文，从响应报文中提取新组员标志信息和携带请求处理结果的原始 响应报文，根据新组员标志信息将原始响应报文发送到新组员。代理可以部署 在每个需要自动组密钥管理服务的OSPFv3多播网络上。
GCKS,用于接收代理发送的携带新组员标志信息和原始注册请求报文 的请求报文，提取新组员标志信息和原始注册请求报文，并对原始注册请求 报文进行处理，得出请求处理结果；将请求处理结果封装在原始响应报文中， 将新组员标志信息和原始响应报文封装在响应报文中，发送到代理。
本发明实施例提供的组密钥管理中实现新组员注册的系统，代理可以部 署在本地的多播网络、广播网络或单播网络上，部署的代理向GCKS中继新 组员发送的原始注册请求，接收GCKS发送的响应报文，并向新组员中继响 应报文，帮助新组员完成与GCKS的注册，减少了复杂的配置工作，实现了 新组员加入时的自动注册。
本发明实施例提供的组密钥管理中实现新组员注册的代理，可以作为上 述系统中代理的较佳实施方式，而本发明实施例提供的组密钥管理中实现新
组员注册的GCKS，可以作为上述系统中GCKS的丰支佳实施方式，这里不再赘述。
本发明实施例提供的组密钥管理中实现新组员注册的代理、GCKS和系 统，均可以按照本发明实施例提供的组密钥管理中实现新组员注册的方法的 对应部分工作，这里不再赘述。
本发明实施例提供的组密钥管理中实现新组员注册的方法、装置和系 统，在本地网络上部署的代理。代理通过重新封装的请求报文，向GCKS 中继新组员发送的原始请求报文，接收GCKS返回的响应报文，并提取响应 报文中的携带请求处理结果的原始响应报文，向新组员中继GCKS发送的原 始响应报文，帮助新组员完成与GCKS的注册，减少了复杂的配置工作，实 现了新组员加入时的自动注册。
综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的 保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改 进等，均应包含在本发明的保护范围之内。
权利要求
1、一种组密钥管理中实现新组员注册的方法，其特征在于，在需要自动组密钥管理服务的本地网络上部署代理，该方法还包括代理接收本地网络的新组员发送的原始注册请求报文，将所述原始注册请求报文和所述新组员标志信息封装在请求报文中，向组控制器和密钥管理服务器GCKS发送；代理接收所述GCKS返回的响应报文，从所述响应报文中提取所述新组员标志信息和携带请求处理结果的原始响应报文，根据所述新组员标志信息将所述原始响应报文向所述新组员发送。
2、 如权利要求1所述的方法，其特征在于，所述新组员标志信息为所 述新组员的源IP地址；所述代理接收原始注册请求报文之后、将所述原始注册请求报文和所述 新组员标志信息封装在请求报文中之前进一步包括代理从所述原始注册请求报文中，提取所述新组员的源IP地址。
3、 如权利要求2所述的方法，其特征在于，所述响应报文中的新组员 标志信息为所述新组员的源IP地址；所述代理根据所述新组员标志信息将 所述原始响应4艮文向所述新组员发送为所述代理将所述原始响应报文向所述新组员的源IP地址发送。
4、 如权利要求1所述的方法，其特征在于，所述新组员标志信息为所 述新组员的本地标识；所述代理接收原始注册请求报文之后、将所述原始注册请求4艮文和所述 新组员标志信息封装在请求报文中之前进一步包括代理从所述原始注册请 求4艮文中，提取所述新组员的源IP地址，生成对应该源IP地址的新组员的 本地标识；所述代理将请求报文向GCKS发送之前进一步包括保存所述新组员的 本地标识与所述新组员的源IP地址的对应关系。
5、 如权利要求4所述的方法，其特征在于，所述响应报文中封装的新 组员标志信息为所述新组员的本地标识；所述代理根据所述新组员标志信息 将所述原始响应报文向所述新组员发送为所述代理从所述响应报文中提取原始响应才艮文和新组员的本地标识，4艮据 保存的新組员的本地标识与新组员的源IP地址的对应关系，将所述原始响应 才艮文向所述新组员的本地标识对应的新组员的源IP地址发送。
6、 如权利要求l所述的方法，其特征在于，所述代理接收新组员发送的原 始注册请求报文为所述代理在本地网络侦听所述新组员发送的原始注册请求 报文。
7、 一种组密钥管理中实现新组员注册的代理，其特征在于，该代理包括 封装处理模块和解析处理模块；所述封装处理模块，用于接收本地网络的新组员发送的原始注册请求报文， 将所述原始注册请求报文和所述新组员标志信息封装在请求"l艮文中，向GCKS 发送；所述解析处理模块，用于接收所述GCKS返回的响应报文，从所述响应报 文中提取所述新组员标志信息和携带请求处理结果的原始响应报文，根据所述 新组员标志信息将所述原始响应报文向所述新组员发送。
