CN103347007B - Internet协议安全性联盟的生成方法和路由设备 - Google Patents

Internet协议安全性联盟的生成方法和路由设备 Download PDF

Info

Publication number
CN103347007B
CN103347007B CN201310246364.3A CN201310246364A CN103347007B CN 103347007 B CN103347007 B CN 103347007B CN 201310246364 A CN201310246364 A CN 201310246364A CN 103347007 B CN103347007 B CN 103347007B
Authority
CN
China
Prior art keywords
data flow
distinguishing identifier
vpn
domain
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310246364.3A
Other languages
English (en)
Other versions
CN103347007A (zh
Inventor
韩东亮
李永波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201310246364.3A priority Critical patent/CN103347007B/zh
Publication of CN103347007A publication Critical patent/CN103347007A/zh
Application granted granted Critical
Publication of CN103347007B publication Critical patent/CN103347007B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了Internet协议安全性联盟的生成方法和路由设备。该方法包括:KS接收并保存本Group-Domain-VPN新加入的GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;KS针对已注册至本KS的每一GM,比较该GM与新加入的GM发送的所有数据流的区分标识确定需要这两个GM同时保护的双向数据流;KS将配置的GROUP-DOMAIN-VPN的安全策略、密钥、以及需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM,以使所述两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSec?SA以对具有收到的数据流区分标识的双向数据流进行保护处理。

