一种密钥信息的传输方法和设备的制作方法

一种密钥信息的传输方法和设备的制作方法
【专利摘要】本发明公开了一种密钥信息的传输方法和设备，该方法包括：KS确定本KS的分级角色；当分级角色为分发KS时，分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给分发KS的下一级KS；当分级角色为中转KS时，中转KS接收来自中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给中转KS的下一级KS；当分级角色为接入KS时，接入KS接收来自接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；接入KS确定GM所在组对应的安全策略和密钥信息，并以单播方式将当前确定的安全策略和密钥信息下发给所述GM。本发明实施例中，使GDVPN系统的网络规模不再受限于KS的CPU性能。
【专利说明】一种密钥信息的传输方法和设备

【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及一种密钥信息的传输方法和设备。

【背景技术】
[0002]GDVPN(Group Domain Virtual Private Network,组域虚拟专用网络)提供了一种基于组的IPsec (Internet Protocol Security, IP协议安全)安全模型。组是安全策略的集合，属于同一个组的所有成员共享相同的安全策略和密钥。
[0003]如图1所示，为⑶VPN系统的组网示意图，KS(Key Server，密钥服务器)通过划分不同的组来管理不同的安全策略和密钥，GM (Group Member，组成员)通过加入相应的组，以从KS获取该组对应的安全策略和密钥。
[0004]具体的，GM向KS发送所在组的组ID (标识)。KS根据GM提供的组ID向GM发送相应组的安全策略(保护的数据流信息、加密算法、认证算法、封装模式等)。GM对收到的安全策略进行验证，如果这些策略是可接受的(例如安全协议和加密算法是可支持的)，则向KS发送确认消息。KS收到GM的确认消息后，向GM发送密钥信息，由GM利用该密钥信息对数据进行加密和解密。
[0005]进一步的，如果在KS上配置了 Rekey (密钥更新)的相关参数，则KS还会周期性的向GM发送密钥更新消息,且该密钥更新消息中携带了最新的SA(Security Associat1n,安全联盟)信息。其中，KS是通过向每个GM发送单播的密钥更新消息，以通过密钥更新消息将最新的SA信息通知给各GM的。
[0006]当⑶VPN系统中存在大量的GM时，KS需要周期性的向每个GM发送密钥更新消息，导致KS在每个发送周期内，均需要发送大量的密钥更新消息，从而导致GDVPN系统的网络规模将受限于KS的CPU (Central Processing Unit，中央处理器)性能，并且⑶VPN系统中能够部署的GM数量有限。


【发明内容】

[0007]本发明实施例提供一种密钥信息的传输方法，所述方法包括以下步骤:
[0008]密钥服务器KS确定本KS的分级角色；
[0009]当分级角色为分发KS时，所述分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS ；
[0010]当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS ；
[0011]当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；
[0012]所述接入KS确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。
[0013]所述方法进一步包括:
[0014]所述分发KS将安全策略和密钥信息下发给所述分发KS的下一级KS的过程，具体包括:所述分发KS在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS ;或者，所述分发KS在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS ；
[0015]所述中转KS将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS，具体包括:所述中转KS在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS ；或者，所述中转KS在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。
[0016]所述接入KS确定组成员GM所在组对应的安全策略和密钥信息的过程，具体包括:
[0017]所述接入KS在接收到GM向本接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；