8、 如权利要求7所述的装置，其特征在于，所述新组员标志信息为所述新 组员的源IP地址；所述封装处理模块包括接收沖莫块、封装执行;漠块和源IP 地址提取模块；所述接收模块，用于接收本地网络的新组员发送的原始注册请求报文，传 输给所述封装执行模块和所述源IP地址提取模块；所述源IP地址提取模块，用于从所述接收模块传输的原始注册请求报文中 提取所述新组员的源IP地址；所述封装执行模块，用于将所述源IP地址提^^莫块提取的新组员的源IP 地址和接收模块传输的原始注册请求报文，封装在请求报文中，向GCKS发送。
9、 如权利要求7所述的装置，其特征在于，所述新组员标志信息为新组员的本地标识；所述封装处理模块中包括第一接收模块、封装执行模块、源IP 地址提取模块和本地标识生成模块；所述代理中进一步包括存储模块；所述第一接收模块，用于接收本地网络的新组员发送的原始注册请求报文， 传输给所述封装执行模块和所述源IP地址提^^莫块；所述源IP地址提取模块，用于从所述第一接收模块传输的的原始注册请求 报文中提取所述新组员的源IP地址；所述本地标识生成模块，用于根据所述源IP地址提取^^莫块提取的新组员的 源IP地址，生成对应该新组员的源IP地址的新组员的本地标识，并4夸所述新 组员的源IP地址与所述新组员的本地标识的对应关系存储到所述存储模块；所述封装执行模块，用于将所述本地标识生成;f莫块生成的所述新组员本地 标识，和所述第一接收模块传输的原始注册请求报文，封装在请求报文中，向 GCKS发送；所述存储模块，用于存储所述本地标识生成才莫块提供的所述新组员的源IP 地址和所述新组员的本地标识的对应关系。
10、 如权利要求9所述的装置，其特征在于，所述解析处理模块包括第 二接收模块、查询一莫块和解析执行模块；所述第二接收模块，用于接收所述GCKS返回的响应报文，传输给所述解 析执行模块；所述查询模块，用于根据所述解析执行模块从所述响应报文中提取的新组 员的本地标识，在所述存储模块中查询所述新组员的本地标识对应的新组员的 源IP地址；所述解析执行模块，用于从所述第二接收模块传输的响应报文中提取所述 新组员的本地标识和携带请求结果的原始响应报文；根据所述查询模块查询的 新组员的源IP地址，将所述提取的原始响应报文向所述新组员的源IP地址发 送。
11、 一种组密钥管理中实现新组员注册的组控制器和密钥管理服务器 GCKS，其特征在于，该GCKS包括才艮文处理才莫块和报文封装才莫块；所述才艮文处理模块，用于接收代理发送的携带新组员标志信息和原始注册 请求报文的请求报文，提取所述新组员标志信息和所述原始注册请求报文，对所述原始注册请求报文进行处理，得出请求处理结果；所述报文封装模块，用于将所述报文处理模块得出的请求处理结果封装在 原始响应报文中，将所述报文处理模块提取的新组员标志信息和所述原始响应 报文封装在响应报文中，向代理发送。
12、 一种组密钥管理中实现新组员注册的系统，其特征在于，该系统包括 组控制器和密钥管理服务器GCKS、代理和新组员；所述新组员，用于向本地网络中的代理发送原始注册请求报文，接收所述 本地网络中的代理发送的携带请求处理结果的原始响应报文；所述代理，用于接收本地网络中的新组员发送的原始注册请求报文，将原 始注册请求报文和新组员标志信息封装在请求报文中，发送到所述GCKS;接 收GCKS返回的响应报文，从响应报文中提取新组员标志信息和携带请求处理 结果的原始响应报文，根据新组员标志信息将原始响应报文发送到新组员；所述GCKS,用于接收所述代理发送的携带新组员标志信息和原始注册请 求报文的请求报文，提取新组员标志信息和原始注册请求报文，并对原始注册 请求报文进行处理，得出请求处理结果；用于将请求处理结果封装在原始响应 报文中，将新组员标志信息和原始响应报文封装在响应报文中发送到代理。
全文摘要
本发明公开了组密钥管理中实现新组员注册的方法，在需要自动组密钥管理服务的本地网络上部署代理，该方法还包括代理接收本地网络的新组员发送的原始注册请求报文，将原始注册请求报文和新组员标志信息封装在请求报文中，向组控制器和密钥管理服务器GCKS发送；代理接收GCKS返回的响应报文，从响应报文中提取新组员标志信息和携带请求处理结果的原始响应报文，根据新组员标志信息将原始响应报文向新组员发送。本发明还公开了组密钥管理中实现新组员注册的装置和系统。应用本发明可以在组密钥管理中实现新组员加入时的自动注册。
文档编号H04L29/06GK101355425SQ20071013633
公开日2009年1月28日 申请日期2007年7月24日 优先权日2007年7月24日
发明者亚 刘 申请人:华为技术有限公司