Description

Internet协议安全性联盟的生成方法和路由设备
技术领域
本申请涉及网络通信技术,特别涉及Internet协议安全性(IPSec)联盟(SA)的生成方法和路由设备。
背景技术
组区域传输虚拟私有网络(GROUP-DOMAIN-VPN:GroupDomainVirtualPrivateNetwork)代表了一种新型的VPN,专门用于加密广域网上传输的数据。
一个GROUP-DOMAIN-VPN主要由两部分组成:组成员(GM:GroupMember)和密钥服务器(KS:KeyServer)。其中,KS为同一GROUP-DOMAIN-VPN中的GM分发密钥和IPSecSA,GM利用KS下发的密钥和IPSecSA对需要保护的数据流进行保护。
图1示出了GROUP-DOMAIN-VPN组网示意图。在图1中,存在一个GROUP-DOMAIN-VPN,路由器(Router)1、Route2、Router3、Router4作为该GROUP-DOMAIN-VPN的GM,Router5作为该GROUP-DOMAIN-VPN的KS。
在图1中,作为GM的Router1下挂1.1.1.0/24子网,作为GM的Router2下挂2.2.2..0/24子网,作为GM的Router3下挂3.3.3.0/24子网,GM1、GM2、GM3间使用GROUP-DOMAIN-VPN保护三者之间的数据流。
作为KS的Router5配置了组ID、IPSecSA和密钥。其中,KS上的IPSecSA和密钥是通过手工配置的。
KS上通过手工配置的IPSecSA包含三个ACL信息,该三个ACL信息为作为GM的Router1、Route2、Router3之间允许交互的数据流信息:
1.1.1.0/24<======>2.2.2.0/24,
2.2.2.0/24<======>3.3.3.0/24,
1.1.1.0/24<======>3.3.3.0/24,
当任一作为GM的Router注册到KS后,KS将配置的IPSECSA以及密钥发送给该Router。
这样,图1中的所有作为GM的Router即Router1至Router4都从KS处获得包含三个ACL信息(1.1.1.0/24<======>2.2.2.0/24,2.2.2.0/24<======>3.3.3.0/24、1.1.1.0/24<======>3.3.3.0/24)的IPSecSA。而实际应用中,每个GM实际中最多用到两个ACL信息,比如作为GM的Router1只需要“1.1.1.0/24<======>2.2.2.0/24,1.1.1.0/24<======>3.3.3.0/”这两条ACL信息即可,不需要“2.2.2.0/24<======>3.3.3.0/24”这条ACL信息,这造成了KS不能按需向各个GM下发需要保护的数据流的信息。
发明内容
本申请提供了Internet协议安全性联盟的生成方法和路由设备,以实现各个GM按需维护IPSecSA。
本申请提供的技术方案包括:
一种Internet协议安全性IPSec联盟SA的生成方法,该方法包括:
密钥服务器KS接收并保存本组区域虚拟私有网络Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
KS针对已注册至本KS的每一GM,比较该GM与所述新加入的GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流;
KS将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及
确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM,以使所述两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有收到的数据流区分标识的双向数据流进行保护处理。
一种Internet协议安全性IPSec联盟SA策略的生成方法,该方法包括:
组区域虚拟私有网络GROUP-DOMAIN-VPN中的组成员GM在注册至同一GROUP-DOMAIN-VPN中密钥服务器KS的过程中发送自身配置的需要保护的数据流的区分标识给所述KS;
GM接收KS发送的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述KS确定出的需要本GM与同一GROUP-DOMAIN-VPN中其它GM同时保护的双向数据流的区分标识,利用收到的安全策略、密钥、数据流区分标识生成IPSecSA并对具有该收到的数据流区分标识的双向数据流进行保护处理。
一种路由设备,所述路由设备应用于组区域虚拟私有网络GROUP-DOMAIN-VPN中的密钥服务器KS,包括:
接收单元,用于接收本Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
存储单元,用于保存本Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
比较单元,用于针对已注册至本KS的每一GM,比较该GM与所述新加入的GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流;
发送单元,用于将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述比较单元确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM,以使所述两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有该收到的数据流区分标识的双向数据流进行保护处理。
一种路由设备,所述路由设备应用于组区域虚拟私有网络GROUP-DOMAIN-VPN组中的组成员GM,包括:
注册单元,用于在注册至同一GROUP-DOMAIN-VPN中密钥服务器KS的过程中发送自身配置的需要保护的数据流的区分标识给所述KS;
接收单元,用于接收同一GROUP-DOMAIN-VPN中的KS发送的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述KS确定出的需要本GM与同一GROUP-DOMAIN-VPN中其它GM同时保护的双向数据流的区分标识,利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有该收到的数据流区分标识的双向数据流进行保护处理。
由以上技术方案可以看出,本发明中,本发明并非在KS上通过手工配置IPSecSA,而是预先在每一GM上配置需要该GM保护的数据流的信息,由GM在向同一GROUP-DOMAIN-VPN中KS注册过程中将自身配置的需要保护的所有数据流的区分标识发送给KS,由KS通过比较同一GROUP-DOMAIN-VPN中每两个GM发送的需要保护的所有数据流的区分标识来确定出这两个GM同时保护的数据流,并将该确定出的数据流的区分标识、与所述GROUP-DOMAIN-VPN的安全策略、密钥发送给该两个GM,由该两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSecSA并对具有该收到的数据流区分标识的数据流进行保护处理,实现了GM按需维护IPSecSA的目的。
附图说明
图1示出了GROUP-DOMAIN-VPN组网示意图;
图2为本发明实施例提供的方法流程图;
图3为本发明实施例提供的路由设备结构图;
图4为本发明实施例提供的另一路由设备结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法包含图2所示流程:
参见图2,图2为本发明实施例提供的方法流程图。如图2所示,该流程可宝括:
步骤201,Group-Domain-VPN中新加入的GM在注册至同一GROUP-DOMAIN-VPN中KS的过程中将本GM上配置的需要保护的所有数据流的区分标识发送给所述KS。
本发明中,不同于现有技术在GROUP-DOMAIN-VPN中的KS上配置GROUP-DOMAIN-VPN中各个GM需要保护的数据流的区分标识,而是直接在GROUP-DOMAIN-VPN中每一GM上配置需要该GM保护的数据流的区分标识,由GM在向同一GROUP-DOMAIN-VPN中的KS注册时,携带该GM上配置的需要保护的数据流的区分标识。
作为本发明的一个实施例,所述数据流的区分标识可为数据流的源IP地址、目的IP地址、源端口号、源端口号范围、目的端口号、目的端口号范围、传输协议、传输协议范围中的至少一个。
以数据流的区分标识为数据流的源IP地址、目的IP地址为例,其他情况原理类似。则应用于图1所示的组网,假如图1中ROUTER1作为新加入图1所示的GROUP-DOMAIN-VPN中的GM,则ROUTER1就在注册至图1所示作为KS的ROUTER5的过程中将自身配置的需要保护的所有数据流的源IP地址、目的IP地址发送给KS。
假如ROUTER1配置了如下需要保护的数据流:
数据流1:源IP地址为1.1.0.0/16,目的IP地址为2.2.0.0/16的数据流;
数据流2:源IP地址为2.2.0.0/16,目的IP地址为1.1.0.0/16的数据流。
则,基于本发明步骤201,ROUTER1就在注册至KS的过程中将本ROUTER1上配置的需要保护的数据流1的源IP地址1.1.0.0/16、目的IP地址2.2.0.0/16、以及数据流2的源IP地址2.2.0.0/16,目的IP地址1.1.0.0/16发送至KS。
同理,图1中ROUTER2至ROUTER4在新加入图1所示的Group-Domain-VPN时也会按照ROUTER1的方式在注册至KS的过程中将本ROUTER上配置的需要保护的各个数据流的源IP地址、目的IP地址发送至KS,这里不再一一举例描述。
步骤202,KS接收并保存同一GROUP-DOMAIN-VPN组中新加入的GM在注册至本KS的过程中发送的需要保护的所有数据流的区分标识。
步骤203,KS针对已注册至本KS的每一GM,比较该GM与所述新加入的GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流。
作为本发明的一个优选实施例,本步骤203中,KS通过以下步骤确定需要两个GM同时保护的双向数据流:
KS针对两个GM中一个GM发送的需要保护的每一数据流的区分标识,判断该区分标识是否与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同或者有交集,
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同时,KS将具有该区分标识的数据流确定为需要所述两个GM同时保护的双向数据流;
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识有交集时,KS将区分标识为该交集的数据流确定为需要所述两个GM同时保护的双向数据流。
仍以数据流的区分标识为源IP地址、目的IP地址为例,则应用于图1所示组网,若新加入的GM为图1所示的ROUTER1,并且执行到本步骤203时已注册至KS的GM为ROUTER2至ROUTER4,其中,作为GM的ROUTER2至ROUTER4在注册至KS的过程中发送至KS的需要保护的数据流的区分标识如下:
作为GM的ROUTER2在注册至KS的过程中发送至KS的需要保护的数据流的区分标识为:
数据流1的源IP地址为1.1.1.0/24,目的IP地址为2.2.2.0/24;
数据流2的源IP地址为2.2.2.0/24,目的IP地址为1.1.1.0/24;
数据流3的源IP地址为2.2.2.0/24,目的IP地址为3.3.3.0/24;
数据流4的源IP地址为3.3.3.0/24,目的IP地址为2.2.2.0/24;