[0018]如果存在，则所述接入KS利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息；
[0019]如果不存在，则所述接入KS向所述接入KS的上一级KS发送携带所述GM所在组的组标识的注册消息；由所述接入KS的上一级KS确定所述GM所在组对应的安全策略和密钥信息，并将所述GM所在组对应的安全策略和密钥信息下发给所述接入KS ;所述接入KS接收所述接入KS的上一级KS下发的所述GM所在组对应的安全策略和密钥信息。
[0020]所述方法进一步包括:
[0021]当分级角色为分发KS时，如果所述分发KS上配置了密钥更新Rekey参数，则所述分发KS周期性的向所述分发KS的下一级KS发送密钥更新消息；
[0022]当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的密钥更新消息，并将所述密钥更新消息转发给所述中转KS的下一级KS，并利用所述密钥更新消息刷新本地的密钥信息；
[0023]当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的密钥更新消息，并以单播方式将所述密钥更新消息转发给相应组内的GM，并利用所述密钥更新消息刷新本地的密钥信息；
[0024]其中，所述密钥更新消息中携带了安全联盟SA信息和密钥信息。
[0025]所述SA信息具体包括:加密算法、认证算法、密钥使用期限等；所述密钥信息具体包括:加密流量的密钥TEK以及加密密钥的密钥KEK。
[0026]本发明实施例提供一种密钥服务器KS，所述KS具体包括:
[0027]确定模块，用于确定所述KS的分级角色；
[0028]处理模块，用于当分级角色为分发KS时，生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS ;或者，当分级角色为中转KS时，接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS ;或者，当分级角色为接入KS时，接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；以及，确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。
[0029]所述处理模块，具体用于在将安全策略和密钥信息下发给所述分发KS的下一级KS的过程中，在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS ;或者，在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS ；
[0030]所述处理模块，具体用于在将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS的过程中，在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS ；或者，在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。
[0031]所述处理模块，具体用于当分级角色为接入KS时，在确定GM所在组对应的安全策略和密钥信息的过程中，在接收到GM向所述接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；如果存在，则利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息；如果不存在，则向所述接入KS的上一级KS发送携带所述GM所在组的组标识的注册消息；由所述接入KS的上一级KS确定所述GM所在组对应的安全策略和密钥信息，并将所述GM所在组对应的安全策略和密钥信息下发给所述接入KS ;接收所述接入KS的上一级KS下发的所述GM所在组对应的安全策略和密钥信息。
[0032]所述处理模块，还用于当分级角色为分发KS时，如果所述分发KS上配置了密钥更新Rekey参数，则周期性的向所述分发KS的下一级KS发送密钥更新消息；当分级角色为中转KS时，接收来自所述中转KS的上一级KS的密钥更新消息，并将所述密钥更新消息转发给所述中转KS的下一级KS，并利用所述密钥更新消息刷新本地的密钥信息；当分级角色为接入KS时，接收来自所述接入KS的上一级KS的密钥更新消息，并以单播方式将所述密钥更新消息转发给相应组内的GM，并利用所述密钥更新消息刷新本地的密钥信息；其中，所述密钥更新消息中携带了安全联盟SA信息和密钥信息。
[0033]所述SA信息具体包括:加密算法、认证算法、密钥使用期限等；所述密钥信息具体包括:加密流量的密钥TEK以及加密密钥的密钥KEK。
[0034]基于上述技术方案，本发明实施例中，通过将KS划分为多个级别的KS，低级的KS向上级的KS注册，作为上级的KS的客户端，从而实现分层KS，并基于分层KS，扩大⑶VPN系统的部署规模，使GDVPN系统的网络规模不再受限于KS的CPU性能，GDVPN系统中能够部署的GM数量无限大。