数据流5的源IP地址为2.2.2.0/24,目的IP地址为4.4.4.0/24;
数据流6的源IP地址为4.4.4.0/24,目的IP地址为2.2.2.0/24。
作为GM的ROUTER3在注册至KS的过程中发送至KS的需要保护的数据流的区分标识为:
数据流1的源IP地址为2.2.2.0/24,目的IP地址为3.3.3.0/24;
数据流2的源IP地址为3.3.3.0/24,目的IP地址为2.2.2.0/24;
数据流3的源IP地址为3.3.3.0/24,目的IP地址为4.4.4.0/24;
数据流4的源IP地址为4.4.4.0/24,目的IP地址为3.3.3.0/24。
作为GM的ROUTER4在注册至KS的过程中发送至KS的需要保护的数据流的区分标识为:
数据流1的源IP地址为3.3.3.0/24,目的IP地址为4.4.4.0/24;
数据流2的源IP地址为4.4.4.0/24,目的IP地址为3.3.3.0/24。
基于上述步骤203,KS就针对ROUTER1发送的需要保护的数据流1的源IP地址1.1.0.0/16,
从ROUTER2发送的需要保护的所有数据流的源IP地址中找到与ROUTER1需要保护的数据流1的源IP地址1.1.0.0/16具有交集的源IP地址,基于如上所述ROUTER2发送的需要保护的所有数据流的区分标识,KS会发现ROUTER2需要保护的数据流1的源IP地址1.1.0.0/24与ROUTER1需要保护的数据流1的源IP地址1.1.0.0/16具有交集,两者的交集为ROUTER2需要保护的数据流1的源IP地址1.1.0.0/24;之后,KS继续比较ROUTER1需要保护的数据流1的目的IP地址2.2.0.0/16是否与ROUTER2需要保护的数据流1的目的IP地址2.2.2.0/24有交集,KS会发现ROUTER1需要保护的数据流1的目的IP地址2.2.0.0/16与ROUTER2需要保护的数据流1的目的IP地址2.2.2.0/24有交集,两者的交集为ROUTER2需要保护的数据流1的目的IP地址2.2.2.0/24,如此,KS就将ROUTER1需要保护的数据流1的源IP地址1.1.0.0/16与ROUTER2需要保护的数据流1的源IP地址1.1.0.0/24之间的交集作为需要ROUTER1、ROUTER2同时保护的数据流的源IP地址,以及将ROUTER1需要保护的数据流1的目的IP地址2.2.0.0/16与ROUTER2需要保护的数据流1的目的IP地址2.2.2.0/24之间的交集作为需要ROUTER1、ROUTER2同时保护的数据流的目的IP地址;
同理,KS也会针对ROUTER1发送的需要保护的数据流2的源IP地址2.2.0.0/16、
从ROUTER2发送的需要保护的所有数据流的源IP地址中找到与ROUTER1需要保护的数据流2的源IP地址2.2.0.0/16具有交集的源IP地址,基于如上所述ROUTER2发送的需要保护的所有数据流的区分标识,KS会发现ROUTER2需要保护的数据流2的源IP地址2.2.0.0/24与ROUTER1需要保护的数据流2的源IP地址2.2.0.0/16具有交集,两者的交集为ROUTER2需要保护的数据流2的源IP地址2.2.0.0/24;之后,KS继续比较ROUTER1需要保护的数据流2的目的IP地址1.1.0.0/16是否与ROUTER2需要保护的数据流2的目的IP地址1.1.0.0/24有交集,KS会发现ROUTER1需要保护的数据流2的目的IP地址1.1.0.0/16与ROUTER2需要保护的数据流2的目的IP地址1.1.0.0/24有交集,两者的交集为ROUTER2需要保护的数据流2的目的IP地址1.1.0.0/24,如此,KS就将ROUTER1需要保护的数据流2的源IP地址2.2.0.0/16与ROUTER2需要保护的数据流2的源IP地址2.2.0.0/24之间的交集即2.2.0.0/24作为需要ROUTER1、ROUTER2同时保护的数据流的源IP地址,以及将ROUTER1需要保护的数据流2的目的IP地址1.1.0.0/16与ROUTER2需要保护的数据流2的目的IP地址1.1.0.0/24之间的交集即作为需要ROUTER1、ROUTER2同时保护的数据流的目的IP地址;
即,通过上面描述,KS会确定出新加入的ROUTER1和已注册至本KS的ROUTER2同时保护的双向数据流如下:
第一数据流:源IP地址为1.1.1.0/24,目的IP地址为2.2.2.0/24的数据流;
第二数据流:源IP地址为2.2.2.0/24,目的IP地址为1.1.1.0/24的数据流。
同样的方式,KS也会通过比较新加入的ROUTER1与已注册至本KS的ROUTER3发送的需要保护的所有数据流的区分标识并确定需要ROUTER1和ROUTER3同时保护的双向数据流,以及KS也会通过比较新加入的ROUTER1与已注册至本KS的ROUTER4发送的需要保护的所有数据流的区分标识并确定需要ROUTER1和ROUTER4同时保护的双向数据流。基于上面描述的ROUTER1、ROUTER3、ROUTER4发送的需要保护的所有数据流的区分标识,可以看出,本发明中,ROUTER1、ROUTER3不存在同时保护的双向数据流,ROUTER1、ROUTER4不存在同时保护的双向数据流。
步骤204,KS将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、与确定出的需要所述两个GM同时保护的双向数据流的区分标识一起发送给所述两个GM。
本发明中,GROUP-DOMAIN-VPN的安全策略和密钥可预先配置,这里,安全策略可为加密算法、完整性算法等安全算法中的一个或多个,本发明并不具体限定。
以上面描述的需要作为GM的ROUTER1和ROUTER2同时保护的双向数据流为以下两条数据流为例:
第一数据流:源IP地址为1.1.1.0/24,目的IP地址为2.2.2.0/24的数据流;
第二数据流:源IP地址为2.2.2.0/24,目的IP地址为1.1.1.0/24的数据流,
则本步骤204中,KS就将本KS上配置的所述安全策略、密钥、需要作为GM的ROUTER1和ROUTER2同时保护的第一数据流的源IP地址1.1.1.0/24,目的IP地址2.2.2.0/24、以及第二数据流的源IP地址2.2.2.0/24,目的IP地址1.1.1.0/24一起发送给作为GM的ROUTER1和ROUTER2。
作为本发明的一个实施例,本发明中,在针对GROUP-DOMAIN-VPN配置安全策略和密钥时,还可进一步配置该安全策略和密钥的生存时间,并通过启动一个定时器(记为生存定时器)来体现该安全策略和密钥的生存时间,也即,该生存定时器的时长为配置的安全策略和密钥的生存时间,当生存定时器超时时,意味着该安全策略和密钥的生存时间到期,此时,该GROUP-DOMAIN-VPN的安全策略和/或密钥可重新配置,当然,该GROUP-DOMAIN-VPN的安全策略和密钥也可均不重新配置。
其中,在安全策略和/或密钥重新配置时,可以重新配置该新配置的安全策略和/或密钥的生存时间,并设置上述生存定时器的时长切换为重新配置的安全策略和/或密钥的生存时间,启动该生存定时器重新计时;当然,也可不重新配置该新配置的安全策略和/或密钥的生存时间,直接由上述的生存定时器重新计时即可。本发明并不具体限定。
在安全策略和密钥均不重新配置时,则可以根据实际经验重新配置该安全策略和密钥的生存时间,并设置上述生存定时器的时长切换为重新配置的生存时间,启动该生存定时器重新计时;当然,也可不重新配置该安全策略和密钥的生存时间,直接由上述的生存定时器重新计时即可。本发明并不具体限定。
因为生存定时器体现安全策略和密钥的生存时间,基于此,优选地,本步骤204中,可进一步将依据所述生存定时器当前显示的时间确定出的所述安全策略和密钥当前剩余的生存时间分别发送给所述两个GM。这里,所述安全策略和密钥当前剩余的生存时间实为安全策略和密钥截至至当前还剩下的生存时间,其依据所述生存定时器当前显示的时间来确定,比如,
当生存定时器从时长开始按照递减顺序显示时间时,所述安全策略和密钥当前剩余的生存时间就为所述生存定时器的显示的时间;此时,所述生存定时器的超时时间就为0,或者为在达到0之前的一时间,本发明并不限定。
而当生存定时器从0开始或者从大于0的某一时间开始按照递增顺序显示时间时,所述安全策略和密钥当前剩余的生存时间就为所述生存定时器设置的时长减去当前显示的时间;此时所述生存定时器的超时时间就为设置的时长,或者为在达到设置的时长之前的一时间,本发明并不限定。
步骤205,每一GM利用接收的安全策略、密钥、以及需要本GM与同一GROUP-DOMAIN-VPN中其它GM同时保护的双向数据流的区分标识生成IPSecSA,并启动对应该IPSecSA的定时器,所述定时器的时长为本GM接收的所述安全策略和密钥剩余的生存时间。
之后,GM就可利用其生成的IPSecSA对经由本GM的数据流进行保护,这里,GM如何利用其生成的IPSecSA对经由本GM的数据流进行保护与现有保护数据流的方式类似,不再赘述。
步骤206,GM在所述定时器超时之前重新注册至同一GROUP-DOMAIN-VPN的KS,其中,所述GM在重新注册至同一GROUP-DOMAIN-VPN的KS的过程中也会将本GM上配置的需要保护的数据流的区分标识发送给所述KS,在所述定时器超时时删除所述IPSecSA。
步骤207,KS实时检测本KS启动的所述生存定时器,当所述生存定时器超时时,检测同一GROUP-DOMAIN-VPN中已注册至本KS的每一GM是否在所述生存定时器超时之前重新注册至本KS,如果否,确认该GM退出所述GROUP-DOMAIN-VPN,删除已保存的由该退出的GM发送的所有数据流的区分标识,重新比较同一GROUP-DOMAIN-VPN中每两个GM发送的需要保护的所有数据流的区分标识确定需要这两个GM同时保护的双向数据流,并返回步骤204。
优选地,本步骤207中,KS可进一步执行以下步骤:
接收并保存已注册至本KS的GM在所述生存定时器超时之前重新注册至本KS的过程中发送的所有数据流的区分标识,并删除已保存的该GM之前发送的所有数据流的区分标识,这样,能够保证KS始终保存最新的需要GM保护的所有数据流的区分标识;
KS在设定的缓冲时间到达后,比较已重新注册至本KS的每两个GM发送的需要保护的所有数据流的区分标识以确定这两个GM同时保护的双向数据流,并返回步骤204。本发明中,KS之所以等待设定的缓冲时间,目的是避免KS每接收到一个GM的重新注册,就确定该GM与GROUP-DOMAIN-VPN中其他GM同时保护的数据流,而事实上,可能其他GM还未重新注册,这样就会导致该确定出的数据流无用,基于此,本发明中,KS缓冲一定的时间,该时间为设定的所述GROUP-DOMAIN-VPN中GM重新注册至KS所需要的时间,其根据经验设置,之后,统一对已重新注册至本KS的每两个GM发送的需要保护的所有数据流的区分标识以确定这两个GM同时保护的数据流,避免KS执行一些无用功的操作,节省KS资源。
需要说明的是,本步骤207并非与上述步骤205、步骤206有固定的先后顺序,其可同时执行。
通过步骤207,能够保证KS在GM退出时及时删除本KS保存的该退出的GM之前发送的数据流信息,节省KS的存储资源。
至此,完成图2所示流程。
由以上技术方案可以看出,本发明中,本发明并非在KS上通过手工配置IPSecSA,而是预先在每一GM上配置需要该GM保护的数据流的信息,由GM在向同一GROUP-DOMAIN-VPN中KS注册过程中将自身配置的需要保护的所有数据流的区分标识发送给KS,由KS通过比较同一GROUP-DOMAIN-VPN中每两个GM发送的需要保护的所有数据流的区分标识来确定出这两个GM同时保护的数据流,并将该确定出的数据流的区分标识、与所述GROUP-DOMAIN-VPN的安全策略、密钥发送给该两个GM,由该两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSecSA并对具有该收到的数据流区分标识的数据流进行保护处理,实现了GM按需维护IPSecSA的目的。