【专利附图】

【附图说明】
[0035]图1是现有技术中提出的⑶VPN系统的组网示意图；
[0036]图2是本发明实施例中提出的应用场景示意图；
[0037]图3是本发明实施例中提出的一种密钥信息的传输方法流程示意图；
[0038]图4是本发明实施例中提出的一种密钥服务器KS的结构示意图。

【具体实施方式】
[0039]针对现有技术中存在的问题，本发明实施例提供一种密钥信息的传输方法，该方法应用于包括分发KS、中转KS、接入KS和GM的系统中。本发明实施例中，在包括多个KS的GDVPN系统中，通过对多个KS进行分级，低级KS向上级KS进行注册，并作为上级KS的客户端。在包括多个级别的KS的GDVPN系统中，最高级别的KS为分发KS，最低级别的KS为接入KS,而其它级别的KS均为中转KS。例如，假设KS分为4个级别，则第一级别的KS为分发KS，第二级别的KS和第三级别的KS均为中转KS，第四级别的KS为接入KS。进一步的，以图2为本发明实施例的应用场景示意图，假设KS分为3个级别，则第一级别的KS为分发KS,第二级别的KS为中转KS，第三级别的KS为接入KS。
[0040]在上述应用场景下，如图3所示，该密钥信息的传输方法包括以下步骤:
[0041]步骤301，KS确定本KS的分级角色。其中，KS的分级角色具体为:分发KS、中转KS、接入KS。当分级角色为分发KS时，执行步骤302 ;当分级角色为中转KS时，执行步骤303 ;当分级角色为接入KS时，执行步骤304。
[0042]步骤302，分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给分发KS的下一级KS，由分发KS的下一级KS在本地存储安全策略和密钥信息。其中，假设KS分为3个级别，则分发KS的下一级KS为第二级别的KS，且分发KS的下一级KS为中转KS。假设KS分为2个级别，则分发KS的下一级KS为第二级别的KS，且分发KS的下一级KS为接入KS。
[0043]其中，分发KS是最高级别的KS，且在⑶VPN系统中只有一个分发KS，该分发KS用于为GM生成安全策略和密钥信息，并将其下发给分发KS的下一级KS，即第二级别的KS，该第二级别的KS可以为中转KS或者接入KS。
[0044]步骤303，中转KS接收来自本中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给本中转KS的下一级KS，由本中转KS的下一级KS在本地存储安全策略和密钥信息。
[0045]其中，当中转KS分为多个级别的中转KS时，则最高级别的中转KS(即与分发KS相连的中转KS)接收分发KS(即本中转KS的上一级KS)下发的安全策略和密钥信息，在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给本中转KS的下一级别的中转KS，由本中转KS的下一级KS在本地存储安全策略和密钥信息。下一级别的中转KS接收最高级别的中转KS(即中转KS的上一级KS)下发的安全策略和密钥信息，在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给本中转KS的下一级别的中转KS，由本中转KS的下一级KS在本地存储安全策略和密钥信息。以此类推，最低级别的中转KS (即与接入KS相连的中转KS)接收上一级别的中转KS (即本中转KS的上一级KS)下发的安全策略和密钥信息，在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给接入KS，并由接入KS在本地存储安全策略和密钥信息。
[0046]步骤304，接入KS接收来自接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并确定GM所在组对应的安全策略和密钥信息，并以单播方式将当前确定的安全策略和密钥信息下发给该GM。
[0047]其中，分发KS在向分发KS的下一级KS发送安全策略和密钥信息时，分发KS可以通过单播方式将安全策略和密钥信息发送给分发KS的下一级KS，也可以通过组播方式将安全策略和密钥信息发送给分发KS的下一级KS。中转KS在向中转KS的下一级KS发送安全策略和密钥信息时，中转KS可以通过单播方式将安全策略和密钥信息发送给中转KS的下一级KS，也可以通过组播方式将安全策略和密钥信息发送给中转KS的下一级KS。接入KS在向GM发送安全策略和密钥信息时，接入KS通过单播方式将安全策略和密钥信息发送给GM，而不通过组播方式发送安全策略和密钥信息。进一步的，GM接收到接入KS下发的安全策略和密钥消息后，生成SA信息。
[0048]本发明实施例中，安全策略具体包括但不限于:保护的数据流信息、加密算法、认证算法、封装模式等。密钥信息具体包括但不限于:TEK(Tranfic Encryt1n Key,加密流量的密钥)和KEK (Key Encryt1n Key，加密密钥的密钥)。其中，TEK由组内的所有GM共享，用于加密GM之间的流量；KEK由组内的所有KS和GM共享，用于加密KS之间的密钥更新消息、以及KS向GM发送的密钥更新消息。