进一步地,本发明中,当GROUP-DOMAIN-VPN中GM退出时,KS动态更新该退出的GM之前发送的所有数据流的区分标识,无需现有技术中通过手工重新配置。
以上对本发明提供的方法进行了描述,下面对本发明提供的设备进行描述:
参见图3,图3为本发明实施例提供的路由设备的结构图。这里,所述路由设备应用于GROUP-DOMAIN-VPN组中的KS,所述路由设备包括:
接收单元,用于接收本Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
存储单元,用于保存本Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
比较单元,用于针对已注册至本KS的每一GM,比较该GM与所述新加入的GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流;
发送单元,用于将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述比较单元确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM,以使所述两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有该收到的数据流区分标识的双向数据流进行保护处理。
优选地,本发明中,所述路由设备进一步包括:
检测单元,用于检测到已注册至本KS的GM退出所述GROUP-DOMAIN-VPN时,发送更新通知给更新单元;
更新单元,用于接收所述更新通知时从所述存储单元中删除已保存的由该退出的GM发送的其自身配置的需要保护的所有数据流的区分标识,并触发所述比较单元重新比较同一GROUP-DOMAIN-VPN中每两个GM发送的需要保护的所有数据流的区分标识确定需要这两个GM同时保护的双向数据流。
定时器单元,用于启动本KS上配置的所述GROUP-DOMAIN-VPN的安全策略和密钥对应的生存定时器,所述生存定时器的时长为所述安全策略和密钥的生存时间;
基于定时器单元,所述发送单元进一步将依据所述生存定时器当前显示的时间确定出的所述安全策略和密钥当前剩余的生存时间分别发送给所述两个GM,以使所述两个GM分别启动对应所述IPSecSA的定时器,在所述定时器超时之前重新注册至所述KS,在所述定时器超时时删除对应的IPSecSA,所述GM启动的定时器的时长为所述安全策略和密钥当前剩余的生存时间;
本发明中,所述检测单元实时检测启动的所述生存定时器,当检测到所述生存定时器超时时,检测已注册至本KS的每一GM是否在所述生存定时器超时之前重新注册至本KS,如果否,确认该GM退出本GROUP-DOMAIN-VPN,发送更新通知给更新单元。
本发明中,所述接收单元进一步接收已注册至本KS的GM在所述生存定时器超时之前重新注册至本KS的过程中发送的其自身配置的需要保护的所有数据流的区分标识;
所述更新单元进一步删除所述存储单元已保存的该GM在重新注册之前发送的所有数据流的区分标识;
所述比较单元在设定的缓存时间到达时,比较已重新注册至本KS的每两个GM发送的需要保护的所有数据流的区分标识以确定这两个GM同时保护的双向数据流;所述设定的时间为设定的所述GROUP-DOMAIN-VPN中GM重新注册至KS所需要的时间。
本发明中,所述比较单元通过以下步骤确定需要两个GM同时保护的双向数据流:
针对两个GM中一个GM发送的需要保护的每一数据流的区分标识,判断该区分标识是否与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同或者有交集,
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同时,将具有该区分标识的数据流确定为需要所述两个GM同时保护的双向数据流;
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识有交集时,将区分标识为该交集的数据流确定为需要所述两个GM同时保护的双向数据流;
其中,所述数据流的区分标识为数据流的源IP地址、目的IP地址、源端口号、源端口号范围、目的端口号、目的端口号范围、传输协议、传输协议范围中的至少一个。。
至此,完成图3所示的路由设备结构描述。
本发明中,还提供了另外一种路由设备的结构图,该路由设备应用于GROUP-DOMAIN-VPN组中的GM,如图4所示,所述路由设备包括:
注册单元,用于在注册至同一GROUP-DOMAIN-VPN中密钥服务器KS的过程中发送自身配置的需要保护的数据流的区分标识给所述KS;
接收单元,用于接收同一GROUP-DOMAIN-VPN中的KS发送的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述KS确定出的需要本GM与同一GROUP-DOMAIN-VPN中其它GM同时保护的双向数据流的区分标识,利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有该收到的数据流区分标识的双向数据流进行保护处理。
所述接收单元进一步接收同一GROUP-DOMAIN-VPN中的KS发送的所述安全策略和密钥当前剩余的生存时间;
本发明中,所述路由设备进一步包括:
定时器单元,用于启动对应所述IPSecSA的定时器,在所述定时器超时之前重新注册至所述KS,在所述定时器超时时删除对应的IPSecSA,所述GM启动的定时器的时长为所述安全策略和密钥当前剩余的生存时间。
至此,完成图4所示的路由设备的结构描述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (15)

1.一种Internet协议安全性IPSec联盟SA的生成方法,其特征在于,该方法包括:
密钥服务器KS接收并保存本组区域虚拟私有网络Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
KS针对已注册至本KS的每一GM,比较该GM与所述新加入的GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流;
KS将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM,以使所述两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有收到的数据流区分标识的双向数据流进行保护处理。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
KS在已注册至本KS的GM退出所述GROUP-DOMAIN-VPN时,删除已保存的由该退出的GM发送的其自身配置的需要保护的所有数据流的区分标识,重新比较同一GROUP-DOMAIN-VPN中每两个GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流,发送给所述两个GM以生成新的IPSecSA。
3.根据权利要求2所述的方法,其特征在于,该方法进一步包括:
所述KS启动本KS上配置的所述GROUP-DOMAIN-VPN的安全策略和密钥对应的生存定时器,所述生存定时器的时长为预先配置的所述安全策略和密钥的生存时间;
所述KS将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM进一步包括:所述KS将依据所述生存定时器当前显示的时间确定出的所述安全策略和密钥当前剩余的生存时间分别发送给所述两个GM,以使所述两个GM分别启动对应所述IPSecSA的定时器,在所述定时器超时之前重新注册至所述KS,在所述定时器超时时删除对应的IPSecSA,所述GM启动的定时器的时长为所述安全策略和密钥当前剩余的生存时间;
所述KS通过以下步骤确定已注册至本KS的GM退出所述GROUP-DOMAIN-VPN:
KS实时检测启动的所述生存定时器,当检测到所述生存定时器超时时,检测已注册至本KS的每一GM是否在所述生存定时器超时之前重新注册至本KS,如果否,确认该GM退出本GROUP-DOMAIN-VPN。
4.根据权利要求3所述的方法,其特征在于,该方法进一步包括:
KS接收并保存已注册至本KS的GM在所述生存定时器超时之前重新注册至本KS的过程中发送的其自身配置的需要保护的所有数据流的区分标识,并删除已保存的该GM之前发送的所有数据流的区分标识;
KS在设定的缓冲时间到达时,比较已重新注册至本KS的每两个GM发送的需要保护的所有数据流的区分标识以确定这两个GM同时保护的双向数据流并发送给这两个GM以生成新的IPSecSA;所述设定的缓冲时间为设定的所述GROUP-DOMAIN-VPN中GM重新注册至KS所需要的时间。
5.根据权利要求1至4任一所述的方法,其特征在于,所述KS通过以下步骤确定需要两个GM同时保护的双向数据流:
KS针对两个GM中一个GM发送的需要保护的每一数据流的区分标识,判断该区分标识是否与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同或者有交集,
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同时,KS将具有该区分标识的数据流确定为需要所述两个GM同时保护的双向数据流;
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识有交集时,KS将区分标识为该交集的数据流确定为需要所述两个GM同时保护的双向数据流。
6.根据权利要求5所述的方法,其特征在于,所述数据流的区分标识为数据流的源IP地址、目的IP地址、源端口号、源端口号范围、目的端口号、目的端口号范围、传输协议、传输协议范围中的至少一个。
7.一种Internet协议安全性IPSec联盟SA的生成方法,其特征在于,该方法包括:
组区域虚拟私有网络GROUP-DOMAIN-VPN中的组成员GM在注册至同一GROUP-DOMAIN-VPN中密钥服务器KS的过程中发送自身配置的需要保护的数据流的区分标识给所述KS;
GM接收KS发送的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述KS确定出的需要本GM与同一GROUP-DOMAIN-VPN中其它GM同时保护的双向数据流的区分标识,利用收到的安全策略、密钥、数据流区分标识生成IPSecSA并对具有该收到的数据流区分标识的双向数据流进行保护处理。
8.根据权利要求7所述的方法,其特征在于,所述GM进一步接收同一GROUP-DOMAIN-VPN中的KS发送的所述安全策略和密钥当前剩余的生存时间;
所述GM启动对应所述IPSecSA的定时器,在所述定时器超时之前重新注册至所述KS,在所述定时器超时时删除对应的IPSecSA,所述GM启动的定时器的时长为所述安全策略和密钥当前剩余的生存时间。
9.一种路由设备,所述路由设备作为密钥服务器KS应用于组区域虚拟私有网络GROUP-DOMAIN-VPN中,其特征在于,所述路由设备包括:
接收单元,用于接收本Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
存储单元,用于保存本Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识;
比较单元,用于针对已注册至本KS的每一GM,比较该GM与所述新加入的GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流;
发送单元,用于将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述比较单元确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM,以使所述两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有该收到的数据流区分标识的双向数据流进行保护处理。
10.根据权利要求9所述的路由设备,其特征在于,所述路由设备进一步包括:
检测单元,用于检测到已注册至本KS的GM退出所述GROUP-DOMAIN-VPN时,发送更新通知给更新单元;
更新单元,用于接收所述更新通知时从所述存储单元中删除已保存的由该退出的GM发送的其自身配置的需要保护的所有数据流的区分标识,并触发所述比较单元重新比较同一GROUP-DOMAIN-VPN中每两个GM发送的需要保护的所有数据流的区分标识确定需要这两个GM同时保护的双向数据流,发送给所述两个GM以生成新的IPSecSA。
11.根据权利要求10所述的路由设备,其特征在于,所述路由设备进一步包括:
定时器单元,用于启动本KS上配置的所述GROUP-DOMAIN-VPN的安全策略和密钥对应的生存定时器,所述生存定时器的时长为所述安全策略和密钥的生存时间;
所述发送单元进一步将依据所述生存定时器当前显示的时间确定出的所述安全策略和密钥当前剩余的生存时间分别发送给所述两个GM,以使所述两个GM分别启动对应所述IPSecSA的定时器,在所述定时器超时之前重新注册至所述KS,在所述定时器超时时删除对应的IPSecSA,所述GM启动的定时器的时长为所述安全策略和密钥当前剩余的生存时间;
所述检测单元实时检测启动的所述生存定时器,当检测到所述生存定时器超时时,检测已注册至本KS的每一GM是否在所述生存定时器超时之前重新注册至本KS,如果否,确认该GM退出本GROUP-DOMAIN-VPN,发送更新通知给更新单元。
12.根据权利要求11所述的路由设备,其特征在于,
所述接收单元进一步接收已注册至本KS的GM在所述生存定时器超时之前重新注册至本KS的过程中发送的其自身配置的需要保护的所有数据流的区分标识;
所述更新单元进一步删除所述存储单元已保存的该GM在重新注册之前发送的所有数据流的区分标识;
所述比较单元在设定的缓存时间到达时,比较已重新注册至本KS的每两个GM发送的需要保护的所有数据流的区分标识以确定这两个GM同时保护的双向数据流;所述设定的时间为设定的所述GROUP-DOMAIN-VPN中GM重新注册至KS所需要的时间。
13.根据权利要求9至12任一所述的路由设备,其特征在于,所述比较单元通过以下步骤确定需要两个GM同时保护的双向数据流:
针对两个GM中一个GM发送的需要保护的每一数据流的区分标识,判断该区分标识是否与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同或者有交集,
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同时,将具有该区分标识的数据流确定为需要所述两个GM同时保护的双向数据流;
当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识有交集时,将区分标识为该交集的数据流确定为需要所述两个GM同时保护的双向数据流;
其中,所述数据流的区分标识为数据流的源IP地址、目的IP地址、源端口号、源端口号范围、目的端口号、目的端口号范围、传输协议、传输协议范围中的至少一个。
14.一种路由设备,所述路由设备应用于组区域虚拟私有网络GROUP-DOMAIN-VPN组中的组成员GM,其特征在于,所述路由设备包括:
注册单元,用于在注册至同一GROUP-DOMAIN-VPN中密钥服务器KS的过程中发送自身配置的需要保护的数据流的区分标识给所述KS;
接收单元,用于接收同一GROUP-DOMAIN-VPN中的KS发送的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及所述KS确定出的需要本GM与同一GROUP-DOMAIN-VPN中其它GM同时保护的双向数据流的区分标识,利用收到的安全策略、密钥、数据流区分标识生成IPSecSA以对具有该收到的数据流区分标识的双向数据流进行保护处理。
15.根据权利要求14所述的路由设备,其特征在于,所述接收单元进一步接收同一GROUP-DOMAIN-VPN中的KS发送的所述安全策略和密钥当前剩余的生存时间;
所述路由设备进一步包括:
定时器单元,用于启动对应所述IPSecSA的定时器,在所述定时器超时之前重新注册至所述KS,在所述定时器超时时删除对应的IPSecSA,所述GM启动的定时器的时长为所述安全策略和密钥当前剩余的生存时间。
CN201310246364.3A 2013-06-19 2013-06-19 Internet协议安全性联盟的生成方法和路由设备 Active CN103347007B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310246364.3A CN103347007B (zh) 2013-06-19 2013-06-19 Internet协议安全性联盟的生成方法和路由设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310246364.3A CN103347007B (zh) 2013-06-19 2013-06-19 Internet协议安全性联盟的生成方法和路由设备