[0049]本发明实施例中，分发KS将安全策略和密钥信息下发给分发KS的下一级KS的过程，具体包括但不限于:分发KS在接收到来自分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给分发KS的下一级KS ;或者，分发KS在接收到来自分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将GM所在组对应的安全策略和密钥信息下发给分发KS的下一级KS ；
[0050]中转KS将本地存储的安全策略和密钥信息下发给中转KS的下一级KS的过程，具体包括但不限于:中转KS在接收到来自中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给中转KS的下一级KS ;或者，中转KS在接收到来自中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将GM所在组对应的安全策略和密钥信息下发给中转KS的下一级KS。
[0051]本发明实施例中，接入KS确定组成员GM所在组对应的安全策略和密钥信息的过程，具体包括但不限于:接入KS在接收到GM向本接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；如果存在，则接入KS利用本地存储的安全策略和密钥信息确定GM所在组对应的安全策略和密钥信息；如果不存在，则接入KS向接入KS的上一级KS发送携带GM所在组的组标识的注册消息；由接入KS的上一级KS确定GM所在组对应的安全策略和密钥信息，并将GM所在组对应的安全策略和密钥信息下发给接入KS ;接入KS接收接入KS的上一级KS下发的GM所在组对应的安全策略和密钥信息。
[0052]本发明实施例中，为了实现上述过程，有如下两种具体实现方式。
[0053]方式一:以KS分为3个级别，与分发KS相连的中转KS和与接入KS相连的中转KS为同一 KS为例，密钥信息的传输方法具体包括以下步骤:
[0054]步骤1、中转KS向分发KS发送未携带GM所在组的组标识的注册消息。
[0055]步骤2、分发KS在接收到来自中转KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息(假设为组I对应的安全策略和密钥信息、组2对应的安全策略和密钥信息)均下发给中转KS。
[0056]步骤3、中转KS在本地存储所有组对应的安全策略和密钥信息。
[0057]步骤4、接入KS向中转KS发送未携带GM所在组的组标识的注册消息。
[0058]步骤5、中转KS在接收到来自接入KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息(假设为组I对应的安全策略和密钥信息、组2对应的安全策略和密钥信息)均下发给接入KS。
[0059]步骤6、接入KS在本地存储所有组对应的安全策略和密钥信息。
[0060]步骤7、GM向接入KS发送携带GM所在组的组标识的注册消息。
[0061]步骤8、接入KS根据GM提供的组标识向GM发送相应组的安全策略。
[0062]本发明实施例中，接入KS在接收到GM向本接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息。由于之前接入KS已经向中转KS发送过未携带GM所在组的组标识的注册消息，且接入KS已经收到来自中转KS的所有组对应的安全策略和密钥信息，并在本地存储所有组对应的安全策略和密钥信息，因此，在本步骤中，本地存在GM所在组对应的安全策略和密钥信息，接入KS直接利用本地存储的安全策略和密钥信息确定GM所在组对应的安全策略和密钥信息，并根据GM提供的组标识向GM发送相应组的安全策略。
[0063]步骤9、GM对收到的安全策略进行验证，如果这些策略是可接受的(例如安全协议和加密算法是可支持的)，则GM向接入KS根发送确认消息。
[0064]步骤10、接入KS在收到GM的确认消息后，根据GM提供的组标识向GM发送相应组的密钥信息，由GM利用该密钥信息对数据进行加密和解密。
[0065]方式二:以KS分为3个级别，与分发KS相连的中转KS和与接入KS相连的中转KS为同一 KS为例，密钥信息的传输方法具体包括以下步骤:
[0066]步骤1、GM向接入KS发送携带GM所在组的组标识的注册消息。
[0067]步骤2、接入KS向中转KS发送携带GM所在组的组标识的注册消息。
[0068]本发明实施例中，接入KS在接收到GM向本接入KS发送的携带GM所在组的组标识的注册消息之后，判断本地是否存在GM所在组对应的安全策略和密钥信息。由于之前接入KS未向中转KS发送过携带GM所在组的组标识的注册消息，因此，接入KS本地将未存储GM所在组对应的安全策略和密钥信息，因此，在本步骤中，接入KS需要向接入KS的上一级KS(即中转KS)发送携带GM所在组的组标识的注册消息。
[0069]步骤3、中转KS向分发KS发送携带GM所在组的组标识的注册消息。
[0070]步骤4、分发KS在接收到来自中转KS的携带GM所在组的组标识的注册消息时，确定GM所在组对应的安全策略和密钥信息(如组I对应的安全策略和密钥信息)，将GM所在组对应的安全策略和密钥信息下发给中转KS。
[0071 ] 步骤5、中转KS在本地存储GM所在组对应的安全策略和密钥信息，并将GM所在组对应的安全策略和密钥信息下发给接入KS。
[0072]步骤6、接入KS在本地存储GM所在组对应的安全策略和密钥信息，并将GM所在组对应的安全策略(即GM对应的安全策略)发送给GM。
[0073]步骤7、GM对收到的安全策略进行验证，如果这些策略是可接受的(例如安全协议和加密算法是可支持的)，则GM向接入KS根发送确认消息。
[0074]步骤8、接入KS在收到GM的确认消息后，根据GM提供的组标识向GM发送相应组的密钥信息，由GM利用该密钥信息对数据进行加密和解密。
[0075]本发明实施例中，如果在分发KS上配置了 Rekey参数，则分发KS还会周期性的发送密钥更新消息，且该密钥更新消息中携带了最新的SA信息和密钥信息。其中，在分发KS本地维护的SA信息老化时间到达之前，分发KS将通过密钥更新消息周期性的发送最新的SA信息和密钥信息。其中，Rekey参数具体可以为Rekey加密算法、KEK的生命周期、密钥更新消息的重传间隔和重传次数等。
[0076]基于此，本发明实施例中，当分级角色为分发KS时，分发KS周期性的向分发KS的下一级KS发送密钥更新消息。当分级角色为中转KS时，中转KS接收来自中转KS的上一级KS的密钥更新消息，并将密钥更新消息转发给中转KS的下一级KS，并利用密钥更新消息刷新本地的密钥信息。当分级角色为接入KS时，接入KS接收来自接入KS的上一级KS的密钥更新消息，并以单播方式将密钥更新消息转发给相应组内的GM，即接入KS确定密钥更新消息对应的组，并以单播方式将该密钥更新消息分别发送给该组内的各GM，并利用密钥更新消息刷新本地的密钥信息。GM收到接入KS下发的密钥更新消息后，解析密钥更新消息，更新本地的SA信息(IPsec SA或RekeySA)。
[0077]其中，当中转KS分为多个级别的中转KS时，最高级别的中转KS (即与分发KS相连的中转KS)接收来自分发KS的密钥更新消息，并将密钥更新消息下发给下一级别的中转KS0下一级别的中转KS接收来自最高级别的中转KS的密钥更新消息，并将密钥更新消息下发给下一级别的中转KS。以此类推，最低级别的中转KS(即与接入KS相连的中转KS)接收来自上一级别的中转KS的密钥更新消息，并将密钥更新消息下发给接入KS。
[0078]其中，分发KS在向分发KS的下一级KS发送密钥更新消息时，分发KS可以通过单播方式将密钥更新消息发送给分发KS的下一级KS，也可以通过组播方式将密钥更新消息发送给分发KS的下一级KS。中转KS在向接入KS发送密钥更新消息时，中转KS可以通过单播方式将密钥更新消息发送给中转KS的下一级KS，也可以通过组播方式将密钥更新消息发送给中转KS的下一级KS。接入KS在向GM发送密钥更新消息时，接入KS通过单播方式将密钥更新消息发送给GM，而不通过组播方式发送密钥更新消息。进一步的，GM收到接入KS下发的密钥更新消息后，解析密钥更新消息，更新本地的SA信息(IPsec SA或RekeySA)。
[0079]本发明实施例中，密钥更新消息中携带了 SA信息和密钥信息，该SA信息具体包括但不限于:加密算法、认证算法、密钥使用期限和其他参数。密钥信息具体包括TEK和KEK。SA信息具体为IPsec SA或者Rekey SA。
[0080]本发明实施例中，分发KS在发送密钥更新消息时，分发KS还可以使用KEK对该密钥更新消息进行加密。GM在接收到来自接入KS的密钥更新消息时，GM还需要使用之前获得的KEK对该密钥更新消息进行解密。
[0081 ] 基于上述技术方案，本发明实施例中，通过将KS划分为多个级别的KS，低级的KS向上级的KS注册，作为上级的KS的客户端，从而实现分层KS。其中，一级KS为二级KS分发安全策略和密钥信息，二级KS将安全策略和密钥信息分发给三级KS，以此类推，最低一级KS将安全策略和密钥信息分发给GM，GM只需要向最低一级KS注册，上级KS不关注GM注册信息。基于分层KS，扩大GDVPN系统的部署规模，使GDVPN系统的网络规模不再受限于KS的CPU性能，⑶VPN系统中能够部署的GM数量无限大。
[0082]基于与上述方法同样的发明构思，本发明实施例中还提供了一种密钥服务器KS，应用于包括分发KS、中转KS、接入KS和组成员GM的系统中，如图4所示，所述KS具体包括:
[0083]确定模块11，用于确定所述KS的分级角色；
[0084]处理模块12，用于当分级角色为分发KS时，生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS ;或者，当分级角色为中转KS时，接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS ;或者，当分级角色为接入KS时，接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；以及，确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。