Publications (2)

Publication Number Publication Date
CN103347007A CN103347007A (zh) 2013-10-09
CN103347007B true CN103347007B (zh) 2016-03-09

Family

ID=49281781

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310246364.3A Active CN103347007B (zh) 2013-06-19 2013-06-19 Internet协议安全性联盟的生成方法和路由设备

Country Status (1)

Country Link
CN (1) CN103347007B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168205B (zh) * 2014-08-06 2017-08-08 新华三技术有限公司 报文处理方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8155130B2 (en) * 2008-08-05 2012-04-10 Cisco Technology, Inc. Enforcing the principle of least privilege for large tunnel-less VPNs
US8204228B2 (en) * 2008-12-09 2012-06-19 Cisco Technology, Inc. Group key management re-registration method
US8307423B2 (en) * 2008-12-17 2012-11-06 Cisco Technology, Inc. Migrating a network to tunnel-less encryption
CN102904901A (zh) * 2012-10-29 2013-01-30 杭州华三通信技术有限公司 同步IPsec SA的方法、组成员及组密钥服务器

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8155130B2 (en) * 2008-08-05 2012-04-10 Cisco Technology, Inc. Enforcing the principle of least privilege for large tunnel-less VPNs
US8204228B2 (en) * 2008-12-09 2012-06-19 Cisco Technology, Inc. Group key management re-registration method
US8307423B2 (en) * 2008-12-17 2012-11-06 Cisco Technology, Inc. Migrating a network to tunnel-less encryption
CN102904901A (zh) * 2012-10-29 2013-01-30 杭州华三通信技术有限公司 同步IPsec SA的方法、组成员及组密钥服务器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
The Group Domain of Interpretation;B.Weis等;《Internet Engineering Task Force (IETF)》;20111031;全文 *

Also Published As

Publication number Publication date
CN103347007A (zh) 2013-10-09

Similar Documents

Publication Publication Date Title
US9215237B2 (en) Communication system, control device, communication method, and program
US8966075B1 (en) Accessing a policy server from multiple layer two networks
US9871766B2 (en) Secure path determination between devices
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US8893262B2 (en) Establishing an IPsec (internet protocol security) VPN (virtual private network) tunnel
US9178910B2 (en) Communication system, control apparatus, policy management apparatus, communication method, and program
US8380819B2 (en) Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network
JP5660202B2 (ja) コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法
US20170187713A1 (en) Preserving an authentication state by maintaining a virtual local area network (vlan) association
CN106487556B (zh) 业务功能sf的部署方法及装置
EP3066786B1 (en) Enabling load balancing in a network virtualization overlay architecture
CN105794158B (zh) 用于处理因特网协议包的方法和系统
WO2015131757A1 (en) Channel between software defined networking device and controller
CN104023022A (zh) 一种IPSec SA的获取方法和装置
JP2021510045A (ja) ネットワークデバイス間にグループネットワークを作成するためのシステムおよび方法
CN104993993A (zh) 一种报文处理方法、设备和系统
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
CN107005430A (zh) 一种基于数据链路层的通信方法、设备和系统
CN104753926B (zh) 一种网关准入控制方法
CN104541489A (zh) 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品
CN106330511B (zh) 网元设备及数据通信网络开通的方法
CN103347007B (zh) Internet协议安全性联盟的生成方法和路由设备
US20160352686A1 (en) Transmitting network traffic in accordance with network traffic rules
CN102437927B (zh) 一种以太网设备管理平面的管理方法和系统
CN102917081A (zh) Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.