[0085]所述处理模块12，具体用于在将安全策略和密钥信息下发给所述分发KS的下一级KS的过程中，在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS ;或者，在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS ；
[0086]所述处理模块12，具体用于在将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS的过程中，在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS ;或者，在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。
[0087]所述处理模块12，具体用于当分级角色为接入KS时，在确定GM所在组对应的安全策略和密钥信息的过程中，在接收到GM向所述接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；如果存在，则利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息；如果不存在，则向所述接入KS的上一级KS发送携带所述GM所在组的组标识的注册消息；由所述接入KS的上一级KS确定所述GM所在组对应的安全策略和密钥信息，并将所述GM所在组对应的安全策略和密钥信息下发给所述接入KS ;接收所述接入KS的上一级KS下发的所述GM所在组对应的安全策略和密钥信息。
[0088]所述处理模块12，还用于当分级角色为分发KS时，如果所述分发KS上配置了密钥更新Rekey参数，则周期性的向所述分发KS的下一级KS发送密钥更新消息；当分级角色为中转KS时，接收来自所述中转KS的上一级KS的密钥更新消息，并将所述密钥更新消息转发给所述中转KS的下一级KS，并利用所述密钥更新消息刷新本地的密钥信息；当分级角色为接入KS时，接收来自所述接入KS的上一级KS的密钥更新消息，并以单播方式将所述密钥更新消息转发给相应组内的GM，并利用所述密钥更新消息刷新本地的密钥信息；其中，所述密钥更新消息中携带了安全联盟SA信息和密钥信息。
[0089]所述SA信息具体包括:加密算法、认证算法、密钥使用期限等；所述密钥信息具体包括:加密流量的密钥TEK以及加密密钥的密钥KEK。
[0090]其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。
[0091]通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
【权利要求】
1.一种密钥信息的传输方法，其特征在于，所述方法包括以下步骤: 密钥服务器KS确定本KS的分级角色； 当分级角色为分发KS时，所述分发KS生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS ； 当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS ； 当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息； 所述接入KS确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。
2.如权利要求1所述的方法，其特征在于，所述方法进一步包括: 所述分发KS将安全策略和密钥信息下发给所述分发KS的下一级KS的过程，具体包括:所述分发KS在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS ;或者，所述分发KS在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS ； 所述中转KS将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS，具体包括:所述中转KS在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS ;或者，所述中转KS在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。
3.如权利要求2所述的方法，其特征在于，所述接入KS确定组成员GM所在组对应的安全策略和密钥信息的过程，具体包括: 所述接入KS在接收到GM向本接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息； 如果存在，则所述接入KS利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息； 如果不存在，则所述接入KS向所述接入KS的上一级KS发送携带所述GM所在组的组标识的注册消息；由所述接入KS的上一级KS确定所述GM所在组对应的安全策略和密钥信息，并将所述GM所在组对应的安全策略和密钥信息下发给所述接入KS ;所述接入KS接收所述接入KS的上一级KS下发的所述GM所在组对应的安全策略和密钥信息。
4.如权利要求1所述的方法，其特征在于，所述方法进一步包括: 当分级角色为分发KS时，如果所述分发KS上配置了密钥更新Rekey参数，则所述分发KS周期性的向所述分发KS的下一级KS发送密钥更新消息； 当分级角色为中转KS时，所述中转KS接收来自所述中转KS的上一级KS的密钥更新消息，并将所述密钥更新消息转发给所述中转KS的下一级KS，并利用所述密钥更新消息刷新本地的密钥信息； 当分级角色为接入KS时，所述接入KS接收来自所述接入KS的上一级KS的密钥更新消息，并以单播方式将所述密钥更新消息转发给相应组内的GM，并利用所述密钥更新消息刷新本地的密钥信息； 其中，所述密钥更新消息中携带了安全联盟SA信息和密钥信息。
5.如权利要求1-4任一项所述的方法，其特征在于，所述SA信息具体包括:加密算法、认证算法、密钥使用期限等；所述密钥信息具体包括:加密流量的密钥TEK以及加密密钥的密钥KEK。
6.一种密钥服务器KS，其特征在于，所述KS具体包括: 确定模块，用于确定所述KS的分级角色； 处理模块，用于当分级角色为分发KS时，生成安全策略和密钥信息，并将安全策略和密钥信息下发给所述分发KS的下一级KS ;或者，当分级角色为中转KS时，接收来自所述中转KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息，并将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS ;或者，当分级角色为接入KS时，接收来自所述接入KS的上一级KS的安全策略和密钥信息，并在本地存储安全策略和密钥信息；以及，确定组成员GM所在组对应的安全策略和密钥信息，以单播方式将当前确定的安全策略和密钥信息下发给所述GM。
7.如权利要求6所述的KS，其特征在于， 所述处理模块，具体用于在将安全策略和密钥信息下发给所述分发KS的下一级KS的过程中，在接收到来自所述分发KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述分发KS的下一级KS ;或者，在接收到来自所述分发KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述分发KS的下一级KS ； 所述处理模块，具体用于在将本地存储的安全策略和密钥信息下发给所述中转KS的下一级KS的过程中，在接收到来自所述中转KS的下一级KS的未携带GM所在组的组标识的注册消息时，将所有组对应的安全策略和密钥信息均下发给所述中转KS的下一级KS ;或者，在接收到来自所述中转KS的下一级KS的携带GM所在组的组标识的注册消息时，将所述GM所在组对应的安全策略和密钥信息下发给所述中转KS的下一级KS。
8.如权利要求7所述的KS，其特征在于， 所述处理模块，具体用于当分级角色为接入KS时，在确定GM所在组对应的安全策略和密钥信息的过程中，在接收到GM向所述接入KS发送的携带GM所在组的组标识的注册消息后，判断本地是否存在GM所在组对应的安全策略和密钥信息；如果存在，则利用本地存储的安全策略和密钥信息确定所述GM所在组对应的安全策略和密钥信息；如果不存在，则向所述接入KS的上一级KS发送携带所述GM所在组的组标识的注册消息；由所述接入KS的上一级KS确定所述GM所在组对应的安全策略和密钥信息，并将所述GM所在组对应的安全策略和密钥信息下发给所述接入KS ;接收所述接入KS的上一级KS下发的所述GM所在组对应的安全策略和密钥信息。
9.如权利要求6所述的KS，其特征在于， 所述处理模块，还用于当分级角色为分发KS时，如果所述分发KS上配置了密钥更新Rekey参数，则周期性的向所述分发KS的下一级KS发送密钥更新消息；当分级角色为中转KS时，接收来自所述中转KS的上一级KS的密钥更新消息，并将所述密钥更新消息转发给所述中转KS的下一级KS，并利用所述密钥更新消息刷新本地的密钥信息；当分级角色为接AKS时，接收来自所述接入KS的上一级KS的密钥更新消息，并以单播方式将所述密钥更新消息转发给相应组内的GM，并利用所述密钥更新消息刷新本地的密钥信息；其中，所述密钥更新消息中携带了安全联盟SA信息和密钥信息。
10.如权利要求6-9任一项所述的KS，其特征在于，所述SA信息具体包括:加密算法、认证算法、密钥使用期限等；所述密钥信息具体包括:加密流量的密钥TEK以及加密密钥的密钥KEK。
【文档编号】H04L29/06GK104270350SQ201410481971
【公开日】2015年1月7日 申请日期:2014年9月19日 优先权日:2014年9月19日
【发明者】罗忠海 申请人:杭州华三通信技术有限公司